Proveedores de servicio elegibles para el SAQ. Versión 3.0

Transcripción

1 Nrma de seguridad de dats de la Industria de tarjetas de pag (PCI) Cuestinari de autevaluación D y Atestación de cumplimient para prveedres de servicis Prveedres de servici elegibles para el SAQ Versión 3.0 Febrer de 2014

2 Mdificacines realizadas a ls dcuments Fecha Versión Descripción Octubre de Octubre de Febrer de Alinear el cntenid cn la nueva versión 1.2 de PCI DSS e implementar cambis menres ntads desde la versión 1.1 riginal. Para alinear el cntenid cn ls requisits y prcedimients de prueba de PCI DSS v2.0 Para alinear el cntenid cn ls requisits y prcedimients de prueba de PCI DSS v3.0 e incrprar pcines de respuesta adicinales. PCI DSS SAQ D para prveedres de servicis, v3.0 Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página i

3 Índice Dcument Changes... i Befre Yu Begin...iii PCI DSS Self-Assessment Cmpletin Steps... iii Understanding the Self-Assessment Questinnaire... iii Expected Testing... iv Cmpleting the Self-Assessment Questinnaire... iv Guidance fr Nn-Applicability f Certain, Specific Requirements... v Understanding the difference between Nt Applicable and Nt Tested... v Legal Exceptin... vi Sectin 1: Assessment Infrmatin... 1 Sectin 2: Self-Assessment Questinnaire D fr Service Prviders... 7 Build and Maintain a Secure Netwrk and Systems... 7 Requirement 1: Install and maintain a firewall cnfiguratin t prtect data... 7 Requirement 2: D nt use vendr-supplied defaults fr system passwrds and ther security parameters Prtect Cardhlder Data Requirement 3: Prtect stred cardhlder data Requirement 4: Encrypt transmissin f cardhlder data acrss pen, public netwrks Maintain a Vulnerability Management Prgram Requirement 5: Prtect all systems against malware and regularly update anti-virus sftware r prgrams Requirement 6: Develp and maintain secure systems and applicatins Implement Strng Access Cntrl Measures Requirement 7: Restrict access t cardhlder data by business need t knw Requirement 8: Identify and authenticate access t system cmpnents Requirement 9: Restrict physical access t cardhlder data Regularly Mnitr and Test Netwrks Requirement 10: Track and mnitr all access t netwrk resurces and cardhlder data Requirement 11: Regularly test security systems and prcesses Maintain an Infrmatin Security Plicy Requirement 12: Maintain a plicy that addresses infrmatin security fr all persnnel Appendix A: Additinal PCI DSS Requirements fr Shared Hsting Prviders Appendix B: Cmpensating Cntrls Wrksheet Appendix C: Explanatin f Nn-Applicability Appendix D: Explanatin f Requirements Nt Tested Sectin 3: Validatin and Attestatin Details...97 PCI DSS SAQ D para prveedres de servicis, v3.0 Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página ii

