PCI DSS.

DOCUMENTO DE TOMA DE REQUISITO

Este documento pretende recoger información importante a la hora de estimar el

esfuerzo de una consultoría PCI DSS. Por favor llene los datos de la manera más fiable
posible:

Descripción del negocio y tratamiento de datos de tarjetas:

Describa su actividad principal y Proveedor de Servicios

relacionada con las tarjetas de pago.

Describa las ubicaciones principales de Call Center, llamadas de entrada y salida

su empresa donde se almacenan, Sede Naucalpan / Estado de Mexico
procesan o transmiten datos de tarjetas:
Sede Monterrey / N.L.

Descripción de los procesos de negocio Se capturaran Tarjetas de Créditos en Sistema por

Definir producto de una llamada Telefónica IN
que almacenan, transmiten o procesan
o OUT ( por definir )
datos de tarjetas. (ecommerce, TPV
comercios, call center, emisión o
adquirencia de tarjetas, gestión
incidencias, Hosting, Servicios externos,
otros....)

Número aproximado total de Por definir

transacciones de tarjetas anuales:

 Transacciones comercio electrónico

 Pago convencional

Antecedentes de cumplimiento PCI DSS y servicio solicitado:

¿Se ha realizado, hasta la fecha, alguna No

acción para garantizar el cumplimiento
de PCI DSS? (escaneos de red
trimestrales, auditoría interna de
cumplimiento con el estándar,…)?

¿Se cuenta una normativa que regule la Estamos certificados en ISO 20000-1:2011 e ISO
27001:2013, vigentes.
estructura y jerarquía de los controles

1
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

de Seguridad (Políticas, Normas,

Estándares, Procedimientos, Guías)?
Ejemplo: ISO 27002, COBIT, ...

Describa su situación respecto del Estamos evaluando la implementación, elaboración

de un plan de implementación
cumplimineto del estandar PCI DSS (¿Lo
conoce? ¿Ha implantado un plan de
acción para su cumplimiento? ¿Está
certificado?)

¿Qué tipo de Servicio PCI DSS le

interesa?
X Asesoramiento para su conocimiento y
cumplimiento (estado inicial)

X Análisis GAP de cumplimiento y Plan de acción

Sustituya el cuadro seleccionado por 
X Preauditoria PCI DSS y/o certificación
X Implantación de acciones
X Otros/No sabe

En caso de solicitar un Servicio de

Implantación de acciones PCI DSS
x Desarrollo políticas seguridad/análisis de
riesgos/ PCN
defina que servicios estaría interesado:

x Formación PCI DSS/ Desarrollo seguro

Sustituya el cuadro seleccionado por  x Auditorias técnicas/ escaneos/ test de intrusión

x Soluciones SIEM
x Servicios SOC/CERT
x Integración de soluciones
Firewalls/IDS/FIM/antivirus/…

2
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

□ Otros________________________________

Detalles del entorno de sistemas y alcance:

¿Existe un entorno de red Si, se cuenta con una VLAN asignada.

dedicado/segmentado para PCI o es
compartido con otros sistemas?

Detalle de Sistemas que almacenan, Plataforma de Captura de datos de las tarjetas:

procesan o transmiten datos de titulares Escenario 1
de tarjetas (plataformas, sistemas
operativos, aplicaciones, bases de - Por definir

datos,…): - Motor de Base de Datos por definir

Escenario 2

- Existe la posibilidad de que la Captura de

la Tarjeta se haga en un Sistema
proporcionado por nuestro Cliente. ¿En
este caso que habría que cuidar?
-
Red interna de NexoTI

Cantidad y localización de CPDs Naucalpan / En conjunto con Alestra

(¿propios o ajenos?):

Además sería de ayuda poder disponer Se anexa

de:

Mapa de Sistemas (Visio)

Mapa de Red (Visio)

Si algunos o todos servicios y/o - Correo Electrónico 1and1

infraestructura esta hosteada / - Centro de datos NexoIT en comodato con
tercerizada favor indicar detalles de los Alestra

3
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

servicios contratados y esquema de - Comunicaciones Alestra

contratación. - Enlaces Alestra

- ¿Qué servicios están hosteadosv/ - Todos estos elementos los tenemos asegurados
tercerizados? por Nivel de Servicio
- ¿La empresa tiene acceso a
información de tarjetas de crédito
almacenada en el tercero?.
- ¿La empresa almacena, procesa o
transmite información de tarjetas
de crédito en sus instalaciones?.

