Más importante aún, aprendimos acerca de cómo se aplican los estándares PCI DSS. Esta aplicabilidad merece ser repetida en este post:
El número primario de cuenta (PAN, por sus siglas en inglés) es el factor decisivo en la aplicabilidad de los requerimientos PCI DSS y PA-DSS. Los requerimientos PCI DSS son aplicables si el número primario de cuenta (PAN) es almacenado, procesado o transmitido. Si el PAN no es almacenado, procesado o transmitido, PCI DSS y PA-DSS no se aplican.
En esta
segunda publicación, veremos cómo EnCase eDiscovery combinado con EnCase Enterprise
puedes ayudar a organizaciones que procesan datos de cuenta, proveedores de
servicio y revendedores de software/desarrolladores que realizan auditorías de
primera parte para asegurar que su software de procesamiento de tarjetas cumpla
con PCI DSS. Recuerda que EnCase Enterprise es incluido con EnCase eDiscovery.
Entonces, veamos el
primer set de porciones de los estándares de cumplimiento en los que EnCase puedes ayudar con esta variedad de
organizaciones. Nuevamente veremos los requerimientos específicos enfocándonos
“estándar por estándar”.
Requisitos*
|
Procedimientos de Evaluación*
|
Cómo EnCase puede Ayudar
|
2.1
|
||
Requisitos
de las PCI PA-DSS
El
proveedor de software debe asesorar a los clientes sobre cómo purgar los
datos del titular de la tarjeta después de que haya caducado el período de
retención definido por el cliente
|
Procedimientos de Evaluación de
Seguridad
Revise la Guía de implementación de
las PA-DSS preparada por el proveedor y compruebe que la documentación
incluya la siguiente orientación para los clientes y los
revendedores/integradores:
-Se deben purgar los datos del
titular de la tarjeta que excedan el período de retención definido por el
cliente.
- Una lista de todas las ubicaciones
donde la aplicación de pago almacena datos de los titulares de tarjeta (para
que el cliente sepa las ubicaciones de los datos que se deben eliminar).
|
Cómo EnCase puede
Ayudar
EnCase eDIscovery puede realizar auditorías
remotas de todas las ubicaciones de almacenamiento de la aplicación de pago
para cualquier dato del titular de la tarjeta definida y cubierta por el
estándar PCI DSS asociado con transacciones como:
- Números
de Cuenta Principal
- Números de Servicio - PINs El sistema operativo del sistema de la aplicación de pago no es un factor. EnCase puede realizar auditorías en casi todos los sistemas operativos modernos (Windows, Linux, Mac) como también dispositivos que puedan soportar un agente para buscar este tipo de data en archivos de registro (logs), historiales y memoria.
EnCase también puede validar que los
datos del titular de tarjeta no son almacenados, procesados o transmitidos
sin consentimiento, a cualquier parte de la organización.
|
2.3
|
||
Requisitos
de las PCI PA-DSS
Haga
que el PAN quede ilegible en cualquier lugar donde se almacene (incluidos los
datos que se almacenen en medios digitales portátiles, en medios de copia de
seguridad y en registros) utilizando cualquiera de los siguientes métodos:
-Valores
hash de una vía basados en criptografía sólida (el hash debe ser de todo el
PAN).
-Truncamiento
(los valores hash no se pueden usar para reemplazar el segmento truncado del
PAN)
-Tokens y ensambladores de índices (los ensambladores se
deben almacenar de manera segura).
-
Criptografía sólida con procesos y procedimientos asociados para la gestión
de claves.
|
Procedimientos de Evaluación de
Seguridad
2.3.c
Si la aplicación crea o genera
archivos para ser utilizados fuera de la aplicación (por ejemplo, archivos
generados para exportación o copias de seguridad), incluso para
almacenamiento en medios removibles, examine una muestra de los archivos
generados, incluidos los generados en medios removibles (por ejemplo, cintas
de copias de seguridad), para confirmar que el PAN queda ilegible.
2.3.d
Examine una muestra de los archivos
de auditoría creados o generados por la aplicación para confirmar que el PAN
queda ilegible o es eliminado de los registros.
2.3.e
Si el proveedor de software almacena el
PAN por alguna razón (por ejemplo, porque se recibieron de parte de los
clientes archivos de registro, de depuración y otras fuentes de datos para
fines de depuración o resolución de problemas), verifique que el PAN quede
ilegible de acuerdo con los requisitos del 2.3.a al 2.3.d, especificados
arriba.
|
Cómo EnCase
puede Ayudar
EnCase eDiscovery puede auditar y
validar el cumplimiento con cualquier archivo que haya sido creado por el
sistema de pagos y exportado o copiado para propósitos de seguridad. Esto
incluye copias de archivos que puedan haber estado almacenadas en medios
removibles o transmitidos a alguna otra parte en la organización.
EnCase también puede validar que el
manejo de la organización de los números de cuenta principal de los clientes quedan
en cumplimiento durante la resolución del problema.
|
2.5
|
||
Requisitos
de las PCI PA-DSS
La
aplicación de pago debe proteger las claves utilizadas para asegurar los
datos de los titulares de tarjeta contra divulgación o uso indebido.
|
Procedimientos de Evaluación de
Seguridad
2.5.b
Examine los archivos de configuración
del sistema para verificar que las claves se almacenan en formato cifrado y
que las claves de cifrado de claves se almacenan separadas de la claves de
cifrado de datos
|
Cómo EnCase
puede Ayudar
EnCase puede auditar cualquier salida
de aplicación de pago o bien buscar estos datos en archivos de registro,
historia, memoria y asegurar que la información de cumplimiento permanezca encriptado
por los estándares PCI DSS.
|
2.7
|
||
Requisitos
de las PCI PA-DSS
Haga
que no se pueda recuperar ningún material de clave criptográfica o
criptograma almacenado por las versiones anteriores de la aplicación de pago,
de acuerdo con las normas aceptadas en la industria. Estas son las claves
criptográficas que se utilizan para cifrar o verificar los datos de titulares
de tarjetas
|
Procedimientos de Evaluación de
Seguridad
2.7.c
Verifique, mediante el uso de
herramientas y/o métodos forenses, que la herramienta o el procedimiento de
limpieza segura haga que el material criptográfico sea irrecuperable, de
acuerdo con las normas aceptadas en la industria
|
EnCase eDiscovery puede verificar que
los datos han sido borrados de manera segura del sistema en un nivel forense
de acuerdo con los estándares más estrictos. EnCase en la forma de una
licencia combinada EnCase eDiscovery y EnCase Cybersecurity puede realizar
estas eliminaciones seguras.
Nótese que el estándar hace
referencias específicas del uso de una herramienta forense como EnCase.
|
* Copyright 2008-2010,
PCI Security Standards Council LLC (en espanol: https://www.pcisecuritystandards.org/documents/pa-dss_es-la_v2.pdf)
En la parte 3 de la serie, continuaremos echándole
un vistazo al último set de requerimientos para el cumplimiento PCI y la nueva
versión que pronto será lanzada de Cumplimiento PCI (Version 3) estimada en
llegar en Noviembre de este año. La intención de esta serie es ayudar a
entender a las organizaciones el estándar PCI DSS, explicar que EnCase puede
reducir la complejidad del cumplimiento PCI y ayudar con la puesta en marcha de
la ejecución de los requerimientos.
- T.
Grey, Ingeniero de Ventas para Latinoamérica, Guidance Software
Si usted quisiera una demostración de cómo
EnCase puede asistirlo con el cumplimiento, fraude o respuesta a incidentes
malware, siéntase cómodo escribiéndonos a: sales-LatAm@encase.com
RELACIONADOS
¿Ahora qué?: Entendiendo el Cumplimiento de Estándar PCI DSS V2 con EnCase – Parte I
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
EnCase Analytics: Inteligencia de Seguridad Mediante el Análisis de Dispositivos
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
EnCase Analytics: Inteligencia de Seguridad Mediante el Análisis de Dispositivos
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario