El Enfoque Prioritario para conseguir el cumplimiento en PCI DSS (Parte 2)

En esta segunda parte del artículo, terminaremos de revisar los hitos de priorización definidos dentro del Enfoque Prioritario. Además, analizaremos la herramienta publicada por el PCI SSC y, finalmente, presentaremos una serie de conclusiones.

Hitos de priorización

Hito 3: Aplicaciones de pago seguras

El hito 3 se centra en la seguridad de las aplicaciones de pago, especialmente en los controles de las aplicaciones que trabajan con datos de cuenta de consumidores, los procesos de desarrollo de software seguro y los servidores de aplicaciones. Esto incluye la implementación de controles en todas las fases del ciclo de vida de las aplicaciones, desde su desarrollo hasta su mantenimiento operativo, evitando que pueda haber explotación de vulnerabilidades. Implementar estos controles no solo protege los datos de cuenta, sino que también minimiza el riesgo de comprometer los sistemas, poniendo en práctica medidas efectivas para detectar y mitigar incidentes de seguridad. Además, el hito 3 incluye la gestión de vulnerabilidades y la aplicación de actualizaciones o parches de seguridad en las tecnologías que forman parte del alcance de PCI DSS, garantizando que el entorno esté siempre actualizado y protegido contra nuevas amenazas.

Algunos de los controles que forman parte de este hito son:

▪️ El software a medida y personalizado es desarrollado de forma segura (requisito 6.2.1), es revisado antes de ser puesto en producción (6.2.3) y protegido ante vulnerabilidades (6.2.4).
▪️ Los desarrolladores de software a medida y personalizado reciben capacitación anualmente (6.2.2).
▪️ Identificación y gestión adecuada de las vulnerabilidades de seguridad en los componentes de sistema del entorno, y equipos de red (6.3.1), así como de componentes de software de terceros incorporados en el software a medida y personalizado (6.3.2).
▪️ Actualización de las tecnologías que forman parte del entorno de PCI DSS conforme a lo exigido por el estándar (6.3.3).
▪️ Protección de las aplicaciones web públicas ante vulnerabilidades y amenazas (6.4.1 y 6.4.2).
▪️ Protección de los entornos de desarrollo a través de controles específicos (6.5.3, 6.5.4, 6.5.5 y 6.5.6).

Hito 4: Supervise y controle el acceso a sus sistemas

Este hito se enfoca en la supervisión y el control del acceso a los sistemas que almacenan, procesa y/o transmiten datos de cuenta. De esta forma se garantiza que las organizaciones puedan detectar y controlar quién accede a qué datos, cuándo y cómo lo hacen. Para ello, se utilizan registros de auditoría, lo que proporciona una visibilidad clara y un control efectivo sobre el acceso a la red y a los sistemas críticos, lo que permite a las organizaciones detectar incidentes de seguridad de forma temprana y tomar las medidas necesarias para mitigar cualquier riesgo. Adicionalmente previene accesos no autorizados al entorno mediante controles de acceso basados en el principio de menor privilegio y la necesidad de saber de los empleados, reduciendo las posibilidades de brechas de seguridad.

En este hito, se incluyen los siguientes controles:

▪️ Definición y gestión de un modelo de control de acceso basado en el mínimo privilegio, en el principio de need-to-know y en la clasificación y función del trabajo (requisito 7.2), teniendo en cuenta las configuraciones adecuadas de los sistemas de control de acceso (requisito 7.3).
▪️ Documentación y comunicación de las políticas y procedimientos de autenticación (requisito 8.3.8), gestión de tokens de seguridad físicos o lógicos (requisito 8.3.11) y control de las cuentas de sistema, aplicación o servicio (requisitos 8.6).
▪️ Gestión y configuración de los registros de auditoría para garantizar la monitorización y trazabilidad de las actividades críticas dentro del alcance de PCI DSS (la mayoría de los controles dentro del requisito 10).
▪️ Gestión de los puntos de acceso inalámbricos en el entorno (requisitos 11.2.1 y 11.2.2).
▪️ Configuración de un mecanismo de detección de cambios no autorizados en archivos críticos (11.5.2).
▪️ Controles específicos para entornos multiusuario o multi-tenant (A1.1.1, A1.1.2, A1.1.3, A1.2.1) basados en el control de acceso de los clientes a sus entornos, garantizando la trazabilidad de todas las acciones llevadas a cabo por ellos.

Hito 5: Proteger los datos de tarjetahabientes almacenados

El quinto hito se centra en la protección de los datos de tarjeta (PAN, fecha de expiración, nombre del titular de tarjeta y código de servicio) almacenados dentro del entorno de la organización. La protección de estos datos es esencial, ya que cualquier exposición puede llevar a brechas de seguridad graves y comprometer la integridad del sistema y de los propios datos almacenados. Para mitigar los riesgos asociados, el estándar PCI DSS requiere la implementación de mecanismos de seguridad que aseguren la confidencialidad y la integridad de los datos de tarjeta a través de diversas técnicas de protección, como cifrado robusto, tokenización, funciones hash o truncamiento.

Algunos de los requisitos que forman parte de este hito son:

▪️ Enmascaramiento de los PANs cuando son mostrados, de manera que solo el personal con una necesidad legítima de negocio pueda ver más que el BIN más los últimos 4 dígitos de los PANs (3.4.1).
▪️ Establecimiento de controles técnicos que impidan la copia y/o reubicación de PANs cuando se utilizan tecnologías de acceso remoto (3.4.2).
▪️ Protección de los PANs almacenados a través de hashes criptográficos unidireccionales, truncamiento, índice de tokens o criptografía robusta (3.5.1), así como el cifrado a nivel de disco o partición (3.5.1.2 y 3.5.1.3).
▪️ Procedimientos de gestión de claves que protegen los datos de tarjeta (requisitos 3.6 y 3.7).
▪️ Controles físicos para proteger el acceso al entorno de datos de tarjeta o CDE mediante mecanismos de autorización y administración de accesos, tanto del personal de la organización como de visitas (9.3), y protección de los medios con datos de tarjeta (la mayoría de los requisitos 9.4).

Herramienta publicada por el PCI SSC

El PCI SSC ha desarrollado una herramienta para el seguimiento del progreso hacia la conformidad de PCI DSS versión 4.x, mediante el uso del Enfoque Prioritario, analizando el progreso por requisito PCI DSS, categoría de hito o estado de hito. 

La herramienta, que se presenta en formato de archivo .xlsx, está organizada en varias pestañas que ofrecen información valiosa para las organizaciones que buscan evaluar su conformidad con PCI DSS. Entre los elementos clave que incluye el archivo se encuentran:

▪️ Notas e instrucciones: Detalles sobre el uso de la herramienta, así como guías para la correcta interpretación de los resultados.
▪️ Resumen de cambios: Una descripción de las modificaciones y actualizaciones realizadas en la versión de la herramienta.
▪️ Resumen del Enfoque Prioritario: Explicación de la metodología y cómo se aplica a los distintos requisitos e hitos de PCI DSS.
▪️ Hitos del Enfoque Prioritario: Información específica sobre los hitos más importantes a seguir y cómo alcanzarlos.

La herramienta permite a las organizaciones evaluar de forma independiente el estado de cada uno de los requisitos del estándar de PCI DSS, estableciendo un estado para cada uno de ellos, identificando y justificando aquellos que no aplican o que no cumplen en el momento de la revisión, así como las debidas justificaciones. Una vez valorados todos los requisitos, la propia herramienta genera automáticamente una tabla que muestra el porcentaje de cumplimiento para cada uno de los hitos, la fecha estimada de finalización por hito y el porcentaje de cumplimiento general.


tabla-hitos-pcidss

Esta herramienta está disponible dentro de la biblioteca publicada por el Council como parte de documentación de soporte en el área de PCI DSS.

Conclusiones

El Enfoque Prioritario de PCI DSS es una metodología que guía a las organizaciones hacia la conformidad con el estándar de PCI DSS de una forma estructurada y eficiente, mediante una hoja de ruta que prioriza los riesgos y las amenazas más significativas en el manejo de datos de cuenta, proporcionando un marco para reducir los riesgos de manera incremental basado en 6 hitos. Al centrarse en los riesgos más altos desde el inicio, permite a las organizaciones reducir las posibilidades de una infracción de datos, implementando los controles de seguridad más críticos en las primeras fases del proceso de conformidad.

El Enfoque Prioritario ayuda a las organizaciones a abordar los riesgos más importantes primero, permitiendo una protección más rápida y eficaz de los datos de cuenta, siendo aquellos más importantes los correspondientes al hito 1, y los más numerosos los englobados dentro del hito 2, suponiendo casi un tercio de todos los requisitos definidos por el estándar de PCI DSS.

Además, el Enfoque Prioritario permite a las organizaciones obtener una serie de “quick wins” que permiten obtener resultados tangibles en plazos relativamente cortos, facilitando también la planificación financiera y operativa y la monitorización de progreso con indicadores objetivos. Esta herramienta ayuda a las organizaciones a gestionar su camino hacia la conformidad de manera más eficiente. Aunque ayuda a priorizar esfuerzos, las organizaciones deben continuar con la implementación total de los requisitos de PCI DSS para garantizar una seguridad integral, fomentando la mejora continua en la gestión de riesgos.

El Enfoque Prioritario se desarrolla considerando datos reales de infracciones y comentarios de expertos en seguridad, lo que lo convierte en una estrategia alineada con las mejores prácticas del sector.

Referencias
🔗 Payment Card Industry (PCI) Data Security Standard, v4.0.1
🔗 Prioritized Approach for PCI DSS
🔗 Prioritized Approach Tool.

 

 

author-image

PCIP, ISO 27001 L.A.
Consultor en Seguridad
Depto. de Consultoría



Copyright © 2025 - All rights reserved