PCI DSS: Los 12 requisitos [Parte 1]

PCI DSS: Los 12 requisitos [Parte 1]

Una sencilla introducción a los requisitos de seguridad 1 y 2

PCI DSS es una normativa de seguridad que deben cumplir todas las empresas que manejan datos de titulares de tarjetas de crédito o débito. Y prepárate porque esta saga va para largo.

Si estás aquí, probablemente ya sabes cuál es el formulario de evaluación SAQ o ROC que le toca a tu empresa, pero quieres profundizar en cómo cumplir con los 12 requisitos y sus controles de seguridad.

Para empezar, debes saber que PCI DSS agrupa los 12 requisitos en 6 grupos o “metas” de cumplimiento. Por ejemplo, el primer grupo de requisitos (el 1 y el 2) persiguen la meta u objetivo de  “Crear y mantener sistemas y redes seguras”

En esta serie de artículos te explicaremos cuáles son los puntos más importantes de cada meta de cumplimiento y a qué debes prestar atención para cumplir con cada una, comenzando por la primera.

Los 12 requisitos para cumplir con PCI DSS

PCI DSS organiza sus requisitos dependiendo de las metas u objetivos que estos persigan. A su vez, cada uno de estos 12 requisitos desprenden “sub requisitos” que debes cumplir para conseguir la certificación en PCI DSS. 

Cabe aclarar que, si sumamos estos sub requisitos, el resultado nos dice que debemos cumplir con 393 controles de seguridad. 

Sabemos que puede sonar abrumador, por eso comenzaremos con los 2 requisitos contemplados en la primera meta de cumplimiento: Crear y mantener sistemas y redes seguras. 

MetasRequisitos
1. Crear y mantener sistemas y redes segurasInstale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta.No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
2. Proteja los datos del titular de la tarjetaProteger los datos almacenados del titular de la tarjetaCifrar la transmisión de los datos del titular de la tarjeta a través de redes públicas abiertas
3. Mantener un programa de administración de vulnerabilidadesProteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.Desarrollar y mantener sistemas y aplicaciones seguros. 
4. Incrementar medidas sólidas de control de accesoRestringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.Identificar y autenticar el acceso a los componentes del sistema.Restringir el acceso físico a los datos del titular de la tarjeta
5. Supervisar y evaluar las redes con regularidadRastree y supervise todos los accesos a los recursos de red y a los datos del titular de tarjeta.Probar periódicamente los sistemas y procesos de seguridad. 
6. Mantener una política de seguridad de la informaciónMantener una política que aborde la seguridad de la información para todo el personal. 

Meta 1 de PCI DSS: Crear y mantener sistemas y redes seguras

Esta meta describe una serie de medidas de seguridad que debes tomar para resguardar tus redes y sistemas y así mantenerlas disponibles a lo largo del tiempo. Los dos requisitos que contempla esta meta son: 

  1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta.
  2. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.

Veamos punto por punto qué implica cada uno y a qué debes prestarle atención para cumplir.

Requisito 1

Es esencial contar con un firewall para cumplir con este requisito ya que será la herramienta con la capacidad de inspeccionar y comparar el tráfico de tu red según un conjunto de reglas configuradas. 

Por ejemplo, tu firewall debería limitar el tráfico únicamente a servicios y puertos conocidos. De esta forma tendrás un escudo para proteger todos los sistemas que transmiten, procesan y/o almacenan datos de titulares de tarjetas. 

Según PCI DSS, estos son los lineamientos o sub requisitos más importantes para cumplir con este punto: 

Sub requisitosLo que quiere decir
1.1) Establezca e implemente normas de configuración para firewalls y routers.Ten documentadas las configuraciones de firewalls y routers.
1.2) Cree configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de los datos de titulares de tarjetas.


Configura los firewalls y routers para limitar el tráfico únicamente a servicios y puertos conocidos. 
1.3) Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas.
1.4) Instale software de firewall personal o una funcionalidad equivalente en todos los dispositivos móviles (de propiedad de la compañía y/o de los trabajadores) que tengan conexión a Internet cuando están fuera de la red, y que también se usan para acceder al entorno de datos de tarjetahabiente.Instala y activa un firewall y/o un antivirus para tu PC y para la de todo el personal. 


1.5) Asegúrese de que las políticas de seguridad y los procedimientos operativos para administrar los firewalls estén documentados, implementados y que sean de conocimiento para todas las partes afectadas.Documenta, implementa y comunica a los responsables de la seguridad cómo y quiénes van a administrar los firewalls. 

Requisito 2

Los ciberdelincuentes la tienen fácil cuando encuentran dispositivos con credenciales predeterminadas. Básicamente están a un ‘admin admin’ de ingresar a tus redes y sistemas y robar datos confidenciales. 

Por este motivo, uno de los requisitos más importantes para cumplir con PCI DSS es cuidar todo lo relacionado al acceso a los componentes de los sistemas y redes de nuestro negocio. 

Esto implica, entre otras cosas, tener bien formalizados los pasos para modificar estas credenciales predeterminadas, cómo y en qué casos se van a deshabilitar cuenta predeterminadas que nadie use, cifrar ciertas conexiones a los sistemas, etc.

Sub requisitos Esto quiere decir
2.1 Siempre cambie los valores predeterminados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red.Cambia las contraseñas por defecto y deshabilita las cuentas predeterminadas que no uses. 
2.2 Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que sean coherentes con las normas de protección de sistemas aceptadas en la industria.Documenta las configuraciones de todos los componentes del sistema (servidores, BBDD, aplicaciones, etc.).
2.3 Cifre todo el acceso administrativo que no sea de consola utilizando un cifrado sólido.Cuando te conectes a tus sistemas que sea de forma cifrada (por ejemplo, en Internet por HTTPS).
2.4 Lleve un inventario de los componentes del sistema que están dentro del alcance de las PCI DSS.Haz un inventario de los componentes del sistema (canales, BBDD, servicios, proveedores, personas, servidores, SO, antivirus, aplicaciones, etc.).
2.5 Asegúrese de que las políticas de seguridad y los procedimientos operativos para administrar los parámetros predeterminados del proveedor y otros parámetros de seguridad estén documentados, implementados y que sean de conocimiento para todas las partes afectadas.Documenta, implementa y comunica al área TI los procedimientos para cambiar contraseñas predeterminadas, cuándo y quién deshabilita cuentas innecesarias, etc. 

Conclusión

PCI DSS agrupa sus 12 requisitos en según las metas u objetivos de cumplimiento que estos persigan. 

A su vez, cada uno de estos requisitos contempla “sub requisitos” que hay que cumplir hasta conseguir la certificación en PCI DSS. 

El primer y el segundo requisito persiguen la meta de “Crear y mantener sistemas y redes seguras” y lo esencial para cumplir con ellos es configurar adecuadamente firewalls (para los sistemas del negocio y para los colaboradores), no utilizar credenciales predeterminadas y, finalmente, tener procedimientos documentados de todas estas medidas de seguridad. 

La documentación de las medidas de seguridad es una de las actividades más importantes para cumplir con PCI DSS ya que funciona como prueba o evidencia de que todo está formalizado y comunicado a los equipos correspondientes. Incluso, esto funciona de forma muy similar en frameworks de cumplimiento como ISO 27001, SOC 2 y HIPAA. 

Recuerda que en el apartado de contacto puedes escribirnos para contarnos tu caso y tener una asesoría todavía más completa del tema. 

Recursos relacionados

Backed by

Hackmetrix startup chile