Cumplimiento PCI DSS

Descripción

En el siguiente documento se explica en detalle cómo Endpoint Central puede ayudar a las empresas a cumplir determinados requisitos de la norma PCI DSS. Para conocer la lista detallada de todos los productos Zoho/ManageEngine que cumplen con PCI DSS y otros estándares regulatorios, consulte Cumplimiento en Zoho.


 

 

Garantizar el cumplimiento de Endpoint Central para el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI)

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) se desarrolló para fomentar y mejorar la seguridad de los datos de las cuentas de tarjetas de pago y facilitar la adopción generalizada de medidas coherentes de seguridad de datos a nivel mundial. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas. Aunque está diseñado específicamente para centrarse en entornos con datos de cuentas de tarjetas de pago, el PCIDSS también puede utilizarse para protegerse contra amenazas y asegurar otros elementos del entorno de pagos.

Según el PCI DSS, existen 12 requisitos diferentes relativos a la seguridad de los datos de los titulares de tarjetas. Todos los comercios que acepten, almacenen, procesen o transmitan información de tarjetas en línea o fuera de línea deben cumplir los requisitos. Por favor, consulte el siguiente resumen.

Resumen general de PCI DSS

RequisitoDescripción
Construir y mantener redes y sistemas seguros
  • Instale y mantenga los controles de seguridad de la red.
  • Aplique configuraciones seguras a todos los componentes del sistema.
Proteger los datos de la cuenta
  • Proteja los datos almacenados de la cuenta.
  • Proteja los datos de los titulares de tarjetas con una criptografía robusta durante la transmisión a través de redes abiertas y públicas.
Mantener un programa de gestión de vulnerabilidades
  • Proteja todos los sistemas y redes del software malicioso.
  • Desarrolle y mantenga sistemas y software seguros.
Implementar fuertes medidas de control de acceso
  • Restrinja el acceso a los componentes del sistema y a los datos de los titulares de tarjetas según la necesidad de conocimiento de la empresa.
  • Identifique a los usuarios y autentique el acceso a los componentes del sistema.
  • Restrinja el acceso físico a los datos de los titulares de tarjetas.
Monitorear y probar regularmente las redes
  • Registre y monitoree todos los accesos a los componentes del sistema y a los datos de los titulares de tarjetas.
  • Ponga a prueba la seguridad de los sistemas y redes con regularidad.
Mantener una política de seguridad de la información
  • Respalde la seguridad de la información con políticas y programas organizativos

Requisitos PCI DSS 4.0 cumplidos por Endpoint Central

Veamos cómo las empresas pueden utilizar ManageEngine Endpoint Central, la solución de gestión de equipos de desktop y dispositivos móviles, para cumplir con los requisitos de PCI DSS. Este documento ayudará al equipo de TI a comprender Endpoint Central de ManageEngine y cómo puede ayudar a cumplir los requisitos de PCI DSS.

La siguiente tabla resume los requisitos de control de PCI DSS que cumple Endpoint Central. La descripción de los requisitos que aparece en la lista está tomada de la página web del PCI Security Standards Council: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf

Note: Los requisitos marcados con # pueden cumplirse con las funciones avanzadas que son exclusivas de la edición de seguridad de Endpoint Central.

RequisitoDescripción del requisito¿Cómo cumple el requisito Endpoint Central?
1.2.6 (#)Las funciones de seguridad se definen e implementan para todos los servicios, protocolos y puertos que están en uso y que se consideran inseguros, de forma que se mitigue el riesgo.

Endpoint Central, con sus funciones de evaluación de amenazas, identifica los puntos de entrada vulnerables (puertos, software vulnerable, etc.) en su red y aplica correcciones para los mismos.


Consulte: 
Control de dispositivos para auditorías de puertos (#)
Auditoría de software (#)

1.3.2 (#)

El tráfico saliente del CDE está restringido de la siguiente manera:

  • A solo el tráfico que sea necesario.
  • El resto del tráfico está específicamente denegado.

Las avanzadas técnicas de prevención de pérdida de datos de Endpoint Central, con su efectiva solución de protección del correo electrónico y la carga en la nube, restringen los datos críticos de la empresa para que solo se compartan con dominios de confianza, ya sea por correo electrónico o carga en la nube.


