Norma de seguridad de datos de la Industria de tarjetas de ... · alcance de las PCI DSS para la...

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PCI DSS Octubre de 2010

Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PCI DSS Octubre 2010 Copyright 2010, PCI Security Standards Council LLC Página 2 de 22

Sección o requisito

Anterior Nuevo Cambio Tipo i

General General Exhaustivo Se eliminaron las referencias específicas al Glosario, ya que, por lo general, las referencias no se proporcionan para otros términos del glosario.

Aclaración

General General Declaración de cumplimiento � Declaraciones de cumplimiento eliminadas de

los apéndices y otros documentos creados. � Referencias y títulos del apéndice actualizados

respectivamente en todo el documento.

Aclaración

General General Introducción y descripción general de las normas de seguridad de datos de la PCI � Se agregó información sobre el rol de las PCI

DSS en la protección de los datos de titulares de tarjetas.

� Se actualizó el gráfico ‘Descripción general de alto nivel’ para que reflejara los títulos de los requisitos.

� Se aclaró que las PCI DSS constituyen una herramienta de evaluación que se debe utilizar durante las evaluaciones del cumplimiento.

� Se agregó información sobre los recursos disponibles en el sitio web del PCI SSC.

Guía adicional

General General Información sobre la aplicabilidad de las PCI DSS � Se agregó el término “datos de la cuenta” a fin

de estar en línea con el módulo de Intercambio seguro y lectura de datos (SRED) de la PTS.

� Se agregaron más detalles sobre los “datos de titulares de tarjetas” y “datos confidenciales de autenticación”.

� Se aclaró que el número de la cuenta principal (PAN) es el factor que define la aplicabilidad de las PCI DSS.

� Se eliminó la nota al pie de página que abordaba otra legislación y se reemplazó con un texto de párrafo actualizado.

� Se actualizó el texto del párrafo y la tabla de aplicabilidad a fin de aclarar los elementos de datos que se deben hacer ilegibles de acuerdo al Requisito 3.4 de las PCI DSS.

Aclaración




N/C General Relación entre PCI DSS y PA-DSS � Se agregó una nueva sección que reflejara el

contenido de las PA-DSS. � Se aclaró que el uso de una aplicación que

cumpla con las PA-DSS por sí sola no significa que una entidad cumple con las PCI DSS.

Guía adicional

General General Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS � Se agregó “componentes de virtualización” a la

definición de “componentes del sistema” � Se aclaró que el entorno de datos de titulares

de tarjetas consta de “personas, procesos y tecnología que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación”.

Guía adicional

General General Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS Se agregó un párrafo con detalles para aclarar que el primer paso de una revisión de las PCI DSS es determinar con exactitud el alcance de la evaluación al identificar todas las ubicaciones y los flujos de datos de titulares de tarjetas y al asegurar que se incluyan dichas ubicaciones en la evaluación.

Guía adicional

General General Segmentación de red � Se agregaron aclaraciones que incluyen que la

segmentación se puede lograr a través de medios físicos o lógicos.

� Se hicieron reemplazos menores en algunas frases para aclarar significados.

Aclaración

General General Medios inalámbricos Se aclaró el énfasis en la presencia de una WLAN en lugar de una LAN.

Aclaración

General General Terceros/tercerización Se realizaron cambios menores a la terminología para mantener uniformidad.

Aclaración




General General Muestreo de las instalaciones del negocio y los componentes del sistema � Se aclaró que el asesor realiza el muestreo de

manera independiente y que ese muestreo debe realizarse primero en las instalaciones del negocio y luego en los componentes del sistema dentro de cada instalación seleccionada.

� Se aclaró que el muestreo no reduce el alcance del entorno de los datos de titulares de tarjetas o de la aplicabilidad de las PCI DSS y que está prohibido el muestreo de los requisitos de las PCI DSS de manera individual.

� Se aclararon los criterios específicos que deben documentar los asesores cuando realicen el muestreo. Se agregaron criterios que estipulan que los asesores deben revalidar la justificación del muestreo para cada evaluación.

Guía adicional

General General Instrucciones y contenido del informe de cumplimiento � Se agregaron criterios para que el asesor

informe sobre cómo se validó la exactitud del alcance de las PCI DSS para la evaluación, en la parte 2.

� Se actualizaron los detalles de los informes de la justificación del muestreo y la validación del tamaño de la muestra en la parte 2 a fin de guardar una correspondencia con el contenido que se aclaró en la sección Muestreo.

� Se aclaró en la parte 3 que la lista de las personas entrevistadas debería incluir las organizaciones a las que pertenecen, así como los temas tratados.

� Se movió “Plazo de la evaluación” de la parte 2 a la parte 4 y se agregó que el plazo debería indicar la duración y especificar el período de tiempo durante el cual ocurrió la evaluación.

� Se cambió “Procedimientos de análisis de seguridad de las PCI DSS” a “Guía aprobada del programa Análisis de proveedores” en la parte 5.

� Se agregó una explicación para las respuestas N/C en la parte 6.

� Se realizaron cambios menores en la redacción para mantener uniformidad.

Guía adicional

General General Pasos para completar el cumplimiento de las PCI DSS Se actualizó la referencia a Declaración de cumplimiento en el sitio web del PCI SSC.

Aclaración




General General Requisitos de las PCI DSS y procedimientos de evaluación de seguridad detallados Se aclaró que las respuestas N/C se deben colocar en la columna “Implementado”.

Aclaración

1 1 Párrafo introductorio � Se realizaron cambios menores en la redacción

para mantener uniformidad. � Se agregó la explicación de que otros

componentes del sistema que proporcionen la funcionalidad de firewall se deben tratar de conformidad con el Requisito 1.

Guía adicional

1.1.3 1.1.3.a, 1.1.3.b

Procedimientos de prueba Se dividió el Procedimiento de prueba 1.1.3 en los Procedimientos de prueba individuales del 1.1.3.a al 1.1.3.b.

Aclaración

1.1.5 1.1.5 Requisito Se agregaron ejemplos de servicios, protocolos o puertos no seguros.

Guía adicional

1.2 1.2 Requisito Se actualizó el requisito para alinearlo con el procedimiento de prueba.

Aclaración

1.3 1.3 Procedimiento de prueba Realización de una reestructuración a fin de aclarar el objetivo del procedimiento.

Aclaración

1.3.1 1.3.1 Requisito y procedimiento de prueba Se aclaró el objetivo del requisito para la DMZ a fin de limitar el tráfico entrante a los componentes del sistema que proporcionan servicios, protocolos y puertos autorizados.

Aclaración

1.3.3 1.3.3 Requisito y procedimiento de prueba Se aclaró que no se deben permitir conexiones directas entre Internet y las redes internas.

Aclaración

1.3.5 1.3.5 Requisito y procedimiento de prueba Se aclaró el objetivo de que sólo se permite el tráfico saliente.

Aclaración

1.3.6 1.3.6 Procedimiento de prueba Se otorgó mayor flexibilidad en el procedimiento de prueba al eliminar la especificación de uso de análisis de puertos.

Aclaración

1.3.7 1.3.7 Requisito y procedimiento de prueba Se aclaró que el requisito se aplica a cualquier tipo de almacenamiento de datos de titulares de tarjetas, y no sólo a las bases de datos.

Aclaración




1.3.8 1.3.8.a – 1.3.8.b

Requisito y procedimiento de prueba � Se aclaró el objetivo para prevenir la

divulgación de direcciones IP privadas en Internet y asegurar que cualquier divulgación a entidades externas esté autorizada.

� Se eliminaron las referencias específicas a la simulación IP y al uso de tecnologías de traducción de dirección de red (NAT) y se agregaron ejemplos de métodos para prevenir la divulgación de direcciones IP privadas.

� Se dividió el procedimiento de prueba en dos procedimientos secundarios.

Guía adicional

1.4.b 1.4.b Procedimiento de prueba Se aclaró que ningún usuario de computadoras propiedad de los trabajadores debería poder alterar el software de firewall personal a fin de alinear el procedimiento de prueba con el requisito.

Aclaración

2.1 2.1 Requisito Se realizaron cambios menores en la redacción para mantener claridad.

Aclaración

2.1.1 2.1.1.a – 2.1.1.e

Requisito y procedimiento de prueba � Se eliminó el contenido que solapaba el

Requisito 4.1.1 para aclarar que el objetivo de este requisito es asegurar que se cambien los valores predeterminados establecidos por el proveedor.

� Se dividió el Procedimiento de prueba 2.1.1. en Procedimientos de prueba individuales que van del 2.1.1a al 2.1.1.e.

� Se eliminó la referencia a WPA, ya que ésta no se considera un cifrado sólido por sí solo.

Aclaración

2.2 2.2 Requisitos y procedimientos de prueba Se movieron los ejemplos de las normas de alta seguridad del procedimiento de prueba al requisito, y se agregó ISO como una fuente de normas de alta seguridad.

Aclaración

6.2.b 2.2.b Procedimiento de prueba Se movió el contenido del anterior Procedimiento 6.2.b a 2.2.b para asegurar que las normas de configuración del sistema estén al día con las vulnerabilidades identificadas en el Requisito 6.2.

Aclaración

2.2.b 2.2.d Procedimiento de prueba Se enumeró nuevamente el Procedimiento de prueba 2.2.b como 2.2.d.

Aclaración




2.2.1 2.2.1 Requisito Se actualizó el requisito para aclarar el objetivo de “una función principal por servidor” y uso de virtualización.

Guía adicional

N/C 2.2.1.b Procedimientos de prueba � Nuevos procedimientos de prueba opcionales

para las tecnologías de virtualización. � Se enumeró nuevamente el Procedimiento de

prueba 2.2.1 como 2.2.1.a.

Guía adicional

2.2.2 2.2.2, 2.2.2.a – 2.2.2.b

Requisito y procedimientos de prueba � Se aclaró que se habilitarán sólo los servicios,

protocolos, daemons, etc. necesarios y seguros. Además, se implementarán funciones de seguridad para todos los servicios, etc. no seguros con ejemplos.

� Se dividió el Procedimiento de prueba 2.2.2. en los Procedimientos individuales 2.2.2.a y 2.2.2.b

Aclaración

2.2.4 2.2.4.a - 2.2.4.c

Procedimientos de prueba Se dividió el Procedimiento de prueba 2.2.4 en los Procedimientos individuales del 2.2.4.a al 2.2.4.c.

Aclaración

2.3 2.3, 2.3.a – 2.3.c

Requisito y procedimientos de prueba � Se aclaró que se requiere una criptografía

sólida. � Se dividió el Procedimiento de prueba 2.3 en los

Procedimientos individuales del 2.3.a al 2.3.c.

Aclaración

3 3 Párrafo introductorio Se aclaró que los “PAN no protegidos no se deben enviar utilizando tecnologías de mensajería de usuario final, tales como correo electrónico y mensajes instantáneos”.

Aclaración

3.1 3.1 Requisito y procedimientos de prueba Se generalizó más este requisito y se movió a los procedimientos de prueba anteriormente ubicados en 3.1 a nuevo Requisito y Procedimiento de prueba 3.1.1 (vea más abajo).

Aclaración




N/C 3.1.1, 3.1.1.a – 3.1.1.e

Requisito y procedimientos de prueba � Se enumeró nuevamente el anterior

Procedimiento de prueba 3.1 y se dividió en los Procedimientos de prueba individuales del 3.1.1.a al 3.1.1.d.

� Se agregaron detalles al requisito a fin de alinearlo con los procedimientos de prueba.

� Nuevo Procedimiento de prueba 3.1.1.e que aclara que el asesor debe verificar que los datos almacenados no excedan los requisitos de retención definidos en la política.

Aclaración

3.2 3.2 Requisito y procedimientos de prueba � Se agregó una nota al requisito a fin de aclarar

que es posible para los emisores y compañías que respaldan el procesamiento de emisión almacenar datos confidenciales de autenticación cuando exista una justificación de negocio y los datos estén almacenados de forma segura.

� Se agregó el Nuevo Procedimiento de prueba 3.2.a que estipula que los emisores y las compañías que respaldan servicios de emisión deben verificar que existe una justificación de negocio si se almacenan datos confidenciales de autenticación.

� Se enumeró nuevamente el anterior Procedimiento de prueba 3.2 como 3.2.b y se tituló “Para todas las demás entidades”.

Aclaración

3.2.1 3.2.1 Requisito y procedimiento de prueba Se reemplazó “en un chip” con “datos equivalentes en un chip” para mantener uniformidad.

Aclaración

3.2.1 – 3.2.3 3.2.1 – 3.2.3 Procedimientos de prueba Se aclaró que los procedimientos de prueba deben “examinar fuentes de datos, incluidas, a modo de ejemplo, las siguientes”.

Aclaración




3.4 3.4 Requisito � Se aclaró que el requisito sólo se aplica al PAN. � Se eliminó la nota que hacía referencia al

mínimo de información sobre las cuentas, ya que se aclaró en el requisito y en la Tabla de aplicabilidad de las PCI DSS.

� Se aclaró que si se utiliza hashing o truncamiento el PAN se debe hacer ilegible.

� Se agregó una nota para identificar el riesgo que plantea tener PAN truncados o en valores hash en el mismo entorno, y que se deben requerir controles de seguridad adicionales para asegurar que no se puedan reconstruir los datos originales de los PAN.

� Se eliminó la nota sobre el uso de controles de compensación (debido a que los controles de compensación se pueden aplicar a la mayoría de los requisitos de las PCI DSS).

Aclaración

3.4.d 3.4.d Procedimiento de prueba Se aclaró que el PAN se debe “hacer ilegible o eliminar”, en lugar de “depurar o eliminar”, ya que “depurar” redunda con “eliminar”.

Aclaración

3.4.1.c 3.4.1.c Procedimiento de prueba Se aclaró la nota para verificar que si no se utiliza el cifrado de disco para cifrar los medios extraíbles, entonces se deberá utilizar otro método.

Aclaración

3.5 3.5 Requisito � Se aclaró que las claves utilizadas para

asegurar los datos de los titulares de tarjeta deben estar protegidas contra divulgación o uso indebido.

� Se agregó una nota para aclarar cómo se aplica este requisito a las claves de cifrado de claves, si se utilizan.

Aclaración

3.5.1 3.5.1 Procedimiento de prueba Se actualizó el procedimiento de prueba para alinearlo con el requisito.

Aclaración

3.5.2 3.5.2, 3.5.2.a – 3.5.2.b

Requisito y Procedimientos de prueba Se agregó el procedimiento de prueba para alinearlo con el requisito.

Aclaración




3.6 3.6 Requisito y Procedimientos de prueba � Se trasladó la nota de procedimiento de prueba

a requisito. � Se aclaró en el Procedimiento de prueba 3.6.b

que los proveedores de servicios deben proporcionar a los clientes orientación sobre la administración de claves relacionada con la transmisión, el almacenamiento y la actualización de claves de clientes (no sólo el almacenamiento), de conformidad con los Subrequisitos del 3.6.1 al 3.6.8.

� Se eliminó la nota sobre la transmisión segura de dichas claves según se especificó en los subrequisitos.

Aclaración

3.6.4 3.6.4 Requisito y procedimiento de prueba � Se aclaró que se requiere que se cambien las

caves cuando éstas lleguen al final del período de cifrado definido, y no“por lo menos una vez al año”.

� Se agregó una guía relacionada con las mejores prácticas dentro de la industria.

Aclaración

3.6.5 3.6.5 Requisito y Procedimientos de prueba � Se cambió la redacción para aclarar que las

claves se deben retirar o reemplazar cuando la integridad de las mismas se haya debilitado; además, se agregaron ejemplos.

� Se agregó una nota que especifica que si se retienen las claves que se retiren o reemplacen, se deben archivar y mantener de forma segura sólo con fines de cifrado o verificación.

� Se agregó el procedimiento de prueba para verificar que si se retienen claves retiradas o reemplazadas no se utilicen para operaciones de cifrado.

Aclaración

3.6.6 3.6.6 Requisito y procedimiento de prueba � Se aclaró que “conocimiento parcial y control

dual” sólo se aplica a las operaciones de administración de claves criptográficas de texto claro.

� Se agregó una nota que proporcionara ejemplos sobre las operaciones de administración de claves.

Aclaración

3.6.8 3.6.8 Requisito y procedimiento de prueba Se aclaró que los custodios de claves deben “declarar formalmente” sus responsabilidades como custodios de claves en lugar de “firmar un formulario”.

Aclaración




4.1 4.1, 4.1.a – 4.1.e

Requisito y Procedimientos de prueba � Se incluyó SSH como ejemplo de protocolo de

seguridad y se eliminaron los ejemplos del procedimiento de prueba.

� Se dividió el Procedimiento de prueba 4.1 en los Procedimientos de prueba individuales del 4.1.a al 4.1.e.

� Se aclaró en el Procedimiento de prueba 4.1.b que las claves y/o los certificados confiables se requieren para todos los tipos de transmisiones y no sólo para SSL/TLS.

� Se aclaró en el Procedimiento 4.1.c que el protocolo se debe implementar a fin de utilizar configuraciones seguras.

Aclaración

4.1.1 4.1.1 Requisito Se actualizó la nota relacionada con el uso de WEP a partir del 30 de junio de 2010.

Aclaración

4.2 4.2 Requisito y Procedimientos de prueba Se cambió la redacción para aclarar que los PAN no protegidos (en lugar de no cifrados) nunca se deben enviar utilizando tecnologías de mensajería de usuario final.

Aclaración

1.1 1.1 Requisito y Procedimientos de prueba Se aclaró que los mecanismos antivirus deben generar registros de auditoría, en lugar de sólo “poder generar” dichos registros.

Aclaración

6.1 6.1 Requisitos Se aclaró el objetivo para proteger los componentes del sistema y el software de vulnerabilidades conocidas.

Aclaración

Requisito y Procedimientos de prueba Se agregó que además de identificar vulnerabilidades, los procesos deben incluir la clasificación de dichas vulnerabilidades en función del riesgo. Se proporcionó una guía sobre como clasificar riesgos.

6.2

6.2

Nota: La clasificación de vulnerabilidades según lo definido en 6.2.a es considerada una buena práctica hasta el 30 de junio de 2012, y a partir de entonces se convierte en un requisito.

Requisito en desarrollo




6.3 6.3, 6.3.a – 6.3.d

Requisito y Procedimientos de prueba � Se agregaron los tipos de aplicación de

software a los que se aplicarían las prácticas de desarrollo seguras.

� Se dividió el Procedimiento de prueba 6.3. en los Procedimientos de prueba individuales del 6.3.a al 6.3.d.

Aclaración

6.3.1 N/C Requisitos y procedimientos de prueba Se eliminaron los requisitos y procedimientos de prueba ya que las pruebas de vulnerabilidades anteriormente descritas en 6.3.1 ahora se tratan del 6.5.1 al 6.5.9.

Aclaración

6.3.2 – 6.3.5 6.4.1 – 6.4.4 Requisitos y procedimientos de prueba Se movieron los requisitos y procedimientos de prueba al 6.4 a fin de aclarar el objetivo de que los requisitos se aplican para probar y desarrollar entornos, no sólo para desarrollarlos.

Aclaración

6.3.6 – 6.3.7 6.3.1 – 6.3.2 Requisitos y procedimientos de prueba Se enumeraron nuevamente los requisitos y procedimientos de prueba debido a que se fusionaron y/o movieron requisitos anteriores.

Aclaración

6.3.7 6.3.2 Requisito y Procedimientos de prueba � Se eliminó la referencia circular de la nota. � Se consolidaron procedimientos de prueba

(anteriormente 6.3.7.a y 6.3.7.b) en un mismo procedimiento 6.3.2.a para combinar las aplicaciones ‘internas’ y ‘web’ en un mismo procedimiento.

� Se eliminó la referencia específica a las aplicaciones web y la Guía OWASP a fin de consolidar los requisitos de codificación segura para las aplicaciones dentro del alcance, incluidas las aplicaciones que no son web.

� Se enumeró nuevamente el anterior procedimiento de prueba 6.3.7.c como 6.3.2.b.

Aclaración

6.4 6.4 Requisito y Procedimientos de prueba � Se aclaró que el requisito y procedimiento de

prueba se aplican a los procesos y procedimientos de control de cambios.

� Se importó el contenido del anterior Procedimiento de prueba 6.3. para alinearlo con los anteriores procedimientos de prueba importados del 6.3.2 al 6.3.5.

Aclaración




6.3.4 6.4.3 Procedimiento de prueba Se eliminó el texto “ni para el desarrollo ni se desinfectan antes de ser utilizados” para aclarar el objetivo.

Aclaración

6.4,

6.4.a – 6.4.b

6.4.5, 6.4.5.a – 6.4.5.b

Requisitos y procedimientos de prueba Se actualizó el requisito anteriormente 6.4 a fin de alinearlo con los procedimientos de prueba anteriormente 6.4.a – 6.4.b, para tratar parches de seguridad y modificaciones del software.

Aclaración

6.4.1 – 6.4.4 6.4.5.1 – 6.4.5.4

Requisitos y procedimientos de prueba Se enumeraron nuevamente a fin de alinearlo con requisitos y procedimientos de prueba (anteriormente 6.3.2 – 6.3.5).

Aclaración

6.4.1 6.4.5.1 Procedimiento de prueba Se aclaró que se requiere documentación de incidencia en el procedimiento de pruebas, a fin de alinear con el requisito existente.

Aclaración

6.4.2 6.4.5.2 Requisito y procedimiento de prueba Se aclaró en el requisito y el procedimiento de prueba que se necesita aprobación de las “partes autorizadas” en lugar de la “gerencia”.

Aclaración

6.4.3 6.4.5.3, 6.4.5.3.a – 6.4.5.3.b

Requisitos y procedimientos de prueba � Se aclaró que el objetivo del requisito y

procedimiento de prueba anteriormente 6.4.3 es para “Verifique que la prueba de funcionalidad se haya realizado para verificar que el cambio no incide de forma adversa en la seguridad del sistema”.

� El anterior Requisito 6.3.1 se integró al nuevo Procedimiento de prueba 6.4.5.3.b, a fin de tratar pruebas de cambios de código personalizado con referencia a 6.5.

Aclaración

6.5 6.5 Requisitos y procedimientos de prueba � Se aclaró que la codificación segura y la

prevención de vulnerabilidades se aplica a todos los tipos de aplicaciones personalizadas dentro del alcance, en lugar de sólo aplicaciones web.

� Se eliminó la dependencia en OWASP y se incluyeron otros ejemplos de industrias como SANS CWE y CERT.

Aclaración




6.5.1 – 6.5.10

6.5.1 – 6.5.9 Requisitos y procedimientos de prueba � Las vulnerabilidades anteriormente 6.5.1 –

6.5.10 se actualizaron y combinaron con el anterior Requisito 6.3.1 para reflejar la orientación actual de CWE, CERT y OWASP.

� Se identificaron 6.5.7 – 6.5.9 como vulnerabilidades específicas de aplicaciones web.

Aclaración

Requisito y procedimiento de prueba Se agregaron nuevos requisitos y procedimientos de prueba a fin de tratar vulnerabilidades de alto riesgo identificadas en el Requisito 6.2.

N/C 6.5.6

Nota: La clasificación de vulnerabilidades según lo definido en 6.2.a es considerada una buena práctica hasta el 30 de junio de 2012, y a partir de entonces se convierte en un requisito.


7.1.3 7.1.3 Requisitos y procedimientos de prueba Se aclaró el requisito de aprobación documentada por las partes autorizadas, en lugar de “un formulario firmado por la gerencia”.

Aclaración

7.2.3 7.2.3 Requisitos y procedimientos de prueba La nota se trasladó de procedimiento de prueba a requisito.

Aclaración

8 8 Párrafo introductorio Se agregó una nota a fin de alinear con el Requisito 3.2 de las PA-DSS, con respecto a la aplicabilidad de una ID de usuario única y de controles de autenticación segura para “cuentas de usuarios dentro de una aplicación de pago de un punto de venta que sólo tengan acceso a un número de tarjeta por vez a fin de facilitar una transacción única (tales como las cuentas en efectivo)”.

Aclaración

8.2 8.2 Requisito Se agregaron una aclaración y ejemplos de métodos de autenticación.

Aclaración

8.3 8.3 Requisito y procedimiento de prueba Se aclararon ejemplos de autenticación de dos factores para incluir Radius “con tokens” y “otras tecnologías que admiten autenticación sólida.” Se agregó una nota para aclarar el objetivo de la autenticación de dos factores.

Aclaración

8.5 8.5 Requisitos y procedimientos de prueba Se agregó el término “identificación”.

Aclaración




8.5.2, 8.5.7, 8.5.8, 8.5.13

8.5.2, 8.5.7, 8.5.8, 8.5.13

Requisitos y procedimientos de prueba Se agregó “autenticación” para permitir mayor flexibilidad a las empresas que utilizan otros mecanismos de autenticación diferentes a las contraseñas.

Aclaración

8.5.3 8.5.3 Requisitos y procedimientos de prueba Se incluyó “restablecer contraseñas” como requisito de valor único y cambio inmediato después del primer uso.

Aclaración

8.5.6 8.5.6, 8.5.6.a – 8.5.6.b

Requisitos y procedimientos de prueba � Se aclaró el “acceso” de proveedores. Se

actualizó el requisito a fin de alinear con el procedimiento de prueba.

� Se dividió el Procedimiento de prueba 8.5.6 en los Procedimientos individuales del 8.5.6.a al 8.5.6.b.

Aclaración

8.5.9 – 8.5.13

8.5.9 – 8.5.13 Procedimientos de prueba � Se aclararon los requisitos de administración de

contraseñas para “usuarios no consumidores” desde una perspectiva del proveedor de servicio.

� Se dividió el procedimiento de prueba individual para distinguir el procedimiento para proveedores de servicio, para cada requisito.

Aclaración

8.5.16,

8.5.16.a

8.5.16, 8.5.16.a – 8.5.16.d

Requisitos y procedimientos de prueba � Se aclaró que la restricción de acceso directo o

consultas a bases de datos se aplica al acceso de usuarios.

� Se separó el Procedimiento de prueba 8.5.16 en Procedimientos de prueba individuales 8.5.16.a a 8.5.16.d.

Aclaración

9 9 Párrafo introductorio � Se agregaron términos y definiciones para

“personal local”, “visitante” y “medios”, que se utilizan en los requisitos.

� El nuevo término “personal local” reemplaza el antiguo término “empleado” con una nueva definición para aclarar el objetivo de cobertura.

Aclaración




9.1.1 9.1.1.a – 9.1.1.c

Procedimientos de prueba � Se separó el Procedimiento de prueba 9.1.1 en

Procedimientos de prueba individuales 9.1.1.a a 9.1.1.c.

� Se cambió a “cámaras de video y/o otros mecanismos de control de acceso” en procedimientos de prueba, ya que las cámaras de video son mecanismos de supervisión de acceso que se pueden utilizar con mecanismos de control de acceso.

Aclaración

9.1.2 9.1.2 Requisito y procedimiento de prueba Se reemplazó “empleado” por “personal local”. Se agregó un ejemplo de áreas con acceso físico.

Aclaración

9.1.3 9.1.3 Requisito y procedimiento de prueba Se agregó “hardware de redes/comunicaciones y líneas de telecomunicaciones” a la lista de elementos a los cuales restringir acceso físico. Se incluyeron anteriormente en el Requisito 9.6.

Aclaración

9.2,

9.2.a

9.2, 9.2.a – 9.2.b

Requisitos y procedimientos de prueba � Se reemplazó “empleado” por “personal local”. � Se separó el Procedimiento de prueba 9.2.a en

Procedimientos individuales 9.2.a a 9.2.b.

Aclaración

9.2.b 9.2.c Procedimientos de prueba Se aclaró que se debe verificar que las placas de identificación para visitantes se diferencien fácilmente de las del personal local.

Aclaración

9.3 9.3 Procedimiento de prueba Se aclaró que el procedimiento de prueba se aplica a controles de visitantes a fin de alinear con el requisito.

Aclaración

9.3.1 9.3.1 Procedimientos de prueba Se aclaró el procedimiento para intentar obtener acceso a fin de asegurar que a los visitantes no se les permita acceso físico sin acompañante a esas áreas.

Aclaración

9.3.2 9.3.2, 9.3.2.a – 9.3.2.b

Requisitos y procedimientos de prueba � Se reemplazó “empleado” por “personal local”. � Se separó el Procedimiento de prueba 9.3.2 en

Procedimientos individuales 9.3.2.a a 9.3.2.b. � Se aclaró que el Procedimiento de prueba

9.3.2.a es para verificar que las placas de identificación para visitantes se distinguen de aquellas de los empleados.

Aclaración




9.4 9.4 Requisitos y procedimientos de prueba Se reemplazó “empleado” por “personal local”.

Aclaración

9.5 9.5.a – 9.5.b Procedimientos de prueba � Se separó el Procedimiento de prueba 9.5 en

Procedimientos individuales 9.5.a a 9.5.b. � Se aclaró que el Procedimiento de prueba 9.5.a

es para observar la seguridad física de la ubicación de almacenamiento.

Aclaración

9.6 9.6 Requisito y procedimiento de prueba � Se reemplazó “papel y dispositivos electrónicos”

por “todos los medios” como se define en el parágrafo introductorio.

� Se movió “redes y hardware de comunicación, líneas de telecomunicación” al Procedimiento de prueba 9.1.3.

Aclaración

9.7 - 9.9 9.7 - 9.9. Requisitos y procedimientos de prueba Se reemplazaron referencias a “medios que contengan datos de titulares de tarjetas” por “medios” debido a que ya está definido en el parágrafo introductorio.

Aclaración

9.7.1 9.7.1 Requisito y procedimiento de prueba Se aclaró que el objetivo es poder determinar la confidencialidad de los datos en los medios.

Aclaración

10.4 10.4, 10.4.1 – 10.4.3

Requisitos y procedimientos de prueba � Se aclaró que el objetivo es utilizar tecnología

de sincronización para sincronizar los relojes y las horas de los sistemas, y para asegurar que la hora se obtiene, distribuye y almacena apropiadamente.

� Se cambió “sincronización de hora” y “NTP” a “tecnología de sincronización” hasta 10.4, y se aclaró que “NTP” es un ejemplo de tecnología de sincronización.

� Se separaron los Procedimientos de prueba 10.4.a a 10.4.c en nuevos subrequisitos y Procedimientos de prueba 10.4.1 a 10.4.3 (vea más abajo).

Aclaración

10.4 10.4.1 Requisitos y procedimientos de prueba � Nuevo subrequisito del anterior Procedimiento

de prueba 10.4.b, a fin de asegurar que los sistemas críticos tengan una hora correcta y uniforme.

� Se reestructuró el anterior Procedimiento de prueba 10.4.b en nuevos Procedimientos de prueba 10.4.1.a y 10.4.1.b, a fin de cubrir cómo se obtiene y distribuye la hora.

Aclaración




10.4 10.4.2 Requisitos y procedimientos de prueba Nuevos Subrequisito y Procedimientos de prueba 10.4.2.a y 10.4.2.b a fin de aclarar que los datos de hora están protegidos y que los cambios a la hora están autorizados.

Aclaración

10.4.c 10.4.3 Requisito y procedimiento de prueba Se reestructuró el anterior 10.4.c ien un nuevo subrequisito a fin de asegurar que la hora se reciba de fuentas aceptadas por la industria.

Aclaración

10.7.b 10.7.b Procedimientos de prueba Se aclaró que la prueba debe confirmar que los procesos de registro de auditoría se hayan implementado para “restaurar inmediatamente” datos de registro, en lugar de que los datos de registro estén “disponibles inmediatamente” para análisis.

Aclaración

11.1 11.1 Requisitos y procedimientos de prueba � Se aclaró que el proceso se debe implementar

para “detectar puntos de acceso inalámbrico no autorizados trimestralmente”.

� Se agregó la flexibilidad de que los métodos utilizados pueden incluir barridos de redes inalámbricas, inspecciones físicas/lógicas de componentes del sistema e infraestructura, control de acceso a la red (NAC) o IDS/IPS inalámbrico, y que, cualquiera que sea el método utilizado, debe ser suficiente para detectar e identificar cualquier dispositivo no autorizado.

Guía adicional

11.1.a – 11.1.c

11.1.a – 11.1.e

Procedimientos de prueba � Se separó el anterior Procedimiento de prueba

11.1 en Procedimientos individuales 11.1.a a 11.1.c.

� Se agregó el nuevo Procedimiento de prueba 11.1.b para probar que la metodología sea adecuada para detectar puntos de acceso inalámbricos no autorizados.

� Se enumeró nuevamente el anterior Procedimiento de prueba 11.1.b como 11.1.d, y se aclaró que la configuración para generación de alertas para personal se aplica si se utiliza supervisión automática.

� Se enumeró nuevamente el anterior Procedimiento de prueba 11.1.c como 11.1.e

Aclaración




11.2 11.2, 11.2.1 – 11.2.3

Requisitos y procedimientos de prueba � Se separaron y se enumeraron nuevamente los

requisitos de análisis internos y externos anteriormente 11.2 en Subrequisitos individuales y Procedimientos de prueba 11.2.1 a 11.2.3.

� Se movió la nota del anterior Procedimiento de prueba 11.2.b al Requisito 11.2 a fin de aclarar que se deben verificar cuatro análisis internos y externos.

Aclaración

11.2.a 11.2.1.a – 11.2.1.c

Procedimiento de prueba � Se aclaró que el proceso de análisis interno

incluya nuevos análisis hasta que obtengan resultados aprobados, o todas las vulnerabilidades “Altas”, de conformidad con lo definido en el Requisito 6.2 de las PCI DSS, se resuelvan .

� Se aclaró que los análisis internos deben ser realizados por partes calificadas.

Aclaración

11.2.b 11.2.2.a – 11.2.2.b

Procedimientos de prueba � Se reemplazó “procedimientos de análisis de

seguridad de PCI” por “Requisitos de la guía del programa de ASV”.

� Se aclaró que los ASV son aprobados por el PCI Security Standards Council (PCI SSC).

Aclaración

11.2.c 11.2.3.a – 11.2.3.c

Procedimientos de prueba Se aclaró que los requisitos para análisis internos y externos para incluir nuevos análisis hasta obtener vulnerabilidades de alto riesgo son tratados y se deben realizar por partes calificadas.

Aclaración

11.3 11.3 Requisitos y procedimientos de prueba � Se aclaró que las vulnerabilidades explotables

observadas se deben tratar. � Se separó el Procedimiento de prueba 11.3 en

Procedimientos de prueba individuales 11.3.a a 11.3.d.

Aclaración

11.3.2 11.3.2 Requisito y procedimiento de prueba Se aclaró que la prueba de penetración de la aplicación debe probar vulnerabilidades relevantes e incluir todos los tipos de aplicaciones dentro del alcance.

Aclaración

11.4 11.4 Requisitos y procedimientos de prueba Se aclaró que IDS/IPS supervisa el tráfico en el perímetro y en los puntos clave dentro del CDE, en lugar de todo el tráfico en el CDE.

Aclaración




11.5 11.5, 11.5.a – 11.5.b

Requisito y procedimiento de prueba � Se reemplazó “software” por “herramientas”

para aclarar el objetivo de que el software comercial no es el único medio de cumplir con los requisitos.

� Se agregó el procedimiento de prueba 11.5.b a fin de alinearlo con el requisito existente para alertar al personal ante modificaciones no autorizadas y configurar el software para realizar comparaciones de archivos críticos al menos semanalmente.

Aclaración

12 12 Título del requisito Se reemplazó “empleados y contratistas” por “todo el personal”.

Aclaración

12 12 Párrafo introductorio Se reemplazó “empleados” por “personal” con una definición ligeramente modificada.

Aclaración

12.1 12.1 Procedimientos de prueba Se reemplazó “empleado” por “personal”.

Aclaración

12.1.2 12.1.2 Requisito y procedimiento de prueba � Se agregaron ejemplos de metodologías de

evaluación de riesgos. � Se aclaró que la prueba debe verificar la

documentación de evaluación de riesgos.

Guía adicional

12.1.3 12.1.3 Requisito Se reemplazó “una vez al año” por “anualmente”.

Aclaración

12.3 12.3 Requisito y procedimiento de prueba � Se eliminó “para empleados” a fin de aclarar. � Se agregó “tablet” como ejemplo de

tecnologías.

Aclaración

12.3.1 12.3.1 Requisito y procedimiento de prueba Se reemplazó “gerencia” por “partes autorizadas”.

Aclaración

12.3.4 12.3.4 Requisito y procedimiento de prueba Se aclaró que se debe permitir etiquetado lógico.

Aclaración

12.3.9 12.3.9 Requisito y procedimiento de prueba Se agregó “socios de negocio” al requisito junto con “proveedores”.

Aclaración




12.3.10 12.3.10, 12.3.10.a – 12.3.10.b

Requisito y Procedimientos de prueba � Se proporcionó la flexibilidad de limitar

prohibiciones a personal sin autorización. � Se enumeró nuevamente el Procedimiento de

prueba 12.3.10 como 12.3.10.a. Se agregó el nuevo Procedimiento de prueba 12.3.10.b para verificar que el personal con debida autorización proteja los datos de titulares de tarjetas de conformidad con los requisitos de las PCI DSS.

Aclaración

12.4 12.4 Requisitos y procedimientos de prueba Se reemplazó “empleados y contratistas” por “personal”.

Aclaración

12.6 12.6 Requisito y procedimiento de prueba Se reemplazó “empleados” por “personal”.

Aclaración

12.6.1 12.6.1 Requisito y Procedimientos de prueba � Se reemplazó “empleados” por “personal”. � Se agregó una nota para proporcionar

orientación sobre diversos métodos dependiendo del rol del personal.

Guía adicional

12.6.2 12.6.2 Requisito y procedimiento de prueba � Se reemplazó “empleados” por “personal”. � Se reemplazó “empresa” por “entidad”.

Aclaración

12.7 12.7 Requisito y procedimiento de prueba � Se reemplazó “empleados” por “personal”. � El ejemplo se trasladó de procedimiento de

prueba a requisito. � Se aclaró que la nota en el Requisito 12.7 se

aplica a “personal potencial que se va a contratar para ciertos cargos”.

Aclaración

12.8 12.8 Procedimiento de prueba Se reemplazó “entidad que se evalúa” por “entidad” para propósitos de uniformidad.

Aclaración

12.8.4 12.8.4 Requisitos y procedimientos de prueba Se aclaró que el requisito para supervisar el estado de cumplimiento de las PCI DSS de los proveedores de servicio por lo menos anualmente. Se reemplazó “entidad evaluada” por “entidad.”

Guía adicional

12.9.1 12.9.1, 12.9.1.a – 12.9.1.b

Procedimiento de prueba � Se agregó el Procedimiento de prueba 12.9.1.b

a fin de aclarar que la prueba debe incluir la verificación de que los procedimientos documentados se siguen.

� Se enumeró nuevamente el Procedimiento de prueba 12.9.1 como 12.9.1.a.

Aclaración




12.9.3 12.9.3 Procedimiento de prueba Se aclaró que el personal designado debe estar disponible permanentemente para responder a incidentes a fin de alinear con el requisito.

Aclaración

Anexo D Declaración de

cumplimiento –

Comerciantes

Declaración de cumplimiento � Se eliminó del Anexo como un documento

separado. � Se reorganizó la información de contacto del

Asesor y del Comerciante.

Aclaración

Anexo E Declaración de

cumplimiento – Proveedores

de servicios

Declaración de cumplimiento � Se eliminó del Anexo como un documento

separado. � Se reorganizó la información de contacto del

Asesor y del Proveedor de servicio. � Se proporciona opciones adicionales en la lista

de “Servicios que se incluyeron en el ámbito de evaluación de las PCI DSS”, y una lista agregada de servicios no cubierta por la evaluación de las PCI DSS.

Aclaración

Anexo F Anexo D Segmentación y muestreo de instalaciones de negocios/Componentes de sistemas � Se cambió el nombre para aclarar el flujo del

proceso para segmentación y muestras. � Se crearon títulos de secciones separadas para

segmentación y muestras de redes. � Se actualizó para alinear con la sección de

muestras en la introducción.

Aclaración

i Explicaciones de “Tipo”:

Tipo nuevo Tipo anterior Definición

Aclaración Aclaración Aclara el objetivo del requisito. Asegúrese de que la redacción concisa de las normas exprese el objetivo deseado de los requisitos.

Guía adicional Explicación Explicaciones y/o definiciones orientadas a incrementar la comprensión o proporcionar más información sobre un tema particular.


Ampliaciones Cambios para asegurar que las normas estén al día con las amenazas y los cambios emergentes del mercado.

Norma de seguridad de datos de la Industria de tarjetas de ... · alcance de las PCI DSS para la...

Documents

Transcript of Norma de seguridad de datos de la Industria de tarjetas de ... · alcance de las PCI DSS para la...