Entonces, veamos el
primer set de porciones de los estándares de cumplimiento en los que EnCase® puedes ayudar con esta variedad de
organizaciones. Nuevamente veremos los requerimientos específicos enfocándonos
“estándar por estándar”.
REQUISITOS DE LAS PCI DSS*
|
PROCEDIMIENTO DE PRUEBA*
|
Cómo EnCase® Puede Ayudar
|
Requisito 4: Cifrar la transmisión
de los datos del titular de la tarjeta en las redes públicas abiertas.
|
||
4.1 Utilice cifrado sólido y
protocolos de seguridad (por ejemplo,
SSL/TLS, IPSEC, SSH, etc.) para
proteger los datos confidenciales del
titular de la tarjeta durante la
transmisión por redes públicas
abiertas, como por ejemplo, las siguientes:
• Solo se aceptan claves y
certificados de confianza.
• El protocolo implementado
solo admite configuraciones o
versiones seguras.
• La solidez del cifrado es la
adecuada para la metodología de
cifrado que se utiliza.
Ejemplos de redes públicas
abiertas incluyen, entre otras, las
siguientes:
• La Internet
• Tecnologías inalámbricas, incluso 802.11 y Bluetooth
• Tecnología celular, por
ejemplo, GSM (sistema global de comunicación móviles), CDMA (acceso múltiple por división de código)
• Servicio de radio paquete
general (GPRS)
• Comunicaciones satelitales
|
4.1.a Identifique
todas las ubicaciones donde se transmiten o
reciben datos del titular de la tarjeta en redes públicas
abiertas.
|
Organizaciones pueden usar EnCase®
Cybersecurity para identificar, auditar y verificar todas las locaciones
desde donde los datos del titular de tarjeta han sido transmitidos mediante
redes abiertas o públicas.
|
4.1.1 Asegúrese de que las
redes inalámbricas que transmiten los
datos del titular de la tarjeta o que
están conectadas al entorno de datos
del titular de la tarjeta utilicen las
mejores prácticas de la industria (por
ejemplo, IEEE 802.11i) a fin de
implementar un cifrado sólido para
transmitir y autenticar.
Nota: Se prohíbe el uso de WEP como control
de seguridad.
|
4.1.1 Identifique todas las redes
inalámbricas que transmitan datos del
titular de la tarjeta o que estén conectados al entorno de datos del titular de la tarjeta.
Revise las normas documentadas y
compárelas con los parámetros de
configuración del sistema para verificar las siguientes opciones en todas las redes inalámbricas
identificadas:
• Se usan las mejores prácticas de la
industria (por ej., IEEE 802.11i) para
implementar un cifrado sólido para la
autenticación y la transmisión.
• No se usa el cifrado débil (por ej.,
WEP, SSL versión 2.0 o anterior) como
control de seguridad para la
autenticación y la transmisión.
|
Organizaciones pueden usar EnCase®
Cybersecurity para identificar todas las redes inalámbricas transmitiendo
datos del titular de tarjeta o conectados al entorno del mismo.
|
4.2 Nunca debe enviar PAN no
cifrados
por medio de tecnologías de
mensajería
de usuario final (por ejemplo, el
correo
electrónico, la mensajería
instantánea, el
chat, etc.).
|
4.2.a Si se utilizan tecnologías de
mensajería de usuario final
para enviar los datos del titular de
la tarjeta, evalúe los
procesos de envío del PAN (número de
cuenta principal),
revise la muestra de las
transmisiones salientes a medida que
ocurren y verifique que el PAN
(número de cuenta principal)
quede ilegible o que esté protegido
mediante criptografía sólida
cuando se lo envía a través de
tecnologías de mensajería de
usuario final.
