Las nuevas normas tienen un montón de atención en las áreas que EnCase® tiene capacidades muy fuertes. Entre otras, estas normas actualizadas requieren que las organizaciones llevan a cabo auditorías para las conexiones remotas, los permisos de archivos y servicios. Esperamos que usted considere EnCase® para asegurar el cumplimiento de las normas PCI actualizados para auditar a las normas, así como datos confidenciales de los usuarios que han sido almacenados en los registros, correos electrónicos, SharePoint o la nube.
El número de cuenta primaria es el elemento clave del estándar. Aquí explicamos cómo el número de cuenta se interrelaciona con el estándar PCI:
El número de cuenta principal es el factor que define los datos del titular de la tarjeta. Si el nombre del titular de la tarjeta, el código de servicio o la fecha de vencimiento se almacenan, procesan o transmiten con el PAN (número de cuenta principal) o se encuentran presentes de algún otro modo en el entorno de datos del titular de la tarjeta, se deben proteger de conformidad con los requisitos de las PCI DSS.
Los requisitos de las PCI DSS se aplican a las organizaciones y entornos en los que se almacenan, procesan o transmiten datos de cuenta (datos del titular de la tarjeta y datos de autenticación confidenciales). Algunos requisitos de las PCI DSS también se aplican a organizaciones que han tercerizado las operaciones de pago o la gestión del CDE (entorno de los datos del titular de la tarjeta) Además, las organizaciones que tercerizan el CDE (entorno de los datos del titular de la tarjeta) o las operaciones de pagos a terceros deben asegurarse de que estos protejan los datos de cuenta de acuerdo con todos los requisitos correspondientes de las PCI DSS.Echemos un vistazo a los nuevos estándares en más detalle.
http://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf
REQUISITOS DE LAS PCI DSS*
|
PROCEDIMIENTO DE PRUEBA*
|
Cómo EnCase® Puede Ayudar
|
Requisito 1: Instale y mantenga una configuración de firewalls para
proteger los datos de los titulares de las tarjetas
|
||
1.1.1 Un proceso formal para
aprobar y probar todos los cambios y
las conexiones de red en la
configuración de los firewalls y los
routers
|
1.1.1.a Revise los procedimientos
documentados para corroborar que
existe un proceso formal para aprobar y probar lo siguiente:
• Conexiones de red
• Cambios en las configuraciones de
firewalls y routers
1.1.1.b Para obtener una muestra de las conexiones
de red, entreviste al personal
responsable y revise los registros para
verificar que se hayan aprobado y probado las conexiones de red.
1.1.1.c Identifique una muestra de los cambios
reales realizados en las
configuraciones de firewalls y routers,
compárela con los registros de cambio y entreviste al personal responsable para verificar que los cambios
se hayan probado y aprobado.
|
EnCase® Cybersecurity y EnCase®
Analytics pueden ayudar a las organizaciones a
auditarse e identificar toda la información de conexión de red incluyendo
puertos abiertos, DNS ARPs, etc. En cualquier
dispositivo relacionado con los requisitos de las PCI-DSS. Las auditorías
pueden estar enfocadas en conexiones de red generales que están en
cumplimiento o pueden ser ampliados para auditar e identificar dispositivos
específicos que han sido configurados para una conexión de red desconocida.
Los auditores de PCI también pueden
usar EnCase® Cybersecurity o EnCase® Enterprise para rápidamente identificar muestras o el rango
entero de las configuraciones para comparar contra los récords de cambio.
|
1.1.2 Diagrama de red actual
que identifica todas las conexiones
entre el entorno de datos de titulares
de tarjetas y otras redes,
incluso cualquier red inalámbrica.
|
1.1.2.a Revise los diagramas y observe las
configuraciones de red para verificar
que exista un diagrama de red actual que
documente todas las conexiones con los datos de los titulares de tarjetas, incluso las redes
inalámbricas.
|
EnCase® Cybersecurity and EnCase®
Analytics pueden asistir con un desarrollo rápido o
diagramas de confirmación de red al identificar el estado actual de las
conexiones de red y rápidamente resaltar cualquier configuración desconocida,
no autorizada o cuestionable.
|
1.1.6 Documentación y
justificación de negocio para el uso
de todos los servicios, protocolos y
puertos permitidos, incluida la
documentación de las funciones de
seguridad implementadas en aquellos protocolos que se consideran inseguros. Entre los servicios, protocolos o puertos inseguros, se incluyen, a modo de ejemplo, FTP, Telnet, POP3, IMAP y SNMP versión 1 y versión 2.
|
1.1.6.a Verifique que las normas de configuración de
firewalls y routers incluyan una lista
documentada de todos los servicios,
protocolos y puertos, incluso una justificación de negocio para cada uno, por ejemplo, HTTP
(protocolo de transferencia de
hipertexto) y SSL (protocolo de capa de
conexión segura), SSH (Secure Shell) y VPN (red privada virtual).
1.1.6.b Identifique
los servicios, protocolos y puertos
inseguros permitidos y verifique que se hayan documentado las funciones de seguridad de cada
servicio.
1.1.6.c Revise las
configuraciones de firewalls y routers para
verificar que se hayan implementado las funciones de seguridad para cada servicio, protocolo y
puerto inseguros.
|
Las organizaciones pueden usar EnCase®
Cybersecurity y EnCase® Analytics para comparar los servicios de dispositivos, puertos y
protocolos conforme a las justificaciones de los negocios para los routers y
servicios de firewalls, puertos,
protocolos e identificación de servicios inseguros, protocolos y
puertos que puedan estar operando en
estos dispositivos.
Los auditores PCI pueden usar EnCase® Cybersecurity y EnCase® Analytics para
rápidamente asesorar si los dispositivos se están conectados a fuentes
externas usando puertos inseguros, protocolos o servicios.
|
1.2 Desarrolle configuraciones para
firewalls y routers que restrinjan las
conexiones entre redes no confiables y
cualquier componente del sistema en el
entorno de los datos de titulares de tarjetas.
Nota: Una “red no confiable” es toda red externa a las redes que pertenecen a la entidad en evaluación o que excede la capacidad de control o administración de la entidad.
|
1.2 Revise las configuraciones de firewalls
y routers y realice las siguientes
acciones para verificar que se restringen las conexiones entre redes no confiables y todo
componente del sistema en el entorno
de datos de titulares de tarjetas:
|
Organizaciones y Auditores de PCI
pueden usar EnCase® Cybersecurity
y EnCase® Analytics para
rápidamente asesorar y visualizar si los dispositivos están conectándose a
una red no confiable.
|
1.2.1 Restrinja el tráfico
entrante y saliente a la cantidad
necesaria para el entorno de datos de
los titulares de tarjetas y niegue
específicamente el tráfico restante.
|
1.2.1.a Revise las
normas de configuración de firewalls y routers para verificar que identifican el
tráfico entrante y saliente necesario
para el entorno de datos de titulares de tarjetas
1.2.1.b Revise las configuraciones de firewalls y routers para verificar que el tráfico entrante y saliente esté restringido a la cantidad necesaria para el entorno de datos de titulares de tarjetas.
1.2.1.c Revise las
configuraciones de firewalls y routers para
verificar que todo tráfico entrante y saliente se niegue de manera específica, por ejemplo, mediante
una declaración explícita “negar
todos” o una negación implícita después de una declaración de permiso.
|
Organizaciones y Auditores de PCI
pueden usar EnCase® Cybersecurity
y EnCase® Analytics para
rápidamente auditar y visualizar las fuentes y destinos de conexiones entrantes y salientes dentro del espectro
del titular de la tarjeta y asegurar que dicho tráfico esté dentro del
entorno de cumplimiento del titular.
Inversamente, el criterio de EnCase® Cybersecurity y EnCase® Analytics pueden ser escrito para rápidamente identificar conexiones entrantes
y salientes que se encuentren fuera de norma.
|
1.2.2 Asegure y sincronice los archivos de configuración de routers.
|
1.2.2.a Revise los
archivos de configuración del router para
verificar que están protegidos contra el acceso no autorizado.
|
En algunos tipos de routers, EnCase®
Cybersecurity y EnCase® eDiscovery pueden auditar permisos de archivos de niveles para estar
seguros que los archivos de configuración han sido accedidos de una forma
autorizada.
|
1.2.3 Instalar firewalls de
perímetro a través de todas las redes inalámbricas y el entorno del titular
de tarjeta y configure estos firewalls para denegar o, si el tráfico es
necesario por razones de negocios, permitir sólo tráfico autorizado entre los
entornos inalámbricos y el entorno de datos del titular de tarjeta.
|
1.2.3.b Verifique
que los firewalls restrinjan o, si el tráfico es necesario para propósitos de
negocio , permitir sólo tráfico autorizado entre los entornos inalámbricos y
el entorno de datos del titular de tarjeta.
|
Organizaciones y auditores de PCI
pueden usar EnCase® Cybersecurity y EnCase® Analytics para rápidamente auditar la fuente y
destinos para conexiones entrantes y salientes a las conexiones a internet y
componentes del sistema que se encuentren dentro del segmento de red del
titular de tarjeta y asegurar que dicho tráfico está dentro de las normas del
entorno del titular de tarjeta. Conversamente, el criterio de EnCase® Cybersecurity y EnCase® Analytics pueden ser escrito para rápidamente identificar conexiones entrantes
y salientes que estén fuera de norma y cumplimiento.
|
1.3 Prohíba el acceso directo
público entre Internet y todo
componente del sistema en el entorno
de datos de los titulares de tarjetas.
|
1.3 Revise las configuraciones de firewalls
y routers, que incluye, entro otros,
el router de estrangulamiento de Internet, el
router DMZ y el firewall, el segmento de titulares de tarjetas de DMZ, el router de perímetro y el segmento
de la red interna del titular de la tarjeta,
y realice lo siguiente a fin de determinar que no exista un acceso directo entre la
Internet y los componentes del sistema
en el segmento de red interna de los titulares de tarjeta:
|
Organizaciones y auditores de PCI
pueden usar EnCase® Cybersecurity
y EnCase® Analytics para
rápidamente auditar la fuente y destinos para conexiones entrantes y
salientes a las conexiones a internet y componentes del sistema que se
encuentren dentro del segmento de red del titular de tarjeta y asegurar que
dicho tráfico está dentro de las normas del entorno del titular de tarjeta.
