Checklist requerimientos Estándares de configuración

PCI Hispano www.pcihispano.c

Versión 3.2: David Acosta (Junio 2016)

Comentarios, preguntas y erratas: admin@pcihispano.com
Nota: Este es un listado de referencia no exhaustivo y debe ser usado como tal. En función de las necesidades del activo a configurar de

Parte I: Requerimientos generales

Req. No.

N/A

N/A

2.1

2.2

2.2.1

2.2.2
2.2.3
2.2.4
2.2.5
2.3
2.4
3.1

3.2

3.3

3.4

3.4.1

3.5.X
3.6.x

4.1

4.2
5.1
5.1.1

5.1.2

5.2

5.3

6.2

6.4.6

7.1.1

7.1.2

7.2

7.2.1
7.2.2
7.2.3
8.1.1
8.1.2
8.1.3
8.1.4
8.1.6
8.1.7
8.1.8

8.2

8.2.1

8.2.2

8.2.3

8.2.4
8.2.5
8.2.6
8.3.1
8.3.2

8.5

8.5.1

8.6

9.8.2
10.1
10.2
 10.2.1
10.2.2
10.2.3
10.2.4

10.2.5

10.2.6
10.2.7
10.3
10.3.1
10.3.2
10.3.3
10.3.4
10.3.5
10.3.6

10.4

10.4.1
10.4.2
10.4.3
10.5
10.5.1
10.5.2

10.5.5

11.5

12.3.2
12.3.6
12.3.7

Parte II: Requerimientos adicionales para Firewalls y Enrutadores

Req. No.
1.1.1.a
1.1.2.a
1.1.3
1.1.4.a
1.1.5.a

1.1.6

1.1.7

1.2

1.2.1
1.2.2

1.2.3

1.3

1.3.1

1.3.2

1.3.3

1.3.4
1.3.5

1.3.6

1.3.7
Parte III: Requerimientos adicionales para Equipos con conexión remota (empleados y proveedores)
Req. No.

1.4

8.1.5

12.3.8
12.3.9

12.3.10

Parte IV: Requerimientos adicionales para Redes Inalámbricas

Req. No.

2.1.1

4.1.1

Parte V: Requerimientos adicionales para Aplicaciones

Req. No.
6.3.1
6.3.2
6.4.4
6.5.1-6.5.6
6.5.7-6.5.10

6.6

Parte VI: Requerimientos adicionales para Bases de Datos

Req. No.

8.7

Parte VII: Requerimientos adicionales para Sistema Centralizado de Log

Req. No.
10.5.3
10.5.4

10.7

Parte VIII: Requerimientos adicionales para Sistemas de Detección/Prevención de intrusiones

Req. No.

11.4
 Checklist requerimientos Estándares de configuración segura (hardening)
PCI Hispano www.pcihispano.com

rsión 3.2: David Acosta (Junio 2016)

mentarios, preguntas y erratas: admin@pcihispano.com
ta: Este es un listado de referencia no exhaustivo y debe ser usado como tal. En función de las necesidades del activo a configurar de forma segura y del criterio del Q

arte I: Requerimientos generales

Requerimiento

Requerimientos básicos de control de documentación

- Nombre del documento
- Versión
- Fecha
- Cuadro de cambios
* Responsable
* Modificado por
* Revisado por
* Aprobado por
* Fecha del cambio
* Control de versiones

Descripción de la plataforma a securizar (nombre, versión, release, Service Pack, fix, etc)

Siempre cambie los valores predeterminados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistem
Esto rige para TODAS las contraseñas predeterminadas, por ejemplo, entre otras, las utilizadas por los sistemas operativos, los software que prestan servi
aplicaciones y sistemas, los terminales de POS (puntos de venta), las cadenas comunitarias de SNMP (protocolo simple de administración de red), etc.

Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de s
las normas de alta seguridad de sistema aceptadas en la industria.
Entre las fuentes de normas de alta seguridad aceptadas en la industria, se pueden incluir, a modo de ejemplo:
• Center for Internet Security (CIS)
• International Organization for Standardization (ISO)
• SysAdmin Audit Network Security (SANS) Institute
• National Institute of Standards Technology (NIST).
Implemente sólo una función principal por servidor a fin de evitar que coexistan funciones que requieren diferentes niveles de seguridad en el mismo servid
servidores de base de datos y DNS se deben implementar en servidores separados).
Habilite solo los servicios, protocolos y daemons, etc., necesarios, según lo requiera la función del sistema.
Implemente funciones de seguridad adicionales para los servicios, protocolos o daemons requeridos que no se consideren seguros
Configure los parámetros de seguridad del sistema para evitar el uso indebido.
Elimine todas las funcionalidades innecesarias, como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web in
Cifre todo el acceso administrativo que no sea de consola utilizando un cifrado sólido
Lleve un inventario de los componentes del sistema que están dentro del alcance de las PCI DSS.
Un proceso trimestral para identificar y eliminar, de manera segura, los datos del titular de la tarjeta almacenados que excedan los requisitos de retención d
No almacene datos confidenciales de autenticación después de recibir la autorización (aun cuando estén cifrados). Si se reciben datos de autenticación co
irrecuperables al finalizar el proceso de autorización.
Oculte el PAN (número de cuenta principal) cuando aparezca (los primeros seis y los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá
necesidad comercial legítima pueda ver el PAN (número de cuenta principal) completo.

Convierta el PAN (número de cuenta principal) en ilegible en cualquier lugar donde se almacene (incluidos los datos que se almacenen en medios digitales
seguridad y en registros) utilizando cualquiera de los siguientes métodos:
• Valores hash de una vía basados en criptografía sólida (el hash debe ser del PAN completo)
• Truncamiento (los valores hash no se pueden usar para reemplazar el segmento truncado del PAN)
• Tokens y ensambladores de índices (los ensambladores se deben almacenar de manera segura).
• Criptografía sólida con procesos y procedimientos asociados para la administración de claves.

Si se utiliza el cifrado de disco (en lugar de un cifrado de base de datos por archivo o columna), se debe administrar un acceso lógico independiente y por s
autenticación y control de acceso del sistema operativo nativo (por ejemplo, no se deben utilizar bases de datos de cuentas de usuarios locales ni credenci
red). Las claves de descifrado no deben estar asociadas con las cuentas de usuarios.
Protección de las claves de cifrado (en caso de existir)
Documentación de todos los procesos de gestión de claves de cifrado

Utilice cifrado sólido y protocolos de seguridad para proteger los datos confidenciales del titular de la tarjeta durante la transmisión por redes públicas abier
• Solo se aceptan claves y certificados de confianza.
• El protocolo implementado solo admite configuraciones o versiones seguras.
• La solidez del cifrado es la adecuada para la metodología de cifrado que se utiliza.
Nunca debe enviar PAN no cifrados por medio de tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, cha
Implemente un software antivirus en todos los sistemas que, generalmente, se ven afectados por software malicioso (en especial, computadoras personale
Asegúrese de que los programas de antivirus puedan detectar y eliminar todos los tipos de software malicioso conocidos y proteger a los sistemas contra e
Para aquellos sistemas que no suelen verse afectados por software maliciosos, lleve a cabo evaluaciones periódicas para identificar y evaluar las amenaza
de determinar si es necesario o no implementar un software antivirus en dichos sistemas.

Asegúrese de que los mecanismos de antivirus cumplan con lo siguiente:

• Estén actualizados.
• Ejecuten análisis periódicos.
• Generen registros de auditoría que se guarden de conformidad con el Requisito 10.7 de PCI DSS.
Asegúrese de que los mecanismos de antivirus funcionen activamente y que los usuarios no puedan deshabilitarlos ni alterarlos, salvo que estén específica
casos particulares y durante un período limitado.
Asegúrese de que todos los software y componentes del sistema tengan instalados parches de seguridad proporcionados por los proveedores que ofrecen
conocidas. Instale los parches criticos de seguridad dentro de un plazo de un mes de su lanzamiento y todos los demás parches de seguridad dentro de un
meses)

Al finalizar un cambio significativo, todos los requerimientos relevantes de PCI DSS deben ser implementados en todos los sistemas y redes y la document
Defina las necesidades de acceso de cada función, incluso lo siguiente:
• Los componentes del sistema y los recursos de datos que necesita cada función para acceder a fin de realizar su trabajo.
• Nivel de privilegio necesario (por ejemplo, usuario, administrador, etc.) para acceder a los recursos.
Limite el acceso de usuarios con ID privilegiadas a la menor cantidad de privilegios necesarios para llevar a cabo las responsabilidades del trabajo.

Establezca un sistema de control de acceso para los componentes del sistema que restrinja el acceso según la necesidad del usuario de conocer y que se
permita específicamente.
Este sistema de control de acceso debe incluir lo siguiente:
Cobertura de todos los componentes del sistema
La asignación de privilegios a una persona se basa en la clasificación del trabajo y su función.
Configuración predeterminada de “negar todos”
Asigne a todos los usuarios una ID exclusiva antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta.
Controle la incorporación, la eliminación y la modificación de las ID de usuario, las credenciales y otros objetos de identificación.
Cancele de inmediato el acceso a cualquier usuario cesante.
Elimine o inhabilite las cuentas de usuario inactivas, al menos, cada 90 días.
Limite los intentos de acceso repetidos mediante el bloqueo de la ID de usuario después de más de seis intentos.
Establezca la duración del bloqueo a un mínimo de 30 minutos o hasta que el administrador habilite la ID del usuario.
Si alguna sesión estuvo inactiva durante más de 15 minutos, solicite al usuario que vuelva a escribir la contraseña para activar la terminal o la sesión nuev

Además de asignar una ID exclusiva, asegúrese de que haya una correcta administración de autenticación de usuarios para usuarios no consumidores y a
del sistema y que se use, al menos, uno de los siguientes métodos para autenticar todos los usuarios:
• Algo que el usuario sepa, como una contraseña o frase de seguridad
• Algo que el usuario tenga, como un dispositivo token o una tarjeta inteligente
• Algo que el usuario sea, como un rasgo biométrico.

Deje ilegibles todas las credenciales de autenticación (como contraseñas/frases) durante la transmisión y el almacenamiento en todos los componentes de

Verifique la identidad del usuario antes de modificar alguna credencial de autenticación, por ejemplo, restablezca la contraseña, entregue nuevos tokens o

Las contraseñas deben tener lo siguiente:

• Una longitud mínima de siete caracteres.
• Combinación de caracteres numéricos y alfabéticos.
De manera alternativa, la contraseña/frase debe tener una complejidad y una solidez, al menos, equivalente a los parámetros que se especifican anteriorm
Cambie la contraseña/frase de usuario, al menos, cada 90 días.
No permita que una persona envíe una contraseña/frase nueva que sea igual a cualquiera de las últimas cuatro contraseñas/frases utilizadas.
Configure la primera contraseña/frase y las restablecidas en un valor único para cada usuario y cámbiela de inmediato después del primer uso.
Incorpore autenticación multi-factor para todos los accesos que no sean a través de consola en eñl CDE para personal con acceso administrativo
Incorpore autenticación multi-factor para todos los accesos remotos (para usuarios, administradores y terceros) que se originen desde fuera de la red de la

No use ID ni contraseñas de grupo, compartidas ni genéricas, ni otros métodos de autenticación de la siguiente manera:
• Las ID de usuario genéricas se deben desactivar o eliminar.
• No existen ID de usuario compartidas para realizar actividades de administración del sistema y demás funciones críticas.
• Las ID de usuario compartidas y genéricas no se utilizan para administrar componentes del sistema.
Requisitos adicionales para los proveedores de servicios: Los proveedores de servicios que tengan acceso a las instalaciones del cliente (por ejemplo
de POS o de los servidores) deben usar una credencial de autenticación exclusiva (como una contraseña/frase) para cada cliente.

Si se utilizan otros mecanismos de autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), el uso de estos
siguiente manera:
• Los mecanismos de autenticación se deben asignar a una sola cuenta y no compartirlos entre varias.
• Se deben implementar controles físicos y lógicos para garantizar que solo la cuenta deseada usa esos mecanismos para acceder.
Controle que los datos del titular de la tarjeta guardados en medios electrónicos sean irrecuperables para que no se puedan reconstruir.
Implemente pistas de auditoría para vincular todo acceso a componentes del sistema con usuarios específicos.
Implemente pistas de auditoría automáticas en todos los componentes del sistema a fin de reconstruir los siguientes eventos:
 Todo acceso por parte de usuarios a los datos del titular de la tarjeta.
Todas las acciones realizadas por personas con privilegios de root o administrativos
Acceso a todas las pistas de auditoría
Intentos de acceso lógico no válidos
Uso y cambios de los mecanismos de identificación y autenticación, incluidos, entre otros, la creación de nuevas cuentas y el aumento de privilegios, y de
eliminaciones de las cuentas con privilegios administrativos o de raíz.
Inicialización, detención o pausa de los registros de auditoría
Creación y eliminación de objetos en el nivel del sistema
Registre, al menos, las siguientes entradas de pistas de auditoría de los componentes del sistema para cada evento:
Identificación de usuarios
Tipo de evento
Fecha y hora
Indicación de éxito o fallo
Origen del evento
Identidad o nombre de los datos, componentes del sistema o recursos afectados.

Utilizando tecnología de sincronización, sincronice todos tiempos y relojes críticos y asegúrese de que lo siguiente sea implementado para adquirir, distribu
Los sistemas críticos tienen un horario uniforme y correcto.
Los datos de tiempo están protegidos.
Los parámetros de la hora se reciben de fuentes aceptadas por la industria.
Proteja las pistas de auditoría para que no se puedan modificar.
Limite la visualización de las pistas de auditoría a quienes lo necesiten por motivos laborales.
Proteja los archivos de las pistas de auditoría contra modificaciones no autorizadas.
Utilice el software de monitorización de integridad de archivos o de detección de cambios en registros para asegurarse de que los datos de los registros ex
generen alertas (aunque el hecho de agregar nuevos datos no deba generar una alerta).

Implemente un mecanismo de detección de cambios (por ejemplo, herramientas de monitorización de integridad de archivos) para alertar al personal sobre
archivos críticos del sistema, de archivos de configuración o de contenido, y configure el software para realizar comparaciones de archivos críticos, al men
Autenticación para el uso de tecnologías críticas
Ubicaciones aceptables de las tecnologías en la red
Lista de productos aprobados por la empresa

arte II: Requerimientos adicionales para Firewalls y Enrutadores

Requerimiento
Proceso formal para aprobar y probar todas las conexiones de red y cambios al firewall y router
Verifique que el diagrama de red actual concuerde con las normas de configuración de firewalls.
Verifique que el diagrama de flujo de datos actual concuerde con las normas de configuración de firewalls.
Verifique que el estándar de configuración del firewall incluye requerimientos para un firewall en cada conexión de internet y entre cualquier DMZ y la zona
Descripción de grupos, funciones y responsabilidades para la administración de los componentes de la red.
Documentación y justificación de negocio para el uso de todos los servicios, protocolos y puertos permitidos, incluida la documentación de las funciones de
protocolos que se consideran inseguros.
Requisito de la revisión de las normas de firewalls y routers, al menos, cada seis meses.

Desarrolle configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorn

Restrinja el tráfico entrante y saliente a la cantidad necesaria para el entorno de datos de los titulares de tarjetas y niegue específicamente el tráfico restan
Asegure y sincronice los archivos de configuración de routers.
Instale firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y configure estos firewalls para negar o, si el tráfico e
permitir solo el tráfico autorizado entre el entorno inalámbrico y el entorno de datos del titular de la tarjeta.
Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas.

Implemente una DMZ (zona desmilitarizada) para limitar el tráfico entrante solo a aquellos componentes del sistema que proporcionan servicios, protocolos

Restrinja el tráfico entrante de Internet a las direcciones IP dentro de la DMZ.

Implementar medidas antisuplantación para detectar y bloquear direcciones IP manipuladas a fin de que no ingresen en la red.
(Por ejemplo, bloquear el tráfico proveniente de Internet con una dirección de fuente interna).
No permita tráfico de salida no autorizado desde el CDE a internet.
Implemente la inspección completa, también conocida como filtrado dinámico de paquetes. (Es decir, sólo se permite la entrada a la red de conexiones “es
Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna segregada desde
redes no confiables.
No divulgue direcciones IP privadas ni información de enrutamiento a partes no autorizadas (uso de NAT; proxies, etc.)
arte III: Requerimientos adicionales para Equipos con conexión remota (empleados y proveedores)
Requerimiento
Instale software de firewall personal en todos los dispositivos móviles o de propiedad de los trabajadores que tengan conexión a Internet cuando están fuer
portátiles que usan los trabajadores), y que también se usan para acceder a la red. Las configuraciones de firewalls incluyen lo siguiente:
• Los parámetros específicos de configuración se definen para cada software de firewall personal.
• El software de firewall personal funciona activamente.
• Los usuarios de dispositivos móviles o de propiedad de los trabajadores no pueden alterar el software de firewall personal.

Gestione los identificadores de usuario empleados por terceros parea acceder, soportar o mantener componentes de sistema de forma remota de la siguie
- Habilitarlas únicamente durante el periodo de tiempo necesario y desabilitarlas cuando no estén en uso
- Monitorizarlas cuando estén en uso
Desconexión automática de sesiones para tecnologías de acceso remoto después de un período específico de inactividad
Activación de las tecnologías de acceso remoto para proveedores y socios de negocio sólo cuando sea necesario, con desactivación inmediata después de

En el caso del personal que tiene acceso a los datos del titular de la tarjeta mediante tecnologías de acceso remoto, prohíba copiar, mover y almacenar los
de disco locales y en dispositivos electrónicos extraíbles, a menos que sea autorizado explícitamente para una necesidad comercial definida.
Si existe una necesidad comercial autorizada, las políticas de uso deben disponer la protección de los datos de conformidad con los requisitos correspondi

arte IV: Requerimientos adicionales para Redes Inalámbricas

Requerimiento
En el caso de entornos inalámbricos que están conectados al entorno de datos del titular de la tarjeta o que transmiten datos del titular de la tarjeta, cambie
proporcionados por los proveedores de tecnología inalámbrica al momento de la instalación, incluidas, a modo de ejemplo, las claves de cifrado inalámbric
cadenas comunitarias SNMP (protocolo simple de administración de red).
Asegúrese de que las redes inalámbricas que transmiten los datos del titular de la tarjeta o que están conectadas al entorno de datos del titular de la tarjeta
industria (por ejemplo, IEEE 802.11i) a fin de implementar un cifrado sólido para transmitir y autenticar.

arte V: Requerimientos adicionales para Aplicaciones

Requerimiento
Remover cuentas de prueba, desarrollo y/o cuentas propias de la aplicación, identificadores de usuario y contraseñas antes de activar o liberar la aplicació
Revisar el código antes de publicar en producción la aplicación con el fin de identificar potenciales vulnerabilidades (usando procesos manuales o automat
Remover datos de prueba y cuentas de los componentes del sistema antes de entrar en producción
Desarrollar aplicaciones basadas en guías de desarrollo seguro (orientado a todo tipo de apliaciones internas o externas)
Desarrollar aplicaciones basadas en guías de desarrollo seguro (orientado a aplicaciones web e interfaces de aplicación (internas o externas)

En el caso de aplicaciones web públicas, trate las nuevas amenazas y vulnerabilidades continuamente y asegúrese de que estas aplicaciones se protejan
los siguientes métodos:
Revisión de aplicaciones web publicadas en internet usando herramientas manuales o automáticas de revisión de vulnerabilidades a nivel de aplicación al
cambio
Instalación de una solución técnica automática que detecte y prevenga ataques web (por ejemplo, firewall de aplicación web) delante de aplicaciones web
continuamente.

arte VI: Requerimientos adicionales para Bases de Datos

Requerimiento

Se restringen todos los accesos a cualquier base de datos que contenga datos del titular de la tarjeta (que incluye acceso por parte de aplicaciones, admin
siguiente manera:
• Todo acceso, consultas y acciones de usuario en las bases de datos se realizan, únicamente, mediante métodos programáticos.
• Solo los administradores de la base de datos pueden acceder directamente a las bases de datos o realizar consultas en estas.
• Solo las aplicaciones pueden usar las ID de aplicaciones para las aplicaciones de base de datos (no las pueden usar los usuarios ni otros procesos que n

arte VII: Requerimientos adicionales para Sistema Centralizado de Log

Requerimiento
Realice copias de seguridad de los archivos de las pistas de auditoría de manera oportuna en medios o servidores de registros centralizados que sean difíc
Elabore registros para tecnologías externas en un dispositivo de medios o un servidor de registros interno, seguro y centralizado.
Conserve el historial de pistas de auditorías durante, al menos, un año, con un mínimo de disponibilidad para análisis de tres meses (por ejemplo, en línea
realización de copias de seguridad).

arte VIII: Requerimientos adicionales para Sistemas de Detección/Prevención de intrusiones

Requerimiento
Use técnicas de intrusión-detección y de intrusión-prevención para detectar o prevenir intrusiones en la red. Monitoree todo el tráfico presente en el períme
tarjeta y en los puntos críticos del entorno de datos del titular de la tarjeta, y alerte al personal ante la sospecha de riesgos.
Mantenga actualizados todos los motores de intrusión-detección y de prevención, las bases y firmas.
ntroles adicionales.

¿Cubierto?

SI

NO

N/A

Control compensatorio
¿Cubierto?
¿Cubierto?

¿Cubierto?

¿Cubierto?

¿Cubierto?

¿Cubierto?

¿Cubierto?