4.2.b Revise las políticas escritas y verifique que exista una
política que establezca que los PNA
(número de cuenta
principal) no protegidos no se deben
enviar por medio de
tecnologías de mensajería de usuario final.
|
EnCase® Cybersecurity and EnCase®
eDiscovery para asegurar el cumplimiento de las
normas PCI actualizados para auditar a las normas, así como datos
confidenciales de los usuarios que han sido almacenados en los registros,
correos electrónicos, SharePoint o la nube.
|
4.3 Asegúrese de que las políticas
de seguridad y los procedimientos operativos para cifrar las
transmisiones de los datos del titular
de la tarjeta estén documentados,
implementados y que sean de
conocimiento para todas las partes
afectadas.
|
4.3 Revise la documentación, entreviste al
personal y verifique que las políticas
de seguridad y los procedimientos operativos
para cifrar las transmisiones de los datos del titular de la
tarjeta cumplen con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas
|
Los Servicios Profesionales de Guidance Software pueden verificar que las políticas de
seguridad y los procedimientos operativos
para cifrar las transmisiones de los datos del titular de la
tarjeta cumplen con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas
|
Requisito 5: Proteger todos los sistemas
contra malware y actualizar los programas o software antivirus regularmente
|
||
5.1 Implemente un software
antivirus en
todos los sistemas que,
generalmente,
se ven afectados por software
malicioso
(en especial, computadoras
personales y
servidores).
|
5.1 En el caso de la muestra de componentes
del sistema que
incluya todos los tipos de sistemas
operativos comúnmente
afectados por software malicioso,
verifique que se haya
implementado software antivirus si
existe la correspondiente
tecnología antivirus.
|
Organizaciones y auditores de PCI
usando EnCase® Cybersecurity pueden auditar dispositivos para verificar que el
software de antivirus esté configurado para correr en cada terminal y
examinar llaves de registro para determinar opciones específicas de
configuración. Las organizaciones pueden rápidamente verificar el estado
actual del antivirus en cada dispositivo incluyendo dispositivos de los
empleados en lugar de simples ejemplos para asegurar que las muestras del
auditor no incluyan los dispositivos.
|
5.1.2 Para aquellos sistemas que
no suelen verse afectados por
software maliciosos, lleve a cabo
evaluaciones periódicas para
identificar y evaluar las amenazas de
malware que pueden aparecer a fin de
determinar si es necesario o no
implementar un software antivirus en
dichos sistemas
|
5.1.2 Entreviste al personal para verificar
que se supervisan y evalúan las
amenazas de malware en aquellos sistemas que
no suelen verse afectados por software maliciosos a fin de determinar si es necesario o no implementar
un software antivirus en dichos
sistemas.
|
EnCase® Cybersecurity puede
identificar amenazas de malware desconocido como comparación a una buena
configuración conocida.
Los Servicios Profesionales de
Guidance Software pueden ayudar a entrevistar al personal para verificar que
la amenaza del malware en evolución son monitoreadas
y evaluadas para los sistemas.
|
5.2 Asegúrese de que los mecanismos
de antivirus cumplan con lo siguiente:
• Estén actualizados.
• Ejecuten análisis periódicos.
• Generen registros de auditoría
que se guarden de conformidad con el Requisito 10.7 de las PCI DSS.
|
5.2.a Revise las políticas y los
procedimientos para verificar que las
definiciones y el software antivirus exijan
actualizaciones
5.2.b Revise las configuraciones de antivirus, incluso la instalación maestra del software, para verificar lo siguiente en los mecanismos de antivirus:
• Estén configurados para realizar
actualizaciones automáticas.
• Estén configurados para realizar
análisis periódicos.
5.2.c Revise una
muestra de los componentes del sistema,
incluso todos los tipos de sistemas operativos comúnmente afectados por software malicioso, a fin de
controlar lo siguiente: • Las
definiciones y el software antivirus estén actualizados.
• Se realicen análisis
periódicos.
5.2.d Revise las
configuraciones de antivirus, incluso la
instalación maestra del software y una muestra de los componentes del sistema, para verificar lo
siguiente:
• La generación de registro de software antivirus esté habilitada.
• Los registros se conserven de
acuerdo con el Requisito 10.7 de las PCI DSS.
