Cumplimiento de PCI DSS con Mobile Device Manager Plus

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) se desarrolló para publicar normas que garantizan la seguridad de los datos de los titulares de tarjetas. El PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de los titulares de tarjetas. El PCI DSS aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirientes, emisores y prestadores de servicios, y también entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD).

¿Qué es el PCI?

De acuerdo con el PCI DSS, hay 12 requisitos diferentes con respecto a la seguridad de los datos de los titulares de tarjetas. Todas las compañías que aceptan, almacenan, procesan o transmiten información de tarjetas en línea o fuera de línea deben adherirse a los requisitos. Consulte el siguiente resumen para ver los requisitos.

Requisito Descripción de los requisitos
Crear y mantener protegidos las redes y los sistemas
  • Instale y mantenga una configuración de firewall para proteger los datos de los titulares de tarjetas
  • No use los ajustes predeterminados de los proveedores para las contraseñas del sistema y otros parámetros de seguridad
Proteger los datos de los titulares de tarjetas
  • Proteja los datos almacenados de los titulares de tarjetas
  • Codifique la transmisión de datos de los titulares de tarjetas en las redes abiertas y públicas
Mantener un programa de gestión de vulnerabilidades
  • Proteja todos los sistemas frente a malware y actualice regularmente el software o los programas antivirus
  • Desarrolle y mantenga sistemas y aplicaciones seguros
Implementar fuertes medidas de control de acceso
  • Restrinja el acceso a los datos de los titulares de tarjetas según las necesidades corporativas para conocer la información
  • Identifique y autentique el acceso a los componentes del sistema
  • Restrinja el acceso físico a los datos de los titulares de tarjetas
Monitorear y evaluar regularmente las redes
  • Supervise y monitoree todo el acceso a los recursos de red y a los datos de los titulares de tarjetas
  • Evalúe regularmente los sistemas y procesos de seguridad
Mantener una política de seguridad para la información
  • Mantenga una política que aborda la seguridad para la información para todo el personal

¿Cómo ayuda Mobile Device Manager Plus?

Mobile Device Manager Plus tiene en cuenta los requisitos relacionados con dispositivos móviles que se utilizan en las compañías, mientras que Desktop Central se puede usar para garantizar el cumplimiento con respecto a los desktops y servidores que se utilizan.

Requisito Descripción de los requisitos ¿Cómo Mobile Device Manager Plus logra esto?
1.4

Instalar software de firewall personal en cualquier dispositivo móvil y/o propiedad de empleados que se conectan con internet cuando están fuera de la red (por ejemplo, computadoras portátiles utilizadas por los empleados) y que también se usan para acceder a la red.

Mobile Device Manager Plus permite instalar aplicaciones de firewall y permite a los administradores de TI monitorear el estado de las aplicaciones mediante una consola de inventario. Además, la gestión de aplicaciones restringirá que los usuarios desinstalen las aplicaciones implementadas por Mobile Device Manager Plus.

2.1 Siempre cambiar los ajustes predeterminados de los proveedores y eliminar o deshabilitar las cuentas predeterminadas innecesarias antes de instalar un sistema en la red.

Mobile Device Manager Plus permite la creación y configuración de contraseñas estrictas para proteger los dispositivos y prevenir que los intrusos pirateen los dispositivos.

2.4

Mantener un inventario de los componentes del sistema que están en el alcance del PCI DSS.

Mobile Device Manager Plus analiza los dispositivos móviles en la red periódicamente para recopilar detalles de hardware y software y los almacena en la base de datos. Así, los administradores de TI podrán obtener información actualizada de los activos/el inventario como informes.
7.1.1

Definir las necesidades de acceso para cada rol, incluyendo:

Componentes del sistema y recursos de datos que cada rol necesita para acceder a su función laboral

Nivel de privilegio requerido (por ejemplo, usuario, administrador, etc.) para acceder a los recursos.

El RBAC (Control de acceso basado en roles) de Mobile Device Manager Plus permite al personal de TI delegar las actividades rutinarias a los usuarios escogidos con niveles de permiso bien definidos. El administrador de TI puede designar cualquier número de roles y asignar permisos según lo requieran las políticas.

8.1.4

Eliminar/deshabilitar las cuentas de usuarios inactivas al menos cada 90 días.

Mobile Device Manager Plus notifica a los administradores de TI si el dispositivo no está activo durante un número de días determinado. Esta notificación garantiza que el administrador de TI esté actualizado con respecto al estado del dispositivo en la red empresarial.

8.1.6 Limitar los intentos de acceso repetidos al bloquear la ID del usuario luego de seis intentos.

Mobile Device Manager Plus ayuda al administrador de TI a establecer un número limitado de intentos de contraseña para el usuario. Si el número de intentos de contraseña excede el límite, los datos presentes en el dispositivo serán limpiados.

8.1.7

Establecer la duración del bloqueo a un mínimo de 30 minutos o hasta que un administrador habilite la ID del usuario.

Mobile Device Manager Plus permite al administrador de TI especificar el límite de tiempo durante el cual permanecerá bloqueada la pantalla dispositivo. Si el dispositivo permanece inactivo durante más tiempo del permitido, el sistema se bloquea automáticamente.

8.2.3

Las contraseñas/frases deben cumplir lo siguiente:

Requieren una longitud mínima de al menos siete caracteres

Contener caracteres alfanuméricos.

Mobile Device Manager Plus permite a los administradores de TI definir parámetros para crear una política de contraseñas y configurar los ajustes de contraseña, como caracteres alfanuméricos, la longitud de la contraseña. etc.

8.2.4 Cambiar las contraseñas/frases de contraseñas de los usuarios al menos cada 90 días.

Mobile Device Manager Plus proporciona una opción para especificar el número de días para restablecer la contraseña.

8.2.5

No permitir que una persona utilice una nueva contraseña/frase que es igual a cualquiera de las últimas cuatro contraseñas/frases que ha utilizado.

Mobile Device Manager Plus permite mantener un historial de contraseñas, lo que significa que un administrador de TI puede especificar el número de contraseñas previas que se deben mantener, de forma que los usuarios no las reutilicen.

12.3

Desarrollar políticas de uso para las tecnologías críticas y definir el uso adecuado de estas tecnologías.

Mobile Device Manager Plus le permite al administrador de TI implementar políticas como configurar contraseñas y restringir el uso de la cámara, YouTube, navegador Safari, etc. También proporciona acceso a las cuentas corporativas como correos electrónicos, Wi-Fi, VPN y mucho más.

12.3.9 Activar la tecnología de acceso remoto para los vendedores y socios comerciales solo cuando se necesiten, con desactivación inmediata tras su uso.

Con Mobile Device Manager Plus, el usuario final puede iniciar una sesión remota con el permiso en el dispositivo. Luego de que se complete la sesión o resolución de problemas requerida, se puede desactivar la sesión.

12.5.4

Administrar las cuentas de usuarios, incluidas adiciones, eliminaciones y modificaciones.

El RBAC (Control de acceso basado en roles) de Mobile Device Manager Plus le permitirá configurar roles de usuario, que incluye la creación, modificación y eliminación de roles.

12.5.5

Monitorear y controlar todos los accesos a los datos.

Mobile Device Manager Plus permite a los administradores de Ti aplicar restricciones y políticas que controlen el acceso a los datos en los dispositivos móviles.