HelpSystems Blog

Faltan 15 días para PCI DSS 3.2: Prepare a su empresa para su cumplimiento

¡Faltan solo dos semanas! PCI DSS 3.2 entra en vigencia el 1° de febrero de 2018.

En estas últimas semanas, usted debe estar preguntándose si ya completó todos los requisitos de cumplimiento que exige la nueva versión, y si aún no lo hizo, querrá saber cuánto tiempo tiene para prepararse y cuál es el riesgo de librarlo al azar. Estar preparado para el cumplimiento puede parecer un trabajo intensivo, pero si su organización falla ante una auditoría de PCI DSS, afrontará severas penalidades.

DESCARGUE NUESTRA GUÍA: Novedades sobre el Estándar de Seguridad de Datos PCI 3.2

 

La fecha límite está muy cerca, y desde HelpSystems queremos ayudarlo. Comience con este listado de preparación para PCI DSS, que lo ayudará a identificar en qué aspectos ya está listo y en cuáles aún le falta por hacer.

PCI DSS 3.2: En 14 días debe estar preparado para los cambios en la normativa

 ✔  Objetivo sobre PCI DSS Detalle
  Revise el contenido de PCI DSS 3.2 Nunca es una mala idea refrescar su conocimiento sobre PCI. Puede encontrar todos los detalles y requisitos aquí.
  Identifique qué cambios en la versión 3.2 aplican a su organización Algunos cambios en PCI DSS 3.2 afectan a todas las empresas, mientras que otros solo afectan a proveedores de servicios. Lea este artículo para determinar qué requerimientos impactan a su empresa.
  Actualice su diagrama de flujo de datos de tarjetas de crédito El requisito 1.1.3 de PCI DSS exige a las organizaciones diagramar y mantener sus flujos de datos de tarjetas de crédito. Le recomendamos actualizar sus flujos y garantizar que todos los datos de titulares de tarjetas estén tenidos en cuenta.
  Implemente autenticación multi-factor (MFA) para todos los accesos de administración fuera de la consola El requisito 8.3 de PCI DSS ha convertido en obligatoria la autenticación multi-factor para los accesos administrativos al entorno de titulares de tarjetas de crédito, por fuera de la consola. Este es el momento para actualizar cualquier proceso que pueda impedir esta transición a MFA.
  Registre los empleados con acceso a números PAN desenmascarados A partir de la nueva versión, solo los primeros seis y los últimos cuatro dígitos de los números PAN podrán ser exhibidos. El resto debe estar enmascarado. Quienes puedan ver más dígitos deben documentar y proporcionar una razón de negocio legítima para su acceso.
  Cree una política para configurar controles de Seguridad en su entorno de titulares de tarjeta de crédito (CDEs)

Como novedad en PCI DSS 3.2, cualquier cambio realizado en el CDE debe ser inmediatamente seguido de controles de seguridad apropiados.

Los requisitos de PCI DSS que sean impactados por los cambios en CDE deben ser re-verificados para asegurar que sigan en cumplimiento con todos los estándares.

  Encripte sus datos en tránsito y en reposo PCI requiere que los datos estén siempre encriptados,  tanto en tránsito como en reposo. Utilice una solución segura de transferencias de archivos para garantizar que sus datos estén siempre protegidos, sin importar dónde estén almacenados.
  Asegure que los datos de titulares de tarjetas de crédito sean enviados a través de métodos seguros de comunicación Si los datos de titulares de tarjetas de crédito deben ser enviados de un dispositivo a otro, asegúrese que sean transferidos a través de carpetas protegidas, correo seguro o encriptado, y no emails regulares o texto.
  Aplique firewalls a sus dispositivos portables que tengan acceso a internet y a su CDE El requisito 1.4 de PCI DSS exige que los dispositivos de los empleados que accedan a Internet y a su entorno tengan firewalls frecuentemente monitorizados. Asegúrese de que sus datos también se mantengan alejados del DMZ. Una solución de transferencia de archivos puede ayudarlo con esto.
  Revise sus permisos de usuario y restrinja accesos donde sea necesario El requisito 7.1.2 determina que las organizaciones deben crear una política de “privilegios mínimos” para todos los empleados. Esto garantiza que solo los usuarios con una necesidad real de negocio puedan acceder a información crítica de los titulares de tarjetas de crédito.
  Realice revisiones cuatrimestrales con su personal de seguridad Si usted es un proveedor de servicios, la nueva versión de PCI DSS le exige realizar revisiones cuatrimestrales con su personal. Esto garantiza que las prácticas de seguridad sean cumplidas por todos y ayuda a mitigar riesgos.
  Eduque a su equipo frente a cualquier actualización de sus procesos Una vez que tenga todo listo para el cumplimiento de PCI DSS, converse con su equipo para asegurarse de que entiendan cómo PCI DSS 3.2 afecta su rutina diaria. Los puntos de su charla pueden incluir la transición a MFA y el enmascaramiento de los números PAN.
  Planifique su migración de SSL y la versión inicial de TLS, a TLS 1.1 o TLS 1.2 La migración de SSL y la versión inicial de TLS no es obligatoria hasta el 1° de julio de 2018, pero eso no significa que no pueda comenzar con el proceso ahora. Conozca más sobre este requisito en el sitio web del Consejo de Estándares de Seguridad de PCI .

 

Pese a que este listado es un buen punto para comenzar, asegúrese de revisar la biblioteca oficial de documentos de PCI DSS para el resumen completo de los cambios en 3.2.

¿Sus transferencias de datos cumplen con PCI?

GoAnywhere MFT puede ayudarlo a testear más de 60 configuraciones de Seguridad en su entorno con su Reporte de Auditoría de Configuración de Seguridad para PCI DSS. Este reporte entrega un PDF que le muestra el grado de cumplimiento de PCI DSS 3.2 en cada área de la solución.

Existen cinco resultados posibles para cada configuración testeada:

  • Aprobado: La configuración cumple con los requerimientos de PCI DSS.
  • Reprobado: La configuración no cumple con los requerimientos de PCI DSS.
  • Advertencia: Es necesario que profundice en este asunto para determinar si está en cumplimiento.
  • No aplica: El chequeo de esta configuración no es necesario.
  • Fatal: Un problema de configuración evita que GoAnywhere acceda a los datos apropiados.

Además de determinar los resultados de su estado, el reporte le proporciona acciones recomendadas sobre cómo remediar sectores reprobados o en advertencia, y listar a qué sección de PCI DSS aplica cada control de Seguridad.

Vea GoAnywhere en acción

Nos encantaría guiarlo a través de nuestra herramienta de generación de reportes de PCI y mostrarle cómo GoAnywhere puede ayudarlo a cumplir con requerimientos de PCI DSS 3.2 como la encriptación de transferencias de archivos, la seguridad basada en roles y la auditoría. Para conocer todo esto y más, simplemente solicite una demostración.