Matriz de responsabilidad del cliente de PCI DSS
Este artículo describe cómo se deben cumplir los requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para utilizar la plataforma Genesys Cloud de manera compatible con PCI. De acuerdo con el requisito 12.8.5, este artículo indica dónde el cliente, Genesys Cloud o ambos tienen la responsabilidad de cumplir con cada requisito de las PCI DSS. Las responsabilidades indicadas en la matriz expandible a continuación no reemplazan ni reemplazan los requisitos de PCI DSS preexistentes que los clientes ya tienen y que se aplican a sus propios sistemas y prácticas. *
* Por ejemplo, en la matriz ampliable que figura a continuación, la sección 5 aborda la responsabilidad de proteger todos los sistemas y redes frente al software malicioso. Esta sección de la matriz se aplica a los sistemas controlados por Genesys Cloud. Como se muestra en la sección 5.2.1, Genesys Cloud tiene la responsabilidad de implementar software antivirus en los sistemas controlados por Genesys Cloud. Los clientes no tienen ninguna responsabilidad adicional para implementar software antivirus en los sistemas controlados de Genesys Cloud. Sin embargo, los clientes aún tienen la responsabilidad de implementar software antivirus en sistemas que los controlados por el cliente.
La plataforma Genesys Cloud logró una evaluación PCI DSS como proveedor de servicios de nivel 1 utilizando la versión 4.0 del estándar PCI DSS. La Declaración de cumplimiento se proporcionará a los clientes en virtud de un acuerdo de confidencialidad. Solo las funciones de Genesys Cloud indicadas en el Informe de cumplimiento como certificadas por PCI se pueden utilizar para procesar, transmitir o almacenar información de tarjetas de crédito. Los requisitos de las PCI DSS que se aplican solo a una función determinada de Genesys Cloud se indican en la matriz de responsabilidad. Si un cliente no usa esa función en particular de Genesys Cloud, esos requisitos no se aplican.
La siguiente matriz se aplica a los clientes que utilizan la funcionalidad nativa de Genesys Cloud. Cuando un cliente utiliza un producto de terceros, como aplicaciones del AppFoundry o tecnologías que utilizan el Traiga su propio modelo de servicios tecnológicos, el cliente y el proveedor de servicios externo pueden tener responsabilidades compartidas adicionales. Estas responsabilidades se comparten entre el cliente y el proveedor de servicios externo. El cliente debe consultar con el proveedor de servicios externo sobre el cumplimiento de PCI DSS y las responsabilidades compartidas. Genesys Cloud no comparte ninguna responsabilidad adicional de PCI DSS en esta situación.
Para más información, ver Cumplimiento de PCI DSS.
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
1.1 Se definen y comprenden los procesos y mecanismos de instalación y mantenimiento de los controles de seguridad de la red. | X | ||||
1.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el Requisito 1 son: Documentado, Mantenido al día, En uso, Conocido por todas las partes afectadas. | X | ||||
1.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 1 están documentadas, asignadas y comprendidas. | X | ||||
1.2 Se configuran y mantienen los controles de seguridad de la red (CSN). | X | ||||
1.2.1 Las normas de configuración para los conjuntos de reglas NSC son: Definido, aplicado y mantenido. | X | ||||
1.2.2 Todos los cambios en las conexiones de red y en las configuraciones de los CNS se aprueban y gestionan de acuerdo con el proceso de control de cambios definido en el requisito 6.5.1. | X | ||||
1.2.3 Se mantiene(n) un(os) diagrama(s) de red preciso(s) que muestra(n) todas las conexiones entre el CDE y otras redes, incluyendo cualquier red inalámbrica. | X | ||||
1.2.4 Se mantiene(n) un(os) diagrama(s) de flujo de datos preciso(s) que cumple(n) lo siguiente: Muestra todos los flujos de datos de cuentas a través de sistemas y redes. Se actualiza en función de los cambios del entorno. | X | ||||
1.2.5 Todos los servicios, protocolos y puertos permitidos están identificados, aprobados y tienen una necesidad empresarial definida. | X | ||||
1.2.6 Se definen e implementan funciones de seguridad para todos los servicios, protocolos y puertos que están en uso y se consideran inseguros, de forma que se mitigue el riesgo. | X | En el entorno no se permiten protocolos ni puertos de servicios inseguros. | |||
1.2.7 Las configuraciones de los CNS se revisan al menos una vez cada seis meses para confirmar que son pertinentes y eficaces. | X | ||||
1.2.8 Los archivos de configuración de los CNS son: Protegidos de accesos no autorizados, Mantenidos coherentes con las configuraciones de red activas. | X | ||||
1.3 El acceso a la red desde y hacia el entorno de datos del titular de la tarjeta está restringido. | X | ||||
1.3.1 El tráfico de entrada al CDE está restringido de la siguiente manera: Sólo al tráfico necesario. El resto del tráfico está específicamente denegado. | X | ||||
1.3.2 El tráfico saliente del CDE está restringido de la siguiente manera: Sólo al tráfico necesario. El resto del tráfico está específicamente denegado. | X | ||||
1.3.3 Los NSC se instalan entre todas las redes inalámbricas y el CDE, independientemente de si la red inalámbrica es un CDE, de tal forma que:
|
X | No se permiten tecnologías inalámbricas en el entorno. | |||
1.4 Se controlan las conexiones de red entre redes fiables y no fiables. | X | ||||
1.4.1 Las NSC se implantan entre redes fiables y no fiables. | X | ||||
1.4.2 El tráfico entrante de redes no confiables a redes confiables está restringido a:
|
X | ||||
1.4.3 Se implementan medidas anti-spoofing para detectar y bloquear direcciones IP de origen falsificadas para que no entren en la red de confianza. | X | ||||
1.4.4 Los componentes del sistema que almacenan datos de titulares de tarjetas no son accesibles directamente desde redes no fiables. | X | Genesys no puntúa los datos de los titulares de tarjetas. | |||
1.4.5 La divulgación de direcciones IP internas e información de enrutamiento se limita únicamente a las partes autorizadas. | X | ||||
1.5 Se mitigan los riesgos para el CDE procedentes de dispositivos informáticos capaces de conectarse tanto a redes no fiables como al CDE. | X | ||||
1.5.1 Los controles de seguridad se implementan en todos los dispositivos informáticos, incluidos los dispositivos propiedad de la empresa y de los empleados, que se conectan tanto a redes no fiables (incluida Internet) como al CDE de la siguiente manera:
|
X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
2.1 Se definen y comprenden los procesos y mecanismos para aplicar configuraciones seguras a todos los componentes del sistema. | X | ||||
2.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el Requisito 2 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. | X | ||||
2.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 2 están documentadas, asignadas y comprendidas. | X | ||||
2.2 Los componentes del sistema se configuran y gestionan de forma segura. | X | ||||
2.2.1 Las normas de configuración se desarrollan, aplican y mantienen para:
|
X | ||||
2.2.2 Las cuentas de proveedores por defecto se gestionan del siguiente modo:
|
X | ||||
2.2.3 Las funciones primarias que requieren distintos niveles de seguridad se gestionan del siguiente modo:
|
X | ||||
2.2.4 Sólo se activan los servicios, protocolos, demonios y funciones necesarios, y se elimina o desactiva toda la funcionalidad innecesaria. | X | ||||
2.2.5 Si hay servicios, protocolos o demonios inseguros:
|
X | ||||
2.2.6 Los parámetros de seguridad del sistema están configurados para evitar usos indebidos. | X | ||||
2.2.7 Todos los accesos administrativos que no sean de consola están cifrados mediante criptografía robusta. | X | ||||
2.3 Los entornos inalámbricos se configuran y gestionan de forma segura. | X | ||||
2.3.1 Para los entornos inalámbricos conectados al CDE o que transmiten datos de cuentas, todos los valores predeterminados de los proveedores inalámbricos se cambian en la instalación o se confirma que son seguros, incluidos, entre otros:
|
X | No se permiten tecnologías inalámbricas en el entorno. | |||
2.3.2 Para los entornos inalámbricos conectados al CDE o que transmiten datos de cuentas, las claves de encriptación inalámbrica se cambian de la siguiente manera:
|
X | No se permiten tecnologías inalámbricas en el entorno. |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
3.1 Se definen y comprenden los procesos y mecanismos para proteger los datos de las cuentas almacenadas. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el requisito 3 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. | X | X | |||
3.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 3 están documentadas, asignadas y comprendidas. | X | X | |||
3.2 El almacenamiento de los datos de las cuentas se reduce al mínimo. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.2.1 El almacenamiento de datos de cuentas se reduce al mínimo mediante la aplicación de políticas, procedimientos y procesos de conservación y eliminación de datos que incluyan, como mínimo, lo siguiente:
|
X | Genesys Cloud no almacena los datos de las cuentas. | |||
3.3 Los datos sensibles de autenticación (DAS) no se almacenan tras la autorización. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.3.1 El DUA no se conserva tras la autorización, aunque esté cifrado. Todos los datos sensibles de autenticación recibidos son irrecuperables una vez finalizado el proceso de autorización. | X | Genesys no almacena los datos de los titulares de tarjetas. | |||
3.3.1.1 El contenido completo de cualquier pista no se conserva una vez finalizado el proceso de autorización. | X | Genesys no almacena los datos de los titulares de tarjetas. | |||
3.3.1.2 El código de verificación de la tarjeta no se conserva una vez finalizado el proceso de autorización. | X | Genesys no almacena los datos de los titulares de tarjetas. | |||
3.3.1.3 El número de identificación personal (PIN) y el bloque PIN no se conservan una vez finalizado el proceso de autorización. | X | Genesys no almacena los datos de los titulares de tarjetas. | |||
3.3.2 El DUA que se almacena electrónicamente antes de completar la autorización se cifra utilizando criptografía fuerte. | X | Genesys no almacena los datos de los titulares de tarjetas. | |||
3.3.3 Requisito adicional para emisores y empresas que apoyan servicios de emisión y almacenan datos sensibles de autenticación: Cualquier almacenamiento de datos sensibles de autenticación es:
|
X | Genesys no es un Emisor. | |||
3.4 El acceso a las pantallas del PAN completo y la posibilidad de copiar el PAN están restringidos. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.4.1 El PAN se enmascara cuando se muestra (el BIN y los cuatro últimos dígitos son el número máximo de dígitos que se muestran), de modo que sólo el personal con una necesidad comercial legítima puede ver más que el BIN y los cuatro últimos dígitos del PAN. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.4.2 Cuando se utilizan tecnologías de acceso remoto, los controles técnicos impiden la copia y/o reubicación de PAN para todo el personal, excepto para aquellos con autorización explícita y documentada y una necesidad empresarial legítima y definida. | X | Genesys no almacena los datos de los titulares de tarjetas. | |||
3.5 El número de cuenta principal (PAN) está protegido dondequiera que se almacene. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.5.1 El PAN se vuelve ilegible en cualquier lugar donde se almacene utilizando cualquiera de los siguientes métodos:
|
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.5.1.1 Los hash utilizados para hacer ilegible la PAN (según el primer punto del requisito 3.5.1) son hashes criptográficos con clave de toda la PAN, con procesos y procedimientos de gestión de claves asociados de acuerdo con los requisitos 3.6 y 3.7. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.5.1.2 Si se utiliza la encriptación a nivel de disco o partición (en lugar de la encriptación a nivel de archivo, columna o campo de la base de datos) para hacer que PAN sea ilegible, sólo se implementa de la siguiente manera: En soportes electrónicos extraíbles O Si se utiliza para soportes electrónicos no extraíbles, la PAN también se hace ilegible mediante otro mecanismo que cumpla el requisito 3.5.1. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.5.1.3 Si se utiliza el cifrado a nivel de disco o partición (en lugar del cifrado a nivel de archivo, columna o campo de la base de datos) para hacer ilegible PAN, se gestiona de la siguiente manera:
|
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.6 Las claves criptográficas utilizadas para proteger los datos de las cuentas almacenadas están protegidas. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.6.1 Se definen e implementan procedimientos para proteger las claves criptográficas utilizadas para proteger los datos de cuentas almacenados contra la divulgación y el uso indebido que incluyen:
|
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.6.1.1 Requisito adicional solo para proveedores de servicios: Se mantiene una descripción documentada de la arquitectura criptográfica que incluye:
|
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.6.1.2 Las claves secretas y privadas utilizadas para cifrar/descifrar los datos de las cuentas almacenadas se guardan en todo momento en una (o varias) de las siguientes formas:
|
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.6.1.3 El acceso a los componentes de las claves criptográficas en texto claro está restringido al menor número de custodios necesario. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.6.1.4 Las claves criptográficas se almacenan en el menor número posible de ubicaciones. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7 Cuando se utiliza la criptografía para proteger los datos de cuentas almacenados, se definen y aplican procesos y procedimientos de gestión de claves que abarcan todos los aspectos del ciclo de vida de las claves. | X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.1 Se aplican políticas y procedimientos de gestión de claves que incluyen la generación de claves criptográficas sólidas utilizadas para proteger los datos de las cuentas almacenadas. |
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.2 Se aplican políticas y procedimientos de gestión de claves que incluyen la distribución segura de las claves criptográficas utilizadas para proteger los datos de cuentas almacenados. |
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.3 Se aplican políticas y procedimientos de gestión de claves que incluyen el almacenamiento seguro de las claves criptográficas utilizadas para proteger los datos de cuentas almacenados. |
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.4 Se implementan políticas y procedimientos de gestión de claves para los cambios de claves criptográficas que han llegado al final de su criptoperíodo, según lo definido por el proveedor de la aplicación asociada o el propietario de la clave, y sobre la base de las mejores prácticas y directrices del sector, incluidas las siguientes:
|
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.5 Los procedimientos de las políticas de gestión de claves se aplican para incluir la retirada, sustitución o destrucción de las claves utilizadas para proteger los datos de cuentas almacenados, según se considere necesario cuando:
|
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.6 Cuando las operaciones manuales de gestión de claves criptográficas en texto claro son realizadas por personal, las políticas y procedimientos de gestión de claves implementados incluyen la gestión de estas operaciones utilizando el conocimiento dividido y el control dual. |
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.7 Se aplican políticas y procedimientos de gestión de claves que incluyen la prevención de la sustitución no autorizada de claves criptográficas. |
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.8 Las políticas y procedimientos de gestión de claves se implementan para incluir que los custodios de claves criptográficas reconozcan formalmente (por escrito o electrónicamente) que comprenden y aceptan sus responsabilidades como custodios de claves. |
X | Genesys Cloud no almacena datos de titulares de tarjetas. | |||
3.7.9 Requisito adicional solo para proveedores de servicios: Cuando un proveedor de servicios comparte claves criptográficas con sus clientes para la transmisión o el almacenamiento de datos de cuentas, se documentan y distribuyen a los clientes del proveedor de servicios orientaciones sobre la transmisión, el almacenamiento y la actualización seguros de dichas claves. |
X | Genesys Cloud no almacena datos de titulares de tarjetas. |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
4.1 Se definen y documentan los procesos y mecanismos para proteger los datos de los titulares de tarjetas con criptografía fuerte durante la transmisión a través de redes abiertas y públicas. |
X | ||||
4.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el Requisito 4 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. | X | ||||
4.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 4 están documentadas, asignadas y comprendidas. | X | ||||
4.2 PAN se protege con criptografía fuerte durante la transmisión. |
X | ||||
4.2.1 Para salvaguardar PAN durante la transmisión a través de redes públicas abiertas, se aplican protocolos de seguridad y criptografía sólidos:
|
X | ||||
4.2.1.1 Se mantiene un inventario de las claves y certificados de confianza de la entidad utilizados para proteger la PAN durante la transmisión. | X | ||||
4.2.1.2 Las redes inalámbricas que transmiten PAN o están conectadas al CDE utilizan las mejores prácticas del sector para aplicar una criptografía sólida para la autenticación y la transmisión. | X | No hay tecnologías inalámbricas en el entorno. | |||
4.2.2 PAN se protege con una criptografía sólida siempre que se envía a través de tecnologías de mensajería de usuario final. | X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
5.1 Se definen y comprenden los procesos y mecanismos de protección de todos los sistemas y redes frente al software malicioso. | X | ||||
5.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el requisito 5 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. | X | ||||
5.1.2 Las funciones y responsabilidades para llevar a cabo las actividades del requisito 5 están documentadas, asignadas y comprendidas. | X | ||||
5.2 El software malicioso (malware) se previene, o se detecta y aborda. |
X | ||||
5.2.1 Se implanta una o varias soluciones antimalware en todos los componentes del sistema, excepto en aquellos identificados en evaluaciones periódicas según el requisito 5.2.3, que concluyen que los componentes del sistema no corren riesgo de malware. | X | ||||
5.2.2 La(s) solución(es) antimalware desplegada(s):
|
X | ||||
5.2.3 Los componentes del sistema que no presentan riesgo de malware se evalúan periódicamente para incluir lo siguiente:
|
X | ||||
5.2.3.1 La frecuencia de las evaluaciones periódicas de los componentes del sistema identificados como sin riesgo de malware se define en el análisis de riesgos específico de la entidad, que se realiza de acuerdo con todos los elementos especificados en la condición 12.3.1. | X | ||||
5.3 Los mecanismos y procesos antimalware están activos, mantenidos y supervisados. | X | ||||
5.3.1 La(s) solución(es) antimalware se mantiene(n) al día mediante actualizaciones automáticas. | X | ||||
5.3.2 La(s) solución(es) antimalware:
o
|
X | ||||
5.3.2.1 Si se realizan escaneos periódicos de malware para cumplir la condición 5.3.2, la frecuencia de los escaneos se define en el análisis de riesgos específico de la entidad, que se realiza de acuerdo con todos los elementos especificados en la condición 12.3.1. | X | ||||
5.3.3 Para soportes electrónicos extraíbles, la(s) solución(es) antimalware: Realiza escaneos automáticos de cuando el medio es insertado, conectado o montado lógicamente, O Realiza análisis de comportamiento continuo de sistemas o procesos cuando el medio es insertado, conectado o montado lógicamente. | X | ||||
5.3.4 Los registros de auditoría de las soluciones antimalware están habilitados y se conservan de acuerdo con el requisito 10.5.1. | X | ||||
5.3.5 Los mecanismos antimalware no pueden ser desactivados o alterados por los usuarios, a menos que esté específicamente documentado, y autorizado por la dirección caso por caso durante un período de tiempo limitado. | X | ||||
5.4 Los mecanismos antiphishing protegen a los usuarios contra los ataques de este tipo. | X | ||||
5.4.1 Existen procesos y mecanismos automatizados para detectar y proteger al personal contra los ataques de phishing. | X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
6.1 Se definen y comprenden los procesos y mecanismos para desarrollar y mantener sistemas y programas informáticos seguros. | X | ||||
6.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el requisito 6 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. |
X | ||||
6.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 6 están documentadas, asignadas y comprendidas. | X | ||||
6.2 El software a medida y personalizado se desarrolla de forma segura. | X | ||||
6.2.1 Los programas informáticos a medida y personalizados se desarrollan de forma segura:
|
X | ||||
6.2.2 El personal de desarrollo de software que trabaja en programas a medida y personalizados recibe formación al menos una vez cada 12 meses, como se indica a continuación:
|
X | ||||
6.2.3 El software a medida y personalizado se revisa antes de ponerlo en producción o a disposición de los clientes, para identificar y corregir posibles vulnerabilidades de codificación, como se indica a continuación:
|
X | ||||
6.2.3.1 Si se realizan revisiones manuales del código de los programas a medida y personalizados antes de pasarlos a producción, los cambios en el código lo son:
|
X | ||||
6.2.4 Las técnicas de ingeniería de software u otros métodos están definidos y en uso por el personal de desarrollo de software para prevenir o mitigar los ataques de software comunes y las vulnerabilidades relacionadas en el software a medida y personalizado, incluyendo pero no limitado a lo siguiente:
|
X | ||||
6.3 Se identifican y abordan las vulnerabilidades de seguridad. | X | ||||
6.3.1 Las vulnerabilidades de seguridad se identifican y gestionan del siguiente modo:
|
X | ||||
6.3.2 Se mantiene un inventario del software a medida y personalizado, y de los componentes de software de terceros incorporados al software a medida y personalizado para facilitar la gestión de vulnerabilidades y parches. | X | ||||
6.3.3 Todos los componentes del sistema están protegidos frente a vulnerabilidades conocidas mediante la instalación de los parches/actualizaciones de seguridad aplicables, tal y como se indica a continuación:
|
X | ||||
6.4 Las aplicaciones web de cara al público están protegidas contra los ataques. | X | ||||
6.4.1 Para las aplicaciones web de cara al público, las nuevas amenazas y vulnerabilidades se abordan de forma continua y estas aplicaciones están protegidas contra los ataques conocidos de la siguiente manera:
o
|
X | ||||
6.4.2 Para las aplicaciones web de cara al público, se despliega una solución técnica automatizada que detecta y previene continuamente los ataques basados en la web, con al menos lo siguiente:
|
X | ||||
6.4.3 Todos los scripts de las páginas de pago que se cargan y ejecutan en el navegador del consumidor se gestionan de la siguiente manera:
|
X | Genesys no utiliza scripts de páginas de pago. | |||
6.5 Los cambios en todos los componentes del sistema se gestionan de forma segura. | X | ||||
6.5.1 Los cambios en todos los componentes del sistema en el entorno de producción se realizan de acuerdo con los procedimientos establecidos que incluyen:
|
X | ||||
6.5.2 Una vez completado un cambio significativo, se confirma que todos los requisitos PCI DSS aplicables están en vigor en todos los sistemas y redes nuevos o modificados, y se actualiza la documentación según proceda. | X | ||||
6.5.3 Los entornos de preproducción están separados de los de producción y la separación se aplica con controles de acceso. | X | ||||
6.5.4 Los roles y las funciones están separados entre los entornos de producción y preproducción para garantizar que sólo se desplieguen los cambios revisados y aprobados. | X | ||||
6.5.5 Los PAN activos no se utilizan en entornos de preproducción, excepto cuando dichos entornos están incluidos en el CDE y protegidos de acuerdo con todos los requisitos PCI DSS aplicables. | X | ||||
6.5.6 Los datos de prueba y las cuentas de prueba se eliminan de los componentes del sistema antes de que éste pase a producción. | X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
7.1 Se definen y comprenden los procesos y mecanismos para restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas por necesidad de conocimiento de la empresa. | X | X | |||
7.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el Requisito 7 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. |
X | X | |||
7.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 7 están documentadas, asignadas y comprendidas. | X | X | |||
7.2 El acceso a los componentes y datos del sistema está debidamente definido y asignado. |
X | X | |||
7.2.1 Se define un modelo de control de acceso que incluye la concesión de acceso de la siguiente manera:
|
X | X | |||
7.2.2 El acceso se asigna a los usuarios, incluidos los privilegiados, en función de:
|
X | X | |||
7.2.3 Los privilegios requeridos son aprobados por personal autorizado. | X | X | |||
7.2.4 Todas las cuentas de usuario y los privilegios de acceso relacionados, incluidas las cuentas de terceros/proveedores, se revisan del siguiente modo: Al menos una vez cada seis meses.
|
X | X | |||
7.2.5 Todas las cuentas de aplicaciones y sistemas y los privilegios de acceso relacionados se asignan y gestionan de la siguiente manera:
|
X | X | |||
7.2.5.1 Todos los accesos de las cuentas de aplicaciones y sistemas y los privilegios de acceso relacionados se revisan de la siguiente manera:
|
X | X | |||
7.2.6 El acceso de todos los usuarios a los depósitos de consulta de datos almacenados de titulares de tarjetas está restringido de la siguiente manera:
|
X | Genesys no almacena los datos de los titulares de tarjetas. | |||
7.3 El acceso a los componentes y datos del sistema se gestiona mediante uno o varios sistemas de control de acceso. |
X | X | |||
7.3.1 Existe(n) un(os) sistema(s) de control de acceso que restringe(n) el acceso en función de la necesidad de saber de un usuario y cubre(n) todos los componentes del sistema. |
X | X | |||
7.3.2 El sistema o sistemas de control de acceso están configurados para hacer cumplir los permisos asignados a individuos, aplicaciones y sistemas basados en la clasificación y función del trabajo. |
X | X | |||
7.3.3 El sistema o sistemas de control de acceso están configurados como "denegar todo" por defecto. |
X | X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
8.1 Se definen y comprenden los procesos y mecanismos para identificar a los usuarios y autenticar el acceso a los componentes del sistema. | X | X | |||
8.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el Requisito 8 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. | X | X | |||
8.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 8 están documentadas, asignadas y comprendidas. | X | X | |||
8.2 La identificación de usuarios y las cuentas relacionadas para usuarios y administradores se gestionan estrictamente a lo largo del ciclo de vida de una cuenta. | X | X | |||
8.2.1 A todos los usuarios se les asigna un identificador único antes de permitirles el acceso a los componentes del sistema o a los datos de los titulares de tarjetas. | X | X | |||
8.2.2 Las cuentas de grupo, compartidas o genéricas, u otras credenciales de autenticación compartidas sólo se utilizan cuando es necesario de forma excepcional, y se gestionan del siguiente modo:
|
X | X | |||
8.2.3 Requisito adicional solo para proveedores de servicios: Los proveedores de servicios con acceso remoto a las instalaciones de los clientes utilizan factores de autenticación únicos para cada una de ellas. |
X | X | |||
8.2.4 La adición, eliminación y modificación de identificadores de usuario, factores de autenticación y otros objetos identificadores se gestionan del siguiente modo:
|
X | X | |||
8.2.5 El acceso de los usuarios dados de baja se revoca inmediatamente. | X | X | |||
8.2.6 Las cuentas de usuario inactivas se eliminan o desactivan en un plazo de 90 días de inactividad. | X | X | |||
8.2.7 Las cuentas utilizadas por terceros para acceder, dar soporte o mantener componentes del sistema mediante acceso remoto se gestionan del siguiente modo:
|
X | Los terceros no tienen acceso al CDE. | |||
8.2.8 Si una sesión de usuario ha estado inactiva durante más de 15 minutos, el usuario deberá volver a autenticarse para reactivar el terminal o la sesión. | X | ||||
8.3 Se establece y gestiona una autenticación fuerte para usuarios y administradores. | X | ||||
8.3.1 Todos los accesos de usuarios y administradores a los componentes del sistema se autentican mediante al menos uno de los siguientes factores de autenticación:
|
X | ||||
8.3.2 Se utiliza criptografía fuerte para hacer que todos los factores de autenticación sean ilegibles durante la transmisión y el almacenamiento en todos los componentes del sistema. | X | ||||
8.3.3 La identidad del usuario se verifica antes de modificar cualquier factor de autenticación. | X | ||||
8.3.4 Los intentos de autenticación no válidos están limitados por:
|
X | ||||
8.3.5 Si se utilizan contraseñas/frases de contraseña como factores de autenticación para cumplir el requisito 8.3.1, se establecen y restablecen para cada usuario del siguiente modo:
|
X | ||||
8.3.6 Si se utilizan contraseñas/frases de contraseña como factores de autenticación para cumplir el requisito 8.3.1, deberán cumplir el siguiente nivel mínimo de complejidad:
|
X | ||||
8.3.7 Las personas no pueden enviar una nueva contraseña/frase de contraseña que sea la misma que cualquiera de las últimas cuatro contraseñas/frases de contraseña utilizadas. | X | ||||
8.3.8 Las políticas y procedimientos de autenticación se documentan y comunican a todos los usuarios, incluidos:
|
X | ||||
8.3.9 Si se utilizan contraseñas/frases de contraseña como único factor de autenticación para el acceso de los usuarios (es decir, en cualquier implementación de autenticación de factor único), entonces:
|
X | Las contraseñas/frases de paso no se utilizan como único factor de autenticación; para acceder al entorno en cuestión, se exige a los usuarios que utilicen siempre la AMF. | |||
8.3.10 Requisito adicional solo para proveedores de servicios: Si se utilizan contraseñas/frases de contraseña como único factor de autenticación para el acceso de los usuarios clientes a los datos de los titulares de tarjetas (es decir, en cualquier implementación de autenticación de factor único), se proporcionará a los usuarios clientes una guía que incluya:
|
X | Las contraseñas/frases de paso no se utilizan como único factor de autenticación; para acceder al entorno en cuestión, se exige a los usuarios que utilicen siempre la AMF. | |||
8.3.10.1 Requisito adicional solo para proveedores de servicios: Si se utilizan contraseñas/frases de contraseña como único factor de autenticación para el acceso de los usuarios clientes (es decir, en cualquier implementación de autenticación de factor único), entonces:
|
X | Las contraseñas/frases de paso no se utilizan como único factor de autenticación; para acceder al entorno en cuestión, se exige a los usuarios que utilicen siempre la AMF. | |||
8.3.11 Cuando se utilizan factores de autenticación como fichas de seguridad físicas o lógicas, tarjetas inteligentes o certificados:
|
X | Genesys no utiliza tokens de seguridad, tarjetas inteligentes ni certificados como parte de los factores de autenticación. | |||
8.4 La autenticación multifactor (MFA) se implementa para asegurar el acceso al CDE. |
X | ||||
8.4.1 La MFA está implantada para todos los accesos no consulares al CDE del personal con acceso administrativo. |
X | ||||
8.4.2 La MFA está implantada para todos los accesos al CDE. |
X | ||||
8.4.3 La AMF se aplica a todos los accesos remotos a la red procedentes de fuera de la red de la entidad que puedan acceder o afectar al CDE de la siguiente manera:
|
X | ||||
8.5 Los sistemas de autenticación multifactor (MFA) están configurados para evitar usos indebidos. |
X | ||||
8.5.1 Los sistemas AMF se aplican de la siguiente manera:
|
X | ||||
8.6 El uso de cuentas de aplicaciones y sistemas y los factores de autenticación asociados se gestionan de forma estricta. |
X | En este momento no se está utilizando ninguna cuenta de sistema o de aplicación para el inicio de sesión interactivo. |
|||
8.6.1 Si las cuentas utilizadas por los sistemas o aplicaciones pueden utilizarse para el inicio de sesión interactivo, se gestionan del siguiente modo:
|
X | En este momento no se está utilizando ninguna cuenta de sistema o de aplicación para el inicio de sesión interactivo. | |||
8.6.2 Las contraseñas/frases de contraseña para cualquier aplicación y cuentas de sistema que puedan utilizarse para el inicio de sesión interactivo no están codificadas en scripts, archivos de configuración/propiedades o código fuente personalizado. |
X | En este momento no se está utilizando ninguna cuenta de sistema o de aplicación para el inicio de sesión interactivo. | |||
8.6.3 Las contraseñas/frases de contraseña para cualquier aplicación y cuentas del sistema están protegidas contra el uso indebido de la siguiente manera:
|
X | En este momento no se está utilizando ninguna cuenta de sistema o de aplicación para el inicio de sesión interactivo. |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
9.1 Se definen y comprenden los procesos y mecanismos para restringir el acceso físico a los datos de los titulares de tarjetas. | X | Las oficinas de Genesys no están incluidas en el alcance. | |||
9.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el requisito 9 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. |
X | X | |||
9.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 9 están documentadas, asignadas y comprendidas. | X | ||||
9.2 Los controles de acceso físico gestionan la entrada a las instalaciones y sistemas que contienen datos de titulares de tarjetas. |
X | ||||
9.2.1 Existen controles de entrada a las instalaciones adecuados para restringir el acceso físico a los sistemas del CDE. | X | ||||
9.2.1.1 El acceso físico individual a las zonas sensibles del CDE se supervisa mediante cámaras de vídeo o mecanismos de control de acceso físico (o ambos), como se indica a continuación:
|
X | ||||
9.2.2 Se implementan controles físicos y/o lógicos para restringir el uso de tomas de red de acceso público dentro de las instalaciones. | X | ||||
9.2.3 El acceso físico a los puntos de acceso inalámbricos, pasarelas, hardware de redes/comunicaciones y líneas de telecomunicaciones dentro de las instalaciones está restringido. | X | ||||
9.2.4 El acceso a las consolas en zonas sensibles está restringido mediante bloqueo cuando no se utilizan. | X | ||||
9.3 Se autoriza y gestiona el acceso físico del personal y los visitantes. |
X | ||||
9.3.1 Se implementan procedimientos para autorizar y gestionar el acceso físico del personal al CDE, incluyendo:
|
X | ||||
9.3.1.1 El acceso físico del personal a las zonas sensibles del CDE se controla del siguiente modo:
|
X | ||||
9.3.2 Se implementan procedimientos para autorizar y gestionar el acceso de visitantes al CDE, incluyendo:
|
X | ||||
9.3.3 Las tarjetas o identificaciones de los visitantes se entregan o desactivan antes de que los visitantes abandonen las instalaciones o en la fecha de caducidad. | X | ||||
9.3.4 Se utiliza un registro de visitantes para mantener un registro físico de la actividad de los visitantes dentro de las instalaciones y dentro de las zonas sensibles, incluyendo:
|
X | ||||
9.4 Los soportes con datos de titulares de tarjetas se almacenan, acceden, distribuyen y destruyen de forma segura. | X | ||||
9.4.1 Todos los soportes con datos de titulares de tarjetas están protegidos físicamente. | X | ||||
9.4.1.1 Las copias de seguridad en soporte offline con los datos de los titulares de tarjetas se almacenan en un lugar seguro. | X | ||||
9.4.1.2 La seguridad de la ubicación o ubicaciones de las copias de seguridad en soportes offline con datos de titulares de tarjetas se revisa al menos una vez cada 12 meses. | X | ||||
9.4.2 Todos los soportes con datos de titulares de tarjetas se clasifican en función de la sensibilidad de los datos. | X | ||||
9.4.3 Los soportes con datos de titulares de tarjetas enviados fuera de las instalaciones se protegen del siguiente modo:
|
X | ||||
9.4.4 La dirección aprueba todos los soportes con datos de titulares de tarjetas que se trasladan fuera de las instalaciones (incluso cuando los soportes se distribuyen a particulares). |
X | ||||
9.4.5 Se mantienen registros de inventario de todos los soportes electrónicos con datos de titulares de tarjetas. |
X | ||||
9.4.5.1 Los inventarios de soportes electrónicos con datos de titulares de tarjetas se realizan al menos una vez cada 12 meses. |
X | ||||
9.4.6 Los materiales impresos con datos de titulares de tarjetas se destruyen cuando dejan de ser necesarios por motivos empresariales o legales, como se indica a continuación:
|
X | ||||
9.4.7 Los soportes electrónicos con datos de titulares de tarjetas se destruyen cuando dejan de ser necesarios por motivos empresariales o legales mediante uno de los siguientes procedimientos:
|
X | ||||
9.5 Los dispositivos de punto de interacción (PDI) están protegidos contra la manipulación y la sustitución no autorizada. | X | ||||
9.5.1 Los dispositivos POI que capturan datos de tarjetas de pago mediante la interacción física directa con el factor de forma de la tarjeta de pago están protegidos contra la manipulación y la sustitución no autorizada, incluyendo lo siguiente:
|
X | ||||
9.5.1.1 Se mantiene una lista actualizada de dispositivos POI, que incluye:
|
X | ||||
9.5.1.2 Las superficies de los dispositivos PDI se inspeccionan periódicamente para detectar manipulaciones y sustituciones no autorizadas. | X | ||||
9.5.1.2.1 La frecuencia de las inspecciones periódicas de los dispositivos de PDI y el tipo de inspecciones realizadas se definen en el análisis de riesgos específico de la entidad, que se realiza de acuerdo con todos los elementos especificados en la condición 12.3.1. | X | ||||
9.5.1.3 Se proporciona formación al personal de los entornos de PDI para que sean conscientes de los intentos de manipulación o sustitución de los dispositivos de PDI, e incluye:
|
X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
10.1 Se definen y documentan los procesos y mecanismos de registro y supervisión de todos los accesos a los componentes del sistema y a los datos de los titulares de tarjetas. | X | ||||
10.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el Requisito 10 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. | X | ||||
10.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 10 están documentadas, asignadas y comprendidas. | X | ||||
10.2 Los registros de auditoría se implementan para apoyar la detección de anomalías y actividades sospechosas, y el análisis forense de eventos. | X | ||||
10.2.1 Los registros de auditoría están habilitados y activos para todos los componentes del sistema y los datos de los titulares de tarjetas. | X | ||||
10.2.1.1 Los registros de auditoría capturan todos los accesos individuales de los usuarios a los datos de los titulares de tarjetas. | X | ||||
10.2.1.2 Los registros de auditoría capturan todas las acciones realizadas por cualquier persona con acceso administrativo, incluido cualquier uso interactivo de cuentas de aplicaciones o sistemas. | X | ||||
10.2.1.3 Los registros de auditoría capturan todos los accesos a los registros de auditoría. | X | ||||
10.2.1.4 Los registros de auditoría capturan todos los intentos de acceso lógico no válidos. | X | ||||
10.2.1.5 Los registros de auditoría capturan todos los cambios en las credenciales de identificación y autenticación, incluyendo, pero no limitado a:
|
X | ||||
10.2.1.6 Los registros de auditoría capturan lo siguiente: Toda inicialización de nuevos registros de auditoría, y Todo inicio, detención o pausa de los registros de auditoría existentes. | X | ||||
10.2.1.7 Los registros de auditoría capturan todas las creaciones y eliminaciones de objetos a nivel de sistema. | X | ||||
10.2.2 Los registros de auditoría registran los siguientes detalles para cada evento auditable:
|
X | ||||
10.3 Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas. | X | ||||
10.3.1 El acceso de lectura a los archivos de registros de auditoría está limitado a aquellas personas que tengan una necesidad relacionada con su trabajo. | X | ||||
10.3.2 Los archivos de registro de auditoría están protegidos para evitar modificaciones por parte de particulares. | X | ||||
10.3.3 Los archivos de registro de auditoría, incluidos los de las tecnologías de cara al exterior, se guardan rápidamente en un servidor o servidores de registro internos, centrales y seguros o en otros medios difíciles de modificar. | X | ||||
10.3.4 La supervisión de la integridad de los archivos o los mecanismos de detección de cambios se utilizan en los registros de auditoría para garantizar que los datos de registro existentes no puedan modificarse sin generar alertas. | X | ||||
10.4 Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas. | X | ||||
10.4.1 Los siguientes registros de auditoría se revisan al menos una vez al día:
|
X | ||||
10.4.1.1 Se utilizan mecanismos automatizados para realizar revisiones de los registros de auditoría. |
X | ||||
10.4.2 Los registros de todos los demás componentes del sistema (los no especificados en el requisito 10.4.1) se revisan periódicamente. | X | ||||
10.4.2.1 La frecuencia de las revisiones periódicas de los registros para todos los demás componentes del sistema (no definidos en la condición 10.4.1) se define en el análisis de riesgos específico de la entidad, que se realiza con arreglo a todos los elementos especificados en la condición 12.3.1. |
X | ||||
10.4.3 Se abordan las excepciones y anomalías detectadas durante el proceso de revisión. | X | ||||
10.5 El historial del registro de auditoría se conserva y está disponible para su análisis. | X | ||||
10.5.1 Conserve el historial de registros de auditoría durante al menos 12 meses, con al menos los tres meses más recientes inmediatamente disponibles para su análisis. | X | ||||
10.6 Los mecanismos de sincronización horaria permiten una configuración horaria coherente en todos los sistemas. | X | ||||
10.6.1 Los relojes y la hora del sistema se sincronizan utilizando tecnología de sincronización horaria.10.6.1 Los relojes y la hora del sistema se sincronizan utilizando tecnología de sincronización horaria. |
X | ||||
10.6.2 Los sistemas están configurados a la hora correcta y consistente de la siguiente manera:
|
X | ||||
10.6.3 La configuración de la sincronización horaria y los datos están protegidos de la siguiente manera:
|
X | ||||
10.7 Los fallos de los sistemas de control de seguridad críticos se detectan, notifican y responden con prontitud. | X | ||||
10.7.1 Requisito adicional solo para proveedores de servicios: Los fallos de los sistemas críticos de control de la seguridad se detectan, alertan y abordan con prontitud, incluidos, entre otros, los fallos de los siguientes sistemas críticos de control de la seguridad:
|
X | ||||
10.7.2 Los fallos de los sistemas críticos de control de la seguridad se detectan, alertan y abordan con prontitud, incluidos, entre otros, los fallos de los siguientes sistemas críticos de control de la seguridad:
|
X | ||||
10.7.3 Se responde con prontitud a los fallos de cualquier sistema de control de seguridad crítico, incluidos, entre otros, los siguientes:
|
X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
11.1 Se definen y comprenden los procesos y mecanismos para comprobar periódicamente la seguridad de los sistemas y redes. | X | ||||
11.1.1 Todas las políticas de seguridad y procedimientos operativos que se identifican en el Requisito 11 son: Documentado. Se mantiene al día. En uso. Conocido por todas las partes afectadas. | X | X | |||
11.1.2 Las funciones y responsabilidades para realizar las actividades del requisito 11 están documentadas, asignadas y comprendidas. | X | X | |||
11.2 Se identifican y controlan los puntos de acceso inalámbrico, y se abordan los puntos de acceso inalámbrico no autorizados. | X | X | |||
11.2.1 Los puntos de acceso inalámbricos autorizados y no autorizados se gestionan de la siguiente manera:
|
X | X | AWS es responsable de este control, ya que todas las ubicaciones físicas son gestionadas por AWS. |
||
11.2.2 Se mantiene un inventario de puntos de acceso inalámbricos autorizados, incluida una justificación empresarial documentada. | X | X | No se permiten tecnologías inalámbricas en el entorno. | ||
11.3 Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente. | X | X | |||
11.3.1 Las exploraciones internas de vulnerabilidades se realizan del siguiente modo: Al menos una vez cada tres meses.
|
X | X | |||
11.3.1.1 Todas las demás vulnerabilidades aplicables (las no clasificadas como de alto riesgo o críticas según la clasificación de riesgos de vulnerabilidad de la entidad definida en el requisito 6.3.1) se gestionan del siguiente modo:
|
X | X | |||
11.3.1.2 Las exploraciones internas de vulnerabilidades se realizan mediante exploración autenticada de la siguiente manera:
|
X | X | |||
11.3.1.3 Las exploraciones internas de vulnerabilidad se realizan después de cualquier cambio significativo de la siguiente manera:
|
X | X | |||
11.3.2 Las exploraciones externas de vulnerabilidades se realizan del siguiente modo: Al menos una vez cada tres meses.
|
X | X | |||
11.3.2.1 Las exploraciones externas de vulnerabilidades se realizan después de cualquier cambio significativo de la siguiente manera:
|
X | X | |||
11.4 Periódicamente se realizan pruebas de penetración externas e internas y se corrigen las vulnerabilidades explotables y los puntos débiles de seguridad. |
X | X | |||
11.4.1 La entidad define, documenta y aplica una metodología de pruebas de penetración que incluye:
|
X | X | |||
11.4.2 Se realizan pruebas de penetración internas: Según la metodología definida por la entidad, Al menos una vez cada 12 meses Después de cualquier actualización o cambio significativo de la infraestructura o las aplicaciones Por un recurso interno cualificado o un tercero externo cualificado Existe independencia organizativa del comprobador (no es necesario que sea un QSA o ASV). |
X | ||||
11.4.3 Se realizan pruebas de penetración externas: Según la metodología definida por la entidad Al menos una vez cada 12 meses Después de cualquier actualización o cambio significativo de la infraestructura o las aplicaciones Por un recurso interno cualificado o un tercero externo cualificado Existe independencia organizativa del comprobador (no es necesario que sea un QSA o ASV). |
X | X | |||
11.4.4 Las vulnerabilidades explotables y las debilidades de seguridad encontradas durante las pruebas de penetración se corrigen de la siguiente manera: De acuerdo con la evaluación por parte de la entidad del riesgo que plantea el problema de seguridad, tal como se define en la condición 6.3.1. Las pruebas de penetración se repiten para verificar las correcciones. |
X | X | |||
11.4.5 Si se utiliza la segmentación para aislar el CDE de otras redes, las pruebas de penetración se realizan en los controles de segmentación de la siguiente manera:
|
X | X | |||
11.4.6 Requisito adicional solo para proveedores de servicios:
|
X | X | |||
11.4.7 Requisito adicional sólo para proveedores de servicios multiarrendamiento: Los proveedores de servicios multiarrendamiento apoyan a sus clientes para realizar pruebas de penetración externas según los requisitos 11.4.3 y 11.4.4. |
X | No es un proveedor de servicios multiusuario | |||
11.5 Las intrusiones en la red y los cambios inesperados en los archivos se detectan y se les da respuesta. | X | ||||
11.5.1 Para detectar y/o prevenir intrusiones en la red se utilizan técnicas de detección y/o prevención de intrusiones:
|
X | ||||
11.5.1.1 Requisito adicional solo para proveedores de servicios: Las técnicas de detección y/o prevención de intrusiones detectan, alertan/previenen y abordan los canales de comunicación de malware encubierto. |
X | ||||
11.5.2 Un mecanismo de detección de cambios (por ejemplo, herramientas de supervisión de la integridad de los archivos) se despliega de la siguiente manera:
|
X | ||||
11.6 Se detectan los cambios no autorizados en las páginas de pago y se responde a ellos. | X | Genesys no utiliza/recibe páginas de pago del navegador del consumidor. | |||
11.6.1 A continuación se despliega un mecanismo de detección de cambios y manipulaciones:
|
X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
12.1 Se conoce y está actualizada una política global de seguridad de la información que rige y orienta la protección de los activos de información de la entidad. 12.10 Los incidentes de seguridad sospechosos y confirmados que puedan afectar al CDE reciben una respuesta inmediata. | X | ||||
12.1.1 Una política global de seguridad de la información es: Establecido. Publicado. Mantenida. Difundido a todo el personal pertinente, así como a los proveedores y socios comerciales pertinentes. | X | ||||
12.1.2 La política de seguridad de la información es: Revisado al menos una vez cada 12 meses. Se actualiza según sea necesario para reflejar los cambios en los objetivos empresariales o los riesgos para el medio ambiente. | X | ||||
12.1.3 La política de seguridad define claramente las funciones y responsabilidades de todo el personal en materia de seguridad de la información, y todo el personal conoce y reconoce sus responsabilidades en este ámbito. | X | ||||
12.1.4 La responsabilidad de la seguridad de la información se asigna formalmente a un Director de Seguridad de la Información o a otro miembro de la dirección ejecutiva con conocimientos en seguridad de la información. | X | ||||
12.2 Se definen y aplican políticas de uso aceptable para las tecnologías de usuario final. |
X | ||||
12.2.1 Las políticas de uso aceptable de las tecnologías de usuario final están documentadas y se aplican, incluyendo:
|
X | ||||
12.3 Los riesgos para el entorno de datos de los titulares de tarjetas se identifican, evalúan y gestionan formalmente. | X | ||||
12.3.1 Cada requisito de PCI DSS que ofrezca flexibilidad en cuanto a la frecuencia con la que se realiza (por ejemplo, los requisitos que deben realizarse periódicamente) está respaldado por un análisis de riesgos específico que está documentado e incluye:
|
X | ||||
12.3.2 Se realiza un análisis de riesgos específico para cada requisito de PCI DSS que la entidad cumple con el enfoque personalizado, para incluir:
|
X | ||||
12.3.3 Las suites de cifrado criptográfico y los protocolos en uso se documentan y revisan al menos una vez cada 12 meses, incluyendo como mínimo lo siguiente:
|
X | ||||
12.3.4 Las tecnologías de hardware y software en uso se revisan al menos una vez cada 12 meses, incluyendo como mínimo lo siguiente:
|
X | ||||
12.4 Se gestiona el cumplimiento de la norma PCI DSS. | X | ||||
12.4.1 Requisito adicional solo para proveedores de servicios:
|
X | ||||
12.4.2 Requisito adicional solo para proveedores de servicios:
|
X | ||||
12.4.2.1 Requisito adicional solo para proveedores de servicios: Las revisiones realizadas de acuerdo con el requisito 12.4.2 se documentan para incluir:
|
X | ||||
12.5 El alcance de PCI DSS está documentado y validado. | X | ||||
12.5.1 Se mantiene y actualiza un inventario de los componentes del sistema que entran en el ámbito de aplicación de la norma PCI DSS, incluida una descripción de su función/uso. | X | ||||
12.5.2 La entidad documenta y confirma el alcance de la norma PCI DSS al menos una vez cada 12 meses y cuando se produce un cambio significativo en el entorno afectado. Como mínimo, la validación del alcance incluye:
|
X | ||||
12.5.2.1 Requisito adicional solo para proveedores de servicios:
|
X | ||||
12.5.3 Requisito adicional solo para proveedores de servicios: Los cambios significativos en la estructura organizativa dan lugar a una revisión documentada (interna) del impacto en el alcance de la PCI DSS y la aplicabilidad de los controles, y los resultados se comunican a la dirección ejecutiva. | X | ||||
12.6 La concienciación en materia de seguridad es una actividad continua. | X | ||||
12.6.1 Se implanta un programa formal de concienciación sobre seguridad para que todo el personal conozca la política y los procedimientos de seguridad de la información de la entidad, así como su papel en la protección de los datos de los titulares de tarjetas. | X | ||||
12.6.2 El programa de concienciación sobre seguridad es: Revisado al menos una vez cada 12 meses, y Actualizado según sea necesario para abordar cualquier nueva amenaza y vulnerabilidad que pueda afectar a la seguridad del CDE de la entidad, o a la información proporcionada al personal sobre su papel en la protección de los datos de los titulares de tarjetas. | X | ||||
12.6.3 El personal recibe la siguiente formación de concienciación en materia de seguridad:
|
X | ||||
12.6.3.1 La formación sobre concienciación en materia de seguridad incluye el conocimiento de las amenazas y vulnerabilidades que podrían afectar a la seguridad del CDE, entre las que se incluyen: Phishing y ataques relacionados. Ingeniería social. | X | ||||
12.6.3.2 La formación de concienciación sobre seguridad incluye la concienciación sobre el uso aceptable de las tecnologías de usuario final de acuerdo con el requisito 12.2.1. | X | ||||
12.7 Se investiga al personal para reducir los riesgos de amenazas internas. |
X | ||||
12.7.1 El personal potencial que tendrá acceso al CDE es investigado, dentro de las limitaciones de las leyes locales, antes de su contratación para minimizar el riesgo de ataques de fuentes internas. |
X | ||||
12.8 Se gestionan los riesgos para los activos de información asociados a las relaciones con terceros proveedores de servicios (TPSP). | X | ||||
12.8.1 Una lista de todos los terceros proveedores de servicios (TPSP) con los que se comparten los datos de la cuenta o que podrían afectar a la seguridad de los datos de la cuenta, incluida una descripción de cada uno de los servicios prestados. | X | ||||
12.8.2 Los acuerdos escritos con los PSVP se mantienen del siguiente modo:
|
X | ||||
12.8.3 Se aplica un proceso establecido para la contratación de proveedores de servicios de pago a terceros, incluida la diligencia debida antes de la contratación. | X | ||||
12.8.4 Se implementa un programa para supervisar el estado de cumplimiento de PCI DSS de los TPSP al menos una vez cada 12 meses. | X | ||||
12.8.5 Se mantiene información sobre qué requisitos PCI DSS gestiona cada TPSP, cuáles gestiona la entidad y cuáles comparten el TPSP y la entidad. | X | ||||
12.9 Los proveedores de servicios a terceros (TPSP) apoyan a sus clientes en el cumplimiento de la norma PCI DSS. |
X | ||||
12.9.1 Requisito adicional solo para proveedores de servicios: Los TPSP reconocen por escrito a los clientes que son responsables de la seguridad de los datos de la cuenta que el TPSP posee o almacena, procesa o transmite en nombre del cliente, o en la medida en que puedan afectar a la seguridad del CDE del cliente. |
X | ||||
12.9.2 Requisito adicional solo para proveedores de servicios: Los TPSP apoyan las solicitudes de información de sus clientes para cumplir los Requisitos 12.8.4 y 12.8.5 proporcionando lo siguiente a petición del cliente:
|
X | ||||
12.10 Se responde inmediatamente a los incidentes de seguridad sospechosos y confirmados que puedan afectar al CDE. | X | ||||
12.10.1 Existe un plan de respuesta a incidentes y está listo para activarse en caso de que se sospeche o se confirme un incidente de seguridad. El plan incluye, entre otras cosas:
|
X | ||||
12.10.2 Al menos una vez cada 12 meses, el plan de respuesta a incidentes de seguridad es:
|
X | ||||
12.10.3 Se designa a personal específico para que esté disponible las 24 horas del día, los 7 días de la semana, para responder a incidentes de seguridad presuntos o confirmados. | X | ||||
12.10.4 El personal responsable de responder a incidentes de seguridad presuntos y confirmados recibe formación adecuada y periódica sobre sus responsabilidades en la respuesta a incidentes. | X | ||||
12.10.4.1 La frecuencia de la formación periódica del personal de respuesta a incidentes se define en el análisis de riesgos específico de la entidad, que se realiza de acuerdo con todos los elementos especificados en la condición 12.3.1. |
X | ||||
12.10.5 El plan de respuesta a incidentes de seguridad incluye la supervisión y la respuesta a las alertas de los sistemas de supervisión de la seguridad, incluidos, entre otros:
|
X | ||||
12.10.6 El plan de respuesta a incidentes de seguridad se modifica y evoluciona en función de las lecciones aprendidas y para incorporar los avances del sector. | X | ||||
12.10.7 Se han establecido procedimientos de respuesta a incidentes, que se pondrán en marcha cuando se detecte PAN almacenado en cualquier lugar donde no se espere, y que incluyen:
|
X |
Requisito de PCI DSS | N / A | Nube de Genesys | Cliente | Característica | Notas |
---|---|---|---|---|---|
A1.1 Los proveedores de servicios multi-tenant protegen y separan todos los entornos y datos de los clientes. | X | ||||
A1.1.1 La separación lógica se implementa de la siguiente manera: El proveedor no puede acceder a los entornos de sus clientes sin autorización. Los clientes no pueden acceder al entorno del proveedor sin autorización. |
X | ||||
A1.1.2 Los controles se implementan de tal manera que cada cliente sólo tiene permiso para acceder a sus propios datos de titular de tarjeta y CDE. |
X | ||||
A1.1.3 Los controles se implementan de forma que cada cliente sólo pueda acceder a los recursos que le han sido asignados. |
X | ||||
A1.1.4 La eficacia de los controles de separación lógica utilizados para separar los entornos de los clientes se confirma al menos una vez cada seis meses mediante pruebas de penetración. |
X | ||||
A1.2 Los proveedores de servicios multi-tenant facilitan el registro y la respuesta a incidentes para todos los clientes. | X | ||||
A1.2.1 La capacidad de registro de auditoría está habilitada para el entorno de cada cliente que sea coherente con el requisito 10 de PCI DSS, incluido: Los registros están habilitados para las aplicaciones comunes de terceros. Los registros están activos por defecto. Los registros sólo pueden ser revisados por el cliente propietario. La ubicación de los troncos se comunica claramente al cliente propietario. Los datos de registro y la disponibilidad son coherentes con el requisito 10 de PCI DSS. |
X | ||||
A1.2.2 Se implementan procesos o mecanismos para apoyar y/o facilitar investigaciones forenses rápidas en caso de un incidente de seguridad sospechado o confirmado para cualquier cliente. |
X | ||||
A1.2.3 Se implementan procesos o mecanismos para reportar y abordar incidentes y vulnerabilidades de seguridad sospechados o confirmados, incluyendo: Los clientes pueden informar de forma segura al proveedor sobre incidentes de seguridad y vulnerabilidades. El proveedor aborda y remedia los incidentes de seguridad y vulnerabilidades sospechados o confirmados de acuerdo con el Requisito 6.3.1. | X |
Fecha | Revisión |
Noviembre de 15, 2023 | Se han suprimido las responsabilidades no pertinentes para las normas PCI DSS 4.0. Responsabilidades reasignadas para mayor precisión. |
Octubre de 18, 2023 | Responsabilidades actualizadas y nuevas responsabilidades añadidas de conformidad con las normas PCI DSS 4.0. |
22 de marzo de 2023 | Se han añadido nuevas responsabilidades de conformidad con las normas PCI DSS 4.0. |