Lograr el cumplimiento del PCI DSS con DataSecurity Plus

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) se aplica a todas las entidades que participan en el procesamiento de tarjetas de pago, incluidos los comerciantes, los procesadores, los adquirentes, los emisores y los proveedores de servicios. También se aplica a otras entidades que aceptan, almacenan o transmiten información de tarjetas de pago, datos de titulares de tarjetas o datos sensibles de autenticación.

ManageEngine DataSecurity Plus - nuestro software de cumplimiento del PCI - ayuda a abordar los requisitos del PCI DSS al:

Descubrir e informar sobre la información de las tarjetas de pago en los entornos de almacenamiento.
Auditar cómo se protegen, procesan y transmiten los archivos sensibles.
Monitorear la integridad de los archivos en el entorno de los datos de las tarjetas.
Proporcionar una información detallada mejorada de los permisos de seguridad y del almacenamiento de archivos.
Proteger los archivos sensibles de las pérdidas de datos accidentales y maliciosas.

Y mucho más.

EBOOK

Agilice el cumplimiento del PCI DSS con DataSecurity Plus.

Descargar ebook
EBOOK

Todo lo que necesita saber sobre el GDPR y cómo la detección de datos puede ayudarle a cumplir con el GDPR.

Descargar ebook

Cómo ayuda nuestro software de cumplimiento del PCI DSS a abordar los requisitos de cumplimiento del PCI

Esta tabla enumera los diversos requisitos del PCI DSS que son tratados por DataSecurity Plus.

Cuáles son los requisitos del PCI	Lo que usted debe hacer	Cómo le ayuda DataSecurity Plus
Requisito 2.2.5 Elimine todas las funciones innecesarias, como scripts, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios.	Identifique todos los componentes del sistema, incluidos los scripts y los sistemas de archivos, y elimine los que no estén en uso.	Localice los archivos no utilizados: Reciba informes sobre archivos, scripts, archivos por lotes, etc., a los que no se haya accedido o modificado durante largos períodos de tiempo. Estos informes simplifican la gestión de archivos redundantes, obsoletos y triviales (ROT) y reducen el número de archivos vulnerables con permisos o datos obsoletos.
Requisito 3.1 Mantenga el almacenamiento de los datos de los titulares de las tarjetas al mínimo implementando políticas, procedimientos y procesos de retención y eliminación de datos que incluyan al menos lo siguiente para todo el almacenamiento de datos de los titulares de las tarjetas: Establecer un límite a la cantidad de datos almacenados y al tiempo de retención que sea apropiado para los requisitos legales, regulatorios y/o empresariales Requisitos específicos de conservación de los datos de los titulares de las tarjetas Procesos de eliminación segura de datos cuando ya no se necesiten Un proceso trimestral para identificar y eliminar de forma segura los datos almacenados de los titulares de tarjetas que superen la retención definida	Escanee periódicamente los datos regulados en su entorno de datos de tarjetas (CDE). Establezca políticas de retención de datos: los datos recopilados deben eliminarse cuando ya no sean necesarios. Localice y elimine los datos del titular de la tarjeta que se almacenan más allá de su vida útil permitida.	Descubra datos de la PCI y de los titulares de tarjetas Utilice las reglas de detección de datos integradas para localizar los datos de la PCI y de los titulares de tarjetas almacenados por su organización. Cree un inventario de qué datos se almacenan, dónde, por quién y durante cuánto tiempo. Esto permite a los administradores garantizar que sólo se almacenen los datos necesarios. Analice datos de ROT Identifique los archivos obsoletos y no modificados para garantizar que los datos de los titulares de las tarjetas no se almacenen más allá del período de conservación previsto. Escaneos programados de evaluación del riesgo de los datos Realice exploraciones periódicas de descubrimiento de datos de titulares de tarjetas, habilite el escaneo incremental de archivos nuevos y recientemente modificados, y garantice que cada instancia de datos regulados sea descubierta y catalogada. También puede utilizar scripts para poner en cuarentena o eliminar los archivos que infrinjan las políticas de almacenamiento de datos sensibles.
Requisito 3.2 No almacene datos sensibles de autenticación después de la autorización. Los datos sensibles de autentificación incluyen el nombre del titular de la tarjeta, el número de cuenta principal (PAN), el código de verificación de la tarjeta, el número de identificación personal (PIN), etc. Está permitido que los emisores y las empresas que apoyan los servicios de emisión almacenen datos sensibles de autenticación si: Hay una justificación comercial Y los datos se almacenan de forma segura	Examine las fuentes de datos y verifique que los datos sensibles de autenticación no se almacenen después de la autorización.	Descubrimiento de datos PCI Implante un descubrimiento de datos efectivo con una combinación de concordancia de palabras clave y concordancia de patrones. Juntos, le ayudarán a localizar los valores de verificación de la tarjeta (CVV), el PIN, el PAN y otros datos de autenticación. Puntuación de confianza Verifique el contexto de las posibles coincidencias para determinar la certeza de que una coincidencia sea un Verdadero Positivo en lugar de un Falso Positivo. Automatización de la respuesta Automatice el borrado o la puesta en cuarentena de los datos de las tarjetas detectadas, o limite su uso realizando una acción personalizada mediante scripts.
Requisito 3.5.2 Restrinja el acceso a las claves criptográficas al menor número posible de custodios.	Examine los permisos asociados a los archivos clave y garantice que el acceso esté restringido al menor número de custodios necesario.	Generación de informes de NTFS y de permisos de uso compartido Reciba informes detallados sobre NTFS de los permisos de uso compartido de archivos y carpetas para saber qué usuario tiene qué permiso sobre ellos.
Requisito 7.1 Limite el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas únicamente a aquellas personas cuyo trabajo requiera dicho acceso. 7.1.1 Defina las necesidades de acceso para cada rol 7.1.2 Restrinja el acceso a las identificaciones de usuarios privilegiados 7.1.3 Asigne el acceso en función de la clasificación laboral y la función del personal. Nota: Los componentes del sistema incluyen dispositivos de red, servidores, dispositivos informáticos y aplicaciones.	Verifique que los privilegios asignados a los usuarios con y sin privilegios sean: Necesarios para la función laboral de ese individuo Restringidos al mínimo privilegio necesario para realizar las responsabilidades del trabajo.	Generación de informes de permisos de NTFS Enumere los usuarios que tienen acceso a los archivos que contienen datos de los titulares de las tarjetas, junto con los detalles sobre las acciones que cada usuario puede realizar en ellos. Análisis eficaz de los permisos Garantice la confidencialidad de los datos de los titulares de las tarjetas analizando e informando sobre los permisos efectivos. Compruebe que los usuarios no tienen más privilegios de los necesarios para su rol. Detección de archivos sobreexpuestos Localice los archivos a los que pueden acceder todos los empleados y los archivos que permiten un acceso de control total a los usuarios.
Requisito 8.1.3 Revoque inmediatamente el acceso a los usuarios dados de baja.	Garantice que los usuarios que han sido dados de baja de su organización han sido eliminados de las listas de acceso a los archivos.	Análisis de la titularidad de los archivos Identifique los archivos huérfanos y los que pertenecen a usuarios obsoletos, deshabilitados o inactivos para evitar intentos de cambio de archivos malintencionados por parte de empleados despedidos.
Requisito 10.1 Implemente pistas de auditoría para vincular todos los accesos a los componentes del sistema a cada usuario individual.	Genere logs de auditoría que permitan trazar la actividad sospechosa hasta un usuario específico.	Pista de auditoría detallada Supervise los accesos a archivos críticos, el uso de aplicaciones web, el uso de USB, el uso de impresoras y mucho más con logs de auditoría de acceso centralizado. Análisis de la causa raíz Aproveche las opciones de filtrado de informes granulares para agilizar el análisis de la causa raíz e identificar el alcance de una violación de seguridad.
Requisito 10.2 Implemente pistas de auditoría automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos: 10.2.1 Todos los accesos de usuarios individuales a los datos del titular de la tarjeta 10.2.2 Todas las acciones llevadas a cabo por cualquier persona con privilegios de root o administrativos	Audite la actividad de los usuarios en su CDE en tiempo real. Supervise los cambios realizados por los usuarios con privilegios administrativos.	Monitoreo de la actividad de los archivos Realice un seguimiento de todos los eventos de archivos y carpetas -lectura, creación, modificación, sobrescritura, traslado, cambio de nombre, eliminación y cambio de permisos- que se produzcan en su entorno de almacenamiento de datos de PCI y de titulares de tarjetas. Monitoreo de usuarios privilegiados Enumere los usuarios con acceso privilegiado a los archivos sensibles y personalice los informes para monitorear todos los cambios de archivos realizados por ellos.
Requisito 10.3 Registre al menos las siguientes entradas de la pista de auditoría para cada evento: 10.3.1 Identificación del usuario 10.3.2 Tipo de evento 10.3.3 Fecha y hora 10.3.4 Indicación de éxito o fracaso 10.3.5 Origen del evento 10.3.6 Identidad o nombre de los datos afectados	Recopile logs detallados de la actividad de los usuarios en su CDE.	Auditoría de cambios en tiempo real Obtenga la información completa sobre cada acceso a un archivo, incluyendo detalles sobre quién intentó qué cambio, en qué archivo, cuándo, desde dónde y si tuvo éxito.
Requisito 10.5 Proteja los logs de auditoría para que no puedan ser alterados. 10.5.5Utilice un software de monitoreo de la integridad de los archivos o de detección de cambios en los logs para garantizar que los datos de logs existentes no puedan modificarse sin generar alertas (aunque los nuevos datos que se añadan no deberían provocar una alerta).	Implemente sistemas de monitoreo de la integridad de los archivos o de detección de cambios para comprobar los cambios en los archivos críticos y enviar notificaciones cuando se observen dichos cambios.	Monitoreao de la integridad de los archivos PCI Audite todos los intentos de acceso a los archivos, exitosos o fallidos, en tiempo real. Mantenga una pista de auditoría detallada para su análisis. Alertas en tiempo real Active alertas instantáneas para notificar a los interesados cuando se detecten cambios sospechosos en los archivos. Respuesta automatizada a incidentes de seguridad Ejecute respuestas automatizadas para minimizar el daño potencial en caso de un incidente de seguridad.
Requisito 10.6 Revise los logs y los eventos de seguridad de todos los componentes del sistema para identificar anomalías o actividades sospechosas.	Las revisiones periódicas de los logs pueden identificar y tratar de forma proactiva los accesos no autorizados al entorno de datos de los titulares de las tarjetas. También reduce el tiempo que se tarda en detectar una posible violación de seguridad.	Entrega programada de informes de cumplimiento de la PCI Envíe los informes programados a los buzones de los interesados en formato PDF, HTML, CSV o XLSX.
Requisito 10.7 Conserve el historial de la pista de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis (por ejemplo, en línea, archivado o restaurado desde una copia de seguridad).	A menudo se tarda en notar un peligro, por lo que conservar los logs durante al menos un año garantiza que los investigadores tengan un historial de logs suficiente para determinar la duración de una posible violación de seguridad y su impacto.	Conservación de logs de auditoría a largo plazo Conserve los datos de auditoría durante largos períodos. Usted también puede archivar los logs más antiguos y cargarlos más adelante para analizar los accesos a los archivos.
Requisito 11.5 Implemente un mecanismo de detección de cambios (por ejemplo, herramientas de monitoreo de la integridad de los archivos) para alertar al personal de las modificaciones no autorizadas (incluidos los cambios, adiciones y eliminaciones) de los archivos críticos del sistema, los archivos de configuración o los archivos de contenido; y configure la herramienta para realizar comparaciones de archivos críticos al menos una vez por semana.	Monitoree los cambios en los ejecutables del sistema, los ejecutables de las aplicaciones, los archivos de configuración y de parámetros, etc. Active alertas en caso de cambios inesperados.	FIM Audite los cambios realizados en los binarios críticos de la aplicación y del sistema operativo, los archivos de configuración, los archivos de la aplicación, los archivos de log, etc. Alertas instantáneas Notifique al instante a los administradores cuando se detecten cambios anómalos en los archivos. Ejecute respuestas a incidentes personalizados Automatice los archivos por lotes para apagar equipos, sesiones de usuarios finales, etc.
Requisito 12.3.10 Para el personal que accede a los datos de los titulares de tarjetas a través de tecnologías de acceso remoto, se prohíbe copiar, trasladar y almacenar los datos de los titulares de tarjetas en discos duros locales y medios electrónicos extraíbles, a menos que se autorice explícitamente para una necesidad empresarial definida.	Prohibir a los usuarios que almacenen o copien los datos de los titulares de las tarjetas en sus equipos personales locales o en otros medios, a menos que se les haya autorizado explícitamente a hacerlo.	Protección contra la copia de archivos Monitoree las acciones de copia de archivos en tiempo real y evite la transferencia injustificada de datos críticos a través de recursos compartidos locales y de red. Protección contra escritura en USB Bloquee los dispositivos USB sospechosos y evite que los usuarios hagan robo de datos sensibles.
Requisito A3.2.5 Implemente una metodología de descubrimiento de datos para confirmar el alcance de la PCI DSS y localice todas las fuentes y ubicaciones del PAN de texto claro al menos trimestralmente y cuando se produzcan cambios significativos en el entorno o los procesos del titular de la tarjeta. A3.2.5.1 Los métodos de descubrimiento de datos deben ser capaces de descubrir PAN en texto claro en todos los tipos de componentes del sistema y formatos de archivo en uso. A3.2.5.2 Implemente procedimientos de respuesta que se inicien tras la detección de PAN de texto claro fuera del CDE para incluir: Procedimientos para determinar qué hacer si se descubre PAN en texto claro fuera del CDE, incluyendo su recuperación, eliminación segura y/o migración al CDE actualmente definido Procedimientos para determinar cómo acabaron los datos fuera del CDE Procedimientos para identificar la fuente de los datos	Informe periódicamente sobre las ubicaciones de los datos de los titulares de tarjetas en el entorno de almacenamiento de archivos. Identifique los datos sensibles que residen fuera del CDE definido. Realice acciones correctivas cuando se descubran datos sensibles fuera del CDE.	Descubrimiento de datos PCI basado en una programación Identifique y documente los datos PCI (incluida la PAN de texto claro) en el almacenamiento de la empresa. Visibilidad multiplataforma Detecte datos confidenciales de titulares de tarjetas y PCI en servidores de archivos de Windows, failover cluster y bases de datos MSSQL. Automatice la corrección Cuando se encuentran archivos sensibles fuera del CDE, DataSecurity Plus puede configurarse para que los elimine, traslade o gestione automáticamente. Análisis de la titularidad y el acceso Sepa a quién pertenece el archivo sensible y trace todas las acciones de los usuarios en el periodo de tiempo analizado. Esto le ayudará a determinar cómo terminó fuera del CDE.
Requisito A3.2.6 Implemente mecanismos para detectar e impedir que la PAN en texto claro salga del CDE a través de un canal, método o proceso no autorizado, incluyendo la generación de logs de auditoría y alertas. A3.2.6.1 Implante procedimientos de respuesta que se inicien tras la detección de intentos de eliminación de PAN en texto claro del CDE a través de un canal, método o proceso no autorizado.	Implemente soluciones de prevención de pérdida de datos (DLP) para detectar y evitar las fugas a través de correos electrónicos, medios extraíbles e impresoras.	Plataforma unificada de prevención de pérdida de datos Clasifique los datos sensibles y evite su filtración a través de dispositivos de almacenamiento externo, Outlook e impresoras. Controle el uso de dispositivos periféricos Restrinja el uso de dispositivos USB, puntos de acceso inalámbricos y unidades de CD/DVD mediante políticas de control central de dispositivos para protegerlos contra el robo de datos. Evite las filtraciones de datos a través de los USB Bloquee los dispositivos USB en respuesta a transferencias de datos anómalas e intentos de robo de datos sensibles.
Requisito A3.4.1 Revise las cuentas de usuario y los privilegios de acceso a los componentes del sistema incluidos en el ámbito de aplicación al menos cada seis meses para garantizar que las cuentas de usuario y el acceso sigan siendo adecuados en función del trabajo. eferencia PCI DSS: Requisito 7	Revise los privilegios de acceso de los usuarios al menos cada seis meses y verifique que son apropiados para sus funciones de trabajo.	Análisis de los permisos de seguridad: Supervise los cambios de permisos, enumere los permisos efectivos, identifique los archivos a los que pueden acceder todos los empleados, encuentre los usuarios con privilegios de control total y mucho más para ayudar a garantizar que se siga el principio de mínimo privilegio. Estos informes pueden enviarse por correo, según un calendario establecido, a varias partes interesadas.
Requisito A3.5.1 Implemente una metodología para la identificación oportuna de patrones de ataque y comportamientos indeseables en los sistemas -por ejemplo, utilizando revisiones manuales coordinadas y/o herramientas de correlación de logs centralizadas o automatizadas- que incluya al menos lo siguiente: Identificación de anomalías o actividades sospechosas en el momento en que se producen Emisión de alertas oportunas al detectar una actividad sospechosa o una anomalía al personal responsable Respuesta a las alertas de acuerdo con los procedimientos de respuesta documentados Referencia PCI DSS: Requisitos 10, 12	Establezca una solución que pueda identificar eventos no deseados -como cambios en archivos críticos e intrusiones- y notifique a los administradores al instante.	Detección de anomalías Identifique las anomalías en la actividad de los usuarios, como los accesos a archivos fuera del horario laboral, un número excesivo de intentos de acceso fallidos, etc.. Alertas rápidas Configure alertas para cambios injustificados en archivos críticos, descubrimiento de datos sensibles fuera del CDE y más. Detección y respuesta a las amenazas Detecte las intrusiones de ransomware y ejecute scripts para poner en cuarentena los equipos infectados y evitar la propagación del malware.

Cuáles son los requisitos del PCI

Lo que usted debe hacer

Cómo le ayuda DataSecurity Plus

Requisito 2.2.5

Elimine todas las funciones innecesarias, como scripts, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios.

Identifique todos los componentes del sistema, incluidos los scripts y los sistemas de archivos, y elimine los que no estén en uso.

Localice los archivos no utilizados:

Reciba informes sobre archivos, scripts, archivos por lotes, etc., a los que no se haya accedido o modificado durante largos períodos de tiempo. Estos informes simplifican la gestión de archivos redundantes, obsoletos y triviales (ROT) y reducen el número de archivos vulnerables con permisos o datos obsoletos.

Requisito 3.1

Mantenga el almacenamiento de los datos de los titulares de las tarjetas al mínimo implementando políticas, procedimientos y procesos de retención y eliminación de datos que incluyan al menos lo siguiente para todo el almacenamiento de datos de los titulares de las tarjetas:

Establecer un límite a la cantidad de datos almacenados y al tiempo de retención que sea apropiado para los requisitos legales, regulatorios y/o empresariales
Requisitos específicos de conservación de los datos de los titulares de las tarjetas
Procesos de eliminación segura de datos cuando ya no se necesiten
Un proceso trimestral para identificar y eliminar de forma segura los datos almacenados de los titulares de tarjetas que superen la retención definida

Escanee periódicamente los datos regulados en su entorno de datos de tarjetas (CDE).
Establezca políticas de retención de datos: los datos recopilados deben eliminarse cuando ya no sean necesarios.
Localice y elimine los datos del titular de la tarjeta que se almacenan más allá de su vida útil permitida.

Descubra datos de la PCI y de los titulares de tarjetas

Utilice las reglas de detección de datos integradas para localizar los datos de la PCI y de los titulares de tarjetas almacenados por su organización. Cree un inventario de qué datos se almacenan, dónde, por quién y durante cuánto tiempo. Esto permite a los administradores garantizar que sólo se almacenen los datos necesarios.

Analice datos de ROT

Identifique los archivos obsoletos y no modificados para garantizar que los datos de los titulares de las tarjetas no se almacenen más allá del período de conservación previsto.

Escaneos programados de evaluación del riesgo de los datos

Realice exploraciones periódicas de descubrimiento de datos de titulares de tarjetas, habilite el escaneo incremental de archivos nuevos y recientemente modificados, y garantice que cada instancia de datos regulados sea descubierta y catalogada. También puede utilizar scripts para poner en cuarentena o eliminar los archivos que infrinjan las políticas de almacenamiento de datos sensibles.

Requisito 3.2

No almacene datos sensibles de autenticación después de la autorización.

Los datos sensibles de autentificación incluyen el nombre del titular de la tarjeta, el número de cuenta principal (PAN), el código de verificación de la tarjeta, el número de identificación personal (PIN), etc.

Está permitido que los emisores y las empresas que apoyan los servicios de emisión almacenen datos sensibles de autenticación si:

Hay una justificación comercial
Y los datos se almacenan de forma segura

Examine las fuentes de datos y verifique que los datos sensibles de autenticación no se almacenen después de la autorización.

Descubrimiento de datos PCI

Implante un descubrimiento de datos efectivo con una combinación de concordancia de palabras clave y concordancia de patrones. Juntos, le ayudarán a localizar los valores de verificación de la tarjeta (CVV), el PIN, el PAN y otros datos de autenticación.

Puntuación de confianza

Verifique el contexto de las posibles coincidencias para determinar la certeza de que una coincidencia sea un Verdadero Positivo en lugar de un Falso Positivo.

Automatización de la respuesta

Automatice el borrado o la puesta en cuarentena de los datos de las tarjetas detectadas, o limite su uso realizando una acción personalizada mediante scripts.

Requisito 3.5.2

Restrinja el acceso a las claves criptográficas al menor número posible de custodios.

Examine los permisos asociados a los archivos clave y garantice que el acceso esté restringido al menor número de custodios necesario.

Generación de informes de NTFS y de permisos de uso compartido

Reciba informes detallados sobre NTFS de los permisos de uso compartido de archivos y carpetas para saber qué usuario tiene qué permiso sobre ellos.

Requisito 7.1

Limite el acceso a los componentes del sistema y a los datos de los titulares de las tarjetas únicamente a aquellas personas cuyo trabajo requiera dicho acceso.

7.1.1 Defina las necesidades de acceso para cada rol

7.1.2 Restrinja el acceso a las identificaciones de usuarios privilegiados

7.1.3 Asigne el acceso en función de la clasificación laboral y la función del personal.

Nota: Los componentes del sistema incluyen dispositivos de red, servidores, dispositivos informáticos y aplicaciones.

Verifique que los privilegios asignados a los usuarios con y sin privilegios sean:

Necesarios para la función laboral de ese individuo
Restringidos al mínimo privilegio necesario para realizar las responsabilidades del trabajo.

Generación de informes de permisos de NTFS

Enumere los usuarios que tienen acceso a los archivos que contienen datos de los titulares de las tarjetas, junto con los detalles sobre las acciones que cada usuario puede realizar en ellos.

Análisis eficaz de los permisos

Garantice la confidencialidad de los datos de los titulares de las tarjetas analizando e informando sobre los permisos efectivos. Compruebe que los usuarios no tienen más privilegios de los necesarios para su rol.

Detección de archivos sobreexpuestos

Localice los archivos a los que pueden acceder todos los empleados y los archivos que permiten un acceso de control total a los usuarios.

Requisito 8.1.3

Revoque inmediatamente el acceso a los usuarios dados de baja.

Garantice que los usuarios que han sido dados de baja de su organización han sido eliminados de las listas de acceso a los archivos.

Análisis de la titularidad de los archivos

Identifique los archivos huérfanos y los que pertenecen a usuarios obsoletos, deshabilitados o inactivos para evitar intentos de cambio de archivos malintencionados por parte de empleados despedidos.

Requisito 10.1

Implemente pistas de auditoría para vincular todos los accesos a los componentes del sistema a cada usuario individual.

Genere logs de auditoría que permitan trazar la actividad sospechosa hasta un usuario específico.

Pista de auditoría detallada

Supervise los accesos a archivos críticos, el uso de aplicaciones web, el uso de USB, el uso de impresoras y mucho más con logs de auditoría de acceso centralizado.

Análisis de la causa raíz

Aproveche las opciones de filtrado de informes granulares para agilizar el análisis de la causa raíz e identificar el alcance de una violación de seguridad.

Requisito 10.2

Implemente pistas de auditoría automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos:

10.2.1 Todos los accesos de usuarios individuales a los datos del titular de la tarjeta

10.2.2 Todas las acciones llevadas a cabo por cualquier persona con privilegios de root o administrativos

Audite la actividad de los usuarios en su CDE en tiempo real.
Supervise los cambios realizados por los usuarios con privilegios administrativos.

Monitoreo de la actividad de los archivos

Realice un seguimiento de todos los eventos de archivos y carpetas -lectura, creación, modificación, sobrescritura, traslado, cambio de nombre, eliminación y cambio de permisos- que se produzcan en su entorno de almacenamiento de datos de PCI y de titulares de tarjetas.

Monitoreo de usuarios privilegiados

Enumere los usuarios con acceso privilegiado a los archivos sensibles y personalice los informes para monitorear todos los cambios de archivos realizados por ellos.

Requisito 10.3

Registre al menos las siguientes entradas de la pista de auditoría para cada evento:

10.3.1 Identificación del usuario

10.3.2 Tipo de evento

10.3.3 Fecha y hora

10.3.4 Indicación de éxito o fracaso

10.3.5 Origen del evento

10.3.6 Identidad o nombre de los datos afectados

Recopile logs detallados de la actividad de los usuarios en su CDE.

Auditoría de cambios en tiempo real

Obtenga la información completa sobre cada acceso a un archivo, incluyendo detalles sobre quién intentó qué cambio, en qué archivo, cuándo, desde dónde y si tuvo éxito.

Requisito 10.5

Proteja los logs de auditoría para que no puedan ser alterados.

10.5.5Utilice un software de monitoreo de la integridad de los archivos o de detección de cambios en los logs para garantizar que los datos de logs existentes no puedan modificarse sin generar alertas (aunque los nuevos datos que se añadan no deberían provocar una alerta).

Implemente sistemas de monitoreo de la integridad de los archivos o de detección de cambios para comprobar los cambios en los archivos críticos y enviar notificaciones cuando se observen dichos cambios.

Monitoreao de la integridad de los archivos PCI

Audite todos los intentos de acceso a los archivos, exitosos o fallidos, en tiempo real. Mantenga una pista de auditoría detallada para su análisis.

Alertas en tiempo real

Active alertas instantáneas para notificar a los interesados cuando se detecten cambios sospechosos en los archivos.

Respuesta automatizada a incidentes de seguridad

Ejecute respuestas automatizadas para minimizar el daño potencial en caso de un incidente de seguridad.

Requisito 10.6

Revise los logs y los eventos de seguridad de todos los componentes del sistema para identificar anomalías o actividades sospechosas.

Las revisiones periódicas de los logs pueden identificar y tratar de forma proactiva los accesos no autorizados al entorno de datos de los titulares de las tarjetas. También reduce el tiempo que se tarda en detectar una posible violación de seguridad.

Entrega programada de informes de cumplimiento de la PCI

Envíe los informes programados a los buzones de los interesados en formato PDF, HTML, CSV o XLSX.

Requisito 10.7

Conserve el historial de la pista de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis (por ejemplo, en línea, archivado o restaurado desde una copia de seguridad).

A menudo se tarda en notar un peligro, por lo que conservar los logs durante al menos un año garantiza que los investigadores tengan un historial de logs suficiente para determinar la duración de una posible violación de seguridad y su impacto.

Conservación de logs de auditoría a largo plazo

Conserve los datos de auditoría durante largos períodos. Usted también puede archivar los logs más antiguos y cargarlos más adelante para analizar los accesos a los archivos.

Requisito 11.5

Implemente un mecanismo de detección de cambios (por ejemplo, herramientas de monitoreo de la integridad de los archivos) para alertar al personal de las modificaciones no autorizadas (incluidos los cambios, adiciones y eliminaciones) de los archivos críticos del sistema, los archivos de configuración o los archivos de contenido; y configure la herramienta para realizar comparaciones de archivos críticos al menos una vez por semana.

Monitoree los cambios en los ejecutables del sistema, los ejecutables de las aplicaciones, los archivos de configuración y de parámetros, etc.
Active alertas en caso de cambios inesperados.

FIM

Audite los cambios realizados en los binarios críticos de la aplicación y del sistema operativo, los archivos de configuración, los archivos de la aplicación, los archivos de log, etc.

Alertas instantáneas

Notifique al instante a los administradores cuando se detecten cambios anómalos en los archivos.

Ejecute respuestas a incidentes personalizados

Automatice los archivos por lotes para apagar equipos, sesiones de usuarios finales, etc.

Requisito 12.3.10

Para el personal que accede a los datos de los titulares de tarjetas a través de tecnologías de acceso remoto, se prohíbe copiar, trasladar y almacenar los datos de los titulares de tarjetas en discos duros locales y medios electrónicos extraíbles, a menos que se autorice explícitamente para una necesidad empresarial definida.

Prohibir a los usuarios que almacenen o copien los datos de los titulares de las tarjetas en sus equipos personales locales o en otros medios, a menos que se les haya autorizado explícitamente a hacerlo.

Protección contra la copia de archivos

Monitoree las acciones de copia de archivos en tiempo real y evite la transferencia injustificada de datos críticos a través de recursos compartidos locales y de red.

Protección contra escritura en USB

Bloquee los dispositivos USB sospechosos y evite que los usuarios hagan robo de datos sensibles.

Requisito A3.2.5

Implemente una metodología de descubrimiento de datos para confirmar el alcance de la PCI DSS y localice todas las fuentes y ubicaciones del PAN de texto claro al menos trimestralmente y cuando se produzcan cambios significativos en el entorno o los procesos del titular de la tarjeta.

A3.2.5.1

Los métodos de descubrimiento de datos deben ser capaces de descubrir PAN en texto claro en todos los tipos de componentes del sistema y formatos de archivo en uso.

A3.2.5.2

Implemente procedimientos de respuesta que se inicien tras la detección de PAN de texto claro fuera del CDE para incluir:

Procedimientos para determinar qué hacer si se descubre PAN en texto claro fuera del CDE, incluyendo su recuperación, eliminación segura y/o migración al CDE actualmente definido
Procedimientos para determinar cómo acabaron los datos fuera del CDE
Procedimientos para identificar la fuente de los datos

Informe periódicamente sobre las ubicaciones de los datos de los titulares de tarjetas en el entorno de almacenamiento de archivos.
Identifique los datos sensibles que residen fuera del CDE definido.
Realice acciones correctivas cuando se descubran datos sensibles fuera del CDE.

Descubrimiento de datos PCI basado en una programación

Identifique y documente los datos PCI (incluida la PAN de texto claro) en el almacenamiento de la empresa.

Visibilidad multiplataforma

Detecte datos confidenciales de titulares de tarjetas y PCI en servidores de archivos de Windows, failover cluster y bases de datos MSSQL.

Automatice la corrección

Cuando se encuentran archivos sensibles fuera del CDE, DataSecurity Plus puede configurarse para que los elimine, traslade o gestione automáticamente.

Análisis de la titularidad y el acceso

Sepa a quién pertenece el archivo sensible y trace todas las acciones de los usuarios en el periodo de tiempo analizado. Esto le ayudará a determinar cómo terminó fuera del CDE.

Requisito A3.2.6

Implemente mecanismos para detectar e impedir que la PAN en texto claro salga del CDE a través de un canal, método o proceso no autorizado, incluyendo la generación de logs de auditoría y alertas.

A3.2.6.1

Implante procedimientos de respuesta que se inicien tras la detección de intentos de eliminación de PAN en texto claro del CDE a través de un canal, método o proceso no autorizado.

Implemente soluciones de prevención de pérdida de datos (DLP) para detectar y evitar las fugas a través de correos electrónicos, medios extraíbles e impresoras.

Plataforma unificada de prevención de pérdida de datos

Clasifique los datos sensibles y evite su filtración a través de dispositivos de almacenamiento externo, Outlook e impresoras.

Controle el uso de dispositivos periféricos

Restrinja el uso de dispositivos USB, puntos de acceso inalámbricos y unidades de CD/DVD mediante políticas de control central de dispositivos para protegerlos contra el robo de datos.

Evite las filtraciones de datos a través de los USB

Bloquee los dispositivos USB en respuesta a transferencias de datos anómalas e intentos de robo de datos sensibles.

Requisito A3.4.1

Revise las cuentas de usuario y los privilegios de acceso a los componentes del sistema incluidos en el ámbito de aplicación al menos cada seis meses para garantizar que las cuentas de usuario y el acceso sigan siendo adecuados en función del trabajo.

eferencia PCI DSS: Requisito 7

Revise los privilegios de acceso de los usuarios al menos cada seis meses y verifique que son apropiados para sus funciones de trabajo.

Análisis de los permisos de seguridad:

Supervise los cambios de permisos, enumere los permisos efectivos, identifique los archivos a los que pueden acceder todos los empleados, encuentre los usuarios con privilegios de control total y mucho más para ayudar a garantizar que se siga el principio de mínimo privilegio.

Estos informes pueden enviarse por correo, según un calendario establecido, a varias partes interesadas.

Requisito A3.5.1

Implemente una metodología para la identificación oportuna de patrones de ataque y comportamientos indeseables en los sistemas -por ejemplo, utilizando revisiones manuales coordinadas y/o herramientas de correlación de logs centralizadas o automatizadas- que incluya al menos lo siguiente:

Identificación de anomalías o actividades sospechosas en el momento en que se producen
Emisión de alertas oportunas al detectar una actividad sospechosa o una anomalía al personal responsable
Respuesta a las alertas de acuerdo con los procedimientos de respuesta documentados

Referencia PCI DSS: Requisitos 10, 12

Establezca una solución que pueda identificar eventos no deseados -como cambios en archivos críticos e intrusiones- y notifique a los administradores al instante.

Detección de anomalías

Identifique las anomalías en la actividad de los usuarios, como los accesos a archivos fuera del horario laboral, un número excesivo de intentos de acceso fallidos, etc..

Alertas rápidas

Configure alertas para cambios injustificados en archivos críticos, descubrimiento de datos sensibles fuera del CDE y más.

Detección y respuesta a las amenazas

Detecte las intrusiones de ransomware y ejecute scripts para poner en cuarentena los equipos infectados y evitar la propagación del malware.

Descargo de responsabilidad: Cumplir plenamente con el POPIA requiere de una variedad de soluciones, procesos, personas y tecnologías. Esta página se proporciona únicamente con fines informativos y no debe considerarse como asesoramiento jurídico para el cumplimiento de la ley POPI. ManageEngine no ofrece ninguna garantía, expresa, implícita o estatutaria, sobre la información de este material.

Garantice la seguridad de los datos y cumpla con el

DataSecurity Plus ayuda a cumplir con los requisitos de numerosas normativas de cumplimiento, protegiendo los datos en reposo, en uso y en movimiento.

Consiga que DataSecurity Plus se instale,
configure y ejecute fácilmente en
cuestión de minutos.

Obtener prueba gratuita