Matriz de responsabilidad del cliente de PCI DSS

• Se definen ajustes de configuración específicos.
• El firewall personal (o una funcionalidad equivalente) se está ejecutando activamente.
• Los usuarios de los dispositivos informáticos portátiles no pueden modificar el firewall personal (o una funcionalidad equivalente).

• Limitar la cantidad de almacenamiento de datos y el tiempo de retención a lo requerido por los requisitos legales, reglamentarios y / o comerciales.
• Requisitos de retención específicos para los datos del titular de la tarjeta
• Procesos para la eliminación segura de datos cuando ya no se necesitan.
• Un proceso trimestral para identificar y eliminar de forma segura los datos almacenados del titular de la tarjeta que exceden la retención definida.

• Hash unidireccional basado en criptografía sólida (el hash debe ser de todo el PAN).
• Truncamiento (el hash no se puede utilizar para reemplazar el segmento truncado de PAN).
• Fichas de índice y almohadillas (las almohadillas deben almacenarse de forma segura)
• Criptografía sólida con procesos y procedimientos de gestión de claves asociados.

• Detalles de todos los algoritmos, protocolos y claves utilizados para la protección de los datos del titular de la tarjeta, incluida la fuerza de la clave y la fecha de vencimiento.
• Descripción del uso de claves para cada clave.
• Inventario de los HSM y otros SCD utilizados para la gestión de claves.

• Cifrado con una clave de cifrado de clave que es al menos tan fuerte como la clave de cifrado de datos y que se almacena por separado de la clave de cifrado de datos.
• Dentro de un dispositivo criptográfico seguro (como un módulo de seguridad de hardware (host) (HSM) o un dispositivo de punto de interacción aprobado por PTS).
• Como al menos dos componentes clave completos o acciones clave, de acuerdo con un método aceptado por la industria.

• Solo se aceptan claves y certificados de confianza.
• El protocolo en uso solo admite versiones o configuraciones seguras.
• La fuerza del cifrado es apropiada para la metodología de cifrado en uso.

Genesys Cloud no almacena datos de titulares de tarjetas. El cliente es responsable de utilizar Genesys Cloud en una configuración compatible con PCI para garantizar que los datos del titular de la tarjeta no se almacenen en Genesys Cloud.

• Se mantienen actualizados.
• Realice exploraciones periódicas.
• Genere registros de auditoría que se conservan según el requisito 10.7 de las PCI DSS.

• De acuerdo con PCI DSS (por ejemplo, autenticación y registro seguros).
• Basado en estándares de la industria y / o mejores prácticas.
• Incorporación de la seguridad de la información a lo largo del ciclo de vida del desarrollo de software.

• Los cambios de código son revisados por personas distintas del autor del código de origen y por personas con conocimientos sobre las técnicas de revisión de código y las prácticas de codificación segura.
• Las revisiones de código garantizan que el código se desarrolle de acuerdo con las pautas de codificación segura.
• Las correcciones apropiadas se implementan antes de la publicación.
• Los resultados de la revisión del código son revisados y aprobados por la gerencia antes de su publicación.

• Capacite a los desarrolladores al menos una vez al año en técnicas de codificación segura actualizadas, incluida la forma de evitar vulnerabilidades de codificación comunes.
• Desarrolle aplicaciones basadas en pautas de codificación segura.

6.6 Para las aplicaciones web de cara al público, aborde las nuevas amenazas y vulnerabilidades de forma continua y asegúrese de que estas aplicaciones estén protegidas contra ataques conocidos mediante cualquiera de los siguientes métodos:

• Revisar las aplicaciones web de cara al público a través de herramientas o métodos de evaluación de seguridad de vulnerabilidades de aplicaciones manuales o automatizados, al menos una vez al año y después de cualquier cambio.
• Instalar una solución técnica automatizada que detecte y evite los ataques basados en la web (por ejemplo, un firewall de aplicaciones web) frente a las aplicaciones web de cara al público, para verificar continuamente todo el tráfico.

6.7 Asegúrese de que las políticas de seguridad y los procedimientos operativos para desarrollar y mantener sistemas y aplicaciones seguros estén documentados, en uso y sean conocidos por todas las partes afectadas.

• Componentes del sistema y recursos de datos a los que cada rol necesita acceder para su función laboral.
• Nivel de privilegio requerido (por ejemplo, usuario, administrador, etc.) para acceder a los recursos.

• Habilitado solo durante el período de tiempo necesario y deshabilitado cuando no está en uso.
• Monitoreado cuando está en uso.

• Algo que sepa, como una contraseña o una frase de contraseña.
• Algo que tenga, como un dispositivo token o una tarjeta inteligente.
• Algo que eres, como un biométrico.

8.2.3 Las contraseñas / frases de contraseña deben cumplir con lo siguiente:

• Requiere una longitud mínima de al menos siete caracteres.
• Contienen caracteres numéricos y alfabéticos.

Alternativamente, las contraseñas / frases de contraseña deben tener una complejidad y solidez al menos equivalentes a los parámetros especificados anteriormente.

8.4 Documentar y comunicar las políticas y los procedimientos de autenticación a todos los usuarios, incluidos:

• Orientación sobre la selección de credenciales de autenticación sólidas.
• Orientación sobre cómo los usuarios deben proteger sus credenciales de autenticación.
• Instrucciones para no reutilizar contraseñas utilizadas anteriormente.
• Instrucciones para cambiar contraseñas si existe alguna sospecha de que la contraseña podría estar comprometida.

8.5 No utilice identificaciones, contraseñas u otros métodos de autenticación de grupo, compartidos o genéricos de la siguiente manera:

• Los ID de usuario genéricos están deshabilitados o eliminados.
• No existen ID de usuario compartidos para la administración del sistema y otras funciones críticas.
• Las ID de usuario compartidas y genéricas no se utilizan para administrar ningún componente del sistema.

8.6 Cuando se utilicen otros mecanismos de autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), el uso de estos mecanismos debe asignarse de la siguiente manera:

• Los mecanismos de autenticación deben asignarse a una cuenta individual y no compartirse entre varias cuentas.
• Deben existir controles físicos y / o lógicos para garantizar que solo la cuenta prevista pueda utilizar ese mecanismo para obtener acceso.

8.7 Todo acceso a cualquier base de datos que contenga datos de titulares de tarjetas (incluido el acceso de aplicaciones, administradores y todos los demás usuarios) está restringido de la siguiente manera:

• Todo el acceso de los usuarios, las consultas de los usuarios y las acciones de los usuarios en las bases de datos se realizan a través de métodos programáticos.
• Solo los administradores de bases de datos tienen la capacidad de acceder directamente o consultar bases de datos.
• Los ID de aplicación para aplicaciones de base de datos solo pueden ser utilizados por las aplicaciones (y no por usuarios individuales u otros procesos que no sean de aplicación).

• Identificar al personal y visitantes en el sitio (por ejemplo, asignar insignias).
• Cambios en los requisitos de acceso.
• Revocación o despido del personal en el sitio e identificación de visitante vencida (como tarjetas de identificación).

• El acceso debe estar autorizado y basarse en la función laboral individual.
• El acceso se revoca inmediatamente después de la terminación y todos los mecanismos de acceso físico, como llaves, tarjetas de acceso, etc., se devuelven o desactivan.

9.4.4 Se utiliza un registro de visitantes para mantener un registro de auditoría físico de la actividad de los visitantes en las instalaciones, así como en las salas de computadoras y los centros de datos donde se almacenan o transmiten los datos de los titulares de tarjetas.

Documente el nombre del visitante, la empresa representada y el personal en el sitio que autoriza el acceso físico en el registro.

Conserve este registro durante un mínimo de tres meses, a menos que la ley lo prohíba.

9.9.1 Mantenga una lista actualizada de dispositivos. La lista debe incluir lo siguiente:

• Marca, modelo de dispositivo.
• Ubicación del dispositivo (por ejemplo, la dirección del sitio o instalación donde se encuentra el dispositivo).
• Número de serie del dispositivo u otro método de identificación única.

9.9.3 Brinde capacitación para que el personal esté al tanto de intentos de alteración o reemplazo de dispositivos. La capacitación debe incluir lo siguiente:

• Verifique la identidad de cualquier tercero que afirme ser personal de reparación o mantenimiento, antes de otorgarles acceso para modificar o solucionar problemas de dispositivos.
• No instale, reemplace ni devuelva dispositivos sin verificación.
• Tenga en cuenta el comportamiento sospechoso alrededor de los dispositivos (por ejemplo, intentos de personas desconocidas de desenchufar o abrir dispositivos).
• Informe el comportamiento sospechoso y los indicios de manipulación o sustitución del dispositivo al personal apropiado (por ejemplo, a un gerente o un oficial de seguridad).

• Todos los eventos de seguridad.
• Registros de todos los componentes del sistema que almacenan, procesan o transmiten CHD y / o SAD.
• Registros de todos los componentes críticos del sistema.
• Registros de todos los servidores y componentes del sistema que realizan funciones de seguridad (por ejemplo, firewalls, sistemas de detección de intrusiones / sistemas de prevención de intrusiones (IDS / IPS), servidores de autenticación, servidores de redireccionamiento de comercio electrónico, etc.).

• Cortafuegos
• IDS / IPS
• FIM
• Antivirus
• Controles de acceso físico
• Controles de acceso lógico
• Mecanismos de registro de auditoría
• Controles de segmentación (si se utilizan)

• Restauración de funciones de seguridad.
• Identificar y documentar la duración (fecha y hora de inicio a fin) de la falla de seguridad.
• Identificar y documentar la (s) causa (s) de falla, incluida la causa raíz, y documentar la reparación necesaria para abordar la causa raíz.
• Identificar y abordar cualquier problema de seguridad que surgió durante la falla.
• Realizar una evaluación de riesgos para determinar si se requieren más acciones como resultado de la falla de seguridad.
• Implementar controles para evitar que la causa de la falla vuelva a ocurrir.
• Reanudación del seguimiento de los controles de seguridad.

• Se basa en enfoques de pruebas de penetración aceptados por la industria (por ejemplo, NIST SP800-115).
• Incluye cobertura para todo el perímetro de CDE y sistemas críticos.
• Incluye pruebas tanto dentro como fuera de la red.
• Incluye pruebas para validar cualquier control de segmentación y reducción de alcance.
• Define las pruebas de penetración de la capa de aplicación para incluir, como mínimo, las vulnerabilidades enumeradas en el Requisito 6.5.
• Define las pruebas de penetración de la capa de red para incluir componentes que admiten funciones de red y sistemas operativos.
• Incluye revisión y consideración de amenazas y vulnerabilidades experimentadas en los últimos 12 meses.
• Especifica la retención de los resultados de las pruebas de penetración y los resultados de las actividades de remediación.

11.4 Utilice técnicas de detección y / o prevención de intrusiones para detectar y / o prevenir intrusiones en la red. Supervise todo el tráfico en el perímetro del entorno de datos de titulares de tarjetas, así como en puntos críticos en el entorno de datos de titulares de tarjetas, y avise al personal sobre posibles riesgos.

Mantenga actualizados todos los motores de detección y prevención de intrusiones, líneas de base y firmas.

• Se realiza al menos una vez al año y ante cambios significativos en el entorno (por ejemplo, adquisición, fusión, reubicación, etc.).
• Identifica activos críticos, amenazas y vulnerabilidades, y
• Da como resultado un análisis de riesgo formal y documentado.

12.3.2 Garantizar que se realiza un análisis de riesgos específico para cada requisito de PCI DSS que la entidad cumple con el enfoque personalizado, para incluir:

• Pruebas documentadas que detallen cada uno de los elementos especificados en el Apéndice D: Enfoque personalizado (incluyendo, como mínimo, una matriz de controles y un análisis de riesgos)
• Aprobación de las pruebas documentadas por la alta dirección
• Realización del análisis de riesgos específico al menos una vez cada 12 meses.

[NOTAS DE APLICABILIDAD]: Este requisito sólo se aplica a las entidades que utilizan un enfoque personalizado.

12.3.11 Para el personal que accede a los datos de los titulares de tarjetas a través de tecnologías de acceso remoto, prohíba copiar, mover y almacenar los datos de los titulares de tarjetas en discos duros locales y medios electrónicos extraíbles, a menos que se autorice explícitamente para una necesidad comercial definida.

Cuando exista una necesidad comercial autorizada, las políticas de uso deben requerir que los datos estén protegidos de acuerdo con todos los Requisitos de las PCI DSS aplicables.

12.4.1 Requisito adicional solo para proveedores de servicios: La dirección ejecutiva deberá establecer la responsabilidad de la protección de los datos de los titulares de tarjetas y un programa de cumplimiento de PCI DSS que incluya:

• Responsabilidad general para mantener el cumplimiento de PCI DSS.
• Definición de un estatuto para un programa de cumplimiento de PCI DSS y comunicación a la gerencia ejecutiva.

12.5.2 Garantizar que la entidad documente y confirme el alcance de la norma PCI DSS al menos una vez cada 12 meses y cuando se produzcan cambios significativos en el entorno afectado. Como mínimo, la validación del alcance debe incluir:

• Identificar todos los flujos de datos para las distintas etapas de pago (por ejemplo, autorización, liquidación de capturas, devoluciones de cargo y reembolsos) y canales de aceptación (por ejemplo, tarjeta presente, tarjeta no presente y comercio electrónico).
• Actualización de todos los diagramas de flujo de datos según el requisito 1.2.4
• Identificación de todas las ubicaciones en las que se almacenan, procesan y transmiten los datos de la cuenta, incluidas, entre otras, las siguientes: 1) cualquier ubicación fuera del CDE definido actualmente, 2) aplicaciones que procesan CHD, 3) transmisiones entre sistemas y redes, y 4) copias de seguridad de archivos.
• Identificación de todos los componentes del sistema en el CDE, conectados al CDE o que podrían afectar a la seguridad del CDE.
• Identificación de todos los controles de segmentación en uso y del entorno o entornos de los que está segmentado el CDE, incluida la justificación de los entornos que quedan fuera del ámbito de aplicación.
• Identificación de todas las conexiones de terceras entidades con acceso al CDE
• Confirmar que todos los flujos de datos identificados, datos de cuentas, componentes del sistema, controles de segmentación y conexiones de terceros con acceso al CDE están incluidos en el ámbito de aplicación.

[NOTAS DE APLICABILIDAD]: Esta confirmación anual del alcance de la PCI DSS es una actividad que se espera que realice la entidad evaluada, y no es lo mismo, ni pretende ser sustituida por la confirmación del alcance realizada por el evaluador de la entidad durante la evaluación anual.

12.9.1 Requisito adicional solo para proveedores de servicios: Los TPSP apoyan las solicitudes de información de sus clientes para cumplir los Requisitos 12.8.4 y 12.8.5 proporcionando lo siguiente a petición del cliente:

• Información sobre el estado de cumplimiento de PCI DSS para cualquier servicio que el TPSP preste en nombre de los clientes (requisito 12.8.4)
• Información sobre qué requisitos PCI DSS son responsabilidad del PSCPV y cuáles son responsabilidad del cliente, incluida cualquier responsabilidad compartida (requisito 12.8.5).

[NOTAS DE APLICABILIDAD]: Este requisito sólo se aplica cuando la entidad evaluada es un proveedor de servicios.

12.10.1 Cree el plan de respuesta a incidentes que se implementará en caso de incumplimiento del sistema. Asegúrese de que el plan aborde lo siguiente, como mínimo:

• Roles, responsabilidades y estrategias de comunicación y contacto en caso de compromiso, incluida la notificación de las marcas de pago, como mínimo.
• Procedimientos específicos de respuesta a incidentes.
• Procedimientos de recuperación y continuidad empresarial.
• Procesos de respaldo de datos.
• Análisis de requisitos legales para reportar compromisos.
• Cobertura y respuestas de todos los componentes críticos del sistema.
• Referencia o inclusión de procedimientos de respuesta a incidentes de las marcas de pago.

• Revisiones diarias de registros
• Revisiones de conjuntos de reglas de firewall
• Aplicar estándares de configuración a nuevos sistemas
• Responder a las alertas de seguridad
• Procesos de gestión de cambios

12.11.1 Requisito adicional solo para proveedores de servicios: Mantener la documentación del proceso de revisión trimestral para incluir:

• Documentar los resultados de las revisiones.
• Revisión y aprobación de los resultados por parte del personal asignado a la responsabilidad del programa de cumplimiento de PCI DSS.