Las prácticas de seguridad de archivos de la norma PCI DSS abarcan el análisis, la limpieza y la evaluación de todos los archivos que entran en el CDE (entorno de datos de los titulares de tarjetas), a través de todos los canales de ingesta, no solo de los terminales. La norma PCI DSS 4.0.1 amplía la cobertura antimalware a la web, el correo electrónico, el almacenamiento en la nube, la transferencia gestionada de archivos, los soportes extraíbles y las dependencias de software.
La mayoría de los equipos de seguridad encargados del cumplimiento de la norma PCI DSS (Norma de Seguridad de Datos de la Industria de Tarjetas de Pago) ya han hecho su trabajo. Se ha implementado el sistema EDR (Endpoint y RespuestaEndpoint ). El software antimalware está en funcionamiento. El requisito n.º 5 aparece marcado como cumplido. Se trata de medidas de seguridad fundamentales, pero cuando se tiene en cuenta el alcance más amplio de los requisitos normativos, es posible que los controles de seguridad tradicionales resulten insuficientes.
La norma PCI DSS 4.0.1 es explícita en un aspecto que las versiones anteriores dejaban abierto a interpretación: la protección contra el malware se extiende a todos los canales a través de los cuales los archivos entran, circulan y salen del CDE. Vulnerabilidades de día cero. Tráfico web. Correo electrónico. Cloud . Transferencia gestionada de archivos. Soportes extraíbles. Software .
Los puntos finales son solo una de las muchas áreas de cobertura. Si no se han evaluado las demás, existe un riesgo, y los auditores saben dónde buscar.
Esta publicación describe el alcance completo de lo que exige la norma, para que puedas evaluar con objetividad tu propio cumplimiento. Si deseas una referencia más detallada, requisito por requisito, la «Guía de correspondencias de la norma PCI DSS» y la «Lista de comprobación para principiantes» desglosan cada control con recomendaciones concretas.
Puntos clave
La norma PCI DSS 4.0.1 considera la seguridad de los archivos como una disciplina multicanal. La protección contra el malware debe abarcar la web, el correo electrónico, la nube, la transferencia gestionada de archivos, los soportes extraíbles y las dependencias de software, y no limitarse únicamente a los terminales.
La protecciónde un único terminalse sitúa después de todos los demás canales. Para cuando un archivo llega al agente del terminal, ya ha pasado o ha fallado en otros seis puntos de inspección.
La detección basada en firmas por sí sola no cumple con la norma. El requisito 5 exige que se cubran todos los tipos de malware y que se aplique la detección basada en el comportamiento de las amenazas de día cero.
Los soportes extraíbles conllevan una obligación explícita. El requisito 5.3.3 exige el análisis automático de los soportes extraíbles en el momento de su inserción; las políticas manuales no cumplen este requisito.
Software están incluidas en el ámbito de aplicación. El requisito 6.3.2 exige que el software a medida y personalizado se desarrolle de forma segura, y que se mantenga un inventario de los componentes de terceros.
¿Qué exige la norma PCI DSS 4.0.1 en materia de seguridad de los archivos?
Antes de analizar los distintos canales, conviene basar el argumento en la propia especificación.
El requisito 5 describe claramente la superficie de amenaza: «El malware puede introducirse en la red a través de numerosas actividades autorizadas por la empresa, entre las que se incluyen el correo electrónico de los empleados (por ejemplo, mediante phishing) y el uso de Internet, mobile y dispositivos de almacenamiento, lo que da lugar a la explotación de vulnerabilidades del sistema». Este es el principal modelo de amenaza para los ataques basados en archivos en entornos de pago.
La norma también establece que la detección de firmas por sí sola no es suficiente: «El uso de soluciones antimalware que aborden todos los tipos de malware ayuda a proteger los sistemas frente a las amenazas de malware actuales y en constante evolución». Las expresiones clave son «todos los tipos» y «actuales y en constante evolución». La detección que solo reconoce amenazas conocidas deja un vacío que la norma identifica explícitamente.
El requisito 5.2.1 va más allá: en sus directrices de buenas prácticas se señala que «resulta beneficioso que las entidades sean conscientes de los ataques de “día cero” (aquellos que aprovechan una vulnerabilidad hasta entonces desconocida) y consideren soluciones que se centren en las características de comportamiento y que alerten y reaccionen ante comportamientos inesperados». Esto supone el propio reconocimiento por parte de la norma de que la detección basada en el comportamiento y la detección heurística son fundamentales para lograr una cobertura completa.
Los requisitos 6 y 11 amplían aún más el alcance. El requisito 6.3.2 exige que se identifiquen las vulnerabilidades de seguridad en el software a medida y personalizado, abordando directamente el riesgo de la cadena de suministro de software. El requisito 11.3.1.2 exige la realización de análisis internos autenticados. En conjunto, establecen que la seguridad de los archivos en un entorno que cumple con la norma PCI DSS no es un control aislado, sino una disciplina que se aplica en toda la arquitectura.
¿Cuáles son los siete canales de recepción de archivos que la norma PCI DSS exige que Secure?
Aquí es donde muchos programas de cumplimiento presentan una laguna que aún no han evaluado.
Canal de ingestión | Requisito de la norma PCI DSS | Por qué Endpoint no lo detectan | ¿Qué es lo que reduce la brecha? |
Tráfico web | Requisitos 5 y 6 | Los archivos que pasan por un proxy web nunca llegan al agente del terminal | Escaneo de múltiples motores en la pasarela |
Correo electrónico y archivos adjuntos | Req. 1, 5 | El análisis de firmas con un único motor no detecta macros, archivos ni exploits incrustados | Multiscanning, limpieza de archivos, prevención de la pérdida de datos |
Cloud | Requisitos 5 y 6 | Las subidas directas a SharePoint, OneDrive o S3 eluden la inspección de puntos finales | Análisis de archivos en reposo + prevención de la pérdida de datos |
Transferencia gestionada de archivos | Requisitos 5 y 6 | Los archivos de los socios de confianza ya se incorporan directamente al flujo de trabajo | Análisis de archivos en movimiento + depuración de archivos |
Soportes extraíbles | Req. 1, 5, 9 | Las políticas de escaneo manual no cumplen con la obligación de escaneo automático | Análisis automático al insertar el dispositivo (quiosco) para evitar el malware procedente de dispositivos externos |
Software | Requisito 6 | Las vulnerabilidades CVE conocidas en componentes de terceros no son firmas de malware | vulnerability detection en archivos (artefactos de software) vulnerability detection las fases del ciclo de vida del desarrollo de software (SDLC) |
Puntos finales | Requisito n.º 5 | Se encuentra aguas abajo de todos los demás canales; es el último en detectar las amenazas | EDR / Antivirus para dispositivos finales |
- Tráfico web: Los archivos que se descargan o se suben a un portal web a través de HTTPS pasan por la red antes de llegar a cualquier dispositivo final.
- Correo electrónico y archivos adjuntos: El correo electrónico sigue siendo el medio más habitual de distribución de amenazas basadas en archivos. El análisis de archivos adjuntos debe ir más allá de la simple comparación de firmas. Los archivos comprimidos, los documentos con macros activadas y los archivos con exploits incrustados están diseñados para eludir dicho análisis.
- Cloud local y Cloud : los archivos se sincronizan constantemente con SharePoint, OneDrive, S3 y otras plataformas similares.
- Transferencia gestionada de archivos: los intercambios con proveedores, las integraciones con socios y los envíos de archivos por parte de los clientes generan flujos de archivos entrantes que conllevan su propio perfil de riesgo.
- Soportes extraíbles: El requisito 5.3.3 es una de las obligaciones más específicas de la norma: el software antimalware debe analizar automáticamente los soportes extraíbles cuando se insertan. USB constituyen un vector de ataque activo en entornos de pago, incluidos los sistemas aislados físicamente, en los que a menudo son la única vía de acceso externa a los datos.
- Software y dependencias. El requisito 6.3.2 existe porque las bibliotecas de terceros y los componentes integrados constituyen una fuente significativa de exposición a CDE. Un binario que se distribuya con un CVE (Common Vulnerability and Exposure) conocido en una de sus dependencias supone un riesgo que la detección de malware basada en firmas no detectará. Se trata de una vulnerabilidad a la espera de ser explotada, no de malware en el sentido tradicional.
- Terminales. Este es el único canal que la mayoría de los equipos tienen cubierto. Endpoint analizan lo que llega, se ejecuta o permanece en un dispositivo. Esa cobertura es necesaria, pero se sitúa después de todos los demás canales de esta lista. Para cuando un archivo llega a un terminal, ya ha superado o no ha superado otros seis puntos de inspección.
Por qué no basta con un único antivirus Endpoint
El EDR y los antivirus para un único dispositivo son herramientas excelentes, pero su alcance está limitado por su propio diseño.
Endpoint protegen los dispositivos supervisando lo que ocurre en el equipo: los archivos que se guardan en el disco, los procesos que se ejecutan y las conexiones de red que se establecen. No inspeccionan los archivos que pasan por un proxy web, una pasarela de correo electrónico, una API de sincronización en la nube o un USB . Se trata de una cuestión de alcance, no de una deficiencia del producto.
La norma PCI DSS 4.0.1 responde de forma definitiva a esa pregunta sobre el alcance. La norma describe la superficie de amenaza como todos los canales a través de los cuales los archivos entran en la red. Endpoint protege lo que ya se encuentra dentro del CDE. La seguridad de los archivos protege el paso de los archivos.
