En las primeras dos publicaciones de esta serie, comenzamos nuestra vista general con cómo EnCase puede asistir en análisis de primera persona o de terceros relacionado a los Estándares de Seguridad de Datos de la Industria Pagos por Tarjeta de Crédito (PCI DSS) citando directamente del estándar mismo. En esta última publicación, echaremos un vistazo a qué tipos de datos de cuenta del titular de la tarjeta EnCase eDiscovery combinado con EnCase Enterprise puede ayudar a encontrar para luego terminar nuestro vistazo estándar por estándar.
Como habíamos discutido en las partes 1 y 2 de esta serie, los
requerimientos para el cumplimiento de normas y estándares PCI DSS tienen una
dependencia del PAN (por sus siglas en inglés) o Número Primario de Cuenta.
EnCase ha predefinido formatos de tarjetas de crédito para que puedan ayudar a
organizaciones a buscar fácilmente los siguientes tipos de PANs.
Tarjetas de Tipo 1
|
|||
American Express
|
Visa
|
MasterCard
|
Discover Card
|
Diners Club
|
JCB
|
Maestro
|
Laser
|
InstaPayment
|
Solo
|
Switch
|
Visa Electron
|
Tarjetas de Tipo 2
|
|||
American Express
|
Visa
|
Diners Club/Carte Blanche
|
Diners Club International
|
Laser
|
Maestro
|
Tarjetas adicionales pueden ser buscadas usando formatos personalizados. Todos los formatos pueden ser fácilmente validados usando el algoritmo LUHN.
Además de los formatos de tarjetas de crédito que están predefinidas, formatos personalizados y criterios de búsqueda en EnCase pueden también
ayudar a encontrar documentos o entradas de registro que tengan información
adicional de los datos del titular de la tarjeta o requerimientos cubiertos
bajo PCI DSS que esté asociado con el número de cuenta primario. Esta
información puede incluir nombres del titular de la tarjeta, PINs y otros datos
que usualmente están almacenados en la cinta magnética de la tarjeta de
crédito. Miles de clientes de EnCase también buscan rutinariamente datos
sensibles localizados en servidores con salida a internet, auditar
software/hardware & parches, identificar archivos encriptados y entender
las conexiones remotas a varias computadoras. Muchas de estas tareas
adicionales también pueden ser encontradas en los estándares de cumplimiento
PCI DSS y muchos de estos requerimientos están referenciados en esta serie de
publicaciones de blog.
Entonces, ahora veamos este último set de estándares de cumplimiento con
los que EnCase puede ayudar a varios tipos de organizaciones. Nuevamente
veremos a los requerimientos específicos usando un acercamiento de “estándar
por estándar” y sólo presentando aquellos en contra en los que EnCase provee de
valor agregado.
* Copyright 2006-2014, PCI Security Standards Council LLC (en español: http://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf)
REQUISITOS DE LAS PCI DSS
|
PROCEDIMIENTO DE PRUEBA
|
COMO ENCASE PUEDE AYUDAR
|
Requisito 9: Restringir el acceso
físico a los datos del titular de la tarjeta
|
||
9.8.2 Controle que los datos del
titular de la tarjeta guardados en
medios electrónicos sean
irrecuperables para que no se puedan
reconstruir.
|
9.8.2 Verifique que los datos del titular de
la tarjeta guardados en dispositivos
electrónicos sean irrecuperables mediante un
programa con la función de borrado seguro de acuerdo con las normas aceptadas por la industria para
lograr una eliminación segura, o bien
destruya los medios físicamente.
|
EnCase Cybersecurity puede remover de
manera segura archivos y registros de sistema en medios electrónicos mediante
un programa de barrido seguro de acuerdo con los estándares aceptados para
una eliminación segura.
|
9.9 Proteja los dispositivos que
capturan datos de tarjetas de pago
mediante la interacción física directa
con la tarjeta para proporcionar
protección contra alteraciones y
sustituciones.
Nota: Estos requisitos rigen para los dispositivos de lectura de tarjetas que se usan en transacciones (es decir, al pasar o deslizar la tarjeta) en los puntos de venta. El objetivo de este requisito no es aplicarlo a los componentes de ingreso de claves, como teclados de computadoras y teclados numéricos de POS (puntos de ventas).
Nota: El Requisito 9.9 se considerará la mejor práctica hasta el 30 de junio de 2015, y a partir de ese momento, se convertirá en requisito.
|
9.9 Revise las políticas y los
procedimientos documentados para
verificar que se realice lo siguiente:
• Conservar una lista de los
dispositivos. • Inspeccionar los
dispositivos periódicamente para buscar
intentos de alteración o sustitución.
