Guía de Planeación para El Cumplimiento Del Estándar de Seguridad de Datos en La Industria de Tarjetas de Pago

Gua de planeacin para el cumplimiento del Estndar de seguridad de datos en la industria de tarjetas de pago
On This Page
Introduccin Cumplimiento de los requisitos del Estndar PCI DSS Apndices
Introduccin
La Gua de planeacin para el cumplimiento del Estndar de seguridad de datos en la industria de tarjetas de pago est concebida para ayudar a las organizaciones a cumplir con los requisitos del Estndar de seguridad de datos en la industria de tarjetas de pago (PCI DSS). En concreto, esta gua est destinada a los comerciantes que aceptan tarjetas de crdito, a las instituciones financieras que procesan transacciones de tarjetas de pago y a los proveedores de servicios (compaas de terceros que ofrecen servicios de procesamiento de tarjetas de pago o de almacenamiento de datos). Las soluciones de TI para cada uno de estos grupos deben cumplir con todos los requisitos del Estndar PCI DSS. Esta gua tiene como objeto ampliar la Gua de planeacin para el cumplimiento normativo (en ingls), que presenta un enfoque basado en el marco de creacin de controles de TI como parte de los esfuerzos por cumplir con los distintos estndares y normas. En esta gua, tambin se describen los productos y las soluciones de tecnologa de Microsoft que se pueden usar para implementar una serie de controles de TI que ayuden a cumplir los requisitos del Estndar PCI DSS, as como otras normas aplicables a las empresas. Nota Si su organizacin ofrece cajeros automticos como parte de su gama de servicios, Microsoft proporciona orientacin acerca de la arquitectura y la seguridad del software, los sistemas y las redes compatibles con los cajeros automticos. Para obtener ms informacin, consulte la pgina de Microsoft Servicios bancarios: descargas (en ingls) en el sitio web de MSDN. Esta gua no ofrece informacin completa acerca de la forma de cumplir con el Estndar PCI DSS para cada organizacin. Para obtener respuestas a preguntas relacionadas con su organizacin, consulte a su asesor jurdico o auditor. La introduccin de esta gua incluye las siguientes secciones:
Resumen ejecutivo: en esta seccin, se ofrece una amplia informacin acerca de los requisitos del Estndar PCI DSS y de los objetivos principales de la gua de planeacin. Se analizan los conocimientos que deben tener los administradores de TI para tratar los requisitos de cumplimiento del Estndar PCI DSS. Destinatarios de esta gua: en esta seccin, se describen los destinatarios, la finalidad y el mbito de aplicacin de esta gua, as como los riesgos y los avisos de exencin de responsabilidad acerca de las limitaciones de la misma. Definicin de Estndar de seguridad de datos en la industria de tarjetas de pago: en esta seccin, se ofrece informacin general acerca del Estndar PCI DSS y de sus requisitos. Planeacin para el cumplimiento del Estndar PCI DSS: en esta seccin, se introduce el uso de un marco para satisfacer los requisitos del Estndar PCI DSS. Este enfoque incluye la creacin de distintos tipos de controles de TI, el modo de funcionamiento conjunto de los controles y las razones que los convierten en componentes importantes para facilitar a la organizacin el cumplimiento de los requisitos del Estndar PCI DSS y otras obligaciones de cumplimiento normativo. Proceso de auditora del Estndar PCI DSS: en esta seccin, se ofrece informacin general acerca del proceso de auditora del Estndar PCI DSS que siguen los auditores para evaluar el cumplimiento de los requisitos del Estndar PCI DSS en la organizacin.
Puesto que estas notas del producto pretenden complementar la Gua de planeacin para el cumplimiento normativo (en ingls), debe consultar tambin esa gua cuando planee una solucin integral para cumplir con los requisitos normativos aplicables a la organizacin. Resumen ejecutivo Si su organizacin procesa, almacena o transmite informacin de titulares de tarjetas de pago, sus requisitos de negocio deben cumplir con el Estndar de seguridad de datos en la industria de tarjetas de pago (PCI DSS). Los requisitos que se definen en estos estndares, desarrollados por el organismo denominado PCI Security Standards Council, estn diseados para crear un nivel mnimo de seguridad aceptable para los titulares de tarjetas que usan los servicios de su organizacin. Existen tres cuestiones que hacen de esta una situacin complicada. La primera es que el cumplimiento de los requisitos del Estndar PCI DSS puede afectar a la organizacin. Es importante coordinar las labores de cumplimiento en todos los departamentos e implantar una estrategia de cumplimiento del Estndar PCI DSS para toda la organizacin. La segunda dificultad es que es posible que la organizacin deba cumplir con distintos conjuntos de normas, cada uno de los cuales exige el cumplimiento de una serie de requisitos. De hecho, a muchas compaas les cuesta asimilar la forma de responder adecuadamente a esta diversidad de requisitos normativos, al tiempo que usan procesos y procedimientos econmicos para el cumplimiento ininterrumpido de las normas. La tercera cuestin complicada es que el Estndar PCI DSS, como otras muchas normas, menciona los controles de TI superficialmente, hecho que provoca que los administradores de TI deban determinar exactamente cmo tienen que obrar para cumplir de forma continuada con las normas, con escasa orientacin. La Gua de planeacin para el cumplimiento del Estndar de seguridad de datos en la industria de tarjetas de pago est dirigida a los administradores de TI responsables del cumplimiento de las obligaciones de sus compaas en el marco del Estndar PCI DSS. El objetivo de esta gua es ayudar a los administradores de TI a conocer la forma de afrontar muchos de los requisitos de control de TI que se aplican a las organizaciones, incluidos los requisitos de cumplimiento del Estndar PCI DSS. Para ello, esta gua proporciona informacin acerca de las soluciones que puede aplicar en este proceso. Para un anlisis ms amplio acerca de la forma de cumplir con distintos estndares normativos, consulte la Gua de planeacin para el cumplimiento normativo (en ingls). Importante Esta gua de planeacin no ofrece asesoramiento legal. La gua solo presenta informacin tcnica y objetiva acerca del cumplimiento normativo. No consulte slo esta gua para obtener asesoramiento acerca del tratamiento de los requisitos normativos. Si tiene preguntas concretas, consulte a su asesor jurdico o auditor. Destinatarios de este documento La Gua de planeacin para el cumplimiento del Estndar PCI DSS est destinada fundamentalmente a aquellas personas que sean responsables de asegurarse de que sus organizaciones recopilen, procesen, transmitan y almacenen datos de los titulares de tarjetas de forma segura y confiable, al tiempo que mantienen la privacidad de esos titulares. Entre los lectores de esta gua, se incluyen los administradores de TI que trabajan en sus organizaciones en los siguientes cargos:

Directores de informacin (CIO) encargados de la implementacin y el funcionamiento de sistemas y de los procesos asociados a TI. Directores de seguridad de la informacin (CISO) encargados del programa de seguridad de la informacin global y de las directivas de cumplimiento de la seguridad de la informacin. Directores financieros (CFO) encargados del entorno de control global de sus organizaciones. Directores de privacidad (CPO) responsables de la implementacin de directivas relacionadas con la administracin de la informacin personal, incluidas las directivas que son compatibles con el cumplimiento de la legislacin en materia de privacidad y proteccin de datos. Responsables de la toma de decisiones tcnicas que determinan las soluciones de tecnologa adecuadas para determinados problemas de la empresa.
Directores de operaciones de TI que dirigen los sistemas y procesos que ejecutan el programa de cumplimiento del Estndar PCI DSS. Arquitectos de seguridad de TI que disean los sistemas de control y seguridad de TI para proporcionar un nivel de seguridad adecuado con objeto de cubrir las necesidades empresariales de sus organizaciones. Arquitectos de infraestructuras de TI que disean infraestructuras que son compatibles con los controles y la seguridad de TI que disean los arquitectos de seguridad de TI. Consultores y asociados que recomiendan o implementan procedimientos recomendados de privacidad y seguridad para cumplir los objetivos de cumplimiento del Estndar PCI DSS.
Esta gua, adems de estar dirigida a estos lectores, puede ser de gran valor para las siguientes personas:

Directores de riesgo/cumplimiento que son responsables de la administracin global de los riesgos que conlleva el cumplimiento de los requisitos del Estndar PCI DSS para sus organizaciones. Directores de auditora de TI encargados de la auditora de sistemas de TI y de la reduccin de la carga de trabajo de los auditores de TI internos y externos.
Definicin de Estndar de seguridad de datos en la industria de tarjetas de pago: El Estndar de seguridad de datos (DSS) en la industria de tarjetas de pago (PCI) es un conjunto de requisitos globales diseados para asegurar que la informacin de la tarjeta de crdito o dbito del titular permanece protegida independientemente de la forma o el lugar en que se recopile, procese, transmita y almacene. Desarrollado por los miembros fundadores del organismo PCI Security Standards Council (incluidos American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa International), el Estndar PCI DSS pretende fomentar la adopcin internacional de medidas sistemticas de seguridad de datos. El Estndar PCI DSS est dirigido a compaas y organizaciones que trabajan a diario con datos de los titulares de tarjeta. En concreto, define los requisitos para instituciones financieras, comerciantes y proveedores de servicios que tratan con datos de titulares de tarjeta durante cualquier da de trabajo normal. Este estndar consta de una lista de requisitos para administracin de seguridad, directivas, procedimientos, arquitectura de red, diseo de software y otras medidas para proteger los datos. La versin 1.1 del Estndar PCI DSS es la ms reciente, publicada en septiembre de 2006. Est organizado en un conjunto de seis principios y doce requisitos complementarios. Cada requisito contiene requisitos secundarios para los que se debe implementar procesos, directivas o soluciones de tecnologa para cumplir con el requisito. Las directivas y requisitos del Estndar PCI DSS incluyen:
Creacin y mantenimiento de una red de seguridad o Requisito 1: instalar y mantener una configuracin de firewall para proteger los datos del titular de la tarjeta o Requisito 2: no usar los valores predeterminados facilitados por el proveedor para las contraseas de sistema y otros parmetros de seguridad Proteccin de los datos del titular de la tarjeta o Requisito 3: proteger los datos del titular de la tarjeta almacenados o Requisito 4: cifrar la transmisin de los datos del titular de la tarjeta a travs de redes abiertas y pblicas Uso de un programa de administracin de vulnerabilidades o Requisito 5: usar y actualizar regularmente software antivirus o Requisito 6: desarrollar y mantener sistemas y aplicaciones de seguridad Implementacin de medidas de control de acceso seguro o Requisito 7: limitar el acceso a los datos del titular de la tarjeta a las operaciones empresariales imprescindibles o Requisito 8: asignar un identificador nico a cada persona que tenga acceso al equipo o Requisito 9: restringir el acceso fsico a los datos del titular de la tarjeta Control y prueba peridica de las redes o Requisito 10: seguir y controlar los accesos a los recursos de la red y a los datos del titular la de tarjeta o Requisito 11: probar regularmente los sistemas y procesos de seguridad
Mantenimiento de una directiva de seguridad de la informacin o Requisito 12: mantener una directiva que controle la seguridad de la informacin
Los requisitos 9 y 12 no requieren la implementacin de soluciones de tecnologa. El requisito 9 le exige controlar la seguridad fsica de las ubicaciones en las que se almacenan y procesan los datos del titular de la tarjeta. Esto puede incluir implementar medidas de seguridad de acceso a los edificios, instalar y mantener un equipo de vigilancia y exigir comprobaciones de identidad para las personas que trabajan en las instalaciones o las visitan. El requisito 12 demanda la creacin de una directiva de seguridad de la informacin y la difusin entre los empleados, proveedores y otras personas de la organizacin que trabajen con los datos del titular de la tarjeta. Planeacin para el cumplimiento del Estndar PCI DSS La creacin de soluciones aisladas para el cumplimiento del Estndar PCI DSS no resulta una solucin eficaz ni econmica. Existe una serie de normas que debe tener en cuenta a la hora de planear el enfoque que desea aplicar para cumplir los requisitos del Estndar PCI DSS. Entre otras, se incluyen las siguientes:

Normativa Sarbanes-Oxley (SOX) Ley Gramm-Leach-Bliley (GLBA) Ley de transferencia y responsabilidad de seguros de salud (HIPAA) Directiva de Proteccin de Datos de la Unin Europea (EUDPD) ISO 17799:2005, Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin (ISO 17799)
Nota Si su organizacin es una empresa multinacional, deber asegurarse de que cumple con las normas gubernamentales para todas las ubicaciones en las que desarrolla su actividad. Microsoft le recomienda que consulte a un asesor jurdico con conocimientos acerca de todas las normas aplicables a las ubicaciones en las que opera la organizacin. Para obtener ms informacin acerca de las labores de planeacin para cumplir todas estas normas, consulte la Gua de planeacin para el cumplimiento normativo (en ingls). Las soluciones de cumplimiento del Estndar PCI DSS que la organizacin cree, se deben desarrollar teniendo en cuenta estas dos cuestiones:

Las soluciones ya existentes para satisfacer otros requisitos normativos; Los mtodos ptimos de crear soluciones nuevas que cumplan con los requisitos normativos.
Para alcanzar sus objetivos de cumplimiento de forma eficiente y eficaz, Microsoft le recomienda usar un marco de control que le ayude a administrar los objetivos de cumplimiento normativo de la organizacin. Mediante un marco de control, la organizacin puede asignar las normas y estndares aplicables al marco. La organizacin podr entonces dedicar ms eficazmente los controles de TI a los requisitos definidos en el marco, en lugar de las normas individuales. Adems, a medida que nuevas normas y estndares afecten a la organizacin, podr asignarlos al marco y concentrar sus esfuerzos en aquellas secciones del marco en las que los requisitos hayan cambiado. Asimismo, puede asignar al marco una amplia variedad de requisitos relacionados con los controles de TI, incluidos requisitos especficos del sector, como los requisitos de seguridad de la industria de tarjetas de pago, las directivas internas, etc. Un marco presenta ventajas importantes para las organizaciones que desean cumplir sus objetivos de cumplimiento normativo. El enfoque de cumplimiento normativo basado en el marco permite a las organizaciones:

Combinar los controles de TI para cumplir con varios estndares normativos, como los del Estndar PCI DSS y EUDPD, con lo que se evitan auditoras separadas; Tratar las nuevas normas con eficacia en cuanto son introducidas; Dar prioridad a los gastos mediante la eleccin de los controles de TI con mayor impacto; Evitar la repeticin del trabajo para cumplir los objetivos de cumplimiento en distintos departamentos de la compaa;
Actualizar las normas actuales de forma ms eficaz mediante la realizacin de cambios incrementales en los controles de TI existentes en la organizacin; Establecer una base comn para el departamento de TI y los auditores.
Por supuesto, deber revisar tambin el Estndar PCI DSS cuando comience a planear las labores de cumplimiento. Puede descargar el Estndar PCI DSS en https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf (en ingls). Por otra parte, el organismo PCI Security Standards Council ha creado un cuestionario de autoevaluacin que puede ayudar a su organizacin a determinar si cumple con el Estndar PCI DSS. Tambin puede ayudarle a planear las labores de cumplimiento del Estndar PCI DSS de la organizacin. Puede descargar el cuestionario de autoevaluacin del Estndar PCI DSS en https://www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf (en ingls). Para obtener ms informacin acerca del tratamiento de los requisitos normativos mediante los controles de TI en un marco de control, consulte la Gua de planeacin para el cumplimiento normativo (en ingls). Proceso de auditora del Estndar PCI DSS El proceso de auditora para cumplir el Estndar PCI DSS es, por norma general, parecido al proceso descrito en la Gua de planeacin para el cumplimiento normativo (en ingls). Sin embargo, hay algunos detalles especficos de la auditora del Estndar PCI DSS que debe conocer. Los anlisis de auditora los realizan dos tipos de organizaciones de terceros, conocidas como evaluadores de seguridad calificados (QSA, Qualified Security Assessors) y proveedores de servicios de escaneo aprobados (ASV, Approved Scanning Vendors). Los evaluadores QSA realizan la parte in situ de la auditora, mientras que los proveedores ASV realizan los exmenes de vulnerabilidad en los entornos de Internet de la organizacin. El organismo PCI Data Security Council (PCI DSC) se encarga de la evaluacin anual de las empresas que se convierten en QSA o ASV para su certificacin correspondiente. El evaluador QSA es necesario para preparar un informe posterior a la auditora de la organizacin; este informe debe seguir unas directrices concretas definidas por el PCI DSC. Estas directrices se encuentran en un documento con procedimientos de auditora de PCI que puede descargar en https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf (en ingls). Las directrices especifican la forma en que se debe organizar el informe que el evaluador QSA debe archivar despus de la auditora. Este informe incluye informacin de contacto de la organizacin, la fecha de la auditora, un resumen ejecutivo, una descripcin del mbito de trabajo y el enfoque que adopt el evaluador QSA para realizar la auditora en la organizacin, resultados trimestrales del examen, y los hallazgos y las observaciones del evaluador QSA. La ltima seccin contiene la mayor parte de la informacin acerca del cumplimiento del Estndar PCI DSS de la organizacin. En ella, el evaluador QSA usa una plantilla para informar acerca del cumplimiento de cada uno de los requisitos principales y secundarios del Estndar PCI DSS por parte de la organizacin. Antes de programar las auditoras del Estndar PCI DSS para la organizacin, o mejor, a medida que planea el cumplimiento del Estndar PCI DSS, los miembros clave de la organizacin deben revisar los procedimientos de auditora especficos. Esta medida le puede ayudar a comprender completamente lo que analiza el evaluador QSA durante la auditora. El proveedor ASV tambin debe preparar un informe acerca de los resultados de los exmenes de vulnerabilidad realizados en los entornos de Internet de la organizacin. Las directrices para la creacin de este informe se encuentran en un documento de procedimientos para el examen PCI, que se puede descargar en https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf (en ingls). Este documento especifica los elementos que el proveedor ASV debe examinar en el entorno de la organizacin e incluye una clave que ayudar a leer e interpretar el informe del proveedor ASV. Como comerciante o proveedor de servicios, deber seguir cada requisito del informe de cumplimiento de las respectivas compaas de tarjetas de pago para asegurarse de que cada una de estas compaas es consciente del estado de cumplimiento de su organizacin. Con otras palabras, si su organizacin es un proveedor de servicios que administra
datos de titulares de tarjetas Visa y American Express, debe enviar los informes de cumplimiento a Visa y a American Express. Cada compaa de tarjetas de pago tiene reglas y procedimientos de cumplimiento ligeramente diferentes. Para obtener ms informacin acerca de los requisitos de cumplimiento concretos del Estndar PCI DSS y de los programas de respaldo que cada compaa ofrece para habilitar el cumplimiento del comerciante o proveedor de servicios, pngase en contacto con las compaas de tarjetas de pago para las que la organizacin procesa, transmite o almacena datos de titulares de tarjetas. Top Of Page
Cumplimiento de los requisitos del Estndar PCI DSS

En esta seccin, se detallan las soluciones de tecnologa de Microsoft que la organizacin puede tener en cuenta a la hora de planear el cumplimiento del Estndar PCI DSS. Debe incorporar las soluciones seleccionadas a las labores cotidianas de la organizacin. Como se ha mencionado en la seccin Planeacin para el cumplimiento del Estndar PCI DSS, las directivas corporativas, los procedimientos y las soluciones de tecnologa deben tener en cuenta el cumplimiento para toda la organizacin, por lo que deber plantearse la forma en que el cumplimiento del Estndar PCI DSS afectar a los distintos departamentos de la compaa. Para consultar un anlisis ms detallado de las consideraciones implicadas en la asignacin de controles de TI a soluciones de tecnologa, consulte la Gua de planeacin de cumplimiento normativo (en ingls). Administracin de documentos Las soluciones de administracin de documentos combinan el software y una serie de procesos para facilitar la administracin de informacin sin estructurar de la organizacin. Esta informacin puede estar contenida en distintos formatos digitales, incluidos documentos, imgenes, archivos de audio y vdeo, y archivos XML.
La implementacin de las soluciones de administracin de documentos facilita el cumplimiento del Estndar PCI DSS de dos formas. En primer lugar, al usar estas soluciones para administrar documentos que contienen datos de titulares de tarjetas, se facilita el cumplimiento de los requisitos del Estndar PCI DSS relacionados con el acceso, la administracin y la proteccin de los datos. En concreto, puede usar las soluciones de administracin de documentos para cumplir con el requisito 7 y el requisito secundario 10.2.1. En segundo lugar, puede usar los sistemas de administracin de documentos para mantener y publicar directivas como las requeridas para cumplir con las secciones 3.6, 6.4, 9.2 y 12. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Tecnologas disponibles
Microsoft ofrece una serie de tecnologas que se pueden usar de forma conjunta e individual con objeto de crear controles de TI para la administracin de documentos. Deber disear estos controles para cumplir con los requisitos del Estndar PCI DSS, as como con cualquier otro requisito normativo que sea aplicable a su organizacin.
Servicios de Microsoft Windows Rights Management: los Servicios de Microsoft Windows Rights Management (RMS) ofrecen una plataforma de software que ayuda a que las aplicaciones protejan la informacin digital del uso no autorizado (tanto en lnea como sin conexin, fuera y dentro del firewall). RMS es la tecnologa base que est detrs de las caractersticas de Information Rights Management (IRM) de Microsoft Office y Windows SharePoint Services. Para usar estas caractersticas, es necesario un servidor RMS, implementado de forma interna o accesible desde un servicio de host.
RMS puede mejorar la estrategia de seguridad de la organizacin mediante la proteccin de la informacin a travs de directivas de uso persistentes, que se mantienen con la informacin independientemente de donde esta vaya. Las aplicaciones con tecnologa RMS habilitada se pueden usar para administrar, controlar y auditar el acceso a los documentos que contienen informacin del titular de la tarjeta. El cliente RMS est integrado en el sistema operativo de Windows Vista. Para otras versiones de Windows, el cliente RMS est disponible como descarga gratuita. Para obtener ms informacin, consulte Servicios de Microsoft Windows Rights Management (en ingls) en http://www.microsoft.com/rms.
Microsoft Office SharePoint Server: SharePoint Server es un servidor de colaboracin y administracin de contenido que le permite tener una plataforma integrada compatible con el portal y las necesidades de administracin de documentos de su organizacin. Le brinda compatibilidad con aplicaciones web, de extranet e intranet para toda la empresa, y proporciona a los profesionales de TI y a los desarrolladores la plataforma y las herramientas que necesitan para la administracin del servidor, las posibilidades de ampliacin de la aplicacin y la interoperabilidad. SharePoint Server se puede usar como repositorio central para documentos con datos de titulares de tarjetas, as como para documentos que describen directivas y procesos. SharePoint Server 2007 est integrado con RMS, de modo que las directivas de control se pueden aplicar en todas las copias del contenido descargado desde SharePoint Server 2007. Esta caracterstica permite que todos los administradores de sitio protejan las descargas desde una biblioteca de documentos con IRM. Cuando un usuario intenta descargar un archivo desde una biblioteca, Microsoft Windows SharePoint Services comprueba que el usuario tenga los permisos necesarios para el archivo concreto y emite una licencia para el usuario que permite el acceso al archivo en funcin del nivel de permiso correspondiente. A continuacin, Windows SharePoint Services descarga el archivo en el equipo del usuario en un formato de archivo cifrado y administrado a partir de derechos. Para obtener ms informacin, consulte el sitio web Productos y tecnologas de Microsoft SharePoint (en ingls) en http://go.microsoft.com/fwlink/?linkid=12632. Microsoft Exchange Server: hoy da, muchos negocios consideran el correo electrnico como la herramienta de comunicacin fundamental que los empleados deben usar para obtener resultados ptimos. Esta gran confianza depositada en el correo electrnico ha aumentado el nmero de mensajes enviados y recibidos, la cantidad y variedad de los trabajos realizados a travs del correo electrnico e incluso ha acelerado el ritmo en que se desarrolla el propio negocio. Exchange Server proporciona una plataforma de mensajera completa para la administracin del intercambio de informacin en la organizacin, a la vez que facilita el cumplimiento de los objetivos relacionados con el Estndar PCI DSS. Exchange Server 2007 incluye servicios de mensajera unificada, que compila el correo electrnico, correo de voz y fax que se enva a un usuario en una nica bandeja de entrada. Ofrece adems caractersticas que permiten a la organizacin aplicar reglas de retencin, funciones de deteccin e intervencin en mensajes en curso, diario flexible y bsquedas de texto enriquecido en todos los buzones implementados. Para obtener ms informacin, consulte el sitio web de Microsoft Exchange Server (en ingls) en http://www.microsoft.com/exchange/default.mspx. Microsoft Office: Office es un conjunto primordial de aplicaciones de productividad para las empresas. La caracterstica IRM de Microsoft Office ayuda a que las organizaciones controlen el acceso a informacin confidencial, como los datos del titular de la tarjeta. En concreto, la caracterstica IRM de Office ayuda a la organizacin de las siguientes formas:
o o o o o o
Evita que un destinatario con acceso a la informacin protegida reenve, copie, modifique, imprima, enve faxes o corte y pegue la informacin para su uso sin autorizacin. Evita que la informacin protegida se copie mediante la funcin de Windows Imprimir pantalla. Proporciona informacin con el mismo nivel de proteccin a donde esta se enve. Esta caracterstica conforma la denominada proteccin persistente. Proporciona el mismo nivel de proteccin a los datos adjuntos de correo electrnico, siempre que estos sean archivos creados con otros programas de Office, como Microsoft Excel o Microsoft Word. Protege la informacin contenida en los mensajes de correo electrnico o documentos con fecha de expiracin, de modo que la informacin no se pueda ver hasta pasado un perodo de tiempo determinado. Aplica las directivas corporativas que determinan el uso y difusin de la informacin dentro y fuera de la compaa.
