Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44438
      andresmx89
      Participante

      Hola David

      En las estaciones de trabajo de mi organización usamos herramientas tipo HIPs (Host Intrusion Prevention System), adicional al antivirus y antispyware, para el entorno de servidores es obligatorio el uso de firewall tipo windows o HIPs, o basta con la segmentación de la red, es decir como cerrar puertos, bloquear navegación a internet, usuarios autorizados, etc.

      Gracias,

    • #44543
      David Acosta
      Participante

      Hola Andrés:
      El uso de personal firewall es obligatorio únicamente en dispositivos móviles o de propiedad de los trabajadores que tengan conexión a Internet cuando están fuera de la red (por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usan para acceder a la red (req. 1.4). Si los usas en servidores, perfecto pero no es obligatorio. Es una muy buena práctica porque estarías yendo más allá del mismo estándar y aplicando claramente los conceptos de defensa a fondo (http://en.wikipedia.org/wiki/Defense_in_depth_(computing)).
      Sin embargo, en el caso de PCI DSS un firewall personal no remplaza la propia segmentación de la red. La idea es aislar el entorno de red cubierto por PCI DSS y para ello aplicas los controles descritos en el requisito 1: «Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas».
      Mira en el apartado «Alcance de los requisitos de las PCI DSS» el punto «Segmentación de red» en donde se describe cómo se debe proceder.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.