11 sep. 2018

Guía práctica para alinear AWS con PCI DSS

Cuando por consideraciones técnicas o administrativas se opta por delegar la gestión de ciertos componentes o de la totalidad de la infraestructura informática de la organización a un tercero, es imprescindible garantizar que los niveles de seguridad que dicho tercero aplicará serán iguales o mejores a los que la propia organización mantiene. Adicionalmente, si el entorno delegado debe cumplir con requerimientos legales o estándares de la industria, la responsabilidad de parte y parte debe quedar claramente estipulada en términos contractuales. Este es el caso de los servicios de Amazon en la nube (Amazon AWS) y el cumplimiento de PCI DSS.

A pesar que el proveedor (CSP) ofrece una gran cantidad de servicios para configurar la infraestructura de forma segura, es finalmente el cliente el responsable de la seguridad de los datos y de la configuración de los servicios que se ejecutan sobre la capa provista por Amazon.

Por otro lado, la complejidad en el despliegue de una solución de estas características implica un alto conocimiento tanto de la plataforma del CSP como de la aplicación de los controles de PCI DSS.

En el artículo de David E. Acosta "Amazon y PCI DSS: guía práctica para alinear AWS en un entorno de datos de tarjeta de pago" [PDF] se ha plasmado el despliegue técnico de controles empleando las funcionalidades provistas por un CSP como Amazon.

Con base en estas responsabilidades, se describe cómo se pueden utilizar los servicios provistos y certificados por Amazon para lograr el cumplimiento del entorno del cliente por cada uno de los requisitos de PCI DSS.
  • Requisito 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas
  • Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
  • Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
  • Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente
  • Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras
  • Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
  • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta
  • Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
  • Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad
  • Requisito 12: Mantener una política que aborde la seguridad de la información de todo el personal
Fuente: PCI Hispano

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!