Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Transcripción

1 Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Noviembre de 2013

2 Introducción Este documento proporciona un resumen de los cambios de la a la de las PA- DSS. La Tabla 1 proporciona una descripción general de los tipos de cambios incluidos en la de las PA-DSS. La Tabla 2 proporciona un resumen de los cambios materiales que se encuentran en la de las PA-DSS. Tabla 1: s de cambios de cambio Guía adicional Definición Aclara el objetivo o la intención del requisito. Asegura que la redacción concisa de la norma exprese el objetivo deseado de los requisitos. Explicación, definición o instrucción orientada a mejorar la comprensión o proporcionar más información sobre un tema particular. s para asegurar que las normas estén al día con las amenazas y los cambios emergentes del mercado. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 1

3 Tabla 2: Resumen de cambios Sección Finalidad de este documento Introducción Introducción Se aclararon el propósito y el uso del documento, y se incluyó referencia a la Plantilla para crear informes ROV (informe de validación) de las PA-DSS. Relación entre PCI DSS y PA-DSS Se agregó la aclaración de que las aplicaciones de las PA-DSS están dentro del alcance de la evaluación de las PCI DSS de una organización. Información sobre la aplicabilidad de las PCI DSS Información sobre la aplicabilidad de las PCI DSS Se reubicó la sección y se actualizó para coincidir con los cambios en las PCI DSS. Se eliminó parte del texto de las PCI DSS que no corresponde a las PA- DSS. Alcance de las PA-DSS Alcance de las PA-DSS Se eliminó información sobre cuáles son las aplicaciones de pago elegibles para las PA-DSS. La información sobre la elegibilidad de las PA-DSS se puede encontrar en la Guía del programa PA-DSS. Funciones y responsabilida des Se eliminó la información relacionada con las partes interesadas relevantes y sus funciones y responsabilidades por las PA-DSS debido a que se incluye en la Guía del programa PA-DSS. Guía de implementació n de las PA- DSS Guía de implementació n de las PA- DSS Se proporcionó más orientación sobre la Guía de implementación de las PA-DSS y se aclaró la función del PA-QSA (asesor de seguridad certificado para las aplicaciones de pago). Guía adicional Instrucciones y contenido para el informe de validación Instrucciones y contenido para el informe de validación Se reubicó el contenido para separar la Plantilla para crear informes ROV (informes de validación). Pasos para completar las PA-DSS Pasos para completar las PA-DSS Se actualizó la sección para centrarse en el proceso de evaluación en lugar de hacerlo en la documentación (los detalles de la documentación se trasladaron a la Plantilla para crear informes ROV [informes de validación]). Guía del programa PA- DSS Guía del programa PA- DSS Se eliminó la referencia a la transición de las PABP (Mejores Prácticas para las Aplicaciones de Pago), debido a que ya no es un proceso de transición. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 2

4 s y procedimientos de evaluación de seguridad de las PA-DSS Requisitos y procedimiento s de evaluación de seguridad de las PA-DSS Se agregó información para definir los encabezados de las columnas de esta sección y se eliminaron las referencias de las columnas Implementado, No implementado y Fecha objetivo/comentarios. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 3

5 s generales implementados en todos los requisitos de las PA-DSS Se agregó una nueva columna de Orientación para describir la intención o el objetivo de seguridad de cada requisito. La orientación de esta columna tiene la intención de ayudar a comprender los requisitos y no reemplaza ni extiende los procedimientos de pruebas ni los requisitos de las PA-DSS. Se actualizaron los requisitos y los procedimientos de pruebas para reflejar los cambios en las PCI DSS, de modo que un requisito de las PA-DSS coincida con un requisito de las PCI DSS. Se actualizó la redacción sobre requisitos y los procedimientos de pruebas correspondientes para obtener alineación y uniformidad. Se separaron los requisitos y los procedimientos de pruebas complejos para lograr claridad, y se eliminaron los procedimientos de pruebas redundantes o superpuestos. Se mejoraron los procedimientos de pruebas para aclarar el nivel de validación esperado para cada requisito, que incluye lo siguiente: Información requerida de la Guía de implementación de las PA-DSS. Se instaló la aplicación según la Guía de implementación de las PA-DSS para verificar la precisión de las instrucciones de la Guía de implementación. Otros cambios de edición general incluyen los siguientes: Se eliminaron las siguientes columnas: Implementado, No implementado y Fecha objetivo/comentarios. Se enumeraron nuevamente los requisitos y los procedimientos de pruebas para adaptarlos a los cambios. Se volvió a dar formato a los requisitos y los procedimientos de pruebas por cuestiones de legibilidad; p. ej., para el contenido de párrafos, se usó un formato con viñetas, etc. Se implementaron cambios menores en todo el texto por cuestiones de legibilidad. Se corrigieron errores tipográficos. Guía adicional Según se define en las PCI DSS Requisito 1 Requisito Requisito 1: general 1.1.c Se actualizó el título por cuestiones de uniformidad, para reemplazar banda magnética con contenido de la pista. Se eliminó el procedimiento de pruebas 1.1.c y se agregó una instrucción sobre los procedimientos de pruebas relacionados para los Requisitos del al Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 4

6 Requisito 2 2.x 2.x Se agregaron los componentes de la Guía de implementación de las PA-DSS a los procedimientos de pruebas de toda esta sección. Se cambió la redacción para hacer referencia a la eliminación segura de los datos, en lugar de la purga. Se mejoraron los procedimientos de pruebas para requerir la validación de las características de enmascaramiento del PAN (número de cuenta principal). Se eliminó el requisito respecto del uso de soluciones de cifrado de disco completo. Se enumeraron nuevamente los requisitos posteriores en consecuencia. 2.6.x 2.5.x Se actualizaron los procedimientos de pruebas para aclarar que las técnicas de administración de claves se deben evaluar de manera adecuada Requisito b 3.1.c Se actualizó para aclarar que el proveedor de la aplicación debe proporcionar un mecanismo para eliminar el material de clave criptográfica en caso de que las sesiones actuales o anteriores hayan usado materiales de clave criptográfica o criptogramas. Se trasladó la nota del procedimiento de pruebas 3.1.d anterior al Requisito 3.1. Se crearon nuevos requisitos a partir de los procedimientos de pruebas 3.1.b 3.1.c anteriores para garantizar que la aplicación exija el cambio de contraseñas predeterminadas y este se valide correctamente. Se trasladó el requisito al para lograr una mejor organización de los requisitos. Se combinaron los requisitos de complejidad de las contraseñas para que coincidan con la de las PCI DSS y proporcionar flexibilidad a otras alternativas de composición de contraseñas que cumplan con los requisitos mínimos de seguridad. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 5

7 Requisito Requisito Se dividió el Requisito 3.3 en dos requisitos para hacer hincapié por separado en las contraseñas transmitidas (3.3.1) y en las contraseñas almacenadas (3.3.2). Se actualizó el Requisito para exigir el uso de un algoritmo criptográfico unidireccional y seguro con una única variable de entrada para que las contraseñas queden ilegibles. Se creó un nuevo requisito para las aplicaciones a fin de restringir el acceso a las funciones o los recursos requeridos e imponer la menor cantidad de privilegios para las cuentas de aplicaciones integradas. Se actualizó el requisito para aclarar los tipos de mecanismos de identificación y autenticación que se deben registrar, lo que incluye la creación de cuentas nuevas. Se mejoró el requisito para incluir revisiones de seguridad en los procesos de. Se creó un nuevo requisito para los desarrolladores de aplicaciones de pago a fin de verificar la integridad del código fuente durante el proceso de. Se creó un nuevo requisito para que las aplicaciones de pago se desarrollen de conformidad con las mejores prácticas de la industria en cuanto a las técnicas de codificación segura, que incluyen lo siguiente: Desarrollo con la menor cantidad de privilegios para el entorno. Desarrollo con valores predeterminados a prueba de errores, p. ej., de manera predeterminada, se niegan todas las ejecuciones, a menos que se especifique en el diseño inicial. Desarrollo para todas las consideraciones de punto de acceso, incluidas las variaciones de entrada, como una entrada multicanal a la aplicación. Documentación sobre cómo se manejan el PAN (número de cuenta principal) o los SAD (datos de autenticación confidenciales) en la memoria. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 6

8 5.1.7 Se creó un nuevo requisito creado a partir de los procedimientos de pruebas 5.2.a y 5.2.b anteriores para que los desarrolladores de la aplicación de pago reciban capacitación en las prácticas de seguro Requisito Se actualizó el requisito para centrarse en la prevención de vulnerabilidades de codificación frecuentes. Se creó un nuevo requisito para abordar la Autenticación y administración de sesión interrumpidas. Se trasladó el requisito al 8.2 para que coincida con otros requisitos que facilitan un entorno seguro para las PCI DSS, y se mantuvo el requisito 5.x enfocado en las prácticas de de software. Se incorporaron nuevos requisitos para el proveedor de la aplicación de pago a fin de definir e implementar una metodología de control de versiones de conformidad con la Guía del programa PA-DSS. Se creó un nuevo requisito para los proveedores de la aplicación de pago para incorporar técnicas de evaluación de riesgos en su proceso de de software. Se creó un nuevo requisito para los proveedores de la aplicación de pago para implementar un proceso de autorización formal antes del lanzamiento final. Se reorganizaron los requisitos para aclarar los controles que se aplican a todas las aplicaciones y los controles que se aplican únicamente cuando se proporciona y se pretende el uso inalámbrico con la aplicación de pago. Se creó un nuevo requisito 6.3 a partir del procedimiento de pruebas 6.2.b anterior. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 7

9 Requisito 7 Requisito 7: general Se actualizó el título para reflejar la intención del requisito (abordar las vulnerabilidades y mantener las actualizaciones de la aplicación). Se dividieron los requisitos y se exige el uso de fuentes conocidas para obtener información sobre vulnerabilidades de seguridad Se dividieron los requisitos. 7.3 Se creó un nuevo requisito para el proveedor de aplicaciones para proporcionar notas de la versión para todas las actualizaciones de la aplicación. Requisito Requisito Requisito Se expandió el ejemplo para aclarar la intención del requisito. Se trasladó el requisito de 5.4 para que coincida con otros requisitos que facilitan un entorno seguro de las PCI DSS. Se trasladó el requisito de 10.1 para que coincidan con otros requisitos que facilitan un entorno seguro de las PCI DSS. Se agregó información para aclarar la intención del requisito de que no se exija que los servidores web y los componentes de almacenamiento de datos del titular de la tarjeta deban estar en la misma zona de red, con las bases de datos como un ejemplo de un componente de almacenamiento de datos del titular de la tarjeta y con la DMZ (zona desmilitarizada) como ejemplo de zona de red. Se trasladó el requisito al 8.3 para que coincida con otros requisitos que facilitan un entorno seguro de las PCI DSS. Se volvieron a enumerar los requisitos posteriores. Se aclaró que el requisito se aplica al acceso remoto que se origina desde afuera de la red del cliente. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 8

10 Se creó un nuevo requisito para los proveedores que prestan servicios de soporte/mantenimiento a los clientes para mantener credenciales de autenticación exclusivas para cada cliente Requisito Se actualizó para aclarar que el requisito rige para todos los tipos de acceso remoto. Se implementaron actualizaciones mínimas para proporcionar aclaraciones adicionales y que coincida con las PCI DSS. Requisito Se reorganizaron los requisitos para aclarar los controles que se aplican a todas las aplicaciones y los controles que se aplican únicamente cuando la aplicación de pago facilita el acceso administrativo que no sea de consola. Requisito 13 Requisito 13: general Requisito 14 Requisito 14: general 14.1 Se cambió el título para centrarse en los requisitos para la Guía de implementación de las PA-DSS. Requisitos para la documentación instruccional y los programas de capacitación se trasladan al nuevo requisito 14. Se creó un nuevo requisito para validar que la Guía de implementación de las PA-DSS sea específica para la aplicación y las versiones evaluadas. Se aclaró la intención de que la Guía de implementación de las PA-DSS se debe revisar y actualizar cada vez que cambia la aplicación o los requisitos de las PA-DSS. Consulte General 13 anterior. Se creó un nuevo requisito para centrarse en la documentación instruccional y los programas de capacitación, lo que incluye la capacitación interna para el personal del proveedor con responsabilidades por las PA-DSS. Se creó un nuevo requisito para proporcionar seguridad de la información y capacitación en las PA- DSS, al menos, una vez al año para el personal del proveedor con responsabilidad por las PA-DSS. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 9

11 14.2 Se creó un nuevo requisito para la asignación de responsabilidades por las PA-DSS al personal del proveedor. Anexo B Se mejoraron los requisitos antes incluidos en el requisito 13 para los programas de capacitación de integradores/revendedores. Se aclaró la intención de que los materiales de capacitación se deben revisar y actualizar cada vez que cambia la aplicación o los requisitos de las PA-DSS. Confirmación de la configuración del laboratorio de pruebas específica de la evaluación de las PA-DSS Configuración del laboratorio de pruebas para las evaluaciones de las PA-DSS Se volvió a organizar el Anexo para proporcionar información sobre las expectativas y las capacidades del laboratorio necesarias para llevar a cabo evaluaciones de las PA-DSS. Se trasladaron los detalles y la plantilla para documentar la configuración del laboratorio de pruebas a fin de separar la Plantilla para crear informes ROV (informes de validación) de las PA-DSS. Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Página 10