Nos encontramos en el último de una serie en la que estamos analizando con más profundidad cada uno de los cambios producidos en los requisitos de la versión 4.0 del estándar PCI DSS. En este post, nos centraremos en analizar el requisito 12.
Este requisito tiene como objetivo establecer una política de seguridad de la información que sea conocida y cumplimentada por todos los usuarios de la organización, además de concienciar a los usuarios sobre la sensibilidad de los datos de tarjeta tratados y la responsabilidad que tienen sobre estos.
En la versión 4.0 de PCI DSS, adquiere el siguiente nombre:
Requirement 12: Support Information Security with Organizational Policies and Programs
A continuación, nos centramos en profundidad en el requisito.
Requisito 12: Support Information Security with Organizational Policies and Programs
Igual que muchos otros requisitos, se ha modificado el título. En la versión 3.2.1 el requisito era llamado "Maintain a policy that addresses information security for all personnel". Este cambio se ha realizado para dar más énfasis a la necesidad de definir y establecer un marco informativo que cubra los distintos requisitos y necesidades de la seguridad de la información de la organización, mientras que la antigua versión, únicamente referenciaba el establecimiento de una Política de seguridad para el personal.
Una vez comentado este cambio, pasamos a los principales cambios internos producidos dentro del propio requisito:
- 12.1. Roles y Responsabilidades de la seguridad de la información: En este nuevo requisito, se definen claramente los roles y responsabilidades para todo el personal, definiendo adicionalmente, un director de seguridad de la información u otro miembro de la dirección ejecutiva que tenga conocimientos de seguridad de la información (12.1.3 y 12.1.4).
- 12.2. Tecnologías de usuario final: Todos los controles que definían anteriormente el uso de tecnologías críticas, se recogen con las políticas de uso aceptable para tecnologías de usuario final, en el que se incluyen: la aprobación por las partes autorizadas, usos aceptables de la tecnología y la lista de productos aprobados, incluidos hardware y software.
- 12.3. Evaluación y gestión de riesgos: En cuanto a el análisis y gestión del riesgo se refiere en esta nueva versión, se ha sustituido la elaboración de un análisis de riesgo global, por un análisis de riesgo dirigido específico para aquellos requisitos que la organización decide su periodo de ejecución y para cada requisito que la entidad cumple con el enfoque personalizado. El objetivo del Análisis de Riesgo “dirigido” incluye:
- Determinar la justificación de la frecuencia con la que se debe realizar el requisito para minimizar la probabilidad de que se materialice la amenaza, de forma anual (12.3.1).
- Aprobar y documentar la evidencia requerida para el enfoque personalizado (12.3.2)
- Revisión de los protocolos y conjuntos de cifrado criptográfico, de forma anual. Debe establecerse un listado con estos protocolos que estén en uso, incluyendo el propósito y su localización de uso, monitorización sobre la viabilidad de su uso y una estrategia para responder de forma anticipada a las vulnerabilidades (12.3.3).
- Revisión de forma anual, de las tecnologías, de forma que se garantiza que siguen recibiendo correcciones de seguridad y están dentro del ciclo de vida útil (12.3.4).
- 12.4 Gestión del cumplimiento de PCI DSS: Se han agrupado los requisitos de cumplimiento para proveedores, en los que se incluyen:
- Definición de la responsabilidad de cumplimiento de PCI DSS. (12.4.1)
- Inspección y revisión de los registros para verificar la efectividad operativa de los controles críticos (12.4.2).
- Documentación del resultado de las revisiones efectuadas, incluyendo las acciones de remediación tomadas para cualquier tarea y la aprobación de los resultados (12.4.3).
- 12.5. Documentación y validación de alcance: El anterior requisito sobre el inventario de activos 2.4 de la norma 3.2.1 ha sido reubicado en el requisito 12.5.1. Adicionalmente, se ha añadido el requisito 12.5.2, en el cual se obliga a las organizaciones a revisar el alcance de PCI DSS de forma anual para comercios y el requisito 12.5.2.1, en el que el alcance se revisa cada 6 meses para proveedores, siendo en este caso, recomendable hasta el 31 de marzo de 2025. En el alcance deben identificarse los flujos de datos de tarjeta, diagramas, localizaciones donde se almacenan, transmiten y procesan datos, componentes del CDE, controles de segmentación en uso y conexiones con terceros con acceso al CDE.
- 12.6. Formación en seguridad: En cuanto a las formaciones, se aclara que, la intención de este requerimiento, es que todo el personal conozca las políticas de seguridad de la información de la entidad y su papel en la protección de los datos de tarjeta (12.6.1). Adicionalmente, se han detallado una serie de puntos referentes a las formaciones en seguridad:
- Se revisa de forma anual, como mínimo.
- Se actualiza en función de nuevas vulnerabilidades que puedan afectar al CDE
- Se puede recibir la formación mediante varios métodos de comunicación.
- Concienciación ante amenazas y vulnerabilidades, incluyendo phishing, ingeniería social y ataques relacionados (12.6.3.1).
- Concienciación sobre el uso aceptable de las tecnologías de usuario final (12.6.3.2).
- 12.8. Gestión del riesgo en terceros: En esta nueva versión, se sustituye el termino Service Provider por el termino TPSPs (Third Party Service Providers) y se incluyen las siguientes especificaciones:
- El uso de un TPSP que cumpla con PCI DSS, no garantiza que una entidad este en cumplimiento con PCI DSS, ni tampoco elimina la responsabilidad de la entidad por su propio cumplimiento (12.8.1).
- Cuando una entidad tenga acuerdos con un TPSP, la entidad debe trabajar con este, para asegurarse que se cumplen los requisitos PCI DSS. Si el TPSP no cumple dichos requisitos, estos tampoco serán cumplidos para la entidad (12.8.4).
- La capacidad, intención y recursos de un TPSP se evalúan previo a la contratación.
- Se monitoriza el estado de cumplimiento de los TPSP, como mínimo una vez al año.
- 12.9. Respaldo de los TPSP a los clientes: Los TPSP respaldan las solicitudes de información de sus clientes para cumplir con los requisitos 12.8.4 y 12.8.5, brindando información según sea necesario para respaldar los esfuerzos de cumplimiento con PCI DSS.
- 12.10. Respuesta ante incidentes: En cuanto a la gestión de incidentes se refiere, se han aplicado los siguientes cambios sobre la normativa:
- El plan debe poder activarse bajo sospecha de incidentes (12.10.1).
- La frecuencia de formación del personal que debe responder a los incidentes de seguridad, se define según el análisis de riesgos especifico de la entidad, que se realiza de acuerdo con todos los elementos del requisito 12.3.1 (12.10.4.1).
- El plan de respuesta a incidentes de seguridad incluye mecanismos de detección de cambios y manipulaciones en las páginas de pago. Actualmente, y hasta el 31 de marzo de 2025, este punto es una recomendación y no será de obligado cumplimiento hasta entonces (12.10.5).
- Se definen procedimientos que se iniciarán cuando se detecten datos de PAN almacenados en un lugar inesperado. Estos procedimientos deben determinar qué hacer si se descubren datos de PAN fuera del CDE, identificar si los datos de autenticación se almacenan con datos de PAN, determinar de donde proceden los datos y como han llegado a la ubicación en cuestión y remediar fugas o brechas que ocasionar que los datos llegasen a dicha ubicación. Este requisito será considerado una recomendación hasta el 31 de marzo de 2025 (12.10.7).
Podemos apreciar que el requisito 12 es uno de los requisitos que más cambios significativos ha tenido respecto a su antigua versión 3.2.1. La gran mayoría de requisitos corresponden al enfoque y la ampliación de la gestión del riesgo, la determinación del alcance de PCI DSS por parte de la organización y a la gestión de incidentes y los procedimientos establecidos para responder ante ellos.
Bibliografía
- Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures, Versión 3.2.1, mayo 2018.
- Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures, Versión 4.0, marzo 2022.
- Payment Card Industry (PCI) Data Security Standard, Summary of Changes from PCI DSS Version 3.2.1 to 4.0, diciembre 2022.
Autor: Eric Tormo
Dpto. de Consultoría
