Tabla actualizada de requisitos PCI y soluciones para cumplirlos
Requisito de cumplimiento PCI
Requisito PCI N°1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
1.3 Prohíba el acceso directo público entre
Internet y todo componente del sistema en el
entorno de datos de los titulares de tarjetas.
1.4 Instale software de firewall personal en
todos los dispositivos móviles o de propiedad
de los trabajadores que tengan conexión a
Internet cuando están fuera de la red (por
ejemplo, computadoras portátiles que usan
los trabajadores), y que también se usan para
acceder a la red.
Requisito PCI N°2: No utilizar contraseñas de sistemas y otros parámetros de Seguridad provistos por los proveedores
2.1 Cambie siempre los valores predeterminados
por el proveedor y elimine o deshabilite las
cuentas predeterminadas innecesarias antes de
instalar un sistema en la red.
2.2 Desarrolle estándares de configuración para
todos los componentes de sistemas que con-
templen todas las vulnerabilidades de Seguridad
conocidas y que concuerden con las mejores
prácticas de Seguridad aceptadas en la industria.
2.3 Cifre todo el acceso administrativo que no
sea de consola utilizando una sólida encripta-
ción.
2.4 Lleve un inventario de los componentes del
sistema que están dentro del alcance de PCI DSS.
www.helpsystems.com
Cómo cumplir con la normativa
Use Network Insight para escanear segmentos de la red y derecrae tráfico no
autorizado
Use Penetration Testing para probar que no hay huecos en las reglas de firewall.
Use Intermapper para descubrir interconexiones entre dispositivos y visualizar mapas
de redes
Use Network Insight para escanear segmentos de la red con tráfico desde/hacia
sistemas portátiles.
Use Intermapper para descubrir interconexiones entre dispositivos y visualizar mapas
de redes
Realice Penetration Testing para probar que los valores predeterminados fueron cam-
biados a valores únicos.
Use Powertech Identity & Access Manager (BoKS) para definir roles y cuentas de
sistema. Es obligatorio y requerido por las políticas que cambie automáticamente las
contraseñas predeterminadas del Sistema Operativo y las claves SSH a medida que se
aprovisiona cada sistema.
Use Powertech Event Manager para documentar y auditar los estándares de
configuraciones de Seguridad de sus sistemas.
Use Powertech Identity & Access Manager (BoKS) para encriptar las comunicaciones
que reciben los servidores.
Use Powertech Event Manager para documentar y auditar los estándares de configura-
ciones de Seguridad de sus sistemas.
© HelpSystems, LLC. Todas las marcas comerciales y las marcas registradas son propie-
dad de sus respectivos dueños.