Conversamente, los criterios de auditoria de EnCase® Cybersecurity y EnCase® Analytics puede ser escrito para rápidamente identificar conexiones
entrantes y salientes que estén fuera de norma y cumplimiento.
|
1.3.1 Implemente una DMZ
(zona desmilitarizada) para limitar el
tráfico entrante solo a aquellos
componentes del sistema que
proporcionan servicios, protocolos y
puertos con acceso público autorizado
|
1.3.1 Revise las configuraciones de
firewalls y routers, y verifique que
se haya implementado una DMZ (zona
desmilitarizada) para limitar el tráfico entrante solo a aquellos componentes del sistema que proporcionan
servicios, protocolos y puertos con
acceso público autorizado.
|
Organizaciones y auditores de PCI
pueden usar EnCase® Cybersecurity
y EnCase® Analytics para
rápidamente auditar la fuente y destinos para conexiones entrantes para
verificar que el tráfico entrante de internet es limitado a sólo componentes
del sistema que proveen servicios accesibles autorizados públicamente,
protocolos y puertos. Conversamente a esto, el criterio de EnCase®
Cybersecurity puede ser escrito para rápidamente identificar conexiones
entrantes que se encuentran fuera de norma.
|
1.3.2 Restrinja el tráfico entrante
de Internet a las direcciones IP
dentro de la DMZ.
|
1.3.2 Revise las configuraciones de
firewalls y routers, y verifique que
se restrinja el tráfico entrante de Internet a las direcciones IP dentro de la DMZ.
|
Organizaciones y auditores de PCI
pueden usar EnCase® Cybersecurity
y EnCase® Analytics para
rápidamente auditar la fuente y destinos para conexiones entrantes para
verificar que el tráfico entrante de internet está limitado a direcciones de
IP dentro del DMZ y asegurar que dicho tráfico está dentro de la norma.
Conversamente a esto, el criterio de EnCase® Cybersecurity puede ser escrito
para rápidamente identificar conexiones entrantes que se encuentran fuera de
norma.
|
1.3.3 No permita ninguna
conexión directa de entrada o salida
de tráfico entre Internet y el entorno
del titular de la tarjeta.
|
1.3.3 Revise las configuraciones de
firewalls y routers, y verifique que
no se permita ninguna conexión directa de
entrada o salida de tráfico entre Internet y el entorno de datos del titular de la tarjeta.
|
Organizaciones y auditores de PCI
pueden usar EnCase® Cybersecurity y EnCase® Analytics para rápidamente auditar y visualizar las fuentes y
destinos para conexiones entrantes y salientes a internet y componentes del
sistema mediante la red del titular de tarjeta y asegurar que dicho tráfico
esté dentro de las normas para el titular de tarjeta. Conversamente a esto, los
criterios de EnCase® Cybersecurity pueden ser desarollados para rápidamente
identificar conexiones entrantes que se encuentran fuera de norma.
|
1.3.4 Implementar medidas antisuplantación
para detectar y bloquear direcciones
IP manipuladas a fin de que no ingresen
en la red. (Por ejemplo, bloquear el
tráfico proveniente de Internet con
una dirección de fuente interna).
|
1.3.4 Revise las configuraciones de
firewalls y routers, y verifique que
se hayan implementado medidas contra la
suplantación, por ejemplo, las direcciones internas no se pueden transferir de Internet a la DMZ.
|
EnCase® puede identificar simulaciones
de direcciones MAC.
|
1.3.5 No permita que el tráfico
saliente no autorizado proveniente del
entorno de datos del titular de la
tarjeta ingrese en Internet.
|
1.3.5 Revise las configuraciones de
firewalls y routers, y verifique que
el tráfico saliente proveniente del entorno de datos del titular de la tarjeta a Internet
esté explícitamente autorizado.
|
Organizaciones y auditores de PCI pueden
usar EnCase® Cybersecurity
y EnCase® Analytics para
rápidamente auditar la fuente y destinos para conexiones entrantes y
salientes a las conexiones a internet y componentes del sistema que se
encuentren dentro del segmento de red del titular de tarjeta y asegurar que
dicho tráfico está dentro de las normas del entorno del titular de tarjeta.
Conversamente, los criterios de auditoria y visualización
de EnCase® Cybersecurity y
EnCase® Analytics pueden
ser desrollados para rápidamente identificar
conexiones entrantes y salientes que estén fuera de norma y cumplimiento.
|
1.3.7 Coloque los componentes
del sistema que almacenan datos
del titular de la tarjeta (como una
base de datos) en una zona de red
interna segregada desde una DMZ
(zona desmilitarizada) y otras redes
no confiables
|
1.3.7 Revise las configuraciones de
firewalls y routers, y verifique que
los componentes del sistema que almacenan
datos del titular de la tarjeta (como una base de datos) se encuentren en una zona de red interna
segregada desde una DMZ (zona
desmilitarizada) y otras redes no confiables.
|
Organizaciones y auditores de PCI
pueden usar EnCase® Cybersecurity para rápidamente auditar que los componentes
del sistema que guardan los datos del titular de tarjeta están dentro de una
zona de red segregada del DMZ y otras redes no confiables.
|
1.4 Instale software de firewall
personal en todos los dispositivos
móviles o de propiedad de los
trabajadores que tengan conexión a
Internet cuando están fuera de la red
(por ejemplo, computadoras portátiles
que usan los trabajadores), y que
también se usan para acceder a la red.
