Si has detectado deficiencias en la cobertura de seguridad de tus archivos con respecto a la norma PCI DSS (Norma de Seguridad de Datos de la Industria de Tarjetas de Pago) 4.0.1, la siguiente pregunta es de carácter práctico: ¿en qué consiste realmente la corrección de estas deficiencias?
La norma PCI DSS define el CDE (entorno de datos del titular de la tarjeta) como cualquier sistema que almacene, procese o transmita datos del titular de la tarjeta, así como cualquier sistema con acceso sin restricciones a uno que lo haga. Ese límite se aplica a nivel de red y de control de acceso, pero se traspasa constantemente a nivel de archivo. El tráfico web transporta archivos al CDE. El correo electrónico envía archivos adjuntos a sistemas que procesan datos de titulares de tarjetas (CHD). Los soportes extraíbles trasladan archivos a través de límites físicos a los que no llegan los controles de red. La seguridad de los archivos es lo que hace respetar el límite del CDE en la capa de contenido.
MetaDefender la plataforma OPSWATbasada en inteligencia artificial para la protección de infraestructuras críticas. Este artículo establece una correspondencia entre los requisitos clave de la norma y lo que MetaDefender , de modo que los equipos de seguridad y las partes interesadas en el cumplimiento normativo puedan evaluar la cobertura con precisión.
MetaDefender PCI DSS 4.0.1 en los requisitos 1, 2, 5, 6, 8, 9, 10, 11 y 12 mediante la detección de malware con múltiples motores, la desinfección de archivos, la evaluación de vulnerabilidades, el control de soportes extraíbles y el registro centralizado, cubriendo todos los canales de ingesta de archivos a los que da acceso el CDE.
¿Eres nuevo en este tema? Empieza por leer nuestro blog sobre por qué la seguridad de los archivos es esencial en tu programa de cumplimiento de la norma PCI DSS, que abarca todos los requisitos de la sección 4.0.1 en los siete canales de recepción de archivos.
Parte 1: Requisitos de seguridad de los archivos
Los requisitos 5, 6 y 11 son aquellos en los que la seguridad de los archivos tiene una influencia más directa en el cumplimiento normativo. También son los que presentan más lagunas de cobertura en los entornos de servicios financieros.
Requisito 5: Proteger todos los sistemas y redes contra Software malicioso
El requisito 5 exige a las organizaciones que implanten y mantengan soluciones integrales contra el malware que prevengan, detecten y combatan el software malicioso en todos los sistemas del CDE. Esto incluye establecer defensas activas y actualizadas, realizar análisis en tiempo real o periódicos e implementar mecanismos contra el phishing. El ámbito de aplicación se extiende a las pasarelas web y de correo electrónico, el almacenamiento en la nube, los terminales y los soportes extraíbles.
Cómo OPSWAT proteger los sistemas y las redes frente Software malicioso
La tecnología Metascan™ Multiscanning OPSWAT aprovecha más de 30 motores antimalware comerciales para detectar malware conocido con una precisión excepcional, mientras que la tecnología Deep CDR™ neutraliza de forma proactiva las amenazas de día cero y las amenazas incrustadas mediante la reconstrucción de los archivos en formatos seguros y utilizables.
- MetaDefender ofrece una inspección profunda y en varias capas del contenido en todos los principales canales de recepción de archivos.
- La tecnología avanzada de sandboxing MetaDefender detecta el malware evasivo o sin archivos que la detección basada en firmas no detecta.
- MetaDefender y MetaDefender protegen USB en el momento de su inserción.
- MetaDefender Security™ bloquea los archivos adjuntos de phishing y el contenido sospechoso antes de que se entreguen.
- MetaDefender ICAP analiza el tráfico HTTP/S, detectando y bloqueando los archivos maliciosos en tránsito antes de que lleguen a los sistemas internos.
- My Central Management centraliza el registro de eventos, las actualizaciones del motor y la visibilidad del cumplimiento normativo en todo el despliegue.
Requisito 6: Desarrollar y mantener Secure y Software Secure
El requisito 6 garantiza que todos los sistemas y programas informáticos del CDE se desarrollen, mantengan y protejan de forma segura a lo largo de todo su ciclo de vida. La norma PCI DSS 4.0.1 se centra en dos objetivos: prevenir el aprovechamiento de vulnerabilidades de seguridad y reducir el riesgo derivado del software personalizado o de terceros. El requisito 6.3.2 exige específicamente mantener un inventario actualizado de dichos componentes para la gestión de vulnerabilidades. Esto implica aplicar parches de forma oportuna, adoptar prácticas seguras en el ciclo de vidaSoftware (SDLC) y mantener repositorios de código seguros.
Cómo OPSWAT Secure y Software desarrollo y mantenimiento
MetaDefender el requisito 6 gracias a la visibilidad detallada que ofrece sobre los componentes de software y los paquetes de archivos antes de que entren en producción.
- La evaluación de vulnerabilidades mediante múltiples motores detecta entradas CVE (Common Vulnerability and Exposure) conocidas en archivos binarios, instaladores y dependencias, de modo que solo los componentes seguros y evaluados lleguen al entorno.
- MetaDefender Core MetaDefender ICAP Server la seguridad de los archivos de las aplicaciones web y la inspección del tráfico de contenidos procedentes de fuentes externas o no fiables.
- MetaDefender Software Chain™ mejora los flujos de trabajo de desarrollo mediante el análisis de bibliotecas de terceros, la inspección de los artefactos de código en busca de elementos maliciosos o vulnerables y la generación de SBOM (Software de materialesSoftware ) que mejora la transparencia de las dependencias.
Requisito 11: Comprobar periódicamente la seguridad de los sistemas y las redes
El requisito 11 exige la realización de pruebas de seguridad continuas (incluidas evaluaciones de vulnerabilidad, pruebas de penetración y detección de intrusiones) para garantizar que los sistemas sigan siendo resistentes frente a las amenazas emergentes. El requisito 11.3.1.2 exige la realización de análisis internos autenticados.
Cómo OPSWAT Secure y Software pruebas de seguridad
MetaDefender el requisito 11 mediante file-based vulnerability assessment, el escaneo múltiple, el análisis en entorno aislado y la detección de amenazas en puntos críticos de entrada de datos.
- MetaDefender Core, MetaDefender ICAP Server, MetaDefender Security™, MetaDefender File Transfer™ y MetaDefender Software Supply Chain vulnerabilidades CVE conocidas en archivos, instaladores y paquetes de software antes de su implementación.
- MetaDefender (detección y respuesta en red) analiza el tráfico de red en busca de comportamientos sospechosos en los archivos e indicadores de compromiso.
- Aunque MetaDefender análisis completos de vulnerabilidades a nivel del sistema ni detección de intrusiones en toda la red, comprueba los archivos en los puntos por donde la mayoría de las amenazas transmitidas a través de archivos acceden al entorno.
Parte 2: Cumplimiento de los requisitos en todo el CDE
La seguridad de los archivos ocupa un lugar central en los requisitos 5, 6 y 11, pero la cobertura MetaDefender se extiende a otras muchas áreas de la norma. A continuación se detallan sus aportaciones.
Requisito 1: Instalar y mantener controles de seguridad de la red
El requisito 1 exige el establecimiento y mantenimiento de controles de seguridad de red, incluidos cortafuegos, enrutadores y dispositivos de protección perimetral, para salvaguardar el CDE. Esto incluye aplicar la segmentación de la red, configurar políticas y documentar los flujos de datos.
Los controles de acceso físico protegen el perímetro a nivel de red, pero los archivos cruzan ese perímetro constantemente en la capa de contenido, que es donde se aplican los controles MetaDefender.
Cómo OPSWAT al mantenimiento de los controles de seguridad de la red
OPSWAT el requisito 1 incorporando la prevención de amenazas basada en el contenido en puntos de control clave de toda la red.
- MetaDefender inspeccionan, desinfectan y validan los archivos que circulan por el correo electrónico, la web, los sistemas de almacenamiento, los soportes extraíbles y los terminales, reduciendo el riesgo en la capa de contenido incluso cuando los controles de red permiten el tráfico.
- Proactive DLP Metascan Multiscanning, Deep CDR™ y Proactive DLP se combinan para impedir que el contenido malicioso entre o se propague dentro de entornos segmentados.
Requisito 2: Aplicar Secure a todos los componentes del sistema
El requisito 2 garantiza que todos los componentes del sistema, incluidos los servidores, las aplicaciones y los dispositivos de red, estén configurados de forma segura y se mantengan de manera coherente. Esto incluye eliminar servicios innecesarios, aplicar normas de refuerzo de la seguridad y verificar que los sistemas sigan cumpliendo con dichas configuraciones a lo largo del tiempo.
Cómo OPSWAT a garantizar Secure en los componentes del sistema
MetaDefender este requisito analizando archivos, paquetes de software e instaladores en busca de malware y vulnerabilidades conocidas antes de que lleguen a los sistemas de producción. De este modo, garantiza que solo los componentes seguros y verificados pasen por entornos con distintos niveles de confianza.
- MetaDefender Endpoint la aplicación de parches y la validación del estado de seguridad, mientras que
- MetaDefender Software Supply Chain vulnerabilidades en componentes de terceros y de código abierto. Requisito 8: Identificar a los usuarios y autenticar el acceso a los componentes del sistema
Requisito 8: Identificar a los usuarios y autenticar el acceso a los componentes del sistema
El requisito 8 establece la necesidad de contar con una identificación única de los usuarios y controles de autenticación sólidos, incluida la autenticación multifactorial (MFA), para garantizar la seguridad del acceso a los sistemas del CDE. Regula las normas relativas a las contraseñas, la gestión de cuentas, la verificación de la identidad y las medidas de protección contra el robo de credenciales.
Cómo OPSWAT a la identificación de usuarios y a la autenticación de acceso
MetaDefender el requisito 8 al integrar MetaDefender con proveedores externos de IAM (gestión de identidades y accesos), como Active Directory y plataformas de SSO (inicio de sesión único), lo que permite una autenticación sólida y un acceso administrativo seguro.
- Los inicios de sesión en la consola están protegidos mediante HTTPS, y My OPSWAT Central Management las políticas de autenticación para las cuentas administrativas locales.
- Proactive DLP también puede detectar credenciales expuestas en los archivos analizados.
Requisito 9: Restringir el acceso físico a los datos de los titulares de tarjetas
El requisito 9 se centra en mantener una seguridad física estricta en los sistemas, dispositivos y soportes que almacenan o procesan datos de titulares de tarjetas. Incluye controles para restringir el acceso físico, gestionar a los visitantes, realizar un seguimiento de los soportes sensibles y garantizar la gestión y destrucción seguras de los datos de titulares de tarjetas en formato físico.
Los soportes extraíbles son uno de los pocos vectores de ataque físico que eluden tanto la segmentación de la red como los controles perimetrales tradicionales. Este es el punto de intersección específico entre el Requisito 9 y MetaDefender.
Cómo OPSWAT Secure el acceso Secure a los datos de los titulares de tarjetas
El acceso físico a una red no requiere una conexión de red. Los soportes extraíbles constituyen uno de los vectores de ataque físico más directos en entornos de pago, incluidos los sistemas aislados físicamente.
- MetaDefender Kiosk MetaDefender Endpoint y desinfectan USB antes de que los archivos entren o salgan de las redes seguras, lo que evita la transmisión de malware a través de soportes físicos.
- Los controles de políticas centralizados en My OPSWAT Central Management una aplicación coherente. El control del acceso físico sigue siendo responsabilidad de la organización, pero MetaDefender la capa de archivos en el perímetro físico.
Requisito 10: Registrar y supervisar todos los accesos a los componentes del sistema y a los datos de los titulares de tarjetas
El requisito 10 establece la necesidad de disponer de un sistema integral de registro y supervisión que permita realizar un seguimiento de todos los accesos a los sistemas, de los datos de los titulares de tarjetas y de los incidentes relevantes para la seguridad. Unos registros de auditoría completos permiten realizar análisis forenses, exigir responsabilidades a los usuarios y detectar rápidamente cualquier actividad sospechosa.
Cómo OPSWAT el registro y la supervisión en entornos de datos de titulares de tarjetas
MetaDefender al Requisito 10 generando registros detallados sobre la actividad de análisis de malware, las acciones administrativas, las detecciones de amenazas y las actualizaciones del motor en todos sus módulos.
- My OPSWAT Central Management esta información y se integra con plataformas SIEM (gestión de información y eventos de seguridad) para permitir una correlación más amplia y una retención a largo plazo.
- MetaDefender sustituye MetaDefender los sistemas de registro a nivel del sistema operativo o de la red, pero ofrece una visibilidad fiable de las amenazas relacionadas con los archivos y de la actividad MetaDefender en toda la implementación.
Requisito 12: Respaldar la seguridad de la información mediante políticas y programas de la organización
El requisito 12 establece el marco organizativo para un programa continuo de seguridad de la información. Exige la existencia de políticas formalizadas, la formación de los empleados, procesos de respuesta ante incidentes y una gestión continua de los riesgos para garantizar una protección constante de los datos de los titulares de tarjetas.
Las políticas de seguridad de la organización incluyen la forma en que se gestionan, revisan y registran los archivos en todas MetaDefender . La aplicación centralizada es el aspecto en el que MetaDefender a cumplir este requisito.
Cómo OPSWAT la seguridad de la información mediante políticas y programas organizativos
MetaDefender el requisito 12 al detectar actividades maliciosas en archivos e identificar datos de titulares de tarjetas potencialmente sensibles fuera de las ubicaciones previstas.
- My OPSWAT Central Management una visión centralizada de los resultados de los análisis, los incidentes de seguridad y la aplicación de políticas en todas MetaDefender .
Poniendo todo en su sitio
La contribución OPSWATa la norma PCI DSS 4.0.1 abarca toda la arquitectura de cumplimiento: detección mediante múltiples motores, limpieza de archivos, evaluación de vulnerabilidades, control de soportes extraíbles, registro centralizado y visibilidad de la cadena de suministro. Estas capacidades abordan la superficie de amenaza derivada de los archivos que define la norma, en todos los canales de ingesta a los que se expone el CDE.
Los equipos que subsanan las deficiencias de cumplimiento de forma eficaz no es que utilicen más herramientas. Lo que hacen es aplicar los controles adecuados en los puntos de inspección adecuados, con una visibilidad centralizada de todos ellos.
Descarga la Guía de correspondencias de PCI DSS + la Lista de comprobación para principiantes de PCI DSS para ver exactamente cómo MetaDefender a cada requisito e identificar en qué aspectos su programa actual presenta lagunas de cobertura.
Seguir leyendo
Por qué la seguridad de los archivos es esencial en tu programa de cumplimiento de la norma PCI DSS
¿No conoces aún los aspectos relacionados con la seguridad de los archivos de la norma PCI DSS 4.0.1? En este blog se detallan los ámbitos que abarca la norma en siete canales de ingesta de archivos y se explica por qué la protección de los puntos finales solo cubre uno de ellos.
