¿Qué es el cumplimiento del PCI DSS?

Consejo sobre Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) formuló el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) con el fin de establecer normas para las organizaciones que almacenan, procesan y transmiten datos de titulares de tarjetas. El PCI DSS busca evitar el robo de datos de identidad al adicionar un nivel extra de protección.

¿Quién debe cumplir con el PCI?

El PCI DSS aplica a todas las compañías que transmiten, almacenan o procesan números de cuentas primarias (PAN) o datos de titulares de tarjetas en y fuera de línea. Los datos de titulares de tarjetas incluyen números de cuentas primarias (PAN), nombre del titular de la tarjeta, fecha de vencimiento, códigos de servicio y datos de autenticación sensibles (SAD). El cumplimiento del PCI DSS es una obligación sin importar el tamaño del comerciante o el número de transacciones con tarjetas procesadas por año.

Básicamente incluye instituciones financieras como bancos, compañías de seguros, firmas de corredores, agencias de préstamo, todos los comerciantes, incluyendo hospitales, farmacias, escuelas, universidades, agencias gubernamentales, restaurantes y compañías de e-commerce y prestadores de servicios. El consejo de la PCI también ha definido las reglas para desarrolladores de software/hardware y fabricantes de dispositivos.

¿Por qué usar un software de acceso remoto que cumpla con el PCI?

Un software de acceso remoto está diseñado para permitir a técnicos autorizados acceder y resolver problemas en equipos alrededor del mundo. Esto podría involucrar el intercambio de datos corporativos dentro y fuera de la infraestructura corporativa en internet. Si su compañía necesita usualmente cumplir con las normas del PCI, entonces necesita grarantizar que su software de acceso remoto cumple con el PCI DSS.

Normas del PCI DSS para software de acceso remoto

Requisito	Descripción del requisito
Compilar y mantener seguros las redes y los sistemas	Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas No usar ajustes predeterminados del proveedor para contraseñas del sistema y otros parámetros de seguridad
Proteger datos de titulares de tarjetas	Proteger datos de titulares de tarjetas almacenados Encriptar la transmisión de datos de titulares de tarjetas en redes abiertas y públicas
Mantener un programa de gestión de vulnerabilidades	Proteger todos los sistemas contra malware y actualizar regularmente el software y programas antivirus Desarrollar y mantener seguros sistemas y aplicaciones
Implementar medidas robustas de control de acceso	Restringir el acceso a los datos de los titulares de tarjetas según las necesidades empresariales Identificar y autenticar el acceso a componentes del sistema Restringir el acceso físico a datos de titulares de tarjetas
Monitorear y evaluar regularmente las redes	Registrar y monitorear todo el acceso a los recursos de red y a los datos de los titulares de tarjetas Evaluar regularmente la seguridad de sistemas y procesos
Mantener una política de seguridad de la información	Mantener una política que aborde la seguridad de la información para todo el personal

¿Remote Access Plus cumple con el PCI DSS?

Remote Access Plus tiene un conjunto de funciones de seguridad que le permitirán cumplir con las normas del PCI DSS v4.0, específicas para soluciones de acceso remoto. La siguiente tabla detalla los requisitos de control del PCI DSS que Remote Access Plus cumple.

La descripción de los requisitos se toma del sitio web del Consejo de Estándares de Seguridad de PCI: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf

Requisito	Descripción del requisito	Función
2.2.2 y 8.3.6.	Las cuentas predeterminadas del proveedor se deben gestionar así: - Si se van a usar las cuentas predeterminadas del proveedor, la contraseña predeterminada se debe cambiar según el requisito - Si no se van a usar las cuentas predeterminadas del proveedor, la cuenta se elimina o deshabilita	Remote Access Plus permite a los administradores y técnicos definir sus propias contraseñas. Adicionalmente, Remote Access Plus sigue políticas estrictas de contraseñas y autenticación de dos factores para eludir a los intrusos. Las cuentas que no se usan se deben eliminar. Consulte: Política de contraseñas
4.2.1	Implementar una criptografía y protocolos de seguridad robustos para salvaguardar los PAN durante la transmisión en redes abiertas y públicas de la siguiente forma: - Solo se aceptan claves y certificados confiables. - Los certificados usados para salvaguardar los PAN durante la transmisión en redes abiertas y públicas se confirman como válidos y no vencen o se revocan. - El protocolo en uso es compatible solo con versiones o configuraciones seguras y no lo es con, o no usa, versiones, algoritmos, keysizes o implementaciones inseguras. - La robustez de la encriptación es adecuada para la metodología de encriptación que se usa.	Remote Access Plus on-premise no almacena datos de clientes. Cada detalle se almacena en una base de datos dentro de la empresa del cliente. En el caso de Remote Access Plus Cloud, toda la información en tránsito en redes públicas se protege completamente mediante una encriptación AES de 256 bit.
7.2.1	Se define un modelo de control de acceso e incluye otorgar el acceso de la siguiente manera: - El acceso adecuado depende de las necesidades corporativas y de acceso de la entidad. - Acceder a componentes del sistema y a recursos de datos que se basen en la clasificación y función laboral del usuario. - Los mínimos privilegios requeridos (por ejemplo, usuario, administrador) para realizar una función laboral.	El modelo de administración de usuarios en Remote Access Plus permite a los administradores definir un alcance para los técnicos y evitar que accedan a información por encima de sus privilegios. Por ejemplo, se puede otorgar acceso a un técnico a un grupo específico de equipos u oficinas remotas, y evitar que acceda remotamente a equipos en otros grupos u oficinas remotas. Remote Access Plus puede ajustarse para permitir la aprobación de usuarios finales cada vez antes de iniciar sesiones remotas. Solo tras la confirmación del usuario, los técnicos podrán acceder al equipo.
7.2.3	El personal autorizado aprueba los privilegios requeridos.	Los administradores de Remote Access Plus pueden establecer permisos regulares a los técnicos. La autorización a herramientas que se usan para enviar/recibir archivos, acceder al símbolo del sistema se puede otorgar o revocar para técnicos y administradores.
8.2.1	A todos los usuarios se les asigna una ID única antes de acceder a componentes del sistema o a los datos de titulares de tarjetas.	Los técnicos no pueden ver, acceder o modificar los ajustes que los administradores establezcan. Los técnicos se asignan con contraseñas únicas. En el caso de Remote Access Plus Cloud, los técnicos pueden establecer sus propias contraseñas. Los administradores pueden también revocar instantáneamente el acceso a técnicos que ya no hagan parte de la compañía.
8.2.3	Requisitos adicionales solo para prestadores de servicios: Los prestadores de servicios con acceso remoto a instalaciones de clientes usan factores de autenticación únicos para cada una de ellas.	Para garantizar la seguridad de sus cuentas, es crucial tener un plan de seguridad robusto que empiece antes de que inicie sesión. Mejorar la seguridad de su proceso de inicio de sesión con MFA (autenticación multi factor), 2FA (autenticación de dos factores), SSO (inicio de sesión único) y SAML (lenguaje de marcado para confirmaciones de seguridad). Al usar 2FA, puede emplear aplicaciones como Zoho OneAuth, Google Authenticator, Microsoft Authenticator o Gmail para una capa extra de protección durante el inicio de sesión. Consulte : Software para el acceso remoto seguro
8.2.6	Garantizar que se eliminen o deshabiliten cuentas de usuarios inactivos tras 90 días de inactividad.	Remote Access Plus da a los administradores la capacidad de deshabilitar o bloquear cuentas inactivas. Los administradores pueden automatizar el proceso de inhabilitación de cuentas al especificar el número de días que un equipo puede permanecer inactivo antes de deshabilitarlo.
8.2.8	Si la sesión de un usuario ha estado inactiva por más de 15 minutos, se requiere que el usuario vuelva a autenticarse para reactivar la terminal o sesión.	En Remote Access Plus, cuando un usuario permanece inactivo por un tiempo específico, se requiere que vuelvan a autenticarse usando sus credenciales. La consola del producto permite ajustar el tiempo inactivo dentro de un rango de 10 minutos a 8 horas.
8.3.3	Se verifica la identidad de los usuarios antes de modificar cualquier factor de autenticación.	Antes de modificar cualquier información, el usuario debe autenticarse usando sus credenciales. Por ejemplo, si un usuario desea cambiar su contraseña, se requerirá que ingrese su contraseña actual como medida de seguridad antes de establecer una nueva contraseña.
8.3.4	Los intentos inválidos de autenticación se limitan a: - Bloquear la ID del usuario después de máximo 10 intentos. - Establecer la duración del bloqueo a un mínimo de 30 minutos o hasta que se confirme la identidad del usuario.	Remote Access Plus le permite personalizar las políticas de contraseñas, otorgándole control sobre varios aspectos. Una de las funciones de la personalización de políticas de contraseñas es la capacidad de habilitar el bloqueo de cuentas de usuarios para intentos inválidos de inicio de sesión. Tiene la flexibilidad de especificar el número de intentos inválidos de inicio de sesión permitidos antes de bloquear una cuenta. Adicionalmente, puede definir la duración para la cual la cuenta permanece bloqueada luego de llegar al máximo número de intentos inválidos de inicio de sesión.
8.3.7	No se permite a las personas presentar una nueva contraseña/frase de contraseña iguales a las últimas cuatro contraseñas/frases de contraseña usadas.	Remote Access Plus permite la retención de varias contraseñas en su historial. Los administradores de TI puede determinar el número deseado de contraseñas previas que se guardarán. Esta funcionalidad evita que los usuarios vuelvan a usar sus contraseñas previas.
8.3.9	Si se usan contraseñas/frases de contraseñas como el único factor de autenticación para el acceso de los usuarios (es decir, en cualquier implementación de un solo factor) entonces: - Las contraseñas/frases de contraseña se cambian al menos una vez cada 90 días, O - La postura de seguridad de las cuentas se analiza dinámicamente y se determina automáticamente el acceso en tiempo real a los recursos de conformidad.	Remote Access Plus ofrece una función para aumentar la seguridad que aplica cambios de contraseñas después de un periodo especificado. Los usuarios pueden personalizar la duración de los cambios de contraseñas en un rango de 30 a 120 días.
9.2.1	Se implementan controles de entrada adecuados a las instalaciones para restringir el acceso físico a sistemas en el CDE.	Remote Access Plus on-premise no almacena datos personales críticos de clientes. Los datos se almacenan dentro de la base de datos de los clientes. En el caso de Remote Access Plus Cloud, la transferencia de datos es completamente segura en un entorno altamente fiable.
10.2.1.2	Los logs de auditorías registran todas las medidas que tome cualquier persona con acceso administrativo incluyendo cualquier uso interactivo de cuentas de aplicaciones o sistemas.	Las soluciones de acceso remoto deben enfatizar de manera sólida la transparencia. Remote Access Plus le permite percibir información sobre todas las sesiones remotas iniciadas al grabarlas. Informes listos sobre sesiones remotas con el tiempo de inicio, tiempo de finalización y duración, informes sobre sesiones de chat, exportaciones de valores de registro y más.
10.2.2	Mantener controles de auditoría.	Todas las sesiones remotas iniciadas en Remote Access Plus se registran continuamente para fines de auditoría y resolución de problemas.
12.7.1	Se selecciona al posible personal que tenga acceso al CDE, dentro de las limitaciones de las leyes locales, antes de la contratación, para minimizar el riesgo de ataques por fuentes internas.	Remote Access Plus le permite definir niveles de permisos detallados para los técnicos. Puede dar acceso a los técnicos a las herramientas de diagnóstico, pero evitar que controlen remotamente equipos de clientes. Los permisos se pueden establecer para obtener la aprobación explícita del usuario final cada vez antes de iniciar el control remoto y ciertas herramientas de diagnóstico, como administradores de archivos y símbolo del sistema, para garantizar la privacidad de los usuarios privados. Los ajustes de tiempo inactivo se pueden configurar para determinar el tiempo de inactividad durante sesiones remotas y automáticamente terminar la sesión y bloquear el equipo objetivo.

Si tiene preguntas sobre Remote Access Plus, contáctenos en
remoteaccessplus-support@manageengine.com