PCI DSS Payment Card Industry Data Security Standard, debemos saber que es un estándar de Seguridad de Datos para la Industria de los medios de pago.
Básicamente toda aquella compañía que procese, guarde o trasmita datos de tarjetas debe cumplir PCI DSS, enfrentándose de forma anual a rigurosos controles/validaciones realizados por auditores autorizados (comúnmente conocidos como QSAs). Aquella empresa que no cumpla los requisitos establecidos se arriesga a la revocación de sus permisos de procesamiento y consecuentemente a la perdida de confianza del mercado en ellos.
Todos los que nos hemos enfrentado a la norma experimentamos inicialmente la dificultosa labor de comprensión de la misma y certificación del cumplimiento, pero os aseguro bajo mi experiencia que con un buen cuadro de mandos y las soluciones de control adecuadas se convierte en una tarea sencilla y rutinaria. La solución completa de seguridad de Sophos no solo nos puede ayuda a solventar los requisitos para el cumplimiento del estándar, sino que nos facilita la ardua labor de evidenciar a los QSAs los controles y seguimientos implementados, haciendo del cumplimiento de PCI una tarea simple.
La versión actual de la norma (2.0) especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamados “objetivos de control.”
1. Desarrollar y Mantener una Red Segura
Implementaremos las soluciones UTM de Sophos para “Desarrollar y Mantener una Red Segura”. Cumpliendo eficazmente el primer requisito de Instalar y mantener una configuración de firewall Statefull Inspection para proteger los datos de los propietarios de tarjetas (req 1) y así mismo controlando el NO uso de parámetros de seguridad predeterminados (req 2)
2. Securización de los Datos de los propietarios de Tarjetas
La Securización los Datos de los propietarios de tarjetas es sencilla con las suites Sophos Data Protection. Consiguiendo proteger los datos almacenados de los propietarios de tarjetas (req 3), cifrando tarjetas e información confidencial transmitida (req 4) y controlando la fuga de información con nuestra robusta solución de DLP implementada por el propio Endpoint, por ello sin necesidad de arquitectura adicional.
3. Mantener un programa de Manejo de Vulnerabilidad
Sophos EndPoint consuma el objetivo de “Mantener un Programa de Manejo de Vulnerabilidad”. Usando regularmente un software antivirus actualizado (req 5) y controlando en el resto de sistemas el grado de actualización de todos nuestros sistemas para mantener aplicaciones seguras (req 6).
4. Implementación de Medidas solidas de Control de Acceso
Con Sophos Network Access Control (NAC) “Implementaremos Medidas sólidas de control de acceso”, consiguiendo que los clientes de Sophos restrinjan el acceso a sus datos (req 7) y la asignación de una identificación única a cada persona que tenga acceso a un dispositivo (req 8). Todo ello integrado con la solución de Endpoint, una vez más sin necesidad arquitectura adicional.
5. Monitorizar y Probar regularmente las redes
Todas las soluciones de Sophos nos facilitan la labor de “Monitorizar y Probar regularmente las redes”, obteniendo evidencias de todo el acceso a los recursos de la red y datos de tarjetas (req 10), chequeando automáticamente y de forma constantemente los sistemas y procesos de seguridad (req 11). Desde la consola de EndPoint podremos programar de forma periódica las evidencias necesarias para evidencias a los QSAs el 80% de los requisitos de todos los objetivos de control de los que hemos hablado.
6. Mantener una Política de Seguridad de la Información
Finalmente debemos “Mantener una Política de Seguridad de la Información” donde los profesionales de Sophos Iberia ponemos a la disposición de nuestros partners/clientes nuestros amplios conocimiento y vasta experiencia en la norma PCI, ayundandoles a definir/mantener una política focalizada en la seguridad de la información (req 12).
El caso de PCI DSS nos vuelve a demostrar el valor de la seguridad completa de Sophos, combinando la potencia de sus diferentes soluciones imtegradas no sólo con el objetivo de simplificar la administración sino de mejorar la seguridad.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en twitter para intercambiar experiencias en torno al mundo de
Dejar un comentario