2.6 Los proveedores de hosting compartido
deben proteger el entorno y los datos del titular
de la tarjeta que aloja la entidad.
Requisito de cumplimiento PCI
Requisito PCI N°3 Proteja los datos del titular de la tarjeta que fueron almacenados
3.2 No almacene datos confidenciales de
autenticación después de recibir la autorización
(aún cuando estén cifrados).
3.5 Documente e implemente procedimientos
que protejan las claves utilizadas para proteger
los datos del titular de la tarjeta almacenados
contra su posible divulgación o uso indebido.
3.6 Documente por completo e implemente
todos los procesos y procedimientos de
administración de claves criptográficas que se
utilizan para el cifrado de datos del titular de la
tarjeta.
Requisito PCI N°4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
4.1 Utilizar criptografía sólida y protocolos de
Seguridad para proteger los datos confidenciales
del titular de la tarjeta durante la transmisión por
redes públicas abiertas.
Requisito PCI N°5: Utilizar y actualizar con regularidad los programas de software antivirus
5.1 Implemente un software antivirus en todos
los sistemas que, generalmente, se ven afectados
por software malicioso
5.2 Asegúrese de que los mecanismos de
antivirus: estén actualizados, ejecuten análisis
periódicos y generen registros de auditoría.
www.helpsystems.com
PCI-DSS & PA-DSS Compliance Checklist
Use Powertech Identity & Access Manager (BoKS) para definir sistemas independien-
tes, grupos de sistemas claramente visibles y cuentas para compañías de servicios PCI.
Use Powertech Identity & Access Manager (BoKS) para reforzar la separación sistema/
aplicación para infraestructuras PCI compartidas.
Cómo cumplir con la normativa
Use Powertech Identity & Access Manager (BoKS) para reforzar las claves de acceso
de cuentas de usuario y aplicación. Registre las claves en la base de datos de gestión
de identidades. Las claves añadidas manualmente no podrán ser utilizadas.
Use Powertech Identity & Access Manager (BoKS) para reforzar el acceso mediante
claves a cuentas de usuario y aplicaciones. Registre las clave en la base de datos de
Gestión de Accesos e Identidades. Las claves añadidas de forma manual no podrán ser
utilizadas.
Use Powertech Identity & Access Manager (BoKS) para definir las políticas de distribu-
ción de claves.
Use Powertech Identity & Access Manager (BoKS) para definir los estándares
criptográficos para el uso de claves.
Utilize GoAnywhere MFT para ofrecer encriptación completa end-to-end de los datos
de los dueños de las tarjetas de crédito,, tanto de los datos en tránsito como en reposo.
Implemente Powertech Antivirus para proteger sus sistemas Linux, AIX e IBM i de
software malicioso.
Fuerce el análisis de virus de los archivos antes de ingresar al entorno usando las
capacidades de integración y automatización de transferencia de archivos de
GoAnywhere MFT’s
Powertech Antivirus se actualiza automáticamente con las definiciones actuales de
virus y malware. La solución escanea e informa los resultados en períodos o eventos
configurables.
© HelpSystems, LLC. Todas las marcas comerciales y las marcas registradas son propie-
dad de sus respectivos dueños.
 PCI-DSS & PA-DSS Compliance Checklist

5.3 Asegúrese de que los mecanismos de anti-
virus funcionen activamente y que los usuarios
no puedan deshabilitarlos ni alterarlos, salvo que
estén específicamente autorizados por la geren-
cia en casos particulares y durante un período
limitado.
Implemente Powertech Antivirus y asegúrese de que las cuentas y roles del Sistema
Operativo que están a cargo de la solución de anti-virus estén protegidas de los usuarios
normales. La capacidad de modificar el comportamiento estándar debe controlarse
conjuntamente con una solución de gestión de cambios e integrarse con Powertech
Identity & Access Manager (BoKS).

Requisito de cumplimiento PCI Cómo cumplir con la normativa

Requisito PCI N°6: Desarrolle y mantenga sus sistemas y aplicaciones seguras

6.3 Desarrolle aplicaciones de software internas Use Powertech Identity & Access Manager (BoKS) para asegurar que las cuentas de
y externas (incluso acceso administrativo a
preproducción no pueden ser implementadas en sistemas que ya estén en producción.
aplicaciones basado en web) de manera segura
de acuerdo con las PCI DSS y basadas en las Use Powertech Event Manager para asegurar que las cuentas de preproducción no
normas o en las mejores prácticas de la industria.
pueden ser implementadas en sistemas que ya estén en producción.
Incorpore seguridad de la información durante
todo el ciclo de vida del desarrollo del software. Use Penetration Testing para verificar la Seguridad de las aplicaciones.
Esto rige para todos los software desarrollados
internamente y para todos los software
personalizados desarrollado externamente.

Powertech Security Auditor puede actualizar automáticamente los cambios

6.4 Aplique procesos y procedimientos de
autorizados en la política de Seguridad eliminando así errores en la modificación
control de cambios a todos los cambios en los
manual de la configuración de Seguridad del Sistema Operativo y las cuentas de
componentes del sistema.
usuario, grupos y credenciales autorizadas relacionadas con PCI.