La brecha no es teórica. Un atacante que introduzca una carga maliciosa a través de un archivo adjunto de phishing analizado únicamente por una puerta de enlace de un solo motor, o a través de una dependencia maliciosa en un paquete de software suministrado por un proveedor, o mediante un USB conectado durante una ventana de mantenimiento… Ninguna de esas vías pasa por un agente de punto final hasta que ya es demasiado tarde. Esos son los canales que la norma te pide que cierres.
¿En qué consiste la seguridad completa de los archivos según la norma PCI DSS 4.0.1?
Las organizaciones que cuentan con auditorías 4.0.1 sin incidencias en materia de seguridad de los archivos comparten una arquitectura común: la inspección en cada punto de entrada, con múltiples capas de defensa.
Esto implica un análisis con múltiples motores a nivel de puerta de enlace. El análisis simultáneo de los archivos con varios motores antivirus aumenta drásticamente las tasas de detección y proporciona la profundidad de cobertura que exige la expresión «todos los tipos» de la norma. Implica una desinfección de archivos que neutraliza lo que los antivirus no pueden detectar: la tecnología Deep CDR™ reconstruye los archivos en formatos seguros y utilizables, eliminando el contenido potencialmente malicioso, incluidas las vulnerabilidades de día cero que aún no se han catalogado. Implica una evaluación de vulnerabilidades a nivel de archivo frente a CVE conocidos para paquetes de software y binarios antes de que lleguen a los sistemas de producción. Y supone un registro centralizado en todos los canales, no solo en la telemetría de los terminales, de modo que se puedan cumplir realmente los requisitos de auditoría del Requisito 11.
MetaDefender™ es la plataforma de seguridad de archivos OPSWAT, diseñada para analizar, depurar y evaluar los archivos en todos los canales de ingesta antes de que lleguen al CDE.
Tal y como señala la guía de cumplimiento OPSWAT:OPSWAT MetaDefender algunas de las capacidades más sólidas del sector para el Requisito 5. Multiscanning Metascan™ Multiscanning más de 30 motores antivirus comerciales para detectar malware conocido con una precisión excepcional, mientras que la tecnología Deep CDR™ neutraliza de forma proactiva las amenazas de día cero y las amenazas incrustadas mediante la reconstrucción de los archivos en formatos seguros y utilizables».
Esta laguna no se debe a que los equipos de seguridad hayan sido descuidados, sino a que la norma PCI DSS 4.0.1 exige algo más amplio. Los equipos que la subsanan antes de una auditoría no están haciendo más de lo que exige la norma. Simplemente lo están cumpliendo todo.
Próximos pasos
¿Estás listo para evaluar tu cobertura actual en relación con todos los requisitos de la versión 4.0.1?
Descarga la Guía de correspondencias de PCI DSS + la Lista de comprobación para principiantes de PCI DSS para comparar sus controles actuales con cada uno de los siete canales de recepción de archivos e identificar dónde existen deficiencias.
Preguntas frecuentes
¿Es suficiente la protección de un único punto final para cumplir con la norma PCI DSS 4.0.1?
No. La norma PCI DSS 4.0.1 amplía la cobertura antimalware a todos los canales a través de los cuales los archivos acceden al entorno de datos corporativo (CDE). La protección tradicional de los terminales protege los dispositivos, pero no inspecciona los archivos que pasan por proxies web, pasarelas de correo electrónico, sincronización en la nube o soportes extraíbles. OPSWAT MetaDefender se integra con tecnologías multicapa para cubrir esta laguna.
¿Exige la norma PCI DSS la realización de análisis en busca de malware en los soportes extraíbles?
Sí. Cuando se inserta, se conecta o se monta lógicamente un soporte extraíble, el requisito 5.3.3 exige que se realicen análisis automáticos o un análisis continuo del comportamiento de los sistemas o procesos. Las políticas de análisis manual no cumplen este requisito.
¿Cuáles son los canales de ingesta de archivosrelacionados con la norma PCI DSS 4.0.1?
Tráfico web, correo electrónico y archivos adjuntos, almacenamiento en la nube, transferencia gestionada de archivos, soportes extraíbles, dependencias de software y terminales.
¿Aborda la norma PCI DSS 4.0.1 los riesgos relacionados con la cadena de suministro de software?
Sí. El requisito 6.3.2 exige que el software a medida y personalizado se desarrolle de forma segura, que se identifiquen y subsanen las vulnerabilidades de seguridad, y que se mantenga un inventario de los componentes de software de terceros para facilitar la gestión de vulnerabilidades y parches.
¿Qué es el entorno de datos del titular de la tarjeta (CDE)?
El CDE está formado por las personas, los procesos y la tecnología que almacenan, procesan o transmiten los datos de los titulares de tarjetas, además de cualquier sistema conectado. Los controles de seguridad de archivos de la norma PCI DSS se aplican a los archivos que entran, circulan y salen del mismo.
