actividades para cumplimiento de pci dss

Anexo 1: Actividades para cumplimiento de PCI DSS y cronograma

1

Implementacin de Controles de

Programacin Segura en el SDLC

Requisitos de la PCI DSS Procedimientos de pruebas Actividades 6.1 Asegrese de que todos los componentes de sistemas y software cuenten con los parches de seguridad ms recientes proporcionados por los proveedores para proteccin contra vulnerabilidades conocidas. Instale los parches importantes de seguridad dentro de un plazo de un mes de su lanzamiento. Nota: Las organizaciones pueden tener en cuenta la aplicacin de un enfoque basado en el riesgo a los efectos de priorizar la instalacin de parches. Por ejemplo, al priorizar infraestructura de importancia (por ejemplo, dispositivos y sistemas pblicos, bases de datos) superiores a los dispositivos internos menos crticos a los efectos de asegurar que los dispositivos y los sistemas de alta prioridad se traten dentro del periodo de un mes y se traten dispositivos y sistemas menos crticos dentro de un periodo de tres meses.

6.1.a En el caso de la muestra de componentes del sistema y del software relacionado, compare la lista de parches de seguridad instalados en cada sistema con la ltima lista de parches de seguridad proporcionados por el proveedor a los efectos de confirmar que los actuales parches proporcionados por los proveedores estn instalados.

1. Identificacin de los componentes del sistema 2. Identificacin de lista de parches de los

proveedores 3. Implementacin de mejoras para cumplimiento

Entregable: Procedimiento para verificacin de parches de seguridad en los sistemas.

6.1.b Examine las polticas relacionadas con la instalacin de parches de seguridad a fin de establecer que solicitan la instalacin de todos los nuevos parches de seguridad relevantes dentro de un plazo de un mes.

1. Identificacin de polticas relacionadas 2. Actualizacin de polticas para inclusin del proceso

de instalacin de parches de seguridad 3. Implementacin de mejoras para cumplimiento

Entregable: Poltica de instalacin de parches de seguridad.

6.2 Establezca un proceso para identificar y asignar una clasificacin de riesgos para vulnerabilidades de seguridad descubiertas recientemente. Notas: Las clasificaciones de riesgo se deben basar en las mejores prcticas de la industria. Por ejemplo, los criterios para clasificar vulnerabilidades de Alto riesgo pueden incluir una puntuacin base CVSS de 4.0 o superior, y/o un parche proporcionado por el proveedor clasificado por el mismo como crtico, y/o una vulnerabilidad que afecte un componente crtico del sistema. La clasificacin de vulnerabilidades segn lo definido en 6.2.a es considerada una buena prctica hasta el 30 de junio de 2012, y a partir de entonces se convierte en un requisito.

6.2.a Consulte al personal responsable para verificar que se implementan procesos para identificar nuevas vulnerabilidades de seguridad, y que se haya asignado una clasificacin de riesgo a esas vulnerabilidades. (Como mnimo, las vulnerabilidades ms crticas que representen los riesgos ms altos se deben clasificar como Alto

1. Identificacin de funciones del personal involucrado 2. Entrevistas a personal responsable 3. Verificacin de procesos de identificacin de

nuevas vulnerabilidades de seguridad 4. Verificacin de clasificacin de riesgo 5. Implementacin de mejoras para cumplimiento

Entregable: Procedimiento para identificacin y clasificacin de riesgo de nuevas vulnerabilidades de seguridad

6.2.b Verifique que los procesos para identificar las nuevas vulnerabilidades de seguridad incluyan el uso de fuentes externas de informacin sobre vulnerabilidades de seguridad.

1. Verificacin de uso de fuentes externas para identificacin de vulnerabilidades de seguridad

2. Implementacin de mejoras para cumplimiento

Entregable: Procedimiento para identificacin y clasificacin de riesgo de nuevas vulnerabilidades de seguridad


2



6.3 Desarrolle aplicaciones de software (acceso interno y externo, e incluso acceso administrativo basado en la web a aplicaciones) de conformidad con las PCI DSS (por ejemplo, autenticacin segura y registro), basadas en las mejores prcticas de la industria. Incorpore seguridad de la informacin en todo el ciclo de vida de desarrollo del software. Estos procesos deben incluir lo siguiente:

6.3.a Obtenga y examine los procesos de desarrollo de software escritos para verificar que los procesos estn basados en normas de la industria y/o en las mejores prcticas.

1. Identificacin de procesos de desarrollo de software 2. Verificacin de cumplimiento de mejores prcticas

de industria en los procesos de desarrollo 3. Implementacin de mejoras para cumplimiento

Entregable: Mejora del proceso de desarrollo 6.3.b Examine que se incluya la seguridad de la informacin en todo los procesos de desarrollo de software escritos.

1. Verificacin de inclusin de seguridad de informacin en los procesos de desarrollo.


Entregable: Mejora del proceso de desarrollo 6.3.c Examine los procesos de desarrollo de software escritos para verificar que esas aplicaciones de software se desarrollen en conformidad con las PCI DSS.

1. Verificacin de conformidad con la PCI DSS en los procesos de desarrollo.

2. Evaluacin de grado de cumplimiento de PCI DSS 3. Implementacin de mejoras para cumplimiento

Entregable: Mejora del proceso de desarrollo 6.3.d Utilizando un examen de los procesos de desarrollo de software escritos y entrevistas a los desarrolladores de software, verifique que:

6.3.1 Eliminacin de las cuentas, los ID de usuario y las contraseas personalizadas de la aplicacin antes de que las aplicaciones se activen o se pongan a disposicin de los clientes

6.3.1 Las cuentas, los ID de usuario y las contraseas personalizadas de la aplicacin se eliminan antes de activar los sistemas de produccin o de que se pongan a disposicin de los clientes.

1. Verificacin que los procesos de desarrollo contemplen eliminacin de cuentas personalizadas de la aplicacin

2. Entrevistas a equipos involucrados 3. Implementacin de mejoras para cumplimiento

Entregable: Mejora del proceso de desarrollo


3



6.3.2 Revisin del cdigo personalizado antes del envo a produccin o a los clientes a fin de identificar posibles vulnerabilidades de la codificacin. Nota: Este requisito de revisin de cdigos se aplica a todos los cdigos personalizados (tanto internos como pblicos) como parte del ciclo de vida de desarrollo del sistema. Las revisiones de los cdigos pueden ser realizadas por terceros o por personal interno con conocimiento. Las aplicaciones web tambin estn sujetas a controles adicionales, si son pblicas, a los efectos de tratar con las amenazas continuas y vulnerabilidades despus de la implementacin, conforme al Requisito 6.6 de las PCI DSS.

6.3.2.a Obtenga y analice las polticas para confirmar que todos los cambios a los cdigos de aplicaciones personalizadas de se deban revisar (ya sea mediante procesos manuales o automticos) de la siguiente manera: Los cambios a los cdigos son revisados por individuos distintos al autor que origin el cdigo y por individuos con conocimiento en tcnicas de revisin de cdigo y prcticas de codificacin segura. Las revisiones de los cdigos aseguran que estos se desarrollan de acuerdo con las directrices de codificacin segura (consulte el requisito 6.5 de las PCI DSS). Las correcciones pertinentes se implementan antes del lanzamiento. La gerencia revisa y aprueba los resultados de la revisin de cdigos antes del lanzamiento.

1. Identificacin de polticas de desarrollo 2. Verificacin que las polticas incluyan revisin a los

cambios realizados a los cdigos de las aplicaciones personalizadas

3. Verificacin de actividades de revisin de pares, tcnicas de revisin de cdigo, prcticas de programacin segura

4. Verificacin del procedimiento de revisin de cdigo que incluya las directrices del requisito 6.5 de la PCI DSS

5. Verificacin de revisin y aprobacin de los resultados


Entregable: Procedimiento de revisin de cdigo para cambios en aplicaciones personalizadas.