4 Antes de cmenzar El SAQ D para prveedres de servicis se aplica a tds ls prveedres de servicis definids pr una marca de pag cm elegibles para el SAQ. Si bien muchas de las rganizacines que cmpletan el SAQ D deberán validar su cumplimient cn tds ls requisits de las PCI DSS, es psible que algunas de las rganizacines cn mdels de negci muy específics encuentren que alguns requisits n sn aplicables. Cnsulte la directriz de abaj para btener infrmación sbre la exclusión de determinads requisits específics. Pass para la realización de la autevaluación de las PCI DSS 1. Cnfirmar que su entrn cuenta cn la delimitación del alcance aprpiada. 2. Evalúe su entrn respect del cumplimient cn ls requisits de las PCI DSS. 3. Cmplete tdas las seccines que crrespndan de este dcument: Sección 1 (Partes 1 y 2 de la AOC): Infrmación de la evaluación y Resumen ejecutiv Sección 2: Cuestinari de Autevaluación de las PCI DSS (SAQ D) Sección 3 (Partes 3 y 4 de la AOC): Detalles de la validación y la atestación y Plan de acción para ls requisits de n cumplimient (si crrespnden) 4. Presente el SAQ y la Atestación de cumplimient junt cn cualquier tr dcument slicitad, cm ls infrmes de análisis de ASV a la marca de pag a tr slicitante. Cmprensión del cuestinari de autevaluación Las preguntas que se encuentran en la clumna Pregunta de las PCI DSS de este cuestinari de autevaluación están realizadas en función de ls requisits presentes en las PCI DSS. Asimism, se han prprcinad recurss adicinales que brindan pautas respect de ls requisits de las PCI DSS y sbre la frma en que debe cmpletarse el cuestinari de autevaluación para asistir cn el prces de evaluación. A cntinuación se prprcina una descripción general de alguns de ests recurss que se mencinarn: Dcument PCI DSS (Requisits de la nrma de seguridad de dats de la PCI y prcedimients de evaluación de seguridad) Dcuments cn instruccines y pautas de SAQ Glsari de términs, abreviaturas y acrónims de las PCI DSS y PA-DSS Incluye: Pautas para la delimitación del alcance Pautas referidas al prpósit que subyace tds ls requisits de las PCI DSS Detalles de ls prcedimients de prueba Pautas sbre ls cntrles de cmpensación Infrmación respect de tds ls SAQ y ls criteris de elegibilidad que presentan Métd para determinar qué SAQ es el aprpiad para su rganización Descripcines y definicines de ls términs utilizads en las PCI DSS y ls cuestinaris de autevaluación Tant ests cm trs recurss útiles se encuentran en el siti web del PCI SSC ( Se recmienda a las rganizacines que analicen las PCI DSS y tra dcumentación de respald existente antes de cmenzar una evaluación. PCI DSS SAQ D para prveedres de servicis, v3.0 Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página iii

5 Las instruccines que se presentan en la clumna "" se crrespnden cn ls prcedimients de prueba indicads en las PCI DSS, y frecen una descripción cn detalles de ls tips de actividades implicads en las pruebas que deben realizarse a ls fines de verificar el cumplimient cn un requisit. En las PCI DSS se frecen detalles cmplets sbre ls prcedimients de prueba para cada requisit. s del cuestinari de autevaluación Para cada pregunta, existe una selección de respuestas para dar cuenta del estad de la empresa en relación cn ese requisit. Se puede seleccinar únicamente una respuesta para cada pregunta. En la tabla a cntinuación se prprcina una descripción del significad para cada respuesta: cn CCW (Hja de trabaj de cntrles de cmpensación) N N/C (N crrespnde) N prbad Cuánd utilizar esta respuesta: La prueba esperada se ha realizad, y tds ls elements del requisit se han cumplid tal cm se estipulaba. La prueba esperada se ha realizad, y tds ls requisits se han cumplid cn ayuda de un cntrl de cmpensación. Tdas las respuestas en esta clumna requieren que se cmplete una Hja de trabaj de cntrles de cmpensación (CCW) en el Apéndice B del SAQ. La infrmación respect del us de ls cntrles de cmpensación y las pautas para cmpletar la hja de trabaj se prprcinan en las PCI DSS. Alguns de ls elements presentes en el requisit, tds ells, n se han cumplid, están en prces de implementarse es necesari realizar más pruebas antes de pder establecer si están implementads. El requisit n se aplica al entrn de la rganización. (Cnsulte la Guía para la n aplicabilidad de cierts requisits específics que se frece debaj para cncer ejempls). Tdas las respuestas en esta clumna requieren una explicación cmplementaria en el Apéndice C del SAQ. N estaba incluid el requisit para su cnsideración en la evaluación, y es pr es que n se l evalú de ninguna frma. (Cnsultar Cmprensión de la diferencia entre N crrespnde y N prbad debaj para ver ejempls de las casines en las que debe utilizarse esta pción). Tdas las respuestas en esta clumna requieren una explicación cmplementaria en el Apéndice D del SAQ. PCI DSS SAQ D para prveedres de servicis, v3.0 Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página iv

