Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44458
      Diego
      Participante

      Hola David,
      Con respecto a los análisis para examinar la segmentación de los sistemas en el CDE, ¿existe alguna metodología que se pueda aplicar para saber como realizar estos tests?

    • #44581
      David Acosta
      Participante

      Hola Diego:
      Por supuesto. El apéndice D de PCI DSS v3 «Appendix D: Segmentation and Sampling of Business Facilities/System Components» te indica de forma general cómo proceder cuando se tiene segmentación en el entorno. En términos técnicos, el requerimiento 11.3 te indica que es necesario emplear una prueba de penetración para validar la segmentación y el detalle lo encuentras en el requerimiento 11.3.4.
      Una metodología que el mismo PCI DSS recomienda para la ejecución de estas tareas es NIST Special Publication 800-115 (http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf).
      Dentro de estas tareas es importante:
      + Revisar el diagrama de red
      + Revisar el ruleset del firewall y cualquier ACL o VLAN implementada en dispositivos activos de red que sirva para aislar y segmentar entornos
      + Validar el listado de puertos y servicios del entorno (requerimiento 1.1.6)
      + Proceder con la ejecución de pruebas para identificar el tráfico permitido intra e inter redes en términos de puertos, protocolos y servicios
      Espero que esta información te sea de utilidad.

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.