En caso de querer solicitar nuestros No

escaneos externos ASV indíquenos el
numero de IPs y direcciones URL
públicas que sería necesario incluir en los
escaneos (Ver anexo a continuación)

Interlocución y entrevistas a mantener:

Nº de responsables de departamentos  Dpto. Sistemas (1 Gte Infraestructura)

implicados en los procesos de pago,
mantenimiento de sistemas, seguridad y
cumplimiento, Gestión de
proveedores/compras, RRHH (entrevistas
a mantener) y su localización:
 (1 Coordinador de Soporte TI) (3
analistas de soporte TI).
 1 resp. Mantenimiento eléctrico y
protección civil
 1 resp. RRHH
 1 resp. Financiero y compras

Estructura global de Departamentos (A Dirección > Gerencia TI > Coordinador

> Analistas de TI
ser posible adjuntar organigrama)

Los siguientes rubros aplican únicamente a los procesos de negocio y a los segmentos de
infraestructura tecnológica que procesen, almacenen o transmitan información de tarjetas de
pago.

4
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

OFICINAS Y CENTROS DE PROCESAMIENTO DE DATOS

NOMBRE Y UBICACIÓN FUNCIONES PERSONAL OFICINAS PERSONAL SISTEMAS

Nexo IT / Naucalpan - Recolectar 340 5

información para los
clientes, según la
campaña definida

Nexo IT / Monterrey - Recolectar 500 1

información para los
clientes, según la
campaña definida

ORGANIZACIÓN
¿Existe una persona o área dedicada a la Seguridad de la Información, Auditoria o Control
Interno?
Seguridad Informática Gerente de Infraestructura de TI, Auditoria, Se cuenta con una
área de normatividad
¿Se cuenta con un Mapa de Procesos de Negocio?
Si. Se integrará archivo.
¿La organización debe cumplir alguna ley o regulación (SOX, CNBV, etc.)?
Si. Tendría que revisarse directamente con el Área de Finanzas.

RED

1. Anexar mapa de la red interna y perimetral

Se anexa
2. ¿Qué tipo de conectividad se maneja entre las localidades remotas?
Basado en VPN / Enlaces Dedicados /MPLS
3. De contar con un enlace dedicado a Internet ¿Cómo es protegida la red
organizacional?
Con un FW Perimetral “Fortinet”
Lo administra directamente el Proveedor.
Si

5
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

4. ¿Cuenta con alguna zona desmilitarizada (zona de acceso público)?

No
5. ¿Almacena datos de tarjetahabiente? ¿Qué dispositivos?
Por definir
6. ¿Cuenta con una solución antivirus? ¿Cual?
Microsoft inTunes (solución de seguridad)
7. ¿Se cuenta con un servidor de correo electrónico? ¿Interno o tercerizado?
Externo 1and1 Tercerizado.
8. ¿Cuenta la organización con páginas web o dominios? ¿Con cuántos dominios de
Internet cuenta la organización?
Nexoit.com.mx (único) , Hosting Externo
9. ¿Cuántas direcciones IP o servicios se encuentran expuestos/publicados en Internet?
No tenemos IP públicas de servicio
10. ¿Cuántos aplicativos web (internos/externos) existen en la organización?
Contamos con Servicios Web Internos de monitor Nagios y Pandora, basados en Linux
y Windows
Contamos con Aplicativos Webs de Seguimiento de Tickets GLPI, CMDBuild basados
Windows
11. ¿Cuenta con algún tipo de segmentación en medio de los sistemas con datos de
tarjetahabiente y el resto de la red? (Ej. VLAN, Firewall, etc.)
Seria posible contar con VLAN para la implementación del sistema de datos del
tarjetahabiente y separa la Red existente de la que recibiría dichos datos
12. ¿Usa tecnología Wireless en algún lugar de la organización? ¿Cuántas locaciones?
¿Donde?
Una sola red, Wireless con WPA2, para el grupo de supervisión y gerencia en NexoIT
13. ¿Se transmiten datos de tarjetahabiente a través de la tecnología Wireless?
No se permitiría, pues los equipos fijos recibirán estos datos.