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar dispositivos para
verificar fechas de la última actualización de definiciones del antivirus
para muchas de las aplicaciones de los antivirus como también a las llaves de
registro para realizar actualizaciones automáticas y escaneos periódicos si
están disponibles.
EnCase® Cybersecurity puede también
auditar un colectivo de registros de antivirus.
|
5.3 Asegúrese de que los
mecanismos de antivirus funcionen
activamente y que los usuarios no
puedan deshabilitarlos ni alterarlos,
salvo que estén específicamente
autorizados por la gerencia en casos
particulares y durante un período
limitado.
Nota: Las soluciones de antivirus se pueden desactivar temporalmente, pero solo si existe una necesidad técnica legítima como en el caso de la autorización de la gerencia en casos particulares. Si es necesario desactivar la protección de antivirus por un motivo específico, se debe contar con una autorización formal. Es posible que sea necesario implementar medidas de seguridad adicionales en el período en que no esté activa la protección de antivirus
|
5.3.a Revise las
configuraciones de antivirus, incluso la
instalación maestra del software y una muestra de los componentes del sistema, para verificar que
el software antivirus funcione
activamente.
5.3.b Revise las configuraciones de antivirus, incluso la instalación maestra del software y una muestra de los componentes del sistema, para verificar que los usuarios no puedan deshabilitar ni modificar el software antivirus. |
Organizaciones y auditores de PCI
usando EnCase® Cybersecurity pueden rápidamente auditar dispositivos para
verificar que el software del antivirus está configurado para correr en cada
dispositivo y examinar las llaves de registro para determinar opciones de
configuración específicas.
Las organizaciones pueden rápidamente
verificar el estado actual del antivirus en cada dispositivo incluyendo los
dispositivos propios de los empleados en lugar de simplemente una muestra
para asegurar que las muestras del auditor no incluyen dispositivos que
posiblemente puedan estar fuera de cumplimiento.
|
5.4 Asegúrese de que las políticas
de seguridad y los procedimientos operativos que protegen los sistemas estén documentados, implementados y que sean de conocimiento para todas
las partes afectadas.
|
5.4 Revise la documentación y entreviste al
personal para verificar que las
políticas de seguridad y los procedimientos
operativos que protegen el sistema contra malware cumplen con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que las políticas de seguridad y
procedimientos operacionales contra el malware sean:
- Documentados - En uso y sabidos por todas las partes afectadas |
Requisito 6: Desarrolle y mantenga
sistemas y aplicaciones seguras
|
||
6.1 Establezca un proceso para
identificar las vulnerabilidades de
seguridad por medio de fuentes
externas conocidas para obtener
información sobre las vulnerabilidades de seguridad, y asigne una clasificación
de riesgo (por ejemplo, “alto”,
“medio” o “bajo”) a las
vulnerabilidades de seguridad
recientemente descubiertas.
Nota: Las clasificaciones de riesgo se deben basar en las mejores prácticas de la
industria y en el posible impacto. Por
ejemplo, en los criterios para clasificar
las vulnerabilidades, se puede tener
en cuenta la puntuación base CVSS, la
clasificación del proveedor o el tipo de
sistema afectado. Los métodos para
evaluar las vulnerabilidades y asignar
las clasificaciones de riesgo varían
según el entorno y la estrategia de
evaluación de riesgos de la organización.
Las clasificaciones de riesgo deben
identificar, mínimamente, todas las vulnerabilidades
que se consideren de “alto riesgo”
para el entorno. Además de la clasificación
de riesgos, las vulnerabilidades se
pueden considerar “críticas” si suponen una amenaza inminente para el entorno, si afectan los sistemas o si generan un posible
riesgo si no se contemplan. Algunos ejemplos de sistemas críticos son los
sistemas de seguridad, los dispositivos y sistemas públicos, las bases de datos y
otros sistemas que almacenan, procesan
o transmiten datos del titular de la
tarjeta.
|
6.1.a Revise las políticas y los
procedimientos y verifique que los
procesos estén definidos para realizar lo siguiente:
• Identificar nuevas vulnerabilidades
de seguridad.
