PCI-DSS v4.0
Logre el cumplimiento PCI-DSS para procesamiento de tarjetas de pago con CyberOrigen.
Vision General
PCI-DSS (Payment Card Industry Data Security Standard) es obligatorio para cualquier organizacion que almacene, procese o transmita datos de titulares de tarjetas.
Requisitos
12 Requisitos
| # | Requisito |
|---|---|
| 1 | Instalar y mantener controles de seguridad de red |
| 2 | Aplicar configuraciones seguras |
| 3 | Proteger datos de cuenta almacenados |
| 4 | Proteger datos del titular con criptografia fuerte |
| 5 | Proteger sistemas contra malware |
| 6 | Desarrollar y mantener sistemas seguros |
| 7 | Restringir acceso por necesidad de negocio |
| 8 | Identificar usuarios y autenticar acceso |
| 9 | Restringir acceso fisico a datos del titular |
| 10 | Registrar y monitorear todo acceso |
| 11 | Probar seguridad regularmente |
| 12 | Soportar seguridad con politicas y programas |
Niveles de Validacion
| Nivel | Criterio | Validacion |
|---|---|---|
| 1 | >6M transacciones/ano | ROC anual por QSA |
| 2 | 1-6M transacciones/ano | SAQ anual, ASV trimestral |
| 3 | 20K-1M e-commerce | SAQ anual, ASV trimestral |
| 4 | <20K e-commerce o <1M otros | SAQ anual, ASV trimestral |
Primeros Pasos
1. Habilitar Marco
- Vaya a GRC → Marcos
- Haga clic en Inscribir en PCI-DSS v4.0
- Seleccione tipo de SAQ aplicable
- Haga clic en Habilitar
2. Definicion del Alcance
Defina su Entorno de Datos del Titular (CDE):
- Sistemas que almacenan/procesan/transmiten CHD
- Sistemas conectados
- Sistemas de seguridad
3. Evaluacion de Brechas
- Ejecute escaneo de cumplimiento
- Revise requisitos
- Identifique brechas
- Planifique remediacion
Requisitos Clave
Requisito 6 - Desarrollo Seguro
| Sub-Req | Titulo | Funcion CyberOrigen |
|---|---|---|
| 6.2 | Identificacion de vulnerabilidades | Escaneo de vulnerabilidades |
| 6.3 | Desarrollo seguro | SAST con Semgrep |
| 6.4 | Seguridad de aplicaciones web | Escaneo de aplicaciones web |
| 6.5 | Gestion de cambios | Seguimiento de cambios |
Requisito 11 - Pruebas de Seguridad
| Sub-Req | Titulo | Funcion CyberOrigen |
|---|---|---|
| 11.2 | Escaneos de vulnerabilidades | Escaneo trimestral |
| 11.3 | Pruebas de penetracion | Informes de escaneo |
| 11.4 | Deteccion de intrusiones | Inteligencia de amenazas |
Requisitos de Escaneo
Escaneo Interno
Requisito 11.2.1: Escaneos de vulnerabilidades internos trimestrales.
CyberOrigen proporciona:
- Programacion automatizada
- Hallazgos mapeados a cumplimiento
- Seguimiento de remediacion
- Informes de tendencias
Escaneo Externo
Requisito 11.2.2: Escaneos externos trimestrales por ASV.
Los escaneos de CyberOrigen cumplen requisitos PCI:
- Perspectiva externa
- Escaneo completo de puertos
- Analisis SSL/TLS
- Informes de cumplimiento
Pruebas de Penetracion
Requisito 11.3: Pruebas de penetracion anuales.
CyberOrigen soporta:
- Evaluacion basada en escaneo
- Documentacion de hallazgos
- Verificacion de remediacion
Mapeo de Controles
CyberOrigen mapea PCI-DSS a otros marcos:
| PCI-DSS | SOC 2 | ISO 27001 |
|---|---|---|
| 1.1 | CC6.6 | A.8.20 |
| 2.1 | CC6.1 | A.8.9 |
| 3.4 | CC6.7 | A.8.24 |
| 6.1 | CC7.1 | A.8.8 |
| 7.1 | CC6.1 | A.5.15 |
| 8.1 | CC6.1 | A.5.16 |
| 10.1 | CC7.2 | A.8.15 |
| 11.2 | CC7.1 | A.8.8 |
Recopilacion de Evidencias
Evidencias Automatizadas
- Informes de escaneo de vulnerabilidades
- Evaluaciones de configuracion
- Revisiones de acceso
- Topologia de red
Evidencias Manuales
- Politicas y procedimientos
- Diagramas de flujo de datos
- Planes de respuesta a incidentes
- Registros de capacitacion
Tipos de SAQ
SAQ A
E-commerce, todos los datos del titular subcontratados:
- Requisitos minimos
- Principalmente politicas y gestion de proveedores
SAQ A-EP
E-commerce con subcontratacion parcial:
- Requisitos de aplicacion web
- Seguridad de redireccion
SAQ D
Evaluacion completa para proveedores de servicios o comerciantes:
- Los 12 requisitos
- Documentacion completa
Actividades Trimestrales
- Escaneo de vulnerabilidades interno
- Escaneo de vulnerabilidades externo (ASV)
- Revision de monitoreo de integridad de archivos
- Revision de acceso de usuarios
- Escaneo de red inalambrica
Actividades Anuales
- Prueba de penetracion
- Revision de politicas
- Capacitacion de concienciacion de seguridad
- Prueba de respuesta a incidentes
- Evaluacion de riesgos
Brechas Comunes
| Requisito | Problema | Solucion |
|---|---|---|
| 2.1 | Contrasenas por defecto | Politica de contrasenas |
| 3.4 | PAN sin cifrar | Implementacion de cifrado |
| 6.2 | Sistemas sin parches | Gestion de parches |
| 8.3 | Sin MFA | Despliegue de MFA |
| 11.2 | Escaneos faltantes | Programacion de escaneos |