Consulte:
Seguridad del correo electrónico (#)
Protección en la nube (#)

1.5.1 (#)

Los controles de seguridad se implementan en cualquier equipo informático, incluidos los dispositivos propiedad de la empresa y de los empleados, que se conecten tanto a redes que no sean de confianza (incluida Internet) como al CDE de la siguiente manera:

  • Se definen ajustes de configuración específicos para evitar que se introduzcan amenazas en la red de la entidad.
  • Los controles de seguridad funcionan activamente.
  • Los controles de seguridad no pueden ser alterados por los usuarios de los equipos informáticos a menos que estén específicamente documentados y autorizados por la dirección caso por caso durante un periodo limitado.
Mediante el módulo de control de dispositivos de Endpoint Central, se puede implementar e incluso automatizar la estrategia de confianza cero para garantizar la protección y restricción óptimas de todos los datos de los endpoints frente a dispositivos periféricos no aprobados. Endpoint Central también le permite implementar diversas políticas y configuraciones de seguridad en los equipos de los usuarios finales, para imponer restricciones que determinen si pueden conectar dispositivos USB externos o conectarse a redes que no sean de confianza.

Consulte:
Seguridad Zero Trust (#)
Protección de los dispositivos USB
Políticas de seguridad
2.2.1 (#)

Los estándares de configuración se desarrollan, implementan y mantienen para:

  • Cubrir todos los componentes del sistema.
  • Abordar todas las vulnerabilidades de seguridad conocidas.
  • Ser consistente con los estándares de endurecimiento del sistema aceptados por la industria o con las recomendaciones de endurecimiento del proveedor.
  • Ser actualizado a medida que se identifiquen nuevos problemas de vulnerabilidad, tal y como se define en el requisito 6.3.1.
  • Ser aplicado cuando los nuevos sistemas se configuren y verifiquen como en su lugar antes o inmediatamente después de que un componente del sistema se conecte a un entorno de producción.
Endpoint Central le permite identificar las superficies de ataque vulnerables en la red y puede aplicar en consecuencia los pasos de corrección necesarios en los equipos de los agentes. El proceso de aplicación de parches puede ser programado por el administrador en función de la gravedad de la vulnerabilidad detectada.

Consulte:
Implementación automatizada de parches (#)
Lograr el cumplimiento del CIS (#)
2.2.2

Las cuentas predeterminadas de los proveedores se gestionan del siguiente modo:

  • Si se va a utilizar la(s) cuenta(s) predeterminada(s) del proveedor, se cambia la contraseña predeterminada según los requisitos 8.3.6
  • Si la(s) cuenta(s) predeterminada(s) del proveedor no se va(n) a utilizar, la cuenta se elimina o desactiva.

Mediante Endpoint Central, se pueden aplicar políticas de contraseñas estrictas a los equipos de los usuarios finales. Las cuentas que no estén en uso pueden eliminarse.

Consulte:

Política de contraseñas
Gestión de usuarios
Informe del estado de la cuenta de usuario

2.2.4 (#)Solo se habilitan los servicios, protocolos, daemons y funciones necesarios, y se elimina o deshabilita toda la funcionalidad innecesaria.Las configuraciones de listas de bloqueo basadas en políticas, que forman parte del módulo de control de aplicaciones, ayudan a la seguridad restringiendo los procesos innecesarios. Las configuraciones seguras como la protección USB, la gestión de permisos, las políticas de seguridad y las configuraciones de firewall pueden aplicarse utilizando Endpoint Central.

Consulte:
Lista de aplicaciones bloqueadas (#)
Protección de los dispositivos USB
Políticas de seguridad
2.2.6Los parámetros de seguridad del sistema están configurados para evitar usos indebidos.

Los parámetros de seguridad como la configuración del registro, la configuración de permisos de cuentas, archivos y directorios y la configuración de funciones, puertos, protocolos y conexiones remotas pueden modificarse aplicando las configuraciones correspondientes desde Endpoint Central.


Consulte: 
Configuración de los ajustes del Registro

 

5.3.3 (#)Realiza análisis automático de cuando el medio está insertado, conectado o montado lógicamente

Cada vez que un dispositivo periférico intenta conectarse con un endpoint, ya sea por enchufe o por bluetooth, se activa un proceso automatizado que realiza el análisis de auditoría en función de la política creada.


Consulte: 
Análisis y auditoría de dispositivos (#)

6.3.1 (#)

Las vulnerabilidades de seguridad se identifican y gestionan de la siguiente manera:
 

  • Las nuevas vulnerabilidades de seguridad se identifican utilizando fuentes de información sobre vulnerabilidades de seguridad reconocidas por la industria, incluidas las alertas de los equipos de respuesta a emergencias informáticas (CERT) internacionales y nacionales.
  • A las vulnerabilidades se les asigna una clasificación de riesgo basada en las mejores prácticas de la industria y en la consideración del impacto potencial.
  • Las clasificaciones de riesgo identifican, como mínimo, todas las vulnerabilidades consideradas de alto riesgo o críticas para el entorno.
  • Se cubren las vulnerabilidades del software hecho a la medida y personalizado, y del software de terceros (por ejemplo, sistemas operativos y bases de datos).

Endpoint Central identifica las vulnerabilidades de seguridad en la red, enumerando aquellas en función de la prioridad con la que deben abordarse. Las medidas correctoras pueden activarse entonces desde la consola del producto en consecuencia.


Consulte: 
Gestión de vulnerabilidades (#)

6.3.3

Todos los componentes del sistema están protegidos frente a vulnerabilidades conocidas mediante la instalación de los parches/actualizaciones de seguridad aplicables, tal y como se indica a continuación:

  • Los parches/actualizaciones críticos o de alta seguridad (identificados según el proceso de clasificación de riesgos en el requisito 6.3.1) se instalan en el plazo de un mes desde su lanzamiento.
  • Todos los demás parches/actualizaciones de seguridad aplicables se instalan dentro de un plazo adecuado determinado por la entidad (por ejemplo, en los tres meses siguientes al lanzamiento).

Gracias a sus funciones de evaluación y corrección de vulnerabilidades, Endpoint Central garantiza que todos los sistemas de la red estén totalmente cubiertos frente a las amenazas críticas.

La funcionalidad de Implementación Automática de Parches (APD) otorga a los administradores de sistemas la capacidad de actualizar automáticamente cualquiera o todos los parches que falten sin intervención humana.

Consulte: 
Proceso de implementación de parches

7.2.1 (#)Los mínimos privilegios necesarios (por ejemplo, usuario, administrador) para desempeñar una función laboral

La función PoLP (Principio de Mínimos Privilegios) incluida en el módulo de control de aplicaciones es compatible con el concepto de reducir una amplia gama de privilegios al mínimo indispensable para realizar la función. Esta función no se limita a los usuarios, ya que los sistemas, las aplicaciones y los servicios se benefician de la misma.


Consulte: 
Gestión de privilegios (#)

8.2.3Requisitos adicionales solo para proveedores de servicios: Los proveedores de servicios con acceso remoto a las instalaciones de los clientes utilizan factores de autenticación únicos para cada una de ellas.Cuando se utilice Endpoint Central para tomar el control remoto de un sistema, se creará y utilizará una clave de autenticación única que caducará inmediatamente después.
 
8.2.6Las cuentas de usuario inactivas se eliminan o desactivan en un plazo de 90 días de inactividad.

Endpoint Central permite a los administradores de TI encontrar las cuentas de usuario inactivas y eliminarlas.


Consulte: 
Gestión de usuarios
Informes de usuarios de Active Directory

8.2.8Si una sesión de usuario ha estado inactiva durante más de 15 minutos, el usuario deberá volver a autenticarse para reactivar el terminal o la sesión.

Endpoint Central, con su configuración de gestión de energía, puede configurar los equipos de los usuarios finales para que realicen diversas actividades como atenuar o apagar la pantalla, pedir al usuario que introduzca la contraseña cuando el equipo se reanude desde el modo de suspensión, etc.


Consulte:
Gestión de la energía

8.3.1

Todos los accesos de usuarios y administradores a los componentes del sistema se autentican mediante al menos uno de los siguientes factores de autenticación:

  • Algo que usted conoce, como una contraseña o frase de contraseña.
  • Algo que usted tiene, como un dispositivo token o una tarjeta inteligente.
  • Algo que usted es, como un elemento biométrico.

Endpoint Central puede ayudar a crear y configurar contraseñas seguras para proteger los dispositivos y evitar que los intrusos accedan a los endpoints de la organización.


Consulte:
Política de contraseñas 
Perfiles MDM para códigos de acceso

8.3.4 (#)

Los intentos de autenticación no válidos están limitados por:

  • Bloqueo de la identificación del usuario después de no más de 10 intentos.
  • Fijar la duración del bloqueo en un mínimo de 30 minutos o hasta que se confirme la identidad del usuario.
Las funciones de gestión de vulnerabilidades de Endpoint Central permiten al administrador de TI especificar el número permitido de entradas de contraseña, antes de restringir la cuenta, para evitar accesos no autorizados.

Consulte: 
Duración del bloqueo de la cuenta (#)
8.3.7Las personas no pueden enviar una nueva contraseña/frase de contraseña que sea igual a cualquiera de las cuatro últimas contraseñas/frase de contraseña utilizadas.

Las funciones de gestión de dispositivos móviles de Endpoint Central permiten mantener varias contraseñas en el historial, lo que significa que un administrador de TI puede especificar el número de contraseñas anteriores que se mantendrán, para que los usuarios no las reutilicen.

Consulte: 
Código de acceso de MDM Windows

8.3.9Si se utilizan contraseñas/frases de contraseña como único factor de autenticación para el acceso de los usuarios (es decir, en cualquier implementación de autenticación de factor único), entonces: 
• Las contraseñas/frases de contraseña se cambian al menos una vez cada 90 días,
O
• La postura de seguridad de las cuentas se analiza dinámicamente y el acceso a los recursos en tiempo real se determina automáticamente en consecuencia.

Las funcionalidades MDM de Endpoint Central pueden utilizarse para configurar políticas de contraseñas que le permitan establecer ciertas características de las contraseñas como la longitud de la contraseña, la antigüedad máxima del código de acceso, etc. También puede generar un informe personalizado con los datos de los usuarios cuyas contraseñas vayan a caducar pronto.

Consulte: 
Código de acceso de Windows

9.2.3 (#)Seguridad física adecuada sobre el acceso a los componentes y dispositivos inalámbricos.

A través del módulo de control de dispositivos, se puede conceder seguridad apta a los dispositivos, en función de su tipo y uso. Esto abarca desde la seguridad de los puertos USB hasta la conexión inalámbrica para dispositivos bluetooth.


Consulte: 
Seguridad de los dispositivos (#)

9.4.1 (#)Los controles para proteger físicamente los medios tienen por objeto impedir que personas no autorizadas accedan a los datos de los titulares de tarjetas en cualquier medio. Los datos de los titulares de tarjetas son susceptibles de ser vistos, copiados o analizados sin autorización si están desprotegidos mientras se encuentran en medios extraíbles o portátiles, se imprimen o se dejan sobre la mesa de alguien.

Cuando los datos se identifican y categorizan como datos sensibles que contienen detalles relevantes para la PCI, Endpoint Central, con sus técnicas de prevención de pérdida de datos, restringe que los datos críticos de la empresa queden expuestos o se filtren mediante dispositivos de almacenamiento extraíbles o que se impriman o incluso se copien utilizando el enfoque del portapapeles.


Consulte: 
Control de dispositivos (#) 
Amenazas internas (#)

9.4.2 (#)Todos los medios con datos de titulares de tarjetas se clasifican en función de la sensibilidad de los datos.

Con las reglas de datos simplificadas pero efectivas de Endpoint Central, la identificación de los datos críticos de la empresa que contienen códigos bancarios, números de ruta ABA, IBAN (números de cuentas bancarias internacionales) y números de tarjetas de crédito es ahora más efectiva y precisa.


Consulte: 
Descubrimiento de datos (#) 
Clasificación de los datos (#)

12.3.4 (#)

Las tecnologías de hardware y software en uso se revisan al menos una vez cada 12 meses, incluyendo como mínimo lo siguiente:

  • Análisis de que las tecnologías sigan recibiendo las correcciones de seguridad de los proveedores con prontitud.
  • Análisis de que las tecnologías sigan apoyando (y no impidan) el cumplimiento de la PCI DSS por parte de la entidad.
  • Documentación de cualquier anuncio o tendencia de la industria relacionada con una tecnología, como cuando un proveedor ha anunciado planes de "fin de vida" para una tecnología.
  • Documentación de un plan, aprobado por la alta dirección, para remediar las tecnologías obsoletas, incluidas aquellas para las que los proveedores han anunciado planes de "fin de vida".

Endpoint Central monitorea constantemente la red de la entidad en busca de EOL de un software y también puede aplicar correcciones de seguridad para el software cuando sea necesario.


Consulte: 
Auditoría de software al final de su vida útil (#)

12.5.1 (#)Se mantiene y actualiza un inventario de los componentes del sistema que están en el alcance de PCI DSS, incluyendo una descripción de la función/uso.

Endpoint Central mantiene un inventario de activos de TI con detalles asignados a los componentes de TI correspondientes. Combinado con sus avanzadas técnicas de prevención de pérdida de datos, Endpoint Central protege los datos confidenciales frente al creciente número de vectores de amenaza.


Consulte: 
Analice, gestione y proteja los datos (#)
Gestión de inventarios

La esencia del cumplimiento del PCI DSS es que los proveedores deban demostrar unas medidas estrictas de seguridad en los sistemas y procesos para proteger la información de los titulares de las tarjetas. Las desventajas de no seguir los requisitos de PCI DSS son varias; la marca y la reputación de una empresa podrían verse afectadas y la empresa podría tener que pagar fuertes multas, si una violación de la seguridad de los datos afectara a los datos de la tarjeta de pago de algún cliente.

Endpoint Central ayuda a las empresas a mantener el cumplimiento de PCI DSS. Facilita el monitoreo y la gestión de sistemas y dispositivos móviles y proporciona informes a nivel granular.

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas