A pesar que el proveedor (CSP) ofrece una gran cantidad de servicios para configurar la infraestructura de forma segura, es finalmente el cliente el responsable de la seguridad de los datos y de la configuración de los servicios que se ejecutan sobre la capa provista por Amazon.
Por otro lado, la complejidad en el despliegue de una solución de estas características implica un alto conocimiento tanto de la plataforma del CSP como de la aplicación de los controles de PCI DSS.
![](https://i1.wp.com/www.pcihispano.com/contenido/uploads/2016/10/figura11.png)
En el artículo de David E. Acosta "Amazon y PCI DSS: guía práctica para alinear AWS en un entorno de datos de tarjeta de pago" [PDF] se ha plasmado el despliegue técnico de controles empleando las funcionalidades provistas por un CSP como Amazon.
Con base en estas responsabilidades, se describe cómo se pueden utilizar los servicios provistos y certificados por Amazon para lograr el cumplimiento del entorno del cliente por cada uno de los requisitos de PCI DSS.
- Requisito 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas
- Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
- Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados
- Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
- Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente
- Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras
- Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
- Requisito 8: Identificar y autenticar el acceso a los componentes del sistema
- Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta
- Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
- Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad
- Requisito 12: Mantener una política que aborde la seguridad de la información de todo el personal
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!