Para obtener ms informacin, consulte el sitio web de Microsoft Office (en ingls) en http://office.microsoft.com/en-us/default.aspx. Evaluacin de riesgos La evaluacin de riesgos es el proceso mediante el cual la organizacin identifica y establece las prioridades de los riesgos del negocio. Por norma general, se usa un mtodo sistemtico para identificar los activos de un sistema de procesamiento de la informacin, las amenazas para dichos activos y la vulnerabilidad del sistema antes tales amenazas. Desde la perspectiva del cumplimiento normativo, la evaluacin de riesgos es el proceso de evaluacin del nivel de cumplimiento y las deficiencias de cumplimiento de la organizacin. Cuando se planea el cumplimiento del Estndar PCI DSS, lo principal es identificar los riesgos para los datos del titular de la tarjeta y establecer las prioridades de esas amenazas.
La evaluacin de riesgos le puede ayudar a cumplir con los requisitos del Estndar PCI DSS de distintas formas. Le permite identificar las reas de su red que necesitan una actualizacin para el cumplimiento. Incluso despus de haber alcanzado un cumplimiento inicial, la evaluacin de riegos es importante para determinar si la organizacin sigue cumpliendo con los requisitos despus de un perodo de tiempo. Puesto que puede usar la evaluacin de riesgos para tratar una serie de posibles problemas, le puede ayudar a cumplir muchos de los requisitos del Estndar PCI DSS, incluidos los nmeros 1, 3, 4, 5, 6, 7, 8 y 11. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft ofrece una serie de tecnologas que se pueden usar de forma conjunta e individual para crear controles de TI para la evaluacin de riegos. Deber disear estos controles para cumplir con los requisitos del Estndar PCI DSS, as como cualquier otro requisito normativo que sea aplicable a su organizacin.
Microsoft Baseline Security Analyzer (MBSA): una de las herramientas principales que puede usar para evaluar los riesgos de los datos de los titulares de tarjetas en la organizacin es MBSA. Se trata de una herramienta fcil de usar que identifica configuraciones incorrectas de seguridad comunes en una serie de productos de Microsoft, incluidos los sistemas operativos de Microsoft Windows, Internet Information Services (IIS), SQL Server, Microsoft Internet Explorer y Microsoft Office. MBSA tambin detecta las actualizaciones de seguridad, los paquetes acumulativos de actualizaciones y los service packs que faltan con respecto a los publicados en Microsoft Update. Puede ejecutar MBSA desde el smbolo del sistema o en la GUI, as como usarlo con Microsoft Update y Microsoft Windows Server Update Services. Dado que mantener los sistemas actualizados es una tarea muy importante para proteger los datos de titulares de tarjetas tanto como sea posible, MBSA se puede mostrar como una herramienta irremplazable para la evaluacin de los riegos para los datos de la organizacin. Para obtener ms informacin acerca de MBSA, consulte el artculo sobre Microsoft Baseline Security Analyzer (en ingls) en http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Microsoft Systems Management Server: si su organizacin usa Microsoft Systems Management Server (SMS) para administrar los equipos cliente y servidores, es posible que ya cuente con algunas de las herramientas necesarias para realizar la evaluacin de riesgos para los datos de titulares de tarjetas. Con SMS, la organizacin puede administrar de forma remota la configuracin de seguridad de los equipos que ejecutan sistemas operativos de Windows a travs de redes distribuidas. Puede realizar un inventario de los equipos de la red que tienen instaladas las actualizaciones de software obligatorias y seguir el progreso de la instalacin de actualizaciones en dichos equipos. SMS tambin le permite generar informes que identifiquen el inventario completo de hardware y software, los detalles de configuracin y el estado de los equipos de su red, as como el estado de las implementaciones de software y los errores de implementacin. Estas caractersticas de SMS
pueden ser muy importantes para la evaluacin de riesgos para los datos de titulares de tarjetas dentro de la organizacin. Para obtener ms informacin acerca de SMS, consulte la pgina principal de Microsoft Systems Management Server (en ingls) en http://www.microsoft.com/smserver/default.mspx.
Recopilacin de auditoras de Microsoft System Center Operations Manager: Operations Manager 2007 puede extraer y recopilar de forma segura y eficaz los registros de seguridad de sistemas operativos de Windows y almacenarlos para su anlisis y notificacin posterior. Los registros extrados se almacenan en una base de datos de recopilacin de auditoras independiente. Operations Manager enviar los informes que se pueden usar para los datos de la recopilacin de auditoras. La recopilacin de auditoras se puede usar para generar distintos informes de cumplimiento, como las auditoras de la normativa Sarbanes-Oxley. La recopilacin de auditoras se puede usar tambin para los anlisis de seguridad, como la deteccin de intrusiones y los intentos de acceso no autorizado. Para obtener ms informacin, consulte el artculo sobre Audit Collection Services (en ingls) en http://technet.microsoft.com/en-us/library/bb381258.aspx.
Windows Server Update Services: Windows Server Update Services (WSUS) con Service Pack 1 permite a la organizacin implementar muchas de las ltimas actualizaciones de productos de Microsoft publicadas en el sitio de Microsoft Update. Windows Server Update Services es un componente de actualizacin de Windows Server que presenta una forma rpida y eficaz de ayudar a mantener los sistemas actualizados. WSUS ofrece una infraestructura de evaluacin de riesgos que consta de lo siguiente: o Microsoft Update: el sitio web de Microsoft al que se conectan los componentes de WSUS para las actualizaciones de los productos de Microsoft o Servidor de Windows Server Update Services: el componente servidor instalado en un equipo que ejecuta un sistema operativo Microsoft Windows 2000 Server con Service Pack 4 (SP4) o Windows Server 2003 en el firewall corporativo. El servidor de Windows Server Update Services ofrece caractersticas que los administradores necesitan para administrar y distribuir las actualizaciones a travs de una herramienta basada en Internet, a la que se puede tener acceso desde Internet Explorer en cualquier equipo de Windows de la red corporativa. Asimismo, un servidor de Windows Server Update Services puede ser el origen de actualizacin para los servidores de Windows Server Update Services. o Actualizaciones automticas: el componente de equipo cliente integrado en los sistemas operativos Microsoft Windows Vista, Windows Server 2003, Windows XP y Windows 2000 con Service Pack 3. Este componente facilita al servidor y a los equipos cliente recibir actualizaciones de Microsoft Update o de un servidor que ejecute Windows Server Update Services. Estos servicios le permiten ofrecer todos los entornos de host en la red con las ltimas correcciones de seguridad de Microsoft para los productos instalados en un host determinado. Para obtener ms informacin, consulte la pgina principal de Windows Server Update Services (en ingls) en http://www.microsoft.com/windowsserversystem/updateservices/default.mspx.
Directiva de grupo: la directiva de grupo es una infraestructura que permite a los profesionales de TI implementar parmetros concretos a usuarios y equipos. Los parmetros de directiva de grupo estn contenidos en los objetos de directiva de grupo (GPO), que a su vez estn vinculados a los siguientes contenedores de servicios de directorio de Microsoft Active Directory: sitios, dominios o unidades organizativas. Puede administrar de forma centralizada los equipos a travs de la red distribuida mediante una directiva de grupo. Puesto que los administradores pueden usar una directiva de grupo para distribuir el software en un sitio, dominio o una serie de unidades organizativas, puede mostrarse como una herramienta importante para determinar los posibles riesgos del entorno de TI de la organizacin. Puede usar la Consola de administracin de directivas de grupo de Microsoft (GPMC) para administrar los parmetros de directiva de grupo. La consola GPMC est diseada para simplificar la administracin de
directivas de grupo al brindar un nico sitio para administrar los puntos principales de tales directivas. GPMC administra los requisitos de implementacin de las directivas de grupo, en funcin de lo que soliciten los clientes, mediante los siguientes elementos:
o o o o o o
Una interfaz de usuario (UI) que facilita el uso de las directivas de grupo; La capacidad de crear copias de seguridad de los GPO y restaurarlos; La capacidad de importar y exportar, as como de copiar y pegar los GPO y los filtros de Instrumental de administracin de Windows (WMI); Una forma simplificada de administrar los aspectos de seguridad relacionados con la directiva de grupo; La capacidad de generar informes HTML para los parmetros de GPO y los datos del Conjunto resultante de directivas (RSoP); La capacidad de realizar script de las operaciones de GPO expuestas por la GPMC (sin la funcionalidad para realizar scripts de los parmetros de un GPO).
Para obtener ms informacin, consulte la directiva de grupo de Windows Server 2003 (en ingls) en http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx e Introduccin a la Consola de administracin de directivas de grupo (en ingls) en http://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx. Administracin de cambios La administracin de cambios es un proceso estructurado por el que la organizacin evala los cambios realizados en un plan del proyecto, una infraestructura de TI, las implementaciones de software u otros procesos y procedimientos realizados en la organizacin. Un sistema de administracin de cambios puede ayudar a definir un cambio, evaluar el efecto del mismo, determinar las acciones necesarias para implementarlo y difundir la informacin relacionada a travs de la organizacin. Tambin le puede ayuda a seguir los cambios realizados en la organizacin. Esto le permite controlar el entorno de TI a medida que realiza los cambios. Por ejemplo, el sistema para una organizacin puede incluir una base de datos para ayudar a que los empleados tomen decisiones ms acertadas acerca de los cambios futuros en funcin de datos anteriores que indiquen el xito o el fracaso de cambios similares realizados en el pasado. La administracin de cambios tambin es un proceso estructurado que informa acerca de la existencia y el estado de los cambios que afectan a todas las partes implicadas. El proceso puede generar un sistema de inventario que indique las acciones emprendidas y el momento en que dichas acciones afectaron al estado de los recursos clave, para ayudar a prever y eliminar los problemas, y a simplificar la administracin de recursos.
La administracin de cambios es tan esencial para el cumplimiento del Estndar PCI DSS como para cualquier otra labor de cumplimiento normativo. Si la organizacin no conoce los cambios realizados en el entorno de TI, ser difcil afirmar con rotundidad que el entorno es seguro. El seguimiento de los cambios realizados en la red, los sistemas, las directivas y los procedimientos ayudar a cumplir con los requisitos 6 y 11 del Estndar PCI DSS. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft le ofrece una serie de tecnologas a tener en cuenta cuando disee las soluciones de administracin de cambios.
Microsoft Office SharePoint Server: adems de ser una opcin de tecnologa para las soluciones de administracin de documentos, Microsoft Office SharePoint Server puede ser tambin un elemento clave en el sistema de administracin de cambios de la organizacin. Puede usar las funciones de seguimiento de versin para controlar los cambios realizados en documentos de directivas y procesos, actualizaciones y otros cambios realizados en las aplicaciones, as como cambios realizados a lo largo del tiempo en el software aprobado.
Para obtener ms informacin, consulte la seccin "Administracin de documentos" y el sitio web Productos y Tecnologas de Microsoft SharePoint (en ingls) en http://go.microsoft.com/fwlink/?linkid=12632.
Microsoft Systems Management Server: no slo puede usar SMS para administrar la evaluacin de riesgos de la organizacin, sino que tambin puede recurrir a sus caractersticas de administracin para seguir los cambios realizados en los sistemas de los equipos de la organizacin. SMS realizar un seguimiento de los cambios realizados en la configuracin de seguridad, as como las aplicaciones instaladas en los servidores y equipos cliente de toda la red. Asimismo, puede usar la eficaz funcionalidad de informe integrada en SMS para revisar los cambios realizados en los equipos de la organizacin y si dichos cambios cumplen con los requisitos de seguridad que ha establecido. Para obtener ms informacin acerca de SMS, consulte la pgina principal de Microsoft Systems Management Server (en ingls) en http://www.microsoft.com/smserver/default.mspx.
Microsoft SMS 2003 Desired Configuration Monitoring 2.0: puede aumentar las operaciones de SMS con la caracterstica SMS 2003 Desired Configuration Monitoring (DCM). Puede usar DCM para automatizar las auditoras de administracin de configuracin entre los parmetros de configuracin deseados o definidos y los parmetros de configuracin reales. DCM realiza esta funcin al permitir al usuario definir los parmetros de configuracin deseados para hardware, sistema operativo y aplicacin en varios orgenes de datos de configuracin. A continuacin, mediante el motor de auditora facilitado, DCM compara los parmetros deseados con los reales e informa acerca del cumplimiento de la configuracin. DCM puede ayudar a reducir el tiempo de inactividad de servicios imprevisto, a correlacionar datos de configuracin y a reducir costos de soporte tcnico. Igualmente, le proporciona una herramienta de edicin XML fcil de usar y orientacin para definir elementos de configuracin de hardware y software. DCM ofrece tambin informes de cumplimiento detallados para ayudar con la deteccin y solucin de errores de configuracin.
Microsoft Desktop Optimization Pack for Software Assurance: Microsoft Desktop Optimization Pack for Software Assurance es un servicio de suscripcin que reduce los costos de implementacin de aplicaciones, permite la entrega de aplicaciones como servicios y ofrece una mejor administracin y control de los entornos de escritorio de la empresa. Este paquete de optimizacin de escritorio le permite mejorar los procesos de administracin de cambios y las reversiones mediante los siguientes elementos: o Mejora en la administracin de directivas de grupo; o Menor tiempo de inactividad; o Acceso a peticin a las aplicaciones para los usuarios aprobados. Microsoft Desktop Optimization Pack solo est disponible para los clientes con Software Assurance en sus escritorios. Para obtener ms informacin, consulte Optimizacin del escritorio de Windows (en ingls) en http://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx.
Seguridad de red Las soluciones de seguridad de red constituyen una amplia categora de soluciones diseadas para tratar la seguridad de todos los aspectos de la red de una organizacin, incluidos firewalls, servidores, clientes, enrutadores, conmutadores y puntos de acceso. La planeacin y el control de la seguridad de las redes de su organizacin constituyen un elemento clave en la consecucin del cumplimiento del Estndar PCI DSS. Aunque existe una amplia variedad de soluciones disponibles para administrar la seguridad de red, su organizacin debe tener ya muchos de los elementos de una red segura por norma. Probablemente, sea ms eficaz y econmico partir de las soluciones de seguridad de red que ya tiene implementadas en lugar de comenzar desde el principio. Sin embargo, puede estar pensando en realizar un cambio en alguna de las tecnologas que usa su organizacin, o bien, es posible que desee implementar nuevas soluciones que no ha incluido an en la estrategia de seguridad de red. Microsoft le ofrece una serie de soluciones de tecnologa y material orientativo para implementar soluciones de seguridad de red que cubran las necesidades de su organizacin.
El Estndar de seguridad de datos en la industria de tarjetas de pago indica claramente que necesita establecer redes seguras en toda la organizacin para cumplir con los requisitos. La directiva 1 indica que para cumplir con los requisitos, una organizacin debe crear y mantener una red segura. El requisito 1 indica que las organizaciones deben instalar y mantener una configuracin de firewall para proteger los datos de los titulares de tarjetas. El requisito 2 indica que las organizaciones deben cambiar la configuracin predeterminada del proveedor para las contraseas de sistema y otros parmetros de seguridad. Las soluciones de seguridad de red tambin facilitan que su organizacin cumpla con los requisitos 4 y 11, que exigen el cifrado de las transmisiones de los datos de los titulares de tarjetas a travs de la red, adems del seguimiento y control del acceso a la red, respectivamente. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft le ofrece una serie de tecnologas para cumplir con los dos primeros requisitos del Estndar PCI DSS.
Firewall de Microsoft Windows: Windows XP Service Pack 2 (SP2) incluye Firewall de Windows, que reemplaza al Servidor de seguridad de conexin a Internet (ICF). Firewall de Windows es un firewall con estado basado en host que omite el trfico entrante no solicitado que no se corresponde con el trfico enviado en respuesta a una solicitud del equipo (trfico solicitado) ni con el trfico no solicitado especificado como permitido (trfico excepcional). Firewall de Windows proporciona un nivel de proteccin ante usuarios y programas malintencionados que confan en trfico entrante no solicitado para atacar los equipos de una red. Estas caractersticas se han mejorado en Firewall de Windows con seguridad avanzada en Windows Vista y Windows Server Longhorn. Firewall de Windows con seguridad avanzada le permite bloquear las conexiones entrantes y salientes basadas en los parmetros que ha configurado mediante el complemento Microsoft Management Control (MMC). Este complemento ofrece una interfaz para configurar Firewall de Windows de forma local y tambin para configurarlo en equipos remotos y mediante directivas de grupo. Las funciones de firewall estn ahora integradas con los parmetros de proteccin del protocolo de seguridad de Internet (IPsec), con lo que se reduce la posibilidad de conflictos entre los dos mecanismos de proteccin. Firewall de Windows con seguridad avanzada es compatible con perfiles independientes para cuando los equipos estn unidos a un dominio o conectados a una red privada o pblica. Tambin es compatible con la creacin de reglas para la aplicacin de directivas de aislamiento de servidor y dominio. Firewall de Windows con seguridad avanzada es compatible con reglas ms especficas, incluidos los usuarios y grupos de Microsoft Active Directory, las direcciones de origen y destino de protocolo Internet (IP), el nmero de puerto IP, la configuracin de ICMP, la configuracin de IPsec, tipos concretos de interfaces, servicios, etc. Para obtener ms informacin, consulte Firewall de Windows (en ingls) en http://www.microsoft.com/technet/network/wf/default.mspx.
Microsoft Internet Security and Acceleration Server: Microsoft Internet Security and Acceleration (ISA) Server le puede ayudar a proteger su red de distintas formas. En primer lugar, puede usarlo para permitir a los usuarios el acceso remoto a las aplicaciones corporativas a travs de Internet. Para ello, puede configurar ISA Server para autenticar previamente las solicitudes de usuarios entrantes, inspeccionar todo el trfico en el nivel de aplicaciones (incluido el trfico cifrado) y proporcionar herramientas de publicacin automatizadas. En segundo lugar, si su organizacin incluye sucursales, ISA Server le permite usar las funciones de compresin HTTP, almacenamiento en cach del contenido y la red privada virtual (VPN) para ampliar su red de forma fcil y segura. En tercer lugar, con ISA Server puede proteger su red de las amenazas de Internet internas y externas. Para ello, se usa la arquitectura proxy-firewall, las funciones de inspeccin de contenido, la configuracin granular de directivas, as como las funciones completas de alerta y control.
Para obtener ms informacin, consulte la pgina sobre Internet Security and Acceleration Server (en ingls) en http://www.microsoft.com/isaserver/default.mspx.