Las configuraciones de firewalls
incluyen lo siguiente:
• Los parámetros específicos
de configuración se definen para
cada software de firewall
personal.
• El software de firewall
personal funciona activamente.
• Los usuarios de dispositivos
móviles o de propiedad de los
trabajadores no pueden alterar el
software de firewall personal.
|
1.4.a Revise las
políticas y las normas de configuración para
verificar lo siguiente: • El
software de firewall personal se debe incluir en todos los dispositivos móviles o de propiedad de los
trabajadores que tengan conexión a
Internet cuando están fuera de la red
(por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usen para
acceder a la red.
• Los parámetros específicos de
configuración se definen para cada
software de firewall personal.
• El software de firewall personal
está configurado para funcionar
activamente.
• El software de firewall personal
está configurado para que los usuarios
de dispositivos móviles o de propiedad de
trabajadores no puedan alterarlo.
1.4.b Inspeccione la muestra de dispositivos móviles o de propiedad de los trabajadores que cumplan con los siguiente:
• El software de firewall personal
está instalado y configurado de
conformidad con los parámetros de configuración específicos de la empresa.
• El software de firewall personal
funciona activamente.
• Los usuarios de dispositivos
móviles o de propiedad de los
trabajadores no pueden alterar el software de firewall personal.
|
Organizaciones y auditores de PCI
pueden usar EnCase® Cybersecurity para rápidamente auditar dispositivos para
verificar que el software del firewall del personal esté configurado para
correr en cada dispositivo y examinar las llaves de registro para determinar
opciones de configuración específica. Las organizaciones pueden rápidamente
verificar el estado actual de las configuraciones del firewall del personal
en cada dispositivo, incluyendo dispositivos propios de los empleados en lugar
de sólo una muestra para asegurar que las muestras de los auditores no
incluyan terminales que estén en la posibilidad de encontrarse fuera de
norma.
|
1.5 Asegúrese de que las políticas
de seguridad y los procedimientos operativos para administrar los
firewalls estén documentados,
implementados y que sean de
conocimiento para todas las partes
afectadas.
|
1.5 Revise la documentación y entreviste al
personal para verificar que las
políticas de seguridad y los procedimientos
operativos para administrar los firewalls cumplan con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que las políticas de seguridad y
procedimientos operacionales para manejar el firewall sean:
- Documentados - En uso y sabido por todas las partes afectadas |
Requisito 2: No utilizar contraseñas de sistemas y
otros parámetros de seguridad provistos por los proveedores
|
||
2.1 Siempre cambie los valores predeterminados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red. Esto rige para TODAS las contraseñas predeterminadas, por ejemplo, entre otras, las utilizadas por los sistemas operativos, los software que prestan servicios de seguridad, las cuentas de aplicaciones y sistemas, los
terminales de POS (puntos de venta),
las cadenas comunitarias de SNMP
(protocolo simple de administración de
red), etc.
|
2.1.a Escoja una muestra de los componentes
del sistema e intente acceder a los
dispositivos y aplicaciones (con la ayuda
del administrador del sistema) con las cuentas y contraseñas predeterminadas por el proveedor y
verifique que se hayan cambiado TODAS
las contraseñas predeterminadas (incluso
las de los sistemas operativos, los software que prestan servicios de seguridad, las cuentas de
aplicaciones y sistemas, los
terminales de POS [puntos de ventas], las cadenas comunitarias de SNMP [protocolo simple de
administración de red]). (Utilice los
manuales y las fuentes de los proveedores
que se encuentran en Internet para encontrar las cuentas y las contraseñas proporcionadas por estos). 2.1.b Para la muestra de los componentes del
sistema, verifique que todas las
cuentas predeterminadas innecesarias
(incluso las cuentas que usan los sistemas operativos, los software de seguridad, las aplicaciones,
los sistemas, los terminales de POS
[puntos de ventas], SNMP [protocolo simple
de administración de red], etc.) se hayan eliminado o estén deshabilitadas.
2.1.c Entreviste al personal, revise la
documentación de respaldo y verifique
lo siguiente:
• Se cambien todos los valores
predeterminados proporcionados por los
proveedores (incluso las contraseñas
predeterminadas de sistemas operativos,
software que prestan servicios de seguridad, cuentas de aplicaciones y sistemas, terminales de POS
[puntos de ventas], cadenas
comunitarias de SNMP [protocolo simple
de administración de red], etc.). antes de
instalar un sistema en la red.
• Las cuentas predeterminadas
innecesarias (incluso las cuentas que
usan los sistemas operativos, los software de seguridad, las aplicaciones,
los sistemas, los terminales de POS
[puntos de ventas], SNMP [protocolo simple de
administración de red], etc.) se cambien o inhabiliten antes de instalar un sistema en la red.
|
EnCase® Cybersecurity en uso por
organizaciones y auditores de PCI para validar acceso local y de red a los
dispositivos y archivos específicos dentro de su cumplimiento. Las cuentas
por defecto pueden ser listadas específicamente como criterio para dichas
auditorías y modificadas/adicionadas a través del tiempo.
|
2.2 Desarrolle normas de
configuración para todos los
componentes de sistemas. Asegúrese de
que estas normas contemplen todas
las vulnerabilidades de seguridad
conocidas y que concuerden con las
normas de alta seguridad de sistema
aceptadas en la industria. Entre las fuentes de normas de alta seguridad aceptadas en la industria,
se pueden incluir, a modo de
ejemplo:
• Center for
Internet Security (CIS)
• International Organization for Standardization
(ISO)
• SysAdmin
Audit Network
Security (SANS) Institute
• National
Institute of Standards Technology
(NIST).
|
2.2.d Verifique que las normas de
configuración de sistemas incluyan los
siguientes procedimientos para todos los tipos de componentes del sistema:
Cambiar los valores predeterminados de los
proveedores y eliminar las cuentas
predeterminadas innecesarias.
