Documente Academic
Documente Profesional
Documente Cultură
¿Se cuenta una normativa que regule la Estamos certificados en ISO 20000-1:2011 e ISO
27001:2013, vigentes.
estructura y jerarquía de los controles
1
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
x Soluciones SIEM
x Servicios SOC/CERT
x Integración de soluciones
Firewalls/IDS/FIM/antivirus/…
2
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
□ Otros________________________________
Escenario 2
3
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
- ¿Qué servicios están hosteadosv/ - Todos estos elementos los tenemos asegurados
tercerizados? por Nivel de Servicio
- ¿La empresa tiene acceso a
información de tarjetas de crédito
almacenada en el tercero?.
- ¿La empresa almacena, procesa o
transmite información de tarjetas
de crédito en sus instalaciones?.
Los siguientes rubros aplican únicamente a los procesos de negocio y a los segmentos de
infraestructura tecnológica que procesen, almacenen o transmitan información de tarjetas de
pago.
4
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
ORGANIZACIÓN
¿Existe una persona o área dedicada a la Seguridad de la Información, Auditoria o Control
Interno?
Seguridad Informática Gerente de Infraestructura de TI, Auditoria, Se cuenta con una
área de normatividad
¿Se cuenta con un Mapa de Procesos de Negocio?
Si. Se integrará archivo.
¿La organización debe cumplir alguna ley o regulación (SOX, CNBV, etc.)?
Si. Tendría que revisarse directamente con el Área de Finanzas.
RED
5
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
IDS / IPS 0
VPN gateways 0
6
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
Switches 10
Routers 6
Bridges 0
Multiplexor 0
Conmutador 1 AVAYA CM
APLICACIONES
SISTEMAS
Enumerar servidores y estaciones de trabajo (incluir producto, versión y sistema operativo) de la red:
Naucalpan
7
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
Con respecto a los criterios para establecer que IP deben incluirse en los escaneos, se
han de tener en cuenta todas las IP públicas de la pasarela de pago y las de todo el
equipamiento que esté en el mismo segmento de LAN.
Esto incluye:
8
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
Ejemplo1:
9
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
Ejemplo2:
En el siguiente ejemplo, se contabilizarían tan sólo 2 IP’s externas (IP1 e IP2), aunque
sólo 1 se corresponda con un servicio que trata o almacena datos de tarjetas, ya que
ambas IP’s dirigen a máquinas que comparten segmento con el equipo que trata o
almacena datos de tarjetas. Sin embargo, IP3 quedaría fuera del alcance de los escaneos
ya que en el Segmento2 de la red interna no se procesan ni almacenan datos de tarjetas:
10
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
Criterios completos que marca el PCI Security Standard Council para los
escaneos externos
Para cumplir con los requerimientos de PCI, los comercios y los proveedores de servicios
deben escanear las direcciones IP externas de sus infrastructuras IT de acuerdo a los
siguientes procedimientos:
1. Todos los escaneos deben ser llevados a cabo por un ASV (Approved Scanning
Vendor) seleccionado de una lista provista por PCI Security Standars Council.
2. Los Escaneos trimestrales son requeridos por el PCI DSS Requirement 11.2
3. Antes de escanear los sitios web y la infraestructura IT, los comercios y los
proveedores de servicios deben:
Proveer al ASV con una lista de todos los rangos o todas las IP externas
de la organización.
Proveer al ASV con una lista de todos los dominios que deberían ser
escaneadas si se está usando un servicio de “virtual hosting” basado en
dominios.
4. El ASV debe comprobar qué IPs del rango que el cliente le ha indicado están
activas y cuáles no.
6. El ASV debe escanear todos los dispositivos de filtrado como firewalls o routers
externos. Si un firewall o router se usa para establecer una DMZ, estos
dispositivos también deben ser escaneados en busca de vulnerabilidades.
11
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
12
PCI DSS. DOCUMENTO DE TOMA DE REQUISITO
13. El cliente debe configurar los sistemas IDS/IPS para que acepten “ataques”
provenientes de la dirección IP del ASV. Si esto no fuera posible, el escáner
debería ser originado desde una localización que evitase la interferencia de
sistemas IDS/IPS.
13