• Asignar una clasificación de riesgo
a las vulnerabilidades en la que se
identifiquen todas las
vulnerabilidades de “alto riesgo” y “críticas”.
• Usar fuentes externas conocidas para
obtener información sobre las
vulnerabilidades de seguridad.
6.1.b Entreviste al personal y observe el proceso para verificar lo siguiente:
• Se identifiquen nuevas
vulnerabilidades de seguridad.
• Se asigne una clasificación de
riesgo a las vulnerabilidades que
identifique todas las vulnerabilidades
de “alto riesgo” y “críticas”.
• Los procesos que identifican las
nuevas vulnerabilidades de seguridad
incluyen usar fuentes externas
conocidas para obtener información sobre
vulnerabilidades de seguridad.
|
Organizaciones y auditores de PCI
usando EnCase® Cybersecurity pueden rápidamente auditar dispositivos en busca
de vulnerabilidades de seguridad para incluir dispositivos que puedan estar
fuera de cumplimiento.
|
6.2 Asegúrese de que todos los
software y
componentes del sistema tengan
instalados
parches de seguridad
proporcionados por los
proveedores que ofrecen protección
contra
vulnerabilidades conocidas. Instale los
parches importantes de seguridad
dentro de
un plazo de un mes de su lanzamiento.
Nota: Los parches de seguridad críticos se
deben identificar de conformidad con el
proceso de clasificación de riesgos definido
en el Requisito 6.1.
|
6.2.a Revise las políticas y los
procedimientos de
instalación de parches de seguridad a
fin de verificar que
los procesos estén definidos para
realizar lo siguiente:
• Instalación de parches de seguridad
críticos
proporcionados por el proveedor
dentro del mes del
lanzamiento.
• Instalación de todos los parches de
seguridad
proporcionados por el proveedor en un
período
coherente (por ejemplo, en un período de tres meses).
6.2.b En el caso de una muestra de los componentes del
sistema y del software relacionado,
compare la lista de
parches de seguridad instalados en
cada sistema con la
última lista de parches de seguridad
proporcionados por el
proveedor para verificar lo
siguiente:
• Los parches de seguridad críticos
correspondientes
proporcionados por el proveedor se
instalen dentro del
mes del lanzamiento.
• Todos los parches de seguridad correspondientes
proporcionados por el proveedor se
instalen en un
período específico (por ejemplo, en
un plazo de tres
meses).
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar dispositivos para
verificar el nivel del parche de seguridad en cada dispositivo. Las
organizaciones pueden rápidamente verificar el estado actual de los parches
en cada dispositivo incluyendo los dispositivos propios de los empleados en
lugar de una simple muestra para asegurar que las muestras de los auditores
no incluyan dispositivos que puedan estar fuera de cumplimiento.
|
6.5.10 Autenticación y
administración de sesión
interrumpidas
Nota: El Requisito 6.5.10 se considera la mejor práctica hasta el 30 de junio de 2015
y, a partir de ese momento, se
convertirá en requisito.
|
6.5.10 Revise las políticas y los
procedimientos de desarrollo de
software y entreviste al personal
responsable a fin de verificar que la autenticación y la administración de sesión interrumpidas se
aborden con técnicas de codificación
que, generalmente, incluyen lo
siguiente:
• Marcas de tokens
de sesión (por ejemplo, cookies) como
“seguros”.
• No exposición de las ID de la sesión
en el URL.
• Incorporación de tiempos de espera
apropiados y rotación de las ID de la
sesión después de iniciar sesión
satisfactoriamente.
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar artefactos de internet
en un entorno de prueba como cookies, URLs y parámetros de URL.
|
Requisito 7: Restrinja el acceso a
los datos del titular de la tarjeta según la necesidad de saber que tenga la
empresa
|
||
7.1 Limite el acceso a los componentes del sistema y a los datos del titular de la tarjeta a aquellos individuos cuyas tareas necesitan de ese acceso.
|
7.1 Revise las políticas escritas para el
control de acceso y verifique que
incorporen los Requisitos 7.1.1 al 7.1.4 de la siguiente manera:
• Definición de las necesidades de
acceso y asignación de privilegios de
cada función.
