Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Restriccin del acceso a los datos en funcin de la necesidad de conocer (con base en
el negocio).
Asignacin de un identificador nico para todas las personas con acceso al sistema.
Revisin y monitorizacin de todos los accesos a los recursos de red y a los datos de
titulares de tarjetas.
Prueba peridica de la seguridad de los sistemas y los procesos.
Mantenimiento de una poltica que contemple la seguridad de la informacin para los
empleados y contratistas.
c. Debe documentar un proceso anual de evaluacin de riesgos que identifique las amenazas,
vulnerabilidades produzca como resultado una evaluacin formal de riesgos. (Ejemplos de
metodologas de evaluacin de riesgos incluyen, pero no estn limitados a: OCTAVE, ISO
27005 y NIST SP 800-30.)
d. La poltica debe revisarse y en caso necesario actualizarse con carcter anual de manera
que refleje los cambios en los objetivos del negocio o el entorno de riesgos.
2. Normativa de Roles y Responsabilidades de Seguridad de la Informacin:
a. Debe definir claramente la responsabilidad de todos los empleados en lo que a Seguridad de
la Informacin se refiere.
b. Debe asignar formalmente la responsabilidad sobre la seguridad de la informacin a un Jefe
de seguridad u otro miembro de la gerencia relacionado con la seguridad.
c. Debe asignar formalmente la responsabilidad de crear, mantener y distribuir procedimientos
de respuesta y escalado ante incidentes de seguridad.
g. El procedimiento para el cambio de claves debe garantizar que las claves sustituidas no
sigan siendo utilizadas por las aplicaciones para el cifrado.
h. Si se utilizan operaciones manuales de gestin de claves criptogrficas en texto claro, estas
operaciones deben aplicar conocimiento dividido y control doble (por ejemplo, utilizando dos o
tres personas, cada una de las cuales conoce su propia parte de la clave, para reconstruir toda
la clave).
i. Debe documentarse los mecanismos existentes destinados a prevenir la sustitucin no
autorizada de claves.
j. El procedimiento debe exigir que los custodios de claves declaren (por escrito o
electrnicamente) que comprenden y aceptan sus responsabilidades como custodios de claves.
Mantener un listado de todos los dispositivos y personal autorizado para utilizar los
dispositivos.
vulnerabilidades ms crticas que representen los riesgos ms altos se deben clasificar como
Alto.)
b. Debe incluir y detallar el uso de fuentes externas de informacin sobre vulnerabilidades de
seguridad.
Falsificacin de solicitudes entre distintos sitios (CSRF). (No confe en las credenciales
de autorizacin ni en los tokens que los exploradores presentan automticamente).
g. Las correcciones pertinentes se deben realizar antes de la puesta en produccin de la
aplicacin.
h. El responsable designado debe revisar y aprobar los resultados de las pruebas antes de la
puesta en produccin de la aplicacin.
i. La normativa debe exigir la capacitacin acerca de las tcnicas de codificacin segura para
los desarrolladores, que est basada en las mejores prcticas de la industria.
11. Normativa de control de acceso lgico:
a. Los derechos de acceso a ID de usuarios privilegiadas se restrinjan a la menor cantidad de
privilegios necesarios para cumplir con las responsabilidades del cargo.
b. Los privilegios se asignen a los individuos sobre la base de la clasificacin y la funcin de su
cargo.
c. Se debe requerir aprobacin documentada de partes autorizadas (por escrito o
electrnicamente) para toda asignacin de ID de usuario, y que se deben especificar los
privilegios requeridos. (Formulario de autorizacin de ID).
d. Debe exigir que los controles de acceso se implementen a travs de un sistema de control
de acceso automtico.
e. Se debe documentar el procedimiento seguido para el restablecimiento de las contraseas
en caso de bloqueo. Este documento debe garantizar la identidad del usuario antes de
proceder a dicho restablecimiento.
Estas placas no han de permitir el acceso a las localizaciones donde se guardan datos
de titulares de tarjeta.
Se debe obligar a las visitas a devolver las placas cuando abandonen las
dependencias de la organizacin.
Se debe mantener un registro de visitas en uso para registrar el acceso fsico a las
instalaciones de la empresa, as como tambin a las salas de informtica y los centros de datos
donde se guardan o se transmiten los datos de titulares de tarjetas. El registro debe incluir el
nombre del visitante, la empresa a la que representa y el empleado que autoriza el acceso
fsico en el registro. Se debe conservar este registro durante un mes.
e. Se deben documentar todas las medidas de seguridad existentes para garantizar la
proteccin fsica de medios (por ejemplo computadoras, dispositivos electrnicos extrables,
recibos e informes en papel y faxes).
f. Documentar una poltica para controlar la distribucin de medios que contengan datos de
titulares de tarjetas:
Todos los medios se deben clasificar de manera que la sensibilidad de los datos se
pueda determinar.
Todos los medios enviados fuera de la empresa deben ser registrados y contar con la
autorizacin expresa de la gerencia
Se deben enviar mediante correo certificado u otro mtodo de envo que se pueda
rastrear.
Corte en tiras, incinere o haga pasta los materiales de copias en papel para
que no se puedan reconstruir los datos de titulares de tarjetas.
En el caso de dispositivos electrnicos, garantizar que los datos sean
irrecuperables y se entreguen mediante un programa con la funcin de borrado seguro de
acuerdo con las normas aceptadas en la industria para lograr una eliminacin segura, o bien
destruya los medios de forma fsica (por ejemplo, degaussing o destruccin magntica).
Los realiza una tercera empresa certificada por el PCI Council como ASV.
d. Pentesting:
A nivel de red y a nivel de aplicacin.
Externo e interno.
Anuales o despus de cualquier cambio significativo en la infraestructura IT.
e. Auditora de aplicacin web:
Slo en caso de no disponer de un Firewall de aplicacin.
Realizar una auditora en tiempo de ejecucin (no de cdigo) con carcter anual de las
aplicaciones web incluidas en el alcance PCI DSS.