Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44454
      NicolasRicci
      Participante

      Buenas,
      En esta oportunidad quería consultar sobre distintos tipo de herramientas que pueden utilizarse para realizar auditorias PCI. En especial para los puntos en los cuales es necesario ver configuraciones de equipos. Ej: configuracion de firewalls, linux, windows y as400, alguna herramienta que sirva para saber si en algún equipo (ademas de los declarados por la compañía) se almacenan datos de tarjeta, etc.
      ¿Podrian recomendarme algunas? Ya sean gratuitas como pagas.

      Por ejemplo, SPICE subida en este foro, es un tipo de herramienta muy util al momento de realizar auditorias.

      Aguardo su respuesta.
      Muchas gracias.

    • #44575
      David Acosta
      Participante

      Buenas tardes Nicolás:
      Debido a la complejidad de PCI DSS y a que contempla controles administrativos y físicos como complemento a los controles lógicos, no existe una herramienta que valide 100% el cumplimiento de la normativa. Igualmente, la configuración segura de las plataformas depende de los flujos de datos de tarjetas de pago gestionados por la organización, las plataformas y versiones existentes, el «expertise» del personal de administración, etc. es muy complicado tener un listado de valores «oficial» a validar.
      Sin embargo, hay algunas herramientas que pueden ser de utilidad en la revisión de cumplimiento de PCI DSS, sobre todo desde el punto de vista técnico. A continuación enumero algunas herramientas que he usado y que conozco por experiencia, aunque si alguien conoce otras, adelante:
      + Nessus (www.nessus.org): Este escáner de vulnerabilidades cuenta con una serie de plugins en su versión Enterprise (comercial) que permiten hacer validaciones de PCI DSS en las plataformas que lo soporten. http://www.tenable.com/blog/pci-dss-plugins-for-nessus
      + VMware Compliance Checker for PCI: Para la versión 1.2 de PCI DSS es de libre descarga (free). Para la versión 2.0 este validador viene integrado en la suite VMware vCenter Configuration Manager
      + CIS-CAT Benchmark Assessment Tool: Desarrollado por el CIS (Center for Internet Security) para comprobar el nivel de alineamiento técnico de diversas plataformas frente a sus benchmarks (http://benchmarks.cisecurity.org/downloads/audit-tools/)
      + Microsoft Baseline Security Analyzer: No está orientado hacia PCI DSS pero sirve para realizar validaciones de actualizaciones, configuración de políticas de contraseñas, usuarios, servicios, buenas prácticas, etc. de plataformas Microsoft (http://www.microsoft.com/en-us/download/details.aspx?id=7558)
      + Lynis (Community Edition): Permite la validación de parámetros de configuración en entornos Unix (http://cisofy.com/downloads/)
      + NMAP (Network Mapper): permite la validación de puertos, protocolos y servicios en hosts remotos (www.insecure.org/nmap)
      + National Checklist Program (NCP) del NIST, cuenta con una serie de archivos OVAL para validar la configuración de diferentes plataformas (http://web.nvd.nist.gov/view/ncp/repository)
      + OVAL Interpreter (Ovaldi), que permite efectuar validaciones empleando OVAL (http://www.decalage.info/en/ovaldi)
      + Belarc Advisor – Free Personal PC Audit: No es para PCI DSS pero sirve para extraer valores de configuración en un equipo en particular (Windows) (http://www.belarc.com/free_download.html)
      + Secunia Software Inspector: que permite analizar un equipo específico para extraer versiones del software instalado y analizar potenciales vulnerabilidades (http://secunia.com/vulnerability_scanning/online/)
      Y finalmente SPICE, que ya lo conoces (http://www.pcihispano.com/spice/).
      Obviamente, para otras tareas específicas (como análisis de redes inalámbricas, pruebas de penetración, etc.) hay otras herramientas.
      Para búsqueda de datos de tarjetas, en el artículo «Herramientas Free y Open Source para la búsqueda de datos de tarjetas de pago en medios de almacenamiento» (http://www.pcihispano.com/herramientas-free-y-open-source-para-la-busqueda-de-datos-de-tarjetas-de-pago/) encontrarás información de herramientas para la búsqueda de datos de tarjetas en medios de almacenamiento.
      Espero que esta información te sea de utilidad.
      Saludos,
      David Acosta

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.