Cumplir la norma PCI DSS con ManageEngine

No almacene los datos del titular de la tarjeta a menos que sean necesarios para sus operaciones comerciales. Si debe hacerlo, asegúrese de utilizar los métodos de protección necesarios. Estos incluyen el cifrado, el truncamiento, el enmascaramiento y el hash de los datos de la cuenta. Asegúrese de que todas las claves criptográficas y herramientas de cifrado estén documentadas, registradas y protegidas.

Cumpla este requisito con ManageEngine

Escanee periódicamente para detectar datos regulados en su CDE. Configure políticas de retención de datos. Evite fugas de datos a través de correos electrónicos, medios extraíbles e impresoras. Obtenga visibilidad en los entornos SSH y SSL. Tome el control de las claves para evitar infracciones y problemas de cumplimiento.

Evite que se pongan en peligro los datos del titular de la tarjeta durante la transmisión a través de redes inalámbricas mal configuradas cifrando los datos antes de que se transmitan, cifrando la sesión sobre la que se transmiten los datos o haciendo ambas cosas. Utilice una criptografía segura para obtener una mayor seguridad al conservar los datos del titular de la tarjeta.

Cumpla este requisito con ManageEngine

Evalúe y analice la red que almacena, procesa o transmite los datos del titular de la tarjeta con respecto a los requisitos de PCI DSS aplicables. Además, asegúrese de que la información en tránsito a través de redes públicas esté completamente protegida por un cifrado AES de 256 bits de extremo a extremo.

Utilice soluciones antimalware para proteger sus sistemas y redes de las amenazas de malware actuales y en evolución. Acostúmbrese a mantener su software antivirus actualizado, realizar análisis periódicos para detectar vulnerabilidades del sistema y auditar sus logs para que pueda vigilar de cerca las amenazas.

Cumpla este requisito con ManageEngine

Automatice la instalación de software antivirus en los dispositivos de red. También puede realizar evaluaciones periódicas para identificar y evaluar la evolución de las amenazas de malware en los sistemas, además de tomar las medidas necesarias contra dichas amenazas.

Identifique las vulnerabilidades del software y el sistema y aplique los parches de seguridad adecuados. Las vulnerabilidades relacionadas con el software personalizado se pueden evitar aplicando procesos de ciclo de vida del software (SLC) y técnicas de codificación segura.

Cumpla este requisito con ManageEngine

Escanee, identifique y asigne clasificaciones de riesgo a vulnerabilidades de seguridad recién descubiertas. Actualice automáticamente los parches críticos sin intervención humana.

Aplique reglas y mecanismos de control de acceso para evitar el acceso no autorizado a sistemas, aplicaciones y datos críticos. Limite el acceso y otorgue privilegios según el requisito y las obligaciones laborales.

Cumpla este requisito con ManageEngine

Utilice las funciones de control de acceso basado en roles (RBAC) para definir y asignar el acceso a usuarios específicos con niveles de permisos bien definidos. También puede restringir los privilegios al mínimo necesario para desempeñar las obligaciones laborales.

Implemente y gestione medidas sólidas de identificación y autenticación para otorgar acceso a los derechos y privilegios de los usuarios. Establezca, gestione identidades y verifíquelas con la ayuda de factores de autenticación —tales como la autenticación multifactor (MFA)— para fortalecer la seguridad de su CDE.

Cumpla este requisito con ManageEngine

Obtenga informes sobre el estado de las cuentas de usuario, incluidas las de usuarios inactivos, para asegurarse de que los usuarios deshabilitados se eliminen de las listas de acceso a archivos.

También puede definir parámetros para crear políticas de código de acceso, configurar los ajustes del código de acceso, habilitar la autenticación de dos factores (2FA), mantener logs de inventario para todas las actividades relacionadas con la identidad y mucho más.

Establezca mecanismos de seguridad para restringir el acceso físico a los datos del titular de la tarjeta. Esto incluye restringir el ingreso a instalaciones y sistemas que contienen datos de titulares de tarjetas.

Además, asegúrese de proteger físicamente todos los medios que contienen los datos del titular de la tarjeta y destruirlos cuando su empresa ya no los necesite.

Cumpla este requisito con ManageEngine

Mantenga logs de inventario relacionados con los medios que contienen datos de titulares de tarjetas que ayudan a realizar auditorías periódicas de inventario de medios. Esto le permitirá destruir esos medios cuando ya no sean necesarios.

Implemente prácticas de monitoreo y gestión de logs para garantizar que todos los logs relacionados con los componentes del sistema y el CDE se recopilen y analicen. Asegúrese de proteger estos logs de auditoría frente a modificaciones no autorizadas, ya que estos logs ayudan a detectar y alertar de anomalías y actividades sospechosas. También respaldan el análisis forense de eventos.

Cumpla este requisito con ManageEngine

Audite toda la actividad de los usuarios en su CDE en tiempo real e implemente pruebas de auditoría automatizadas para todos los componentes del sistema. Puede realizar copias de seguridad de los archivos de pista de auditoría en un servidor de log centralizado. De esta forma evitará modificaciones no autorizadas.

Controle los cambios realizados por los usuarios con privilegios administrativos y realice un seguimiento de las excepciones y anomalías identificadas durante el proceso de revisión. Nuestras soluciones también ayudan a detectar cambios realizados en archivos críticos y generar alertas oportunas cuando se detectan dichos cambios.

Realice pruebas de penetración y vulnerabilidad para identificar, priorizar y abordar vulnerabilidades de seguridad internas y externas. Lleve a cabo exploraciones con un analizador inalámbrico para detectar e identificar todos los puntos de acceso inalámbrico autorizados y no autorizados. Además, controle las modificaciones de los archivos y las intrusiones de la red.

Cumpla este requisito con ManageEngine

Realice análisis internos de vulnerabilidades para detectar y resolver todas las vulnerabilidades de alto riesgo. También puede implementar un mecanismo de detección de cambios para recibir alertas de forma regular sobre la modificación no autorizada de archivos críticos del sistema, archivos de configuración o archivos de contenido.

Mantenga una política de seguridad de la información que defina claramente las funciones y responsabilidades de seguridad de todo el personal. Esto incluye a los empleados, contratistas y consultores. También debe acostumbrarse a realizar programas relacionados con la seguridad de forma periódica. Estos pueden incluir la evaluación de riesgos, la formación de sensibilización del usuario, la verificación de antecedentes de los empleados y la gestión de incidentes.

Cumpla este requisito con ManageEngine

Desarrolle políticas de uso para tecnologías críticas. Prohíba a los usuarios almacenar o copiar datos de titulares de tarjetas. Monitoree y analice alertas de seguridad e información. También puede realizar evaluaciones de riesgos para identificar activos críticos, amenazas y vulnerabilidades.