Versión 4.0 de PCI DSS. Analizando los requisitos 7, 8 y 9

El estándar PCI DSS, en su versión 4.0, ha experimentado una serie de cambios significativos en los requisitos clave, específicamente en los Requisitos 7, 8 y 9, que se centran en la autorización y gestión de privilegios, la identificación y autenticación de usuarios, sistemas y aplicaciones, y la seguridad física de los datos de titulares de tarjetas.

Aquí, desglosamos estos cambios para comprender su alcance y relevancia.

Requisito 7: Restrict Access to System Components and Cardholder Data by Business Need to Know

El Requisito 7 se centra en los criterios para la autorización y la gestión de privilegios. Es decir, establece pautas y prácticas relacionadas con quién tiene acceso a los sistemas y datos de tarjetas de pago, y cómo se gestionan esos accesos.

El primer cambio lo tenemos en el nombre del propio requisito, cuyo nombre en la versión 3.2.1 era "Restrict Access to cardholder data by business need to know". El título del requisito se ha modificado para incluir tanto los componentes del sistema como los datos de tarjetas.

Los peligros del “por defecto”

Hoy en día los diferentes sistemas, aplicaciones, frameworks, etc… vienen con un sinfín de configuraciones que algunas veces no son ni revisados. Incluso dentro del equipo de Sistemas, se suele hacer la broma de que instalar cosas en Windows es "next next next…" o en programación "seguir el tutorial X hasta que funcione".

La seguridad es un punto totalmente aparte de la funcionalidad de un sistema/aplicación e incluso muchas veces ni siquiera se llevan bien. Suele ser relativamente fácil poner en marcha una plataforma, pero no tanto hacerlo de manera segura tanto para el propio ecosistema como para el usuario.

En este artículo, vamos a ver los peligros que pueden provocar en cualquier empresa los diferentes tipos de "por defecto", causados por: la inexperiencia de los técnicos, la excusa de "está en la red interna, no va a pasar nada" o incluso un jefe que quiere algo "para ayer" o el técnico, que su prioridad va a ser que funcione, no que sea seguro.

La Ciberseguridad no es como se lee o se ve sino como se asimila y se actúa

Muchas empresas cuando se les habla de un plan de ciberseguridad lo interpretan como un coste adicional difícil de amortizar y justificar. Y se entiende. Hay varios factores de por medio que lo podrían respaldar: la falta de conocimiento en materia de Seguridad Informática, la falta de previsión, la falta de formación a usuarios, la falta de asesores especializados de confianza y sobre todo el asumir riesgos de forma innecesaria o lo que es peor, no conocer los verdaderos riesgos y amenazas de la organización.

ISecAuditors participa en una charla con los alumnos del Máster Oficial en Ciberseguridad de la UPC

El pasado jueves 28 de septiembre Carles Sans del departamento de consultoría estuvo con los alumnos del Máster Oficial en Ciberseguridad de la Universitat Politécnica de Catalunya (UPC) dando una charla sobre casos prácticos de aplicación e incumplimiento del RGPD en la asignatura Applications Security.

Crónica del evento: Conferencia Cybersecurity Bank & Government 2023

El 14 de septiembre de 2023 en el Hotel Marriot de Bogotá D.C se inauguró uno de los eventos más relevantes y académicamente cargado de nuevas estrategias, soluciones, técnicas, conocimiento, etc., en el ámbito de la ciberseguridad y seguridad de la información a nivel empresarial y de gobierno, MTics (cuya CEO es Mónica Tasat) agencia de producción de congresos y eventos de ciberseguridad, fue la responsable de guiar, planificar y llevar a cabo este evento, donde se pudo contemplar varios discursos, en los cuales grandes representantes de algunas prestigiosas empresas del sector tecnológico y organismos públicos, expusieron varias metodologías, soluciones, estadísticas, tácticas y opiniones acerca de los desafíos y tendencias más actuales en el área de la seguridad de los datos.

Cómo gestionar el requisito 12.3.1 de PCI DSS v4.0 mediante un FRA

Desde la publicación de la v4.0 del estándar PCI DSS, los nuevos requisitos incluidos (y que están detallados en el documento de resumen del cambio de v3.2.1 a v4.0: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r2.pdf) se han dividido en dos grupos; por un lado aquellos que son obligatorios desde el momento que se alinea el entorno a la v4.0 y, por otro lado, aquellos que son recomendados, mejores prácticas o, como describe el estándar en su versión en español, "prácticas recomendadas" hasta el 31 de marzo de 2025, momento a partir del cual se convertirán en obligatorios. Este sería el caso del requisito 12.3.1 que vamos a analizar y para ello voy a tratar de responder a diversas cuestiones que considero fundamentales para entender el contexto y contenido de este requisito en concreto.