6.5 Aborde las vulnerabilidades de codificación Use Powertech Identity & Access Manager (BoKS) para reforzar los estándares de
más comunes en los procesos de desarrollo, Seguridad apropiados para aquellas aplicaciones que usan claves basadas en cuentas.
capacitando a los desarrolladores en las técnicas
de codificación segura y en el desarrollo de Use Application Penetration Testing para verificar la Seguridad de las aplicaciones.
aplicaciones basadas en las directivas seguras
de programación, incluyendo cómo manejar la
información sensible en la memoria.

Requisito PCI N°7: Restrinja el acceso a los datos del titular de la tarjeta según
la necesidad de información que tenga la empresa

7.1 Limite el acceso a los componentes del
sistema y a los datos del titular de la tarjeta a
aquellos individuos cuyas tareas necesitan de
ese acceso.
Use Powertech Identity & Access Manager (BoKS) para definir y mapear qué
usuarios y grupos de usuarios pueden tener acceso a datos de usuarios de tarjetas de
crédito a nivel de Sistema Operativo. Estas cuentas, grupos y permisos se aprovisionan
automáticamente.
Use Powertech Event Manager para reportar sobre requisitos a responsables de
Negocio y auditar que la solución de cumplimiento sigue alcanzando los estándares de
PCI, y no ha sigo subvertida.

www.helpsystems.com © HelpSystems, LLC. Todas las marcas comerciales y las marcas registradas son propie-
dad de sus respectivos dueños.
 PCI-DSS & PA-DSS Compliance Checklist

7.2 Establish an access control system for
systems components that restricts access based
on a user’s need to know, and is set to “deny all”
unless specifically allowed.
Use Powertech Identity & Access Manager (BoKS) to enforce automatic least privilege
and deny all policies by default on Linux/UNIX platforms.
Use Powertech Event Manager to report on requirements to business owners and
audit that the enforcing solution continues to meet PCI standards, and has not been
subverted.

Requisito de cumplimiento PCI Cómo cumplir con la normativa

Requisito PCI N°8: Identifique y autentique el acceso a los componentes del sistema

8.1 Defina e implemente políticas y Use Powertech Event Manager para monitorear la inactividad del usuario y ayudar a
procedimientos para garantizar la correcta
garantizar que las cuentas inactivas se eliminen/deshabiliten en un plazo de 90 días.
gestión de la identificación de usuarios para
usuarios y administradores en todos los Event Manager puede impedir intentos de acceso repetidos bloqueando la ID de
componentes del sistema. Asigne a todos los usuario después de no más de seis intentos.
usuarios una ID exclusiva antes de permitirles
acceder a los componentes del sistema o a los
datos del titular de la tarjeta.

8.2 Use, al menos, uno de los siguientes Use Powertech Identity & Access Manager (BoKS) para exigir una autenticación sólida
métodos para autenticar todos los usuarios: para todos los usuarios usando un token de autenticación multi-factor que use las con-
algo que el usuario sepa, como una contraseña traseñas dentro de un clúster PCI.
o frase de seguridad; salvo que el usuario
tenga, como un dispositivo token o una
tarjeta inteligente; algo que el usuario sea,
como un rasgo biométrico. Deje ilegibles
todas las credenciales de autenticación (como
contraseñas/frases) durante la transmisión y el
almacenamiento en todos los componentes del
sistema mediante una criptografía sólida.

8.3 Implemente autenticación de doble factor Use Powertech Identity & Access Manager (BoKS) para proteger su clúster PCI
para todo el acceso remoto a la red por parte de del servicio remoto de PCI y del personal de soporte. En este caso, se debe usar
empleados, administrados y terceros, incluy- MFA (autenticación de múltiples factores) y BoKS puede aplicar automáticamente la
endo accesos de proveedores para soporte o
autenticación multo-factor para sesiones que empiezan fuera del clúster.
mantenimiento. Los ejemplos de tecnologías de
dos factores incluyen, entre otros, autenticación
remota y RADIUS (servicio dial-in) con tokens;
TACACS (sistema de control de acceso mediante
control del acceso desde terminales) con tokens
y otras tecnologías que faciliten la autenticación
de dos factores. El uso de un mismo factor dos
veces (por ejemplo, utilizar dos contraseñas
individuales) no se considera una autenticación
de doble factor.

www.helpsystems.com © HelpSystems, LLC. Todas las marcas comerciales y las marcas registradas son propie-
dad de sus respectivos dueños.

8.5 No use ID ni contraseñas de grupo, compar-
tidas ni genéricas, ni otros métodos de autenti-
cación. Los proveedores de servicio con acceso a
los entornos de cliente deben usar credenciales
de autenticación únicas (como contraseñas o
frases contraseña) para cada entorno del cliente.
8.6 Si se utilizan otros mecanismos de autenti-
cación (por ejemplo, tokens de seguridad físicos
o lógicos, tarjetas inteligentes, certificados, etc.),
el uso de estos mecanismos se debe asignar a
una sola cuenta y no compartirlos entre varias.
Requisito de cumplimiento PCI
Requisito PCI N°10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
10.1 Implemente pistas de auditoría para
vincular todo acceso a componentes del sistema
con usuarios específicos.
10.2 Implemente pistas de auditoría
automáticas en todos los componentes del
sistema
10.3 Registre las pistas de auditoría de todos los
componentes del sistema para cada evento.
www.helpsystems.com
PCI-DSS & PA-DSS Compliance Checklist
Use Powertech Identity & Access Manager (BoKS) para exigir e implementar políticas
que aseguren que en cada iteración de aprovisionamiento de requerimientos de
cliente de servicios PCI, se generen automáticamente IDs únicas, con credenciales de
autorización únicas. En casos donde TAMBIÉN se requiera un cliente-final para llevar a
cabo la administración remota en infraestructuras compartidas, deberá además asociar
un autenticador multi-factor adicional a la cuenta cuando la genere.
Use Powertech Identity & Access Manager (BoKS) para exigir que se asignen
credenciales sólidas únicas a cuentas de usuario únicas. Para las cuentas de instalación
de aplicaciones "propias" del Sistema Operativo (por ejemplo, como "Oracle" que posee
los archivos de la base de datos y ejecutables), el uso de los Certificados de Usuario SSH
puede ser obligatorio para cumplir con una autenticación fuerte A -to-A.
Cómo cumplir con la normativa
Implemente la funcionalidad estándar de Powertech Identity & Access Manager
(BoKS) para generar eventos y registros de auditoría, con ID de usuario y campos de
grupo de usuario en cada registro.
Use Powertech Event Manager para proporcionar listas de todos los eventos de
fallos de inicio de sesión y escalamientos de privilegios. Además, las funcionalidades
de reporting pueden darle detalles sobre cualquier acción realizada, incluidos los
cambios, adiciones o eliminaciones a cualquier cuenta por parte de un usuario root o
administrador.
Implemente Powertech Identity & Access Manager (BoKS) para generar registros
de cambios en las políticas de Seguridad del Sistema Operativo, así como registros de
acceso y autenticación de accesos a cuentas de usuario, para cada día.
Use Powertech Event Manager para proporcionar listas de todos los eventos de
fallos de inicio de sesión y escalamiento de privilegios. Además, las funcionalidades
de reporting pueden darle detalles sobre cualquier acción realizada, incluidos los
cambios, adiciones o eliminaciones a cualquier cuenta por parte de un usuario root o
administrador.
Implemente la funcionalidad estándar de Powertech Identity & Access Manager
(BoKS) para generar eventos y registros de auditoría, con ID de usuario y campos de
grupo de usuario en cada registro.
Deploy Powertech Event Manager to log and create audit trail alerts and generate
reports.
© HelpSystems, LLC. Todas las marcas comerciales y las marcas registradas son propie-
dad de sus respectivos dueños.

10.4 Utilizando tecnología de sincronización,
sincronice todos los tiempos y relojes críticos,
y aplique controles para los horarios de ad-
quisición, distribución y almacenamiento.
10.5 Proteja las pistas de auditoría para que no
se puedan modificar
10.6 Revise los registros y los eventos de Seguri-
dad en todos los componentes del sistema para
identificar anomalías o actividades sospechosas.
10.7 Conserve el historial de las trazas de audi-
toría durante, al menos, un año. La información
histórica de por lo menos los últimos tres meses
debe estar disponible en forma inmediata para
ser analizada.
www.helpsystems.com
PCI-DSS & PA-DSS Compliance Checklist
Use la sincronización horaria en Powertech Identity & Acess Manager (BoKS) para
garantizar que los registros IAM OS de Linux/UNIX sean efectivos y reportados con
precisión.
Implemente Powertech Event Manager para monitorear y alertar sobre cualquier
cambio de fecha y hora no programado.
Implemente standard Powertech Identity & Access Manager (BoKS) para monitorear
los logs de Seguridad generados, de forma que no puedan puedan ser alterados.
Implemente Powertech Event Manager para enviar todos los registros a una consola
central para generar alertas y controlar redundancia.
Use Powertech Event Manager para informar sobre eventos de Seguridad relacionados
con PCI y, cuando corresponda, generar alertas de actividad sospechosa para que le
centro de Operaciones de Seguridad pueda tomar acción inmediata
Use Powertech Event Manager para definir e implementar períodos de retención de
registros de al menos un año dentro de su base de datos.
© HelpSystems, LLC. Todas las marcas comerciales y las marcas registradas son propie-
dad de sus respectivos dueños.

Requisito de cumplimiento PCI
Requirement 11: Regularly Test Security Systems & Processes.
11.3 Desarrolle e implemente una metodología
para las pruebas de penetración que incluya
pruebas de penetración al entorno interno y
externo de la red, y llévelas a cabo al menos una
vez por año y después de cualquier modificación
o actualización.
11.4 Use técnicas de intrusión-detección y de
intrusión-prevención para detectar o prevenir
intrusiones en la red.
11.5 Implemente un software de integridad de
monitoreo de integridad de archivos para alertar
al personal sobre modificaciones no autorizadas
a archivos críticos del sistema, a archivos de
configuración o de contenido. Configure
el software para realizar comparaciones de
archivos críticos, al menos, una vez por semana.
www.helpsystems.com
HelpSystems, LLC. Todas las marcas comerciales y las marcas registradas son propiedad de sus respectivos dueños. (DBN-1119-HS-PCIPADSSCCL-11)
PCI-DSS & PA-DSS Compliance Checklist
Cómo cumplir con la normativa
Implemente una solución estándar de Penetration Testing para definir límites y
procesar los requisitos antes aquí mencionados.
Implemente una solución estándar de Penetration Testing para ejecutar todas las
modalidades de Penetration Testing solicitadas en este requisito.
Utilice Security Consulting Services de terceros para contar con los esfuerzos de red
de equipos.
Use Network Insight para detectar intrusiones, informar sobre actividades maliciosas
y tomar acciones de remediación inmediatas sobre los endpoints afectados.
Use Powertech Security Auditor para monitorear eventos de integridad de archivos,
incluyendo cualquier modificación no autorizada (cambios, adiciones y eliminaciones)
de archivos críticos del sistema, archivos de configuración o archivos de contenido; y
configure el software para realizar comparaciones de archivos críticos al menos una vez
por semana.
Use Powertech Event Manager para priorizar estos eventos y alertar al personal apro-
piado sobre estos cambios.
Acerca de HelpSystems
Organizaciones de todo el mundo confían en HelpSystems para simplificar la vida de
los departamentos de IT y mantener sus negocios funcionando sin problemas. Nues-
tros productos y servicios monitorean y automatizan procesos, cifran y protegen
datos y proporcionan un fácil acceso a la información que las personas necesitan.