Implementar medidas sólidas de control de accesos.
Este artículo es una guía rápida para conocer los requisitos 7 y 8 de de PCI DSS. Estos dos requisitos se especializan en cómo controlar accesos de manera adecuada. Si ya eres un lector regular en nuestro blog, es probable que te hayas topado con nuestro artículo sobre cómo hacer una matriz de control de accesos, de no ser así, te recomendamos que le eches un vistazo.
A grandes rasgos la cuarta meta de esta certificación te pide restringir el acceso a los datos del titular de la tarjeta. Esto, dependiendo de las necesidades de tu empresa y de las responsabilidades de los empleados.
Si esta es la primera vez que llegas a nuestro blog, te recomendamos que comiences por aquí:
- ¿Qué es PCI DSS y quiénes deben cumplirla?
- PCI DSS: ¿Qué es SAQ, ROC y AOC?
- PCI DSS: Los 12 requisitos [Parte 1].
- PCI DSS: Los 12 requisitos [Parte 2]
- PCI DSS: Los 12 requisitos [Parte 3]
- PCI DSS: Los 12 requisitos [Parte 4]
- PCI DSS: Los 12 requisitos [Parte 5]
- PCI DSS: Los 12 requisitos [Parte 6]
Requisito 7
En este requisito, PCI te pide “restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.”
Básicamente de lo que se trata, es de limitar el acceso a los datos de los tarjetahabientes a las personas que sean indispensables. Entre menos personas puedan ver esos datos, tu servicio será más seguro. Además, así te evitas errores por negligencia o poca experiencia.
| Sub requisito | Lo que quiere decir |
| 7.1) Limite el acceso a los componentes del sistema y a los datos del titular de la tarjeta a aquellos individuos cuyas tareas necesitan de ese acceso. | Recuerda, màs personas es igual a màs riesgo. Limita el acceso a la información de las tarjetas de tus clientes a las personas que realmente lo necesiten para cumplir con su trabajo. |
| 7.2) Establezca un sistema de control de acceso para los componentes del sistema que restrinja el acceso según la necesidad del usuario de conocer y que se configure para “negar todo”, salvo que se permita específicamente. | Crea una matriz de control de accesos. Si quieres aprender a realizarla, revisa nuestro artículo sobre el tema: ?Matriz de control de accesos: Qué es y cómo hacerla paso a paso |
| 7.3) Asegúrese de que las políticas de seguridad y los procedimientos operativos para restringir el acceso a los datos del titular de la tarjeta estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Las políticas de seguridad deben ser documentadas, conocidas y respetadas por todo el personal. Acuérdate de mantener los accesos en un “need to know basis;” sólo aquellos que necesitan conocer esos datos pueden acceder. |
Requisito 8
¿Alguna vez te ha dicho tu mamá que eres único? Bueno, pues la verdad es que no importa cuál haya sido tu respuesta. Lo que queremos decirte es que es algo que tienes que decirle a cada uno de tus empleados.
No te preocupes, no hay razón para ponernos sentimentales. Sólo preocúpate de crear usuarios exclusivos para todas y cada una de las personas que trabajan contigo. Además, tienes que asegurarte de que sus credenciales de acceso sean únicas e intransferibles, para que nadie más pueda acceder a ellas.
| Sub requisitos | Lo que quiere decir |
| 8.1) Defina e implemente políticas y procedimientos para garantizar la correcta administración de la identificación de usuarios para usuarios no consumidores y administradores en todos los componentes del sistema. | Cada empleado debe tener un ID único. Esto con el propósito de llevar un control de cada movimiento. Así, en caso de mal uso podrás identificar quién fue. |
| 8.2) Además de asignar una ID exclusiva, asegúrese de que haya una correcta administración de autenticación de usuarios para usuarios no consumidores y administradores en todos los componentes del sistema y que se use, al menos, uno de los siguientes métodos para autenticar todos los usuarios: Algo que el usuario sepa, cómo una contraseña o frase de seguridad. Algo que el usuario tenga, como un dispositivo token o una tarjeta inteligente. Algo que el usuario sea, como un rasgo biométrico. | Implemente normas de autenticación de usuario para tus empleados. Esto quiere decir que para poder iniciar sesión, necesite una contraseña segura, un token o dispositivo, y/o un rasgo biométrico. Hackmetrix insight: capacita a tu personal en ciberseguridad y en tácticas para generar una contraseña segura. |
| 8.3) Asegure todo el acceso administrativo individual que no sea de consola y todo el acceso remoto al CDE mediante la autenticación de múltiples factores. | Implementa una política que exija a tu personal utilizar autenticación de dos factores (2FA) en todos sus accesos. |
| 8.4) Documente y comunique los procedimientos y las políticas de autenticación a todos los usuarios, que incluye lo siguiente: Lineamientos sobre cómo seleccionar credenciales de autenticación sólidas. Lineamientos sobre cómo los usuarios deben proteger las credenciales de autenticación. Instrucciones para no seleccionar contraseñas utilizadas anteriormente. Instrucciones para cambiar contraseñas si se sospecha que la contraseña corre riesgos. | Genera una política que contenga los lineamientos para la creación de contraseñas. De esta manera aseguras tus sistemas, y ayudas a tus empleados a entender e implementar qué es una contraseña segura. |
| 8.5) No use ID ni contraseñas de grupo, compartidas ni genéricas, ni otros métodos de autenticación de la siguiente manera: Las ID de usuario genéricas se deben desactivar o eliminar. No existen ID de usuario compartidas para realizar actividades de administración del sistema y demás funciones críticas. Las ID de usuario compartidas y genéricas no se utilizan para administrar componentes del sistema. | No generes un mismo usuario para un grupo de personas. Procura que los ID de usuarios sean individuales para cada aplicación y plataforma. Esto también te ayuda a identificar exactamente quién realiza las acciones. |
| 8.6) Si se utilizan otros mecanismos de autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), el uso de estos mecanismos se debe asignar de la siguiente manera: Los mecanismos de autenticación se deben asignar a una sola cuenta y no compartirlos entre varias. Se deben implementar controles físicos y lógicos para garantizar que solo la cuenta deseada usa esos mecanismos para acceder. | Al igual que tener ID de usuarios individuales, los mecanismos de autenticación no deben ser compartidos. Cada usuario es responsable de su método de autenticación. |
| 8.7) Se restringen todos los accesos a cualquier base de datos que contenga datos del titular de la tarjeta (que incluye acceso por parte de aplicaciones, administradores y todos los otros usuarios) de la siguiente manera: Todo acceso, consultas y acciones de usuario en las bases de datos se realizan, únicamente, mediante métodos programáticos. Solo los administradores de la base de datos pueden acceder directamente a las bases de datos o realizar consultas en estas. Solo las aplicaciones pueden usar las ID de aplicaciones para las aplicaciones de base de datos (no las pueden usar los usuarios ni otros procesos que no pertenezcan a la aplicación). | Protege tu base de datos. Asegúrate de que el acceso sólo sea posible para usuarios autorizados. Hackmetrix Insight: un método pragmático es hacer algo de manera estructurada y ordenada para obtener un resultado. Ejemplo: siempre para acceder a las bases de datos se debe tener un usuario y contraseña, que se deben de ingresar al mismo tiempo para lograr el acceso. Es decir, el método programático es la combinación de ambos, sólo así conseguiremos el acceso. |
| 8.8) Asegúrese de que las políticas de seguridad y los procedimientos operativos de identificación y autenticación estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Documenta todas tus políticas y procesos de seguridad para que estén al alcance de tus empleados. Debes cerciorarte de que respetan y siguen dichas políticas para mantener los datos del titular de la tarjeta seguros. |
Requisito 9
Ya hablamos de proteger tus sistemas, datos e información de manera lógica, es decir, para prevenir un ciberataque. Ahora, lo que hay que hacer es proteger tus instalaciones físicas.
Esto también implica tener cuidado con los clonadores de tarjetas, y cualquier tipo de medio que contenga información confidencial del titular de la tarjeta.
Hackmetrix insight: un medio es cualquier cosa que pueda contener datos del titular o su tarjeta. Por ejemplo: computadoras, servidores, dispositivos electrónicos extraíbles (USB, discos duros externos), recibos e informes en papel, faxes, etc
| Sub requisito | Lo que quiere decir |
| 9.1) Utilice controles de entrada a la empresa apropiados para limitar y supervisar el acceso físico a los sistemas en el entorno de datos del titular de la tarjeta. | Cuida las instalaciones de tu empresa. Instala sistemas de seguridad para controlar el acceso y vigilar a quien está en tus instalaciones. Así evitas una brecha en tu lugar de operaciones. |
| 9.2) Desarrolle procedimientos que permitan distinguir, fácilmente, a los empleados y a los visitantes, de la siguiente manera: Identificar empleados o visitantes nuevos (por ejemplo, mediante la asignación de placas). Cambios en los requisitos de acceso. Revocar las identificaciones de empleados cesantes y las identificaciones vencidas de visitantes (p. ej., placas de identificación). | Cuándo recibas visitantes asegúrate de que se distingan de tu personal autorizado (empleados). Esto, para evitar que una persona mal intencionada o no autorizada entre a tus oficinas y ponga en riesgo los datos de tus clientes. |
| 9.3) Controle el acceso físico de los empleados a las áreas confidenciales de la siguiente manera: El acceso se debe autorizar y basar en el trabajo de cada persona. El acceso se debe cancelar inmediatamente después de finalizar el trabajo, y todos los mecanismos de acceso físico, como claves, tarjetas de acceso, se deben devolver o desactivar. | Al igual que controlas los accesos de tus empleados mediante ID de usuario y contraseña, también hay que controlar el acceso físico a las instalaciones dónde estén almacenados los datos de las tarjetas de tus clientes. Limita ese acceso a las personas que tengan una necesidad laboral legítima. |
| 9.4) Implemente procedimientos para identificar y autorizar a los visitantes. | Implementa controles para las personas que visiten tu empresa. Asegúrate de que estos visitantes estén siempre en compañía de un personal autorizado de la empresa. |
| 9.5) Proteja físicamente todos los medios. | Implementa protocolos para que todos los medios estén seguros. La información es susceptible a un mal uso en medios extraíbles o portátiles, si se imprimen o se dejan sobre el escritorio de alguien. |
| 9.6) Lleve un control estricto de la distribución interna o externa de todos los tipos de medios. | Crea una política para controlar la distribución de los medios. |
| 9.7) Lleve un control estricto del almacenamiento y la accesibilidad de los medios. | Ten un inventario de todos tus medios. Anota cada movimiento para llevar control. |
| 9.8) Destruya los medios cuando ya no sea necesario guardarlos por motivos comerciales o legales de la siguiente manera: | Este punto es bastante sencillo. Destruye los medios que ya no sean necesarios. No es suficiente con que los tires a la basura, tienes que cerciorarte de que los datos ya no son accesibles para NADIE. |
| 9.9) Proteja los dispositivos que capturan datos de tarjetas de pago mediante la interacción física directa con la tarjeta para proporcionar protección contra alteraciones y sustituciones. | Mantén una lista de todos los dispositivos que interactúen con tarjetas. Además, revísalos constantemente y asegúrate de que no han sido alterados en ningún motivo. Capacita a tu personal para que puedan identificar situaciones sospechosas. |
| 9.10) Asegúrese de que las políticas de seguridad y los procedimientos operativos para restringir el acceso físico a los datos del titular de la tarjeta estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Procura que tus políticas de seguridad, estén documentadas, se apliquen y las conozca todo tu personal. |
Conclusión
En pocas palabras, esta meta de PCI DSS habla sobre la importancia de llevar el control de los accesos que tienen tus empleados. Para lograrlo tienes que generar usuarios únicos, tener una política de contraseñas y 2FA, y, realizar una matriz de control de accesos.
También recuerda que la protección de datos no llega sólo hasta ahí. Para que los datos de tus clientes estén realmente seguros tienes que asegurar instalaciones físicas de tu empresa. Tus oficinas son un hub de información muy atractivo para los atacantes. Asegúrate de implementar controles de seguridad físicos tanto para tu personal, como para los visitantes.
Otro punto importante es proteger todos los medios que contengan datos del titular de la tarjeta.
Sabemos que puede sonar un poco abrumador pero no te preocupes, nosotros podemos ayudarte. Si tienes alguna duda, siéntete libre de contactarnos. Puedes platicarnos sobre tu caso para que podamos darte asesoría sobre el tema.
