REQUISITOS DE LA PCI-DSS

Transcripción

1 TRADUCCIÓN REQUISITOS DE LA PCI-DSS Versión 1.1 Lanzamiento: Septiembre, 2006 Preparado por: HQS International Contacto: Joseph M Handschu joseph@hqsintl.com JUNIO 2007

2 Construir y mantener una Red Segura Requisito 1: Instalar y mantener una configuración para proteger los datos del titular de la tarjeta Requisito 2: No utilice los defectos provistos del vendedor para las contraseñas del sistema y otros parámetros de la seguridad Proteger los datos del titular de la tarjeta Requisito 3: Proteger los datos del titular de la tarjeta almacenados Requisito 4: Cifre la transmisión de los datos del titular de la tarjeta a través de redes abiertas o de redes públicas Mantenga un Programa de Gerencia de la Vulnerabilidad Requisito 5: Utilice y regularmente actualice programas de antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones de seguridad Desarrollo y mantenga fuertes medidas para Control de Acceso Requisito 7: Acceso restringido para datos del titular de la tarjeta por negocio a saber Requisito 8: Asignar una Identificación única a cada persona con acceso a una computadora Requisito 9: Restringir acceso físico a los datos del titular de la tarjeta Supervise y pruebe regularmente las Redes Requisito 10: Rastree y monitoree todo acceso a los recursos de la red y datos del titular de la tarjeta Requisito 11: Pruebe regularmente los sistemas y procesos de seguridad Mantenga una Política de Seguridad de la Información Requisito 12: Mantenga una política direccionada de información de seguridad TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 2

3 Prólogo Este documento describe los 12 requisitos estándar de la Seguridad de Datos de la Industria de la Tarjeta de Pago (PCI) (DSS). Estos requisitos PCI DSS están organizados en 6 grupos relacionados lógicamente, los cuales son objetivos de control. La tabla siguiente ilustra los usos comúnmente utilizados por el titular de la tarjeta y datos sensibles de autentificación; ya sea que el almacenaje de cada elemento esté permitido o prohibido y si cada elemento de datos debe estar protegido. Esta tabla no es exhaustiva, más bien presenta los diferentes tipos de requerimientos que aplican para cada elemento de datos. Los requisitos PCI DSS son aplicables si se almacenan, si se procesan o se transmiten a un Número de Cuenta Primario (PAN). Si un PAN no se almacena, se procesa o no se transmite, los requisitos del PCI DSS no se aplican. Datos del Titular de la Tarjeta Elemento de Datos Almacenaje permitido Protección Requerida PCI DSS Req Número de Cuenta Primario (PAN) SI SI SI Nombre del Titular de la tarjeta SI SI * NO Código de Servicio SI SI * NO Fecha Expiración SI SI * NO Datos Sensibles de autenticidad ** Banda Magnética total NO N/A N/A CVC2/CVV2/CID NO N/A N/A PIN / PIN Block NO N/A NA * Estos elementos de datos deben ser protegidos si están almacenados conjuntamente con el PAN. Esta protección debe ser consistente conjuntamente con los requisitos PCI DSS para la protección general del titular de la tarjeta. Adicionalmente, la otra legislación (por ejemplo, relacionada con la protección de datos del consumidor, hurto de la identidad, ó seguridad de datos personal), pueden requerir una protección específica de estos datos o el acceso apropiado de las prácticas de una compañía si los datos personales del consumidor están siendo recolectados durante el curso de un negocio. PCI DSS, sin embargo, no aplica si el PAN no se almacena, no se procesa o no se transmite. ** Los Datos sensibles de autentificación no deben ser almacenados subsecuentemente a autorización (incluso cifrada) TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 3

4 Estos requisitos de seguridad aplican a todos los componentes del sistema. Los componentes del sistema están definidos como cualquier componente de red, servidor o uso que se incluya dentro o esté conectado con el ambiente de datos del titular de la tarjeta. El ambiente de los datos del titular de la tarjeta es la parte de la red que posee los datos del titular de la tarjeta o datos sensibles de autentificación. Una segmentación adecuada de la red, la cual aísla los sistemas de almacenamiento, de proceso o transmisión de datos del titular de la tarjeta de aquellos que no lo son, pueden reducir el alcance de los datos del titular de la tarjeta. Los componentes de Red incluyen pero no son limitados a los cortafuegos, a los interruptores, a los rastreadores, a los puntos de acceso inalámbricos, a las aplicaciones de la red y a otras aplicaciones de seguridad. Los tipos de servidor incluyen pero no son limitados a lo siguiente: Web, bases de datos, autentificación, correo, proxy, Network Time Protocol, (NTP) y, Domain Name Server (DNS). Las aplicaciones incluyen todos los usos adquiridos incluyendo aplicaciones tanto internas como externas (Internet). Construir y mantener una Red Segura Requisito 1: Instalar y mantener una configuración para proteger los datos del titular de la tarjeta Los cortafuegos son los dispositivos de la computadora en los cuales el software de la computadora de control tanto interna como externamente son permitidos, así como el software dentro de áreas más sensibles dentro de la red interna de la compañía. Los cortafuegos examinan todos los software de la red y bloquea aquellas transmisiones que no encuentran criterios específicos de seguridad. Todos los sistemas deben ser protegidos a accesos no autorizados del Internet, ya sea si incorporan el sistema como acceso de los browsers como e-comercio, acceso de los empleados a Internet a través de browsers, o acceso de los empleados al correo electrónico. A menudo las trayectorias aparentemente insignificantes a y desde Internet, pueden proveer caminos desprotegidos en los sistemas claves. Los cortafuegos son un mecanismo clave de protección para cualquier red Establezca los estándares de la configuración del cortafuego que incluye lo siguiente: Un proceso formal para aprobar y probar todas las conexiones de red externas y cambios a la configuración del cortafuegos Un diagrama actual de la red con todas las conexiones a los datos del titular de la tarjeta, incluyendo cualquier red inalámbrica Requisitos para un cortafuego en cada conexión de Internet y entre cualquier zona desmilitarizada y la zona interna de la red Descripción de grupos, los papeles, las responsabilidades para el manejo lógico de los componentes de la red Lista documentada de los servicios de la red y de los puertos necesarios para el negocio Justificación y documentación para cualquier protocolo disponible además del protocolo de transferencia de hypertext (http), asegurar hendidura (SSL), asegurar las cortezas (SSH), y la justificación privada virtual (VPN) Justificación y documentación para cualquier riesgo (por ejemplo, protocolo de transferencia de archivo (FTP), el cual incluye las razones para uso de las características del protocolo y de las características de seguridad implementadas Revisión trimestral de los cortafuegos y rutas establecidas. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 4

5 Configuración de los estándares de las rutas Construya una configuración del cortafuego que restrinja todo software no confiable de redes y anfitriones, excepto para los protocolos necesarios para el ambiente de los datos del titular de la tarjeta Construya una configuración del cortafuego que restrinja conexiones entre los servidores públicos accesibles y cualquier componente del sistema que almacena datos del titular de la tarjeta, incluyendo conexiones de redes inalámbricas. Este cortafuego debe incluir lo siguiente: El software de entrada de restricción del Internet a las direcciones de Protocolo de Internet(IP) dentro DMZ (filtros de ingreso) Direcciones internas que no permitan el paso de Internet dentro de DMZ Implementación de una inspección, también conocida como paquete dinámico que filtra (la cual es, solamente una conexión establecida dentro de la red) Colocar la base de datos en una zona interna de red, segregada de DMZ Restricción de software de entrada y salida al que sea necesario para el ambiente del titular de la tarjeta Asegurar y sincronizar archivos de la configuración de las rutas. Por ejemplo, (los archivos de funcionamiento de la configuración, para el funcionamiento normal de rutas), y los archivos de encendido (cuando se reanudan las máquinas), deben tener la misma configuración de seguridad Negar todas las otras entradas y salidas no específicamente permitidas Instalar perímetros entre cualquier red inalámbrica y el ambiente de datos del titular de la tarjeta, y configurar estos cortafuegos para restringir cualquier software del ambiente inalámbrico o controlador de cualquier software (si tal software es necesario para los propósitos del negocio) Instalar software personal del cortafuego en cualquier móvil y las computadoras del personal con conectividad directa a Internet (por ejemplo, computadoras portátiles usadas por los empleados) que se utilizan para acceso a la red de la organización Prohíba el acceso público directo entre redes externas y cualquier componente del sistema que almacena información del titular de la tarjeta (por ejemplo, base de datos, logos, rastreo de archivos) Implementar un DMZ en ejecución para filtrar y defender todo el software y prohibir las rutas directas para el software de entrada y de salida Restrinja el software de salida de usos de la tarjeta de pago a las direcciones del IP dentro del DMZ Implemente el IP en ejecución disimuladamente para evitar que las direcciones internas sean traducidas y reveladas en Internet. Use las tecnologías para implementar la dirección en ejecución del RFC 1918, como conversión de dirección portuaria de la conversión de dirección (PAT) o de la red (NAT). Requisito 2: No utilice los defectos provistos del vendedor para las contraseñas del sistema y otros parámetros de la seguridad Piratas cibernéticos (externos e internos a la compañía) a menudo utilizan contraseñas defectuosas y otras fallas establecidas para comprometer los sistemas. Estas contraseñas y regulaciones son muy bien conocidas en las comunidades de los piratas cibernéticos y fácilmente determinadas por información pública. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 5

