Actividades para Cumplimiento de PCI DSS

Anexo 1: Actividades para cumplimiento de PCI DSS y cronograma
1

Implementacin de Controles de
Programacin Segura en el SDLC
Requisitos de la PCI DSS Procedimientos de pruebas Actividades
6.1 Asegrese de que todos los componentes de
sistemas y software cuenten con los parches de
seguridad ms recientes proporcionados por los
proveedores para proteccin contra vulnerabilidades
conocidas. Instale los parches importantes de seguridad
dentro de un plazo de un mes de su lanzamiento.
Nota: Las organizaciones pueden tener en cuenta la
aplicacin de un enfoque basado en el riesgo a los efectos de
priorizar la instalacin de parches. Por ejemplo, al priorizar
infraestructura de importancia (por ejemplo, dispositivos y
sistemas pblicos, bases de datos) superiores a los
dispositivos internos menos crticos a los efectos de asegurar
que los dispositivos y los sistemas de alta prioridad se traten
dentro del periodo de un mes y se traten dispositivos y
sistemas menos crticos dentro de un periodo de tres meses.
6.1.a En el caso de la muestra de componentes del
sistema y del software relacionado, compare la lista de
parches de seguridad instalados en cada sistema con la
ltima lista de parches de seguridad proporcionados por
el proveedor a los efectos de confirmar que los actuales
parches proporcionados por los proveedores estn
instalados.
1. Identificacin de los componentes del sistema
2. Identificacin de lista de parches de los
proveedores
3. Implementacin de mejoras para cumplimiento

Entregable: Procedimiento para verificacin de parches
de seguridad en los sistemas.
6.1.b Examine las polticas relacionadas con la
instalacin de parches de seguridad a fin de establecer
que solicitan la instalacin de todos los nuevos parches
de seguridad relevantes dentro de un plazo de un mes.

1. Identificacin de polticas relacionadas
2. Actualizacin de polticas para inclusin del proceso
de instalacin de parches de seguridad

Entregable: Poltica de instalacin de parches de
seguridad.
6.2 Establezca un proceso para identificar y asignar una
clasificacin de riesgos para vulnerabilidades de
seguridad descubiertas recientemente.
Notas:
Las clasificaciones de riesgo se deben basar en las
mejores prcticas de la industria. Por ejemplo, los
criterios para clasificar vulnerabilidades de Alto riesgo
pueden incluir una puntuacin base CVSS de 4.0 o
superior, y/o un parche proporcionado por el proveedor
clasificado por el mismo como crtico, y/o una
vulnerabilidad que afecte un componente crtico del
sistema.
La clasificacin de vulnerabilidades segn lo definido
en 6.2.a es considerada una buena prctica hasta el 30
de junio de 2012, y a partir de entonces se convierte en
un requisito.
6.2.a Consulte al personal responsable para verificar
que se implementan procesos para identificar nuevas
vulnerabilidades de seguridad, y que se haya asignado
una clasificacin de riesgo a esas vulnerabilidades.
(Como mnimo, las vulnerabilidades ms crticas que
representen los riesgos ms altos se deben clasificar
como Alto
1. Identificacin de funciones del personal involucrado
2. Entrevistas a personal responsable
3. Verificacin de procesos de identificacin de
nuevas vulnerabilidades de seguridad
4. Verificacin de clasificacin de riesgo

Entregable: Procedimiento para identificacin y
clasificacin de riesgo de nuevas vulnerabilidades de
seguridad
6.2.b Verifique que los procesos para identificar las
nuevas vulnerabilidades de seguridad incluyan el uso de
fuentes externas de informacin sobre vulnerabilidades
de seguridad.
1. Verificacin de uso de fuentes externas para
identificacin de vulnerabilidades de seguridad

Entregable: Procedimiento para identificacin y
clasificacin de riesgo de nuevas vulnerabilidades de
seguridad
2

6.3 Desarrolle aplicaciones de software (acceso interno
y externo, e incluso acceso administrativo basado en la
web a aplicaciones) de conformidad con las PCI DSS
(por ejemplo, autenticacin segura y registro), basadas
en las mejores prcticas de la industria. Incorpore
seguridad de la informacin en todo el ciclo de vida de
desarrollo del software. Estos procesos deben incluir lo
siguiente:

6.3.a Obtenga y examine los procesos de desarrollo de
software escritos para verificar que los procesos estn
basados en normas de la industria y/o en las mejores
prcticas.