• Restricción de acceso de usuarios
con ID privilegiadas a la menor
cantidad de privilegios necesarios para llevar a cabo las responsabilidades del trabajo.
• Asignación de acceso según la tarea,
la clasificación y la función de cada
persona.
• Aprobación documentada (por escrito
o electrónicamente) de las partes
autorizadas para todos los accesos, que incluye la lista de los privilegios específicos
aprobados.
|
Los Servicios Profesionales de
Guidance Software pueden ayudarte a verificar que las políticas que incorporan
las versiones 7.1.1 hasta 7.1.4 lo hacen de esta manera:
<![if !supportLists]>·
<![endif]>Definiendo las necesidades de
acceso y asignaciones con privilegio para cada rol.
<![if !supportLists]>·
<![endif]>Restricción de acceso a usuarios
con ID privilegiadas a usuarios menos privilegiados para realizar responsabilidades
del trabajo.
<![if !supportLists]>·
<![endif]>Asignación de acceso basado en
la clasificación individual del trabajo del personal y su función.
La aprobación de documentos
(electrónicamente o por escrito) por partes autorizadas para acceso completo,
incluyendo un listado de privilegios específicos aprobados.
|
7.3 Asegúrese de que las
políticas de seguridad y los
procedimientos operativos para
restringir el acceso a los datos del
titular de la tarjeta estén
documentados, implementados y que sean
de conocimiento para todas las
partes afectadas.
|
7.3 Revise la documentación, entreviste al
personal y verifique que las políticas
de seguridad y los procedimientos operativos
para restringir el acceso a los datos del titular de la tarjeta cumplan con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que las políticas de seguridad y
procedimientos operacionales para la restricción de acceso a los datos del
titular de tarjeta son:
- Documentados - En uso y sabido por todas las partes afectadas |
Requisito 8: Identificar y
autenticar el acceso a los componentes del sistema
|
||
8.1.2 Controle la incorporación,
la eliminación y la modificación de
las ID de usuario, las credenciales y
otros objetos de identificación
|
8.1.2 En el caso de una muestra de ID de
usuarios privilegiados e ID de
usuarios generales, evalúe las
autorizaciones asociadas y observe los parámetros del sistema a fin de verificar que todas las ID
de usuarios y las ID de usuarios
privilegiados se hayan implementado solamente
con los privilegios especificados en la aprobación documentada.
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar dispositivos para
verificar que cada ID de usuario e ID de usuario privilegiado ha sido
implementado con sólo los privilegios especificados en la aprobación
documentada.
|
8.1.3 Cancele de inmediato el
acceso a cualquier usuario cesante
|
8.1.3.a Seleccione
una muestra de los usuarios cesantes en
los últimos seis meses y revise las listas de acceso de usuarios actuales, tanto para acceso local
como remoto, para verificar que sus ID
se hayan desactivado o eliminado de las
listas de acceso.
8.1.3.b Verifique que todos los métodos de
autenticación físicos, como tarjetas
inteligentes, tokens, etc., se hayan devuelto o desactivado
|
Organizaciones y auditores de PCI que
usan EnCase® Analytics pueden rápidamente auditar dispositivos para verificar
que usuarios despedidos no hayan estado accediendo a dispositivos o hayan
sido restablecidos.
|
8.1.4 Elimine o inhabilite las
cuentas de usuario inactivas, al
menos, cada 90 días.
|
8.1.4 Observe las cuentas de usuarios y
verifique que se eliminen o
inhabiliten las que lleven más de 90 días inactivas.
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity y EnCase® Analytics pueden rápidamente auditar
dispositivos para verificar que los usuarios despedidos no hayan estado
teniendo acceso a dispositivos y no hayan sido restablecidos.
|
8.1.5 Administre las ID que usan
los proveedores para acceder,
respaldar o mantener los componentes
del sistema de manera remota de la
siguiente manera:
• Se deben habilitar solamente durante el tiempo que se necesitan e inhabilitar cuando no se usan.
• Se deben monitorear mientras
se usan.
|
8.1.5.a Entreviste al personal y observe los
procesos de administración de cuentas
que usan los proveedores para acceder,
respaldar o mantener los componentes del sistema a fin de verificar que las cuentas que usan
los proveedores para acceder de manera
remota cumplen con lo siguiente:
• Se inhabilitan cuando no se
usan.
• Se habilitan solo cuando el
proveedor las necesita y se
deshabilitan cuando no se usan.
8.1.5.b Entreviste al personal y observe los procesos para verificar que se monitoreen las cuentas de acceso remoto de los proveedores mientras se utilizan. |
Organizaciones y auditores de PCI
usando EnCase® Cybersecurity y EnCase® Analytics pueden rápidamente auditar el
nivel del dispositivo para verificar que las cuentas de usuario usadas por
los vendors para acceder, servir de apoyo o mantener componentes del sistema que
estén deshabilitados cuando no están en uso y habilitados únicamente cuando
sean requeridos por el vendor.
|
8.1.6 Limite los intentos de
acceso repetidos mediante el bloqueo
de la ID de usuario después de más de
seis intentos.
|
8.1.6.a En el caso
de una muestra de componentes del
sistema, inspeccione los parámetros de configuración del sistema para verificar que los parámetros
de autenticación se encuentren
configurados de manera que se solicite que se
bloquee la cuenta del usuario después de realizar, como máximo, seis
intentos de inicio de sesión no válidos.
8.1.6.b Procedimientos de pruebas adicionales para los proveedores de servicios: Revise los procesos internos y la documentación del cliente/usuario y observe los procesos implementados a fin de verificar que las cuentas de usuarios no consumidores se bloqueen de forma temporal después de realizar, como máximo, seis intentos no válidos de acceso. |
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar las llaves de registro
para requerir que esas cuentas de usuario sean bloqueadas luego de seis
intentos de inicio de sesión inválidos y que las cuentas de los no
consumidores estén bloqueadas temporalmente luego de no más de seis intentos
de inicio de sesión fallidos.
|
8.1.8 Si alguna sesión estuvo
inactiva durante más de 15 minutos,
solicite al usuario que vuelva a
escribir la contraseña para activar la
terminal o la sesión nuevamente.
|
8.1.8 En el caso de una muestra de
componentes del sistema, inspeccione
los parámetros de configuración del sistema para verificar que las funciones de tiempo
máximo de inactividad del sistema/sesión
se encuentren establecidos en 15 minutos
o menos
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar llaves de registro que
requieran que el límite de tiempo de sistema/sesión hayan
estado ajustado a 15 minutos o menos.
|
8.2.1 Deje ilegibles todas
las credenciales de autenticación
(como contraseñas/frases) durante
la transmisión y el almacenamiento
en todos los componentes del
sistema mediante una criptografía
sólida.
|
8.2.1.a Evalúe la
documentación del proveedor y los
parámetros de configuración del sistema para verificar que las contraseñas se protegen durante la
transmisión y el almacenamiento
mediante una criptografía sólida.
8.2.1.b En el caso de una muestra de componentes del sistema, revise los archivos de las contraseñas para verificar que sean ilegibles durante el almacenamiento.
8.2.1.c En el caso
de una muestra de los componentes del
sistema, revise la transmisión de datos para verificar que las contraseñas sean ilegibles durante la
transmisión.
8.2.1.d Procedimientos de pruebas
adicionales para los proveedores de
servicios: Observe los archivos de contraseñas y verifique que las contraseñas
de los clientes sean ilegibles durante
el almacenamiento. 8.2.1.e
Procedimientos de pruebas adicionales para los proveedores de servicios: Observe los
archivos de contraseñas y verifique
que las contraseñas de los clientes
sean ilegibles durante la transmisión.
|
Organizaciones y auditores de PCI
usando EnCase® Cybersecurity pueden rápidamente auditar archivos de contraseña
y verificar que las contraseñas sean ilegibles durante el almacenamiento y
que los proveedores de servicio verifiquen que las contraseñas de los
clientes son ilegibles durante el
almacenamiento.
|
8.2.3 Las contraseñas/frases
deben tener lo siguiente:
• Una longitud mínima de siete caracteres.
• Combinación de caracteres numéricos y alfabéticos. De manera alternativa, la contraseña/frase debe tener una complejidad y una solidez, al menos, equivalente a los parámetros que se especifican anteriormente.
|
8.2.3a En el caso de una muestra de los
componentes del sistema, inspeccione
los parámetros de configuración del
sistema para verificar que los parámetros de la contraseña del usuario se encuentren configurados de
manera que soliciten, al menos, la
siguiente solidez o complejidad:
• Una longitud mínima de siete
caracteres.
• Combinación de caracteres numéricos
y alfabéticos.
8.2.3.b Procedimientos de pruebas adicionales para los proveedores de servicios: Revise los procesos internos y la documentación del cliente/usuario para verificar que se solicite que las contraseñas de usuarios no consumidores cumplan, al menos, con la siguiente solidez o complejidad:
• Una longitud mínima de siete
caracteres.
• Combinación de caracteres numéricos
y alfabéticos.
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar llaves de registro para
requerir que los parámetro de las contraseñas de los usuarios estén fijadas
para requerir por lo menos el siguiente nivel de fuerza/complejidad:
- Requerir un mínimo de por lo menos siete caracteres. - Contener caracteres tanto numéricos como alfabéticos. |
8.2.4 Cambie la contraseña/frase
de usuario, al menos, cada 90 días.
|
8.2.4.a En el caso de una muestra de componentes
del sistema, inspeccione los
parámetros de configuración del
sistema para verificar que los parámetros de las contraseñas de usuario se encuentren configurados de
manera que se le solicite al usuario
cambiar su contraseña, al menos, cada
90 días.
<![if !supportLineBreakNewLine]> <![endif]> |
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar llaves de registro para
requerir que los parámetros de las contraseñas de usuarios estén fijadas para
requerir que los usuarios cambien su contraseña por lo menos cada 90 días.
|
8.2.5 No permita que una
persona envíe una contraseña/frase
nueva que sea igual a cualquiera de
las últimas cuatro contraseñas/frases
utilizadas
|
8.2.5.a En el caso
de una muestra de componentes del
sistema, obtenga e inspeccione los parámetros de configuración del sistema para verificar
que los parámetros de las contraseñas
se encuentren configurados para que soliciten
que las nuevas contraseñas no sean iguales a las últimas cuatro contraseñas utilizadas.
<![if !supportLineBreakNewLine]> <![endif]> |
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar llaves de registro para
requerir que los parámetros de la nueva contraseña no puedan ser las mismas
que las últimas cuatro contraseñas usadas.
|
8.2.6 Configure la primera contraseña/frase y las restablecidas
en un valor único para cada usuario
y cámbiela de inmediato después
del primer uso.
|
8.2.6 Revise los procedimientos de
contraseña y observe al personal de
seguridad para verificar que las primeras
contraseñas para nuevos usuarios, y las contraseñas restablecidas para usuarios existentes, se
configuren en un valor único para cada
usuario y se cambien después del
primer uso.
|
Organizaciones y auditores de PCI que
usan EnCase® Cybersecurity pueden rápidamente auditar las llaves de registro
para requerir que las contraseñas que sean restablecidas para usuarios
existentes, sean establecidas en un valor único para cada usuario y cambiado
después del primer uso.
|
8.4 Documente y comunique los
procedimientos y las políticas de
autenticación a todos los usuarios,
que
incluye lo siguiente:
• Lineamientos sobre cómo
seleccionar credenciales de
autenticación sólidas.
• Lineamientos sobre cómo los
usuarios deben proteger las
credenciales de autenticación.
