Etiquetado: ,

Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #54744
      SV007
      Participante

      Es posible realizar algún control compensatorio para permitir que usuarios que no son DBA puedan realizar consultas a la base de datos y por ende tener usuarios con acceso directo a las bases de datos para solventar problemas en producción.

    • #54756
      David Acosta
      Participante

      Buenos días:
      El objetivo del control 8.7 es garantizar que solamente los DBA tengan acceso directo a las bases de datos. En ese sentido, todas las demás cuentas que hacen uso de la base de datos (incluyendo usuarios interactivos y aplicaciones) deben emplear métodos programáticos (https://es.wikipedia.org/wiki/Procedimiento_almacenado) precisamente para restringir los datos a los que se tiene acceso en función de los privilegios asignados a cada cuenta y controlar la entrada y salida de datos.
      Si se requiere acceso a las bases de datos por parte de otro rol diferente al de DBA, hay diferentes opciones que hay que analizar dependiendo del escenario y del potencial riesgo:
      – Que sea un DBA el encargado de la extracción de los datos/archivos que se necesiten para efectos de soporte técnico.
      – Que el personal de soporte técnico pueda visualizar lo que necesite mediante el acompañamiento de un DBA (empleando pantallas compartidas, por ejemplo)
      En el caso que que esto no sea suficiente (y dependiendo del tipo de soporte técnico requerido), se puede crear una cuenta temporal con las restricciones necesarias (usando vistas, por ejemplo) para evitar que esa persona pueda visualizar/acceder a datos de tarjetas. Para este caso en particular tienes el control 8.1.5 que permite que el personal técnico (generalmente de empresas externas de soporte) puedan acceder al entorno de forma segura (limitado en el tiempo y monitorizado).
      Igualmente, si el personal de soporte técnico requiere la extracción de logs, archivos de depuración, volcados de memoria, etc. se debe cumplir con lo descrito en el requerimiento 12.3.10, protegiendo siempre la información de tarjetas.
      De acuerdo con lo descrito anteriormente, no se requiere de un control compensatorio, ya que el propio estándar incluye controles especiales para la gestión de estos casos en los cuales se necesita acceso remoto y soporte técnico por parte de terceros.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.