6.3.2.b Seleccione una muestra de cambios recientes de aplicaciones personalizadas y controle que los cdigos de aplicaciones personalizadas se revisen conforme a 6.3.2.a que aparecen anteriormente.

1. Seleccin de aplicacin 2. Verificacin de cumplimiento de polticas actuales 3. Verificacin de cumplimiento de polticas mejoradas 4. Implementacin de mejoras para cumplimiento

Entregable: Procedimiento para verificacin de cumplimiento para la revisin de cdigo.

6.4 Siga los procesos y procedimientos de control de todos los cambios en los componentes del sistema. Los procesos deben incluir lo siguiente:

6.4 A partir de un examen de procesos de control de cambios, entrevistas con administradores de sistemas y redes, y un examen de datos relevantes (documentacin de configuracin de redes, datos y produccin y prueba, etc.), verifique lo siguiente:

6.4.1 Desarrollo/prueba por separado y entornos de produccin

6.4.1 Los entornos de prueba/desarrollo estn separados del entorno de produccin y se implementa un control del acceso para reforzar la separacin.

1. Entrevistas a equipos involucrados 2. Evaluacin de la documentacin actual 3. Verificacin de entornos aislados de prueba,

desarrollo y produccin 4. Verificacin de controles de acceso para cada

ambiente 5. Implementacin de mejoras para cumplimiento

Entregable: Mejora de polticas de control de cambios


4



6.4.2 Separacin de funciones entre desarrollo/prueba y entornos de produccin

6.4.2 Existe una separacin de funciones entre el personal asignado a los entornos de desarrollo/prueba y los asignados al entorno de produccin.

1. Entrevistas a equipos involucrados 2. Verificacin de separacin de funciones para cada

ambiente 3. Implementacin de mejoras para cumplimiento


6.4.3 Los datos de produccin (PAN activos) no se utilizan para las pruebas ni para el desarrollo

6.4.3 Los datos de produccin (PAN activos) no se utilizan para las pruebas ni para el desarrollo.

1. Entrevistas a equipos involucrados 2. Verificacin de proceso de enmascaramiento de

datos para cada ambiente 3. Implementacin de mejoras para cumplimiento


6.4.4 Eliminacin de datos y cuentas de prueba antes de que se activen los sistemas de produccin

6.4.4 Los datos y las cuentas de prueba se eliminan antes de que se active el sistema de produccin.

1. Entrevistas a equipos involucrados 2. Verificacin de proceso de eliminacin de cuentas

de prueba en ambientes de produccin 3. Implementacin de mejoras para cumplimiento


6.4.5 Procedimientos de control de cambios para la implementacin de parches de seguridad y modificaciones del software. Los procedimientos deben incluir lo siguiente:

6.4.5.a Verifique que los procedimientos de control de cambio relacionados con la implementacin de los parches de seguridad y las modificaciones de software estn documentados y que los procedimientos incluyan los puntos 6.4.5.1 6.4.5.4 que aparecen a continuacin.

1. Entrevistas a equipos involucrados 2. Verificacin de los procedimientos de control de

cambios estn documentados 3. Implementacin de mejoras para cumplimiento

Entregable: Documentacin de procedimientos de control de cambios

6.4.5.b En el caso de la muestra de componentes de sistema y cambios o parches de seguridad recientes, realice un seguimiento de los cambios relacionados con la documentacin de control de cambios. Por cada cambio que examine, realice lo siguiente:

1. Entrevistas a equipos involucrados 2. Verificacin que los cambios de cdigo

personalizado incluyan pruebas segn el requisito 6.5 de la PCI DSS



6.4.5.1 Documentacin de incidencia.

6.4.5.1 Verifique que la documentacin que tiene incidencia se incluya en la documentacin de control de

1. Entrevistas a equipos involucrados 2. Verificacin que la documentacin incluya los


5



cambios de cada cambio.

incidentes reportados 3. Implementacin de mejoras para cumplimiento


6.4.5.2 Aprobacin de cambio documentada por las partes autorizadas.

6.4.5.2 Verifique que la aprobacin documentada por partes autorizadas est presente para cada muestra de cambio.

1. Entrevistas a equipos involucrados 2. Verificacin de que exista aprobacin documentada

para cada cambio 3. Implementacin de mejoras para cumplimiento


6.4.5.3 Verifique que la prueba de funcionalidad se haya realizado para verificar que el cambio no incide de forma adversa en la seguridad del sistema.

