Mapa mental estandar PCI- OME

Description

PCI
[Os]- [Murillo]
Mind Map by [Os]- [Murillo], updated more than 1 year ago
[Os]- [Murillo]
Created by [Os]- [Murillo] over 5 years ago
37
0

Resource summary

Mapa mental estandar PCI- OME
  1. DESARROLLE Y MANTENGA REDES Y SISTEMAS SEGUROS
    1. Instalar y mantener una configuracion de firewall para proteger los datos del titular de la tarjeta
      1. REQUISITOS
        1. Establezca e implemente normas de configuracion para firewalls y routers
          1. proceso formal para aprobar y probar todos los cambios y las conexiones de red en la configuracion de firewalls y routers
            1. Diagrama de red actual que identifica todas las conexiones entre el entorno de datos de titulares de tarjetas y otras redes, incluso cualquier red inalámbrica.
              1. El diagrama actual que muestra todos los flujos de datos de titulares de tarjetas entre los sistemas y las redes
                1. Requisitos para tener un firewall en cada conexión a Internet y entre cualquier DMZ (zona desmilitarizada) y la zona de la red interna
                  1. Descripción de grupos, funciones y responsabilidades para la administración de los componentes de la red. 1
                    1. Desarrolle configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de los datos de titulares de tarjetas.
                      1. Restrinja el tráfico entrante y saliente a la cantidad necesaria para el entorno de datos de los titulares de tarjetas y niegue específicamente el tráfico restante.
                        1. Asegure y sincronice los archivos de configuración de routers
                          1. Instale firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y configure estos firewalls para negar o, si el tráfico es necesario para fines comerciales, permitir solo el tráfico autorizado entre el entorno inalámbrico y el entorno de datos del titular de la tarjeta.
                            1. Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas.
                              1. Instale software de firewall personal en todos los dispositivos móviles o de propiedad de los trabajadores que tengan conexión a Internet cuando están fuera de la red, y que también se usan para acceder a la red. Las configuraciones de firewalls incluyen lo siguiente: * Los parámetros específicos de configuración se definen para cada software de firewall personal. * El software de firewall personal funciona activamente. * Los usuarios de dispositivos móviles o de propiedad de los trabajadores no pueden alterar el software de firewall personal.
                                1. Asegúrese de que las políticas de seguridad y los procedimientos operativos para administrar los firewalls estén documentados, implementados y que sean de conocimiento para todas las partes afectadas
                        2. PROCEDIMIENTOS
                          1. Escoja una muestra de los componentes del sistema e intente acceder a los dispositivos y aplicaciones con las cuentas y contraseñas predeterminadas por el proveedor y verifique que se hayan cambiado TODAS las contraseñas predeterminadas (incluso las de los sistemas operativos, los software que prestan servicios de seguridad, las cuentas de aplicaciones y sistemas, los terminales de POS [puntos de ventas], las cadenas comunitarias de SNMP [protocolo simple de administración de red]).
                            1. Revise las configuraciones de firewalls y routers y realice las siguientes acciones para verificar que se restringen las conexiones entre redes no confiables y todo componente del sistema en el entorno de datos de titulares de tarjetas:
                              1. Revise las configuraciones de firewalls y routers que incluye, entro otros, el router de estrangulamiento de Internet, el router DMZ y el firewall, el segmento de titulares de tarjetas de DMZ, el router de perímetro y el segmento de la red interna del titular de la tarjeta, y realice lo siguiente a fin de determinar que no exista un acceso directo entre la Internet y los componentes del sistema en el segmento de red interna de los titulares de tarjeta:
                                1. El software de firewall personal se debe incluir en todos los dispositivos móviles o de propiedad de los trabajadores que tengan conexión a Internet cuando están fuera de la red (por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usen para acceder a la red. • Los parámetros específicos de configuración se definen para cada software de firewall personal. • El software de firewall personal está configurado para funcionar activamente. • El software de firewall personal está configurado para que los usuarios de dispositivos móviles o de propiedad de trabajadores no puedan alterarlo.
                                  1. Revise la documentacion y entreviste al personal para verificar que las políticas de seguridad y los procedimientos operativos para administrar los firewalls cumplan con lo siguiente: • Estén documentados. • Estén implementados. • Sean de conocimiento para todas las partes afectadas
                          2. GUIA
                            1. Las personas malintencionadas (externas e internas a la organización), por lo general, utilizan configuraciones predeterminadas por los proveedores, nombres de cuentas y contraseñas para poner en riesgo el software del sistema operativo, las aplicaciones y los sistemas donde están instalados. Debido a que estos parámetros predeterminados suelen publicarse y son conocidos en las comunidades de hackers, cambiar estas configuraciones contribuirá a que el sistema sea menos vulnerable a los ataques.
                              1. Es fundamental instalar protección para la red entre la red interna confiable y cualquier red no confiable que sea externa o esté fuera de la capacidad de control y administración de la entidad. No implementar esta medida correctamente deja a la entidad expuesta al acceso no autorizado por parte de personas malintencionadas o un software malintencionado. Para que la funcionalidad del firewall sea eficaz, debe estar correctamente configurado para controlar o limitar el tráfico desde y hacia la red de la entidad.
                                1. El objetivo de un firewall es administrar y controlar todas las conexiones entre los sistemas públicos y los sistemas internos, especialmente aquellos que almacenan, procesan o transmiten datos del titular de la tarjeta. Si se permite el acceso directo entre los sistemas públicos y el CDE, se burlan las protecciones que ofrece el firewall y se pueden poner en riesgo los componentes del sistema que almacenan los datos del titular de la tarjeta.
                                  1. Los dipositivos informaticos portatiles autorizados para conectarse a Internet desde afuera del firewall corporativo son más vulnerables a las amenazas basadas en Internet. El uso de un firewall personal ayuda a proteger los dispositivos contra ataques basados en Internet, los cuales pueden usar el dispositivo para obtener acceso a los datos y a los sistemas de la organización cuando el dispositivo se conecta nuevamente a la red.
                                    1. El personal debe conocer y respetar las políticas de seguridad y los procedimientos operativos para garantizar la continua administración de los firewalls y routers con el objetivo de evitar el acceso no autorizado a la red
                          3. No utilizar contraseñas de sistemas o otros parametros de seguridad provistos por los proveedores
                            1. PROCEDIMIENTO
                              1. Escoja una muestra de los componentes del sistema e intente acceder a los dispositivos y aplicaciones (con la ayuda del administrador del sistema) con las cuentas y contraseñas predeterminadas por el proveedor y verifique que se hayan cambiado TODAS las contraseñas predeterminadas (incluso las de los sistemas operativos, los software que prestan servicios de seguridad, las cuentas de aplicaciones y sistemas, los terminales de POS [puntos de ventas], las cadenas comunitarias de SNMP [protocolo simple de administración de red]). (Utilice los manuales y las fuentes de los proveedores que se encuentran en Internet para encontrar las cuentas y las contraseñas proporcionadas por estos).
                                1. Examine las normas de la organización correspondientes a todos los tipos de componentes de sistemas y verifique que las normas de configuración de sistemas concuerden con las normas de alta seguridad aceptadas en la industria.
                              2. REQUSITOS
                                1. Siempre cambie los valores predeterminados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red. Esto rige para TODAS las contraseñas predeterminadas, por ejemplo, entre otras, las utilizadas por los sistemas operativos, los software que prestan servicios de seguridad, las cuentas de aplicaciones y sistemas, los terminales de POS, las cadenas comunitarias de SNMP.
                                  1. Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en la industria. Entre las fuentes de normas de alta seguridad aceptadas en la industria, se pueden incluir, a modo de ejemplo: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST).
                                    1. Cifre todo el acceso administrativo que no sea de consola utilizando un cifrado sólido. Utilice tecnologías como SSH, VPN o SSL/TLS para la administración basada en la web y otros tipos de acceso administrativo que no sea de consola.
                                      1. Lleve un inventario de los componentes del sistema que están dentro del alcance de las PCI DSS.
                                        1. Asegúrese de que las políticas de seguridad y los procedimientos operativos para administrar los parámetros predeterminados del proveedor y otros parámetros de seguridad estén documentados, implementados y que sean de conocimiento para todas las partes afectadas.
                                          1. Los proveedores de hosting compartido deben proteger el entorno y los datos del titular de la tarjeta que aloja la entidad. Estos proveedores deben cumplir requisitos específicos detallados en el Anexo A: Requisitos adicionales de las DSS de la PCI para los proveedores de servicios de hosting.
                                2. GUIA
                                  1. Las personas malintencionadas externas e internas a la organización), por lo general, utilizan configuraciones predeterminadas por los proveedores, nombres de cuentas y contraseñas para poner en riesgo el software del sistema operativo, las aplicaciones y los sistemas donde están instalados. Debido a que estos parámetros predeterminados suelen publicarse y son conocidos en las comunidades de hackers, cambiar estas configuraciones contribuirá a que el sistema sea menos vulnerable a los ataques.
                                    1. Existen debilidades en los sistemas operativos, bases de datos y aplicaciones de empresas, así como también existen maneras de configurar estos sistemas a fin de corregir las vulnerabilidades de seguridad. A fin de ayudar a quienes no son expertos en seguridad, algunas organizaciones especializadas han establecido recomendaciones y directrices para reforzar los sistemas, las cuales proporcionan consejos para corregir estas debilidades.
                              3. MANTENER UN PROGRAMA DE ADMINISTRACION DE VULNERABILIDAD
                                1. Desarrolle y mantenga sistemas y aplicaciones seguras
                                  1. REQUISITOS
                                    1. Establezca un proceso para identificar las vulnerabilidades de seguridad por medio de fuentes externas conocidas para obtener información sobre las vulnerabilidades de seguridad, y asigne una clasificación de riesgo (por ejemplo, “alto”, “medio” o “bajo”) a las vulnerabilidades de seguridad recientemente descubiertas.
                                      1. Asegúrese de que todos los software y componentes del sistema tengan instalados parches de seguridad proporcionados por los proveedores que ofrecen protección contra vulnerabilidades conocidas. Instale los parches importantes de seguridad dentro de un plazo de un mes de su lanzamiento.
                                        1. Desarrolle aplicaciones de software internas y externas (incluso acceso administrativo a aplicaciones basado en web)
                                          1. Siga los procesos y procedimientos de control de todos los cambios en los componentes del sistema como separar los ambientes de desarrollo/prueba de produccion, datos de produccion no se utilizan para pruebas
                                            1. Aborde las vulnerabilidades de codificación comunes en los procesos de desarrollo de software
                                              1. En el caso de aplicaciones web públicas, trate las nuevas amenazas y vulnerabilidades continuamente y asegúrese de que estas aplicaciones se protejan contra ataques conocidos
                                                1. Asegúrese de que las políticas de seguridad y los procedimientos operativos para desarrollar y mantener seguros los sistemas y las aplicaciones estén documentados, implementados y que sean de conocimiento para todas las partes afectadas
                                2. IMPLEMENTAR MEDIDAS SOLIDAS DE CONTROL DE ACCESO
                                  1. Identifique y autentique el acceso a los componentes del sistema
                                    1. REQUISITOS
                                      1. Defina e implemente políticas y procedimientos para garantizar la correcta administración de la identificación de usuarios para usuarios no consumidores y administradores en todos los componentes del sistema
                                        1. Además de asignar una ID exclusiva, asegúrese de que haya una correcta administración de autenticación de usuarios para usuarios no consumidores y administradores en todos los componentes del sistema
                                          1. Incorpore la autenticación de dos factores para el acceso remoto a la red desde fuera de la red por parte del personal (incluso usuarios y administradores) y todas las partes externas involucradas (que incluye acceso del proveedor para soporte o mantenimiento
                                            1. Documente y comunique los procedimientos y las políticas de autenticación a todos los usuarios
                                              1. No use ID ni contraseñas de grupo, compartidas ni genéricas, ni otros métodos de autenticación
                                                1. Si se utilizan otros mecanismos de autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), el uso de estos mecanismos
                                                  1. Se restringen todos los accesos a cualquier base de datos que contenga datos del titular de la tarjeta (que incluye acceso por parte de aplicaciones, administradores y todos los otros usuarios)
                                                    1. Asegúrese de que las políticas de seguridad y los procedimientos operativos de identificación y autenticación estén documentados, implementados y que sean de conocimiento para todas las partes afectadas.
                                  2. SUPERVISAR Y EVALUAR LAS REDES CON REGULARIDAD
                                    1. Prueba con regularidad los sistemas y procesos de seguridad
                                      1. REQUISITOS
                                        1. Implemente procesos para determinar la presencia de puntos de acceso inalámbrico (802.11), detecte e identifique, trimestralmente, todos los puntos de acceso inalámbricos autorizados y no autorizados
                                          1. Realice análisis internos y externos de las vulnerabilidades de la red, al menos, trimestralmente y después de cada cambio significativo en la red (como por ejemplo, la instalación de nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las normas de firewall, actualizaciones de productos).
                                            1. Implemente una metodología para las pruebas de penetración que incluya lo sigiuoente: basada en enfoques de pruebas , cobertura de todo el perimetro del CDE, pruebas del entorno interno y externo, pruebas para validar cualquier segmentacion
                                              1. Use técnicas de intrusión-detección y de intrusión-prevención para detectar o prevenir intrusiones en la red. Monitoree todo el tráfico presente en el perímetro del entorno de datos del titular de la tarjeta y en los puntos críticos del entorno de datos del titular de la tarjeta, y alerte al personal ante la sospecha de riesgos. Mantenga actualizados todos los motores de intrusión-detección y de prevención, las bases y firmas
                                                1. Implemente un mecanismo de detección de cambios (por ejemplo, herramientas de monitorización de integridad de archivos) para alertar al personal sobre modificaciones no autorizadas de archivos críticos del sistema, de archivos de configuración o de contenido, y configure el software para realizar comparaciones de archivos críticos, al menos, una vez por semana
                                                  1. Asegúrese de que las políticas de seguridad y los procedimientos operativos para monitorear y comprobar la seguridad estén documentados, implementados y que sean de conocimiento para todas las partes afectadas
                                    Show full summary Hide full summary

                                    Similar

                                    Test sesión 1 y 2
                                    Homero Moreno 013
                                    Paralisis Cerebral Infantil
                                    Malik_Thanatos
                                    Mapa mental acerca de PCI-DSS
                                    ROGERS SALINAS
                                    GERENCIA ESTRATEGICA - CULTURA ORGANIZACIONAL Y PCI
                                    alexander puentes
                                    PA-DSS v3.0 paginas 5 a 18
                                    fvalerin
                                    PCI DSS
                                    Gabriela Suarez
                                    PCI (industria de tarjetas de pago) Normas de seguridad de datos
                                    Hans J
                                    Estandar PCI
                                    Frank Quint Pantoja
                                    Proyecto curricular institucional
                                    Cristofer Ruiz Minaya
                                    Paralisis Cerebral Infantil
                                    Alexhandra Quiñones