• Instrucciones para no seleccionar
contraseñas utilizadas anteriormente.
• Instrucciones para cambiar
contraseñas si se sospecha que la
contraseña corre riesgos.
|
8.4.a Revise los procedimientos y entreviste
al personal para
verificar que los procedimientos y las
políticas de autenticación
se distribuyen a todos los usuarios
8.4.b Revise los procedimientos y las políticas de autenticación
que se le entregan a los usuarios y
verifique que incluyan lo
siguiente:
• Lineamientos sobre cómo seleccionar
credenciales de
autenticación sólidas.
• Lineamientos sobre cómo los usuarios
deben proteger las
credenciales de autenticación.
• Instrucciones para los usuarios para
que no seleccionen
contraseñas utilizadas anteriormente.
• Instrucciones para cambiar
contraseñas si se sospecha que
la contraseña corre riesgos.
8.4.c Entreviste a un grupo de usuarios y verifique que conozcan
los procedimientos y las políticas de autenticación.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que los procedimientos de
autentificación y políticas son distribuidas a todos los usuarios y que éstas
incluyen:
<![if !supportLists]>·
<![endif]>Guía en la selección de
credenciales de autentificación fuertes
<![if !supportLists]>·
<![endif]>Guía en cómo los usuarios
deberían proteger sus credenciales de autentificación
<![if !supportLists]>·
<![endif]>Instrucciones para que los
usuarios no re-utilicen contraseñas previamente utilizadas
<![if !supportLists]>·
<![endif]>Instrucciones para cambiar
contraseñas si hay alguna sospecha de que la contraseña pudiera estar
comprometida.
|
8.5 No use ID ni contraseñas de
grupo, compartidas ni genéricas, ni
otros métodos de autenticación de la
siguiente manera:
• Las ID de usuario genéricas
se deben desactivar o eliminar.
• No existen ID de usuario
compartidas para realizar actividades
de administración del sistema y demás
funciones críticas.
• Las ID de usuario compartidas
y genéricas no se utilizan para administrar componentes del sistema.
|
8.5.a
En el caso de una muestra de los componentes del sistema, revise las listas de ID de
usuarios y verifique lo
siguiente:
• Las ID de usuario genéricas se
deben desactivar o eliminar.
• No existen ID de usuario
compartidas para realizar actividades
de administración del sistema y demás funciones críticas.
• Las ID de usuario compartidas y
genéricas no se utilizan para administrar componentes del sistema.
8.5.c Entreviste a los administradores del sistema y verifique que las contraseñas de grupo y compartidas u otros métodos de autenticación no se distribuyan, incluso si se solicitan. |
Organizaciones y auditores de PCI
que usan EnCase® Cybersecurity pueden rápidamente auditar dispositivos usando nivel
de archivo para verificar lo siguiente:
- Los IDs genéricos de usuarios son deshabilitados o removidos - IDs compartidos para actividades de la administración de sistema y otras funciones críticas no existen - IDs de usuario genéricos o compartidos no son usados para administrar ningún componente del sistema
Adicionalmente, las organizaciones
pueden verificar cuales de las cuentas de usuario están siendo utilizadas
para entrar a recursos de sistema y red para determinar si las contraseñas o
IDs de usuario puedan haber sido compartidas.
|
* Copyright 2006-2014, PCI Security Standards Council LLC (en español: http://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf)
En nuestro próximo artículo de la serie, vamos a seguir buscando en la próxima serie de requisitos de cumplimiento de PCI DSS V3. La intención es ayudar a las organizaciones a entender cómo EnCase® puede reducir la complejidad del cumplimiento de PCI y ayudar con la práctica en la ejecución de los requisitos.
- T. Grey, Ingeniero de Ventas Para Latinoamérica, Guidance Software
Si desea una demostración de cómo EnCase puede ayudar con el cumplimiento, combatir el fraude, o de respuesta a incidentes de malware, no dude en ponerse en contacto con el equipo de ventas ( sales-LatAm@encase.com )
RELACIONADOS
No hay comentarios :
Publicar un comentario