Guía de virtualización para cumplir PCI DSS

PCI Security Council ha publicado una guía para proporcionar orientación sobre el uso de la virtualización de acuerdo con el Payment Card Industry Data Security Standard (PCI DSS).

La virtualización separa las aplicaciones, escritorios, máquinas, redes, datos y servicios de sus limites físicas. La virtualización es un concepto en evolución, que abarca una amplia gama de tecnologías, herramientas y métodos, y puede aportar importantes ventajas de operación en las organizaciones que optan por aprovecharlas. Sin embargo, los riesgos continúan evolucionando y son a menudo menos conocidos que los riesgos asociados con las tecnologías más tradicionales.

Hay cuatro simples principios asociados con el uso de la virtualización en entornos de datos de los tarjetahabientes:

1. Si las tecnologías de virtualización se utilizan en un entorno de datos, los requerimientos PCI DSS se aplican a las tecnologías de virtualización.
2. La tecnología de virtualización introduce nuevos riesgos que pueden no ser relevantes para otras tecnologías, y que deben evaluarse a la hora de adoptar la virtualización.
3. Las implementaciones de las tecnologías virtuales pueden variar mucho, y las entidades tendrán que realizar una evaluación a fondo para identificar y documentar las características únicas de su aplicación virtualizada en particular, incluyendo todas las interacciones con los procesos de operación de pago y datos de tarjetas de pago.
4. No hay una solución única para todos los entornos virtualizados para cumplir con los requisitos de PCI DSS. Los controles y procedimientos específicos pueden variar para cada entorno, de acuerdo a cómo la virtualización es usada e implementada.

El documento completo [PDF] puede ser descargado.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín