Requisitos documentales de PCI DSS

Es muy frecuente que, cuando una organizacin se enfrenta al reto de implantar el

cumplimiento con el estndar PCI DSS, se centre en los aspectos tecnolgicos y se deje en
segundo plano los aspectos puramente documentales o procedimentales. Sin embargo, si
queremos cumplir con el estndar, y si queremos que un auditor QSA certifique que
alcanzamos dicho cumplimiento, es indispensable cumplir tambin con todos los requisitos
documentales del estndar.
Y cuales son dichos requisitos documentales? Pues vamos a verlos a continuacin. Antes sin
embargo, advertir que la agrupacin en la que los recojo es una propuesta personal y que
podran agruparse de diferente manera sin ningn problema. Lo importante es que todos los
requisitos documentales del estndar se cumplan y se recojan en alguna poltica, normativa o
procedimiento:

1. Poltica de Seguridad de la Informacin:

a. Debe publicarse y distribuirse a todos los usuarios, incluidos proveedores, partners y
contratistas.
b. Debe hacer referencia a todos los requisitos de la PCI DSS:
Instalacin y mantenimiento de la configuracin de firewalls para la proteccin de los
datos.
No empleo de contraseas y otros parmetros de seguridad establecidas por defecto
por los proveedores.
Proteccin de los datos almacenados.
Cifrado de la transmisin de la informacin del titular de tarjetas e informacin sensible
a travs de redes pblicas.

Empleo y actualizacin peridica de programas y software antivirus.

Desarrollo y mantenimiento de sistemas y aplicaciones seguros.

Restriccin del acceso a los datos en funcin de la necesidad de conocer (con base en
el negocio).

Asignacin de un identificador nico para todas las personas con acceso al sistema.

Restriccin del acceso fsico a los datos de titulares de tarjetas.

Revisin y monitorizacin de todos los accesos a los recursos de red y a los datos de
titulares de tarjetas.
Prueba peridica de la seguridad de los sistemas y los procesos.
Mantenimiento de una poltica que contemple la seguridad de la informacin para los
empleados y contratistas.
c. Debe documentar un proceso anual de evaluacin de riesgos que identifique las amenazas,
vulnerabilidades produzca como resultado una evaluacin formal de riesgos. (Ejemplos de
metodologas de evaluacin de riesgos incluyen, pero no estn limitados a: OCTAVE, ISO
27005 y NIST SP 800-30.)
d. La poltica debe revisarse y en caso necesario actualizarse con carcter anual de manera
que refleje los cambios en los objetivos del negocio o el entorno de riesgos.
2. Normativa de Roles y Responsabilidades de Seguridad de la Informacin:
a. Debe definir claramente la responsabilidad de todos los empleados en lo que a Seguridad de
la Informacin se refiere.
b. Debe asignar formalmente la responsabilidad sobre la seguridad de la informacin a un Jefe
de seguridad u otro miembro de la gerencia relacionado con la seguridad.
c. Debe asignar formalmente la responsabilidad de crear, mantener y distribuir procedimientos
de respuesta y escalado ante incidentes de seguridad.

d. Debe asignar formalmente la responsabilidad de supervisar y analizar las alertas de

seguridad, as como su pertinente escalado.
e. Debe asignar formalmente la responsabilidad de administracin de cuentas y gestin de
autenticacin.
f. Debe asignar formalmente la responsabilidad de supervisar y controlar todos los accesos a
los datos.
3. Normativa de configuracin de los firewalls y los routers:
a. Proceso formal para probar y aprobar todos los cambios y las conexiones de red en la
configuracin de los firewalls y de los routers.
b. Obligacin de tener un firewall en cada conexin a Internet y entre cualquier DMZ y la zona
de la red interna.
c. Descripcin de grupos, roles y responsabilidades para una administracin lgica de los
componentes de la red.
d. Procedimentar la revisin de los conjuntos de reglas existentes al menos cada seis meses.
e. Anexo que incluya una lista de servicios, protocolos y puertos necesarios para las
operaciones.
f. En caso de que existan servicios, protocolos y puertos no seguros permitidos (por ejemplo
FTP, Telnet, POP3, IMAP, etc..) documentar que medidas de seguridad existen para asegurar
dichos protocolos, servicios o puertos.
4. Normativas de configuracin de sistemas:
a. Deben generarse para cada distribucin o tipologa de sistema operativo.
b. Deben estar basadas en buenas prcticas de la industria (CIS, ISO, SANS, NIST, etc..).
c. Deben aplicarse al configurar nuevos sistemas antes de su puesta en produccin.
d. Las normativas deben recoger la configuracin de seguridad que debe implementarse en
cada tipologa de sistema.
e. Deben obligar a documentar y justificar para cada servidor los servicios, daemons o
protocolos habilitados.
f. Deben obligar a documentar cual es la funcin principal de cada servidor
5. Normativa de retencin y disposicin de datos de titulares de tarjeta:
a. Debe documentarse todas las localizaciones en las que se estn guardando los datos de
titulares de tarjeta.
b. Debe documentar los requisitos legales, reglamentarios y del negocio relativos a la retencin
de los datos, incluidos los requisitos especficos para la retencin de datos de titulares de
tarjetas (por ejemplo, es necesario guardar los datos de titulares de tarjetas durante X tiempo
por Y razones de negocio).
c. Debe documentarse que proceso, automtico o manual, se lleva a cabo de manera trimestral
para identificar y eliminar de manera segura los datos de titulares de tarjetas almacenados que
excedan los requisitos de retencin definidos.
d. Debe documentar qu proceso se lleva a cabo para la recepcin, el tratamiento y la
eliminacin segura de los datos de autenticacin confidenciales (CVV)
e. Debe exigir que que los nmeros de tarjeta (PAN) se oculten (los primeros seis y los ltimos
cuatro dgitos es la cantidad mxima de dgitos que pueden aparecer) al visualizar los datos de
los titulares de las tarjetas, excepto en los casos en que existe una necesidad comercial
legtima de visualizar el PAN completo.
6. Procedimientos de Gestin de Claves criptogrficas:
a. El alcance de este procedimiento debe incluir todas las claves usadas para el cifrado de
datos de tarjeta.
b. Debe requerir el uso de claves slidas.
c. Debe detallarse como se realiza la distribucin segura de las claves.
d. Debe detallarse como se procede a almacenar de manera segura las claves.
e. Debe establecerse el periodo de validez de las claves (mximo 2 aos) y debe
documentarse el procedimiento para cambiar la clave una vez agotado dicho periodo.
f. Debe establecerse el procedimiento a seguir para reemplazar las claves en caso de haberse
debilitado la integridad de las mismas o en el caso de que se sospeche que exista riesgo de
compromiso de las claves.

g. El procedimiento para el cambio de claves debe garantizar que las claves sustituidas no
sigan siendo utilizadas por las aplicaciones para el cifrado.
h. Si se utilizan operaciones manuales de gestin de claves criptogrficas en texto claro, estas
operaciones deben aplicar conocimiento dividido y control doble (por ejemplo, utilizando dos o
tres personas, cada una de las cuales conoce su propia parte de la clave, para reconstruir toda
la clave).
i. Debe documentarse los mecanismos existentes destinados a prevenir la sustitucin no
autorizada de claves.
j. El procedimiento debe exigir que los custodios de claves declaren (por escrito o
electrnicamente) que comprenden y aceptan sus responsabilidades como custodios de claves.

7. Normativa de uso aceptable de los sistemas:

a. Se debe prohibir explcitamente el envo del PAN no cifrados por medio de tecnologas de
mensajera de usuario final (por ejemplo, el correo electrnico, la mensajera instantnea, el
chat, etc.).
b. Se deben detallar cules son los usos aceptables para cada tecnologa y cules son las
acciones explcitamente prohibidas.
c. Poltica de utilizacin para tecnologas crticas para empleados (por ejemplo, tecnologas de
acceso remoto, tecnologas inalmbricas, dispositivos electrnicos extrables, computadoras
porttiles, asistentes digitales/para datos personales [PDA], utilizacin del correo electrnico y
de Internet) para definir el uso adecuado de dichas tecnologas. Esta poltica debe incluir:
Requerir la aprobacin explcita de la gerencia para utilizar las tecnologas.

Todo uso de este tipo de tecnologas se autentique con ID de usuario y contrasea, u

otro elemento de autenticacin (por ejemplo, token).

Mantener un listado de todos los dispositivos y personal autorizado para utilizar los
dispositivos.

Requerir el etiquetado de los dispositivos con propietario, informacin de contacto y

objetivo.
d. Se deben incluir ubicaciones aceptables para el uso de las tecnologas de red
e. Mantener un listado del software autorizado por la empresa y prohibir explcitamente la
instalacin y uso del software no incluido en el mismo.
f. Debe requerir la desconexin automtica de sesiones para tecnologas de acceso remoto
despus de un perodo especfico de inactividad.
g. Debe requerir la activacin de tecnologas de acceso remoto para proveedores y socios de
negocios slo cuando stos lo requieran, con desactivacin automtica despus de la
utilizacin.
h. Debe prohibir copiar, mover o almacenar datos de titulares de tarjetas en unidades de disco
locales y dispositivos electrnicos extrables al acceder a dichos datos a travs de tecnologas
de acceso remoto. (o directamente prohibir el acceder a estos datos mediante este tipo de
tecnologas si no est justificado por motivos de negocio).
8. Procedimiento de gestin de cambios:
a. Debe exigir la instalacin de todos los nuevos parches de seguridad relevantes dentro de un
plazo de un mes.
b. Debe detallar como se realizan las pruebas previas a la instalacin de los parches y cmo se
procede a la instalacin definitiva de los mismos.
c. El registro de cada cambio debe incluir toda la documentacin que pueda ser relevane para
el cambio.
d. El cambio debe ser aprobado por el responsable designado, y la aprobacin debe adjuntarse
a la documentacin generada por el cambio.
e. Todos los cambios deben probarse antes de su puesta en produccin.
f. En el caso de que el cambio incluya la puesta en produccin de un nuevo software
desarrollado internamente deber garantizarse que se ha cumplido con la normativa de
desarrollo de software
g. Todo cambio debe incluir el procedimiento de marcha atrs asociado.
9. Procedimiento de identificacin de nuevas vulnerabilidades:
a. Debe definir los procesos seguidos para identificar nuevas vulnerabilidades de seguridad, y
que se haya asignado una clasificacin de riesgo a esas vulnerabilidades. (Como mnimo, las

vulnerabilidades ms crticas que representen los riesgos ms altos se deben clasificar como
Alto.)
b. Debe incluir y detallar el uso de fuentes externas de informacin sobre vulnerabilidades de
seguridad.

10. Normativa de desarrollo de software:

a. Debe basarse en buenas prcticas de la industria (como por ejemplo, modelo en cascada,
Incremental, Espiral, Agile, RAD, etc.)
b. Debe incorporar la seguridad en todo el ciclo de vida del desarrollo de software.
c. Debe garantizar que las cuentas, los ID de usuario y las contraseas personalizadas de la
aplicacin se eliminan antes de activar los sistemas de produccin o de que se pongan a
disposicin de los clientes.
d. Debe obligar a que el cdigo sea revisado por un experto en tcnicas de revisin de cdigo
ajeno al equipo de desarrollo despus de cada cambio.
e. Debe indicar el procedimiento seguido para las revisiones. stas deben garantizar que no
puedan existir las siguientes vulnerabilidades:
Errores de inyeccin, en especial, errores de inyeccin SQL. (valide la entrada para
verificar que los datos de usuario no pueden modificar el significado de los comandos y las
consultas, utilice las consultas basadas en parmetros, etc.).

Desbordamiento de buffer (validar lmites del buffer y truncar cadenas de entrada).

Almacenamiento cifrado inseguro (prevenir defectos de cifrado).

Comunicaciones inseguras (cifrar adecuadamente todas las comunicaciones

autenticadas y confidenciales).

Manejo inadecuado de errores (no permitir que se filtre informacin a travs de

mensajes de error)

Todas las vulnerabilidades altas identificadas segn el Procedimiento de identificacin

de nuevas vulnerabilidades
f. Adicionalmente, en el caso de las aplicaciones web se debe revisar tambin:
Lenguaje de comandos entre distinto sitios (XSS) (valide todos los parmetros antes de
la inclusin, utilice tcnicas de escape sensibles al contexto, etc.).

Control de acceso inapropiado tal como referencias no seguras a objetos directos, no

restriccin de acceso a URL y exposicin completa de los directorios (Autentique usuarios de
forma correcta y desinfecte entradas. No exponga referencias a objetos internos a usuarios).

Falsificacin de solicitudes entre distintos sitios (CSRF). (No confe en las credenciales
de autorizacin ni en los tokens que los exploradores presentan automticamente).
g. Las correcciones pertinentes se deben realizar antes de la puesta en produccin de la
aplicacin.
h. El responsable designado debe revisar y aprobar los resultados de las pruebas antes de la
puesta en produccin de la aplicacin.
i. La normativa debe exigir la capacitacin acerca de las tcnicas de codificacin segura para
los desarrolladores, que est basada en las mejores prcticas de la industria.
11. Normativa de control de acceso lgico:
a. Los derechos de acceso a ID de usuarios privilegiadas se restrinjan a la menor cantidad de
privilegios necesarios para cumplir con las responsabilidades del cargo.
b. Los privilegios se asignen a los individuos sobre la base de la clasificacin y la funcin de su
cargo.
c. Se debe requerir aprobacin documentada de partes autorizadas (por escrito o
electrnicamente) para toda asignacin de ID de usuario, y que se deben especificar los
privilegios requeridos. (Formulario de autorizacin de ID).
d. Debe exigir que los controles de acceso se implementen a travs de un sistema de control
de acceso automtico.
e. Se debe documentar el procedimiento seguido para el restablecimiento de las contraseas
en caso de bloqueo. Este documento debe garantizar la identidad del usuario antes de
proceder a dicho restablecimiento.

f. Se debe documentar el procedimiento seguido para generar una nueva contrasea a un

usuario. Este procedimiento debe obligar a que el usuario cambie la nueva contrasea en su
primer acceso.
g. Se debe recoger el procedimiento de baja de usuarios, y debe especificar que en caso de
que un usuario cause baja de una empresa, se eliminarn de inmediato sus derechos de
acceso a los sistemas.
h. Se debe documentar el procedimiento establecido en virtud del cual se inhabilitan o eliminan
las cuentas que hayan permanecido inactivas durante 90 das.
i. Se debe recoger en esta normativa que slo se habilitarn los accesos VPN para los
proveedores el tiempo que sea estrictamente necesario, y que se registrarn y controlarn sus
acciones durante dicho periodo.
j. Se deben prohibir el uso de cuentas o contraseas de grupos, compartidas o genricas.
k. La normativa debe establecer la siguiente poltica de contraseas:
Cambio de contraseas cada 90 das como mximo.

Longitud mnima de 7 caracteres.

Las contraseas deben contener caracteres numricos y caracteres alfabticos

No se debe poder repetir las ltimas 4 contraseas usadas

Se debe bloquear una ID si ha fallado su contrasea, como mximo, 6 veces seguidas.

El desbloqueo debe ser hecho por un administrador o bien de manera automtica tras 30
minutos de bloqueo.

La sesin se debe bloquear automticamente tras 15 minutos de inactividad y solicitar

nuevamente la contrasea.
l. Se debe exigir que todas las bases de datos que contengan datos de titulares de tarjeta
cuenten con su propio control de acceso no delegado en el del sistema operativo.
m. Slo los DBA deben poder lanzar querys sobre las bases de datos.

12. Normativa de control de acceso fsico:

a. Debe incluir la asignacin de de placas de identificacin a los empleados, y a visitantes,
incluyendo lo siguiente:
Asignacin de placas de identificacin.
Cambio de requisitos de acceso
Revocacin de placas de identificacin de personal local cesante y de visitante
vencidas
b. El acceso al sistema de placas de identificacin est limitado al personal autorizado.
c. Las placas deben identificar claramente a los visitantes y han de ser fciles de distinguir
respecto a las placas del personal local.
d. Se debe incluir el procedimiento para el trato a los visitantes que debe contemplar:
Se les debe asignar placas de identificacin como visitantes.

Estas placas no han de permitir el acceso a las localizaciones donde se guardan datos
de titulares de tarjeta.

Se debe obligar a las visitas a devolver las placas cuando abandonen las
dependencias de la organizacin.

Se debe mantener un registro de visitas en uso para registrar el acceso fsico a las
instalaciones de la empresa, as como tambin a las salas de informtica y los centros de datos
donde se guardan o se transmiten los datos de titulares de tarjetas. El registro debe incluir el
nombre del visitante, la empresa a la que representa y el empleado que autoriza el acceso
fsico en el registro. Se debe conservar este registro durante un mes.
e. Se deben documentar todas las medidas de seguridad existentes para garantizar la
proteccin fsica de medios (por ejemplo computadoras, dispositivos electrnicos extrables,
recibos e informes en papel y faxes).
f. Documentar una poltica para controlar la distribucin de medios que contengan datos de
titulares de tarjetas:
Todos los medios se deben clasificar de manera que la sensibilidad de los datos se
pueda determinar.

Todos los medios enviados fuera de la empresa deben ser registrados y contar con la
autorizacin expresa de la gerencia

Se deben enviar mediante correo certificado u otro mtodo de envo que se pueda
rastrear.

Documentar el procedimiento para el almacenamiento seguro y mantenimiento de

todos los medios.

Requerir inventarios peridicos (anuales) de medios.

Documentar el procedimiento seguido para la destruccin segura de medios:

Corte en tiras, incinere o haga pasta los materiales de copias en papel para
que no se puedan reconstruir los datos de titulares de tarjetas.
En el caso de dispositivos electrnicos, garantizar que los datos sean
irrecuperables y se entreguen mediante un programa con la funcin de borrado seguro de
acuerdo con las normas aceptadas en la industria para lograr una eliminacin segura, o bien
destruya los medios de forma fsica (por ejemplo, degaussing o destruccin magntica).

13. Normativa de gestin de logs:

a. Debe obligar a recoger logs de seguridad de todos los sistemas y dispositivos incluidos en el
alcance PCI DSS.
b. Debe incluir el procedimiento seguido para la revisin de registros de seguridad al menos
una vez al da y requerir el seguimiento de las excepciones.
c. Debe obligar a retener los logs durante 1 ao disponiendo de los ltimos 3 meses para su
consulta inmediata.

14. Plan de auditoras y revisiones peridicas:

a. Procedimiento trimestral para la deteccin de puntos de acceso inalmbrico no autorizados
en las oficinas y en el datacenter:
Debe ser capaz de detectar e identificar tarjetas WLAN insertadas en los sistemas.

Debe ser capaz de detectar e identificar dispositivos inalmbricos conectados en los

sistemas.

Debe ser capaz de detectar e identificar dispositivos inalmbricos conectados a un

puerto o dispositivo de red.
b. Escaneos internos de vulnerabilidad:
Trimestrales.

Despus de cada cambio relevante en la infraestructura.

Se solucionan todas las vulnerabilidades con un riesgo alto.

c. Escaneos externos de vulnerabilidad:

Trimestrales.

Despus de cada cambio relevante en la infraestructura.

Se solucionan todas las vulnerabilidades con un riesgo alto.

Los realiza una tercera empresa certificada por el PCI Council como ASV.

d. Pentesting:
A nivel de red y a nivel de aplicacin.
Externo e interno.
Anuales o despus de cualquier cambio significativo en la infraestructura IT.
e. Auditora de aplicacin web:
Slo en caso de no disponer de un Firewall de aplicacin.

Realizar una auditora en tiempo de ejecucin (no de cdigo) con carcter anual de las
aplicaciones web incluidas en el alcance PCI DSS.

Realizar una auditora en tiempo de ejecucin (no de cdigo) despus de cualquier

cambio en las aplicaciones web incluidas en el alcance PCI DSS.

15. Programa formal de concienciacin en seguridad:

a. Debe incluir a todos los empleados
b. Debe proporcionar diversos mtodos para informar y educar a los empleados en lo relativo a
la concienciacin (por ejemplo, carteles, cartas, notas, capacitacin basada en Web, reuniones
y promociones).
c. Los empleados deben recibir la capacitacin sobre concienciacin al ser contratados y al
menos una vez al ao.
d. El programa debe exigir a los empleados que reconozcan, por escrito o de forma electrnica,
al menos una vez al ao haber ledo y entendido la poltica de seguridad de la informacin de la
empresa.
16. Programa para supervisar el estado de cumplimiento con PCI DSS de los
proveedores de servicios:
a. El programa debe incluir a todos los proveedores de servicios con los que se compartan
datos de titulares de tarjeta (por ejemplo, centros de almacenamiento de copias de seguridad
en cinta, proveedores de servicios gestionados tales como empresas de Web hosting o
proveedores de servicios de seguridad, o bien quienes reciben datos para el diseo de modelos
de fraude).
b. Se debe mantener un listado actualizado de proveedores de servicios.
c. Debe existir un acuerdo escrito que incluya un reconocimiento del proveedor de servicios
respecto de su responsabilidad por la seguridad de los datos de titulares de tarjetas.
d. Antes del firmado con un nuevo proveedor de servicios se debe proceder a realizar una
auditora adecuada previa al compromiso con cualquier proveedor de servicios.
e. Se debe mantener un programa anual para supervisar el estado de cumplimiento con PCI
DSS por parte del proveedor del servicio.

17. Plan de respuesta a incidentes:

a. Incluye roles, responsabilidades y estrategias de comunicacin en caso de un riesgo que
incluya como mnimo la notificacin de las marcas de pago:
Procedimientos especficos de respuesta a incidentes.

Procedimientos de recuperacin y continuidad comercial.

Procesos de realizacin de copia de seguridad de datos.

Anlisis de requisitos legales para el informe de riesgos (Actualmente no aplica en

Espaa pues no existe legislacin de este tipo).
Cobertura y respuestas de todos los componentes crticos del sistema.
Referencia o inclusin de procedimientos de respuesta a incidentes de las marcas de
pago (Visa, Mastercard, AMEX, etc..)
b. El plan debe exigir que se pruebe su efectividad con carcter anual.
c. Debe documentar la respuesta permanente (24x7) a incidentes y cobertura de supervisin
para cualquier evidencia de actividad no autorizada, deteccin de puntos de acceso
inalmbricos no autorizados, alertas crticas de IDS y/o informes de cambios no autorizados en
archivos de sistema crticos o de contenido.
d. El plan debe exigir que se capacite peridicamente al personal en cuanto a las
responsabilidades de fallos de seguridad.
e. El plan debe contemplar un proceso para modificar y desarrollar el plan de respuesta a
incidentes segn las lecciones aprendidas, las evoluciones de la industria y los resultados de
las pruebas realizadas en el mismo.