• Implementar solo una función
principal por servidor a fin de evitar
que coexistan funciones que requieran diferentes niveles de seguridad en el mismo
servidor.
• Habilitar solo los servicios,
protocolos, daemons, etc., necesarios,
según lo requiera la función del sistema.
• Implementar funciones de seguridad
adicionales para los servicios,
protocolos o daemons requeridos que no se
consideren seguros.
• Configurar los parámetros de
seguridad del sistema para evitar el
uso indebido.
• Eliminar todas las funcionalidades
innecesarias, como secuencias de
comandos, drivers, funciones, subsistemas,
sistemas de archivos y servidores web innecesarios
|
Organizaciones pueden usar EnCase®
Cybersecurity y EnCase® Analytics para comparar servicios de dispositivos, puertos y protocolos
conforme a las justificaciones de las empresas para los routers y servicios
de firewall, puertos y protocolos e identificar servicios inseguros,
protocolos y puertos que puedan estar en funcionamiento en estos
dispositivos. Los auditores de PCI pueden usar EnCase® Cybersecurity para rápidamente
asesorar si los dispositivos están conectándose a recursos externos usando
puertos inseguros, protocolos o servicios.
|
2.2.1 Implemente sólo una
función principal por servidor a fin
de evitar que coexistan funciones que
requieren diferentes niveles de
seguridad en el mismo servidor. (Por
ejemplo, los servidores web,
servidores de base de datos y DNS se
deben implementar en servidores
separados).
Nota: Cuando se utilicen tecnologías de virtualización, implemente solo una función principal por componente de sistema virtual.
|
2.2.1.a Seleccione
una muestra de los componentes del
sistema, inspeccione las configuraciones del sistema y verifique que se haya implementado solo una
función principal en cada servidor.
2.2.1.b Si se utilizan tecnologías de virtualización, inspeccione las configuraciones del sistema y verifique que se haya implementado una sola función principal por componente de sistema o dispositivo virtual. |
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que sólo una función primaria es
implementada por servidor.
|
2.2.2 Habilite solo los
servicios, protocolos y daemons, etc., necesarios, según lo requiera la función del sistema.
|
2.2.2.a Seleccione
una muestra de los componentes del
sistema, inspeccione los servicios del sistema, daemons y protocolos habilitados y verifique que solo
se habiliten los servicios o protocolos
necesarios.
2.2.2.b Identifique los servicios, daemons o protocolos habilitados que no sean seguros, entreviste al personal y verifique que estén configurados de conformidad con las normas de configuración documentadas. |
Las organizaciones pueden usar EnCase®
Cybersecurity y EnCase® Analytics para comparar servicios de dispositivos, daemons, puertos y
protocolos conforme a las justificaciones de la empresa para sus routers y
servicios de firewall, puertos y protocolos e identificar servicios
inseguros, protocolos y puertos que puede que estén corriendo en estos
dispositivos. Los auditores de PCI pueden usar EnCase® Cybersecurity para
rápidamente asesorar si los dispositivos están conectando a recursos externos
usando puertos inseguros, daemons, protocolos o servicios.
|
2.2.3 Implemente funciones de seguridad adicionales para los servicios, protocolos o daemons requeridos que no se consideren seguros; por ejemplo, utilice tecnologías
seguras, como SSH, S-FTP, SSL o IPSec VPN, para
proteger los servicios no seguros, como NetBIOS, archivos compartidos,
Telnet, FTP, etc.
|
2.2.3 Inspeccione los parámetros de
configuración y verifique que las
funciones de seguridad se hayan documentado e
implementado en todos los servicios, daemons o protocolos no seguros.
|
Los Servicios Profesionales de
Guidance Software puede ayudarte a verificar que las
características de seguridad están documentadas e implementadas para todos
los servicios inseguros, daemons y protocolos.
|
2.2.4 Configure los parámetros
de seguridad del sistema para evitar
el uso indebido.
|
2.2.4.a Entreviste
a los administradores del sistema o a los
gerentes de seguridad para verificar que conocen las configuraciones comunes de parámetros de
seguridad de los componentes del sistema.
2.2.4.b Revise las normas de configuración de sistemas y verifique que incluyan los valores comunes de los parámetros de seguridad.
2.2.4.c Seleccione
una muestra de los componentes del
sistema e inspeccione los parámetros de seguridad comunes para verificar que se hayan configurado
correctamente, según las normas de
configuración.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a que los administradores tengan conocimiento
de ajustes de seguridad de parámetros comunes para componentes de sistema,
que los ajustes de seguridad de parámetros están incluidos y que están
dispuestos apropiadamente y de acuerdo con los estándares de configuración.
|
2.2.5 Elimine todas las
funcionalidades innecesarias, como
secuencias de comandos, drivers,
funciones, subsistemas, sistemas de
archivos y servidores web
innecesarios.
|
2.2.5.a Seleccione
una muestra de los componentes del
sistema, inspeccione las configuraciones y verifique que se hayan eliminado todas las funcionalidades
innecesarias (por ejemplo, secuencias
de comandos, drivers, funciones,
subsistemas, sistemas de archivos, etc.) .
2.2.5.b. Revise la
documentación y los parámetros de
seguridad, y verifique que las funciones habilitadas estén documentadas y admitan la configuración
segura.
2.2.5.c. Revise la
documentación y los parámetros de
seguridad, y verifique que solo la funcionalidad documentada esté presente en la muestra de componentes
del sistema.
|
EnCase® Cybersecurity puede auditar e
identificar scripts de software innecesarios, drivers, propiedades,
subsistemas y servidores web en dispositivos y recursos de red.
Dependiendo del subsistema o software,
EnCase® Cybersecurity puede, con frecuencia validar que esa única
funcionalidad documentada que está presente en los componentes del sistema.
|
2.3 Cifre todo el acceso
administrativo que no sea de consola
utilizando un cifrado sólido. Utilice
tecnologías como SSH, VPN o SSL/TLS
para la administración basada en la
web y otros tipos de acceso
administrativo que no sea de consola.
|
2.3.b Revise los
servicios y los archivos de parámetros en los
sistemas a fin de determinar que Telnet y otros comandos de inicio de sesión remotos inseguros no están
disponibles para acceso sin consola.
2.3.d Revise la documentación del proveedor y entreviste al personal a fin de controlar que se implemente una criptografía sólida para la tecnología usada de acuerdo con las mejores prácticas de la industria y las recomendaciones del proveedor |
Las organizaciones pueden usar EnCase®
Cybersecurity y EnCase® Analytics para comparar los servicios y puertos para determinar que
telnet y otros comandos inseguros de acceso remoto no están disponibles para access.
En muchos casos, EnCase® Cybersecurity
también puede auditar por uso criptográfico pesado en archivos de los
dispositivos.
|
2.4 Lleve un inventario de los componentes del sistema que están dentro del alcance de las PCI DSS.
|
2.4.a Revise el
inventario del sistema para verificar que haya una lista de componentes del hardware y del
software con una descripción de la
función/uso de cada componente.
2.4.b Entreviste al
personal y verifique que el inventario esté
actualizado.
|
EnCase® Cybersecurity y EnCase®
Enterprise pueden asistir a organizaciones y auditores de PCI para generar
una lista de componentes de hardware y software que en realidad son usados en
servidores y dispositivos.
Los Servicios Profesionales de
Guidance Software pueden asistir a los clientes en el desarrollo de
metodologías para asegurar que el inventario documentado se mantenga al
corriente.
|
2.5 Asegúrese de que las políticas
de seguridad y los procedimientos operativos para administrar los parámetros predeterminados del proveedor y otros parámetros de seguridad estén documentados, implementados y que sean de conocimiento para todas las partes afectadas.
|
2.5 Revise la documentación, entreviste al
personal y verifique que las políticas
de seguridad y los procedimientos operativos
para administrar los parámetros predeterminados del proveedor y otros parámetros de seguridad cumplen con
lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que las políticas de seguridad y
procedimientos operacionales para manejar los vendors preestablecidos y otros
parámetros de seguridad son:
- Documentados - En uso y sabido por todas las partes correspondientes |
Requisito 3: Proteja los datos del
titular de la tarjeta que fueron almacenados
|
||
3.1 Almacene la menor cantidad
posible de datos del titular de la
tarjeta implementando políticas,
procedimientos y procesos de retención
y eliminación de datos que incluyan,
al menos, las siguientes opciones para
el almacenamiento de CHD (datos del titular de la tarjeta):
• Limitación del almacenamiento
de datos y del tiempo de retención a
la cantidad exigida por los
requisitos legales, reglamentarios y
del negocio • Procesos para eliminar
datos de manera cuando ya no se
necesiten
• Requisitos de retención
específicos para datos de titulares de
tarjetas
• Un proceso trimestral para
identificar y eliminar, de manera segura, los
datos del titular de la tarjeta
almacenados que excedan la
retención definida.
|
3.1.c Para obtener
una muestra de los componentes del
sistema que almacenan datos del titular de la tarjeta: • Revise los archivos y los registros del
sistema para verificar que los datos
almacenados no superen los requisitos
definidos en la política de retención de datos.
• Observe el mecanismo de eliminación
y verifique que los datos se eliminen
de manera segura.
|
Las organizaciones pueden usar EnCase®
Cybersecurity y EnCase® eDiscovery para examinar archivos y récords del sistema para verificar que
los datos almacenados no excedan los requerimientos definidos en la política
de retención de datos. Adicionalmente, EnCase® Cybersecurity puede eliminar
archivos de manera segura y récords de sistema que excedan las políticas de
retención de datos o, de otra forma, fuera de cumplimiento.
|
3.2 No almacene datos
confidenciales de autenticación
después de recibir la autorización
(aun cuando estén cifrados). Si se
reciben datos de autenticación
confidenciales, convierta todos los
datos en irrecuperables al finalizar
el proceso de autorización. Es posible
que los emisores de tarjetas y las empresas que respaldan los servicios de emisión almacenen datos de autenticación confidenciales en los siguientes casos:
• Si existe una justificación de
negocio.