EQUIPO DE COMUNICACIONES VOZ Y DATOS

TIPO DE EQUIPO CANTIDAD MODELO PUERTOS COMENTARIOS

Firewalls 1 FORTINET 200D

IDS / IPS 0

VPN gateways 0

6
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

Switches 10

Routers 6

Bridges 0

Multiplexor 0

Conmutador 1 AVAYA CM

APLICACIONES

NOMBRE DESCRIPCIÓN DESARROLLO INTERNO / PAQUETE

Servicio de Tickets interno donde se

REMEDY captura la información de una
campaña

SISTEMAS

Enumerar servidores y estaciones de trabajo (incluir producto, versión y sistema operativo) de la red:

 Archivos o Bases de Datos

 Correo / Servicios web
 Intranet / Extranet

Naucalpan

SISTEMAS LEGADOS DESCRIPCIÓN

Ninguno N/A
SERVIDORES
10 Sistema Windowss
ESTACIONES DE TRABAJO
Estaciones de Trabajo 350
Windows 10 (60) / Windows 7 (300)

7
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

ANEXO. Análisis de Vulnerabilidades (ASV)

Con respecto a los criterios para establecer que IP deben incluirse en los escaneos, se
han de tener en cuenta todas las IP públicas de la pasarela de pago y las de todo el
equipamiento que esté en el mismo segmento de LAN.

Esto incluye:

 Dispositivos de filtrado de tráfico (Firewalls, y routers si filtran tráfico)

 Servidores Web y Servidores de aplicación
 Servidores DNS propietarios del cliente
 Servidores de correo
 En el caso de que el sitio web esté alojado en un servidor de un proveedor
externo que también pueda estar dando servicio a otros clientes, deberá
requerirse al proveedor que realice el rango completo de IPs externas del
proveedor.

8
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

Ejemplo1:

En el siguiente ejemplo, se contabilizarían 3 IP’s externas, aunque sólo 1 se corresponda

con un servicio que trata o almacena datos de tarjetas, ya que las tres IP’s dirigen a
máquinas que comparten segmento con el equipo que trata o almacena datos de
tarjetas:

9
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

Ejemplo2:

En el siguiente ejemplo, se contabilizarían tan sólo 2 IP’s externas (IP1 e IP2), aunque
sólo 1 se corresponda con un servicio que trata o almacena datos de tarjetas, ya que
ambas IP’s dirigen a máquinas que comparten segmento con el equipo que trata o
almacena datos de tarjetas. Sin embargo, IP3 quedaría fuera del alcance de los escaneos
ya que en el Segmento2 de la red interna no se procesan ni almacenan datos de tarjetas:

10
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

Criterios completos que marca el PCI Security Standard Council para los
escaneos externos

Para cumplir con los requerimientos de PCI, los comercios y los proveedores de servicios
deben escanear las direcciones IP externas de sus infrastructuras IT de acuerdo a los
siguientes procedimientos:

1. Todos los escaneos deben ser llevados a cabo por un ASV (Approved Scanning
Vendor) seleccionado de una lista provista por PCI Security Standars Council.

ASV llevan a cabo los escaneos de acuerdo con lo establecido en el documento

“Technical and Operational Requirements for Approved Scanning Vendors
(ASVs)”. Estos procedimientos establecen las operaciones standard para que los
entornos del cliente no se vean afectados por los escaneos y pretenden asegurar
que el ASV nunca penetre o altere el entorno del cliente.

2. Los Escaneos trimestrales son requeridos por el PCI DSS Requirement 11.2

3. Antes de escanear los sitios web y la infraestructura IT, los comercios y los
proveedores de servicios deben:
 Proveer al ASV con una lista de todos los rangos o todas las IP externas
de la organización.
 Proveer al ASV con una lista de todos los dominios que deberían ser
escaneadas si se está usando un servicio de “virtual hosting” basado en
dominios.

4. El ASV debe comprobar qué IPs del rango que el cliente le ha indicado están
activas y cuáles no.

5. Los comercios y los proveedores de servicio deben contractar con el ASV la

realización periódica de escaneo de todas las IPs y dispositivos activos.

6. El ASV debe escanear todos los dispositivos de filtrado como firewalls o routers
externos. Si un firewall o router se usa para establecer una DMZ, estos
dispositivos también deben ser escaneados en busca de vulnerabilidades.

7. El ASV debe escanear todos los Servidores Web

 Los servidores web permiten a los usuarios de Internet visualizar e
interactuar con los comercios web. Por ello, al ser estas máquinas
completamente accesibles desde Internet, el escaneo de vulnerabilidades
es esencial.

8. Si existen, el ASV debe escanear servidores de aplicaciones:

11
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

 Los servidores de aplicaciones actúan como interfaz entre los servidores

web y los sistemas centrales o bases de datos finales. Por ejemplo,
cuando los titulares de tarjeta comparten los números de cuenta con los
comercios o los proveedores de servicios, los servidores de aplicaciones
proveen la funcionalidad para transportar datos hacia y desde la red
securizada. Un potencial atacante puede aprovechar vulnerabilidades en
estos servidores para acceder a bases de datos internas que podrían estar
guardando datos de tarjetas de crédito.
 Algunas configuraciones de sitios web no incluyen servidores de
aplicaciones, sino que es el propio servidor web el que ejerce ese rol.

9. El ASV debe escanear los servidores de nombres de dominio (DNS)

 Los DNS traducen nombres a direcciones IP. Los comercios o los
proveedores de servicio pueden usar su propio servidor DNS o usar DNS
externos proveídos por un ISP. Si los servidores DNS son vulnerables, un
atacante podría realizar un ataque del tipo “DNS Spoofing” a una página
web del comercio o proveedor del servicio y obtener información de
tarjetas de crédito.

10. El ASV debe escanear los servidores de correo

 Los servidores de correo suelen alojarse en una DMZ y pueden ser
vulnerables a ataques. Se trata de elementos críticos a tener en cuenta
en cuanto al mantenimiento de la seguridad global de los sitios web.

11. El ASV debe escanear los Hosts Virtuales:

 Es una práctica habitual el usar un entorno compartido para alojar varios
sitios web. En este caso, el comercio comparte el servidor de una
compañía de hosting con otros clientes. Esto puede llevar a que el sitio
web del comercio sea vulnerado aprovechando vulnerabilidades de otros
sitios web alojados en el servidor común.
Todos los comercios que utilicen este sistema de hospedaje, deben
requerir a sus proveedores de hosting que escaneen todo su rango de IP
y demuestren que cumplen con los requisitos PCI de la misma manera
que los comercios necesitan escanear sus propios dominios.

12. El ASV debe escanear los puntos de acceso inalámbricos:

 El uso de WLANs introduce riesgos en la seguridad de los datos que
necesitan ser identificados y mitigados. Los comercios y proveedores de
servicios deben escanear los componentes inalámbricos conectados a
Internet para identificar potenciales vulnerabilidades y errores de
configuración.

12
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO

13. El cliente debe configurar los sistemas IDS/IPS para que acepten “ataques”
provenientes de la dirección IP del ASV. Si esto no fuera posible, el escáner
debería ser originado desde una localización que evitase la interferencia de
sistemas IDS/IPS.

13