CUMPLIMIENTO DE WAZH CON LA NORMA PCI V 4.0

CUMPLIMIENTO DE WAZUH CON LA NORMA PCI V 4.0

CUMPLIMIENTO DE WAZUH CON LA NORMA PCI V 4.0

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información patentado para organizaciones que manejan tarjetas de crédito.
El estándar fue creado para aumentar los controles en torno a los datos de los titulares de tarjetas para reducir el fraude con tarjetas de crédito.
Wazuh ayuda a garantizar el cumplimiento de PCI DSS mediante la recopilación de registros, la comprobación de la integridad de los archivos, la evaluación de la configuración, la detección de intrusiones, las alertas en tiempo real y la respuesta activa.
El panel de control de Wazuh muestra información en tiempo real, lo que permite filtrar por diferentes tipos de campos de alerta, incluidos los controles de cumplimiento. También hemos desarrollado un par de paneles PCI DSS para una visualización conveniente de alertas relevantes.

Requisito 1: instalar y mantener controles de seguridad de red

1.1 Se definen y comprenden los procesos y mecanismos para instalar y mantener los controles de seguridad de la red.
1.2 Los controles de seguridad de la red (NSC) están configurados y mantenidos.
1.4 Se controlan las conexiones de red entre redes confiables y no confiables.
1.3 El acceso a la red hacia y desde el entorno de datos del titular de la tarjeta está restringido.
1.5 Los riesgos para el CDE de los dispositivos informáticos que pueden conectarse tanto a redes que no son de confianza como al CDE.

Requisito 2: aplicar la configuración segura a todos los componentes del sistema

2.1 Los procesos y mecanismos para aplicar una configuración segura a todos los componentes del sistema están definidos.
2.2 Los componentes del sistema se configuran y gestionan de forma segura
2.3 Los entornos inalámbricos se configuran y gestionan de forma segura.

Requisito 3: Proteger los datos de cuenta almacenados

3.1 Se definen y comprenden los procesos y mecanismos para proteger los datos almacenados de la cuenta.
3.2 El almacenamiento de los datos de la cuenta se mantiene al mínimo
3.3 Los datos confidenciales de autenticación SAD no se almacenan después de la autorización.
3.4 El acceso a las pantallas de PAN completo y la capacidad de copiar PAN están restringidos.
3.5 El número de cuenta principal PAN está protegido donde sea que esté almacenado.
3.6 Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas.
3.7 Cuando se utilice la criptografía para proteger los datos almacenados de la cuenta, los procesos de gestión de claves y los procedimientos que cubran todos los aspectos del ciclo de vida clave están definidos e implementados.

Requisito 4: Proteja los datos del titular de la tarjeta con criptografía fuerte durante la transmisión en abierto, público

4.1 Procesos y mecanismos para proteger los datos del titular de la tarjeta con criptografía sólida durante la transmisión
las redes abiertas y públicas están definidas y documentadas.
4.2 PAN está protegido con criptografía fuerte durante la transmisión.

Requisito 5: Proteger todos los sistemas y redes del software malicioso

5.1 Los procesos y mecanismos para proteger todos los sistemas y redes de software malicioso están definidos y comprendido.
5.2 El software malicioso (malware) se previene o detecta y aborda.
5.3 Los mecanismos y procesos antimalware están activos, mantenidos y monitoreados.
5.4 Los mecanismos antiphishing protegen a los usuarios contra ataques de phishing.

Requisito 6: desarrollar y mantener sistemas y software seguros

6.1 Los procesos y mecanismos para desarrollar y mantener sistemas y software seguros están definidos.
6.2 El software a medida y personalizado se desarrolla de forma segura.
6.3 Las vulnerabilidades de seguridad se identifican y abordan.
6.4 Las aplicaciones web públicas están protegidas contra ataques.
6.5 Los cambios en todos los componentes del sistema se gestionan de forma segura.

Requisito 7: Restringir el acceso a los componentes del sistema y los datos del titular de la tarjeta por necesidad comercial

7.1 Procesos y mecanismos para restringir el acceso a los componentes del sistema y los datos del titular de la tarjeta por necesidad comercial.
7.2 El acceso a los componentes y datos del sistema está adecuadamente definido y asignado
7.3 El acceso a los componentes y datos del sistema se gestiona a través de uno o varios sistemas de control de acceso.

Requisito 8: Identificación de usuarios y acceso de autenticación a los componentes del sistema.

8.1 Los procesos y mecanismos para identificar usuarios y autenticar el acceso a los componentes del sistema están definidos.
8.2 La identificación de usuario y las cuentas relacionadas para usuarios y administradores se gestionan estrictamente a lo largo de un ciclo de vida de la cuenta.
8.3 Se establece y administra una autenticación sólida para usuarios y administradores.
8.4 La autenticación multifactor MFA se implementa para asegurar el acceso al CDE.
8.5Los sistemas MFA de autenticación multifactor están configurados para evitar el uso indebido.
8.6 El uso de las cuentas de la aplicación y del sistema y los factores de autenticación asociados se gestiona estrictamente.

Requisito 9: restringir el acceso físico a los datos del titular de la tarjeta.

9.1 Se definen y comprenden los procesos y mecanismos para restringir el acceso físico a los datos del titular de la tarjeta.
9.2 Los controles de acceso físico gestionan la entrada a las instalaciones y sistemas que contienen datos de titulares de tarjetas.
9.3 Se autoriza y gestiona el acceso físico de personal y visitantes.
9.4 Los medios con datos del titular de la tarjeta se almacenan, acceden, distribuyen y destruyen de forma segura.
9.5 Los dispositivos de puntos de interés de punto de interacción están protegidos contra manipulaciones y sustituciones no autorizadas.

Requisito 10: Registrar y monitorear todos los accesos a los componentes del sistema y los datos del titular de la tarjeta.

10.1 Los procesos y mecanismos para registrar y monitorear todos los accesos a los componentes del sistema y los datos del titular de la tarjeta son definidos y documentados.
10.2 Los registros de auditoría se implementan para respaldar la detección de anomalías y actividades sospechosas, y el análisis forense.análisis de eventos.
10.3 Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas.
10.4 Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas.
10.5 El historial del registro de auditoría se conserva y está disponible para su análisis.
10.6 Los mecanismos de sincronización de tiempo admiten ajustes de tiempo consistentes en todos los sistemas.
10.7 Las fallas de los sistemas críticos de control de seguridad se detectan, informan y responden con prontitud.

Requisito 11: Probar la seguridad de los sistemas y redes con regularidad.

11.1 Se definen y comprenden los procesos y mecanismos para probar regularmente la seguridad de los sistemas y redes.
11.2 Los puntos de acceso inalámbrico se identifican y supervisan, y se abordan los puntos de acceso inalámbrico no autorizados.
11.3 Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente.
11.4 Se realizan regularmente pruebas de penetración externas e internas, y vulnerabilidades y seguridad explotables.se corrigen las debilidades.
11.5 Las intrusiones en la red y los cambios inesperados en los archivos se detectan y responden.
11.6 Los cambios no autorizados en las páginas de pago se detectan y responden.

Requisito 12: Apoyar la seguridad de la información con políticas y programas organizacionales.

12.1 Una política integral de seguridad de la información que gobierna y proporciona instrucciones para la protección de los datos de la entidad. los activos de información son conocidos y actuales
12.2 Se definen e implementan políticas de uso aceptable para las tecnologías de usuario final.
12.3 Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y gestionan formalmente
12.4 Se gestiona el cumplimiento de PCI DSS
12.5 El alcance de PCI DSS está documentado y validado
12.6 La educación sobre seguridad es una actividad continua.
12.7 El personal es evaluado para reducir los riesgos de amenazas internas
12.8 Se gestiona el riesgo para los activos de información asociados con las relaciones TPSP de proveedores de servicios de terceros.
12.9 Los proveedores de servicios de terceros (TPSP) respaldan el cumplimiento de PCI DSS de sus clientes.
12.10 Los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE se responden de inmediato

Consúltenos en : www.doblefactor.co