1. Identificacin de procesos de desarrollo de software
2. Verificacin de cumplimiento de mejores prcticas
de industria en los procesos de desarrollo

Entregable: Mejora del proceso de desarrollo
6.3.b Examine que se incluya la seguridad de la
informacin en todo los procesos de desarrollo de
software escritos.

1. Verificacin de inclusin de seguridad de
informacin en los procesos de desarrollo.

6.3.c Examine los procesos de desarrollo de software
escritos para verificar que esas aplicaciones de software
se desarrollen en conformidad con las PCI DSS.

1. Verificacin de conformidad con la PCI DSS en los
procesos de desarrollo.
2. Evaluacin de grado de cumplimiento de PCI DSS

6.3.d Utilizando un examen de los procesos de
desarrollo de software escritos y entrevistas a los
desarrolladores de software, verifique que:

6.3.1 Eliminacin de las cuentas, los ID de usuario y las
contraseas personalizadas de la aplicacin antes de
que las aplicaciones se activen o se pongan a
disposicin de los clientes

6.3.1 Las cuentas, los ID de usuario y las contraseas
personalizadas de la aplicacin se eliminan antes de
activar los sistemas de produccin o de que se pongan
a disposicin de los clientes.

1. Verificacin que los procesos de desarrollo
contemplen eliminacin de cuentas personalizadas
de la aplicacin
2. Entrevistas a equipos involucrados

3

6.3.2 Revisin del cdigo personalizado antes del envo
a produccin o a los clientes a fin de identificar posibles
vulnerabilidades de la codificacin.
Nota: Este requisito de revisin de cdigos se aplica a
todos los cdigos personalizados (tanto internos como
pblicos) como parte del ciclo de vida de desarrollo del
sistema.
Las revisiones de los cdigos pueden ser realizadas por
terceros o por personal interno con conocimiento. Las
aplicaciones web tambin estn sujetas a controles
adicionales, si son pblicas, a los efectos de tratar con las
amenazas continuas y vulnerabilidades despus de la
implementacin, conforme al Requisito 6.6 de las PCI DSS.
6.3.2.a Obtenga y analice las polticas para confirmar
que todos los cambios a los cdigos de aplicaciones
personalizadas de se deban revisar (ya sea mediante
procesos manuales o automticos) de la siguiente
manera:
Los cambios a los cdigos son revisados por
individuos distintos al autor que origin el cdigo y por
individuos con conocimiento en tcnicas de revisin de
cdigo y prcticas de codificacin segura.
Las revisiones de los cdigos aseguran que estos se
desarrollan de acuerdo con las directrices de
codificacin segura (consulte el requisito 6.5 de las PCI
DSS).
Las correcciones pertinentes se implementan antes
del lanzamiento.
La gerencia revisa y aprueba los resultados de la
revisin de cdigos antes del lanzamiento.

1. Identificacin de polticas de desarrollo
2. Verificacin que las polticas incluyan revisin a los
cambios realizados a los cdigos de las
aplicaciones personalizadas
3. Verificacin de actividades de revisin de pares,
tcnicas de revisin de cdigo, prcticas de
programacin segura
4. Verificacin del procedimiento de revisin de cdigo
que incluya las directrices del requisito 6.5 de la
PCI DSS
5. Verificacin de revisin y aprobacin de los
resultados

Entregable: Procedimiento de revisin de cdigo para
cambios en aplicaciones personalizadas.
6.3.2.b Seleccione una muestra de cambios recientes
de aplicaciones personalizadas y controle que los
cdigos de aplicaciones personalizadas se revisen
conforme a 6.3.2.a que aparecen anteriormente.

1. Seleccin de aplicacin
2. Verificacin de cumplimiento de polticas actuales
3. Verificacin de cumplimiento de polticas mejoradas

Entregable: Procedimiento para verificacin de
cumplimiento para la revisin de cdigo.

6.4 Siga los procesos y procedimientos de control de
todos los cambios en los componentes del sistema. Los
procesos deben incluir lo siguiente:

6.4 A partir de un examen de procesos de control de
cambios, entrevistas con administradores de sistemas y
redes, y un examen de datos relevantes
(documentacin de configuracin de redes, datos y
produccin y prueba, etc.), verifique lo siguiente:

6.4.1 Desarrollo/prueba por separado y entornos de
produccin

6.4.1 Los entornos de prueba/desarrollo estn
separados del entorno de produccin y se implementa
un control del acceso para reforzar la separacin.
2. Evaluacin de la documentacin actual
3. Verificacin de entornos aislados de prueba,
desarrollo y produccin
4. Verificacin de controles de acceso para cada
ambiente

Entregable: Mejora de polticas de control de cambios
4

6.4.2 Separacin de funciones entre desarrollo/prueba y
entornos de produccin

6.4.2 Existe una separacin de funciones entre el
personal asignado a los entornos de desarrollo/prueba y
los asignados al entorno de produccin.

2. Verificacin de separacin de funciones para cada
ambiente


6.4.3 Los datos de produccin (PAN activos) no se
utilizan para las pruebas ni para el desarrollo
6.4.3 Los datos de produccin (PAN activos) no se
utilizan para las pruebas ni para el desarrollo.
2. Verificacin de proceso de enmascaramiento de
datos para cada ambiente


6.4.4 Eliminacin de datos y cuentas de prueba antes
de que se activen los sistemas de produccin

6.4.4 Los datos y las cuentas de prueba se eliminan
antes de que se active el sistema de produccin.

2. Verificacin de proceso de eliminacin de cuentas
de prueba en ambientes de produccin


6.4.5 Procedimientos de control de cambios para la
implementacin de parches de seguridad y
modificaciones del software. Los procedimientos deben
incluir lo siguiente:

6.4.5.a Verifique que los procedimientos de control de
cambio relacionados con la implementacin de los
parches de seguridad y las modificaciones de software
estn documentados y que los procedimientos incluyan
los puntos 6.4.5.1 6.4.5.4 que aparecen a
continuacin.

2. Verificacin de los procedimientos de control de
cambios estn documentados

Entregable: Documentacin de procedimientos de
control de cambios

6.4.5.b En el caso de la muestra de componentes de
sistema y cambios o parches de seguridad recientes,
realice un seguimiento de los cambios relacionados con
la documentacin de control de cambios. Por cada
cambio que examine, realice lo siguiente:

2. Verificacin que los cambios de cdigo
personalizado incluyan pruebas segn el requisito
6.5 de la PCI DSS

control de cambios

6.4.5.1 Documentacin de incidencia.

6.4.5.1 Verifique que la documentacin que tiene
incidencia se incluya en la documentacin de control de
2. Verificacin que la documentacin incluya los
5

cambios de cada cambio.

incidentes reportados

control de cambios

6.4.5.2 Aprobacin de cambio documentada por las
partes autorizadas.

6.4.5.2 Verifique que la aprobacin documentada por
partes autorizadas est presente para cada muestra de
cambio.

2. Verificacin de que exista aprobacin documentada
para cada cambio

control de cambios

6.4.5.3 Verifique que la prueba de funcionalidad se haya
realizado para verificar que el cambio no incide de forma
adversa en la seguridad del sistema.

6.4.5.3.a Para cada cambio probado, verifique que la
prueba de funcionalidad se haya realizado para verificar
que el cambio no incide de forma adversa en la
seguridad del sistema.

2. Verificacin de pruebas de funcionalidad para cada
cambio

control de cambios

6.4.5.3.b En el caso de cambios del cdigo
personalizado, verifique que se hayan realizado las
pruebas a todas las actualizaciones de conformidad con
el requisito 6.5 de las PCI DSS antes de la
implementacin para produccin.

2. Verificacin de que los cambios de cdigo
personalizado incluyan las pruebas requeridas en el
punto 6.5 de la PCI DSS

control de cambios

6.4.5.4 Procedimientos de desinstalacin.

6.4.5.4 Verifique que se prepare los procedimientos de
desinstalacin para cada cambio.

2. Verificacin de procesos de desinstalacin para
cada cambio

control de cambios

6

6.5 Desarrolle aplicaciones basadas en directrices de
codificacin seguras. Evite vulnerabilidades de
codificacin comunes en los procesos de desarrollo de
software, a fin de incluir:
Nota: Las vulnerabilidades que se enumeran desde el punto
6.5.1 hasta el 6.5.9 eran congruentes con las mejores
prcticas de la industria cuando se public esta versin de las
PCI DSS. Sin embargo, debido a que las mejores prcticas de
la industria para la gestin de vulnerabilidades se actualizan
(por ejemplo, OWASP Guide, SANS CWE Top 25, CERT
Secure Coding, etc.), se deben utilizar las mejores prcticas
actuales para estos requisitos.

6.5.a Obtenga y revise los procesos de desarrollo de
software. Verifique que el proceso requiera capacitacin
acerca de las tcnicas de codificacin segura para
desarrolladores, que est basada en las mejores
prcticas de la industria, as como asesora.

1. Verificacin de que los procesos de desarrollo
contemplen capacitacin sobre tcnicas de
programacin segura para las reas de desarrollo
basado en OWASP

Entregable: Mejora de proceso de desarrollo de
software
6.5.b Entreviste a un grupo modelo de desarrolladores y
obtenga pruebas de que son expertos en tcnicas de
codificacin segura.

1. Entrevistas a equipos de desarrollo
2. Evaluacin sobre conocimientos de tcnicas de
programacin segura
3. Capacitacin a equipos de desarrollo
4. Evaluacin final a equipos de desarrollo

Entregable: Evaluacin final a equipos de desarrollo
6.5.c. Verifique que existan procesos implementados
para garantizar que las aplicaciones no son vulnerables,
como mnimo, a lo siguiente:

1. Verificacin que los procesos garanticen que las
aplicaciones no son vulnerables al TOP 10 OWASP
2. Verificacin que los procesos garanticen las
vulnerabilidades identificadas como ALTAS en los
requisitos 6.2 de la PCI DSS

Entregable: Manual de programacin segura para
equipos de desarrollo
6.5.1 Errores de inyeccin, en especial, errores de
inyeccin SQL. Tambin considere los errores de
inyeccin de comandos de OS, LDAP y Xpath, as como
otros errores de inyeccin.

6.5.1 Errores de inyeccin, en especial, errores de
inyeccin SQL. (valide la entrada para verificar que los
datos de usuario no pueden modificar el significado de
los comandos y las consultas, utilice las consultas
basadas en parmetros, etc.).

6.5.2 Desbordamiento de buffer

6.5.2 Desbordamiento de buffer (validar lmites del
buffer y truncar cadenas de entrada).

6.5.3 Almacenamiento cifrado inseguro

6.5.3 Almacenamiento cifrado inseguro (prevenir
defectos de cifrado).

6.5.4 Comunicaciones inseguras

6.5.4 Comunicaciones inseguras (cifrar adecuadamente
todas las comunicaciones autenticadas y
confidenciales).

7

6.5.5 Manejo inadecuado de errores

6.5.5 Manejo inadecuado de errores (no permitir que se
filtre informacin a travs de mensajes de error)

6.5.6 Todas las vulnerabilidades altas detectadas en
el proceso de identificacin de vulnerabilidades (segn
lo definido en el Requisito 6.2 de las PCI DSS).
Nota: Este requisito se considera una mejor prctica hasta el
30 de junio de 2012, y a partir de entonces se convierte en
requisito.
Nota: Los requisitos del 6.5.7 al 6.5.9, que siguen, se
aplican a las aplicaciones basadas en la web y a las
interfaces de aplicaciones (internas o externas):

6.5.6 Todas las vulnerabilidades altas, identificadas
en el Requisito 6.2 de las PCI DSS.

6.5.7 Lenguaje de comandos entre distintos sitios (XSS)

6.5.7 Lenguaje de comandos entre distinto sitios (XSS)
(valide todos los parmetros antes de la inclusin, utilice
tcnicas de escape sensibles al contexto, etc.).

6.5.8 Control de acceso inapropiado (tal como
referencias no seguras a objetos directos, no restriccin
de acceso a URL y exposicin completa de los
directorios)

6.5.8 Control de acceso inapropiado tal como
referencias no seguras a objetos directos, no restriccin
de acceso a URL y exposicin completa de los
directorios (Autentique usuarios de forma correcta y
desinfecte entradas. No exponga referencias a objetos
internos a usuarios).

6.5.9 Falsificacin de solicitudes entre distintos sitios
(CSRF)

6.5.9 Falsificacin de solicitudes entre distintos sitios
(CSRF). (No confe en las credenciales de autorizacin
ni en los tokens que los exploradores presentan
automticamente).

6.6 En el caso de aplicaciones web pblicas, trate las
nuevas amenazas y vulnerabilidades continuamente y
asegrese de que estas aplicaciones se protejan contra
ataques conocidos de alguno de los siguientes
mtodos:
Controlar las aplicaciones web pblicas mediante
herramientas o mtodos de evaluacin de seguridad de
vulnerabilidad de aplicacin automticas o manuales,
por lo menos, anualmente y despus de cada cambio
Instale un firewall de aplicacin web enfrente de
aplicaciones web pblicas
6.6 En el caso de aplicaciones web pblicas, asegrese
de que se haya implementado alguno de los siguientes
mtodos:
Controle que las aplicaciones web pblicas se
revisen (tanto mediante la utilizacin de herramientas o
mtodos manuales de evaluacin de seguridad de
vulnerabilidad como automticos), de la siguiente
manera:
- Por lo menos, anualmente
- Despus de cualquier cambio
1. Verificacin que los procesos incluyan revisiones de
seguridad a las Web pblicas
2. Verificacin que los procesos incluyan periodos de
ejecucin de pruebas de seguridad menores a 1
ao
3. Verificacin que los procesos incluyan pruebas de
seguridad ante cambios
4. Verificacin que los procesos incluyan revisin por
empresas especializadas en seguridad informtica
5. Verificacin que los procesos incluyan correccin
de las vulnerabilidades detectadas
8

- Por una organizacin que se especialice en
seguridad de aplicaciones
- Que se corrijan todas las vulnerabilidades
- Que la aplicacin se vuelva a analizar despus de las
correcciones
Controle que se haya implementado un firewall de
aplicacin web delante de aplicaciones web pblicas a
los efectos de detectar y de evitar ataques basados en
la web.

6. Verificacin que los procesos incluyan pruebas de
seguridad luego de las correcciones de
vulnerabilidades
7. Verificacin de implementacin de firewall de
aplicaciones para deteccin de ataques basados en
Web
8. Capacitacin en Penetration Testing Web

Entregable: Proceso y polticas de pruebas de
seguridad de aplicaciones Web

Actividades para Cumplimiento de PCI DSS

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Actividades para Cumplimiento de PCI DSS

Uploaded by

Copyright:

Available Formats

Anexo 1: Actividades para cumplimiento de PCI DSS y cronograma

You might also like