El 28 de octubre del 2010 se publico la nueva versión de PCI-DSS, la cual será valida para los proceso de certificación desde el 1ro de enero del 2011.
La nueva norma principalmente muestra cambios importantes en sentido aclaratorio, con esto lo que se puede esperar es que la implementación sea más sencilla de comprender
En los siguientes artículos revisare varios cambios de la norma, incluyendo la aclaración sobre el alcance, entornos virtualizados y otros temas.
En este artículo hare una breve revisión sobre el tema de Plantillas de configuración y endurecimiento, esto ya que tengo un artículo anterior en el que ya toco este tema (Plantillas de Configuración para la Infraestructura Tecnológica).
Plantillas de Configuración y Endurecimiento, según el PDI-DSS v2.0
En el requerimiento 2 de la norma “No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema y otros parámetros de seguridad”, se establece en el punto 2.2 la necesidad de elaborar Plantillas de Seguridad y Endurecimiento, los que denomina “Estándares de configuración”.
En la nueva versión, la norma ya nos especifica de forma clara tres puntos fundamentales:
- Los documentos generados deben contener información para resolver las vulnerabilidades conocidas en estos sistemas.
- Deben estar alineados a los documentos emitidos y aceptados por la industria para el endurecimiento de los mismos.
- Las referencias aceptadas por PCI-DSS sin limitarse a las mismas son CIS, ISO, SANS, NIST pudiendo considerarse las emitidas adicionalmente por los proveedores (Ej. Microsoft, CISCO, HP, Redhat, Etc.)
Y dentro de esto se verificara:
Que la documentación este alineado a estándares reconocidos, que se actualicen los documentos con regularidad para reflejar que se estén aplicando soluciones a vulnerabilidades conocidas, que estos estándares se apliquen en todo sistema nuevo y finalmente que se incluyan en la documentación los puntos 2.2.1 – Implementar una sola función por servidor y 2.2.4 – Eliminar todas las funcionalidades no esenciales.
De esta forma en la nueva versión no debe quedar duda sobre como elaborar esta documentación que es esencial para mantener un mejor nivel de seguridad en todos los elementos del sistema.
Referencias:
Plantillas de Configuración para la Infraestructura Tecnológica
PCI-DSS – Libreria de Documentos
Según PCI-DSS 2.0
2.2: Desarrollar estándares de configuración para todos los componentes del sistema. Asegúrese de que estas plantillas contengan información para administrar las vulnerabilidades más conocidas para estos sistemas y que son compatibles con las normas aceptadas en la industria respecto al endurecimiento del sistema.
Las referencias en endurecimiento aceptadas sin limitarse a las mismas para la elaboración de las plantillas son:
- Center for Internet Security (CIS)
- International Organization for Standardization (ISO)
- SysAdmin Audit Network Security (SANS) Institute
- National Institute of Standards Technology (NIST)
NOTA: El documento actual de PCI a la fecha de publicación no tiene una traducción oficial al español, el texto incluido es una traducción realizada para el artículo.