6 2.1. Siempre cambie de proveedor de ítems antes de instalar un sistema en la red (por ejemplo, incluya contraseñas, protocolo simple del manejo de la red (SNMP) y eliminación de cuentas innecesarias) Para ambientes inalámbricos, cambie las defectos inalámbricos del vendedor, incluyendo pero no limitado a, llaves de aislamiento equivalentes (WEP), omitir al identificador determinado del servicio (SSID), contraseñas y secuencias de la comunidad SNMP. Inhabilitar las difusiones SSID. Permitir acceso protegido de la tecnología WiFi (WPA y WPA2) para el cifrado y la autentificación cuando es WPA-idóneo Desarrollar los estándares de configuración para todos los componentes del sistema. Asegurarse que estos estándares manejan todas las vulnerabilidades conocidas de la seguridad y son consistentes con el sistema aceptado en la industria que endurece estándares según lo definido, por ejemplo, por la seguridad de la red de SysAdmin audit. (SANS), el Instituto Nacional de los Estándares de la Tecnología (NIST) y el Centro para la Seguridad del Internet (CIS) Implementar solamente una función primaria por servidor (por ejemplo, servidores web, base de datos de servidores, y el DNA debe ser implementado en servidores separados) Inhabilitar todos los servicios y protocolos innecesarios e inseguros (los servicios y los protocolos no necesariamente útiles para realizar la función especificada de los dispositivos) Configurar los sistemas de seguridad para prevenir usos erróneos Remover toda funcionalidad innecesaria, tal como escritos, conductores, características, subsistemas, archivos del sistema, y servidores de la web innecesarios Encriptar todo el acceso administrativo de la no-consola. Utilizar tecnologías tales como SSH, VPN o SSL/TLS (transporte de seguridad) para manejo de la base web y otros accesos administrativos de no-consola La recepción de proveedores debe proteger cada ambiente recibido y los datos de cada entidad. Estos proveedores deben reunir requisitos específicos como se detalle en el Apéndice A: PCU DSS Aplicabilidad Para Proveedores. Proteger los datos del titular de la tarjeta Requisito 3: Proteger los datos almacenados del titular de la tarjeta Encriptación es un componente crítico de la protección de datos del titular de la tarjeta. Si un intruso engaña otros controles de la seguridad de la red y accede a los datos cifrados, sin las llaves criptográficas apropiadas, los datos son ilegibles e inutilizables a esa persona. Otros métodos eficaces para proteger datos almacenados se deben considerar como oportunidades potenciales para mitigar riesgos. Por ejemplo, los métodos para reducir al mínimo riesgo incluyen no almacenar datos del titular de la tarjeta a menos que sea absolutamente necesario, los datos del titular de la tarjeta se cortan si el PAN no es necesario y no envían PAN a correos no encriptados Mantener y almacenar datos del titular de la tarjeta a un mínimo grado. Desarrollar una política de la retención y de la disposición de los datos. Limitar la cantidad de almacenaje y retención al que se requiera para los propósitos del negocio, legales y/o regulatorios, según lo documentado en la política de retención de los datos. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 6

7 3.2. No almacene los datos sensibles de autentificación subsecuentes a la autorización (aunque cifrada). Los datos sensibles de autentificación incluyen los datos según lo citado en los siguientes requisitos: No almacenar el contenido completo de ningún rastreador de la banda magnética (la cual está en la parte posterior de una tarjeta, en un chip o en otro lugar). Estos datos alternativamente se llaman rastreo total, rastreo, rastreo 1, rastreo 2, y los datos de la banda magnética. En el curso normal del negocio, los elementos de datos siguientes de la banda magnética pueden necesitar ser conservados: el nombre del titular de la cuenta, el número de cuenta primario (PAN), la fecha de vencimiento y el código del servicio. Para minimizar los riesgos almacenar solamente estos elementos de datos necesarios para el negocio. NUNCA almacene el código o el valor o el PIN de verificación de la tarjeta de datos. Nota: Vea el Glosario para información adicional No almacene el código de validación de la tarjeta (número de tres dígitos o de cuatro dígitos impresos en el frente o parte posterior de la tarjeta de pago) utilizado para verificar las transacciones de la tarjeta. Nota: Vea el Glosario para información adicional No almacenar el número de identificación personal (PIN) o el bloque de PIN encriptado Disimule el PIN cuando está exhibido (los primeros seis o los últimos cuatro dígitos pasados son el número máximo de los dígitos que se mostrarán). Nota: Este requisito no aplica a los empleados y a otras partes con una necesidad específica para considerar el PIN lleno; tampoco el requisito invalida requisitos en el lugar para la exhibición de los datos del titular de la tarjeta (por ejemplo, para los recibos en el punto de venta [POS]) Suministre el PIN a un nivel mínimo, ilegible donde quiera esté almacenado (incluyendo datos sobre medios digitales portátiles, backup de medios, en registros y datos recibidos de o almacenados por las redes inalámbricas) por el uso de aproximaciones a las siguientes accesos: Funciones unidireccionales fuertes del hash (índices hashed) Limitaciones Índices de señales y respaldos (los respaldos deben ser almacenados con seguridad) Fuertes caracteres con procesos dominantes asociados a los procesos y procedimientos de administración. La información MINIMA de la cuenta que debe ser ilegible es el PAN. Si por alguna razón, una compañía no es capaz de cifrar datos del titular de la tarjeta, referirse al Apéndice B: Controles de Compensación para Almacenaje de Datos Encriptados Si se utiliza la encriptación del disco (más que archivos o nivel de base de datos encripatados), accesos lógicos deben ser administrados independientemente de mecanismos originales del sistema de acceso de control operativo (por ejemplo, no a través del uso del sistema local o cuentas activas del directorio). Las llaves de desciframiento no deben atarse a las cuentas del usuario) Proteger las claves de encriptamiento utilizadas para el cifrado de datos del titular de la tarjeta contra el acceso y mal uso de las mismas Accesos restringido al menor número posible de cuidadores necesarios Almacenar las claves con seguridad en pocas lugares y configuraciones. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 7