6 Guía para la n aplicabilidad de cierts requisits específics Si bien muchas de las rganizacines que cmpletan el SAQ D deberán validar su cumplimient cn tds ls requisits de las PCI DSS, es psible que algunas de las rganizacines cn mdels de negci muy específics encuentren que alguns requisits n sn aplicables. Pr ejempl, n se esperaría de una cmpañía que n utiliza tecnlgía inalámbrica en md algun que valide el cumplimient cn las seccines de las PCI DSS relacinadas cn el manej de tecnlgía inalámbrica. De manera semejante, una rganización que nunca almacena dats de titulares de tarjetas de manera electrónica n necesitará validar ls requisits que están relacinads cn el almacenamient segur de ls dats de ls titulares de tarjetas (pr ejempl, el Requisit 3.4). Entre ls ejempls de requisits cn aplicabilidad específica se incluyen: Las preguntas específicas relacinadas cn las tecnlgías inalámbricas seguras sl se deben respnder si la tecnlgía inalámbrica está presente en cualquier parte de su red (pr ejempl, Requisits 1.2.3, y 4.1.1). Tenga en cuenta que el Requisit 11.1 (us de prcess para la identificación de punts de acces inalámbric n autrizads) se debe respnder inclus si su red n utiliza tecnlgía inalámbrica, debid a que el prces detecta cualesquiera dispsitivs peligrss n autrizads que se hayan pdid agregar sin su cnsentimient. Las preguntas específicas respect del desarrll de las aplicacines y el códig segur (Requisits 6.3 y 6.5) sl se deben respnder si su rganización desarrlla sus prpias aplicacines persnalizadas. Las preguntas del Requisit y 9.3 sl se deben respnder si las instalacines pseen áreas cnfidenciales, tal cm se define aquí. Áreas cnfidenciales hace referencia a cualquier centr de dats, sala de servidres cualquier área que alje sistemas que almacenan prcess transmitan dats de titulares de tarjetas. Est excluye las áreas dnde sól hay terminales de punt de venta, tales cm el área de cajas de un cmerci; n bstante, sí incluye las salas de servidres trastienda que almacenan dats de titulares de tarjetas y las áreas de almacenamient de grandes cantidades de dats de titulares de tarjetas. Si algun de ls requisits se cnsidera cm n aplicable en el cas de su entrn, seleccines la pción N/C para ese requisit en particular y cmplete la hja de trabaj Explicacines de n aplicabilidad en el Apéndice C para cada entrada N/C. Cmprensión de la diferencia entre N crrespnde y N prbad Ls requisits que n se cnsideran aplicables a un entrn deberán verificarse cm tales. Cn el ejempl de tecnlgía inalámbrica indicad anterirmente, para que una rganización seleccines N/C para ls Requisits 1.2.3, 2.1.1, y 4.1.1, primer la rganización debe cnfirmar que n se utilizan tecnlgías inalámbricas en su CDE que estén cnectadas cn su CDE. Una vez que est se ha cnfirmad, la rganización puede seleccinar N/C para ess requisits específics. Si se excluye ttalmente un requisit de la revisión sin cnsideración alguna respect de si pdría crrespnder, se debe seleccinar la pción N prbad. Alguns ejempls de situacines en las que pdría currir est incluyen: Un adquiriente puede pedirle a una rganización que valide un subcnjunt de requisits, pr ejempl: us del enfque pririzad para la validación de determinads lgrs. Es psible que una rganización desee validar un nuev cntrl de seguridad cuy impact alcanza slamente a un subcnjunt de requisits, pr ejempl, la implementación de una nueva metdlgía de cifrad que requiere la evaluación de ls Requisits 2, 3 y 4 de las PCI DSS. Una rganización de prveedr de servici puede frecer un servici que abarca únicamente una cantidad limitada de requisits de las PCI DSS; pr ejempl, un prveedr de almacenamient físic quizá desea validar slamente ls cntrles de seguridad físics según el Requisit 9 de las PCI DSS para su instalación de almacenamient. PCI DSS SAQ D para prveedres de servicis, v3.0 Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página v

7 En estas situacines, la rganización sl desea la validación de determinads requisits de las PCI DSS, inclus si hay trs requisits que pdrían crrespnder a su entrn. Excepción legal Si su rganización está sujeta a una restricción legal que impide que cumpla cn un requisit de las PCI DSS, marque la clumna N crrespndiente a dich requisit y cmplete la atestación relevante en la Parte 3. PCI DSS SAQ D para prveedres de servicis, v3.0 Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página vi

8 Sección 1: Infrmación sbre la evaluación Instruccines para la presentación Este dcument debe cmpletarse cm una declaración de ls resultads que tuv la autevaluación del prveedr de servicis cn ls Requisits de la Nrma de seguridad de dats de la industria de tarjetas de pag (PCI DSS) y prcedimients de evaluación de seguridad. Cmplete tdas las seccines que crrespndan: El prveedr de servicis es respnsable de asegurarse que las partes relevantes cmpleten cada sección según crrespnda: Cmuníquese cn la marca de pag slicitante para establecer ls prcedimients para la presentación y elabración del infrme. Parte 1. Infrmación sbre el prveedr de servicis y el asesr de seguridad calificad Parte 1a. Infrmación sbre la rganización del prveedr de servicis Nmbre de la empresa: Nmbre del cntact: Nmbres ISA (si crrespnde): Teléfn: Dirección cmercial: DBA (perand baj el nmbre de): Carg: Carg: Crre electrónic: Ciudad: Estad/Prvincia: País: Códig pstal: URL: Parte 1b. Infrmación de la empresa del evaluadr de seguridad certificad (QSA) (si crrespnde) Nmbre de la empresa: Nmbre del cntact del QSA principal: Teléfn: Dirección cmercial: Carg: Crre electrónic: Ciudad: Estad/Prvincia: País: Códig pstal: URL: PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 1: Infrmación sbre la evaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 1

9 Parte 2. Resumen ejecutiv Parte 2a. Verificación del alcance Servicis que SE INCLUYERON en el alcance de la evaluación de las PCI DSS (marque tdas las pcines aplicables) Nmbre de ls servicis evaluads: Tip de ls servicis evaluads: Prveedr de hsting: Aplicación/sftware Hardware Infraestructura/red Espaci físic (cubicación) Almacenamient Web Servicis de seguridad Prveedr de hsting 3-D Secure Prveedr de hsting cmpartid Otrs hsting (especifique): Servicis administrads (especificar): Servicis de seguridad de sistemas Sprte de TI Seguridad física Sistema de administración de terminales Otrs servicis (especificar): Prcesamient de pag: POS/tarjeta presente Internet/cmerci electrónic MOTO/Centr de llamadas ATM Otr prcesamient (especifique): Administración de cuentas Fraude y reintegr de cbrs Cnmutadr/Puerta de enlace de pags Servicis administrativs Prcesamient del emisr Servicis prepagads Administración de facturación Prgramas de lealtad Administración de registrs Cmpensación y liquidación Servicis de cmerciantes Pags de impuests/gubernamentales Prveedr de red Otrs (especifique): Nta: Estas categrías se prprcinan únicamente a ls fines de asistencia, y n tienen cm finalidad limitar ni predeterminar la descripción de servici de una entidad. Si cnsidera que estas categrías n crrespnden a su servici, cmplete Otras. Si tiene dudas respect de la aplicabilidad de una categría a su servici, cnsulte cn la marca de pag crrespndiente. PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 1: Infrmación sbre la evaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 2

