Gestión de registros PCI DSS

Cualquier empresa cuya línea de servicio implique el cobro de pagos debe contar con sistemas para salvaguardar la información del cliente, ya sea en la industria de la salud, la alimentación, el comercio minorista, la hospitalidad o cualquier otra industria. Esto se debe a que la transmisión de datos de pago es muy sensible.

Además de establecer los estándares de la industria para los datos del titular de la tarjeta (CD), el Estándar de seguridad de datos de la industria de tarjetas de pago o PCI-DSS también hace cumplir estos estándares con sanciones en caso de incumplimiento.

¿Qué implica exactamente PCI-DSS?

A principios de la década de 2000, los cinco líderes mundiales en transacciones con tarjetas de pago: American Express, MasterCard, Discover Financial Services, Visa Inc. y JCB International se reunieron para lanzar el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago o PCI-SSC. El consejo ideó estándares de seguridad de la información para el procesamiento de pagos con dos objetivos en mente:

• proteger a los clientes del robo de identidad no autorizado, y
• ayudando a la industria de las tarjetas a evitar pagar por filtraciones de datos evitables.

A partir de las deliberaciones del PCI-SSC, lo que hoy conocemos como las "mejores prácticas" de la industria de las tarjetas para proteger los datos y la información de pago de los clientes pronto se estandarizaron en PCI-DSS.

Sanciones por incumplimiento de PCI-DSS

Aunque PCI-DSS se designa solo como un "estándar de la industria" en lugar de una regulación, su cumplimiento está lejos de ser opcional. El incumplimiento puede ser una ruina significativa para su negocio como comerciante. Las firmas de tarjetas y los bancos adquirientes pueden multar entre $5,000 y $100,000 mensuales por incumplimiento. Estas multas pueden ser una sentencia de muerte para las PYME.

Entonces, ¿el cumplimiento de PCI-DSS es obligatorio ?

¡Sí lo es! Independientemente del tamaño de su empresa o de la industria en la que se encuentre, si acepta, transmite o almacena datos de titulares de tarjetas, entonces el cumplimiento de PCI-DSS es imprescindible.

Requisito 10 de PCI-DSS: ¿Qué es?

Este requisito se refiere a la supervisión del acceso tanto a las redes como a los datos. Establece: Rastree y controle todos los accesos a los recursos de la red y los datos del titular de la tarjeta.

Aparte de los mecanismos de registro, la capacidad de rastrear y monitorear las acciones de los usuarios es crucial en la detección, reducción del impacto o prevención total de violaciones de datos. Con los registros de actividad del sistema, es más fácil rastrear, analizar y determinar la fuente de una infracción para alertar a las autoridades correspondientes para que tomen medidas.

Con 39 subpartes que detallan sus demandas, el Requisito 10 enfatiza que usted monitorea continuamente el acceso de los usuarios y las actividades en su entorno. Los controles de acceso de usuarios le permiten garantizar un entorno seguro de datos del titular de la tarjeta (CDE). Además, dado que PCI-DSS es un conjunto de estándares altamente prescriptivo, establece una lista elaborada de los pasos, procesos y documentos necesarios para cumplir con sus requisitos.

Requisito 10 Cumplimiento: ¿Qué registros se necesitan?

Para ayudarlo a asegurarse de que ha cumplido completamente con sus requisitos, PCI-DSS tiene muchos mecanismos incorporados. Además de enumerar secciones, subsecciones y partes de subsecciones, el estándar también incluye una sección de orientación para ayudar a sus usuarios a apreciar una revisión de control eficaz. A continuación se incluye una compilación de pasos que pueden ayudarlo a registrar datos esenciales para determinar si cumple o no:

• Diseñe un sistema/proceso que conecte el acceso de los usuarios a las secciones del sistema a las que obtuvo acceso y confíe en que puede rastrear cualquier actividad sospechosa hasta su origen.
• Cree pistas de auditoría que demuestren cómo el administrador del sistema puede recibir notificaciones de cualquier actividad sospechosa y responder en consecuencia.
• Lleve un registro de todas las entradas de acceso individuales al CDE para demostrar que ningún usuario no autorizado ha tenido acceso a los sistemas, redes y datos.
• Asegúrese de registrar todas las actividades realizadas por las cuentas "administrador/raíz" que muestren claramente cualquier posible uso indebido de privilegios y rastree la infracción hasta su fuente específica.
• Mantenga la integridad de los archivos de los registros de auditoría mediante la implementación de un método para identificar cualquier cambio, adición o eliminación de los mismos.
• Tome registros de intentos de inicio de sesión no válidos/ilegales para rastrear conjeturas de contraseñas y ataques de piratería de fuerza bruta.
• Un documento que le permite rastrear cualquier manipulación de las actividades de autenticación que intentan eludir los controles.
• Registre cualquier pausa/reinicio de los procesos de registro de auditoría de su sistema.
• Mantenga registros para demostrar que los objetos a nivel del sistema, como bases de datos o procedimientos almacenados, no se han creado/eliminado a través de cuentas de usuario no autorizadas.
• Cree un registro de eventos para registrar ID de usuario, tipos de eventos, marcas de tiempo, indicadores de éxito/fallo, origen de eventos, datos afectados, componente del sistema afectado e identidad/nombre del recurso.
• Sincronice los relojes entre los componentes del sistema para controlar las secuencias exactas de eventos para los equipos forenses.
• Hacer uso del "principio de privilegio mínimo" en el acceso al registro de auditoría para garantizar la integridad y seguridad de la información.
• Copia de seguridad de registros en servidores/medios centralizados que garantizan la integridad de los datos.
• Escriba registros directamente o descárguelos o cópielos de fuentes externas a un sistema interno seguro.
• Incorpore mecanismos de monitoreo de integridad de archivos y detección de cambios para detectar cambios en el registro de auditoría en caso de brechas en la fecha.
• Revise periódicamente los registros, ya sea manualmente o mediante herramientas de recolección, análisis y alerta de registros.
• Revise los controles de seguridad diariamente para detectar alertas sobre registros de componentes críticos del sistema, por ejemplo, cualquier actividad sospechosa.
• Programe revisiones periódicas de todos los componentes del sistema que revelen problemas potenciales o intentos de acceso no autorizado a sistemas confidenciales a través de sistemas menos confidenciales.
• Manténgase al tanto de las investigaciones de excepciones/anomalías.
• Mantener todos los registros durante un mínimo de un año.
• Asegúrese de que los empleados conozcan las políticas de seguridad y su seguimiento.

Requisitos adicionales para proveedores de servicios

• Implemente procedimientos formales para detectar/alertar fallas críticas de control de seguridad, por ejemplo, eliminar reglas de firewall o desconectarse.
• Mantener evidencia sobre la respuesta a fallas de seguridad, incluyendo el procedimiento involucrado y responsable.

Nota del editor: Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Alcance de una auditoría SOC2
• Requisitos de auditoría: empresas privadas estadounidenses
• Plan de gestión de riesgos – ¿Para qué sirve?
• Estrategia de análisis de datos de eficacia de auditoría interna
• Priorizar el riesgo en la gestión de proyectos