Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44451
      andresmx89
      Participante

      Hola David

      Para cumplir el requerimiento 12.8.2 de PCI-DSS v2 que aspectos debo tener en cuenta con los proveedores que se tienen contratado servicios de firewall gestionado y/o de hosting dedicado, san y servidores virtuales.

      Muchas Gracias,

    • #44572
      David Acosta
      Participante

      Hola Andrés:
      Para cumplir el requerimiento 12.8 de PCI DSS es necesario hacer un análisis detallado de los servicios que el proveedor te ofrecerá y el tipo de acceso que realizará al entorno:
      + Acceso físico con/sin acceso a datos de tarjetas
      + Acceso lógico al entorno con/sin acceso a datos de tarjetas
      + Delegación de datos de tarjetas a un proveedor (en el caso de un centro autorizador, por ejemplo)
      En función de estos resultados, se procede a gestionar todo el tema de responsabilidades y controles en términos contractuales con base en el riesgo que dicho proveedor le pueda traer al entorno.
      En el estándar PCI DSS v3 se encuentra esta definición:
      There are two options for third-party service providers to validate compliance:
      1) They can undergo a PCI DSS assessment on their own and provide evidence to their customers to demonstrate their compliance; or
      2) If they do not undergo their own PCI DSS assessment, they will need to have their services reviewed during the course of each of their customers’ PCI DSS assessments.
      Siendo así, tienes dos opciones:
      + O que el proveedor de servicios esté certificado en PCI DSS (se pueden certificar entornos de hosting, co-location, seguridad física, servicios de gestión de controles de seguridad, SOC, etc.), lo cual debería ser la primera opción a tomar: pedirle a ese proveedor que demuestre su cumplimiento en PCI DSS y delegarle los controles del estándar que le apliquen por el servicio contratado (req. 9 de seguridad física, req. 1 en el caso de gestión de equipos de filtrado, req. 11.4 en el caso de gestión de IDS/IPS, etc.)
      + O ingresar los servicios que afectan al CDE (CardHolder Data Environment) dentro de tu auditoría. En este último caso es importante que en el contrato con ese proveedor tenga una cláusula que te permita auditar sus servicios cuando lo requieras.
      Finalmente – y dependiendo de los servicios – si este proveedor requiere entrar al entorno de cumplimiento, debe hacerlo empleando autenticación de dos factores (req. 8.3) y cumplir los controles asociados a proveedores de servicio si le aplican (req. 8.5.1 o en Anexo A).
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.