6.4.5.3.a Para cada cambio probado, verifique que la prueba de funcionalidad se haya realizado para verificar que el cambio no incide de forma adversa en la seguridad del sistema.

1. Entrevistas a equipos involucrados 2. Verificacin de pruebas de funcionalidad para cada

cambio 3. Implementacin de mejoras para cumplimiento


6.4.5.3.b En el caso de cambios del cdigo personalizado, verifique que se hayan realizado las pruebas a todas las actualizaciones de conformidad con el requisito 6.5 de las PCI DSS antes de la implementacin para produccin.

1. Entrevistas a equipos involucrados 2. Verificacin de que los cambios de cdigo

personalizado incluyan las pruebas requeridas en el punto 6.5 de la PCI DSS



6.4.5.4 Procedimientos de desinstalacin.

6.4.5.4 Verifique que se prepare los procedimientos de desinstalacin para cada cambio.

1. Entrevistas a equipos involucrados 2. Verificacin de procesos de desinstalacin para

cada cambio 3. Implementacin de mejoras para cumplimiento



6



6.5 Desarrolle aplicaciones basadas en directrices de codificacin seguras. Evite vulnerabilidades de codificacin comunes en los procesos de desarrollo de software, a fin de incluir: Nota: Las vulnerabilidades que se enumeran desde el punto 6.5.1 hasta el 6.5.9 eran congruentes con las mejores prcticas de la industria cuando se public esta versin de las PCI DSS. Sin embargo, debido a que las mejores prcticas de la industria para la gestin de vulnerabilidades se actualizan (por ejemplo, OWASP Guide, SANS CWE Top 25, CERT Secure Coding, etc.), se deben utilizar las mejores prcticas actuales para estos requisitos.

6.5.a Obtenga y revise los procesos de desarrollo de software. Verifique que el proceso requiera capacitacin acerca de las tcnicas de codificacin segura para desarrolladores, que est basada en las mejores prcticas de la industria, as como asesora.

1. Verificacin de que los procesos de desarrollo contemplen capacitacin sobre tcnicas de programacin segura para las reas de desarrollo basado en OWASP


Entregable: Mejora de proceso de desarrollo de software

6.5.b Entreviste a un grupo modelo de desarrolladores y obtenga pruebas de que son expertos en tcnicas de codificacin segura.

1. Entrevistas a equipos de desarrollo 2. Evaluacin sobre conocimientos de tcnicas de

programacin segura 3. Capacitacin a equipos de desarrollo 4. Evaluacin final a equipos de desarrollo

Entregable: Evaluacin final a equipos de desarrollo 6.5.c. Verifique que existan procesos implementados para garantizar que las aplicaciones no son vulnerables, como mnimo, a lo siguiente:

1. Verificacin que los procesos garanticen que las aplicaciones no son vulnerables al TOP 10 OWASP

2. Verificacin que los procesos garanticen las vulnerabilidades identificadas como ALTAS en los requisitos 6.2 de la PCI DSS


Entregable: Manual de programacin segura para equipos de desarrollo

6.5.1 Errores de inyeccin, en especial, errores de inyeccin SQL. Tambin considere los errores de inyeccin de comandos de OS, LDAP y Xpath, as como otros errores de inyeccin.

6.5.1 Errores de inyeccin, en especial, errores de inyeccin SQL. (valide la entrada para verificar que los datos de usuario no pueden modificar el significado de los comandos y las consultas, utilice las consultas basadas en parmetros, etc.).

6.5.2 Desbordamiento de buffer

6.5.2 Desbordamiento de buffer (validar lmites del buffer y truncar cadenas de entrada).

6.5.3 Almacenamiento cifrado inseguro

6.5.3 Almacenamiento cifrado inseguro (prevenir defectos de cifrado).

6.5.4 Comunicaciones inseguras

6.5.4 Comunicaciones inseguras (cifrar adecuadamente todas las comunicaciones autenticadas y confidenciales).


7



6.5.5 Manejo inadecuado de errores

6.5.5 Manejo inadecuado de errores (no permitir que se filtre informacin a travs de mensajes de error)

6.5.6 Todas las vulnerabilidades altas detectadas en el proceso de identificacin de vulnerabilidades (segn lo definido en el Requisito 6.2 de las PCI DSS). Nota: Este requisito se considera una mejor prctica hasta el 30 de junio de 2012, y a partir de entonces se convierte en requisito. Nota: Los requisitos del 6.5.7 al 6.5.9, que siguen, se aplican a las aplicaciones basadas en la web y a las interfaces de aplicaciones (internas o externas):

6.5.6 Todas las vulnerabilidades altas, identificadas en el Requisito 6.2 de las PCI DSS.

6.5.7 Lenguaje de comandos entre distintos sitios (XSS)

6.5.7 Lenguaje de comandos entre distinto sitios (XSS) (valide todos los parmetros antes de la inclusin, utilice tcnicas de escape sensibles al contexto, etc.).

6.5.8 Control de acceso inapropiado (tal como referencias no seguras a objetos directos, no restriccin de acceso a URL y exposicin completa de los directorios)

6.5.8 Control de acceso inapropiado tal como referencias no seguras a objetos directos, no restriccin de acceso a URL y exposicin completa de los directorios (Autentique usuarios de forma correcta y desinfecte entradas. No exponga referencias a objetos internos a usuarios).

6.5.9 Falsificacin de solicitudes entre distintos sitios (CSRF)

6.5.9 Falsificacin de solicitudes entre distintos sitios (CSRF). (No confe en las credenciales de autorizacin ni en los tokens que los exploradores presentan automticamente).

6.6 En el caso de aplicaciones web pblicas, trate las nuevas amenazas y vulnerabilidades continuamente y asegrese de que estas aplicaciones se protejan contra ataques conocidos de alguno de los siguientes mtodos: Controlar las aplicaciones web pblicas mediante herramientas o mtodos de evaluacin de seguridad de vulnerabilidad de aplicacin automticas o manuales, por lo menos, anualmente y despus de cada cambio Instale un firewall de aplicacin web enfrente de aplicaciones web pblicas

6.6 En el caso de aplicaciones web pblicas, asegrese de que se haya implementado alguno de los siguientes mtodos: Controle que las aplicaciones web pblicas se revisen (tanto mediante la utilizacin de herramientas o mtodos manuales de evaluacin de seguridad de vulnerabilidad como automticos), de la siguiente manera: - Por lo menos, anualmente - Despus de cualquier cambio

1. Verificacin que los procesos incluyan revisiones de seguridad a las Web pblicas

2. Verificacin que los procesos incluyan periodos de ejecucin de pruebas de seguridad menores a 1 ao

3. Verificacin que los procesos incluyan pruebas de seguridad ante cambios

4. Verificacin que los procesos incluyan revisin por empresas especializadas en seguridad informtica

5. Verificacin que los procesos incluyan correccin de las vulnerabilidades detectadas


8



- Por una organizacin que se especialice en seguridad de aplicaciones - Que se corrijan todas las vulnerabilidades - Que la aplicacin se vuelva a analizar despus de las correcciones Controle que se haya implementado un firewall de aplicacin web delante de aplicaciones web pblicas a los efectos de detectar y de evitar ataques basados en la web.

6. Verificacin que los procesos incluyan pruebas de seguridad luego de las correcciones de vulnerabilidades

7. Verificacin de implementacin de firewall de aplicaciones para deteccin de ataques basados en Web

8. Capacitacin en Penetration Testing Web

Entregable: Proceso y polticas de pruebas de seguridad de aplicaciones Web

actividades para cumplimiento de pci dss

Documents