En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito.
Requerimiento 4 de PCI DSS: Proteger la transmisión de datos de tarjetas a través de redes abiertas y públicas
Las personas malintencionadas explotan las vulnerabilidades de las redes públicas y/o inalámbricas que están mal configuradas y/o tienen un cifrado vulnerable, para obtener acceso privilegiado al entorno de datos de tarjetas.
El requisito 4 indica como proteger toda la información confidencial durante la transmisión a través de redes abiertas, públicas o a través de redes inalámbricas a las que se pueden acceder fácilmente por personas malintencionadas.
Tres pasos a considerar
Explicaremos los principales desafíos y pasos que se deben considerar para cumplir con este requisito:
1) Implemente únicamente cifrado robusto y protocolos seguros para proteger los datos confidenciales de las tarjetas durante la transmisión a través de redes públicas y/o abiertas.
El protocolo SSL y versiones iniciales de TLS ya no son seguras, esta es la razón por la cual PCI DSS solicita implementar la última versión de TLS y deshabilitar las versiones antiguas y los protocolos inseguros.
2) Implemente cifrado robusto para la autenticación y transmisión de datos de tarjetas a través de redes inalámbricas o para el acceso a otras redes internas o datos internos.
Además, debe:
- implementar una configuración segura sobre las redes inalámbricas;
- considerar las recomendaciones de mejores prácticas de estándares de sistemas aceptados en la industria como Center for Internet Security (CIS), International Organization for Standardization (ISO), SysAdmin Audit Network Security (SANS) Institute National Institute of Standards Technology (NIST);
- adoptar las recomendaciones de los proveedores de tecnología.
3) Nunca envíe PAN sin protección mediante tecnologías de mensajería de usuario final tales como correo electrónico, mensajería instantánea, SMS, chat, etc., a menos que estén configurados para proporcionar un cifrado seguro. Estas tecnologías se pueden interceptar fácilmente durante la entrega en redes internas o públicas.
Es importante mantenerse informado sobre las nuevas vulnerabilidades que afectan a los protocolos que se consideraron seguros en el pasado y que ya no lo son.
¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.
Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta
PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal