Responsabilidad del cliente de PCI DSS matriz

En este artículo se describe cómo se deben cumplir los requisitos de Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para utilizar la plataforma Genesys Cloud de una manera que cumpla con PCI. De conformidad con el requisito 12.8.5, este artículo indica dónde el cliente, Genesys Cloud, o ambos tienen la responsabilidad de cumplir con cada requisito de PCI DSS. Las responsabilidades indicadas en el matriz siguiente no sustituyen ni sustituyen a los requisitos de PCI DSS preexistentes que los clientes ya tienen que se aplican a sus propios sistemas y prácticas.*

* Por ejemplo, en el matriz que se puede expandir a continuación, la sección 5 aborda la responsabilidad de proteger todos los sistemas contra malware y actualizar regularmente programas o software antivirus. Esta sección de la matriz se aplica a los sistemas controlados Genesys Cloud. Como se muestra en la sección 5.1, Genesys Cloud, es responsable de implementar software antivirus en sistemas controlados por Genesys Cloud. Los clientes no tienen ninguna responsabilidad adicional de implementar software antivirus en Genesys Cloud sistemas controlados. Sin embargo, los clientes aún tienen la responsabilidad de implementar software antivirus en sistemas que los controles del cliente.

La plataforma Genesys Cloud logró una evaluación de PCI DSS como proveedor de servicios de nivel 1 utilizando la versión 3.2 de la PCI DSS estándar. La atestación de cumplimiento se proporcionará a los clientes bajo un acuerdo de no divulgación. Solo Genesys Cloud las características indicadas en el informe sobre cumplimiento como PCI certificadas pueden usarse para procesar, transmitir o almacenar información de tarjetas de crédito. Los requisitos de PCI DSS aplicables solo a un determinado Genesys Cloud característica se indican en la responsabilidad matriz. Si un cliente no utiliza ese particular Genesys Cloud característica, esos requisitos no son aplicables.

El matriz siguiente se aplica a los clientes que utilizan la nativa Genesys Cloud funcionalidad. Cuando un cliente utiliza un tercer productopersona, como aplicaciones de la AppFoundry o tecnologías utilizando el Traiga su propio modelo de servicios tecnológicos, el cliente y el terceropersona proveedor de servicios pueden tener responsabilidades compartidas adicionales. Estas responsabilidades se comparten entre el cliente y el terceropersona proveedor de servicios. El cliente debe consultar con el tercer-persona proveedor de servicios sobre cumplimiento de PCI DSS y responsabilidades compartidas. Genesys Cloud no comparte ninguna responsabilidad adicional de PCI DSS en esta situación.

Para obtener más información, consulte Cumplimiento de PCI DSS.

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
1.1 Establezca e implemente estándares de configuración de cortafuegos y enrutadores que incluyan lo siguiente: X
1.1.1 Proceso formal para aprobar y probar todas las conexiones de red y cambios en las configuraciones de firewall y router. X
1.1.2 Diagrama de red actual que identifica todas las conexiones entre el datos del titular de la tarjeta entorno y otras redes, incluidas las redes Inalã¡mbricas. X
1.1.3 Diagrama actual que muestra todos los flujos datos del titular de la tarjeta entre sistemas y redes. X
1.1.4 Requisitos para un cortafuegos en cada conexión a Internet y entre cualquier zona demilitarizada (DMZ) y la zona de red interna. X
1,1,5 Descripción de grupos, funciones y responsabilidades para la gestión de componentes de red. X
1.1.6 Documentación de la justificación y aprobación empresarial para el uso de todos los servicios, protocolos y puertos permitidos, incluida la documentación de las características de seguridad implementadas para esos protocolos considerados inseguros. X
1.1.7 Requisito de revisar conjuntos de reglas de cortafuegos y router al menos cada seis meses. X
1,2 Cree configuraciones de cortafuegos y router que restringan las conexiones entre redes no fiables y cualquier componente del sistema en el datos del titular de la tarjeta entorno. X
1.2.1 Restrinja el Trã¡fico entrante y saliente que sea necesario para el datos del titular de la tarjeta entorno y deniegue específicamente el resto del Trã¡fico. X
1.2.2 Asegure y sincronice los archivos de configuración del enrutador. X Genesys Cloud no tiene routers dentro del alcance.
1.2.3 Instale cortafuegos perimetral entre todas las redes inalámbricas y el datos del titular de la tarjeta entorno, y configure estos firewalls para denegar o, si es necesario el tráfico para fines empresariales, permita solo el tráfico autorizado entre la red inalámbrica entorno y el datos del titular de la tarjeta entorno. X Genesys Cloud no tiene dispositivos inalámbricos en el ámbito.
1.3 Prohibir el acceso público directo entre Internet y cualquier componente del sistema en el datos del titular de la tarjeta entorno. X
1.3.1 Implementar un DMZ para limitar el tráfico entrante a solo componentes del sistema que proporcionen servicios, protocolos y puertos accesibles públicamente. X
1.3.2 Limite el tráfico de Internet entrante a direcciones IP dentro del DMZ. X
1.3.3 Implementar medidas antispoofing para detectar y bloquear direcciones IP de origen forjado desde la entrada en la red. X
1.3.4 No permita que el tráfico saliente no autorizado sea de datos del titular de la tarjeta entorno a Internet. X
1,3,5 Permitir solo conexiones “establecidas” en la red. X
1.3.6 Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de DMZ y otras redes no fiables. X
1.3.7 No divulgue direcciones IP privadas ni envíe información a partes no autorizadas. X
1,4 Instale software de cortafuegos personal o equivalente funcionalidad en cualquier dispositivo informático portátil (incluida la empresa y/o propiedad del empleado) que se conecte a Internet cuando esté fuera de la red (por ejemplo, ordenadores portátiles utilizados por empleados) y que también se utilicen para acceder a la CDE. Las configuraciones de firewall (o equivalente) incluyen:
  • Se definen los ajustes de configuración específicos.
  • El cortafuegos personal (o equivalente funcionalidad) está funcionando activamente.
  • El cortafuegos personal (o equivalente funcionalidad) no es alterable por los usuarios de los dispositivos informáticos portátiles.
X
1,5 Garantizar que las políticas de seguridad y los procedimientos operativos para gestionar cortafuegos estén documentados, en uso y conocidos por todas las partes afectadas. X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
2.1 Cambie siempre los valores predeterminados suministrados por el proveedor y elimine o deshabilite las cuentas innecesarias por opción predeterminada antes de instalar un sistema en la red. X
2.1.1 Para entornos inalámbricos conectados al datos del titular de la tarjeta entorno o que transmitan datos del titular de la tarjeta, cambie TODOS los valores predeterminados del proveedor inalámbrico en la instalación, incluidos, entre otros, las por opción predeterminada claves de cifrado inalámbrico, contraseñas y cadenas de comunidad SNMP. X Genesys Cloud no tiene dispositivos inalámbricos dentro del alcance.
2,2 Desarrolle estándares de configuración para todos los componentes del sistema. Asegúrese de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y sean coherentes con los estándares de endurecimiento del sistema aceptados por el sector. X
2.2.1 Implemente solo una función primaria por servidor para evitar funciones que requieran diferentes niveles de seguridad de coexistentes en el mismo servidor. X
2.2.2 Habilite solo los servicios necesarios, protocolos, daemons, etc., según sea necesario para la función del sistema. X
2.2.3 Implementar funciones de seguridad adicionales para cualquier servicio, protocolo o daemon necesarios que se considere inseguro. X
2.2.4 Configure los parámetros de seguridad del sistema para evitar el uso indebido. X
2,2,5 Elimine todo lo innecesario funcionalidad, como scripts, controladores, funciones, subsistemas, sistemas de archivos y servidores web innecesarios. X
2.3 Cifre todos los accesos administrativos que no sean consola mediante criptografía sólida. X
2.4 Mantenga un inventario de componentes del sistema que estén en alcance de PCI DSS. X
2,5 Garantizar que las políticas de seguridad y los procedimientos operativos para la gestión de los valores predeterminados del proveedor y otros parámetros de seguridad estén documentados, en uso y conocidos por todas las partes afectadas. X
2,6 Los proveedores de alojamiento compartidos deben proteger a cada entidad alojada entorno y datos del titular de la tarjeta. Estos proveedores deben cumplir con los requisitos específicos detallados en el Apéndice A1: Requisitos adicionales de PCI DSS para proveedores de alojamiento compartido. X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
3.1 Mantener el almacenamiento datos del titular de la tarjeta al mínimo implementando políticas, procedimientos y procesos de conservación y eliminación de datos que incluyan al menos lo siguiente para el almacenamiento de datos del titular de la tarjeta (CHD):
  • Limitar el importe de almacenamiento de datos y el tiempo de retención que se requiere para los requisitos legales, normativos y/o empresariales.
  • Requisitos de retención específicos para datos del titular de la tarjeta
  • Procesos para la eliminación segura de datos cuando ya no se necesitan.
  • Proceso trimestral para identificar y eliminar de forma segura el almacenamiento almacenado datos del titular de la tarjeta que supera la retención definida.
X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.2 No almacene datos confidenciales autenticación después de la autorización (incluso si se cifran). Si se reciben datos confidenciales autenticación, haga que todos los datos sean irrecuperables al finalizar el proceso de autorización. X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.2.1 No almacene el contenido completo de ninguna pista (desde la banda magnética situada en el reverso de una tarjeta, los datos equivalentes contenidos en un chip o en otro lugar) después de la autorización. X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.2.2 No guarde el código o el valor de verificación de la tarjeta (número de tres o cuatro dígitos impreso en la parte delantera o posterior de una tarjeta de pago utilizada para verificar las transacciones no presentes) después de la autorización. X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.2.3 No guarde el número de identificación personal (PIN) ni el bloqueo PIN cifrado después de la autorización. X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.3 Ocultar PAN cuando se muestra (los primeros seis y últimos cuatro dígitos son el número máximo de dígitos que se mostrarán), de manera que solo el personal con una necesidad empresarial legítima puede ver más de los seis primeros/últimos cuatro dígitos del PAN. X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.4 Render PAN ilegible en cualquier lugar donde se almacene (incluidos medios digitales portátiles, medios de copia de seguridad y en registros) utilizando cualquiera de los siguientes enfoques:
  • Las erupciones unidireccionales se basan en criptografía sólida (la almohadilla debe ser de toda la PAN).
  • Truncamiento (no se puede utilizar el hashing para sustituir el segmento truncado de PAN).
  • Fichas de índice y almohadillas (las almohadillas deben almacenarse de forma segura)
  • Criptografía sólida con procesos y procedimientos de gestión de claves asociados.
X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.4.1 Si se utiliza cifrado de disco (en lugar de cifrado de base de datos a nivel de archivo o columna), el acceso lógico debe gestionarse por separado e independientemente del sistema operativo nativo autenticación y de los mecanismos de control de acceso (por ejemplo, no utilizar las bases de datos de cuentas locales usuario ni las credenciales de inicio de sesión de red generales). Las claves de descifrado no deben asociarse con cuentas usuario. X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3,5 Documente e implemente procedimientos para proteger las claves utilizadas para asegurar el almacenamiento datos del titular de la tarjeta contra la divulgación y el uso indebido. X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
3.5.1 Requisito adicional para proveedores de servicios: mantener una descripción documentada de la arquitectura criptográfica que incluye:
  • Detalles de todos los algoritmos, protocolos y claves utilizados para la protección de datos del titular de la tarjeta, incluyendo la fuerza de la clave y la fecha de caducidad.
  • Descripción del uso clave de cada clave.
  • Inventario de cualquier HSM y de otros SCDs utilizados para la gestión de claves.
X Genesys Cloud no almacena datos del titular de la tarjeta.
3.5.2 Restringir el acceso a las claves criptográficas al número de custodias que sea necesario. X Genesys Cloud no almacena datos del titular de la tarjeta.
3.5.3 Almacene las claves secretas y privadas utilizadas para cifrar/descifrar datos del titular de la tarjeta en uno (o más) de los siguientes formularios en todo momento:
  • Cifrado con una clave de cifrado clave que es al menos tan fuerte como la clave de cifrado de datos, y que se almacena por separado de la clave de cifrado de datos.
  • Dentro de un dispositivo criptográfico seguro (como un hardware (host) módulo de seguridad (HSM) o un dispositivo de punto de interacción aprobado por PTS).
  • Como mínimo dos componentes clave o acciones clave de longitud completa, de acuerdo con un método aceptado por el sector.
X Genesys Cloud no almacena datos del titular de la tarjeta.
3.5.4 Guarde las claves criptográficas en las ubicaciones posibles. X Genesys Cloud no almacena datos del titular de la tarjeta.
3,6 Documente e implemente plenamente todos los procesos y procedimientos de gestión de claves para claves criptográficas utilizadas para encriptación de datos del titular de la tarjeta, incluyendo lo siguiente: X Genesys Cloud no almacena datos del titular de la tarjeta.
3.6.1 Generación de claves criptográficas fuertes. X Genesys Cloud no almacena datos del titular de la tarjeta.
3.6.2 Distribución de claves criptográficas seguras. X Genesys Cloud no almacena datos del titular de la tarjeta.
3.6.3 Almacenamiento seguro de claves criptográficas. X Genesys Cloud no almacena datos del titular de la tarjeta.
3.6.4 Cambios criptográficos clave para claves que han llegado al final de su criptoperiodo (por ejemplo, después de que haya pasado un período de tiempo definido y/o después de que se haya producido una determinada cantidad de texto cipher por una clave determinada), según lo definido por el proveedor aplicación asociado o el propietario clave, y basado en las mejores prácticas y directrices del sector (por ejemplo, la publicación especial de NIST 800-57). X Genesys Cloud no almacena datos del titular de la tarjeta.
3,6,5 La jubilación o sustitución (por ejemplo, el archivo, la destrucción y/o la revocación) de las claves según se considere necesario cuando la integridad de la clave se haya debilitado (por ejemplo, la salida de un empleado con conocimiento de un componente clave de texto claro), o las claves se sospeche que están comprometidas. X Genesys Cloud no almacena datos del titular de la tarjeta.
3.6.6 Si se utilizan operaciones de gestión de claves criptográficas de texto claro manual, estas operaciones deben gestionarse utilizando un conocimiento dividido y un control doble. X Genesys Cloud no almacena datos del titular de la tarjeta.
3.6.7 Prevención de la sustitución no autorizada de claves criptográficas. X Genesys Cloud no almacena datos del titular de la tarjeta.
3.6.8 Requisito de que los custodios clave criptográficos reconozcan formalmente que comprenden y aceptan sus responsabilidades de custodia clave. X Genesys Cloud no almacena datos del titular de la tarjeta.
3,7 Garantizar que las políticas de seguridad y los procedimientos operativos para proteger el almacenamiento almacenado datos del titular de la tarjeta estén documentados, en uso y conocidos por todas las partes afectadas. X Genesys Cloud no almacena datos del titular de la tarjeta.

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
4.1 Utilice protocolos de criptografía y seguridad fuertes para proteger la sensibilidad datos del titular de la tarjeta durante la transmisión a través de redes públicas abiertas, incluidas las siguientes:
  • Solo se aceptan claves y certificados de confianza.
  • El protocolo en uso solo admite versiones o configuraciones seguras.
  • La fuerza de cifrado es adecuada para la metodología de cifrado en uso.
X

Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.

4.1.1 Asegúrese de que las redes inalámbricas que transmiten datos del titular de la tarjeta o están conectadas a datos del titular de la tarjeta entorno, utilice las mejores prácticas del sector para implementar cifrado sólido para autenticación y la transmisión. X Genesys Cloud no tiene dispositivos inalámbricos dentro del alcance.
4,2 Nunca envíe PANs sin protección por tecnologías de mensajería end-usuario (por ejemplo, correo electrónico, mensajería instantánea, SMS, chat, etc.). X X Chat web, correo electrónico de ACD Genesys Cloud usos filtrado de información sensible para evitar la transferencia y almacenamiento de números de tarjetas de crédito en nuestros servidores.
4.3 Garantizar que las políticas de seguridad y los procedimientos operativos para encriptar transmisiones de datos del titular de la tarjeta estén documentadas, en uso y conocidas por todas las partes afectadas. X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
5,1 Despliegue software antivirus en todos los sistemas que se ven afectados habitualmente por software malicioso (especialmente ordenadores y servidores personales). X
5.1.1 Asegúrese de que los programas antivirus sean capaces de detectar, eliminar y proteger contra todos los tipos conocidos de software malicioso. X
5.1.2 En el caso de los sistemas considerados no comúnmente afectados por software malicioso, realice evaluaciones periódicas para identificar y evaluar las amenazas de malware en evolución con el fin de confirmar si dichos sistemas continúan sin requerir software antivirus. X
5,2 Asegúrese de que todos los mecanismos antivirus se mantienen de la siguiente manera:
  • Se mantienen actualizados.
  • Realice exploraciones periódicas.
  • Generar registros de auditoría que se conservan según el requisito de PCI DSS 10.7.
X
5.3 Asegurarse de que los mecanismos antivirus están en funcionamiento de forma activa y no pueden ser desactivados ni alterados por los usuarios, a menos que la dirección lo autorice de forma específica caso por caso durante un periodo de tiempo limitado. X
5,4 Garantizar que las políticas de seguridad y los procedimientos operativos para proteger los sistemas contra malware están documentados, en uso y conocidos por todas las partes afectadas. X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
6,1 Establecer un proceso para identificar vulnerabilidades de seguridad, utilizar fuentes externas de confianza para información de vulnerabilidad de seguridad y asignar una clasificación de riesgos (por ejemplo, como “alta”, “media” o “baja”) a vulnerabilidades de seguridad recientemente descubiertas. X
6,2 Asegúrese de que todos los componentes y software del sistema están protegidos de vulnerabilidades conocidas instalando parches de seguridad suministrados por el proveedor. Instale parches de seguridad críticos en el plazo de un mes desde la publicación. X
6,3 Desarrolle aplicaciones de software internas y externas (incluido el acceso administrativo basado en web a aplicaciones) de forma segura, de la siguiente manera:
  • De acuerdo con PCI DSS (por ejemplo, secure autenticación y registro).
  • Basado en estándares del sector y/o prácticas recomendadas.
  • Incorporación de seguridad de la información a lo largo del ciclo de vida de desarrollo de software.
X
6.3.1 Elimine las cuentas de desarrollo, prueba y/o personalizadas aplicación, usuario ID y contraseñas antes de que las aplicaciones se activen o se publiquen a los clientes. X
6.3.2 Revise el código personalizado antes de la publicación a la producción o a los clientes para identificar cualquier posible vulnerabilidad de codificación (utilizando procesos manuales o automatizados) para incluir al menos lo siguiente:
  • Los cambios de código son revisados por personas que no sean el autor del código original, y por personas con conocimientos sobre técnicas de revisión de código y prácticas de codificación seguras.
  • Las revisiones de código garantizan que el código se desarrolle de acuerdo con las directrices de codificación segura.
  • Antes de la publicación, se implementan las correcciones adecuadas.
  • Los resultados de revisión del código son revisados y aprobados por la dirección antes de su publicación.
X
6,4 Siga los procedimientos y procedimientos de control de cambios para todos los cambios realizados en los componentes del sistema. Los procesos deben incluir lo siguiente: X
6.4.1 Separe los entornos de desarrollo/prueba de entornos de producción y aplique la separación con controles de acceso. X
6.4.2 Separación de tareas entre los entornos de desarrollo/prueba y producción. X
6.4.3 Los datos de producción (PANs vivos) no se utilizan para pruebas o desarrollo. X
6.4.4 Eliminación de datos de pruebas y cuentas de los componentes del sistema antes de que el sistema se active/vaya a producción. X
6,4,5 Los procedimientos de control de cambios deben incluir lo siguiente: X
6.4.5.1 Documentación del impacto. X
6.4.5.2 Aprobación de cambio documentada por parte de partes autorizadas. X
6.4.5.3 Pruebas de funcionalidad para verificar que el cambio no afecta negativamente a la seguridad del sistema. X
6.4.5.4 Procedimientos de respaldo. X
6.4.6 Al finalizar un cambio significativo, todos los requisitos de PCI DSS relevantes deben implementarse en todos los sistemas y redes nuevos o cambiados, y la documentación se actualizará según corresponda. X
6,5 Abordar las vulnerabilidades de codificación comunes en los procesos de desarrollo de software de la siguiente manera:
  • Formar a los desarrolladores al menos anualmente en técnicas de codificación segura actualizadas, incluyendo cómo evitar vulnerabilidades de codificación comunes.
  • Desarrolle aplicaciones basadas en directrices de codificación segura.
X
6.5.1 Defectos de inyección, especialmente inyección de SQL. Considere también la inyección de comandos de sistema operativo, los defectos de inyección LDAP y XPath, así como otros defectos de inyección. X
6.5.2 Desbordamiento del búfer. X
6.5.3 Almacenamiento criptográfico inseguro. X
6.5.4 Comunicaciones inseguras. X
6,5,5 Manejo incorrecto de errores. X
6,5,6 Todas las vulnerabilidades de “alto riesgo” identificadas en el proceso de identificación de vulnerabilidades (según se define en la norma PCI DSS 6.1). X
6,5,7 Cross-sitio elaboración de scripts (XSS). X
6,5,8 Control de acceso inadecuado (como referencias de objeto directo inseguras, fallo de restricción de acceso de URL, anulación de directorios e incumplimiento de usuario acceso a funciones). X
6,5,9 Cross-sitio solicitud de falsificación (CSRF). X
6,5,10 Roto autenticación y gestión de sesiones. X

6,6 Para aplicaciones web orientadas al público, resuelva nuevas amenazas y vulnerabilidades de forma continua y asegúrese de que estas aplicaciones están protegidas contra ataques conocidos mediante cualquiera de los métodos siguientes:

  • Revisar aplicaciones web orientadas al público a través de herramientas o métodos de evaluación de seguridad de vulnerabilidad manuales o automatizados, al menos anualmente y después de cualquier cambio.
  • Instalación de un solución técnico automatizado que detecta y evita ataques basados en la web (por ejemplo, un cortafuegos web-aplicación) frente a aplicaciones web orientadas al público para comprobar continuamente todo el tráfico.
X

6,7 Garantizar que las políticas de seguridad y los procedimientos operativos para desarrollar y mantener sistemas y aplicaciones seguros estén documentados, en uso y conocidos por todas las partes afectadas.

X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
7.1 Limite el acceso a los componentes del sistema y datos del titular de la tarjeta solo a aquellas personas cuyo trabajo requiera dicho acceso. X X Genesys Cloud Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
7.1.1 Defina las necesidades de acceso de cada función, incluyendo:
  • Componentes del sistema y recursos de datos que cada función necesita para acceder a su función laboral.
  • Nivel de privilegio requerido (por ejemplo, usuario, administrador, etc.) para acceder a recursos.
X X Genesys Cloud
7.1.2 Restringir el acceso a ID de usuario privilegiados a menos privilegios necesarios para realizar responsabilidades laborales. X X Genesys Cloud
7.1.3 Asignar acceso basado en el trabajo de personal individual clasificación y función. X X Genesys Cloud
7.1.4 Requerir aprobación documentada por parte de partes autorizadas que especifiquen los privilegios requeridos. X X Genesys Cloud
7.2 Establecer un sistema de control de acceso para componentes de sistemas que restrinjan el acceso basado en la necesidad de un usuario de saber, y se establece como “denegar todo” a menos que se permita específicamente.
Este sistema de control de acceso debe incluir lo siguiente:
X
7.2.1 Cobertura de todos los componentes del sistema. X
7.2.2 Asignación de privilegios a personas según el trabajo clasificación y la función. X
7.2.3 Configuración predeterminada de "denegar todo". X
7.3 Garantizar que las políticas de seguridad y los procedimientos operativos para restringir el acceso a datos del titular de la tarjeta estén documentados, en uso y conocidos por todas las partes afectadas. X X Genesys Cloud

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
8.1 Definir e implementar políticas y procedimientos para garantizar la correcta gestión de identificación usuario para usuarios y administradores que no sean consumidores en todos los componentes del sistema de la siguiente manera: X X Genesys Cloud
8.1.1 Asigne a todos los usuarios un ID único antes de permitirles acceder a los componentes del sistema o datos del titular de la tarjeta. X X Genesys Cloud
8.1.2 Control de la adición, eliminación y modificación de usuario ID, credenciales y otros objetos de identificador. X X Genesys Cloud
8.1.3 Revocar inmediatamente el acceso a los usuarios que hayan terminado. X X Genesys Cloud
8.1.4 Eliminar/deshabilitar cuentas inactivas usuario en un plazo de 90 días. X X Genesys Cloud
8,1,5 Gestione los ID utilizados por terceros para acceder, apoyar o mantener los componentes del sistema mediante acceso remoto de la siguiente manera:
  • Habilitado solo durante el período de tiempo necesario y desactivado cuando no se utiliza.
  • Monitorizado cuando está en uso.
X X Genesys Cloud
8.1.6 Limite los intentos de acceso repetidos bloqueando la ID usuario después de no más de seis intentos. X X Genesys Cloud
8.1.7 Establezca la duración de bloqueo a un mínimo de 30 minutos o hasta que un administrador active el ID usuario. X X Genesys Cloud
8.1.8 Si una sesión ha sido inactivo durante más de 15 minutos, necesita que usuario vuelva a autenticarse para volver a activar la terminal o la sesión. X X Genesys Cloud
8.2 Además de asignar un ID único, asegúrese de que la administración sea correcta usuario-autenticación para usuarios y administradores que no sean consumidores en todos los componentes del sistema empleando al menos uno de los siguientes métodos para autenticar a todos los usuarios:
  • Algo que sabe, como contraseña o frase de contraseña.
  • Algo que tiene, como un dispositivo de token o una tarjeta inteligente.
  • Algo que usted está, como un biométrico.
X
8.2.1 Utilizando una criptografía sólida, introduzca todas las autenticación credenciales (como contraseñas/frases) ilegibles durante la transmisión y almacenamiento de todos los componentes del sistema. X
8.2.2 Verificar usuario identidad antes de modificar cualquier credencial autenticación, por ejemplo, realizar reenvíos de contraseñas, aprovisionarse de nuevos tokens o generar nuevas claves. X X Genesys Cloud

8.2.3 Las contraseñas/frases de contraseña deben cumplir lo siguiente:

  • Requiere una longitud mínima de siete caracteres.
  • Contener caracteres numéricos y alfabéticos.

Como alternativa, las contraseñas/frases de contraseña deben tener complejidad y resistencia al menos equivalente a los parámetros especificados anteriormente.

X X Genesys Cloud
8.2.4 Cambie usuario contraseñas/frases de contraseña al menos una vez cada 90 días. X X Genesys Cloud
8.2.5 No permita que una persona envíe una contraseña/frase de contraseña nueva que sea la misma que ninguna de las cuatro últimas contraseñas/frases de contraseña que ha utilizado. X X Genesys Cloud
8.2.6 Establezca contraseñas/frases de contraseña para su uso por primera vez y después de restablecer un valor único por cada usuario, y cambie inmediatamente después del primer uso. X X Genesys Cloud
8.3 Asegure todo acceso administrativo individual no relacionado con consola y todo el acceso remoto al CDE usando múltiples factores autenticación. X
8.3.1 Incorpore multifactor autenticación para todo el acceso que no sea consola al CDE para el personal con acceso administrativo. X
8.3.2 Incorpore multifactor autenticación para todo el acceso remoto a la red (tanto usuario como el administrador, e incluido el acceso de tercer-persona para soporte o mantenimiento) originado desde fuera de la red de la entidad. X

8.4 Documentar y comunicar autenticación políticas y procedimientos a todos los usuarios, incluyendo:

  • Guía sobre la selección de credenciales strong autenticación.
  • Orientación sobre cómo los usuarios deben proteger sus credenciales autenticación.
  • Instrucciones para no volver a utilizar las contraseñas usadas anteriormente.
  • Las instrucciones para cambiar las contraseñas si hay sospecha de que la contraseña se podría poner en peligro.
X X Genesys Cloud

8,5 No utilice ID de grupo, compartidas o genéricas, contraseñas u otros métodos autenticación como se indica a continuación:

  • Las ID de usuario genéricas están deshabilitadas o eliminadas.
  • No existen ID compartidos usuario para la administración del sistema y otras funciones críticas.
  • Los ID compartidos y genéricos usuario no se utilizan para administrar ningún componente del sistema.
X X Genesys Cloud
8.5.1 Requisito adicional para los proveedores de servicios solamente: los proveedores de servicios con acceso remoto a las instalaciones del cliente (por ejemplo, para el soporte de sistemas o servidores POS) deben utilizar una credencial exclusiva autenticación (como una contraseña/frase) para cada cliente. X Genesys Cloud no tiene acceso remoto a las instalaciones del cliente.

8,6 Cuando se utilicen otros mecanismos autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), se debe asignar el uso de estos mecanismos de la siguiente manera:

  • Los mecanismos de autenticación deben asignarse a una cuenta individual y no compartirse entre varias cuentas.
  • Deben existir controles físicos y/o lógicos para garantizar que solo la cuenta prevista pueda utilizar ese mecanismo para obtener acceso.
X

8,7 Todo el acceso a cualquier base de datos que contenga datos del titular de la tarjeta (incluido el acceso por aplicaciones, administradores y todos los demás usuarios) está restringido de la siguiente manera:

  • Todos los usuario accesos a, usuario consultas y usuario acciones en bases de datos son a través de métodos programáticos.
  • Solo los administradores de bases de datos tienen la capacidad de acceder directamente o de consultar bases de datos.
  • Las ID de aplicaciones para aplicaciones de base de datos solo pueden ser utilizadas por las aplicaciones (y no por usuarios individuales u otros procesos noaplicación).
X Genesys Cloud no almacena datos del titular de la tarjeta. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que datos del titular de la tarjeta no se almacena en Genesys Cloud.
8,8 Garantizar que las políticas de seguridad y los procedimientos operativos de identificación y autenticación estén documentados, en uso y conocidos por todas las partes afectadas. X X Genesys Cloud

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
9.1 Utilice controles de entrada de la instalación adecuados para limitar y controlar el acceso físico a los sistemas en el datos del titular de la tarjeta entorno. X Genesys las oficinas no están dentro del alcance.
9.1.1 Utilice cámaras de vídeo o mecanismos de control de acceso (o ambos) para supervisar el acceso físico individual a áreas sensibles. Revisar los datos recopilados y correlacionarse con otras entradas. Almacenar durante al menos tres meses, a menos que la ley restrinja lo contrario. X Genesys las oficinas no están dentro del alcance.
9.1.2 Implementar controles físicos y/o lógicos para restringir el acceso a conectores de red accesibles públicamente. X Genesys oficinas no están dentro del alcance.
9.1.3 Restringir el acceso físico a puntos de acceso inalámbricos, puertas de enlace, dispositivos portátiles, redes/comunicaciones hardware y líneas de telecomunicaciones. X Genesys oficinas no están dentro del alcance.
9.2 Desarrolle procedimientos para distinguir fácilmente entre personal y visitantes en las instalaciones, para incluir:
  • Identificación de personal y visitantes en las instalaciones (por ejemplo, asignar carnets).
  • Cambios en los requisitos de acceso.
  • Revocar o finalizar el personal en el centro y la identificación de visitantes caducada (como carnets de identidad).
X Genesys oficinas no están dentro del alcance.
9.3 Controle el acceso físico para el personal in situ a áreas sensibles de la siguiente manera:
  • El acceso debe estar autorizado y basado en función laboral individual.
  • El acceso se revoca inmediatamente tras la terminación y todos los mecanismos de acceso físico, como llaves, tarjetas de acceso, etc., se devuelven o deshabilitan.
X Genesys oficinas no están dentro del alcance.
9.4 Implementar procedimientos para identificar y autorizar a los visitantes.
Los procedimientos deben incluir lo siguiente:
X Genesys oficinas no están dentro del alcance.
9.4.1 Los visitantes están autorizados antes de entrar y acompañarse en todo momento dentro de las áreas donde datos del titular de la tarjeta se procesan o mantienen. X Genesys oficinas no están dentro del alcance.
9.4.2 Los visitantes se identifican y reciben insignia u otra identificación que caduca y que distingue visiblemente a los visitantes del personal en el sitio. X Genesys oficinas no están dentro del alcance.
9.4.3 Se pide a los visitantes que presenten el insignia o la identificación antes de abandonar la instalación o en la fecha de caducidad. X Genesys oficinas no están dentro del alcance.

9.4.4 Se utiliza un registro de visitantes para mantener un rastro de auditoría física de actividad de visitantes a la instalación, así como salas de ordenadores y centros de datos donde datos del titular de la tarjeta se almacena o transmite.

Documente el nombre del visitante, la firma representada y el personal del centro que autoriza el acceso físico en el registro.

Conserve este registro durante un mínimo de tres meses, a menos que la ley restrinja lo contrario.

X Genesys oficinas no están dentro del alcance. Más Genesys no almacena datos del titular de la tarjeta.
9,5 Asegure físicamente todos los medios. X Genesys oficinas no están dentro del alcance. Más Genesys no almacena datos del titular de la tarjeta.
9.5.1 Almacene copias de seguridad de medios en una instalación segura ubicación, preferiblemente una instalación off-sitio, como una alternativa o una copia de seguridad sitio, o una instalación de almacenamiento comercial. Revise la seguridad de ubicación al menos una vez al año. X Genesys oficinas no están dentro del alcance.
9.6 Mantener un control estricto sobre la distribución interna o externa de cualquier tipo de medios, incluidos los siguientes: X Genesys oficinas no están dentro del alcance.
9.6.1 Clasificar los medios de forma que se pueda determinar la sensibilidad de los datos. X Genesys oficinas no están dentro del alcance.
9.6.2 Envíe los medios mediante mensajería segura u otro método de entrega que pueda rastrear con precisión. X Genesys oficinas no están dentro del alcance.
9.6.3 Asegúrese de que la gerencia aprueba todos y cada uno de los medios que se mueven de un área segura (incluyendo cuando los medios se distribuyen a las personas). X Genesys oficinas no están dentro del alcance.
9.7 Mantener un control estricto sobre el almacenamiento y accesibilidad de los medios. X Genesys oficinas no están dentro del alcance.
9.7.1 Mantener adecuadamente registros de inventario de todos los medios y llevar a cabo inventarios de medios al menos una vez al año. X Genesys oficinas no están dentro del alcance.
9,8 Destruya los medios cuando ya no sea necesario por motivos comerciales o legales de la siguiente manera: X Genesys oficinas no están dentro del alcance.
9.8.1 Materiales de fotocopia triturados, incinerados o pulpa de forma que datos del titular de la tarjeta no puedan reconstruirse. Recipientes de almacenamiento seguros utilizados para materiales que deben destruirse. X Genesys oficinas no están dentro del alcance.
9.8.2 Render datos del titular de la tarjeta en medios electrónicos irrecuperables para que datos del titular de la tarjeta no se pueda reconstruir. X Genesys oficinas no están dentro del alcance.
9,9 Proteja los dispositivos que capturan datos de tarjetas de pago mediante interacción física directa con la tarjeta de manipulación y sustitución. X Genesys Cloud no utiliza dispositivos con tarjeta.

9.9.1 Mantener una lista actualizada de dispositivos. La lista debe incluir lo siguiente:

  • Marca, modelo de dispositivo.
  • Ubicación del dispositivo (por ejemplo, la dirección de la sitio o la instalación donde se encuentra el dispositivo).
  • Número de serie del dispositivo u otro método de identificación única.
X Genesys Cloud no utiliza dispositivos con tarjeta.
9.9.2 Inspeccione periódicamente las superficies del dispositivo para detectar la manipulación (por ejemplo, la adición de bomeros de tarjetas a dispositivos) o la sustitución (por ejemplo, comprobando el número de serie u otras características del dispositivo para verificar que no se ha cambiado con un dispositivo fraudulento). X Genesys Cloud no utiliza dispositivos con tarjeta.

9.9.3 Proporcionar formación para que el personal tenga conocimiento de intentos de manipulación o sustitución de dispositivos. La formación debe incluir lo siguiente:

  • Verificar la identidad de cualquier tercera persona que afirme ser personal de reparación o mantenimiento, antes de otorgar acceso a los dispositivos de modificación o solucionar problemas.
  • No instale, sustituya ni devuelva dispositivos sin verificación.
  • Tenga en cuenta el comportamiento sospechoso alrededor de los dispositivos (por ejemplo, intentos de desconectar o abrir dispositivos).
  • Informar de comportamientos sospechosos e indicaciones de manipulación o sustitución del dispositivo al personal adecuado (por ejemplo, a un gerente o responsable de seguridad).
X Genesys Cloud no utiliza dispositivos con tarjeta.
9,10 Garantizar que las políticas de seguridad y los procedimientos operativos para restringir el acceso físico a datos del titular de la tarjeta estén documentados, en uso y conocidos por todas las partes afectadas. X X Genesys las oficinas no están dentro del alcance. Además, Genesys Cloud no almacena datos del titular de la tarjeta.

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
10,1 Implemente pistas de auditoría para vincular todo el acceso a los componentes del sistema a cada individuo usuario. X
10,2 Implemente rutas de auditoría automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos: X
10.2.1 Todos los usuario accesos individuales a datos del titular de la tarjeta. X
10.2.2 Todas las acciones adoptadas por cualquier persona con privilegios de raíz o administrativos. X
10.2.3 Acceso a todos los registros de auditoría. X
10.2.4 Intentos de acceso lógico no válidos. X
10,2,5 Uso y cambios en la identificación y autenticación mecanismos, incluidos, entre otros, la creación de nuevas cuentas y la elevación de privilegios, así como todos los cambios, adiciones o eliminaciones a cuentas con privilegios de raíz o administración. X
10.2.6 Inicialización, detención o pausa de los registros de auditoría. X
10.2.7 Creación y eliminación de objetos a nivel de sistema. X
10,3 Registre al menos las siguientes entradas de seguimiento de auditoría para todos los componentes del sistema para cada evento: X
10.3.1 Identificación del usuario. X
10.3.2 Tipo de evento. X
10.3.3 Fecha y hora. X
10.3.4 Indicación de éxito o fracaso. X
10,3,5 Originación del evento. X
10.3.6 Identidad o nombre de los datos afectados, componente del sistema o recurso. X
10,4 Mediante la tecnología de sincronización de tiempo, sincronice todos los relojes y tiempos críticos y asegúrese de que se implementa lo siguiente para adquirir, distribuir y almacenar tiempo. X
10.4.1 Los sistemas críticos tienen el tiempo correcto y constante. X
10.4.2 Los datos de tiempo están protegidos. X
10.4.3 Los ajustes de tiempo se reciben de fuentes de tiempo aceptadas por el sector. X
10,5 Asegure los registros de auditoría para que no puedan alterarse. X
10,5,1 Limitar la visualización de pistas de auditoría a aquellos con una necesidad relacionada con el trabajo. X
10,5,2 Proteja los archivos de seguimiento de auditoría de modificaciones no autorizadas. X
10.5.3 Realice una copia de seguridad inmediata de los archivos de seguimiento de auditoría a un servidor de registro centralizado o a un medio que sea difícil de alterar. X
10,5,4 Escriba registros para tecnologías de cara externa en un servidor de registro interno seguro, centralizado y centralizado. X
10,5,5 Utilice la integridad del archivo supervisión o el software de detección de cambios en los registros para asegurarse de que los datos de registro existentes no puedan cambiarse sin generar alertas (aunque los datos nuevos que se añadan no deben causar un alerta). X
10,6 Revise los registros y los eventos de seguridad de todos los componentes del sistema para identificar anomalías o actividades sospechosas. X
10.6.1 Revise lo siguiente al menos diariamente:
  • Todos los eventos de seguridad.
  • Registros de todos los componentes del sistema que almacenan, procesan o transmiten CHD y/o SAD.
  • Registros de todos los componentes críticos del sistema.
  • Registros de todos los servidores y componentes del sistema que realizan funciones de seguridad (por ejemplo, cortafuegos, sistemas de detección de intrusiones/sistemas de prevención de intrusiones (IDS/IPS), autenticación servidores, servidores de redirección de comercio electrónico, etc.).
X
10.6.2 Revisar los registros de todos los demás componentes del sistema periódicamente según las políticas de la organización y la estrategia de gestión de riesgos, según lo determine la evaluación anual de riesgos de la organización. X
10.6.3 Se han detectado excepciones y anomalías de seguimiento durante el proceso de revisión. X
10,7 Conserve el historial de seguimiento de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para análisis (por ejemplo, en línea, archivado o restaurable de la copia de seguridad). X
10,8 Requisito adicional para los proveedores de servicios solamente: implementar un proceso para la detección y notificación oportuna de fallos de sistemas críticos de control de seguridad, incluidos, entre otros, el fallo de:
  • Cortafuegos
  • IDS/IPS
  • FIM
  • Antivirus
  • Controles de acceso físico
  • Controles de acceso lógico
  • Mecanismos de registro de auditoría
  • Controles de segmentación (si se utilizan)
X
10.8.1 Requisito adicional solo para proveedores de servicios: responder a fallos de cualquier control de seguridad crítico de forma oportuna. Los procesos para responder a fallos en controles de seguridad deben incluir:
  • Restaurar funciones de seguridad.
  • Identificar y documentar la duración (fecha y hora de inicio) del fallo de seguridad.
  • Identificar y documentar las causas del fallo, incluida la causa raíz, y documentar la corrección necesaria para abordar la causa raíz.
  • Identificar y abordar cualquier problema de seguridad que surgiera durante el fallo.
  • Realizar una evaluación de riesgos para determinar si se requieren más acciones como resultado de la falla de seguridad.
  • Implementar controles para evitar que se repita la causa del fallo.
  • Reanudando supervisión de controles de seguridad.
X
10,9 Garantizar que las políticas de seguridad y los procedimientos operativos para supervisión todos los accesos a recursos de red y datos del titular de la tarjeta estén documentados, en uso y conocidos por todas las partes afectadas. X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
11,1 Implementar procesos para probar la presencia de puntos de acceso inalámbricos (802.11) y detectar e identificar todos los puntos de acceso inalámbricos autorizados y no autorizados de forma trimestral. X Genesys Cloud no tiene dispositivos inalámbricos dentro del alcance.
11.1.1 Mantener un inventario de puntos de acceso inalámbricos autorizados, incluida una justificación comercial documentada. X Genesys Cloud no tiene dispositivos inalámbricos dentro del alcance.
11.1.2 Implementar procedimientos de incidentes respuesta en caso de detectarse puntos de acceso inalámbricos no autorizados. X Genesys Cloud no tiene dispositivos inalámbricos dentro del alcance.
11,2 Ejecutar escaneados de vulnerabilidad de red interna y externa al menos trimestralmente y después de cualquier cambio significativo en la red (como nuevas instalaciones de componentes del sistema, cambios en la topología de red, modificaciones de reglas de cortafuegos, actualizaciones de productos). X X Pausa segura Los clientes deben realizar pruebas de vulnerabilidad y pruebas de penetración de dispositivos Edgesitio Edge.
11.2.1 Realizar exploraciones de vulnerabilidad internas trimestrales. Abordar las vulnerabilidades y llevar a cabo las anulaciones para verificar que todas las vulnerabilidades de “alto riesgo” se resuelven de acuerdo con la clasificación de vulnerabilidad de la entidad (según el Requisito 6.1). Las exploraciones deben ser realizadas por personal cualificado. X X Pausa segura Los clientes deben realizar pruebas de vulnerabilidad y pruebas de penetración de dispositivos Edgesitio Edge.
11.2.2 Realizar exploraciones de vulnerabilidad externas trimestrales, a través de un proveedor de escaneado aprobado (ASV) aprobado por el Consejo de normas de seguridad del sector de tarjetas de pago (PCI SSC). Realice las anulaciones según sea necesario hasta que se alcancen las exploraciones de paso. X
11.2.3 Realizar exploraciones internas y externas, y resolver según sea necesario, después de cualquier cambio significativo. Las exploraciones deben ser realizadas por personal cualificado. X X Pausa segura Los clientes deben realizar pruebas de vulnerabilidad y pruebas de penetración de dispositivos Edgesitio Edge.
11,3 Implementar una metodología para pruebas de penetración que incluya lo siguiente:
  • Se basa en enfoques de pruebas de penetración aceptadas por el sector (por ejemplo, NIST SP800-115).
  • Incluye cobertura para todo el perímetro CDE y los sistemas críticos.
  • Incluye pruebas tanto dentro como fuera de la red.
  • Incluye pruebas para validar cualquier segmentación y controles de reducción del alcance.
  • Define las pruebas de penetración de la capa aplicación para incluir, como mínimo, las vulnerabilidades enumeradas en el Requisito 6.5.
  • Define pruebas de penetración de capa de red para incluir componentes que admiten funciones de red y sistemas operativos.
  • Incluye revisión y consideración de amenazas y vulnerabilidades experimentadas en los últimos 12 meses
  • Especifica la retención de resultados de pruebas de penetración y resultados de actividades de corrección.
X
11.3.1 Realice pruebas de penetración externas al menos una vez al año y después de una actualización o modificación significativa de la infraestructura o aplicación (como una actualización del sistema operativo, una subred añadida a la entorno, o un servidor web agregado al entorno). X X Pausa segura Los clientes deben realizar pruebas de vulnerabilidad y pruebas de penetración de dispositivos Edgesitio Edge.
11.3.2 Realice pruebas de penetración internas al menos una vez al año y después de una actualización o modificación significativa de la infraestructura o aplicación (como una actualización del sistema operativo, una subred añadida a la entorno, o un servidor web agregado a la entorno). X X Pausa segura Los clientes deben realizar pruebas de vulnerabilidad y pruebas de penetración de dispositivos Edgesitio Edge.
11.3.3 Las vulnerabilidades de explotación detectadas durante las pruebas de penetración se corrigen y las pruebas se repiten para verificar las correcciones. X
11.3.4 Si la segmentación se utiliza para aislar el CDE de otras redes, realice pruebas de penetración al menos una vez al año y después de cualquier cambio en los controles/métodos de segmentación para verificar que los métodos de segmentación son operativos y eficaces, y aísle todos los sistemas fuera de alcance de los sistemas del CDE. X X Pausa segura Los clientes deben realizar pruebas de vulnerabilidad y pruebas de penetración de dispositivos Edgesitio Edge.
11.3.4.1 Requisito adicional para los proveedores de servicios solamente: si se utiliza segmentación, confirme el alcance de PCI DSS realizando pruebas de penetración en controles de segmentación al menos cada seis meses y después de cualquier cambio en los controles/métodos de segmentación. X

11,4 Utilice técnicas de detección de intrusiones y/o prevención de intrusiones para detectar y/o prevenir intrusiones en la red. Supervise todo el Trã¡fico en el perímetro de la datos del titular de la tarjeta entorno, así como en los puntos críticos del datos del titular de la tarjeta entorno y de la alerta al personal de los que se sospeche.

Mantenga todos los motores de detección y prevención de intrusiones, líneas de base y firmas actualizados.

X
11,5 Despliegue un mecanismo de detección de cambios (por ejemplo, herramientas de integridad de archivos supervisión) a alerta personal a modificaciones no autorizadas (incluidos cambios, adiciones y eliminaciones) de archivos de sistema críticos, archivos de configuración o archivos de contenido; y configure el software para realizar comparaciones críticas de archivos al menos semanalmente. X
11.5.1 Implementar un proceso para responder a cualquier alerta generada por la detección de cambios solución. X
11,6 Garantizar que las políticas de seguridad y los procedimientos operativos de seguridad supervisión y las pruebas estén documentadas, en uso y conocidas por todas las partes afectadas. X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
12,1 Establecer, publicar, mantener y difundir una política de seguridad. X
12.1.1 Revise la política de seguridad al menos anualmente y actualice la política cuando los entorno cambios. X
12,2 Implementar un proceso de evaluación del riesgo que:
  • Se realiza al menos una vez al año y tras cambios significativos en el entorno (por ejemplo, adquisición, fusión, reubicación, etc.).
  • Identifica activos críticos, amenazas y vulnerabilidades, y
  • Resultados en un análisis formal y documentado del riesgo.
X
12,3 Desarrollar políticas de uso para tecnologías críticas y definir el uso adecuado de estas tecnologías. X
12.3.1 Aprobación explícita por parte de partes autorizadas. X
12.3.2 Autenticación para el uso de la tecnología. X
12.3.3 Una lista de todos estos dispositivos y personal con acceso. X
12.3.4 Un método para determinar con precisión y rapidez el propietario, la información de contacto y el propósito (por ejemplo, etiquetado, codificación y/o inventarización de dispositivos). X
12,3,5 Usos aceptables de la tecnología. X
12.3.6 Ubicaciones de red aceptables para las tecnologías. X
12.3.7 Lista de productos aprobados por la empresa. X
12.3.8 Desconexión automática de sesiones para tecnologías de acceso remoto después de un periodo específico de inactividad. X
12.3.9 Activación de tecnologías de acceso remoto para proveedores y socios comerciales solo cuando sea necesario por proveedores y socios comerciales, con desactivación inmediata tras su uso. X

12.3.10 Para el personal que acceda a datos del titular de la tarjeta a través de tecnologías de acceso remoto, prohíba la copia, el movimiento y el almacenamiento de datos del titular de la tarjeta en discos duros locales y medios electrónicos extraíbles, a menos que esté explícitamente autorizado para una necesidad empresarial definida.

Cuando exista una necesidad comercial autorizada, las políticas de uso deben requerir protección de los datos de acuerdo con todos los requisitos de PCI DSS aplicables.

X
12,4 Garantizar que la política y los procedimientos de seguridad definen claramente las responsabilidades de seguridad de la información para todo el personal. X

12.4.1 Requisito adicional para los proveedores de servicios únicamente: la dirección ejecutiva deberá establecer la responsabilidad de la protección de datos del titular de la tarjeta y un programa de cumplimiento de PCI DSS para incluir:

  • Responsabilidad general de mantener el cumplimiento de la norma PCI DSS.
  • Definición de un estatuto para un programa de cumplimiento de la norma PCI DSS y comunicación con la dirección ejecutiva.
X
12,5 Asignar a una persona o equipo las siguientes seguridad de la información responsabilidades de gestión: X
12,5.1 Establecer, documentar y distribuir políticas y procedimientos de seguridad. X
12,5,2 Supervisar y analizar alertas e información de seguridad, y distribuir al personal adecuado. X
12.5.3 Establecer, documentar y distribuir el incidente de seguridad respuesta y los procedimientos de remisión a instancias superiores para garantizar la gestión oportuna y eficaz de todas las situaciones. X
12,5,4 Administrar usuario cuentas, incluidas adiciones, eliminaciones y modificaciones. X
12,5,5 Supervisar y controlar todo el acceso a los datos. X
12,6 Implementar un programa formal de concienciación sobre seguridad para que todo el personal sea consciente de la política y procedimientos de seguridad datos del titular de la tarjeta. X
12.6.1 Explique al personal al contratar y al menos una vez al año. X
12.6.2 Requerir al personal que confirme al menos anualmente que ha leído y comprendido la política y los procedimientos de seguridad. X
12,7 Inspeccionar al personal potencial antes de contratar para minimizar el riesgo de ataques de fuentes internas. (Los ejemplos de comprobaciones de antecedentes incluyen historial de empleo anterior, antecedentes penales, historial de crédito y comprobaciones de referencia). X
12,8 Mantener e implementar políticas y procedimientos para gestionar proveedores de servicios con los que se comparta datos del titular de la tarjeta, o que puedan afectar a la seguridad de datos del titular de la tarjeta, de la siguiente manera: X
12.8.1 Mantener una lista de proveedores de servicios, incluida una descripción del servicio prestado. X
12.8.2 Mantener un acuerdo por escrito que incluya un reconocimiento de que los proveedores de servicios son responsables de la seguridad de datos del titular de la tarjeta los proveedores de servicios poseen o de cualquier otra forma almacenan, procesan o transmiten en nombre del cliente, o en la medida en que puedan afectar a la seguridad del datos del titular de la tarjeta entorno del cliente. X
12.8.3 Asegúrese de que existe un proceso establecido para contratar a proveedores de servicios, incluida la debida diligencia debida antes de la contratación. X
12.8.4 Mantener un programa para supervisar el cumplimiento de la norma PCI DSS de los proveedores de servicios estado al menos anualmente. X
12,8,5 Mantener información sobre qué requisitos de PCI DSS se gestionan por cada proveedor de servicios, y cuáles son gestionados por la entidad. X
12,9 Requisito adicional para los proveedores de servicios solamente: los proveedores de servicios reconocen por escrito a los clientes que son responsables de la seguridad de datos del titular de la tarjeta el proveedor de servicios poseen o de otro modo almacenan, procesan o transmiten en nombre del cliente, o en la medida en que pudieran afectar a la seguridad de los clientes datos del titular de la tarjeta entorno. X
12,10 Implementar un plan de incidente respuesta. Esté preparado para responder inmediatamente a una violación del sistema. X

12,10,1 Cree el plan respuesta que se va a implementar en caso de incumplimiento del sistema. Asegúrese de que el plan aborda lo siguiente, como mínimo:

  • Funciones, responsabilidades y estrategias de comunicación y contacto en caso de compromiso, incluida la notificación de las marcas de pago, como mínimo.
  • Procedimientos específicos de incidentes respuesta.
  • Procedimientos de recuperación y continuidad del negocio.
  • Procesos de copia de seguridad de datos.
  • Análisis de requisitos legales para la elaboración de informes.
  • Cobertura y respuestas de todos los componentes críticos del sistema.
  • Referencia o inclusión de los procedimientos de respuesta de las marcas de pago.
X
12,10,2 Revisar y probar el plan, incluidos todos los elementos enumerados en el Requisito 12.10.1, al menos una vez al año. X
12,10,3 Designe al personal específico para que esté disponible las 24 horas del día, los 7 días de la semana, para responder a las alertas. X
12,10,4 Proporcionar formación adecuada al personal con las responsabilidades de seguridad respuesta. X
12,10,5 Incluya alertas de sistemas de seguridad supervisión, incluidos, entre otros, detección de intrusiones, prevención de intrusiones, cortafuegos e integridad de archivos supervisión. X
12,10,6 Desarrollar un proceso para modificar y desarrollar el plan respuesta de acuerdo con las lecciones aprendidas e incorporar los desarrollos del sector. X
12,11 Requisito adicional para los proveedores de servicios: realice revisiones al menos trimestralmente para confirmar que el personal sigue las políticas de seguridad y los procedimientos operativos. Las revisiones deben cubrir los siguientes procesos:
  • Revisiones de registro diario
  • Revisiones de conjunto de reglas de firewall
  • Aplicación de estándares de configuración a nuevos sistemas
  • Responder a alertas de seguridad
  • Procesos de gestión de cambios
X

12.11.1 Requisito adicional para los proveedores de servicios: mantener la documentación del proceso de revisión trimestral para incluir:

  • Documentar los resultados de las revisiones.
  • Revisión y aprobación de los resultados por parte del personal asignado a la responsabilidad del programa de cumplimiento de la norma PCI DSS.
X

Requisito de PCI DSS N/D Genesys Cloud Cliente Característica Notas
A1 Proteja las entidades (es decir, comerciante, proveedor de servicios u otra entidad) alojadas entorno y datos, según A1.1 a A1.4:
Un proveedor de alojamiento debe cumplir estos requisitos, así como todas las demás secciones relevantes de la PCI DSS.
X
R1.1 Asegúrese de que cada entidad ejecute únicamente procesos que tengan acceso a la entidad datos del titular de la tarjeta entorno. X
R1.2 Restrinja el acceso y privilegios de cada entidad solo a datos del titular de la tarjeta entorno. X
R1.3 Asegúrese de que los registros de registro y auditoría estén habilitados y sean únicos para cada entidad datos del titular de la tarjeta entorno y de acuerdo con la norma PCI DSS 10. X
R1.4 Permitir que los procesos proporcionen una investigación forense oportuna en caso de un compromiso de cualquier comerciante alojado o proveedor de servicios. X