• Si los datos se almacenan de
forma segura.
Los datos confidenciales de autenticación incluyen los datos mencionados en los requisitos 3.2.1 a 3.2.3, establecidos a continuación:
|
3.2.b En el caso de
los emisores de tarjetas o las empresas
que respaldan servicios de emisión y almacenan datos de autenticación confidenciales, revise los
almacenamientos de datos y la
configuración del sistema para verificar que los datos de autenticación confidenciales estén
protegidos.
3.2.c En el caso de
otras entidades, si se reciben datos de
autenticación confidenciales, revise las políticas y los procedimientos, y revise la configuración
del sistema a fin de verificar que los
datos no se conservan después de la
autorización.
3.2.d En el caso de
otras entidades, si se reciben datos de
autenticación confidenciales, revise los procedimientos y analice los procesos de eliminación segura
de datos a fin de verificar que los
datos sean irrecuperables.
|
Las organizaciones pueden usar EnCase®
Cybersecurity y EnCase® eDiscovery para examinar archivos almacenados y records de sistema para
verificar que los datos están debidamente asegurados.
EnCase® Cybersecurity y EnCase® eDiscovery pueden verificar
que los datos sensibles no sean retenidos después de la autorización.
Adicionalmente, EnCase® Cybersecurity
puede eliminar de manera segura archivos y récords de sistema que excedan las
políticas de retención de datos o, de otra manera estén fuera de norma.
|
3.2.1 No almacene contenido
completo de ninguna pista de la
banda magnética (ubicada en el reverso
de la tarjeta, datos equivalentes que
están en un chip o en cualquier
otro dispositivo). Estos datos se
denominan alternativamente, pista
completa, pista, pista 1, pista 2 y
datos de banda magnética.
Nota: En el transcurso normal de los negocios, es posible que se deban retener los siguientes elementos de datos de la banda magnética: • El nombre del titular de la tarjeta
• Número de cuenta principal (PAN)
• Fecha de vencimiento
• Código de servicio
Para minimizar el riesgo, almacene solamente los elementos de datos que sean necesarios para el negocio.
|
3.2.1 En el caso de la muestra de
componentes del sistema, revise las
fuentes de datos, incluido, a modo de ejemplo, lo siguiente y verifique que el contenido
completo de cualquier pista de la
banda magnética en el reverso de la tarjeta o
cualesquiera datos almacenados en un chip no se almacenen después de la autorización: • Datos de transacciones entrantes
• Todos los registros (por ejemplo,
transacciones, historiales,
depuración, error)
• Archivos de historial
• Archivos de seguimiento
• Esquemas de bases de datos
• Contenidos de bases de datos
|
Organizaciones pueden usar EnCase®
Cybersecurity y EnCase Enterprise para verificar que los contenidos de cualquier track de la
cinta magnética en el anverso de la tarjeta o datos equivalentes en un chip
no sean retenidos después de la autorización.
EnCase® Cybersecurity y EnCase® Enterprise pueden auditar
datos de transacciones almacenadas, logs, archivos
de historial, registro y archivos de caché y otros archivos para estos datos.
|
3.2.2 No almacene el valor ni el
código de validación de tarjetas
(número de tres o cuatro dígitos
impreso en el anverso o reverso de una
tarjeta de pago) que se utiliza para
verificar las transacciones de
tarjetas ausentes.
|
3.2.2 En el caso de la muestra de componentes
del sistema, revise las fuentes de
datos, incluido, a modo de ejemplo, lo
siguiente y verifique que el código o el valor de verificación de la tarjeta de tres o de cuatro dígitos
impreso en el anverso de la tarjeta o
en el panel de firma (datos CVV2, CVC2, CID,
CAV2) no se almacene después de la autorización:
• Datos de transacciones
entrantes
• Todos los registros (por ejemplo,
transacciones, historiales,
depuración, error)
• Archivos de historial
• Archivos de seguimiento
• Esquemas de bases de datos
• Contenidos de bases de datos
|
Organizaciones pueden usar EnCase®
Cybersecurity y EnCase® eDiscovery para verificar que los componentes del sistema no están
almacenando los tres o cuatro dígitos de código de verificación de tarjeta o
el valor impreso en la parte frontal de la tarjeta o el panel de firma (CVV2,
CVC2, CID, CAV2 data) después de haber sido autorizada.
EnCase® Cybersecurity y EnCase® eDiscovery pueden auditar
datos de transacciones almacenadas, archivos de historial, registro y
archivos de caché temporales y otros archivos para este tipo de datos.
|
3.2.3 No almacene el número
de identificación personal (PIN) ni
el bloqueo del PIN cifrado.
|
3.2.3 En el caso de la muestra de los
componentes del sistema, revise las
fuentes de datos, incluido, a modo de
ejemplo, lo siguiente y verifique que los PIN y los bloqueos de PIN cifrados no se almacenen después de la
autorización:
• Datos de transacciones
entrantes
• Todos los registros (por ejemplo,
transacciones, historiales,
depuración, error)
• Archivos de historial
• Archivos de seguimiento
• Esquemas de bases de datos
• Contenidos de bases de datos
|
Organizaciones pueden usar EnCase®
Cybersecurity y EnCase® eDiscovery para verificar que componentes del sistema no estén almacenando
PINs o bloqueos de PIN encriptados después de la
autorización.