• Capacitar al personal para que
detecten comportamientos sospechosos e
informen la alteración o sustitución de
dispositivos
|
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente generar una lista de auditoría
de los dispositivos como también inspeccionar de manera periódica los
dispositivos en búsqueda de substitución o muestras de manipulación.
|
9.9.1 Lleve una lista actualizada
de los dispositivos. La lista debe
incluir lo siguiente:
• Marca y modelo del
dispositivo
• Ubicación del dispositivo
(por ejemplo, la dirección de la empresa o de la instalación donde se encuentra el dispositivo)
• Número de serie del dispositivo
u otro método de identificación única
|
9.9.1.a Revise la lista de los dispositivos
y verifique que incluya lo
siguiente:
• Marca y modelo del dispositivo
• Ubicación del dispositivo (por
ejemplo, la dirección de la empresa o
de la instalación donde se encuentra el
dispositivo)
• Número de serie del dispositivo u
otro método de identificación única
9.9.1.b Seleccione una muestra de dispositivos de la lista y observe la ubicación del dispositivo para verificar que la lista sea exacta y esté actualizada. |
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente generar y verificar que una
lista de dispositivos está actualizada con:
- Fecha de fabricación, modelo del
dispositivo
- Localización del dispositivo
(por ejemplo, la dirección del sitio o la facilidad donde se encuentra el
dispositivo)
- El número de serie del
dispositivo u otro método de identificación única
|
Requisito 10: Rastree y supervise
todos los accesos a los recursos de red y a los datos de los titulares de las
tarjetas
|
||
10.2 Implemente pistas de
auditoría automáticas en todos los
componentes del sistema a fin de
reconstruir los siguientes eventos:
|
10.2 Entreviste al personal responsable,
observe los registros de auditoría,
revise la configuración de los registros de auditoría y realice lo siguiente:
|
Organizaciones y auditores PCI que
usan EnCase Cybersecurity pueden rápidamente auditar registros y configuraciones
para varios tipos de componentes del sistema.
|
10.2.3 Acceso a todas las pistas
de auditoría
|
10.2.3 Verifique que se registre el acceso a
todas las pistas de auditoría.
|
Organizaciones y auditores PCI que
usan EnCase Cybersecurity pueden rápidamente auditar registros y
configuraciones para varios tipos de componentes de sistema usando permisos a
nivel de archivo.
|
10.2.4 Intentos de acceso lógico
no válidos
|
10.2.4 Verifique que se registren los
intentos de acceso lógico no válidos.
|
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente auditar eventos de Windows en el
registro en busca de intentos fallidos de acceso.
|
10.2.6 Inicialización, detención o
pausa
de los registros de auditoría
|
10.2.6 Verifique que se registre lo
siguiente:
• Inicialización de los registros de
auditoría.
• Detención o pausa de los registros
de auditoría.
|
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente auditar los registros de eventos
de Windows, metadata relacionada a anuncios para inicialización, cese o pausa
de los registros.
|
10.2.7 Creación y eliminación
de objetos en el nivel del sistema
|
10.2.7 Verifique que estén registradas la
creación y la eliminación de objetos
en el nivel del sistema.
|
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente auditar los registros de eventos
de Windows y archivos relacionados al metadata para la creación y eliminación
de objetos al nivel de sistema.
|
10.3 Registre, al menos, las
siguientes entradas de pistas de
auditoría de los componentes del
sistema para cada evento:
|
10.3 Mediante entrevistas y la observación
de los registros de auditoría, realice
lo siguiente para cada evento auditable (del punto 10.2):
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.3.1 Identificación de usuarios
|
10.3.1 Verifique que la identificación de
usuario se incluya en las entradas del
registro.
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.3.2 Tipo de evento
|
10.3.2 Verifique que el tipo de evento se
incluya en las entradas del registro.
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.3.3 Fecha y hora
|
10.3.3 Verifique que el sello de fecha y
hora se incluya en las entradas del
registro
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.3.4 Indicación de éxito o fallo
|
10.3.4 Verifique que la indicación de éxito
o fallo se incluya en las entradas del
registro.
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.3.5 Origen del evento
|
10.3.5 Verifique que el origen del evento se
incluya en las entradas del registro.
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.3.6 Identidad o nombre de
los datos, componentes del sistema
o recursos afectados.
|
10.3.6 Verifique que la identidad o el
nombre de los datos, de los
componentes del sistema o de los recursos afectados se incluyan en las entradas del registro.
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.4 Utilizando tecnología de sincronización, sincronice todos
tiempos y relojes críticos y asegúrese
de que lo siguiente sea implementado
para adquirir, distribuir y almacenar
tiempos.
Nota: Un ejemplo de tecnología de sincronización
es el NTP (protocolo de tiempo de red)
|
10.4 Revise las normas de configuración y
los procesos para verificar que la
tecnología de sincronización se implemente y
mantenga actualizada, según los Requisitos 6.1 y 6.2 de las PCI DSS.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que la tecnología de
sincronización de tiempo sea implementada y mantenida actualizada de acuerdo
a los requerimientos 6.a y 6.2 del PCI DSS.
|
10.4.1 Los sistemas críticos tienen
un horario uniforme y correcto.
|
10.4.1.a Revise el proceso para adquirir,
distribuir y guardar el horario
correcto en la organización para verificar lo siguiente:
• Solo los servidores de horario
central designados deben recibir
señales de tiempo de fuentes externas, y las señales de tiempo de fuentes externas se deben
basar en la hora atómica internacional
o UTC.
• Si hubiera más de un servidor de
horario designado, estos se emparejan
para mantener la hora exacta.
• Los sistemas reciben información
horaria solo de los servidores de
horario central designados
10.4.1.b Observe la configuración de los parámetros del sistema relacionados con la hora para obtener una muestra de los componentes del sistema y verificar lo siguiente:
• Solo los servidores de horario
central designados deben recibir
señales de tiempo de fuentes externas, y las señales de tiempo de fuentes externas se deben
basar en la hora atómica internacional
o UTC.
• Si hubiera más de un servidor de
horario designado, estos se emparejan
para mantener la hora exacta.
• Los sistemas reciben información
horaria solo de los servidores de
horario central designados.
|
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente auditar las configuraciones de
tiempo dentro de la infraestructura, conexiones externas relacionadas al
tiempo e información de husos horarios.
|
10.4.2 Los datos de tiempo
están protegidos.
|
10.4.2.a Revise la
configuración del sistema y los parámetros de
configuración de sincronización para verificar que el acceso a
los datos de la hora esté limitado
solo al personal que tenga una
necesidad comercial para acceder a los datos de la hora.
10.4.2.b Revise la configuración del sistema, los registros y parámetros de configuración de sincronización y los procesos para verificar que todos los cambios en la configuración de la hora en los sistemas críticos se registren, supervisen y revisen. |
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente ajustar los ajustes de tiempo
dentro de la infraestructura, conexiones externas relacionadas al tiempo e
información de husos horarios.
|
10.5.4 Elabore registros para tecnologías externas en un dispositivo de medios o un servidor de registros interno, seguro y centralizado.
|
10.5.4 Los registros para tecnologías
externas (por ejemplo, tecnologías
inalámbricas, firewalls, DNS, correo) se copian en medios o servidores de registros
centralizados, internos y seguros
|
Dependiendo del tipo de archivo de
registro, EnCase Cybersecurity y EnCase Enterprise pueden analizar
información relevante de aquellos registros.
|
10.6 Revise los registros y los
eventos de seguridad en todos los
componentes del sistema para
identificar anomalías o actividades
sospechosas.
Nota: Para cumplir con este requisito, se pueden usar herramientas de recolección, análisis y alerta de registros
|
10.6 Realice lo siguiente:
|
Organizaciones y auditores PCI que
usan EnCase Cybersecurity pueden rápidamente auditar registros de eventos en Windows
y revisar archivos de metadata relacionados.
|
10.6.1 Revise las siguientes
opciones, al menos, una vez al
día:
• Todos los eventos de
seguridad.
• Registros de todos los componentes del sistema que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales), o que podrían afectar la seguridad de los CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales).
• Registros de todos los componentes críticos del sistema.
• Registros de todos los servidores
y componentes del sistema que realizan funciones de seguridad (por ejemplo, firewalls, IDS/IPS [sistemas de intrusión-detección o sistemas de intrusión-prevención], servidores de autenticación, servidores de redireccionamiento de comercio electrónico, etc.).
|
10.6.1.a Revise las políticas y los
procedimientos de seguridad para
verificar que los procedimientos se definen para revisar lo siguiente, al menos, una vez al día, ya sea
manualmente o con herramientas de
registro:
• Todos los eventos de seguridad.
• Registros de todos los componentes
del sistema que almacenan, procesan o
transmiten CHD (datos del titular de
la tarjeta) o SAD (datos de autenticación confidenciales), o que podrían afectar la seguridad de los CHD
(datos del titular de la tarjeta) o
SAD (datos de autenticación
confidenciales).
• Registros de todos los componentes
críticos del sistema.
• Registros de todos los servidores y
componentes del sistema que realizan
funciones de seguridad (por ejemplo,
firewalls, IDS/IPS [sistemas de intrusión-detección y sistemas de intrusión-prevención],
servidores de autenticación,
servidores de redireccionamiento de comercio electrónico, etc.).
10.6.1.b Observe los procesos y entreviste al personal para verificar que los siguientes puntos se controlen, al menos, una vez al día:
• Todos los eventos de seguridad.
• Registros de todos los componentes
del sistema que almacenan, procesan o
transmiten CHD (datos del titular de la
tarjeta) o SAD (datos de autenticación confidenciales), o que podrían afectar la seguridad de los CHD
(datos del titular de la tarjeta) o
SAD (datos de autenticación
confidenciales).
• Registros de todos los componentes
críticos del sistema.
• Registros de todos los servidores y
componentes del sistema que realizan
funciones de seguridad (por ejemplo,
firewalls, IDS/IPS [sistemas de intrusión-detección y sistemas de intrusión-prevención],
servidores de autenticación,
servidores de redireccionamiento de comercio electrónico, etc.).
|
Organizaciones y auditores de PCI que
usan EnCase Cybersecurity pueden rápidamente auditar registros de eventos en
Windows y revisar archivos de metadata relacionados.
|
10.6.3 Realice un seguimiento de
las excepciones y anomalías
detectadas en el proceso de revisión.
|
10.6.3.a Revise las
políticas y los procedimientos de seguridad
para verificar que los procesos se definen para realizar un seguimiento de las excepciones y anomalías
detectadas en el proceso de revisión.
10.6.3.b Observe los procesos y entreviste al personal para verificar que se realice un seguimiento de las excepciones y anomalías. |
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que los procedimientos están
definidos para hacer seguimiento a excepciones y anomalías identificadas
durante el proceso de revisión y que dicho seguimiento a excepciones y
anomalías sea realizado.
|
10.7 Conserve el historial de
pistas de auditorías durante, al
menos, un año, con un mínimo de
disponibilidad para análisis de tres
meses (por ejemplo, en línea,
archivados o recuperables para la
realización de copias de seguridad).
|
10.7.a Revise las políticas y los
procedimientos de seguridad y verifique
que definan lo siguiente:
• Políticas de retención de registros
de auditoría
• Procedimientos para conservar los
registros de auditoría durante, al
menos, un año, con un mínimo de disponibilidad en línea de tres meses.
10.7.b Entreviste al personal y revise los registros de auditoría para verificar que estén disponible durante, al menos, un año.
10.7.c Entreviste al personal y observe los
procesos para verificar que se puedan
recuperar, al menos, los registros de los últimos tres meses para analizarlos
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que las políticas de seguridad
definen lo siguiente:
<![if !supportLists]>·
<![endif]>Auditar la política de retención
de registros
<![if !supportLists]>·
<![endif]>Procedimiento para retener los
registros de auditorías por lo menos un año, con un mínimo de tres meses
inmediatamente disponible en línea.
|
10.8 Asegúrese de que las
políticas de seguridad y los
procedimientos operativos para
monitorear todos los accesos a los
recursos de la red y a los datos del
titular de la tarjeta estén
documentados, implementados y que
sean de conocimiento para todas las
partes afectadas.
|
10.8 Revise la documentación, entreviste al
personal y verifique que las políticas
de seguridad y los procedimientos operativos para monitorear todos los accesos a los recursos
de la red y a los datos del titular de
la tarjeta cumplan con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que las políticas de seguridad y
procedimientos operacionales para monitorear todos los accesos a los recursos
de las redes y datos del titular de tarjeta sean:
<![if !supportLists]>·
<![endif]>Documentados
<![if !supportLists]>·
<![endif]>En uso y sabido por todas las
partes afectadas
|
Requisito 11: Pruebe con
regularidad los sistemas y procesos de seguridad
|
||
11.2 Realice análisis internos y
externos de las vulnerabilidades de la
red, al menos, trimestralmente y
después de cada cambio significativo
en la red (como por ejemplo, la
instalación de nuevos componentes del
sistema, cambios en la topología de la red, modificaciones en las normas de
firewall, actualizaciones de
productos).
Nota: Se pueden combinar varios informes de análisis para el proceso de análisis trimestral a fin de demostrar que se analizaron todos los sistemas y que se abordaron todas las vulnerabilidades. Es posible que se solicite documentación adicional para verificar que las vulnerabilidades no resueltas estén en proceso de resolverse. Para el cumplimiento inicial de las PCI DSS, no es necesario tener cuatro análisis trimestrales aprobados si el asesor
verifica que 1) el resultado del
último análisis fue aprobado, 2) la
entidad ha documentado las políticas y
los procedimientos que disponen la
realización de análisis trimestrales y
3) las vulnerabilidades detectadas en
los resultados del análisis se han
corregido tal como se muestra en el
nuevo análisis. En los años
posteriores a la revisión inicial de las
PCI DSS, debe haber cuatro análisis trimestrales
aprobados.
|
11.2 Revise los informes de análisis y la
documentación de respaldo para
verificar que se realicen análisis de las
vulnerabilidades internas y externas de la siguiente manera:
|
EnCase Cybersecurity puede ser usado
para auditar vulnerabilidades de red internas dentro de las instalaciones de
los componentes del nuevo sistema, cambios en la topología de la red y
actualizaciones de producto.
|
11.5.1 Implemente un proceso
para responder a las alertas que
genera la solución de detección de
cambios
|
11.5.1 Entreviste al personal para verificar
que todas las alertas se investiguen y
resuelvan.
|
Organizaciones pueden integrar EnCase
Cybersecurity con muchos sistemas de alerta para responder automáticamente a
alertas, asegurándose que los eventos críticos tengan respuestas.
|
11.6 Asegúrese de que las políticas
de seguridad y los procedimientos
operativos para monitorear y comprobar
la seguridad estén documentados,
implementados y que sean de
conocimiento para todas las partes
afectadas
|
11.6 Revise la documentación y entreviste al
personal para verificar que las
políticas de seguridad y los procedimientos
operativos para monitorear y comprobar la seguridad cumplen con lo siguiente:
• Estén documentados.
• Estén implementados.
• Sean de conocimiento para todas las
partes afectadas.
|
Los Servicios Profesionales de Guidance Software pueden ayudar a verificar que las
políticas de seguridad y los procedimientos
operativos para monitorear y comprobar la seguridad cumplen.
|
Requisito 12: Mantener una
política que aborde la seguridad de la información de todo el personal
|
||
12.1 Establezca, publique, mantenga
y distribuya una política de
seguridad.
|
12.1 Examine la política de seguridad de la
información y verifique que la
política se publique y se distribuya a los
usuarios del sistema que corresponda (incluidos proveedores, contratistas y socios de negocios).
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que la política sea publicada y
diseminada a todo el personal relevante (incluyendo vendedores y asociados).
|
12.1.1 Revise la política de
seguridad, al menos, una vez al año y
actualícela cuando se realicen cambios
en el entorno.
|
12.1.1 Verifique que la política de
seguridad de la información se revise,
al menos, una vez al año y se
actualice cuando sea necesario, de manera que refleje los cambios en los objetivos del negocio o en
el entorno de riesgos.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que la información de la política
de seguridad sea revisada por lo menos de forma anual y actualizada para
reflejar los cambios.
|
12.2 Implemente un proceso de evaluación de riesgos que cumpla con
lo siguiente:
• Se realiza, al menos, una vez al
año y después de implementar
cambios significativos en el entorno
(por ejemplo, adquisiciones, fusiones
o reubicaciones, etc.).
• Identifica activos críticos,
amenazas y vulnerabilidades.
• Da lugar a una evaluación de
riesgos formal.
Los ejemplos de metodologías de evaluación de riesgos incluyen, entre otros, OCTAVE, ISO 27005 y NIST SP 800-30.
|
12.2.a Verifique
que se documente un proceso anual de
evaluación de riesgos que identifique activos, amenazas, vulnerabilidades y que genere como
resultado una evaluación de riesgos
formal.
12.2.b Revise la documentación de la evaluación de riesgos para verificar que el proceso de evaluación de riesgos se ejecute, al menos, una vez al año y después de cambios significativos en el entorno. |
Los Servicios Profesionales de
Guidance Software pueden ayudar a desarrollar/documentar si un proceso anual
de evaluación de riesgo es documentado, que identifique valores, amenazas y
vulnerabilidades.
|
12.3 Desarrolle políticas de uso
para las tecnologías críticas y defina
cómo usarlas correctamente.
Nota: Entre los ejemplos de tecnologías críticas, se incluyen las tecnologías inalámbricas y de acceso remoto, las computadoras portátiles, las tabletas, los dispositivos electrónicos extraíbles, el uso
del correo electrónico y de Internet. Asegúrese de que estas políticas de uso requieran lo siguiente:
|
12.3 Revise las políticas de uso de las
tecnologías críticas y entreviste al
personal responsable para verificar que se
implementen las siguientes políticas y de la siguiente manera:
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a examinar el uso de las políticas para
tecnologías críticas.
|
12.3.3 Lista de todos los
dispositivos y el personal que tenga
acceso
|
12.3.3 Verifique que las políticas de uso
definan una lista de todos los
dispositivos y del personal autorizado para
utilizarlos.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que las políticas de uso definan una lista de todos los dispositivos
y personal autorizado para usar los mismos.
|
12.3.10 En el caso del personal
que tiene acceso a los datos del
titular de la tarjeta mediante
tecnologías de acceso remoto, prohíba
copiar, mover y almacenar los datos
del titular de la tarjeta en unidades
de disco locales y en dispositivos
electrónicos extraíbles, a menos que
sea autorizado explícitamente para una
necesidad comercial definida.
Si existe una necesidad comercial autorizada, las políticas de uso deben disponer la protección de los datos de conformidad con los requisitos correspondientes de las PCI DSS
|
12.3.10.a Verifique
que las políticas de uso prohíban copiar,
mover o almacenar datos del titular de la tarjeta en unidades de disco locales y en dispositivos
electrónicos extraíbles al acceder a
dichos datos a través de tecnologías de acceso remoto
12.3.10.b En el caso del personal que cuenta con la autorización correcta, verifique que las políticas de uso dispongan que los datos del titular de la tarjeta se protejan de conformidad con los requisitos de las PCI DSS. |
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar el uso de políticas prohibiendo
copias, moviendo o almacenando datos del titular de tarjeta a un hard drive
local o medios de almacenamiento removibles cuando se accede a dichos datos
mediante tecnologías de acceso remoto.
|
12.4 Asegúrese de que las políticas
y los procedimientos de seguridad
definan, claramente, las
responsabilidades de seguridad de la
información de todo el personal.
|
12.4.a Verifique
que las políticas de seguridad de la información definan, con claridad, las
responsabilidades de seguridad de la
información de todo el personal.
12.4.b Entreviste a un grupo de empleados responsables y verifique que comprendan las políticas de seguridad. |
Los Servicios Profesionales de
Guidance Software pueden ayudar a asegurar que las políticas de seguridad de
la información definan claramente las responsabilidades de la seguridad de la
información.
|
12.5 Asigne a una persona o a un
equipo las siguientes
responsabilidades de administración de
seguridad de la información:
|
12.5 Revise los procedimientos y las
políticas de seguridad de la información
para verificar lo siguiente:
• La asignación formal de la
seguridad de la información a un Jefe
de seguridad u a otro miembro de la gerencia
relacionado con la seguridad.
• Las siguientes responsabilidades de
seguridad de la información se asignan
de manera formal y específica:
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a examinar las políticas de seguridad de la
información y procedimientos para verificar la asignación formal de la
información de seguridad a un Jefe de Seguridad u otro que sea miembro de la
directiva.
|
12.5.1 Establezca, documente y distribuya las políticas y los procedimientos de seguridad
|
12.5.1 Verifique que la responsabilidad de
establecer, documentar y distribuir
las políticas y los procedimientos de
seguridad se asigne formalmente.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que la responsabilidad para
establecer, documentar y redistribuir las políticas de seguridad y
procedimientos sean formalmente asignados.
|
12.5.2 Monitoree y analice las
alertas y la información de seguridad
y comuníquelas al personal correspondiente.
|
12.5.2 Verifique que la responsabilidad de
monitorear y analizar las alertas de
seguridad y de distribuir la
información al personal de las unidades comerciales y de seguridad se haya asignado formalmente.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que la responsabilidad de
monitorear y analizar las alertas de seguridad y distribuir la información al
personal de la unidad de seguridad de la información o unidad de negocios
adecuada es formalmente asignada.
|
12.5.3 Establezca, documente y distribuya los procedimientos de escalamiento y respuesta ante incidentes de seguridad para garantizar un manejo oportuno y efectivo de todas las situaciones
|
12.5.3 Verifique que la responsabilidad de
establecer, documentar y distribuir
los procedimientos de escalamiento y
de respuesta ante incidentes de seguridad se asigne formalmente.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que la responsabilidad para
establecimiento, documentación y distribución de la respuesta a incidentes y
procedimientos de escalada son formalmente asignados.
|
12.6 Implemente un programa formal
de concienciación sobre seguridad para
que todo el personal tome conciencia
de la importancia de la seguridad de
los datos del titular de la tarjeta.
|
12.6.a Revise el
programa de concienciación sobre seguridad
para verificar que ayuda a que todo el personal tome conciencia de la importancia de la
seguridad de los datos del titular de
la tarjeta.
12.6.b Revise los procedimientos y la documentación del programa de concienciación sobre seguridad y realice lo siguiente: |
Los Servicios Profesionales de
Guidance Software pueden ayudar a revisar el programa de concientización de
la seguridad para todo el personal acerca de la importancia de los datos del
portador de la tarjeta de crédito.
|
12.8 Mantenga e implemente
políticas y procedimientos para
administrar los proveedores de
servicios con quienes se compartirán
datos del titular de la tarjeta, o que
podrían afectar la seguridad de los
datos del titular de la tarjeta de la
siguiente manera:
|
12.8 Por medio de la observación, revise las
políticas, los procedimientos y la
documentación de respaldo y verifique
que se implementen procesos para administrar los proveedores de servicios con quienes se
compartirán datos del titular de la
tarjeta o que podrían afectar la seguridad de
los datos del titular de la tarjeta (por ejemplo, centros de almacenamiento de copias de seguridad en
cinta, proveedores de servicios
gestionados, como empresas de hosting
de sitios web o proveedores de servicios de
seguridad, o bien quienes reciben datos para el diseño de modelos de fraude, etc.), de la siguiente
manera:
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que los procesos que son
implementados para manejar a los proveedores de servicios con los cuales los
datos del titular de la tarjeta de crédito es compartida, o que pudiera
afectar la seguridad de los datos del titular de la tarjeta.
|
12.9 Requisitos adicionales para
los proveedores de servicios: Los proveedores de servicios aceptan, por escrito y ante los clientes, responsabilizarse de la seguridad de
los datos del titular de la tarjeta
que ellos poseen, almacenan, procesan
o transmiten en nombre del cliente, o
en la medida en que puedan afectar
la seguridad del entorno de datos del
titular de la tarjeta del
cliente.
Nota: Este requisito se considerará la mejor práctica hasta el 30 de junio de 2015 y, a partir de ese momento, se convertirá en requisito. Nota: La redacción exacta del reconocimiento dependerá del acuerdo existente entre las dos partes, los detalles
del servicio prestado y las responsabilidades asignadas a cada parte. No es necesario que el reconocimiento incluya el texto exacto de este requisito.
|
12.9 Procedimientos de pruebas adicionales
para los proveedores de servicios:
Revise las políticas y los
procedimientos del proveedor de servicio y observe las plantillas de los acuerdos escritos para
verificar que el proveedor de
servicios acepta, por escrito y ante el cliente, mantener los requisitos correspondientes de
las PCI DSS en la medida en el
proveedor de servicios manipule, almacene,
procese y transmita datos del titular de la tarjeta o datos de autenticación confidenciales, o que acceda
a estos datos, o administre el entorno
de datos del titular de la tarjeta en
nombre del cliente.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a evaluar las políticas del proveedor de
servicios y procedimiento, revisar los documentos de acuerdo para confirmar
que el proveedor de servicios reconoce por escrito a los consumidores que el
proveedor de servicios mantendrá todos los requerimientos PCI DSS al grado
que el proveedor de servicios maneja, tiene acceso a, o por otro lado
almacena, procesa o transmite los datos sensibles de autentificación del
titular de la tarjeta, o maneja el entorno de los datos del cliente del
titular de la tarjeta a cuenta de un cliente.
|
12.10 Implemente un plan de
respuesta ante incidentes. Prepárese
para responder de inmediato ante un
fallo en el sistema.
|
12.10 Revise el plan de respuesta ante
incidentes y los procedimientos
relacionados para verificar que la entidad está preparada para responder inmediatamente
ante una falla del sistema mediante lo
siguiente:
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a examinar el plan de respuesta a incidentes
y procedimientos relacionados para verificar que la entidad está preparada
para responder inmediatamente a una brecha en el sistema.
|
12.10.1 Desarrolle el plan de
respuesta ante incidentes que se
implementará en caso de que ocurra una
falla del sistema. Asegúrese de que el
plan aborde, como mínimo, lo
siguiente:
• Roles, responsabilidades y estrategias de comunicación y contacto en caso de un riesgo que incluya, como mínimo, la notificación de las marcas de pago.
• Procedimientos específicos
de respuesta a incidentes.
• Procedimientos de recuperación
y continuidad comercial.
• Procesos de copia de seguridad
de datos.
• Análisis de los requisitos
legales para el informe de
riesgos.
• Cobertura y respuestas de todos
los componentes críticos del
sistema.
• Referencia o inclusión de procedimientos de respuesta ante incidentes de las marcas de pago.
|
12.10.1.a Verifique que el plan de respuesta
ante incidentes incluya lo
siguiente:
• Funciones, responsabilidades y estrategias de comunicación en caso de un riesgo que incluya como mínimo la notificación de las marcas de pago;
• Procedimientos específicos de
respuesta a incidentes.
• Procedimientos de recuperación y
continuidad comercial.
• Procesos de copia de seguridad de
datos.
• Análisis de requisitos legales para
el informe de riesgos (por ejemplo, la
ley 1386 del Senado de California que
exige la notificación de los consumidores afectados en caso de un riesgo real o supuesto por
operaciones comerciales con residentes
de California en su base de datos).
• cobertura y respuestas de todos los
componentes críticos del sistema;
• Referencia o inclusión de procedimientos
de respuesta ante incidentes de las
marcas de pago.
12.10.1.b Entreviste al personal y revise la documentación de la muestra de un incidente o una alerta anteriormente informados para verificar que se hayan respetado los procedimientos y el plan de respuesta ante incidentes documentados. |
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que el plan de respuesta a
incidentes incluya:
<![if !supportLists]>·
<![endif]>Roles, responsabilidades y
estrategias de comunicación en el evento en el cual se comprometa incluyendo
notificaciones de la marca de pago, como mínimo.
<![if !supportLists]>·
<![endif]>Procedimientos de respuesta a
incidentes específicos
<![if !supportLists]>·
<![endif]>Recuperación del negocio y
procedimientos de continuidad
<![if !supportLists]>·
<![endif]>Procesos de respaldo de datos
<![if !supportLists]>·
<![endif]>Análisis de requerimientos
legales para reportar compromisos (por ejemplo, el proyecto de ley de
California Nº1386, que requiere la notificación de consumidores afectados en
el evento en que haya una sospecha de incidente en la base de datos de
cualquier negocio con residentes de California)
<![if !supportLists]>·
<![endif]>Cobertura y respuestas para
todos los componentes críticos del sistema
<![if !supportLists]>·
<![endif]>Referencia o inclusión de los
procedimientos de respuesta a incidentes de parte de las marcas de pago
|
12.10.2 Pruebe el plan, al menos,
una vez al año.
|
12.10.2 Verifique que el plan se pruebe, al
menos, una vez al año.
|
Los Servicios Profesionales de
Guidance Software pueden ayudar a verificar que el plan sea testeado por lo
menos anualmente.
|
12.10.3 Designe a personal
específico para que esté disponible
las 24 horas al día, los 7 días de la
semana para responder a las alertas
|
12.10.3 Mediante la observación, revise las
políticas y entreviste al personal
responsable para verificar que el
personal designado esté siempre disponible (24 horas del día, los 7 días de la semana) para
responder ante incidentes y que
monitoreen la cobertura de cualquier evidencia de actividad no autorizada, detección de
puntos de acceso inalámbricos no
autorizados, alertas críticas de IDS
(sistemas de intrusión-detección) o informes de cambios no autorizados en archivos de contenido o de
sistemas críticos.
|
Los Servicios Profesionales de Guidance
Software pueden ayudar a verificar mediante la observación, revisión de políticas
y entrevistas de personal responsable que designa personal que está
disponible 24/7 para respuesta a incidentes, respuesta a incidentes y
cobertura de monitoreo para cualquier evidencia de actividad no autorizada,
detección de acceso no autorizado a puntos de WiFi, alertas críticas IDS y
reportes de cambios críticos de contenido de archivos o sistema.
|
12.10.4 Capacite adecuadamente
al personal sobre las
responsabilidades de respuesta ante
fallas de seguridad.
|
12.10.4 Mediante la observación, la revisión
de las políticas y las entrevistas al
personal responsable, verifique que el
personal se capacite periódicamente en las responsabilidades ante fallas de seguridad
|
El Departamento de Entrenamiento de
Guidance Software puede asegurar que el personal con la responsabilidad de
respuesta a las brechas de seguridad son entrenados periódicamente.
|
12.10.6 Elabore un proceso para modificar y desarrollar el plan de respuesta ante incidentes según las lecciones aprendidas e incorporar los desarrollos de la industria
|
12.10.6 Mediante la observación, la
revisión de las políticas y las
entrevistas al personal responsable, verifique que exista un proceso para modificar y
desarrollar el plan de respuesta ante
incidentes según las lecciones aprendidas e
incorporar los desarrollos de la industria.
|
Los
Servicios Profesionales de Guidance Software pueden ayudar a verificar
mediante la observación, revisión de políticas y entrevistas del personal
responsable que hay un proceso para modificar y evolucionar el plan de
respuesta a incidentes de acuerdo a las lecciones aprendidas e incorporar los
desarrollos de la industria.
|
* Copyright 2006-2014, PCI Security Standards Council LLC (en español: http://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf)
-
T. Grey, Guidance Software Latinoamérica,
Si quisiera una
demostración de cómo EnCase puede asistir con el cumplimiento, fraude o
respuesta a incidentes malware, siéntase a gusto de contactar nuestro equipo de
ventas a: sales-LatAm@encase.com
RELACIONADOS
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario