Zusammenfassung der Ressource
Mapa mental estandar PCI- OME
- DESARROLLE Y MANTENGA REDES Y
SISTEMAS SEGUROS
- Instalar y mantener una configuracion de firewall
para proteger los datos del titular de la tarjeta
- REQUISITOS
- Establezca e implemente normas de
configuracion para firewalls y routers
- proceso formal para aprobar y probar
todos los cambios y las conexiones de red
en la configuracion de firewalls y routers
- Diagrama de red actual que identifica todas las
conexiones entre el entorno de datos de
titulares de tarjetas y otras redes, incluso
cualquier red inalámbrica.
- El diagrama actual que muestra todos los
flujos de datos de titulares de tarjetas entre
los sistemas y las redes
- Requisitos para tener un firewall en cada conexión
a Internet y entre cualquier DMZ (zona
desmilitarizada) y la zona de la red interna
- Descripción de grupos, funciones y
responsabilidades para la administración
de los componentes de la red. 1
- Desarrolle configuraciones para firewalls y
routers que restrinjan las conexiones entre
redes no confiables y cualquier componente
del sistema en el entorno de los datos de
titulares de tarjetas.
- Restrinja el tráfico entrante y saliente a la
cantidad necesaria para el entorno de
datos de los titulares de tarjetas y niegue
específicamente el tráfico restante.
- Asegure y sincronice los archivos de
configuración de routers
- Instale firewalls de perímetro entre las
redes inalámbricas y el entorno de
datos del titular de la tarjeta y configure
estos firewalls para negar o, si el tráfico
es necesario para fines comerciales,
permitir solo el tráfico autorizado entre
el entorno inalámbrico y el entorno de
datos del titular de la tarjeta.
- Prohíba el acceso directo público entre Internet
y todo componente del sistema en el entorno
de datos de los titulares de tarjetas.
- Instale software de firewall personal en todos los dispositivos
móviles o de propiedad de los trabajadores que tengan conexión a
Internet cuando están fuera de la red, y que también se usan para
acceder a la red. Las configuraciones de firewalls incluyen lo
siguiente: * Los parámetros específicos de configuración se definen
para cada software de firewall personal. * El software de firewall
personal funciona activamente. * Los usuarios de dispositivos
móviles o de propiedad de los trabajadores no pueden alterar el
software de firewall personal.
- Asegúrese de que las políticas de seguridad y los procedimientos operativos
para administrar los firewalls estén documentados, implementados y que sean
de conocimiento para todas las partes afectadas
- PROCEDIMIENTOS
- Escoja una muestra de los componentes del sistema
e intente acceder a los dispositivos y aplicaciones con
las cuentas y contraseñas predeterminadas por el
proveedor y verifique que se hayan cambiado TODAS
las contraseñas predeterminadas (incluso las de los
sistemas operativos, los software que prestan
servicios de seguridad, las cuentas de aplicaciones y
sistemas, los terminales de POS [puntos de ventas],
las cadenas comunitarias de SNMP [protocolo simple
de administración de red]).
- Revise las configuraciones de firewalls y routers y realice
las siguientes acciones para verificar que se restringen
las conexiones entre redes no confiables y todo
componente del sistema en el entorno de datos de
titulares de tarjetas:
- Revise las configuraciones de firewalls y routers que incluye, entro otros, el
router de estrangulamiento de Internet, el router DMZ y el firewall, el
segmento de titulares de tarjetas de DMZ, el router de perímetro y el
segmento de la red interna del titular de la tarjeta, y realice lo siguiente a fin
de determinar que no exista un acceso directo entre la Internet y los
componentes del sistema en el segmento de red interna de los titulares de
tarjeta:
- El software de firewall personal se debe incluir en todos los dispositivos
móviles o de propiedad de los trabajadores que tengan conexión a
Internet cuando están fuera de la red (por ejemplo, computadoras
portátiles que usan los trabajadores), y que también se usen para acceder
a la red. • Los parámetros específicos de configuración se definen para
cada software de firewall personal. • El software de firewall personal está
configurado para funcionar activamente. • El software de firewall personal
está configurado para que los usuarios de dispositivos móviles o de
propiedad de trabajadores no puedan alterarlo.
- Revise la documentacion y entreviste al personal para verificar
que las políticas de seguridad y los procedimientos operativos
para administrar los firewalls cumplan con lo siguiente: • Estén
documentados. • Estén implementados. • Sean de conocimiento
para todas las partes afectadas
- GUIA
- Las personas malintencionadas (externas e internas a
la organización), por lo general, utilizan configuraciones
predeterminadas por los proveedores, nombres de
cuentas y contraseñas para poner en riesgo el software
del sistema operativo, las aplicaciones y los sistemas
donde están instalados. Debido a que estos parámetros
predeterminados suelen publicarse y son conocidos en
las comunidades de hackers, cambiar estas
configuraciones contribuirá a que el sistema sea menos
vulnerable a los ataques.
- Es fundamental instalar protección para la red
entre la red interna confiable y cualquier red no
confiable que sea externa o esté fuera de la
capacidad de control y administración de la
entidad. No implementar esta medida
correctamente deja a la entidad expuesta al
acceso no autorizado por parte de personas
malintencionadas o un software malintencionado.
Para que la funcionalidad del firewall sea eficaz,
debe estar correctamente configurado para
controlar o limitar el tráfico desde y hacia la red de
la entidad.
- El objetivo de un firewall es administrar y controlar
todas las conexiones entre los sistemas públicos y los
sistemas internos, especialmente aquellos que
almacenan, procesan o transmiten datos del titular de la
tarjeta. Si se permite el acceso directo entre los sistemas
públicos y el CDE, se burlan las protecciones que ofrece
el firewall y se pueden poner en riesgo los componentes
del sistema que almacenan los datos del titular de la
tarjeta.
- Los dipositivos informaticos portatiles autorizados para conectarse a
Internet desde afuera del firewall corporativo son más vulnerables a las
amenazas basadas en Internet. El uso de un firewall personal ayuda a
proteger los dispositivos contra ataques basados en Internet, los cuales
pueden usar el dispositivo para obtener acceso a los datos y a los
sistemas de la organización cuando el dispositivo se conecta
nuevamente a la red.
- El personal debe conocer y respetar las políticas de seguridad y los
procedimientos operativos para garantizar la continua administración
de los firewalls y routers con el objetivo de evitar el acceso no
autorizado a la red
- No utilizar contraseñas de sistemas o otros
parametros de seguridad provistos por los
proveedores
- PROCEDIMIENTO
- Escoja una muestra de los componentes del sistema e
intente acceder a los dispositivos y aplicaciones (con la
ayuda del administrador del sistema) con las cuentas y
contraseñas predeterminadas por el proveedor y verifique
que se hayan cambiado TODAS las contraseñas
predeterminadas (incluso las de los sistemas operativos,
los software que prestan servicios de seguridad, las
cuentas de aplicaciones y sistemas, los terminales de POS
[puntos de ventas], las cadenas comunitarias de SNMP
[protocolo simple de administración de red]). (Utilice los
manuales y las fuentes de los proveedores que se
encuentran en Internet para encontrar las cuentas y las
contraseñas proporcionadas por estos).
- Examine las normas de la organización
correspondientes a todos los tipos de
componentes de sistemas y verifique que las
normas de configuración de sistemas
concuerden con las normas de alta seguridad
aceptadas en la industria.
- REQUSITOS
- Siempre cambie los valores predeterminados por el proveedor y
elimine o deshabilite las cuentas predeterminadas innecesarias
antes de instalar un sistema en la red. Esto rige para TODAS las
contraseñas predeterminadas, por ejemplo, entre otras, las
utilizadas por los sistemas operativos, los software que prestan
servicios de seguridad, las cuentas de aplicaciones y sistemas, los
terminales de POS, las cadenas comunitarias de SNMP.
- Desarrolle normas de configuración para todos los componentes de
sistemas. Asegúrese de que estas normas contemplen todas las
vulnerabilidades de seguridad conocidas y que concuerden con las
normas de alta seguridad de sistema aceptadas en la industria. Entre
las fuentes de normas de alta seguridad aceptadas en la industria, se
pueden incluir, a modo de ejemplo: • Center for Internet Security (CIS)
• International Organization for Standardization (ISO) • SysAdmin
Audit Network Security (SANS) Institute • National Institute of
Standards Technology (NIST).
- Cifre todo el acceso administrativo que no sea de consola
utilizando un cifrado sólido. Utilice tecnologías como SSH, VPN o
SSL/TLS para la administración basada en la web y otros tipos de
acceso administrativo que no sea de consola.
- Lleve un inventario de los componentes del
sistema que están dentro del alcance de las PCI
DSS.
- Asegúrese de que las políticas de seguridad y los
procedimientos operativos para administrar los
parámetros predeterminados del proveedor y otros
parámetros de seguridad estén documentados,
implementados y que sean de conocimiento para
todas las partes afectadas.
- Los proveedores de hosting compartido deben proteger el
entorno y los datos del titular de la tarjeta que aloja la
entidad. Estos proveedores deben cumplir requisitos
específicos detallados en el Anexo A: Requisitos adicionales
de las DSS de la PCI para los proveedores de servicios de
hosting.
- GUIA
- Las personas malintencionadas externas e internas a la
organización), por lo general, utilizan configuraciones
predeterminadas por los proveedores, nombres de
cuentas y contraseñas para poner en riesgo el
software del sistema operativo, las aplicaciones y los
sistemas donde están instalados. Debido a que estos
parámetros predeterminados suelen publicarse y son
conocidos en las comunidades de hackers, cambiar
estas configuraciones contribuirá a que el sistema sea
menos vulnerable a los ataques.
- Existen debilidades en los sistemas operativos, bases de datos y
aplicaciones de empresas, así como también existen maneras de
configurar estos sistemas a fin de corregir las vulnerabilidades de
seguridad. A fin de ayudar a quienes no son expertos en seguridad,
algunas organizaciones especializadas han establecido recomendaciones
y directrices para reforzar los sistemas, las cuales proporcionan consejos
para corregir estas debilidades.
- MANTENER UN PROGRAMA DE
ADMINISTRACION DE VULNERABILIDAD
- Desarrolle y mantenga sistemas y
aplicaciones seguras
- REQUISITOS
- Establezca un proceso para identificar las vulnerabilidades de
seguridad por medio de fuentes externas conocidas para obtener
información sobre las vulnerabilidades de seguridad, y asigne una
clasificación de riesgo (por ejemplo, “alto”, “medio” o “bajo”) a las
vulnerabilidades de seguridad recientemente descubiertas.
- Asegúrese de que todos los software y componentes del sistema tengan instalados
parches de seguridad proporcionados por los proveedores que ofrecen protección
contra vulnerabilidades conocidas. Instale los parches importantes de seguridad dentro
de un plazo de un mes de su lanzamiento.
- Desarrolle aplicaciones de software internas y externas (incluso acceso administrativo a
aplicaciones basado en web)
- Siga los procesos y procedimientos de control de todos los cambios en los componentes del
sistema como separar los ambientes de desarrollo/prueba de produccion, datos de
produccion no se utilizan para pruebas
- Aborde las vulnerabilidades de codificación comunes en los procesos de desarrollo de software
- En el caso de aplicaciones web públicas, trate las nuevas amenazas y vulnerabilidades
continuamente y asegúrese de que estas aplicaciones se protejan contra ataques conocidos
- Asegúrese de que las políticas de seguridad y los procedimientos operativos para
desarrollar y mantener seguros los sistemas y las aplicaciones estén documentados,
implementados y que sean de conocimiento para todas las partes afectadas
- IMPLEMENTAR MEDIDAS SOLIDAS DE
CONTROL DE ACCESO
- Identifique y autentique el
acceso a los componentes del
sistema
- REQUISITOS
- Defina e implemente políticas y procedimientos para
garantizar la correcta administración de la identificación
de usuarios para usuarios no consumidores y
administradores en todos los componentes del sistema
- Además de asignar una ID exclusiva, asegúrese de que
haya una correcta administración de autenticación de
usuarios para usuarios no consumidores y administradores
en todos los componentes del sistema
- Incorpore la autenticación de dos factores para el acceso
remoto a la red desde fuera de la red por parte del personal
(incluso usuarios y administradores) y todas las partes externas
involucradas (que incluye acceso del proveedor para soporte o
mantenimiento
- Documente y comunique los procedimientos y las políticas de
autenticación a todos los usuarios
- No use ID ni contraseñas de grupo, compartidas ni genéricas, ni
otros métodos de autenticación
- Si se utilizan otros mecanismos de autenticación (por ejemplo,
tokens de seguridad físicos o lógicos, tarjetas inteligentes,
certificados, etc.), el uso de estos mecanismos
- Se restringen todos los accesos a cualquier base de datos que
contenga datos del titular de la tarjeta (que incluye acceso por
parte de aplicaciones, administradores y todos los otros
usuarios)
- Asegúrese de que las políticas de seguridad y los procedimientos
operativos de identificación y autenticación estén documentados,
implementados y que sean de conocimiento para todas las partes
afectadas.
- SUPERVISAR Y EVALUAR LAS
REDES CON REGULARIDAD
- Prueba con regularidad los sistemas y
procesos de seguridad
- REQUISITOS
- Implemente procesos para determinar
la presencia de puntos de acceso
inalámbrico (802.11), detecte e
identifique, trimestralmente, todos los
puntos de acceso inalámbricos
autorizados y no autorizados
- Realice análisis internos y externos de las vulnerabilidades de la
red, al menos, trimestralmente y después de cada cambio
significativo en la red (como por ejemplo, la instalación de nuevos
componentes del sistema, cambios en la topología de la red,
modificaciones en las normas de firewall, actualizaciones de
productos).
- Implemente una metodología para las pruebas de penetración que incluya lo sigiuoente:
basada en enfoques de pruebas , cobertura de todo el perimetro del CDE, pruebas del
entorno interno y externo, pruebas para validar cualquier segmentacion
- Use técnicas de intrusión-detección y de intrusión-prevención para detectar o prevenir
intrusiones en la red. Monitoree todo el tráfico presente en el perímetro del entorno de datos
del titular de la tarjeta y en los puntos críticos del entorno de datos del titular de la tarjeta, y
alerte al personal ante la sospecha de riesgos. Mantenga actualizados todos los motores de
intrusión-detección y de prevención, las bases y firmas
- Implemente un mecanismo de detección de cambios (por ejemplo, herramientas de
monitorización de integridad de archivos) para alertar al personal sobre modificaciones no
autorizadas de archivos críticos del sistema, de archivos de configuración o de contenido, y
configure el software para realizar comparaciones de archivos críticos, al menos, una vez por
semana
- Asegúrese de que las políticas de seguridad y los procedimientos operativos para
monitorear y comprobar la seguridad estén documentados, implementados y que sean
de conocimiento para todas las partes afectadas