10 Servicis prprcinads pr el prveedr de servicis per que NO SE INCLUYERON en el alcance de la evaluación de las PCI DSS (marque tds ls que crrespndan) Nmbre de ls servicis n evaluads: Tip de ls servicis n evaluads: Prveedr de hsting: Aplicación/sftware Hardware Infraestructura/red Espaci físic (cubicación) Almacenamient Web Servicis de seguridad Prveedr de hsting 3-D Secure Prveedr de hsting cmpartid Otrs hstings (especifique): Servicis administrads (especificar): Servicis de seguridad de sistemas Sprte de TI Seguridad física Sistema de administración de terminales Otrs servicis (especificar): Prcesamient de pag: POS/tarjeta presente Internet/cmerci electrónic MOTO/Centr de llamadas ATM Otr prcesamient (especifique): Administración de cuentas Fraude y reintegr de cbrs Cnmutadr/Puerta de enlace de pags Servicis administrativs Prcesamient del emisr Servicis prepagads Administración de facturación Prgramas de lealtad Administración de registrs Cmpensación y liquidación Servicis de cmerciantes Pags de impuests/gubernamentales Prveedr de red Otrs (especifique): Prprcine una explicación breve de las raznes pr las que n se incluyern servicis marcads en la evaluación: Parte 2b. Descripción del negci de tarjeta de pag Describa de qué frma y en qué capacidad almacena, prcesa y/ transmite su empresa ls dats de titulares de tarjetas. Describa de qué frma y en qué capacidad su empresa está invlucrada tiene la capacidad de influir en la seguridad de ls dats de titulares de tarjetas. PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 1: Infrmación sbre la evaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 3

11 Parte 2c. Ubicacines Indique ls tips de instalacines y un resumen de las ubicacines que se encuentran incluidas en la revisión de las PCI DSS (pr ejempl, tiendas minristas, ficinas crprativas, centrs de dats, centrs de llamadas, etc.). Tip de instalación: Ubicacines de las instalacines (ciudad, país): Parte 2d. Aplicacines de pag La rganización utiliza una aplicación de pag más de una? N Prprcine la siguiente infrmación relativa a las aplicacines de pag que su rganización utiliza: Nmbre de la aplicación de pag Númer de versión: Prveedr de la aplicación Se encuentra la aplicación en la lista de las PA-DSS? Fecha de vencimient de la lista de las PA-DSS (si crrespnde) N N N Parte 2e. Descripción del entrn Prprcine una descripción general del entrn que esta evaluación abarca. Pr ejempl: Cnexines hacia y desde el entrn de dats del titular de la tarjeta (CDE). Cmpnentes imprtantes que hay dentr del entrn de dats del titular de la tarjeta, incluids ls dispsitivs POS, las bases de dats, ls servidres web, etc. y cualquier tr cmpnente de pag necesari, según crrespnda. Su empresa utiliza la segmentación de red para influir en el alcance del entrn de las PCI DSS? (Cnsulte la sección "Segmentación de red" de las DSS PCI para btener infrmación acerca de la segmentación de red). N Parte 2f. Prveedres de servici externs Su empresa mantiene relacines cn un más prveedres de servici externs (pr ejempl, empresas de puertas de enlace, prcesadres de pag, prveedres de servici de pag [PSP], empresas de Web hsting, agentes de reservas en aerlíneas, agentes del prgrama de lealtad, etc.) a ls fines de validar ls servicis? N PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 1: Infrmación sbre la evaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 4

12 En cas de ser : Tip del prveedr de servicis: Descripción de ls servicis prprcinads: Nta: El requisit 12.8 rige para tdas las entidades en esta lista. PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 1: Infrmación sbre la evaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 5

13 Parte 2g. Resumen de ls requisits prbads Para cada un de ls requisits de las PCI DSS, seleccine una de las siguientes pcines: Cmplet: el requisit y tds ls subrequisits se evaluarn para ese requisit, y n se marcarn subrequisits cm "N prbad" "N crrespnde" en el SAQ. Parcial: un subrequisit, más, de ese requisit se marcarn cm "N prbad" "N crrespnde" en el SAQ. Ningun: tds ls subrequisits de ese requisit se marcarn cm "N prbad" y/ "N crrespnde" en el SAQ. En el cas de tds ls requisits identificads cm "Parcial" "Ningun", prprcine detalles en la clumna "Justificación del enfque", incluids: Detalles de ls subrequisits específics que se marcarn cm "N prbad" y/ "N crrespnde" en el SAQ. La razón pr la que ls subrequisits n se prbarn n crrespndían. Nta: Se debe cmpletar una tabla para cada servici que se abarca en este AOC. En el siti web del PCI SSC, se encuentran dispnibles cpias adicinales de esta sección. Nmbre del servici evaluad: Requisit de las PCI DSS Cmple t Parcial Ningun Detalles del requisit evaluad Justificación del enfque (Obligatri en el cas de las respuestas "Parcial" y "Ningun". Identifique cuáles sn ls subrequisits que n se prbarn y la razón). Requisit 1: Requisit 2: Requisit 3: Requisit 4: Requisit 5: Requisit 6: Requisit 7: Requisit 8: Requisit 9: Requisit 10: Requisit 11: Requisit 12: Anex A: PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 1: Infrmación sbre la evaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 6

14 Sección 2: Cuestinari de autevaluación D paraprveedres de servicis Nta: Las siguientes preguntas están numeradas de acuerd cn ls requisits y prcedimients de prueba de las PCI DSS, tal cm se definen en el dcument de ls Prcedimients de evaluación de seguridad y requisits de las PCI DSS. Desarrlle y mantenga redes y sistemas segurs Fecha de realización de la autevaluación: Requisit 1: Instalar y mantener una cnfiguración de firewall para prteger ls dats Pregunta de las PCI DSS 1.1 Están las nrmas de cnfiguración del firewall y ruter establecidas e implementadas para incluir l siguiente? Existe un prces frmal para aprbar y prbar tds ls cambis y las cnexines externas de red en las cnfiguracines de ls firewalls y ls ruters? (a) Existe un diagrama de red actual que dcumenta tdas las cnexines entre el entrn de ls dats de titulares de tarjetas y tras redes, inclus cualquier red inalámbrica? (b) Hay un prces implementad para asegurar que se mantiene actualizad el diagrama? (a) Existe un diagrama actual que muestra tds ls flujs de dats de titulares de tarjetas entre ls sistemas y las redes? (b) Hay un prces implementad para asegurar que se mantiene actualizad el diagrama? Revisar el prces dcumentad Entrevistar al persnal Examinar las cnfiguracines de red Revisar el diagrama de red actual Examinar las cnfiguracines de red Entrevistar al persnal a carg Revisar el diagrama de fluj de dats actual Examinar las cnfiguracines de red Entrevistar al persnal cn CCW N N/C N prbad PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 2: Cuestinari de autevaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 7

15 1.1.4 (a) Es necesari tener un firewall implementad en cada cnexión a Internet y entre cualquier DMZ (zna desmilitarizada) y la zna de la red interna? (b) Se crrespnde el diagrama actual de la red cn las nrmas de cnfiguración de firewalls? Hay grups, funcines y respnsabilidades asignads y dcumentads para una administración lógica de ls cmpnentes de la red en las nrmas de cnfiguración del firewall y ruter? (a) Incluyen las nrmas de cnfiguración de firewalls y ruters una lista dcumentada de ls servicis, prtcls y puerts necesaris para el negci, pr ejempl, el prtcl de transferencia de hipertext (HTTP) y ls prtcls Prtcl de Capa de Cnexión Segura (SSL), Secure Shell (SSH) y Red Privada Virtual (VPN)? (b) Sn necesaris tds ls servicis, prtcls y puerts n segurs, y se dcumentarn e implementarn características de seguridad para cada un de ells? Nta: Entre ls servicis, prtcls puerts n segurs se incluyen, a md de ejempl, FTP, Telnet, POP3, IMAP y SNMP (a) Requieren las nrmas de cnfiguración de firewalls y ruters la revisión del cnjunt de reglas de ests, pr l mens, cada seis meses? (b) Se revisan ls cnjunts de reglas del firewall y ruter, pr l mens, cada seis meses? Revisar las nrmas de cnfiguración del firewall Observar las cnfiguracines de red para verificar que hay un firewall implementad Cmparar las nrmas de cnfiguración de firewall cn el diagrama actual de red Revisar las nrmas de cnfiguración del firewall y el ruter Entrevistar al persnal Revisar las nrmas de cnfiguración del firewall y el ruter Revisar las nrmas de cnfiguración del firewall y el ruter Examinar las cnfiguracines de firewalls y ruters Revisar las nrmas de cnfiguración del firewall y el ruter Examinar la dcumentación de las revisines del firewall cn CCW N N/C N prbad PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 2: Cuestinari de autevaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 8

16 1.2 Restringen las cnfiguracines para firewalls y ruters las cnexines entre redes n cnfiables y cualquier sistema en el entrn de ls dats de titulares de tarjeta de la manera siguiente? Nta: Una red n cnfiable es tda red externa a las redes que pertenecen a la entidad en evaluación que excede la capacidad de cntrl administración de la entidad (a) Está restringid el tránsit entrante y saliente a la cantidad necesaria para el entrn de ls dats de titulares de tarjetas? (b) Se niega td el rest del tránsit entrante saliente (pr ejempl, mediante la utilización de una declaración explícita "negar tds" una negación implícita después de una declaración de permis)? Están ls archivs de cnfiguración del ruter segurs y sin riesg de acces n autrizad y sincrnizads, pr ejempl, la cnfiguración en ejecución ( activa) cincide cn la cnfiguración de inici (que se utiliza cuand se reinician las máquinas)? Hay firewalls de perímetr instalads entre las redes inalámbricas y el entrn de dats del titular de la tarjeta y están ests firewalls cnfigurads para negar, si el tráfic es necesari para fines cmerciales, permitir sl el tráfic autrizad entre el entrn inalámbric y el entrn de dats del titular de la tarjeta? 1.3 Se prhíbe el acces direct públic entre Internet y cualquier cmpnente del sistema en el entrn de dats de ls titulares de tarjetas de la manera siguiente? Revisar las nrmas de cnfiguración del firewall y el ruter Examinar las cnfiguracines de firewalls y ruters Revisar las nrmas de cnfiguración del firewall y el ruter Examinar las cnfiguracines de firewalls y ruters Revisar las nrmas de cnfiguración del firewall y el ruter Examinar ls archivs de cnfiguración de ruters y las cnfiguracines de ruters Revisar las nrmas de cnfiguración del firewall y el ruter Examinar las cnfiguracines de firewalls y ruters cn CCW N N/C N prbad PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 2: Cuestinari de autevaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 9

17 1.3.1 Se implementó un DMZ para limitar el tráfic entrante sól a aquells cmpnentes del sistema que prprcinan servicis, prtcls y puerts cn acces públic autrizad? Está restringid el tránsit entrante de Internet a las direccines IP dentr del DMZ? Están permitidas las cnexines directas para el tráfic saliente entrante entre Internet y el entrn del titular de la tarjeta? Hay implementadas medidas antisuplantación para detectar y blquear direccines IP manipuladas a fin de que n ingresen en la red? (Pr ejempl, blquear el tráfic prveniente de Internet cn una dirección interna) Está el tráfic saliente desde el entrn de dats del titular de la tarjeta a Internet expresamente autrizad? Está implementada la inspección cmpleta, también cncida cm filtrad dinámic de paquetes, (es decir, sl se permiten cnexines establecidas en red)? Se clcarn ls cmpnentes del sistema que almacenan dats de titulares de tarjetas (cm una base de dats) en una zna de red interna, segregada desde un DMZ y tras redes n cnfiables? Examinar las cnfiguracines de firewalls y ruters Examinar las cnfiguracines de firewalls y ruters Examinar las cnfiguracines de firewalls y ruters Examinar las cnfiguracines de firewalls y ruters Examinar las cnfiguracines de firewalls y ruters Examinar las cnfiguracines de firewalls y ruters Examinar las cnfiguracines de firewalls y ruters cn CCW N N/C N prbad PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 2: Cuestinari de autevaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 10

18 1.3.8 (a) Se implementarn métds para prevenir la divulgación de direccines IP privadas e infrmación de enrutamient desde en Internet? Nta: Entre ls métds para cultar direccines IP, se pueden incluir, a md de ejempl, ls siguientes: Traducción de Dirección de Red (NAT) Ubicación de ls servidres que cntengan dats del titular de la tarjeta detrás de ls servidres prxy/firewalls. Eliminación filtrad de anuncis de enrutamient para redes privadas que emplean direccines registradas, Us intern del espaci de direccines RFC1918 en lugar de direccines registradas. (b) Se autrizó la divulgación de direccines IP privadas y de infrmación de enrutamient a entidades externas? 1.4 (a) Hay instalad en frma activa sftware de firewall persnal en tds ls dispsitivs móviles de prpiedad de ls trabajadres que tengan cnexión a Internet cuand están fuera de la red (pr ejempl, cmputadras prtátiles que usan ls trabajadres), y que también se usan para acceder a la red? (b) Está cnfigurad el sftware de firewall persnal cn parámetrs de cnfiguración específics, en funcinamient activ y de frma tal que ls usuaris de dispsitivs móviles de prpiedad de trabajadres n puedan alterarl? Examinar las cnfiguracines de firewalls y ruters Examinar las cnfiguracines de firewalls y ruters Entrevistar al persnal Revisar las nrmas de cnfiguración y las plíticas Examinar ls dispsitivs móviles y/ prpiedad de ls empleads Revisar las nrmas de cnfiguración y las plíticas Examinar ls dispsitivs móviles y/ prpiedad de ls empleads cn CCW N N/C N prbad PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 2: Cuestinari de autevaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 11

19 1.5 Las plíticas de seguridad y ls prcedimients perativs para la administración de firewalls están dcumentads? están en us? sn de cncimient para tdas las partes afectadas? Revisar las plíticas y ls prcedimients perativs de seguridad Entrevistar al persnal cn CCW N N/C N prbad PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 2: Cuestinari de autevaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 12

20 Requisit 2: N utilizar cntraseñas de sistemas y trs parámetrs de seguridad prvists pr ls prveedres Pregunta de las PCI DSS 2.1 (a) Se cambian siempre ls valres predeterminads pr el prveedr antes de instalar un sistema en la red? Est rige para TODAS las cntraseñas predeterminadas, pr ejempl, entre tras, las utilizadas pr ls sistemas perativs, ls sftware que prestan servicis de seguridad, las cuentas de aplicacines y sistemas, ls terminales de POS (punts de venta), las cadenas cmunitarias de SNMP (prtcl simple de administración de red), etc. (b) Se eliminan desactivan las cuentas predeterminadas que n sn necesarias antes de instalar un sistema en la red? Para entrns cn tecnlgía inalámbrica cnectads al entrn de dats del titular de la tarjeta a la transmisión de dats de ls titulares de tarjeta, se cambian ls valres predeterminads de la siguiente manera? Revisar las plíticas y ls prcedimients Examinar la dcumentación del prveedr Observar las cnfiguracines del sistema y las cnfiguracines de cuenta Entrevistar al persnal Revisar las plíticas y ls prcedimients Revisar la dcumentación del prveedr Examinar las cnfiguracines del sistema y las cnfiguracines de cuenta Entrevistar al persnal (Marque únicamente una respuesta para cn CC W N N/ C N p r b a d PCI DSS SAQ D para prveedres de servicis, v3.0 Sección 2: Cuestinari de autevaluación Febrer de PCI Security Standards Cuncil, LLC. Tds ls derechs reservads. Página 13