8 3.6 Documento completo e implementación de todos los procesos y procedimientos de las claves administrativas para el uso de claves de encriptación de la información del titular de la tarjeta, incluyendo lo siguiente: Creación de claves Distribución segura de claves Almacenaje seguro de claves Cambio periódico de claves Considerado como necesario y recomendado para las aplicaciones asociadas (por ejemplo, reintroducción, preferiblemente automática) Al menos anualmente Destrucción de claves antiguas Conocimiento y establecimiento de control dual de claves (requiere dos o tres personas, cada cual conoce su parte de la clave, para reconstruir toda la clave) Prevención no autorizada de sustitución de claves Reemplazo de conocidas o comprometidas claves Revocación de antiguas o inválidas claves Requerimiento de cuidadores de claves que entiendan y aceptan sus responsabilidades como guardianes de las claves Requisito 4: Encripte la transmisión de los datos del titular de la tarjeta a través de redes abiertas o de redes públicas Información sensible debe ser encriptada durante la transmisión sobre redes que son fáciles y campo común para los piratas cibernéticos para interceptar, modificar y diversificar la información cuando está en proceso Utilizar la criptografía y protocolos de seguridad tales como hendiduras seguras (SSL)/transporte seguro de acodos (TLS) y protocolos seguros de Internet (IPSEC) para salvaguardar información del titular de la tarjeta durante la transmisión sobre redes pública abiertas. Ejemplos de redes públicas abiertas que están al alcance de PCI DSS están en Internet, WiFi (IEEE x), sistemas globales de comunicaciones de móviles (GSM) y paquetes generales de servicio de radio (GPRS) Para las redes inalámbricas de transmisión de información del titular de la tarjeta encriptar la transmisión utilizar transmisiones de tecnología protegida WiFi (WPA o WPA2), IPSEC VPN o SSL/TLS. Nunca confíe exclusivamente en la equivalencia atada con alambre (WEP) para proteger confidencialidad y acceso a LAN inalámbrico. Si WEP es utilizado, haga lo siguiente: Utilizar una clave encriptada de 104-bit y 24 valores de bip Utilice conjuntamente SOLO con WiFi acceso protegido (WPA o WPA), tecnología VPN o SSL/TLS Rotar trimestralmente claves compartidas WEP (o automáticamente si la tecnología lo permite) Rotar claves compartidas WEP cuando hay cambios en personal con acceso a las mismas Restringir el acceso basado en la dirección del código de acceso de los medios (MAC) Nunca envíe por correo PANs no encriptados TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 8

9 Mantenga un Programa de Gerencia de la Vulnerabilidad Requisito 5: Utilice y regularmente actualice programas de antivirus Muchas vulnerabilidades y virus maliciosos se incorporan a la red a través de correo de los empleados. El software del antivirus se debe utilizar en todos los sistemas comúnmente afectados por los virus para proteger los sistemas contra software malicioso Desplegar el software del antivirus en todos los sistemas comúnmente afectados por los virus (particularmente los ordenadores personales y los servidores). Nota: los sistemas afectados por los virus no incluyen típicamente sistemas operativos UNIX o mainframes Asegurarse que el programa de antivirus sea capaz de detectar, remover y proteger contra otras formas de software malicioso, incluyendo spyware y adware Asegurarse que todos los mecanismos antivirus estén vigentes, activamente en funcionamiento y capacitado para generar auditorias. Requisito 6: Desarrolle y mantenga sistemas y aplicaciones de seguridad Individuos sin escrúpulos utilizan las vulnerabilidades de seguridad para tener acceso privilegiado a los sistemas. Muchas de estas son arregladas por piezas provistas por el vendedor de la seguridad. Todos los sistemas deben tener las piezas más recientemente lanzadas, apropiadas del software para proteger contra la explotación de los empleados, los piratas cibernéticos externos y los virus. Nota: las piezas apropiadas del software son las piezas que se han evaluado y se han probado suficientemente para determinar que no están en conflicto con la configuración existente de seguridad. Para los usos internos desarrollados, las numerosas vulnerabilidades pueden ser evitadas utilizando procesos estándares del desarrollo del sistema seguridad de las técnicas de codificación Asegurarse que todos los componentes y software del sistema tienen las piezas provistas por el vendedor más recientes de seguridad instaladas. Instalar las piezas relevantes de seguridad dentro del mes de su lanzamiento 6.2. Establezca un proceso para identificar recientemente vulnerabilidades de seguridad (por ejemplo, suscribirse a servicios gratuitos de alerta disponibles en Internet). Actualice estándares para tratar nuevas ediciones de vulnerabilidades 6.3. Desarrolle aplicaciones de software basadas en las mejores prácticas de la industria e incorpore información de seguridad a través del desarrollo del ciclo de vida del software Probar todas las piezas de seguridad y cambios de configuración del sistema y del software antes de desplegarlo Separar, desarrollar, producir y probar ambientes Separar responsabilidades dentro del desarrollo y prueba de ambientes Datos de producción (PANs vivos) no se utilizan para pruebas o desarrollos Retiro de pruebas de datos y cuentas antes que el sistema de producción se active Retiro de las cuentas del cliente, nombres y contraseñas antes que las aplicaciones se activen o sean lanzadas Revisar los códigos antes del lanzamiento para producción a fin de identificar cualquier vulnerabilidad del código 6.4. Seguir los procedimientos de control de cambios para todos los sistemas y configuración del software. Los procedimientos deben incluir lo siguiente: Documentación del impacto TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 9

10 Administración sign-off para partes apropiadas Prueba de funcionabilidad operacional Procedimientos de respaldo 6.5. Desarrollar aplicaciones web basadas en parámetros de codificación seguros tales como Aplicaciones de Proyectos Web Abiertas. Repasar el código de aplicación para identificar vulnerabilidades de la codificación en procesos de desarrollo del software que incluye lo siguiente: Entrada invalidada Control de acceso dañado (por ejemplo, uso malicioso de IDs) Administración dañada de la autentificación y de la sesión (uso de credenciales de la cuenta y de las sesiones cookies) Ataques scripting (XSS) Excesos del almacenados intermediario Defectos de de inyección (por ejemplo, inyección estructurada del lenguaje (SQL) Manejo impropio de errores Almacenaje inseguro Rechazo del servicio 6.6. Asegurar que todos los usos de las aplicaciones WEB estén protegidas contra ataques ya sea aplicando cualquiera de los siguiente métodos: Obteniendo todos los códigos de aplicación revisados para comunes vulnerabilidades por una organización que se especializa en aplicaciones de seguridad Instalación de un cortafuego en frente de las aplicaciones Web Nota: Este método está considerado como la mejor práctica hasta Junio 30, 2008, luego de lo cual llegará a ser un requerimiento. Desarrollo y mantenga fuertes medidas para Control de Acceso Requisito 7: Acceso restringido para datos del titular de la tarjeta por negocio a saber Este requerimiento que información importante puede ser asequible únicamente a personal autorizado Acceso limitado a recursos de computación y a información del titular de la tarjeta sólo a aquellos individuos que requieren dicho acceso 7.2. Establecer un mecanismo para sistemas con múltiples usuarios que restringe acceso basado en la necesidad del usuario y está establecido para rechazar todas a menos que sea permitido específicamente. Requisito 8: Asignar una Identificación única a cada persona con acceso a una computadora Asignar una identificación única a cada persona con acceso a la computadora, asegura que acciones tomadas de datos y sistemas críticos están ejecutados y pueden ser rastreados a usuarios conocidos y autorizados Identificar a todos los usuarios con un nombre único antes de permitir que tengan acceso a los componentes del sistema o a los datos del titular de la tarjeta. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 10

11 8.2. Además de asignar una identificación única, emplear por lo menos uno de los métodos siguientes para autenticar a todos los usuarios: Contraseña Dispositivos simbólicos (por ejemplo, Identificación de seguridad, certificados o claves de uso público) Biométrica 8.3. Implementar un factor doble de autentificación para el acceso remoto de la red por parte de los empleados, administradores y otras partes. Use tecnologías tales como remotas autentificaciones y marque en el sistema de control del servicio (RADIUS) o sistema de control de acceso del Terminal Access Controller con símbolos; o VPN (basado en SSL/TLS o IPSEC) con certificados individuales Encriptar todas las contraseñas durante la transmisión y almacenaje en todos los componentes del sistema 8.5. Asegurar la autentificación del usuario y administración de la contraseña para los nousuarios en todos los componentes del sistema como sigue: Control, cancelación y modificación de identificaciones del usuario, credenciales y otras objetos de identificación Verificar la identidad del usuario antes de resetear una contraseña Establecer contraseñas con un valor único para cada usuario y cambio inmediato luego de su primer uso Revocar inmediatamente accesos a usuarios cancelados Retirar cuentas inactivas de usuarios al menos cada 90 días Habilitar cuentas utilizadas por vendedores para mantenimientos remotos sólo durante el período de tiempo necesarios Comunicar procedimientos de contraseñas y políticas a todos los usuarios que tienen acceso a la información del titular de la tarjeta No utilice grupos compartidos, o cuentas y contraseñas genéricas Cambio de contraseña del usuario al menos cada 90 días Requerimiento de un mínimo de siete caracteres numéricos para la contraseña del usuario Utilice contraseñas que contengan tanto caracteres numéricos como alfabéticos No permita a ningún individuo someta una nueva contraseña que sea la misma como cualquiera de las últimas cuatro que él o ella han utilizado Limitar tentativas de acceso bloqueando la identificación del usuario luego de no más de seis intentos Fijar la duración del cierre a treinta minutos o hasta que el administrador del usuario lo permite Si una sesión ha sido desocupada por más de 15 minutos, requiere que el usuario reingrese la contraseña para reactivar la Terminal Autentificar todo el acceso a cualquier base de datos que contenga datos del titular de la tarjeta. Esto incluye accesos por aplicación de usos, de administradores y todos los otros usuarios Requisito 9: Restringir acceso físico a los datos del titular de la tarjeta Restringir el acceso físico a los datos del titular de la tarjeta. Cualquier acceso a los datos o a los sistemas que contienen datos del titular de la tarjeta proporciona la oportunidad a individuos a los dispositivos o a los datos de acceso para retirar sistemas o disco duro y debe ser restringido apropiadamente. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 11

12 9.1. Utilizar los controles de entrada apropiados para limitar y supervisar el acceso físico a los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta Utilice cámaras o monitores en áreas sensibles. Revisar los datos recogidos y correlacionarlos con otras entradas. Almacene por lo menos por tres meses, a menos que sea restringido de otra manera por ley Restringir acceso físico a los gastos públicos accesibles de la red Restringir acceso físico a los puntos de acceso inalámbricos, a las entradas y a los dispositivos de mantenimiento 9.2. Desarrollar procedimientos para ayudar al personal para que fácilmente distinga entre empleados y visitantes, especialmente en áreas donde están accesibles los datos del titular de la tarjeta. Empleado se refiere a empleados a tiempo completo y por horas, a empleados y a personal temporal y a los consultores que son residentes en el sitio de la entidad. Definen a un visitante como un vendedor, huésped o personal de servicio o cualquier persona que necesite ingresar a la locación por un período corto de duración, usualmente no más de un día Asegurarse que todo visitante sea manejado como sigue: Autorizado antes de ingresar a áreas donde la información del titular de la tarjeta es procesada o mantenida Entregar un símbolo físico (por ejemplo, placas o dispositivos de acceso) que expiran y que lo identifican como visitante y no empleado Solicitar la entrega del símbolo físico antes de que salga de la locación o en la fecha de expiración 9.4. Utilice un logo de visitante para mantener una auditoria de la actividad del visitante. Retenga este logo por un mínimo de tres meses, a menos que sea restringido por ley 9.5. Almacene respaldos en una locación segura, preferiblemente en un sitio tal como una alternativa de respaldos del sitio o una facilidad de almacenamiento comercial Asegurar físicamente todo el papel y medios electrónicos (computadoras, incluyendo los medios electrónicos, hardware del establecimiento de una red y de las comunicaciones, recibos, reportes y faxes) que contienen la información del titular de la tarjeta 9.7. Mantenga un estricto control sobre la distribución interna y externa de cualquier tipo de medios que contengan información del titular de la tarjeta incluyendo lo siguiente: Clasificar los medios así que puedan ser identificados como confidencial Enviar a través de un courier seguro y otro tipo de entrega que pueda ser rastreada con exactitud 9.8. Asegurar aprobaciones administrativas de cualquier y todos los medios que son movidos de un área segura (especialmente cuando son distribuidos por individuos) 9.9. Mantener un control estricto sobre el almacenamiento y accesibilidad de medios que contienen información del titular de la tarjeta 9.1. Inventario de todos los medios y asegurarse que están bien almacenados Destruir medios que contienen información del titular de la tarjeta cuando no es ya necesitada para negocios o por razones legales como sigue: Fragmentar, incinerar o triturar materiales de disco duro Purgar, neutralizar, fragmentar o destruir electrónicamente medios que no permitan que la información del titular de la tarjeta sea reconstruida Supervise y pruebe regularmente las Redes Requisito 10: Rastree y monitoree todo acceso a los recursos de la red y datos del titular de la tarjeta TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 12

13 Los mecanismos de registro y la habilidad de las actividades de rastreo del usuario son críticos. La presencia de logs en todos los ambientes permite a través del rastreo identificar si algo está mal. Determinar la causa de un compromiso es muy difícil sin un sistema de logs Establezca un proceso para unir todos los accesos del sistema (especialmente accesos realizados con privilegios administrativos tales como rutas) para cada usuario individualmente Implemente pistas automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos: Todos los accesos de usuario individuales a los datos del titular de la tarjeta Todas las acciones tomadas por el individuo con rutas o privilegios administrativos Acceso a todas las revisiones de la cuenta Intentos inválidos de acceso lógico Uso de mecanismos de identificación y autentificación Inicialización de registros Creación y cancelación de objetos a nivel del sistema Registrar por lo menos las siguientes entradas para todos los componentes del sistema para cada evento: Identificación del usuario Tipo de evento Fecha y hora Indicación de éxito o fracaso Origen del evento Identificación o nombre de datos afectada, del componente del sistema o del recurso Sincronizar todos los relojes y horas críticas del sistema Asegurar registros a fin de que no puedan ser alterados Limitar la vista de los registros a aquellos con una necesidad relativa al trabajo Proteger archivos de registros de modificaciones no autorizadas Hacer registros de respaldo en un servidor centralizado o medio que sea difícil de alterar Copiar registros de logs para redes inalámbricas dentro de un servidor en LAN Utilizar un archivo de monitoreo y detección de cambios de software o logs para asegurar que existe una información Log que no puede ser cambiada sin generar alertas (aunque nueva información sea agregada no debe causar una alerta) Repasar los registros para todos los componentes del sistema diariamente. Esta revisión puede incluir aquellos servidores que realicen funciones de seguridad como el sistema de detección de intromisión (IDS) y autentificación, autorización y protocolo de servidores de cuenta (AAA), (por ejemplo RADIUS). Nota: El registro de log, análisis y alerta de herramientas pueden ser utilizados de conformidad con el Requerimiento Mantener el registro histórico por lo menos un año, con un mínimo de tres meses de disponibilidad en línea Requisito 11: Pruebe regularmente los sistemas y procesos de seguridad Vulnerabilidades son descubiertas continuamente por piratas cibernéticos y buscadores e introducidas por nuevo software. Los sistemas, procesos y el software desarrollado se deben probar con frecuencia para asegurar que la seguridad de mantenga sobre el tiempo y con algunos cambios en el software. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 13

14 11.1. Probar los controles de seguridad, las limitaciones, las conexiones de red y las restricciones anualmente para asegurar la capacidad de identificar y de detener adecuadamente cualquier tentativa no autorizada de acceso. Utilice un analizador inalámbrico por lo menos trimestralmente para identificar todos los dispositivos inalámbricos en uso Explore vulnerabilidades de la red interna y externa al menos trimestralmente y luego de cualquier cambio significativo en la red (tales como instalación de nuevos componentes del sistema, cambios de topología en la red, modificaciones de cortafuegos, mejoras de productos). Nota: las exploraciones externas trimestrales de vulnerabilidad se deben realizar por un vendedor calificado por la industria de la tarjeta de pago. Exploraciones conducidas luego de cambios en la red pueden ser ejecutados por personal interno de la compañía Realizar pruebas de penetración por lo menos una vez al año y después de cualquier aplicación mejorada significativa de la infraestructura o modificación (tal como mejora del sistema operativo, una sub-red añadida al ambiente, o un servidor web también agregado) Penetración de pruebas de la red Aplicación de pruebas de penetración Utilice los sistemas de detección de intromisión de la red, los sistemas de detección de intromisión host y sistemas de prevención de intromisión para supervisar todo el tráfico de la red y alertar al personal de compromisos sospechosos. Mantenga toda detección de intromisión y prevención actualizada Desplegar la integridad del archivo que supervisa el software para alertar al personal de modificaciones no autorizadas del sistema o archivos; configurar el software para realizar comparaciones críticas del archivo por lo menos semanalmente. Los archivos críticos no son necesariamente sólo aquellos que contienen datos del titular de la tarjeta. Para propósitos de monitoreo, los archivos críticos no son aquellos que regularmente cambian, pero la modificación de los cuales puede indicar un compromiso del sistema o un riesgo del compromiso. La integridad del archivo que supervisa productos viene generalmente pre-configurado con los archivos críticos para el sistema operativo relacionado. Otros archivos críticos, tales como aquellos para los usos de encargo, se deben evaluar y definir por la entidad (que es el comerciante o el abastecedor del servicio). Mantenga una Política de Seguridad de la Información Requisito 12: Mantenga una política direccionada de información de seguridad Una política fuerte de seguridad establece el tono de seguridad para la compañía e informa a los empleados qué espera de ellos. Todos los empleados deben estar advertidos de la sensibilidad de datos y de su responsabilidad de protegerlos Establecer, publicar, mantener y difundir una política de seguridad que compromete lo siguiente: Destinar todos los requisitos en esta especificación Incluir un proceso anual que identifique amenazas y vulnerabilidades y resultados de riesgo TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 14

15 Incluir una revisión de por lo menos una vez al año y actualizarlos cuando el ambiente cambie Desarrollar diariamente procedimientos de seguridad operativos que sean consistentes con los requerimientos en esta especificación (por ejemplo: procedimientos de mantenimiento del usuario de la cuenta, y procedimientos de revisión de logs) Desarrollar políticas de uso para empleados que manejan tecnologías (tales como módems e inalámbricos) para definir uso apropiado de esas tecnologías para los empleados y contratistas. El uso de estas políticas requiere lo siguiente: Aprobación explícita administrativa Autentificación para el uso de tecnología Lista de todos los dispositivos y personal con acceso a ellos Etiquetado del dueño de los dispositivos, información de contacto y propósito Usos aceptables de la tecnología Locaciones aceptables de red para las tecnologías Lista de productos aprobados por la compañía Desconexión automática de las sesiones de modem luego de un específico tiempo de inactividad Activación de módems para vendedores solo cuando sea necesario para ellos, con inmediata desactivación luego de su uso Cuando se accede remotamente vía modem a la información del titular de la tarjeta, prohibición de almacenaje de la información del titular de la tarjeta en cursores locales, discos floppy u otros medios externos. Prohibición de cortar y pegar e imprimir funciones durante accesos remotos Asegurar que la política y procedimientos de seguridad claramente definan responsabilidades de seguridad de la información a todos los empleados y contratistas Asignar a un individuo o equipo las responsabilidades administrativas de seguridad de la información: Establecer, documentar y distribuir políticas y procedimientos de seguridad Monitorear y analizar alertas e información de seguridad y distribuir al personal apropiado Establecer, documentar y distribuir respuestas de incidentes de seguridad y escala para asegurar oportuna y efectivamente el manejo de todas las situaciones Administrar cuentas de usuario, incluyendo adiciones, cancelaciones y modificaciones Monitorear y control todo acceso a la información Implementar un programa de seguridad formal para que todos los empleados adviertan la importancia de la seguridad de información del titular de la tarjeta Instruir a los empleados contratados al menos anualmente (por ejemplo, por cartas, carteles, memorandum, reuniones y promociones) Requerir por escrito que el empleado conozca y que haya leído y entendido las políticas y procedimientos de seguridad de la compañía Minimizar los riesgos de ataques de fuentes internas. Se recomienda este requerimiento para aquellos empleados tales como cajeros de almacén quienes sólo tienen acceso a un número de tarjeta a la vez cuando faciliten una transacción Si la información del titular de la tarjeta es compartida con el proveedor del servicio, lo siguiente es requerido: El proveedor del servicio debe apegarse a los requisitos PCI DSS TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 15

16 Acuerdos que incluyan un conocimiento de que el proveedor del servicio es responsable por la seguridad del la información del titular de la cuenta que el proveedor procesa Implementar un plan de respuesta en ejecución del incidente Crear un plan de respuesta del incidente a ser implementado en el caso que comprometa al sistema. Asegurar la dirección del plan en procedimientos mínimos específicos de respuesta del incidente, procedimientos de la recuperación del negocio y de continuidad, procesos de la reserva de datos, papeles y responsabilidades y comunicaciones y estrategias de contacto (por ejemplo, informar a los adquirientes y a las asociaciones de tarjeta de crédito) Probar el plan por lo menos una vez al año Designar personal específico disponible 24 horas los siete días para responder alertas Proveer entrenamiento apropiado al personal con fallas en las respuestas de responsabilidades Incluir alertas de detección de intromisión, prevención de intromisiones y de sistemas de integridad del archivo Desarrollar procesos para modificar y desplegar plan de respuestas de incidentes de acuerdo a las lecciones aprendidas e incorporarla en la industria Todos los procesadores y abastecedores de servicios deben mantener y poner políticas y procedimientos en ejecución para manejar entidades relacionadas, que incluyan lo siguiente: Mantener una lista de entidades relacionadas Asegurar una diligencia debida antes de contactarse con la entidad Asegurar que la entidad es PCI DSS Conectar y desconectar entidades siguiendo procesos establecidos TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 16

17 Apéndice A: Aplicabilidad del PCI DSS para recibir proveedores Requerimiento A1: Aceptar proveedores que protejan el ambiente de los datos del titular de la tarjeta Según lo referido al requisito 12.8, todos los proveedores de servicio con acceso a los datos del titular de la cuenta (incluyendo aceptación de proveedores), deben apegarse al PCI DSS. Adicionalmente, el Requisito 2.4 indica que la aceptación de proveedores debe proteger cada entidad de ambiente e información. Por lo tanto, la aceptación de proveedores debe tener consideraciones especiales a lo siguiente: A.1. Proteger cada ambiente e información de la entidad ( sea mercantil, proveedor de servicio u otra entidad) A.1.1. Asegurar que cada entidad tenga acceso sólo al propio ambiente de los datos del titular de la tarjeta A.1.2. Restringir el acceso y los privilegios de cada entidad al propio ambiente de los datos del titular de la tarjeta A.1.3. Asegurar que el registro y rastreo de intervención sean habilitados para cada entidad del titular de la tarjeta y consistente con lo indicado en el Requisito 10 con PCI DSS A.1.4. Habilitar procesos para proveer oportunamente investigación forense en el caso de comprometer cualquier comerciante proveedor del servicio recibido Un proveedor debe satisfacer estos requisitos así como el resto de secciones relevantes del PCI DSS. Nota: Aunque un proveedor cumpla estos requisitos, la conformidad de la entidad que utiliza este proveedor no está garantizada necesariamente. Cada entidad debe llenar todas las necesidades con PCI DSS y validad su cumplimiento como aplicable. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 17

18 Apéndice B: Controles de Compensación Compensación de Controles General Los controles de compensación pueden ser considerados para la mayoría de requisitos del PCI DSS cuando una entidad no puede resolver una especificación técnica requeridos, pero que han atenuado los riesgos asociados. Ver el Glosario PCI DSS para la completa definición de controles de compensación. La efectividad de un control de compensación esta sujeto a un específico ambiente en el cual el control es implementado, a los controles de seguridad que le rodean y a la configuración del control. Las compañías deben estar advertidas que una compensación particular de control no puede ser efectiva en todos los ambientes. Cada compensación de control debe ser evaluada y luego implementada para asegurar su efectividad. Las siguientes direcciones proveen controles de compensación cuando las compañías están inhabilitadas para rendir datos del titular de la tarjeta no legibles por el requerimiento 3.4. Compensación de Controles para Requisito 3.4. Para compañías inhabilitadas para rendir datos del titular de la tarjeta no legibles (por ejemplo, por encriptación), debido a limitaciones o necesidades técnicas del negocio, controles de compensación pueden ser considerados. Sólo empresas que han emprendido un análisis del riesgo y tienen tecnología legítima o necesidades documentadas del negocio, el uso de los controles de compensación pueden ser utilizados para adquirir un cumplimiento. Las empresas que consideran la compensación de controles para representar necesidades ilegibles de los datos del titular de la tarjeta, entienden el riesgo de la información manteniendo un lector de información de datos del titular de la tarjeta. Generalmente los controles pueden proveer protecciones adicionales para atenuar cualquier riesgo adicional particular por mantener un lector de información de datos del titular de la tarjeta. Los controles considerados deben constar además de los controles requeridos en PCI DSS y deben satisfacer la Compensación de Controles en el Glosario de PCI DSS. Los Controles de compensación pueden consistir en un dispositivo o en la combinación de dispositivos, aplicaciones y controles que cumplan todas las condiciones siguientes: 1. Proveer adicional segmentación/abstracción (por ejemplo, en la red) 2. Proveer capacidad de restringir el acceso a los datos a las bases de datos del titular de la tarjeta basados en los siguientes criterios Dirección IP / Dirección MAC Aplicaciones / servicios Cuentas de usuarios / grupos Tipo de información (filtración del paquete) 3. Restringir el acceso lógico a la base de datos Acceso lógico de acceso de control de la base de datos independiente del Directorio Activo o Lightweight Directorio Protocolo de Acceso (LDAP) 4. Prevenir/ detectar aplicaciones comunes de ataques de bases de datos (por ejemplo, inyección SQL). TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 18

19 SOLICITUD DE INFORMACION EMPRESA: SITIO WEB: NOMBRE: DIRECCION DE DESCRIBA SU INTERES: Gracias Enviar vía fax a: (919) por a info@hqsintl.com