Matriz de responsabilidad del cliente de PCI DSS

Este artículo describe cómo se deben cumplir los requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para utilizar la plataforma Genesys Cloud de manera compatible con PCI. De acuerdo con el requisito 12.8.5, este artículo indica dónde el cliente, Genesys Cloud o ambos tienen la responsabilidad de cumplir con cada requisito de las PCI DSS. Las responsabilidades indicadas en la matriz expandible a continuación no reemplazan ni reemplazan los requisitos de PCI DSS preexistentes que los clientes ya tienen y que se aplican a sus propios sistemas y prácticas. *

* Por ejemplo, en la matriz expandible a continuación, la sección 5 aborda la responsabilidad de proteger todos los sistemas contra el malware y la actualización periódica de software o programas antivirus. Esta sección de la matriz se aplica a los sistemas controlados por Genesys Cloud. Como se muestra en la sección 5.1, Genesys Cloud tiene la responsabilidad de implementar software antivirus en los sistemas controlados por Genesys Cloud. Los clientes no tienen ninguna responsabilidad adicional para implementar software antivirus en los sistemas controlados de Genesys Cloud. Sin embargo, los clientes aún tienen la responsabilidad de implementar software antivirus en sistemas que los controlados por el cliente.

La plataforma Genesys Cloud logró una evaluación PCI DSS como proveedor de servicios de nivel 1 utilizando la versión 3.2 del estándar PCI DSS. La Declaración de cumplimiento se proporcionará a los clientes en virtud de un acuerdo de confidencialidad. Solo las funciones de Genesys Cloud indicadas en el Informe de cumplimiento como certificadas por PCI se pueden utilizar para procesar, transmitir o almacenar información de tarjetas de crédito. Los requisitos de las PCI DSS que se aplican solo a una función determinada de Genesys Cloud se indican en la matriz de responsabilidad. Si un cliente no usa esa función en particular de Genesys Cloud, esos requisitos no se aplican.

La siguiente matriz se aplica a los clientes que utilizan la funcionalidad nativa de Genesys Cloud. Cuando un cliente utiliza un producto de terceros, como aplicaciones del AppFoundry o tecnologías que utilizan el Traiga su propio modelo de servicios tecnológicos, el cliente y el proveedor de servicios externo pueden tener responsabilidades compartidas adicionales. Estas responsabilidades se comparten entre el cliente y el proveedor de servicios externo. El cliente debe consultar con el proveedor de servicios externo sobre el cumplimiento de PCI DSS y las responsabilidades compartidas. Genesys Cloud no comparte ninguna responsabilidad adicional de PCI DSS en esta situación.

Para más información, ver Cumplimiento de PCI DSS.

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
1.1 Establecer e implementar estándares de configuración de enrutadores y firewalls que incluyan lo siguiente: X
1.1.1 Un proceso formal para aprobar y probar todas las conexiones de red y los cambios en las configuraciones del firewall y del enrutador. X
1.1.2 Diagrama de red actual que identifica todas las conexiones entre el entorno de datos del titular de la tarjeta y otras redes, incluidas las redes inalámbricas. X
1.1.3 Diagrama actual que muestra todos los flujos de datos de titulares de tarjetas a través de sistemas y redes. X
1.1.4 Requisitos para un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de la red interna. X
1.1.5 Descripción de grupos, roles y responsabilidades para la gestión de componentes de red. X
1.1.6 Documentación de la justificación comercial y aprobación para el uso de todos los servicios, protocolos y puertos permitidos, incluida la documentación de las características de seguridad implementadas para aquellos protocolos considerados inseguros. X
1.1.7 Requisito de revisar los conjuntos de reglas de firewall y enrutador al menos cada seis meses. X
1.2 Cree configuraciones de firewall y enrutador que restrinjan las conexiones entre redes que no son de confianza y cualquier componente del sistema en el entorno de datos del titular de la tarjeta. X
1.2.1 Restrinja el tráfico entrante y saliente al que sea necesario para el entorno de datos del titular de la tarjeta y, específicamente, rechace el resto del tráfico. X
1.2.2 Asegure y sincronice los archivos de configuración del enrutador. X Genesys Cloud no tiene enrutadores dentro del alcance.
1.2.3 Instale firewalls perimetrales entre todas las redes inalámbricas y el entorno de datos del titular de la tarjeta, y configure estos firewalls para denegar o, si el tráfico es necesario para fines comerciales, permitir solo el tráfico autorizado entre el entorno inalámbrico y el entorno de datos del titular de la tarjeta. X Genesys Cloud no tiene dispositivos inalámbricos dentro del alcance.
1.3 Prohibir el acceso público directo entre Internet y cualquier componente del sistema en el entorno de datos del titular de la tarjeta. X
1.3.1 Implemente una DMZ para limitar el tráfico entrante solo a los componentes del sistema que brindan servicios, protocolos y puertos autorizados de acceso público. X
1.3.2 Limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ. X
1.3.3 Implemente medidas contra la suplantación de identidad para detectar y bloquear la entrada a la red de direcciones IP de origen falsificadas. X
1.3.4 No permita el tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet. X
1.3.5 Permita solo conexiones "establecidas" en la red. X
1.3.6 Coloque los componentes del sistema que almacenan datos de titulares de tarjetas (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean de confianza. X
1.3.7 No revele direcciones IP privadas e información de enrutamiento a terceros no autorizados. X
1.4 Instalar software de firewall personal o una funcionalidad equivalente en cualquier dispositivo informático portátil (incluida la empresa y / o propiedad de los empleados) que se conecta a Internet cuando está fuera de la red (por ejemplo, computadoras portátiles utilizadas por los empleados) y que también se utilizan para acceder al CDE . Las configuraciones de firewall (o equivalentes) incluyen:
  • Se definen ajustes de configuración específicos.
  • El firewall personal (o una funcionalidad equivalente) se está ejecutando activamente.
  • Los usuarios de los dispositivos informáticos portátiles no pueden modificar el firewall personal (o una funcionalidad equivalente).
X
1.5 Asegúrese de que las políticas de seguridad y los procedimientos operativos para administrar firewalls estén documentados, en uso y sean conocidos por todas las partes afectadas. X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
2.1 Siempre cambie los valores predeterminados proporcionados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red. X
2.1.1 Para entornos inalámbricos conectados al entorno de datos del titular de la tarjeta o que transmite datos del titular de la tarjeta, cambie TODOS los valores predeterminados del proveedor inalámbrico en la instalación, incluidas, entre otras, las claves de cifrado inalámbricas predeterminadas, las contraseñas y las cadenas de comunidad SNMP. X Nube de Genesys no tiene dispositivos inalámbricos dentro del alcance.
2.2 Desarrollar estándares de configuración para todos los componentes del sistema. Asegúrese de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y sean consistentes con los estándares de fortalecimiento de sistemas aceptados por la industria. X
2.2.1 Implemente solo una función principal por servidor para evitar que las funciones que requieren diferentes niveles de seguridad coexistan en el mismo servidor. X
2.2.2 Habilite solo los servicios, protocolos, demonios, etc. necesarios para el funcionamiento del sistema. X
2.2.3 Implemente características de seguridad adicionales para cualquier servicio, protocolo o demonio requerido que se considere inseguro. X
2.2.4 Configure los parámetros de seguridad del sistema para evitar un uso indebido. X
2.2.5 Elimine todas las funciones innecesarias, como scripts, controladores, funciones, subsistemas, sistemas de archivos y servidores web innecesarios. X
2.3 Cifre todos los accesos administrativos que no sean de consola mediante una sólida criptografía. X
2.4 Mantenga un inventario de los componentes del sistema que están dentro del alcance de PCI DSS. X
2.5 Asegúrese de que las políticas de seguridad y los procedimientos operativos para administrar los valores predeterminados de los proveedores y otros parámetros de seguridad estén documentados, en uso y sean conocidos por todas las partes afectadas. X
2.6 Los proveedores de alojamiento compartido deben proteger el entorno alojado de cada entidad y los datos del titular de la tarjeta. Estos proveedores deben cumplir con los requisitos específicos que se detallan en el Apéndice A1: Requisitos adicionales de PCI DSS para proveedores de alojamiento compartido. X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
3.1 Mantenga el almacenamiento de datos del titular de la tarjeta al mínimo implementando políticas, procedimientos y procesos de retención y eliminación de datos que incluyan al menos lo siguiente para todo el almacenamiento de datos del titular de la tarjeta (CHD):
  • Limitar la cantidad de almacenamiento de datos y el tiempo de retención a lo requerido por los requisitos legales, reglamentarios y / o comerciales.
  • Requisitos de retención específicos para los datos del titular de la tarjeta
  • Procesos para la eliminación segura de datos cuando ya no se necesitan.
  • Un proceso trimestral para identificar y eliminar de forma segura los datos almacenados del titular de la tarjeta que exceden la retención definida.
X Nube de Genesys no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.2 No almacene datos de autenticación confidenciales después de la autorización (incluso si están cifrados). Si se reciben datos de autenticación confidenciales, haga que todos los datos sean irrecuperables una vez finalizado el proceso de autorización. X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.2.1 No almacene el contenido completo de ninguna pista (desde la banda magnética ubicada en la parte posterior de una tarjeta, datos equivalentes contenidos en un chip o en cualquier otro lugar) después de la autorización. X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.2.2 No guarde el código o valor de verificación de la tarjeta (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago que se utiliza para verificar transacciones sin tarjeta) después de la autorización. X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.2.3 No guarde el número de identificación personal (PIN) o el bloqueo de PIN cifrado después de la autorización. X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.3 Enmascare PAN cuando se muestre (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se mostrarán), de modo que solo el personal con una necesidad comercial legítima pueda ver más de los primeros seis / últimos cuatro dígitos del PAN. X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.4 Haga que PAN sea ilegible en cualquier lugar donde esté almacenado (incluso en medios digitales portátiles, medios de copia de seguridad y en registros) mediante cualquiera de los siguientes enfoques:
  • Hash unidireccional basado en criptografía sólida (el hash debe ser de todo el PAN).
  • Truncamiento (el hash no se puede utilizar para reemplazar el segmento truncado de PAN).
  • Fichas de índice y almohadillas (las almohadillas deben almacenarse de forma segura)
  • Criptografía sólida con procesos y procedimientos de gestión de claves asociados.
X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.4.1 Si se utiliza cifrado de disco (en lugar de cifrado de base de datos a nivel de archivo o columna), el acceso lógico debe administrarse por separado e independientemente de la autenticación del sistema operativo nativo y los mecanismos de control de acceso (por ejemplo, no utilizando bases de datos de cuentas de usuario locales o inicio de sesión de red general cartas credenciales). Las claves de descifrado no deben asociarse con cuentas de usuario. X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.5 Documentar e implementar procedimientos para proteger las claves utilizadas para proteger los datos almacenados del titular de la tarjeta contra la divulgación y el uso indebido. X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
3.5.1 Requisito adicional solo para proveedores de servicios: Mantenga una descripción documentada de la arquitectura criptográfica que incluya:
  • Detalles de todos los algoritmos, protocolos y claves utilizados para la protección de los datos del titular de la tarjeta, incluida la fuerza de la clave y la fecha de vencimiento.
  • Descripción del uso de claves para cada clave.
  • Inventario de los HSM y otros SCD utilizados para la gestión de claves.
X Genesys Cloud no almacena datos de titulares de tarjetas.
3.5.2 Restrinja el acceso a las claves criptográficas a la menor cantidad de custodios necesarios. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.5.3 Almacene las claves secretas y privadas utilizadas para cifrar / descifrar los datos del titular de la tarjeta en uno (o más) de los siguientes formularios en todo momento:
  • Cifrado con una clave de cifrado de clave que es al menos tan fuerte como la clave de cifrado de datos y que se almacena por separado de la clave de cifrado de datos.
  • Dentro de un dispositivo criptográfico seguro (como un módulo de seguridad de hardware (host) (HSM) o un dispositivo de punto de interacción aprobado por PTS).
  • Como al menos dos componentes clave completos o acciones clave, de acuerdo con un método aceptado por la industria.
X Genesys Cloud no almacena datos de titulares de tarjetas.
3.5.4 Almacene las claves criptográficas en la menor cantidad posible de ubicaciones. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6 Documente e implemente por completo todos los procesos y procedimientos de administración de claves para las claves criptográficas utilizadas para el cifrado de los datos del titular de la tarjeta, incluidos los siguientes: X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.1 Generación de claves criptográficas fuertes. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.2 Distribución segura de claves criptográficas. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.3 Almacenamiento seguro de claves criptográficas. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.4 Cambios de clave criptográfica para claves que han llegado al final de su criptoperíodo (por ejemplo, después de que haya pasado un período de tiempo definido y / o después de que una determinada clave haya producido una cierta cantidad de texto cifrado), según lo definido por el proveedor de la aplicación o propietario de la clave, y según las mejores prácticas y pautas de la industria (por ejemplo, Publicación especial NIST 800-57). X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.5 Retiro o reemplazo (por ejemplo, archivo, destrucción y / o revocación) de claves según se considere necesario cuando la integridad de la clave se ha debilitado (por ejemplo, salida de un empleado con conocimiento de un componente de clave de texto claro), o Se sospecha que las claves están comprometidas. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.6 Si se utilizan operaciones manuales de gestión de claves criptográficas de texto sin cifrar, estas operaciones deben gestionarse utilizando conocimiento dividido y control dual. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.7 Prevención de sustitución no autorizada de claves criptográficas. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.6.8 Requisito para que los custodios de claves criptográficas reconozcan formalmente que comprenden y aceptan sus responsabilidades como custodios de claves. X Genesys Cloud no almacena datos de titulares de tarjetas.
3.7 Asegúrese de que las políticas de seguridad y los procedimientos operativos para proteger los datos almacenados del titular de la tarjeta estén documentados, en uso y sean conocidos por todas las partes afectadas. X Genesys Cloud no almacena datos de titulares de tarjetas.

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
4.1 Utilice criptografía y protocolos de seguridad sólidos para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas, incluidas las siguientes:
  • Solo se aceptan claves y certificados de confianza.
  • El protocolo en uso solo admite versiones o configuraciones seguras.
  • La fuerza del cifrado es apropiada para la metodología de cifrado en uso.
X

Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.

4.1.1 Asegúrese de que las redes inalámbricas transmitan datos de titulares de tarjetas o estén conectadas al entorno de datos de titulares de tarjetas, utilice las mejores prácticas de la industria para implementar un cifrado sólido para la autenticación y transmisión. X Nube de Genesys no tiene dispositivos inalámbricos dentro del alcance.
4.2 Nunca envíe PAN sin protección mediante tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, SMS, chat, etc.). X X Chat web, correo electrónico ACD Usos de Genesys Cloud filtrado de información sensible para evitar la transferencia y el almacenamiento de números de tarjetas de crédito en nuestros servidores.
4.3 Asegúrese de que las políticas de seguridad y los procedimientos operativos para cifrar las transmisiones de los datos del titular de la tarjeta estén documentados, en uso y sean conocidos por todas las partes afectadas. X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
5.1 Implemente software antivirus en todos los sistemas comúnmente afectados por software malintencionado (en particular, computadoras personales y servidores). X
5.1.1 Asegúrese de que los programas antivirus sean capaces de detectar, eliminar y proteger contra todos los tipos conocidos de software malintencionado. X
5.1.2 Para los sistemas que no se consideren comúnmente afectados por software malicioso, realice evaluaciones periódicas para identificar y evaluar las amenazas de malware en evolución a fin de confirmar si dichos sistemas continúan sin requerir software antivirus. X
5.2 Asegúrese de que todos los mecanismos antivirus se mantengan de la siguiente manera:
  • Se mantienen actualizados.
  • Realice exploraciones periódicas.
  • Genere registros de auditoría que se conservan según el requisito 10.7 de las PCI DSS.
X
5.3 Asegúrese de que los mecanismos antivirus se estén ejecutando activamente y los usuarios no puedan deshabilitarlos ni modificarlos, a menos que la administración lo autorice específicamente según el caso y durante un período de tiempo limitado. X
5.4 Asegúrese de que las políticas de seguridad y los procedimientos operativos para proteger los sistemas contra el malware estén documentados, en uso y sean conocidos por todas las partes afectadas. X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
6.1 Establezca un proceso para identificar vulnerabilidades de seguridad, utilizando fuentes externas acreditadas para obtener información sobre vulnerabilidades de seguridad, y asigne una clasificación de riesgo (por ejemplo, como "alto", "medio" o "bajo") a las vulnerabilidades de seguridad recién descubiertas. X
6.2 Asegúrese de que todos los componentes del sistema y el software estén protegidos contra vulnerabilidades conocidas mediante la instalación de los parches de seguridad correspondientes proporcionados por el proveedor. Instale parches de seguridad críticos dentro de un mes de su lanzamiento. X
6.3 Desarrolle aplicaciones de software internas y externas (incluido el acceso administrativo a las aplicaciones basado en la web) de forma segura, de la siguiente manera:
  • De acuerdo con PCI DSS (por ejemplo, autenticación y registro seguros).
  • Basado en estándares de la industria y / o mejores prácticas.
  • Incorporación de la seguridad de la información a lo largo del ciclo de vida del desarrollo de software.
X
6.3.1 Elimine cuentas de aplicaciones personalizadas, de prueba o de desarrollo, ID de usuario y contraseñas antes de que las aplicaciones se activen o se lancen a los clientes. X
6.3.2 Revise el código personalizado antes de lanzarlo a producción o clientes para identificar cualquier vulnerabilidad de codificación potencial (utilizando procesos manuales o automatizados) para incluir al menos lo siguiente:
  • Los cambios de código son revisados por personas distintas del autor del código de origen y por personas con conocimientos sobre las técnicas de revisión de código y las prácticas de codificación segura.
  • Las revisiones de código garantizan que el código se desarrolle de acuerdo con las pautas de codificación segura.
  • Las correcciones apropiadas se implementan antes de la publicación.
  • Los resultados de la revisión del código son revisados y aprobados por la gerencia antes de su publicación.
X
6.4 Siga los procesos y procedimientos de control de cambios para todos los cambios en los componentes del sistema. Los procesos deben incluir lo siguiente: X
6.4.1 Separe los entornos de desarrollo / prueba de los entornos de producción y refuerce la separación con controles de acceso. X
6.4.2 Separación de funciones entre los entornos de desarrollo / prueba y producción. X
6.4.3 Los datos de producción (PAN en vivo) no se utilizan para pruebas o desarrollo. X
6.4.4 Eliminación de cuentas y datos de prueba de los componentes del sistema antes de que el sistema se active o entre en producción. X
6.4.5 Los procedimientos de control de cambios deben incluir lo siguiente: X
6.4.5.1 Documentación de impacto. X
6.4.5.2 Aprobación de cambios documentada por partes autorizadas. X
6.4.5.3 Pruebas de funcionalidad para verificar que el cambio no afecte negativamente a la seguridad del sistema. X
6.4.5.4 Procedimientos de retroceso. X
6.4.6 Al completar un cambio significativo, todos los requisitos de PCI DSS relevantes deben implementarse en todos los sistemas y redes nuevos o modificados, y la documentación debe actualizarse según corresponda. X
6.5 Aborde las vulnerabilidades de codificación comunes en los procesos de desarrollo de software de la siguiente manera:
  • Capacite a los desarrolladores al menos una vez al año en técnicas de codificación segura actualizadas, incluida la forma de evitar vulnerabilidades de codificación comunes.
  • Desarrolle aplicaciones basadas en pautas de codificación segura.
X
6.5.1 Defectos de inyección, particularmente inyección SQL. También considere las fallas de inyección de OS Command Injection, LDAP y XPath, así como otras fallas de inyección. X
6.5.2 El búfer se desborda. X
6.5.3 Almacenamiento criptográfico inseguro. X
6.5.4 Comunicaciones inseguras. X
6.5.5 Manejo inadecuado de errores. X
6.5.6 Todas las vulnerabilidades de “alto riesgo” identificadas en el proceso de identificación de vulnerabilidades (como se define en el Requisito 6.1 de las PCI DSS). X
6.5.7 Secuencias de comandos entre sitios (XSS). X
6.5.8 Control de acceso inadecuado (como referencias de objetos directos inseguros, no restringir el acceso a la URL, cruce de directorios y no restringir el acceso de los usuarios a las funciones). X
6.5.9 Falsificación de solicitudes entre sitios (CSRF). X
6.5.10 Autenticación y gestión de sesiones rotas. X

6.6 Para las aplicaciones web de cara al público, aborde las nuevas amenazas y vulnerabilidades de forma continua y asegúrese de que estas aplicaciones estén protegidas contra ataques conocidos mediante cualquiera de los siguientes métodos:

  • Revisar las aplicaciones web de cara al público a través de herramientas o métodos de evaluación de seguridad de vulnerabilidades de aplicaciones manuales o automatizados, al menos una vez al año y después de cualquier cambio.
  • Instalar una solución técnica automatizada que detecte y evite los ataques basados en la web (por ejemplo, un firewall de aplicaciones web) frente a las aplicaciones web de cara al público, para verificar continuamente todo el tráfico.
X

6.7 Asegúrese de que las políticas de seguridad y los procedimientos operativos para desarrollar y mantener sistemas y aplicaciones seguros estén documentados, en uso y sean conocidos por todas las partes afectadas.

X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
7.1 Limite el acceso a los componentes del sistema y a los datos del titular de la tarjeta solo a aquellas personas cuyo trabajo requiera dicho acceso. X X Nube de Genesys Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
7.1.1 Defina las necesidades de acceso para cada función, que incluyen:
  • Componentes del sistema y recursos de datos a los que cada rol necesita acceder para su función laboral.
  • Nivel de privilegio requerido (por ejemplo, usuario, administrador, etc.) para acceder a los recursos.
X X Nube de Genesys
7.1.2 Restrinja el acceso a las ID de usuario privilegiadas a los privilegios mínimos necesarios para realizar las responsabilidades laborales. X X Nube de Genesys
7.1.3 Asigne el acceso según la clasificación y función del trabajo del personal individual. X X Nube de Genesys
7.1.4 Requerir la aprobación documentada de las partes autorizadas que especifiquen los privilegios requeridos. X X Nube de Genesys
7.2 Establecer un sistema (s) de control de acceso para los componentes del sistema que restrinja el acceso según la necesidad de conocimiento del usuario, y que esté configurado para "denegar todo" a menos que se permita específicamente.
Este sistema de control de acceso debe incluir lo siguiente:
X
7.2.1 Cobertura de todos los componentes del sistema. X
7.2.2 Asignación de privilegios a personas según la clasificación y función del trabajo. X
7.2.3 Configuración predeterminada "denegar todo". X
7.3 Asegúrese de que las políticas de seguridad y los procedimientos operativos para restringir el acceso a los datos del titular de la tarjeta estén documentados, en uso y sean conocidos por todas las partes afectadas. X X Nube de Genesys

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
8.1 Defina e implemente políticas y procedimientos para garantizar una gestión adecuada de la identificación de usuarios para los usuarios y administradores que no son consumidores en todos los componentes del sistema de la siguiente manera: X X Nube de Genesys
8.1.1 Asigne a todos los usuarios una identificación única antes de permitirles acceder a los componentes del sistema o los datos del titular de la tarjeta. X X Nube de Genesys
8.1.2 Controle la adición, eliminación y modificación de ID de usuario, credenciales y otros objetos identificadores. X X Nube de Genesys
8.1.3 Revoque de inmediato el acceso de los usuarios terminados. X X Nube de Genesys
8.1.4 Elimine / deshabilite las cuentas de usuario inactivas dentro de los 90 días. X X Nube de Genesys
8.1.5 Administre las identificaciones utilizadas por terceros para acceder, respaldar o mantener los componentes del sistema a través del acceso remoto de la siguiente manera:
  • Habilitado solo durante el período de tiempo necesario y deshabilitado cuando no está en uso.
  • Monitoreado cuando está en uso.
X X Nube de Genesys
8.1.6 Limite los intentos de acceso repetidos bloqueando la ID de usuario después de no más de seis intentos. X X Nube de Genesys
8.1.7 Establezca la duración del bloqueo en un mínimo de 30 minutos o hasta que un administrador habilite la ID de usuario. X X Nube de Genesys
8.1.8 Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario que se vuelva a autenticar para reactivar el terminal o la sesión. X X Nube de Genesys
8.2 Además de asignar una identificación única, garantice una gestión adecuada de la autenticación de usuarios para los usuarios y administradores que no son consumidores en todos los componentes del sistema mediante el empleo de al menos uno de los siguientes métodos para autenticar a todos los usuarios:
  • Algo que sepa, como una contraseña o una frase de contraseña.
  • Algo que tenga, como un dispositivo token o una tarjeta inteligente.
  • Algo que eres, como un biométrico.
X
8.2.1 Usando criptografía fuerte, haga que todas las credenciales de autenticación (como contraseñas / frases) sean ilegibles durante la transmisión y el almacenamiento en todos los componentes del sistema. X
8.2.2 Verifique la identidad del usuario antes de modificar cualquier credencial de autenticación, por ejemplo, restablecer contraseñas, aprovisionar nuevos tokens o generar nuevas claves. X X Nube de Genesys

8.2.3 Las contraseñas / frases de contraseña deben cumplir con lo siguiente:

  • Requiere una longitud mínima de al menos siete caracteres.
  • Contienen caracteres numéricos y alfabéticos.

Alternativamente, las contraseñas / frases de contraseña deben tener una complejidad y solidez al menos equivalentes a los parámetros especificados anteriormente.

X X Nube de Genesys
8.2.4 Cambie las contraseñas / frases de usuario al menos una vez cada 90 días. X X Nube de Genesys
8.2.5 No permita que una persona envíe una nueva contraseña / frase de contraseña que sea igual a cualquiera de las últimas cuatro contraseñas / frases de contraseña que haya utilizado. X X Nube de Genesys
8.2.6 Establezca contraseñas / frases de contraseña para el primer uso y al restablecerlas a un valor único para cada usuario, y cámbielas inmediatamente después del primer uso. X X Nube de Genesys
8.3 Asegure todos los accesos administrativos individuales que no sean de consola y todos los accesos remotos al CDE mediante la autenticación de múltiples factores. X
8.3.1 Incorpore la autenticación de múltiples factores para todos los accesos que no sean de consola en el CDE para el personal con acceso administrativo. X
8.3.2 Incorporar autenticación multifactor para todos los accesos remotos a la red (tanto de usuario como de administrador, incluido el acceso de terceros para soporte o mantenimiento) que se origine desde fuera de la red de la entidad. X

8.4 Documentar y comunicar las políticas y los procedimientos de autenticación a todos los usuarios, incluidos:

  • Orientación sobre la selección de credenciales de autenticación sólidas.
  • Orientación sobre cómo los usuarios deben proteger sus credenciales de autenticación.
  • Instrucciones para no reutilizar contraseñas utilizadas anteriormente.
  • Instrucciones para cambiar contraseñas si existe alguna sospecha de que la contraseña podría estar comprometida.
X X Nube de Genesys

8.5 No utilice identificaciones, contraseñas u otros métodos de autenticación de grupo, compartidos o genéricos de la siguiente manera:

  • Los ID de usuario genéricos están deshabilitados o eliminados.
  • No existen ID de usuario compartidos para la administración del sistema y otras funciones críticas.
  • Las ID de usuario compartidas y genéricas no se utilizan para administrar ningún componente del sistema.
X X Nube de Genesys
8.5.1 Requisito adicional solo para proveedores de servicios: Los proveedores de servicios con acceso remoto a las instalaciones del cliente (por ejemplo, para soporte de sistemas POS o servidores) deben usar una credencial de autenticación única (como una contraseña / frase) para cada cliente. X Nube de Genesys no tiene acceso remoto a las instalaciones del cliente.

8.6 Cuando se utilicen otros mecanismos de autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), el uso de estos mecanismos debe asignarse de la siguiente manera:

  • Los mecanismos de autenticación deben asignarse a una cuenta individual y no compartirse entre varias cuentas.
  • Deben existir controles físicos y / o lógicos para garantizar que solo la cuenta prevista pueda utilizar ese mecanismo para obtener acceso.
X

8.7 Todo acceso a cualquier base de datos que contenga datos de titulares de tarjetas (incluido el acceso de aplicaciones, administradores y todos los demás usuarios) está restringido de la siguiente manera:

  • Todo el acceso de los usuarios, las consultas de los usuarios y las acciones de los usuarios en las bases de datos se realizan a través de métodos programáticos.
  • Solo los administradores de bases de datos tienen la capacidad de acceder directamente o consultar bases de datos.
  • Los ID de aplicación para aplicaciones de base de datos solo pueden ser utilizados por las aplicaciones (y no por usuarios individuales u otros procesos que no sean de aplicación).
X Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.
8.8 Asegúrese de que las políticas de seguridad y los procedimientos operativos para la identificación y autenticación estén documentados, en uso y sean conocidos por todas las partes afectadas. X X Nube de Genesys

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
9.1 Utilice controles de entrada de instalaciones adecuados para limitar y supervisar el acceso físico a los sistemas en el entorno de datos del titular de la tarjeta. X Las oficinas de Genesys no están incluidas en el alcance.
9.1.1 Use cámaras de video o mecanismos de control de acceso (o ambos) para monitorear el acceso físico individual a áreas sensibles. Revise los datos recopilados y correlacione con otras entradas. Almacene durante al menos tres meses, a menos que la ley lo prohíba. X Genesys las oficinas no están dentro del alcance.
9.1.2 Implemente controles físicos y / o lógicos para restringir el acceso a las tomas de red de acceso público. X Oficinas de Genesys no están dentro del alcance.
9.1.3 Restrinja el acceso físico a puntos de acceso inalámbricos, puertas de enlace, dispositivos portátiles, hardware de redes / comunicaciones y líneas de telecomunicaciones. X Oficinas de Genesys no están dentro del alcance.
9.2 Desarrolle procedimientos para distinguir fácilmente entre el personal en el sitio y los visitantes, para incluir:
  • Identificar al personal y visitantes en el sitio (por ejemplo, asignar insignias).
  • Cambios en los requisitos de acceso.
  • Revocación o despido del personal en el sitio e identificación de visitante vencida (como tarjetas de identificación).
X Oficinas de Genesys no están dentro del alcance.
9.3 Controle el acceso físico del personal en el sitio a las áreas sensibles de la siguiente manera:
  • El acceso debe estar autorizado y basarse en la función laboral individual.
  • El acceso se revoca inmediatamente después de la terminación y todos los mecanismos de acceso físico, como llaves, tarjetas de acceso, etc., se devuelven o desactivan.
X Oficinas de Genesys no están dentro del alcance.
9.4 Implementar procedimientos para identificar y autorizar visitantes.
Los procedimientos deben incluir lo siguiente:
X Oficinas de Genesys no están dentro del alcance.
9.4.1 Los visitantes están autorizados antes de ingresar y son acompañados en todo momento dentro de las áreas donde se procesan o mantienen los datos del titular de la tarjeta. X Oficinas de Genesys no están dentro del alcance.
9.4.2 Los visitantes son identificados y se les da una insignia u otra identificación que expira y que los distingue visiblemente del personal en el sitio. X Oficinas de Genesys no están dentro del alcance.
9.4.3 Se les pide a los visitantes que entreguen el gafete o identificación antes de salir de la instalación o en la fecha de vencimiento. X Oficinas de Genesys no están dentro del alcance.

9.4.4 Se utiliza un registro de visitantes para mantener un registro de auditoría físico de la actividad de los visitantes en las instalaciones, así como en las salas de computadoras y los centros de datos donde se almacenan o transmiten los datos de los titulares de tarjetas.

Documente el nombre del visitante, la empresa representada y el personal en el sitio que autoriza el acceso físico en el registro.

Conserve este registro durante un mínimo de tres meses, a menos que la ley lo prohíba.

X Oficinas de Genesys no están dentro del alcance. es más Genesys no almacena datos de titulares de tarjetas.
9.5 Asegure físicamente todos los medios. X Oficinas de Genesys no están dentro del alcance. es más Genesys no almacena datos de titulares de tarjetas.
9.5.1 Almacene las copias de seguridad de los medios en un lugar seguro, preferiblemente una instalación fuera del sitio, como un sitio alternativo o de copia de seguridad, o una instalación de almacenamiento comercial. Revise la seguridad de la ubicación al menos una vez al año. X Oficinas de Genesys no están dentro del alcance.
9.6 Mantener un estricto control sobre la distribución interna o externa de cualquier tipo de medio, incluidos los siguientes: X Oficinas de Genesys no están dentro del alcance.
9.6.1 Clasifique los medios para poder determinar la sensibilidad de los datos. X Oficinas de Genesys no están dentro del alcance.
9.6.2 Envíe los medios por mensajería segura u otro método de entrega que pueda rastrearse con precisión. X Oficinas de Genesys no están dentro del alcance.
9.6.3 Asegúrese de que la administración apruebe todos y cada uno de los medios que se mueven desde un área segura (incluso cuando los medios se distribuyen a personas). X Oficinas de Genesys no están dentro del alcance.
9.7 Mantenga un control estricto sobre el almacenamiento y la accesibilidad de los medios. X Oficinas de Genesys no están dentro del alcance.
9.7.1 Mantenga adecuadamente los registros de inventario de todos los medios y realice inventarios de medios al menos una vez al año. X Oficinas de Genesys no están dentro del alcance.
9.8 Destruya los medios cuando ya no sean necesarios por motivos comerciales o legales de la siguiente manera: X Oficinas de Genesys no están dentro del alcance.
9.8.1 Triture, incinere o pulpe los materiales impresos para que los datos del titular de la tarjeta no se puedan reconstruir. Contenedores de almacenamiento seguros que se utilizan para los materiales que se van a destruir. X Oficinas de Genesys no están dentro del alcance.
9.8.2 Haga que los datos del titular de la tarjeta en medios electrónicos sean irrecuperables para que los datos del titular de la tarjeta no se puedan reconstruir. X Oficinas de Genesys no están dentro del alcance.
9.9 Proteja los dispositivos que capturan datos de tarjetas de pago a través de la interacción física directa con la tarjeta contra alteraciones y sustituciones. X Nube de Genesys no utiliza dispositivos con tarjeta presente.

9.9.1 Mantenga una lista actualizada de dispositivos. La lista debe incluir lo siguiente:

  • Marca, modelo de dispositivo.
  • Ubicación del dispositivo (por ejemplo, la dirección del sitio o instalación donde se encuentra el dispositivo).
  • Número de serie del dispositivo u otro método de identificación única.
X Nube de Genesys no utiliza dispositivos con tarjeta presente.
9.9.2 Inspeccione periódicamente las superficies del dispositivo para detectar alteraciones (por ejemplo, adición de skimmers de tarjetas a los dispositivos) o sustitución (por ejemplo, verificando el número de serie u otras características del dispositivo para verificar que no se haya intercambiado con un dispositivo fraudulento). X Nube de Genesys no utiliza dispositivos con tarjeta presente.

9.9.3 Brinde capacitación para que el personal esté al tanto de intentos de alteración o reemplazo de dispositivos. La capacitación debe incluir lo siguiente:

  • Verifique la identidad de cualquier tercero que afirme ser personal de reparación o mantenimiento, antes de otorgarles acceso para modificar o solucionar problemas de dispositivos.
  • No instale, reemplace ni devuelva dispositivos sin verificación.
  • Tenga en cuenta el comportamiento sospechoso alrededor de los dispositivos (por ejemplo, intentos de personas desconocidas de desenchufar o abrir dispositivos).
  • Informe el comportamiento sospechoso y los indicios de manipulación o sustitución del dispositivo al personal apropiado (por ejemplo, a un gerente o un oficial de seguridad).
X Nube de Genesys no utiliza dispositivos con tarjeta presente.
9.10 Asegúrese de que las políticas de seguridad y los procedimientos operativos para restringir el acceso físico a los datos del titular de la tarjeta estén documentados, en uso y sean conocidos por todas las partes afectadas. X X Genesys las oficinas no están dentro del alcance. Además, Genesys Cloud no almacena datos de titulares de tarjetas.

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
10.1 Implemente pistas de auditoría para vincular todo el acceso a los componentes del sistema a cada usuario individual. X
10.2 Implemente pistas de auditoría automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos: X
10.2.1 Todos los usuarios individuales acceden a los datos del titular de la tarjeta. X
10.2.2 Todas las acciones realizadas por cualquier persona con privilegios de administrador o root. X
10.2.3 Acceso a todas las pistas de auditoría. X
10.2.4 Intentos de acceso lógico no válidos. X
10.2.5 Uso y cambios en los mecanismos de identificación y autenticación, que incluyen, entre otros, la creación de nuevas cuentas y la elevación de privilegios, y todos los cambios, adiciones o eliminaciones de cuentas con privilegios de administrador o raíz. X
10.2.6 Inicialización, detención o pausa de los registros de auditoría. X
10.2.7 Creación y eliminación de objetos a nivel de sistema. X
10.3 Registre al menos las siguientes entradas de seguimiento de auditoría para todos los componentes del sistema para cada evento: X
10.3.1 Identificación de usuario. X
10.3.2 Tipo de evento. X
10.3.3 Fecha y hora. X
10.3.4 Indicación de éxito o fracaso. X
10.3.5 Origen del evento. X
10.3.6 Identidad o nombre de los datos, componentes del sistema o recursos afectados. X
10.4 Usando tecnología de sincronización de tiempo, sincronice todos los relojes y horas críticos del sistema y asegúrese de que se implemente lo siguiente para adquirir, distribuir y almacenar el tiempo. X
10.4.1 Los sistemas críticos tienen el tiempo correcto y consistente. X
10.4.2 Los datos de tiempo están protegidos. X
10.4.3 Los ajustes de hora se reciben de fuentes de hora aceptadas por la industria. X
10.5 Asegure las pistas de auditoría para que no se puedan modificar. X
10.5.1 Limite la visualización de pistas de auditoría a aquellos con una necesidad relacionada con el trabajo. X
10.5.2 Proteja los archivos de seguimiento de auditoría de modificaciones no autorizadas. X
10.5.3 Realice rápidamente una copia de seguridad de los archivos de seguimiento de auditoría en un servidor de registro centralizado o en un medio que sea difícil de modificar. X
10.5.4 Escriba registros para tecnologías externas en un dispositivo de medios o servidor de registro interno seguro y centralizado. X
10.5.5 Utilice software de detección de cambios o monitoreo de integridad de archivos en los registros para asegurarse de que los datos de registros existentes no se puedan cambiar sin generar alertas (aunque los datos nuevos que se agregan no deben generar una alerta). X
10.6 Revise los registros y los eventos de seguridad de todos los componentes del sistema para identificar anomalías o actividades sospechosas. X
10.6.1 Revise lo siguiente al menos a diario:
  • Todos los eventos de seguridad.
  • Registros de todos los componentes del sistema que almacenan, procesan o transmiten CHD y / o SAD.
  • Registros de todos los componentes críticos del sistema.
  • Registros de todos los servidores y componentes del sistema que realizan funciones de seguridad (por ejemplo, firewalls, sistemas de detección de intrusiones / sistemas de prevención de intrusiones (IDS / IPS), servidores de autenticación, servidores de redireccionamiento de comercio electrónico, etc.).
X
10.6.2 Revise los registros de todos los demás componentes del sistema periódicamente según las políticas de la organización y la estrategia de gestión de riesgos, según lo determine la evaluación anual de riesgos de la organización. X
10.6.3 Haga un seguimiento de las excepciones y anomalías identificadas durante el proceso de revisión. X
10.7 Conserve el historial de seguimiento de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para el análisis (por ejemplo, en línea, archivado o restaurable desde una copia de seguridad). X
10.8 Requisito adicional solo para proveedores de servicios: Implementar un proceso para la detección y notificación oportunas de fallas de los sistemas de control de seguridad críticos, que incluyen, entre otros, fallas de:
  • Cortafuegos
  • IDS / IPS
  • FIM
  • Antivirus
  • Controles de acceso físico
  • Controles de acceso lógico
  • Mecanismos de registro de auditoría
  • Controles de segmentación (si se utilizan)
X
10.8.1 Requisito adicional solo para proveedores de servicios: Responda a las fallas de cualquier control de seguridad crítico de manera oportuna. Los procesos para responder a fallas en los controles de seguridad deben incluir:
  • Restauración de funciones de seguridad.
  • Identificar y documentar la duración (fecha y hora de inicio a fin) de la falla de seguridad.
  • Identificar y documentar la (s) causa (s) de falla, incluida la causa raíz, y documentar la reparación necesaria para abordar la causa raíz.
  • Identificar y abordar cualquier problema de seguridad que surgió durante la falla.
  • Realizar una evaluación de riesgos para determinar si se requieren más acciones como resultado de la falla de seguridad.
  • Implementar controles para evitar que la causa de la falla vuelva a ocurrir.
  • Reanudación del seguimiento de los controles de seguridad.
X
10.9 Asegúrese de que las políticas de seguridad y los procedimientos operativos para monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta estén documentados, en uso y sean conocidos por todas las partes afectadas. X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
11.1 Implementar procesos para probar la presencia de puntos de acceso inalámbricos (802.11) y detectar e identificar todos los puntos de acceso inalámbricos autorizados y no autorizados trimestralmente. X Nube de Genesys no tiene dispositivos inalámbricos dentro del alcance.
11.1.1 Mantenga un inventario de los puntos de acceso inalámbricos autorizados, incluida una justificación comercial documentada. X Nube de Genesys no tiene dispositivos inalámbricos dentro del alcance.
11.1.2 Implemente procedimientos de respuesta a incidentes en caso de que se detecten puntos de acceso inalámbrico no autorizados. X Nube de Genesys no tiene dispositivos inalámbricos dentro del alcance.
11.2 Ejecute escaneos de vulnerabilidades de red internas y externas al menos trimestralmente y después de cualquier cambio significativo en la red (como nuevas instalaciones de componentes del sistema, cambios en la topología de la red, modificaciones de las reglas de firewall, actualizaciones de productos). X X Pausa segura Los clientes deben realizar análisis de vulnerabilidades y pruebas de penetración de los dispositivos Edge en el sitio.
11.2.1 Realice análisis trimestrales de vulnerabilidades internas. Aborde las vulnerabilidades y realice nuevas exploraciones para verificar que todas las vulnerabilidades de “alto riesgo” se resuelvan de acuerdo con la clasificación de vulnerabilidades de la entidad (según el Requisito 6.1). Los escaneos deben ser realizados por personal calificado. X X Pausa segura Los clientes deben realizar análisis de vulnerabilidades y pruebas de penetración de los dispositivos Edge en el sitio.
11.2.2 Realice escaneos externos de vulnerabilidades trimestrales, a través de un proveedor de escaneo aprobado (ASV) aprobado por el Consejo de estándares de seguridad de la industria de tarjetas de pago (PCI SSC). Realice nuevas exploraciones según sea necesario, hasta que se logre pasar las exploraciones. X
11.2.3 Realice escaneos internos y externos, y vuelva a escanear según sea necesario, después de cualquier cambio significativo. Los escaneos deben ser realizados por personal calificado. X X Pausa segura Los clientes deben realizar análisis de vulnerabilidades y pruebas de penetración de los dispositivos Edge en el sitio.
11.3 Implementar una metodología para las pruebas de penetración que incluya lo siguiente:
  • Se basa en enfoques de pruebas de penetración aceptados por la industria (por ejemplo, NIST SP800-115).
  • Incluye cobertura para todo el perímetro de CDE y sistemas críticos.
  • Incluye pruebas tanto dentro como fuera de la red.
  • Incluye pruebas para validar cualquier control de segmentación y reducción de alcance.
  • Define las pruebas de penetración de la capa de aplicación para incluir, como mínimo, las vulnerabilidades enumeradas en el Requisito 6.5.
  • Define las pruebas de penetración de la capa de red para incluir componentes que admiten funciones de red y sistemas operativos.
  • Incluye revisión y consideración de amenazas y vulnerabilidades experimentadas en los últimos 12 meses.
  • Especifica la retención de los resultados de las pruebas de penetración y los resultados de las actividades de remediación.
X
11.3.1 Realice pruebas de penetración externas al menos una vez al año y después de cualquier actualización o modificación significativa de la infraestructura o aplicación (como una actualización del sistema operativo, una subred agregada al entorno o un servidor web agregado al entorno). X X Pausa segura Los clientes deben realizar análisis de vulnerabilidades y pruebas de penetración de los dispositivos Edge en el sitio.
11.3.2 Realice pruebas de penetración internas al menos una vez al año y después de cualquier actualización o modificación significativa de la infraestructura o aplicación (como una actualización del sistema operativo, una subred agregada al entorno o un servidor web agregado al entorno). X X Pausa segura Los clientes deben realizar análisis de vulnerabilidades y pruebas de penetración de los dispositivos Edge en el sitio.
11.3.3 Las vulnerabilidades explotables encontradas durante las pruebas de penetración se corrigen y las pruebas se repiten para verificar las correcciones. X
11.3.4 Si se utiliza la segmentación para aislar el CDE de otras redes, realice pruebas de penetración al menos una vez al año y después de cualquier cambio en los controles / métodos de segmentación para verificar que los métodos de segmentación sean operativos y efectivos, y aislar todos los sistemas fuera del alcance de los sistemas en el CDE. X X Pausa segura Los clientes deben realizar análisis de vulnerabilidades y pruebas de penetración de los dispositivos Edge en el sitio.
11.3.4.1 Requisito adicional solo para proveedores de servicios: Si se utiliza la segmentación, confirme el alcance de las PCI DSS realizando pruebas de penetración en los controles de segmentación al menos cada seis meses y después de cualquier cambio en los controles / métodos de segmentación. X

11.4 Utilice técnicas de detección y / o prevención de intrusiones para detectar y / o prevenir intrusiones en la red. Supervise todo el tráfico en el perímetro del entorno de datos de titulares de tarjetas, así como en puntos críticos en el entorno de datos de titulares de tarjetas, y avise al personal sobre posibles riesgos.

Mantenga actualizados todos los motores de detección y prevención de intrusiones, líneas de base y firmas.

X
11.5 Implementar un mecanismo de detección de cambios (por ejemplo, herramientas de monitoreo de integridad de archivos) para alertar al personal sobre modificaciones no autorizadas (incluidos cambios, adiciones y eliminaciones) de archivos críticos del sistema, archivos de configuración o archivos de contenido; y configurar el software para realizar comparaciones de archivos críticos al menos semanalmente. X
11.5.1 Implemente un proceso para responder a las alertas generadas por la solución de detección de cambios. X
11.6 Asegúrese de que las políticas de seguridad y los procedimientos operativos para el monitoreo y las pruebas de seguridad estén documentados, en uso y sean conocidos por todas las partes afectadas. X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
12.1 Establecer, publicar, mantener y difundir una política de seguridad. X
12.1.1 Revise la política de seguridad al menos una vez al año y actualice la política cuando cambie el entorno. X
12.2 Implementar un proceso de evaluación de riesgos que:
  • Se realiza al menos una vez al año y ante cambios significativos en el entorno (por ejemplo, adquisición, fusión, reubicación, etc.).
  • Identifica activos críticos, amenazas y vulnerabilidades, y
  • Da como resultado un análisis de riesgo formal y documentado.
X
12.3 Desarrollar políticas de uso para tecnologías críticas y definir el uso adecuado de estas tecnologías. X
12.3.1 Aprobación explícita de las partes autorizadas. X
12.3.2 Autenticación para el uso de la tecnología. X
12.3.3 Una lista de todos estos dispositivos y personal con acceso. X
12.3.4 Un método para determinar con precisión y facilidad el propietario, la información de contacto y el propósito (por ejemplo, etiquetado, codificación y / o inventario de dispositivos). X
12.3.5 Usos aceptables de la tecnología. X
12.3.6 Ubicaciones de red aceptables para las tecnologías. X
12.3.7 Lista de productos aprobados por la empresa. X
12.3.8 Desconexión automática de sesiones para tecnologías de acceso remoto después de un período específico de inactividad. X
12.3.9 Activación de tecnologías de acceso remoto para proveedores y socios comerciales solo cuando los proveedores y socios comerciales lo necesiten, con desactivación inmediata después de su uso. X

12.3.10 Para el personal que accede a los datos de los titulares de tarjetas a través de tecnologías de acceso remoto, prohíba copiar, mover y almacenar los datos de los titulares de tarjetas en discos duros locales y medios electrónicos extraíbles, a menos que se autorice explícitamente para una necesidad comercial definida.

Cuando exista una necesidad comercial autorizada, las políticas de uso deben requerir que los datos estén protegidos de acuerdo con todos los Requisitos de las PCI DSS aplicables.

X
12.4 Asegúrese de que la política y los procedimientos de seguridad definan claramente las responsabilidades de seguridad de la información para todo el personal. X

12.4.1 Requisito adicional solo para proveedores de servicios: La dirección ejecutiva deberá establecer la responsabilidad de la protección de los datos de los titulares de tarjetas y un programa de cumplimiento de PCI DSS que incluya:

  • Responsabilidad general para mantener el cumplimiento de PCI DSS.
  • Definición de un estatuto para un programa de cumplimiento de PCI DSS y comunicación a la gerencia ejecutiva.
X
12.5 Asigne a una persona o equipo las siguientes responsabilidades de gestión de la seguridad de la información: X
12.5.1 Establecer, documentar y distribuir políticas y procedimientos de seguridad. X
12.5.2 Supervise y analice las alertas e información de seguridad y distribúyalas al personal apropiado. X
12.5.3 Establezca, documente y distribuya procedimientos de escalamiento y respuesta a incidentes de seguridad para garantizar un manejo oportuno y eficaz de todas las situaciones. X
12.5.4 Administrar cuentas de usuario, incluidas adiciones, eliminaciones y modificaciones. X
12.5.5 Supervise y controle todo el acceso a los datos. X
12.6 Implementar un programa formal de concientización sobre seguridad para que todo el personal esté al tanto de la política y los procedimientos de seguridad de los datos del titular de la tarjeta. X
12.6.1 Educar al personal al momento de la contratación y al menos una vez al año. X
12.6.2 Exigir al personal que reconozca al menos una vez al año que ha leído y comprendido la política y los procedimientos de seguridad. X
12.7 Examine al personal potencial antes de contratarlo para minimizar el riesgo de ataques de fuentes internas. (Los ejemplos de verificaciones de antecedentes incluyen antecedentes laborales previos, antecedentes penales, historial crediticio y verificación de referencias). X
12.8 Mantener e implementar políticas y procedimientos para administrar los proveedores de servicios con los que se comparten los datos del titular de la tarjeta o que podrían afectar la seguridad de los datos del titular de la tarjeta, de la siguiente manera: X
12.8.1 Mantenga una lista de proveedores de servicios que incluya una descripción del servicio prestado. X
12.8.2 Mantener un acuerdo por escrito que incluya un reconocimiento de que los proveedores de servicios son responsables de la seguridad de los datos de titulares de tarjetas que los proveedores de servicios poseen o almacenan, procesan o transmiten en nombre del cliente, o en la medida en que puedan afectar la seguridad del cliente. entorno de datos del titular de la tarjeta. X
12.8.3 Asegúrese de que haya un proceso establecido para involucrar a los proveedores de servicios, incluida la debida diligencia antes de la participación. X
12.8.4 Mantener un programa para monitorear el estado de cumplimiento de PCI DSS de los proveedores de servicios al menos una vez al año. X
12.8.5 Mantener información sobre qué requisitos de las PCI DSS gestiona cada proveedor de servicios y cuáles gestiona la entidad. X
12.9 Requisito adicional solo para proveedores de servicios: Los proveedores de servicios reconocen por escrito a los clientes que son responsables de la seguridad de los datos del titular de la tarjeta que el proveedor del servicio posee o almacena, procesa o transmite de otro modo en nombre del cliente, o en la medida en que puedan afectar la seguridad de los datos del titular de la tarjeta del cliente. medio ambiente. X
12.10 Implementar un plan de respuesta a incidentes. Esté preparado para responder de inmediato a una infracción del sistema. X

12.10.1 Cree el plan de respuesta a incidentes que se implementará en caso de incumplimiento del sistema. Asegúrese de que el plan aborde lo siguiente, como mínimo:

  • Roles, responsabilidades y estrategias de comunicación y contacto en caso de compromiso, incluida la notificación de las marcas de pago, como mínimo.
  • Procedimientos específicos de respuesta a incidentes.
  • Procedimientos de recuperación y continuidad empresarial.
  • Procesos de respaldo de datos.
  • Análisis de requisitos legales para reportar compromisos.
  • Cobertura y respuestas de todos los componentes críticos del sistema.
  • Referencia o inclusión de procedimientos de respuesta a incidentes de las marcas de pago.
X
12.10.2 Revise y pruebe el plan, incluidos todos los elementos enumerados en el Requisito 12.10.1, al menos una vez al año. X
12.10.3 Designe personal específico para que esté disponible las 24 horas del día, los 7 días de la semana para responder a las alertas. X
12.10.4 Brindar capacitación adecuada al personal con responsabilidades de respuesta a violaciones de seguridad. X
12.10.5 Incluya alertas de los sistemas de monitoreo de seguridad, incluidos, entre otros, sistemas de detección de intrusiones, prevención de intrusiones, firewalls y sistemas de monitoreo de integridad de archivos. X
12.10.6 Desarrollar un proceso para modificar y desarrollar el plan de respuesta a incidentes de acuerdo con las lecciones aprendidas e incorporar los desarrollos de la industria. X
12.11 Requisito adicional solo para proveedores de servicios: Realice revisiones al menos trimestralmente para confirmar que el personal está siguiendo las políticas de seguridad y los procedimientos operativos. Las revisiones deben cubrir los siguientes procesos:
  • Revisiones diarias de registros
  • Revisiones de conjuntos de reglas de firewall
  • Aplicar estándares de configuración a nuevos sistemas
  • Responder a las alertas de seguridad
  • Procesos de gestión de cambios
X

12.11.1 Requisito adicional solo para proveedores de servicios: Mantener la documentación del proceso de revisión trimestral para incluir:

  • Documentar los resultados de las revisiones.
  • Revisión y aprobación de los resultados por parte del personal asignado a la responsabilidad del programa de cumplimiento de PCI DSS.
X

Requisito de PCI DSS N / A Nube de Genesys Cliente Característica Notas
A1 Proteja el entorno y los datos alojados de cada entidad (es decir, comerciante, proveedor de servicios u otra entidad), según A1.1 a A1.4:
Un proveedor de alojamiento debe cumplir con estos requisitos, así como con todas las demás secciones relevantes de las PCI DSS.
X
A1.1 Asegúrese de que cada entidad solo ejecute procesos que tengan acceso al entorno de datos del titular de la tarjeta de esa entidad. X
A1.2 Restrinja el acceso y los privilegios de cada entidad a su propio entorno de datos de titulares de tarjetas únicamente. X
A1.3 Asegúrese de que el registro y las pistas de auditoría estén habilitadas y sean únicas para el entorno de datos de titulares de tarjetas de cada entidad y que sean consistentes con el Requisito 10 de las PCI DSS. X
A1.4 Habilite los procesos para proporcionar una investigación forense oportuna en caso de un compromiso con cualquier comerciante o proveedor de servicios alojado. X