EnCase® Cybersecurity y EnCase® eDiscovery puede auditar
datos de transacciones almacenadas, registros, archivos de registro, logs, archivos temporales de caché y otros archivos para
este tipo de datos.
|
3.4 Convierta el PAN (número de
cuenta principal) en ilegible en
cualquier lugar donde se almacene
(incluidos los datos que se almacenen
en medios digitales portátiles, en
medios de copia de seguridad y en
registros) utilizando cualquiera de
los siguientes métodos:
• Valores hash de una vía basados
en criptografía sólida (el hash debe
ser del PAN completo)
• Truncamiento (los valores hash no
se pueden usar para reemplazar el segmento truncado del PAN)
• Tokens
y ensambladores de índices (los ensambladores
se deben almacenar de manera
segura).
• Criptografía sólida con procesos
y procedimientos asociados para
la administración de claves.
Nota: Para una persona malintencionada sería relativamente fácil reconstruir el PAN original si tiene acceso tanto a la versión truncada como a la versión en valores hash de un PAN. Si el entorno de una entidad tiene versiones en valores hash y truncadas del mismo PAN (número de cuenta principal), se deben implementar controles adicionales para asegurar que las versiones en valores hash y truncadas no se puedan correlacionar para reconstruir el PAN original.
|
3.4.a Revise la documentación sobre el
sistema utilizado para proteger el PAN
(número de cuenta principal), que incluye el
proveedor, el tipo de sistema/proceso y los algoritmos de cifrado (si corresponde), y verifique que
el PAN (número de cuenta principal)
quede ilegible usando uno de los siguientes
métodos:
• Valores hash de una vía en
criptografía sólida
• Truncamiento
• Token y
ensambladores de índices (los ensambladores se deben almacenar de manera segura).
• Criptografía sólida con procesos y
procedimientos de administración de
claves asociados.
3.4.c Evalúe una muestra de medios extraíbles (como copias de seguridad en cintas) para confirmar que el PAN (número de cuenta principal) sea ilegible.
3.4.d Evalúe una
muestra de los archivos de auditoría para
confirmar que el PAN (número de cuenta principal) queda ilegible o es eliminado de los registros.
|
EnCase® Cybersecurity puede usarse para
auditar archivos con un nivel alto de criptografía en dispositivos y
verificar que el PAN es convertido a ilegible en un log u otro tipo de
archivo.
|
3.4.1 Si se utiliza el cifrado de
disco (en lugar de un cifrado de base
de datos por archivo o columna), se
debe administrar un acceso lógico independiente y por separado de los mecanismos de autenticación y control de acceso del sistema operativo nativo (por ejemplo, no se deben utilizar bases de
datos de cuentas de usuarios locales
ni credenciales generales de inicio de
sesión de la red). Las claves de
descifrado no deben estar asociadas
con las cuentas de usuarios.
|
3.4.1.c Revise las
configuraciones y observe los procesos a
fin de verificar que los datos del titular de la tarjeta almacenados en medios extraíbles se cifren
en cualquier lugar donde se
almacenen.
Nota: Si
no se utiliza el cifrado de disco para cifrar medios extraíbles, los datos almacenados en estos
medios deberán quedar ilegibles
mediante algún otro método.
|
EnCase® Cybersecurity y EnCase® eDiscovery pueden auditar y
verificar que los datos del titular de tarjeta en un medio removible esté
encriptado donde sea que se guarde.
Si la encriptación de disco no es
usada para encriptar medios removibles, EnCase® Cybersecurity y EnCase® eDiscovery puede verificar
que los datos estén convertidos a ilegibles mediante cualquier otro método.
|
3.7 Asegúrese de que las políticas
de seguridad y los procedimientos operativos para proteger los datos del titular de la tarjeta almacenados
estén documentados, implementados y
que sean de conocimiento para todas
las partes afectadas.
|
3.7 Revise la documentación y entreviste al
personal para verificar que las
políticas de seguridad y los procedimientos
operativos para proteger los datos del titular de la tarjeta cumplan con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas.
|
Los Servicios Profesionales de Guidance Software pueden ayudar a que las políticas de
seguridad y los procedimientos
operativos para proteger los datos del titular de la tarjeta cumplan con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las partes
afectadas.
|
En nuestro próximo artículo de la serie, vamos a seguir buscando en la próxima serie de requisitos de cumplimiento de PCI DSS V3. La intención es ayudar a las organizaciones a entender cómo EnCase® puede reducir la complejidad del cumplimiento de PCI y ayudar con la práctica en la ejecución de los requisitos.
- T. Grey, Ingeniero de Ventas Para Latinoamérica, Guidance Software
Si desea una demostración de cómo EnCase puede ayudar con el cumplimiento, combatir el fraude, o de respuesta a incidentes de malware, no dude en ponerse en contacto con el equipo de ventas ( sales-LatAm@encase.com )
RELACIONADOS
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario