Académique Documents
Professionnel Documents
Culture Documents
Xavier Martínez
14-6-2016
i
Esta obra está sujeta a una licencia de
Reconocimiento-NoComercial-
SinObraDerivada 3.0 España de
Creative Commons
ii
FICHA DEL TRABAJO FINAL
iii
Abstract (in English, 250 words or less):
In an environment increasingly technically sophisticated and dependent on the
technical means around us is necessary to normalize the mechanisms to
ensure that such information meets the safety requirements. The need to
protect the valuable assets of companies which increasingly tend to be
information assets is found. The International Standards Organization (ISO) has
drawn up rules governing such protection being a de facto standard worldwide
is the ISO27001 while protecting not only logical but physical assets. Moreover,
the banking environment is in the dilemma of how to ensure that the information
processed is guaranteed against attacks on their confidentiality integrity and
availability. The main credit card companies issue their own PCI / DSS
standard which regulates and protects the information from the point of sale
until the transaction is stored.
Companies wishing to adopt such standards are faced with the dilemma of how
to implement and what this means to their structures since it is not only a
technological change but embraces the culture of the company, how to
understand their processes and relationships both within and outside it.
This work aims to guide those companies requiring both standards in a clear
and useful approach preventing from major risks that a project of this
magnitude entails.
iv
Índice
v
10. ANEXO I– Puntos de control del SGSI........................................ 29
11. ANEXO II CONTROLES PCI DSS 3.1 ........................................ 39
12. Glosario ....................................................................................... 53
13. Referencias ................................................................................. 54
6
Lista de figuras
ILUSTRACIÓN 4-2 ALCANCE PRIORIZADO SEGÚN PCI DSS FUENTE PCI PRIORITIZED
APPROACH 16
vii
1. Contexto y justificación
En una sociedad cada vez más interconectada y dependiente de los
sistemas de información existen dos necesidades clave en cuanto a
seguridad de los sistemas:
Página 1 de 54
2. Alcance
El objetivo del presente trabajo será mostrar una forma de implantar
ISO27001 y PCI para dotar a la empresa que decida adoptarlas de los
mecanismos eficaces descritos en ambas normas para la protección de sus
sistemas no sólo a nivel lógico sino físico desarrollando ambas
recomendaciones de forma conjunta.
Norma Acción
PCI Certificación mediante empresas
certificadoras y documento (ROC)
ISO27001 Certificación mediante empresa
certificadoras o documento de
autoconformidad y documento (SOA)
GMP Certificación para empresas manufactureras
FDA… Certificaciones sectoriales
1
En cuyo caso la empresa no obtendría el consiguiente certificado de conformidad no estando
permitido el uso de los logotipos de la norma ni del esquema de certificación.
Página 2 de 54
3. Recomendaciones de implantación iso27001
3.1. Introducción Iso27001:2013
Dirección
Recursos Humanos (Contratación y Formación)
Compras
Relaciones con Proveedores
Seguridad Física
Seguridad Lógica
Infraestructuras
Gestión de activos
Gestión de las relaciones con los clientes
Comunicación
ISO27001:2013
Página 3 de 54
Compromiso de la dirección, roles y
5 Liderazgo
política de seguridad
Riesgos y objetivos de seguridad y
6 Planificación
planes para lograrlos
Competencia, Formación,
establecimiento de mecanismos de
7 Soporte
comunicación así como requisitos y
control en la documentación
Planificación de las operaciones,
8 Operación
Gestión del riesgo
Seguimiento de los objetivos,
Evaluación del
9 Auditoría interna y revisión por la
Desempeño
dirección
Tratamiento de las no conformidades
10 Mejora y acciones correctivas, Mejora
continua
Página 4 de 54
Ilustración 3-1 % Tiempo y esfuerzo implantación inicial
Página 5 de 54
3.5. R3: Determinar el alcance
Página 6 de 54
- Topología de Red
- Topografía de Red
- Inventario de los activos informáticos o CIs (en caso de tener
ISO20000)
- Diagramas de sistemas (relaciones entre los activos)
- Listado de procedimientos
- Personal y organización del mismo que lo opera
- Clientes afectados por la operación
- Relación empresa-cliente
- Relación empresa-trabajadores
De la SOA se desprende:
Página 7 de 54
c. Un listado de controles necesarios a implementar que sirven para
la implementación de la norma, el sponsor delimitará y
calendarizará junto con el implantador la idoneidad de su
implantación así como el plazo y esfuerzo necesario.
Página 8 de 54
- Propietario de los procedimientos de seguridad
- Custodiar las copias de seguridad…
Es necesario:
La constitución del SGSI debe ser formada por los roles de seguridad, el
sponsor pero no ceñirse únicamente a ellos, debe ser un foro de discusión
de seguridad en donde se invitará a cualquier perfil involucrado para su
participación, no es extraño pues que los comités acaben siendo una
representación del comité directivo pudiendo tener representación –en
función del tamaño de la empresa- de forma continuada los siguientes:
Página 9 de 54
- Relaciones Laborales/PRL: por la necesidad de abordar los
simulacros de contingencia.
Página 10 de 54
Ilustración 3-2 Dimensiones de Riesgo
Página 12 de 54
3.13. R11: Política de gestión de incidencias
Página 13 de 54
3.16. R14: Política de control de proveedores
Página 14 de 54
4. Recomendaciones de implantación PCI DSS
3.1
4.1. Qué es PCI DSS
PCI DSS es una norma del consorcio Payment Cards Industrie formado
por las principales emisoras de tarjetas del mundo (AMEX, Dicover, JCB,
VISA y MasterCard) el cual regula y protege la Confidencialidad y
Disponibilidad de los datos necesarios para la autenticación y operación
de la tarjeta, estos son:
4.3. Alcance
4.4. Implantación
Milestone Goals
Remove sensitive authentication data and limit data retention.
This milestone targets a key area of risk for entities that have
been compromised. Remember – if sensitive authentication
1
data and other cardholder data are not stored, the effects of a
compromise will be greatly reduced. If you don't need it, don't
store it
Protect systems and networks, and be prepared to respond to
2 a system breach. This milestone targets controls for points of
access to most compromises, and the processes for
Página 15 de 54
responding.
Secure payment card applications. This milestone targets
controls for applications, application processes, and application
3 servers. Weaknesses in these areas offer easy prey for
compromising systems and obtaining access to cardholder
data.
Monitor and control access to your systems. Controls for this
milestone allow you to detect the who, what, when, and how
4
concerning who is accessing your network and cardholder data
environment.
Protect stored cardholder data. For those organizations that
have analyzed their business processes and determined that
5
they must store Primary Account Numbers, Milestone Five
targets key protection mechanisms for that stored data.
Finalize remaining compliance efforts, and ensure all controls
are in place. The intent of Milestone Six is to complete PCI
6 DSS requirements, and to finalize all remaining related
policies, procedures, and processes needed to protect the
cardholder data environment.
Ilustración 4-2 Alcance Priorizado según PCI DSS Fuente PCI Prioritized
Approach
Objetivo de Requisito
Control
1: Instalar y mantener una configuración de
cortafuegos para proteger los datos de los propietarios
Desarrollar y
de tarjetas.
Mantener una
2: No usar contraseñas del sistema y otros parámetros
Red Segura
de seguridad predeterminados provistos por los
proveedores.
3: Proteger los datos almacenados de los propietarios
Proteger los
de tarjetas.
Datos de los
4: Cifrar los datos de los propietarios de tarjetas e
propietarios de
información confidencial transmitida a través de redes
tarjetas.
públicas abiertas.
Mantener un 5: Usar y actualizar regularmente un software antivirus.
Programa de 6: Desarrollar y mantener sistemas y aplicaciones
Gestión de seguras.
Vulnerabilidades
Implementar 7: Restringir el acceso a los datos tomando como base
Página 16 de 54
Medidas sólidas la necesidad del funcionario de conocer la información.
de control de 8: Asignar una identificación única a cada persona que
acceso tenga acceso a un computador.
9: Restringir el acceso físico a los datos de los
propietarios de tarjetas.
10: Rastrear y monitorizar todo el acceso a los
Monitorizar y
recursos de la red y datos de los propietarios de
probar
tarjetas.
regularmente las
11: Probar regularmente los sistemas y procesos de
redes
seguridad.
Mantener una 12: Mantener una política que contemple la seguridad
Política de de la información
Seguridad de la
Información
4.5. Recomendación
Página 17 de 54
8: Asignar una identificación única a cada persona
que tenga acceso a un computador.
9: Restringir el acceso físico a los datos de los
propietarios de tarjetas.
5.2. Alcance
5.3. Recomendaciones
Página 18 de 54
- Para cada entorno debe asegurarse la independencia del mismo, PCI
establece la necesidad de separación físico/lógica entre los equipos que
gestionan el CDE y los que no teniendo que elevar dicha separación al
plano físico (Firewalls por ejemplo).
- Iniciar la implantación con la aplicabilidad de PCI para identificar el CDE,
acto seguido fusionar la aplicabilidad de PCI con la SOA de ISO27001
hallando la parte física como crítica y a implementar teniendo en cuenta
el CDE y la SOA (seguridad por diseño)
- Establecer las relaciones entre CDE-SOA-Empresa en la siguiente
ilustración se muestra la misma.
Página 19 de 54
5.4. Problemas posibles
Página 20 de 54
6. Correspondencia entre normas
Análisis de Riesgos: el análisis de riesgos es transversal a ambas normas
con la salvedad de la necesidad de independencia entre sistemas. Las
conclusiones son de uso de ambas dado que los análisis de riesgos de
forma separada deben coincidir con el conjunto. Pese a ello se recomienda
abarcar análisis de riesgos realizados de forma independiente dado el
impacto financiero y de reputación que pueden tener las amenazas en el
CDE respecto al área de cumplimiento e impacto financiero de las mismas.
Seguridad perimetral: las acciones de seguridad perimetral tales como
zonas protegidas, control de acceso o identificación del personal servirán
para ambas normas siendo sus procedimientos estandarizables.
Inventario => Bastionado (2.4), en el apartado inventario se deberá hacer
énfasis en el bastionado PCI el cual establece una línea base de
configuración (recomendación de ISO20000) y su seguimiento, en caso que
la empresa no se halle familiarizada con ISO20000 se recomienda la
realización de una acción que plantee a los mantenedores de los sistemas
de la necesidad de contar con un proceso de gestión de bastionado de
imágenes, esto es, un proceso que inventaríe y controle las imágenes de
servidores en base a las mejores prácticas de gestión de la seguridad, esto
es:
Contacto grupos especial interés => 6.1 Al día de las vulnerabilidades, con
el fin de disponer del máximo nivel de actualizaciones y vulnerabilidades
Página 21 de 54
detectadas se recomienda suscribirse a los foros de vulnerabilidades (NIST,
por ejemplo) en donde aparecen de forma periódica vulnerabilidades. Es
responsabilidad del mantenedor de la seguridad del sistema mantener un
proceso que recupere las vulnerabilidades, identifique los objetivos y en
caso de ser dichos objetivos parte del bastionado establezca las acciones a
emprender junto con el responsable de Seguridad.
O => 6.3 Guías de programación segura: debe asegurarse la seguridad por
diseño, esto es diseñar los programas con un enfoque de seguridad,
siguiendo mejores prácticas en su desarrollo y publicación. Esto incluye:
Página 22 de 54
7. Conclusiones
7.1. Logros Obtenidos
Las líneas de trabajo futuro que no se han podido explorar en este trabajo y
han quedado pendientes son:
Página 23 de 54
- Documentar todos los formatos mediante evidencias documentales
estandarizadas, no se ha podido abarcar por falta de tiempo, constituiría
un proyecto en sí.
Docemur docendo (el que enseña aprende) este ejercicio ha servido para
fijar conceptos y adquirir mayor seguridad en la implantación normativa. Si
bien se exige a un auditor jefe certificado el conocimiento de la norma, es
claramente recomendable el ejercicio de enfrentarse a dos normas
complejas, la 27001, quizás la más completa y la PCI que es quizás la más
estricta, un objetivo ambicioso.
14 de junio de 2016
Página 24 de 54
8. Las familias de normas
La norma ISO27001:2013 es una norma auditable de la ISO cuyo desarrollo
es controlado por la IEC. Aparece como ISO/IEC27001:2013, siendo el
2013 el año en que se realizó la última revisión conjunta por parte de ISO e
IEC. Para el presente documento se empleará ISO indistintamente para
referirse al organismo ISO/IEC así como para nombrar las normas.
La norma se implanta dentro de una familia de normas englobadas con el
prefijo ISO2700x siendo las más relevantes y sobre las que se desarrollará
el presente trabajo las siguientes:
Nombre Contenido
ISO27000 Terminología
ISO27001 Sistema de Gestión de la Seguridad de la información (SGSI)
ISO27002 Controles de seguridad
ISO27004 Indicadores de Gestión de la Seguridad
ISO27005 Gestión del riesgo
ISO27006 Requerimientos para la auditoría
ISO27007 Guía para la auditoría
ISO27008 Guía para la verificación de controles de Seguridad
ISO27010 Gestión de la seguridad en empresas inter-sector
ISO27011 Gestión de la seguridad en empresa de Telecomunicaciones
ISO27013 Guía para la implementación de la 27001 y la 20000-1
ISO27014 Guía del Gobierno de la seguridad de la información
ISO27015 Guía gestión de la seguridad en servicios financieros
Guía para identificar el impacto económico en las decisiones de
ISO27016
seguridad
Página 25 de 54
referenciadas
ISO17021 e
ISO9001
ISO19011 Auditoría de sistemas de Gestión
NIST 800-
53A
IEEE Std Requisitos de Sistemas y
ISO29148
1233 Software
Gestión de Riesgo en Ingeniería
ISO16085 ISO15288
de Software
ISO27001 e
ISO20000 Prestación del servicio
ISO9001
NIST 800-30 ISO27001 Gestión del Riesgo
Página 26 de 54
9. La Certificación
Las fases que una empresa debe seguir para completar la certificación son:
2
Los requisitos de auditoría se hallan descritos en la ISO17021
3
A menudo las empresas desean saber su grado de cumplimiento sin llegar a una auditoría de
certificación por lo que realizan una Pre-Auditoría, esto es, una auditoría no vinculante por la
cual obtienen un diagnóstico de qué aspectos de la implantación de la norma cumplen y cuales
no con el fin de planificar la auditoría de certificación. Hay que considerar que el coste de una
auditoría de certificación es considerablemente más alto que el de una Pre-Auditoría razón por la
cual muchas empresas optan por ésta vía a la hora de plantearse la certificación como primer
paso.
Página 27 de 54
9.1. Factores Clave de Éxito
La ISO ha dotado a las normas de una estructura similar (Anexo SL) para
que su implantación sea más sencilla.
Finalmente existen otras normas que pueden implantarse conjuntamente
con la ISO27001 o en serie que cubren aspectos específicos, como por
ejemplo:
Página 28 de 54
10. ANEXO I– Puntos de control del SGSI
# Título control Descripción del control
Políticas de Se debe aprobar por la gerencia, comunicar y publicar
5.1.1 información un documento de política de seguridad a todos los
seguridad empleados y personal externo interesado.
Revisión de las Las políticas de seguridad de la información serán
políticas de revisadas de forma periódica y planificada y si se
5.1.2
información producen cambios significativos asegurar
seguridad continuamente su idoneidad, adecuación y eficacia.
Seguridad de la
6.1.1 información roles y Se debe definir y asignar todas las responsabilidades
responsabilidades de seguridad de la información.
Las funciones que entran en conflicto y áreas de
responsabilidad estarán separadas para reducir las
Segregación de
6.1.2 posibilidades de realizar una modificación no
funciones
autorizada o accidental o un mal uso de los activos de
la organización.
Póngase en contacto Se mantendrán los contactos apropiados ante las
6.1.3
con las autoridades autoridades competentes.
Póngase en contacto Se mantendrán los contactos apropiados con grupos
6.1.4 con especial grupos de interés especial u otro especialista seguridad foros
de interés y asociaciones profesionales.
Seguridad de la
6.1.5 información en
Seguridad de la información se aplicará en gestión de
gestión de proyectos proyectos, independientemente del tipo de proyectos
Política de
Se definirá una política de seguridad que aplicará
6.2.1
dispositivos móviles sobre la gestión de dispositivos móviles.
Se aplicarán una política y medidas de seguridad
6.2.2 Teletrabajo para proteger la información accesible, los datos
tratados o almacenados en los sitios de teletrabajo.
Verificación de antecedentes de todos los candidatos
de empleo se debe realizar de acuerdo con las leyes,
reglamentos y ética y serán proporcionales a los
7.1.1 Proyección
requerimientos del negocio, la clasificación de la
información, cómo debe accederse y los riesgos
percibidos.
Términos y Los acuerdos contractuales con los empleados y
7.1.2 condiciones de contratistas deberán indicar las responsabilidades de
empleo la organización para la seguridad de la información.
Dirección exigirán a todos los empleados y
Responsabilidades contratistas aplicar las políticas de seguridad de la
7.2.1
de gestión información establecidas en los procedimientos de la
organización.
Página 29 de 54
Etiquetado y manejo
de la información
Formación, Todos los empleados de la organización y, cuando
7.2.2 educación y proceda, contratistas, recibirán formación adecuada,
sensibilización de concienciación y actualizaciones regulares y
seguridad de capacitación de las políticas y procedimientos de
información seguridad relevantes para su función de trabajo.
Habrá un proceso disciplinario formal para tomar
medidas contra los empleados que han cometido una
7.2.3 Proceso disciplinario infracción de seguridad de información y dicho
procedimiento será comunicado de forma oficial a
todos los empleados.
Terminación o Las responsabilidades y deberes de seguridad de la
cambio de las información que siguen siendo válidas después de
7.3.1
responsabilidades del finalización o cambio de un empleado deben ser
empleo definidas, comunicadas a empleados y contratistas.
Se deberá tener identificados los activos e
instalaciones asociadas a la seguridad en el
8.1.1 Inventario de activos
procesamiento de la información, dichos activos
deberán ser inventariados y mantenidos.
Propiedad de los Los activos mantenidos en el inventario serán
8.1.2
activos propiedad de la compañía.
Se identificarán, documentarán y aplicarán normas
Uso aceptable de los para el uso aceptable de la información y de activos
8.1.3
activos asociados a las instalaciones de procesamiento de la
información y la información.
Todos los empleados y asociados externos devolverá
todos los activos de la organización que tengan en
8.1.4 Restitución de bienes
posesión a la finalización de su empleo o contrato o
acuerdo
Información se clasificarán en función de los
Clasificación de la
8.2.1 requisitos legales, el valor, la criticidad y sensibilidad
información
a la divulgación o modificación no autorizada.
Se desarrollará e implementará un conjunto de
Etiquetado de procedimientos para el etiquetado de información
8.2.2
información conforme al esquema de clasificación de la
información adoptado por la organización.
Se desarrollarán e implantarán procedimientos para la
gestión de activos conforme al esquema de
8.2.3 Gestión de activos
clasificación de la información adoptado por la
organización.
Se aplicarán los procedimientos para la gestión de los
Gestión de medios
8.3.1 medios extraíbles de acuerdo al esquema de
extraíbles
clasificación adoptado por la organización.
Disposición de los Medios se eliminarán de forma segura, cuando ya no
8.3.2
medios sea necesario, utilizando procedimientos formales.
Transferencia de Los medios de comunicación que contenga
8.3.3
medios físicos información estarán protegidos contra el acceso no
Página 30 de 54
autorizado, mal uso o corrupción durante el
transporte.
Se establecerá, documentará y revisará una política
Política de control de
9.1.1 de control de acceso en base a los requisitos de
acceso
seguridad de información y del negocio.
Los usuarios sólo deberán disponer de acceso a los
Acceso a redes y
9.1.2 servicios de red y a la red que han sido autorizados
servicios de red
específicamente para su uso.
Registro de usuario y Se implementará un proceso formal de registro y
9.2.1 para cancelar el cancelación de usuario que permitir la asignación de
registro derechos de acceso.
Se implementará un proceso formal de
aprovisionamiento de acceso de usuario que permita
Aprovisionamiento de
9.2.2 asignar o revocar los derechos de acceso para todos
acceso de usuarios
los tipos de usuario para todos los sistemas y todos
los servicios.
Gestión de privilegios La asignación y utilización de los derechos de acceso
9.2.3
derechos de acceso privilegiados serán restringidas y controladas.
Gestión de secreto
información de
9.2.4
autenticación de los Se debe controlar a través de un proceso de gestión
usuarios la asignación de información de autenticación.
Informe sobre acceso
9.2.5 de los usuarios Los propietarios de activos deberán revisar los
derechos derechos de acceso de los usuarios periódicamente.
Los derechos de acceso de todos los empleados y
Su revocación o usuarios asociados externo a la información y al
9.2.6 ajuste de los procesado de la información serán eliminados en
derechos de acceso caso de finalización de su empleo, contrato o
acuerdo, o modificados si se realiza un cambio.
Uso de Los usuarios deberán seguir las prácticas de la
9.3.1 autentificación organización en el uso de la información de
secreta información autenticación secreta.
Se limitará el acceso a la información y la aplicación
Restricción al Acceso
9.4.1 de las funciones del sistema según la política de
a la información
control de acceso.
Donde sea requerido por la política de control de
Procedimientos del
acceso, el acceso a los sistemas y las aplicaciones
9.4.2 inicio de sesión
deberán ser controlados por un procedimiento de
seguros
inicio de sesión seguro.
Sistema de Gestión Los Sistemas de gestión de contraseñas deben ser
9.4.3
de contraseñas interactivos y garantizarán las contraseñas de calidad.
El uso de programas de utilidades que podrían ser
Uso de la utilidades capaces de anular sistemas y controles de
9.4.4
privilegiadas aplicaciones estará restringido y estrechamente
controlado.
Control de acceso a Se restringirá el acceso al código fuente de los
9.4.5
los códigos fuente de programas.
Página 31 de 54
los programas
Página 32 de 54
Se verificará todos los elementos del equipo que
Eliminación o
contiene los medios de almacenamiento para
reutilización de
11.2.7 asegurar que cualquier información confidencial y
equipos de forma
software con licencia ha sido eliminado o sobrescrito
segura
firmemente antes de la eliminación o reutilización.
Equipo de usuario Los usuarios se asegurarán de que el equipo
11.2.8
desatendidos desatendido tiene una protección adecuada.
Se adoptará una política de escritorio limpio de
Política mesa y papeles y soportes de almacenamiento extraíbles y
11.2.9
pantalla limpia una política pantalla limpia para las instalaciones de
procesamiento de información.
Documentar los Procedimientos operativos serán documentados y
12.1.1 procedimientos de puesto a disposición de todos los usuarios que lo
operación necesiten.
Los cambios en la organización, los procesos de
negocio, instalaciones y sistemas que afectan la
12.1.2 Gestión del cambio
seguridad de la información de procesamiento de
información deberán ser controlados.
El uso de los recursos deberá ser monitorizado,
Administración de la afinado y permitirá proyecciones de los
12.1.3
capacidad requerimientos de capacidad futura para asegurar el
funcionamiento de los sistemas.
Separación del Desarrollo, pruebas y entornos operativos estarán
12.1.4 desarrollo, pruebas y separados para reducir los riesgos de acceso no
entornos operativos autorizado o cambios en el entorno operativo.
Se aplicarán controles de detección, prevención y
Controles contra el recuperación para proteger contra malware,
12.2.1
malware combinado con la sensibilización apropiado de los
usuarios.
Copias de seguridad de la información, software y
sistema de imágenes se probados regularmente de
12.3.1 Copias de seguridad
acuerdo con una política de copia de seguridad
acordada.
Se debe generar, guardar y analizar periódicamente
registros de eventos, grabación de las actividades de
12.4.1 Registro de eventos
usuario, excepciones, fallos y eventos de seguridad
de la información
Protección de la Las funcionalidades de los Registro y la información
12.4.2 información de de los registros deben ser protegidos contra la
registro manipulación y acceso no autorizado.
Las actividades del administrador de sistemas y del
Administrador y
12.4.3 operador de sistemas deben estar registradas,
operador de registros
protegidas y periódicamente revisadas.
Los relojes de todos los sistemas de información
Sincronización de dentro de la organización o del dominio de deberán
12.4.4
reloj estar sincronizados a una fuente de tiempo única de
referencia.
12.5.1 Instalación del Se aplicarán procedimientos para controlar la
Página 33 de 54
software en sistemas instalación de software en los sistemas operativos.
operativos
Se deberá obtener de forma oportuna información
acerca de las vulnerabilidades técnicas de los
Gestión de
sistemas de información. La exposición de la
12.6.1 vulnerabilidades
organización a dichas vulnerabilidades deberán
técnicas
evaluarse y determinar las medidas oportunas para
minimizar el riesgo
Restricciones sobre
12.6.2 la instalación de Se deberá establecer e implementar normas que
software rigen la instalación de software para los usuarios
Los requerimientos de Auditoría y las actividades que
Controles de
implican verificación de sistemas operativos deben
12.7.1 auditoría de sistemas
planificarse y acordarse con el fin de minimizar las
de información
interrupciones a los procesos del negocio.
Redes serán gestionadas y controladas para proteger
13.1.1 Controles de red
la información en los sistemas y las aplicaciones.
Los mecanismos de seguridad, los niveles de servicio
y los requisitos de gestión de toda la red servicios
Seguridad de
13.1.2 serán identificados e incluidos en los acuerdos de
servicios de red
servicios de red, si estos servicios se prestan en la
empresa o son subcontratados.
Grupos de servicios de información, usuarios y
Segregación en
13.1.3 sistemas de información estarán segregados en
redes
diferentes redes.
Los procedimientos y Se debe definir políticas de transferencia,
las políticas de procedimientos y controles para proteger a la
13.2.1
transferencia de transferencia de información a través de cualquier tipo
información de medios de comunicación.
Acuerdos sobre Se debe definir acuerdos de transferencia segura de
13.2.2 transferencia de información entre la organización y los colaboradores
información externos.
Mensajería Información involucrada en mensajería electrónica
13.2.3
electrónica deberá estar adecuadamente protegido.
Se identificarán, revisarán y documentarán
Confidencialidad o no requerimientos de confidencialidad o acuerdos de no-
13.2.4
divulgación acuerdos divulgación que reflejen las necesidades de la
organización para la protección de la información.
Seguridad de la Los requisitos relacionados con la seguridad de la
información Análisis información se incluirán en los requisitos para los
14.1.1
de requerimientos y nuevos sistemas de información o mejoras a los
especificaciones sistemas de información existentes.
Información generada en servicios de aplicación que
Asegurar servicios de pasa a través de las redes públicas debe ser
14.1.2 aplicación en las protegida de actividades fraudulentas, disputa
redes públicas contractual y la divulgación no autorizada y
modificación.
Página 34 de 54
Información generada en las transacciones de
Protección de servicio de aplicación deberá estar protegida para
aplicaciones evitar la transmisión incompleta, mis-routing,
14.1.3
transacciones de alteración no autorizada del mensaje, la divulgación
servicios no autorizada, la duplicación no autorizada del
mensaje o la repetición.
Serán establecidas reglas para el desarrollo de
Política de desarrollo
14.2.1 software y sistemas y dichas reglas serán aplicadas
seguro
a los desarrollos dentro de la organización.
Procedimientos de Los cambios en los sistemas en el desarrollo del ciclo
14.2.2 control de cambio de de vida serán controlados mediante el uso de los
sistema procedimientos de control de cambio formal.
Revisión técnica de
las aplicaciones Cuando se cambian los plataformas que operan, las
después de los aplicaciones críticas del negocio serán revisadas y
14.2.3
cambios de la probadas para asegurar que no hay ningún impacto
plataforma de adverso en las operaciones de la organización o la
funcionamiento seguridad.
Restricciones sobre Modificaciones a paquetes de software deben ser
14.2.4 los cambios en los limitados a los cambios necesarios y todos los
paquetes de software cambios deberá ser estrictamente controlada.
Se establecerán, documentarán, mantendrán y
principios Ingeniería
14.2.5 aplicarán principios de ingeniería de sistemas seguro
de sistemas seguros
a cualquier implantación de sistema de información.
Las organizaciones deberán establecer y proteger
adecuadamente entornos de desarrollo seguras para
Entorno de Desarrollo
14.2.6 los esfuerzos de desarrollo e integración de sistemas
seguro
que cubren todo el ciclo de vida de desarrollo del
sistema.
Desarrollo La organización deberá supervisar y monitorizar la
14.2.7
subcontratado actividad de desarrollo del sistema externalizado.
Pruebas de Prueba de funcionalidad de seguridad se efectuará
14.2.8
seguridad del sistema durante el desarrollo.
Se establecerán programas y criterios relacionados
Aceptación del
14.2.9 con las prueba de aceptación para nuevos sistemas
sistema de pruebas
de información, actualizaciones y nuevas versiones.
Protección de datos Datos de prueba serán seleccionados
14.3.1
de prueba cuidadosamente y estarán protegidos y controlados.
Política de seguridad Los requisitos de seguridad de la información para
de la información mitigar los riesgos asociados con el acceso de
15.1.1
para relaciones con proveedor a los activos de la organización deberán
los proveedores ser acordados con el proveedor y documentados.
Todos los requisitos de seguridad de la información
Abordar la seguridad
pertinente serán establecidos y acordado con cada
dentro de los
15.1.2 proveedor que puede tener acceso, procesar,
acuerdos de
almacenar, comunicar o proveer componentes de la
proveedor
infraestructura, información de la organización.
Página 35 de 54
Acuerdos con los proveedores deberán incluir
Información y la
requisitos para abordar los riesgos de seguridad de la
comunicación
15.1.3 información asociados con información y cadena de
tecnología cadena de
suministro de productos y servicios de tecnología de
suministro
comunicaciones.
Seguimiento y Organizaciones deberán supervisar regularmente,
15.2.1 revisión de servicios revisar y auditar la prestación de servicios de
a proveedores proveedor.
Los cambios en la prestación de servicios por parte
de los proveedores, incluyendo el mantenimiento y la
Gestión de cambios a mejora de las políticas, procedimientos y controles de
15.2.2 los servicios de seguridad de la información existentes, serán
proveedor gestionados, teniendo en cuenta la criticidad de la
información empresarial, los sistemas y los procesos
involucrados y re-evaluación de los riesgos.
Se establecerán los procedimientos y las
Responsabilidades y responsabilidades de gestión para asegurar una
16.1.1
procedimientos respuesta rápida, eficaz y ordenada a incidentes de
seguridad de la información.
Notificación de Eventos de seguridad de la información se notificarán
16.1.2 eventos de seguridad a través de canales de gestión apropiada lo más
de la información rápidamente posible.
Los empleados y contratistas utilizando sistemas de
Reportando las
información y servicios de la organización estará
debilidades de
16.1.3 obligados a observar y reportar cualquier debilidad de
seguridad de
seguridad información observada o sospechada en
información
los sistemas o servicios.
De evaluación y
decisión sobre Los eventos de seguridad de la información deben ser
16.1.4
eventos de seguridad evaluados y se decidirá si han de ser clasificados
de la información como incidentes de seguridad de la información.
Respuesta a la
información Incidentes de seguridad de información deberán
16.1.5
incidentes de recibir una respuesta de conformidad con los
seguridad procedimientos documentados.
Aprender de Los conocimientos adquiridos desde el análisis y la
incidentes de resolución de los incidentes de seguridad de la
16.1.6
seguridad de la información se utilizarán para reducir la probabilidad o
información el impacto de futuros incidentes.
La organización deberá definir y aplicar
Obtención de procedimientos para la identificación, recolección,
16.1.7
pruebas adquisición y conservación de la información, que
puede servir como evidencia.
La organización deberá determinar sus requisitos
Planificación de
para la seguridad de la información y la continuidad
continuidad de
17.1.1 de la gestión de seguridad de la información en
seguridad de
situaciones adversas, por ejemplo durante una crisis
información
o desastre.
Página 36 de 54
La organización establecerá, documento, implementar
Implementación de
y mantener los procesos, procedimientos y controles
continuidad de
17.1.2 para asegurar el nivel necesario de continuidad para
seguridad de
la seguridad de la información durante una situación
información
adversa.
Verificar, revisar y La organización verificará los controles de
evaluar la continuidad información establecida e implementando seguridad y
17.1.3
de seguridad de continuidad a intervalos regulares para asegurar que
información son válidos y eficaces en situaciones adversas.
Disponibilidad de la
información Instalaciones de procesamiento de la información
17.2.1
procesamiento deben ser implementadas con redundancia suficiente
instalaciones para satisfacer los requisitos de disponibilidad.
Todo statuto legal, normativos, los requisitos
Identificación de la
contractuales y enfoque de la organización para
legislación aplicable y
18.1.1 cumplir con estos requisitos serán explícitamente
los requisitos
identificados, documentados y actualizados para cada
contractuales
sistema de información.
Se aplicarán los procedimientos adecuados para
garantizar el cumplimiento con los requisitos legales,
Derechos de
18.1.2 reglamentarios y contractuales relacionados con
Propiedad intelectual
derechos de propiedad intelectual y el uso de
productos de software privativo.
Los registros estarán protegidos de la pérdida,
Protección de destrucción, falsificación, acceso y liberación no
18.1.3
registros autorizada, conforme a los requisitos legales,
reglamentarios, contractuales y comerciales.
Privacidad y Privacidad y protección de datos personales se
18.1.4 protección de datos garantizará según lo dispuesto en la legislación y la
personales regulación.
Reglamento de Se utilizarán controles criptográficos en el
18.1.5 controles cumplimiento de todos los acuerdos pertinentes, la
criptográficos legislación y los reglamentos.
El enfoque de la organización para la gestión de
seguridad de la información y su aplicación (es decir,
Revisión
los objetivos de control, controles, políticas, procesos
independiente de
18.2.1 y procedimientos de seguridad de la información) se
seguridad de la
revisará de forma independiente a intervalos
información
planificados o cuando se producen cambios
significativos.
Los administradores deberán revisar periódicamente
Cumplimiento de las el cumplimiento de los procedimientos de
18.2.2 normas y políticas de procesamiento y la información dentro de su área de
seguridad responsabilidad con las políticas de seguridad, las
normas y otros requisitos de seguridad.
Revisión de Los sistemas de información se revisarán
18.2.3 Cumplimiento de periódicamente del cumplimiento de las políticas y
técnico normas de seguridad de la información de la
Página 37 de 54
organización.
Página 38 de 54
11. ANEXO II CONTROLES PCI DSS 3.1
PCI DSS 3.1
Punto Área Texto
Establish and implement firewall and router configuration
1.1 Firewall
standards that include the following:
A formal process for approving and testing all network
1.1.1 Firewall connections and changes to the firewall and router
configurations
Current network diagram that identifies all connections between
1.1.2 Firewall the cardholder data environment and other networks, including
any wireless networks
Current diagram that shows all cardholder data flows across
1.1.3 Firewall
systems and networks
Requirements for a firewall at each Internet connection and
1.1.4 Firewall between any demilitarized zone (DMZ) and the internal network
zone
Description of groups, roles, and responsibilities for
1.1.5 Firewall
management of network components
Documentation and business justification for use of all services,
protocols, and ports allowed, including documentation of security
1.1.6 Firewall
features implemented for those protocols considered to be
insecure.
Requirement to review firewall and router rule sets at least every
1.1.7 Firewall
six months
Build firewall and router configurations that restrict connections
1.2 Firewall between untrusted networks and any system components in the
cardholder data environment.
Restrict inbound and outbound traffic to that which is necessary
1.2.1 Firewall for the cardholder data environment, and specifically deny all
other traffic.
1.2.2 Firewall Secure and synchronize router configuration files.
Install perimeter firewalls between all wireless networks and the
cardholder data environment, and configure these firewalls to
1.2.3 Firewall deny or, if traffic is necessary for business purposes, permit only
authorized traffic between the wireless environment and the
cardholder data environment.
Prohibit direct public access between the Internet and any
1.3 Internet
system component in the cardholder data environment.
Implement a DMZ to limit inbound traffic to only system
1.3.1 Internet components that provide authorized publicly accessible
services, protocols, and ports.
1.3.2 Internet Limit inbound Internet traffic to IP addresses within the DMZ.
Implement anti-spoofing measures to detect and block forged
1.3.4 Internet
source IP addresses from entering the network.
Página 39 de 54
Do not allow unauthorized outbound traffic from the cardholder
1.3.5 Internet
data environment to the Internet.
Implement stateful inspection, also known as dynamic packet
1.3.6 Internet filtering. (That is, only ―established‖ connections are allowed into
the network.)
Place system components that store cardholder data (such as a
1.3.7 Internet database) in an internal network zone, segregated from the DMZ
and other untrusted networks.
Do not disclose private IP addresses and routing information to
1.3.8 Internet
unauthorized parties.
Install personal firewall software on any mobile and/or
1.4 Internet employee-owned devices that connect to the Internet when
outside the network
Ensure that security policies and operational procedures for
1.5 Internet managing firewalls are documented, in use, and known to all
affected parties.
Always change vendor-supplied defaults and remove or disable
2.1 Internet unnecessary default accounts before installing a system on the
network.
For wireless environments connected to the cardholder data
environment or transmitting cardholder data, change ALL
2.1.1 Internet wireless vendor defaults at installation, including but not limited
to default wireless encryption keys, passwords, and SNMP
community strings.
Develop configuration standards for all system components.
Assure that these standards address all known security
2.2 Internet
vulnerabilities and are consistent with industry-accepted system
hardening standards.
Implement only one primary function per server to prevent
functions that require different security levels from co-existing on
2.2.1 Internet
the same server. (For example, web servers, database servers,
and DNS should be implemented on separate servers.)
Enable only necessary services, protocols, daemons, etc., as
2.2.2 Internet
required for the function of the system.
Implement additional security features for any required services,
protocols, or daemons that are considered to be insecure—for
2.2.3 Internet example, use secured technologies such as SSH, S-FTP, TLS,
or IPSec VPN to protect insecure services such as NetBIOS,
file-sharing, Telnet, FTP,
2.2.4 Internet Configure system security parameters to prevent misuse.
Remove all unnecessary functionality, such as scripts, drivers,
2.2.5 Internet features, subsystems, file systems, and unnecessary web
servers.
Encrypt all non-console administrative access using strong
cryptography. Use technologies such as SSH, VPN, or TLS for
2.3 Internet
web-based management and other non-console administrative
access.
Página 40 de 54
Maintain an inventory of system components that are in scope
2.4 Internet
for PCI DSS.
Ensure that security policies and operational procedures for
2.5 Internet managing vendor defaults and other security parameters are
documented, in use, and known to all affected parties.
Shared hosting providers must protect each entity’s hosted
environment and cardholder data. These providers must meet
2.6 Internet
specific requirements as detailed in Appendix A: Additional PCI
DSS Requirements for Shared Hosting Providers.
Keep cardholder data storage to a minimum by implementing
data retention and disposal policies, procedures and processes
3.1 CDE
that include at least the following for all cardholder data (CHD)
storage:
Do not store sensitive authentication data after authorization
(even if encrypted). If sensitive authentication data is received,
3.2 CDE
render all data unrecoverable upon completion of the
authorization process.
Do not store the full contents of any track (from the magnetic
stripe located on the back of a card, equivalent data contained
3.2.1 CDE on a chip, or elsewhere) after authorization. This data is
alternatively called full track, track, track 1, track 2, and
magnetic-stripe data.
Do not store the card verification code or value (three-digit or
3.2.2 CDE four-digit number printed on the front or back of a payment card
used to verify card-not-present transactions) after authorization.
Do not store the personal identification number (PIN) or the
3.2.3 CDE
encrypted PIN block after authorization.
Mask PAN when displayed (the first six and last four digits are
3.3 CDE the maximum number of digits to be displayed), such that only
personnel with a legitimate business need can see the full PAN.
Render PAN unreadable anywhere it is stored (including on
3.4 CDE portable digital media, backup media, and in logs) by using any
of the following approaches:
If disk encryption is used (rather than file- or column-level
database encryption), logical access must be managed
separately and independently of native operating system
3.4.1 CDE authentication and access control mechanisms (for example, by
not using local user account databases or general network login
credentials). Decryption keys must not be associated with user
accounts.
Document and implement procedures to protect keys used to
3.5 CDE
secure stored cardholder data against disclosure and misuse:
Restrict access to cryptographic keys to the fewest number of
3.5.1 CDE
custodians necessary.
Store secret and private keys used to encrypt/decrypt cardholder
3.5.2 CDE
data in one (or more) of the following forms at all times:
Página 41 de 54
3.5.3 CDE Store cryptographic keys in the fewest possible locations.
Fully document and implement all key-management processes
3.6 CDE and procedures for cryptographic keys used for encryption of
cardholder data, including the following:
3.6.1 CDE Generation of strong cryptographic keys
3.6.2 CDE Secure cryptographic key distribution
3.6.3 CDE Secure cryptographic key storage
Cryptographic key changes for keys that have reached the end
of their cryptoperiod (for example, after a defined period of time
has passed and/or after a certain amount of cipher-text has
3.6.4 CDE
been produced by a given key), as defined by the associated
application vendor or key owner, and based on industry best
practices and guidelines
Retirement or replacement (for example, archiving, destruction,
and/or revocation) of keys as deemed necessary when the
3.6.5 CDE integrity of the key has been weakened (for example, departure
of an employee with knowledge of a clear-text key component),
or keys are suspected of being compromised.
If manual clear-text cryptographic key-management operations
3.6.6 CDE are used, these operations must be managed using split
knowledge and dual control.
3.6.7 CDE Prevention of unauthorized substitution of cryptographic keys.
Requirement for cryptographic key custodians to formally
3.6.8 CDE acknowledge that they understand and accept their key-
custodian responsibilities.
Ensure that security policies and operational procedures for
3.7 CDE protecting stored cardholder data are documented, in use, and
known to all affected parties.
Use strong cryptography and security protocols (for example,
TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data
4.1 CDE
during transmission over open, public networks, including the
following:
Ensure wireless networks transmitting cardholder data or
connected to the cardholder data environment, use industry best
4.1.1 CDE
practices (for example, IEEE 802.11i) to implement strong
encryption for authentication and transmission.
Never send unprotected PANs by end-user messaging
4.2 CDE technologies (for example, e-mail, instant messaging, SMS,
chat, etc.).
Ensure that security policies and operational procedures for
4.3 CDE encrypting transmissions of cardholder data are documented, in
use, and known to all affected parties.
Deploy anti-virus software on all systems commonly affected by
Antivirus
5.1 malicious software (particularly personal computers and
& Malware
servers).
Antivirus Ensure that anti-virus programs are capable of detecting,
5.1.1
& Malware removing, and protecting against all known types of malicious
Página 42 de 54
software.
For systems considered to be not commonly affected by
Antivirus malicious software, perform periodic evaluations to identify and
5.1.2
& Malware evaluate evolving malware threats in order to confirm whether
such systems continue to not require anti-virus software.
Antivirus Ensure that all anti-virus mechanisms are maintained as
5.2
& Malware follows:
Ensure that anti-virus mechanisms are actively running and
Antivirus cannot be disabled or altered by users, unless specifically
5.3
& Malware authorized by management on a case-by-case basis for a limited
time period.
Ensure that security policies and operational procedures for
Antivirus
5.4 protecting systems against malware are documented, in use,
& Malware
and known to all affected parties.
Ensure that all system components and software are protected
from known vulnerabilities by installing applicable vendor-
6.2 SW
supplied security patches. Install critical security patches within
one month of release.
Develop internal and external software applications (including
6.3 SW web-based administrative access to applications) securely, as
follows:
Remove development, test and/or custom application accounts,
6.3.1 SW user IDs, and passwords before applications become active or
are released to customers.
Review custom code prior to release to production or customers
in order to identify any potential coding vulnerability (using either
6.3.2 SW
manual or automated processes) to include at least the
following:
Follow change control processes and procedures for all
CHANGE
6.4 changes to system components. The processes must include
MNG
the following:
CHANGE Separate development/test environments from production
6.4.1
MNG environments, and enforce the separation with access controls.
CHANGE Separation of duties between development/test and production
6.4.2
MNG environments
CHANGE Production data (live PANs) are not used for testing or
6.4.3
MNG development
CHANGE Removal of test data and accounts before production systems
6.4.4
MNG become active
CHANGE
6.4.5.1 Documentation of impact.
MNG
CHANGE
6.4.5.2 Documented change approval by authorized parties.
MNG
CHANGE Functionality testing to verify that the change does not
6.4.5.3
MNG adversely impact the security of the system.
CHANGE
6.4.5.4 Back-out procedures.
MNG
Página 43 de 54
Address common coding vulnerabilities in software-
6.5 Attacks
development processes as follows:
Injection flaws, particularly SQL injection. Also consider OS
6.5.1 Attacks Command Injection, LDAP and XPath injection flaws as well as
other injection flaws.
6.5.10 Attacks Broken authentication and session management
6.5.2 Attacks Buffer overflows
6.5.3 Attacks Insecure cryptographic storage
6.5.4 Attacks Insecure communications
6.5.5 Attacks Improper error handling
All ―high risk‖ vulnerabilities identified in the vulnerability
6.5.6 Attacks
identification process (as defined in PCI DSS Requirement 6.1).
6.5.7 Attacks Cross-site scripting (XSS)
Improper access control (such as insecure direct object
6.5.8 Attacks references, failure to restrict URL access, directory traversal,
and failure to restrict user access to functions).
6.5.9 Attacks Cross-site request forgery (CSRF)
For public-facing web applications, address new threats and
vulnerabilities on an ongoing basis and ensure these
6.6 Attacks
applications are protected against known attacks by either of the
following methods:
Ensure that security policies and operational procedures for
6.7 Attacks developing and maintaining secure systems and applications are
documented, in use, and known to all affected parties.
Limit access to system components and cardholder data to only
7.1 Attacks
those individuals whose job requires such access.
7.1.1 Privilegios Define access needs for each role, including:
Restrict access to privileged user IDs to least privileges
7.1.2 Privilegios
necessary to perform job responsibilities.
Assign access based on individual personnel’s job classification
7.1.3 Privilegios
and function.
Require documented approval by authorized parties specifying
7.1.4 Privilegios
required privileges.
Establish an access control system for systems components
7.2 Privilegios that restricts access based on a user’s need to know, and is set
to ―deny all‖ unless specifically allowed.
7.2.1 Privilegios Coverage of all system components
Assignment of privileges to individuals based on job
7.2.2 Privilegios
classification and function.
7.2.3 Privilegios Default ―deny-all‖ setting.
Ensure that security policies and operational procedures for
7.3 Privilegios restricting access to cardholder data are documented, in use,
and known to all affected parties.
Página 44 de 54
Define and implement policies and procedures to ensure proper
8.1 Privilegios user identification management for non-consumer users and
administrators on all system components as follows:
Assign all users a unique ID before allowing them to access
8.1.1 Privilegios
system components or cardholder data.
Control addition, deletion, and modification of user IDs,
8.1.2 Privilegios
credentials, and other identifier objects.
8.1.3 Privilegios Immediately revoke access for any terminated users.
8.1.4 Privilegios Remove/disable inactive user accounts within 90 days.
Manage IDs used by vendors to access, support, or maintain
8.1.5 Privilegios
system components via remote access as follows:
Limit repeated access attempts by locking out the user ID after
8.1.6 Privilegios
not more than six attempts.
Set the lockout duration to a minimum of 30 minutes or until an
8.1.7 Privilegios
administrator enables the user ID.
If a session has been idle for more than 15 minutes, require the
8.1.8 Privilegios
user to re-authenticate to re-activate the terminal or session.
In addition to assigning a unique ID, ensure proper user-
authentication management for non-consumer users and
8.2 Privilegios
administrators on all system components by employing at least
one of the following methods to authenticate all users:
Using strong cryptography, render all authentication credentials
8.2.1 Privilegios (such as passwords/phrases) unreadable during transmission
and storage on all system components.
Verify user identity before modifying any authentication
8.2.2 Privilegios credential—for example, performing password resets,
provisioning new tokens, or generating new keys.
8.2.3 PWD Passwords/phrases must meet the following:
Change user passwords/passphrases at least once every 90
8.2.4 PWD
days.
Do not allow an individual to submit a new password/phrase that
8.2.5 PWD is the same as any of the last four passwords/phrases he or she
has used.
Set passwords/phrases for first-time use and upon reset to a
8.2.6 PWD unique value for each user, and change immediately after the
first use.
Incorporate two-factor authentication for remote network access
originating from outside the network by personnel (including
8.3 PWD
users and administrators) and all third parties, (including vendor
access for support or maintenance).
Document and communicate authentication policies and
8.4 PWD
procedures to all users including:
Do not use group, shared, or generic IDs, passwords, or other
8.5 PWD
authentication methods as follows:
Página 45 de 54
Additional requirement for service providers only: Service
providers with remote access to customer premises (for
8.5.1 PWD example, for support of POS systems or servers) must use a
unique authentication credential (such as a password/phrase)
for each customer.
Where other authentication mechanisms are used (for example,
8.6 PWD physical or logical security tokens, smart cards, certificates,
etc.), use of these mechanisms must be assigned as follows:
All access to any database containing cardholder data (including
8.7 PWD access by applications, administrators, and all other users) is
restricted as follows:
Ensure that security policies and operational procedures for
8.8 PWD identification and authentication are documented, in use, and
known to all affected parties.
Use appropriate facility entry controls to limit and monitor
9.1 FÍSICAS
physical access to systems in the cardholder data environment.
Use video cameras and/or access control mechanisms to
monitor individual physical access to sensitive areas. Review
9.1.1 FÍSICAS
collected data and correlate with other entries. Store for at least
three months, unless otherwise restricted by law.
Implement physical and/or logical controls to restrict access to
9.1.2 FÍSICAS
publicly accessible network jacks.
Restrict physical access to wireless access points, gateways,
9.1.3 FÍSICAS handheld devices, networking/communications hardware, and
telecommunication lines.
Ensure that security policies and operational procedures for
9.10 FÍSICAS restricting physical access to cardholder data are documented,
in use, and known to all affected parties.
Develop procedures to easily distinguish between onsite
9.2 FÍSICAS
personnel and visitors, to include:
Control physical access for onsite personnel to sensitive areas
9.3 FÍSICAS
as follows:
9.4 FÍSICAS Implement procedures to identify and authorize visitors.
Visitors are authorized before entering, and escorted at all times
9.4.1 FÍSICAS
within, areas where cardholder data is processed or maintained.
Visitors are identified and given a badge or other identification
9.4.2 FÍSICAS that expires and that visibly distinguishes the visitors from onsite
personnel.
Visitors are asked to surrender the badge or identification before
9.4.3 FÍSICAS
leaving the facility or at the date of expiration.
Todos los empleados y asociados externos devolverá todos los
9.4.4 FÍSICAS activos de la organización que tengan en posesión a la
finalización de su empleo o contrato o acuerdo
9.5 MEDIA Physically secure all media.
Página 46 de 54
Store media backups in a secure location, preferably an off-site
9.5.1 MEDIA facility, such as an alternate or backup site, or a commercial
storage facility. Review the location’s security at least annually.
Maintain strict control over the internal or external distribution of
9.6 MEDIA
any kind of media, including the following:
9.6.1 MEDIA Classify media so the sensitivity of the data can be determined.
Send the media by secured courier or other delivery method that
9.6.2 MEDIA
can be accurately tracked.
Ensure management approves any and all media that is moved
9.6.3 MEDIA from a secured area (including when media is distributed to
individuals).
Maintain strict control over the storage and accessibility of
9.7 MEDIA
media.
Properly maintain inventory logs of all media and conduct media
9.7.1 MEDIA
inventories at least annually.
Destroy media when it is no longer needed for business or legal
9.8 MEDIA
reasons as follows:
Shred, incinerate, or pulp hard-copy materials so that cardholder
9.8.1 MEDIA data cannot be reconstructed. Secure storage containers used
for materials that are to be destroyed.
Render cardholder data on electronic media unrecoverable so
9.8.2 MEDIA
that cardholder data cannot be reconstructed.
Protect devices that capture payment card data via direct
9.9 MEDIA physical interaction with the card from tampering and
substitution.
Maintain an up-to-date list of devices. The list should include the
9.9.1 MEDIA
following:
Periodically inspect device surfaces to detect tampering (for
example, addition of card skimmers to devices), or substitution
9.9.2 MEDIA (for example, by checking the serial number or other device
characteristics to verify it has not been swapped with a
fraudulent device).
Provide training for personnel to be aware of attempted
tampering or replacement of devices. Training should include
the following:
- Verify the identity of any third-party persons claiming to be
repair or maintenance personnel, prior to granting them access
to modify or troubleshoot devices.
9.9.3 MEDIA
- Do not install, replace, or return devices without verification.
- Be aware of suspicious behavior around devices (for example,
attempts by unknown persons to unplug or open devices).
- Report suspicious behavior and indications of device tampering
or substitution to appropriate personnel (for example, to a
manager or security officer).
Implement audit trails to link all access to system components
10.1 AUDIT
to each individual user.
10.2 AUDIT Implement automated audit trails for all system components to
Página 47 de 54
reconstruct the following events:
10.2.1 AUDIT All individual user accesses to cardholder data
All actions taken by any individual with root or administrative
10.2.2 AUDIT
privileges
10.2.3 AUDIT Access to all audit trails
10.2.4 AUDIT Invalid logical access attempts
Use of and changes to identification and authentication
mechanisms—including but not limited to creation of new
10.2.5 AUDIT accounts and elevation of privileges—and all changes,
additions, or deletions to accounts with root or administrative
privileges
10.2.6 AUDIT Initialization, stopping, or pausing of the audit logs
10.2.7 AUDIT Creation and deletion of system-level objects
Record at least the following audit trail entries for all system
10.3 AUDIT
components for each event:
10.3.1 AUDIT User identification
10.3.2 AUDIT Type of event
10.3.3 AUDIT Date and time
10.3.4 AUDIT Success or failure indication
10.3.5 AUDIT Origination of event
Identity or name of affected data, system component, or
10.3.6 AUDIT
resource.
Using time-synchronization technology, synchronize all critical
10.4 AUDIT system clocks and times and ensure that the following is
implemented for acquiring, distributing, and storing time.
10.4.1 AUDIT Critical systems have the correct and consistent time.
10.4.2 AUDIT Time data is protected.
Time settings are received from industry-accepted time
10.4.3 AUDIT
sources.
10.5 AUDIT Secure audit trails so they cannot be altered.
10.5.1 AUDIT Limit viewing of audit trails to those with a job-related need.
10.5.2 AUDIT Protect audit trail files from unauthorized modifications.
Promptly back up audit trail files to a centralized log server or
10.5.3 AUDIT
media that is difficult to alter.
Write logs for external-facing technologies onto a secure,
10.5.4 AUDIT
centralized, internal log server or media device.
Use file-integrity monitoring or change-detection software on
logs to ensure that existing log data cannot be changed without
10.5.5 AUDIT
generating alerts (although new data being added should not
cause an alert).
Review logs and security events for all system components to
10.6 AUDIT
identify anomalies or suspicious activity.
10.6.1 AUDIT Review the following at least daily:
Página 48 de 54
Review logs of all other system components periodically based
10.6.2 AUDIT on the organization’s policies and risk management strategy, as
determined by the organization’s annual risk assessment.
Follow up exceptions and anomalies identified during the review
10.6.3 AUDIT
process.
Retain audit trail history for at least one year, with a minimum of
10.7 AUDIT three months immediately available for analysis (for example,
online, archived, or restorable from backup).
Ensure that security policies and operational procedures for
10.8 AUDIT monitoring all access to network resources and cardholder data
are documented, in use, and known to all affected parties.
Implement processes to test for the presence of wireless
11.1 AUDIT access points (802.11), and detect and identify all authorized
and unauthorized wireless access points on a quarterly basis.
Maintain an inventory of authorized wireless access points
11.1.1 AUDIT
including a documented business justification.
Implement incident response procedures in the event
11.1.2 AUDIT
unauthorized wireless access points are detected.
Run internal and external network vulnerability scans at least
quarterly and after any significant change in the network (such
11.2 AUDIT
as new system component installations, changes in network
topology, firewall rule modifications, product upgrades).
Perform quarterly internal vulnerability scans and rescans as
needed, until all ―high-risk‖ vulnerabilities (as identified in
11.2.1 AUDIT
Requirement 6.1) are resolved. Scans must be performed by
qualified personnel.
Perform quarterly external vulnerability scans, via an Approved
Scanning Vendor (ASV) approved by the Payment Card Industry
11.2.2 AUDIT
Security Standards Council (PCI SSC). Perform rescans as
needed, until passing scans are achieved.
Perform internal and external scans, and rescans as needed,
11.2.3 AUDIT after any significant change. Scans must be performed by
qualified personnel.
Implement a methodology for penetration testing that includes
11.3 AUDIT
the following:
Perform external penetration testing at least annually and after
any significant infrastructure or application upgrade or
11.3.1 PENTEST modification (such as an operating system upgrade, a sub-
network added to the environment, or a web server added to the
environment).
Perform internal penetration testing at least annually and after
any significant infrastructure or application upgrade or
11.3.2 PENTEST modification (such as an operating system upgrade, a sub-
network added to the environment, or a web server added to the
environment).
Página 49 de 54
Exploitable vulnerabilities found during penetration testing are
11.3.3 PENTEST
corrected and testing is repeated to verify the corrections.
If segmentation is used to isolate the CDE from other networks,
perform penetration tests at least annually and after any
11.3.4 PENTEST changes to segmentation controls/methods to verify that the
segmentation methods are operational and effective, and isolate
all out-of-scope systems from systems in the CDE.
a Examine segmentation controls and review penetration-testing
methodology to verify that penetration-testing procedures are
11.3.4a PENTEST defined to test all segmentation methods to confirm they are
operational and effective, and isolate all out-of-scope systems
from systems in the CDE.
b Examine the results from the most recent penetration test to
11.3.4b PENTEST
verify that:
Use intrusion-detection and/or intrusion-prevention techniques
to detect and/or prevent intrusions into the network. Monitor all
DETECTI
11.4 traffic at the perimeter of the cardholder data environment as
ON
well as at critical points in the cardholder data environment, and
alert personnel to suspected compromises.
Deploy a change-detection mechanism (for example, file-
integrity monitoring tools) to alert personnel to unauthorized
DETECTI modification (including changes, additions, and deletions) of
11.5
ON critical system files, configuration files, or content files; and
configure the software to perform critical file comparisons at
least weekly.
DETECTI Implement a process to respond to any alerts generated by the
11.5.1
ON change-detection solution.
Ensure that security policies and operational procedures for
Security
11.6 security monitoring and testing are documented, in use, and
Police
known to all affected parties.
Security
12.1 Establish, publish, maintain, and disseminate a security policy.
Police
Security Review the security policy at least annually and update the
12.1.1
Police policy when the environment changes.
Security Implement an incident response plan. Be prepared to respond
12.10
Police immediately to a system breach.
Create the incident response plan to be implemented in the
Security
12.10.1 event of system breach. Ensure the plan addresses the
Police
following, at a minimum:
12.10.2 Test Test the plan at least annually.
Designate specific personnel to be available on a 24/7 basis to
12.10.3 Test
respond to alerts.
Provide appropriate training to staff with security breach
12.10.4 Test
response responsibilities.
Include alerts from security monitoring systems, including but
12.10.5 Test not limited to intrusion-detection, intrusion-prevention, firewalls,
and file-integrity monitoring systems.
Página 50 de 54
Develop a process to modify and evolve the incident response
12.10.6 Test plan according to lessons learned and to incorporate industry
developments.
12.2 Test Implement a risk-assessment process that:
Develop usage policies for critical technologies and define
12.3 Test
proper use of these technologies.
12.3.1 Test Explicit approval by authorized parties
For personnel accessing cardholder data via remote-access
technologies, prohibit the copying, moving, and storage of
12.3.10 Test
cardholder data onto local hard drives and removable electronic
media, unless explicitly authorized for a defined business need.
12.3.2 Test Authentication for use of the technology
12.3.3 Test A list of all such devices and personnel with access
A method to accurately and readily determine owner, contact
12.3.4 Test information, and purpose (for example, labeling, coding, and/or
inventorying of devices)
12.3.5 Test Acceptable uses of the technology
12.3.6 Test Acceptable network locations for the technologies
12.3.7 Test List of company-approved products
Automatic disconnect of sessions for remote-access
12.3.8 Test
technologies after a specific period of inactivity
Activation of remote-access technologies for vendors and
12.3.9 Test business partners only when needed by vendors and business
partners, with immediate deactivation after use
Responsa Ensure that the security policy and procedures clearly define
12.4
bilidades information security responsibilities for all personnel.
Responsa Assign to an individual or team the following information
12.5
bilidades security management responsibilities:
Responsa Establish, document, and distribute security policies and
12.5.1
bilidades procedures.
Responsa Monitor and analyze security alerts and information, and
12.5.2
bilidades distribute to appropriate personnel.
Establish, document, and distribute security incident response
Responsa
12.5.3 and escalation procedures to ensure timely and effective
bilidades
handling of all situations.
Responsa Administer user accounts, including additions, deletions, and
12.5.4
bilidades modifications.
Responsa
12.5.5 Monitor and control all access to data.
bilidades
Responsa Implement a formal security awareness program to make all
12.6
bilidades personnel aware of the importance of cardholder data security.
Responsa
12.6.1 Educate personnel upon hire and at least annually.
bilidades
Responsa Require personnel to acknowledge at least annually that they
12.6.2
bilidades have read and understood the security policy and procedures.
Página 51 de 54
Screen potential personnel prior to hire to minimize the risk of
attacks from internal sources. (Examples of background checks
12.7 Test
include previous employment history, criminal record, credit
history, and reference checks.)
Maintain and implement policies and procedures to manage
12.8 Test service providers with whom cardholder data is shared, or that
could affect the security of cardholder data, as follows:
Service
12.8.1 Maintain a list of service providers.
Providers
Maintain a written agreement that includes an
acknowledgement that the service providers are responsible for
Service the security of cardholder data the service providers possess or
12.8.2
Providers otherwise store, process or transmit on behalf of the customer,
or to the extent that they could impact the security of the
customer’s cardholder data environment.
Service Ensure there is an established process for engaging service
12.8.3
Providers providers including proper due diligence prior to engagement.
Service Maintain a program to monitor service providers’ PCI DSS
12.8.4
Providers compliance status at least annually.
Maintain information about which PCI DSS requirements are
Service
12.8.5 managed by each service provider, and which are managed by
Providers
the entity.
Additional requirement for service providers only: Service
providers acknowledge in writing to customers that they are
Service responsible for the security of cardholder data the service
12.9
Providers provider possesses or otherwise stores, processes, or transmits
on behalf of the customer, or to the extent that they could impact
the security of the customer’s cardholder data environment.
Página 52 de 54
12. Glosario
ISO: International Standards Organization (Organización Internacional de
Estándares)
IEC: International Electrotechnical Comission (Comisión Electrotécnica
Internacional)
SGSI: Sistema Gestor de la Seguridad de la Información, es el sistema
que se construye al implantar la norma ISO27001.
PCI: Payment Card Industrie, consorcio de las principales emisoras de
tarjetas a nivel mundial.
PCI DSS: DSS es Data Security Standard la norma es el estándar de
seguridad a cumplir con la industria de pago con tarjeta.
NIST: National Institute of Standards and Technology
IEEE: Institute of Electrical and Electronics Engineers
Página 53 de 54
13. Referencias
ANEXO Controles ISO27002:2013 Listado de Controles ISO27002
ISO/IEC 27001:2013 – Sistemas de Gestión de la Seguridad de la
Información
ISO/IEC 27002:2011 – Controles de seguridad para Gestión de la
Seguridad de la Información
ISO/IEC 17799 – Code of Practice of Information Security Management
ISO/IEC 19011:2011 – Directrices para la auditoría de Sistemas de
Gestión
PCI DSS 3.1 - Requirements and Security Assessment Procedures: PCI
Library
ISO27001 Toolkit: http://advisera.com/27001academy/iso-27001-
documentation-toolkit/
Web Divulgativa ISO27001 en Español: http://www.iso27000.es/
List of Mandatory Documentation ISO27001 Implementation:
http://advisera.com/27001academy/free-downloads/
Web de la organización internacional de Estándares (ISO):
http://www.iso.org/iso/home/standards/management-
standards/iso27001.htm
Punto de venta de normas ISO: http://www.iso.org/iso/store.htm
Precio ISO27001:2013: 118 CHF (Francos Suizos), equivalentes a 108,1
€ (14/6/2016).
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csn
umber=54534
Modelo de Madurez de la Capacidad: http://www.sei.cmu.edu/cmmi/
NIST 800-30: Norma NIST 800-30
Página 54 de 54