Mostrando 3 respuestas a los debates
  • Autor
    Entradas
    • #44441
      andresmx89
      Participante

      Hola David

      Actualmente en la organización tenemos muchas cuentas de usuarios deshabilitadas de usuarios que laboraron en la empresa, si bien es cierto PCI-DSS dice que éstas se deshabiliten o se eliminen, por tu experiencia y recomendación que se debería hacer mejor:

      – Eliminar todas esas cuentas deshabilitadas?
      – Generar un política de eliminación de cuentas cada x tiempo?
      – Dejarlas deshabilitadas?

      Aplica, para Servidores windows 2008, switches, aplicaciónes de medios de pago o donde muestre el PAN, firewall, etc

      Muchas Gracias,

    • #44546
      David Acosta
      Participante

      Hola Andrés:
      Según los requerimientos 8.1.4 (PCI DSS v3.0) y 8.5.5 (PCI DSS v2.0), se debe desarrollar una actividad de identificación de cuentas que hayan estado inactivas por 90 días. Las dos opciones que se presentan son eliminarlas o bloquearlas.
      Si se opta por bloquearlas, es la misma empresa la que debe definir qué se debe hacer con esas cuentas después de pasado un tiempo, aunque esto no está especificado en PCI DSS.
      En principio, mi recomendación es que las cuentas se bloqueen a los 90 días de estar sin uso e internamente se gestione una acción adicional que haga un backup de los datos de dichas cuentas y las elimine después de un mes de estar bloqueadas . De esta forma, si una persona sale de vacaciones o toma una baja por maternidad o por enfermedad se tiene un umbral de máximo 120 días en los cuales su cuenta se le mantendrá.
      Obviamente, si la persona deja la organización, aplicaría el control 8.1.3 (PCI DSS v3.0) u 8.5.4 (PCI DSS v2.0) en vez de éste.
      Este control debe aplicar en todas las cuentas de los equipos del entorno, incluyendo cuentas locales (en sistemas operativos, equipos activos de red, bases de datos y aplicaciones) y centralizadas.
      Si estás en un entorno Microsoft Windows, hay herramientas automatizadas que te pueden ayudar en ese proceso. Un ejemplo es Netwrix Inactive User Tracker que puedes encontrar aquí: http://www.netwrix.com/freeware_tools.html
      Saludos,
      David

    • #44547
      andresmx89
      Participante

      Hola David

      Es viable generar una política de que las cuentas de usuarios que hayan salido de la organización deban ser eliminadas después de x tiempo?

      Gracias,

    • #44548
      David Acosta
      Participante

      Hola Andrés:
      Si la cuenta se deshabilita de forma inmediata cuando el usuario ha dejado la empresa, se cumple con el requerimiento de PCI DSS. Si quieres eliminarla después de un tiempo, aplica lo que describí en el mensaje anterior: depende del criterio que aplique la empresa y es discrecional, no obligatorio.
      Lo que no se puede hacer es dejar la cuenta activa por un periodo de tiempo después que el usuario haya dejado la empresa, ya que se estaría asumiendo un riesgo.
      Saludos,
      David

Mostrando 3 respuestas a los debates
  • Debes estar registrado para responder a este debate.