Nuevos Requerimientos PCI-DSS para Merchants

A2Secure

Desde enero de 2018 hay requerimientos de la normativa PCI-DSS que antes eran opcionales (o según PCI-DSS Best Practices), pero desde enero de 2018 han dejado de serlo y por consiguiente, si quieres cumplir con PCI-DSS, debes tenerlos en cuenta.

Basándose en el nivel de riesgo, el PCI Council ha decidido que los requerimientos a tener en cuenta no sean igual para los comercios que para los proveedores de servicios, ya que estos últimos, por tipología de negocio, suelen impactar en la seguridad de las tarjetas de más de un comercio.

Comercios (Merchants)

¡Los comercios están de suerte! Solo hay 2 nuevos requerimientos que se vuelven obligatorios, aunque no por ser solo dos, son menos importantes o más fáciles de implementar.

Cambios significativos en el entorno

Requerimiento 6.4.6 Al término de un cambio significativo, deben implementarse todos los requisitos pertinentes de la PCI DSS en todos los sistemas y redes nuevos o modificados, y la documentación actualizada según sea el caso.

¿Qué debo hacer?

Este requerimiento pretende asegurar que, en caso de instalar una nueva aplicación, un nuevo servidor, nuevos servicios, IP’s, etc, se actualicen las políticas y procedimientos de PCI-DSS, el inventario de activos del entorno PCI-DSS y que se analicen todos los controles y se modifiquen en caso de ser necesarios.

Algunos ejemplos de requisitos que se deberían de modificar son:

  • Diagrama de red y el inventario de sistemas para que se reflejen los cambios,
  • Validar que las guías de bastionado y la configuración de estos nuevos sistemas cumplen con los requerimientos de PCI-DSS (configuración, política de contraseñas, reglas de FW, monitorización del sistema, etc)
  • Incluir los nuevos sistemas (en caso de que apliquen) en el proceso trimestral de análisis de vulnerabilidades (ASV), test de intrusión interno y externo anual, etc.
  Cómo actuar ante un incidente de seguridad

Autenticación de múltiples factores

Requerimiento 8.3.1 Incorporar la autenticación de múltiples factores para todo acceso que no sea de consola en el CDE para el personal con acceso administrativo

¿Qué debo hacer?

Este requisito, según se detalla en la normativa PCI-DSS hace referencia a los accesos de administración que no sea de consola dentro del entorno de datos de tarjeta de crédito. Hay que tener en cuenta que este requisito no se aplica a las cuentas de aplicación o de sistemas que realizan funciones automatizadas, se aplica solo a usuarios (personal).

La idea es proporcionar una autenticación de múltiples factores, es decir, que como mínimo exista el doble factor de autenticación (a través de certificado y un token por ejemplo)

Si no sabes como afrontar estos nuevos requerimientos y necesitas asesoramiento, nuestro equipo de profesionales puede ayudarte. Contacta a través de [email protected]

Leave a Comment