Aislamiento de servidor y dominio mediante el protocolo de seguridad de Internet (IPsec) y la directiva de seguridad de Active Directory: el aislamiento de servidor y dominio crea un nivel de proteccin ntegro que puede reducir considerablemente el riesgo de ataques malintencionados y de acceso no autorizado a los recursos en red. A partir de Windows IPsec y de la directiva de grupo de Active Directory, esta solucin le permite segmentar de forma dinmica su entorno de Windows en redes lgicas y aisladas ms seguras. Son varios los mtodos para crear una red aislada, por lo que tiene flexibilidad para aislar de forma lgica todo un dominio administrado o crear redes virtuales de determinados servidores ms seguras, con lo que limita el acceso a los usuarios autenticados y autorizados, o requiere que los servidores o redes concretos protejan todos los datos mediante el cifrado. Al requerir el cifrado de datos para el trfico intercambiado entre las submscaras de red y los hosts de red especficos, puede cumplir con los requisitos normativos y de socios empresariales para cifrar datos cuando estos pasen por una red. Para obtener ms informacin, consulte la pgina principal del sitio de Microsoft Technet (en ingls) en http://www.microsoft.com/technet/network/sdiso/default.mspx.
Asistente para configuracin de seguridad de Windows Server 2003: el Asistente para configuracin de seguridad puede ayudarle a proteger la red mediante la reduccin de la superficie de ataque de los servidores que ejecutan Windows Server 2003, Service Pack 1. El Asistente para configuracin de seguridad determina la funcionalidad mnima necesaria para las funciones de un servidor y deshabilita la funcionalidad que no es necesaria. En concreto, el Asistente para configuracin de seguridad: o deshabilita los servicios innecesarios; o bloquea los puertos que no se usan; o permite ms restricciones de direcciones o de seguridad para puertos que se han dejado abiertos; o prohbe extensiones web de IIS innecesarias, si procede; o reduce la exposicin de protocolo en bloques de mensaje del servidor (SMB), LanMan y Protocolo ligero de acceso a directorios (LDAP); o define una directiva de auditora con una elevada relacin seal-ruido. El Asistente para configuracin de seguridad puede orientar a los profesionales de TI a travs del proceso de creacin, edicin, aplicacin o reversin de una directiva de seguridad basada en las funciones seleccionadas del servidor. Las directivas de seguridad que se crean con el asistente son archivos XML que, cuando se aplican, definen servicios, la seguridad de red, valores de registro especficos, directivas de auditora e IIS, si procede. Para obtener ms informacin, consulte el Asistente para configuracin de seguridad para Windows Server 2003 (en ingls) en http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.mspx.
Conexin a escritorio remoto mediante la autenticacin de servidor: las conexiones a escritorio remoto son una forma eficaz de permitir a los usuarios tener acceso a los equipos cliente y servidores compartidos. Esta tecnologa puede ser una forma econmica de crear un desarrollo y unos equipos de prueba compartidos. Por otro lado, puede usar estos equipos como puntos de acceso centralizados para muchos tipos de proyectos, as como permitir a los usuarios externos a la red tener acceso a estos equipos, con lo que se aslan los riesgos que suponen para la seguridad de la red. Adems, la actualizacin del cliente Conexin a Escritorio remoto 6.0 permite a los profesionales de TI configurar la autenticacin del servidor. Con la autenticacin del servidor, puede evitar que los usuarios se conecten a un equipo o servidor que no sea el deseado y la exposicin potencial de informacin confidencial. Microsoft introduce esta caracterstica en Windows Vista y Windows Server Longhorn. El cliente Conexin a Escritorio remoto 6.0 se puede usar en otros equipos que ejecutan Windows Server 2003 con Service Pack 1 o Windows XP con Service Pack 2 (SP2). El cliente se puede usar para conectarse a servidores de Terminal Services heredados o a escritorios remotos como anteriormente, pero la autenticacin de servidor slo se produce cuando el equipo remoto ejecuta Windows Vista o Windows Server Longhorn.
Para obtener ms informacin, consulte Actualizacin de cliente Conexin a Escritorio remoto 6.0 disponible para descarga desde el Centro de descarga de Microsoft (en ingls) en http://support.microsoft.com/kb/925876.
Acceso protegido Wi-Fi 2: si su organizacin usa una red inalmbrica, debe reflexionar acerca de la actualizacin a enrutadores inalmbricos, puntos de acceso y otros dispositivos compatibles con la certificacin de producto de Acceso protegido Wi-Fi 2 (WPA2). WPA2 es una certificacin de producto que otorga WiFi Alliance y certifica que los equipos inalmbricos son compatibles con el estndar IEEE 802.11i. El objetivo de la certificacin WPA2 es ser compatible con otras caractersticas de seguridad obligatorias del estndar IEEE 802.11i que todava no est incluido para los productos compatibles con WPA. Por ejemplo, WPA2 requiere compatibilidad para el cifrado TKPI y AES. WPA2 est disponible en dos modos diferentes: o WPA2-Enterprise usa la autenticacin 802.1X y est diseado para redes con infraestructuras medianas y grandes; o WPA2-Personal usa una PSK para la autenticacin y est diseado para redes con infraestructura SOHO. WPA2 es compatible con Windows XP Service Pack 2, Windows Vista y Windows Server Longhorn. Para obtener ms informacin, consulte Tecnologas LAN inalmbricas y Microsoft Windows (en ingls) en http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/wrlsxp.mspx e Informacin general acerca de Acceso protegido Wi-Fi 2 (WPA2) (en ingls) en http://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspx.
Proteccin de acceso a redes: la Proteccin de acceso a redes (NAP) es una plataforma para Windows Server Longhorn y Windows Vista. Proporciona componentes de aplicacin de directivas que ayudan a garantizar que los equipos conectados a una red o que se comunican a travs de una red cumplen con los requisitos definidos por el administrador para el mantenimiento del sistema. Su organizacin puede emplear una combinacin de los componentes de validacin de directivas y de limitacin de acceso a red para controlar el acceso o la comunicacin entre redes. Tambin se puede decidir por limitar temporalmente el acceso a una red restringida a los equipos que no cumplan con los requisitos. En funcin de la configuracin seleccionada, la red restringida puede contener recursos necesarios para la actualizacin de los equipos para que estos cumplan con los requisitos de mantenimiento para un acceso a redes sin lmite y una comunicacin normal. NAP incluye una interfaz de programacin de aplicaciones (API) definida por desarrolladores y proveedores para crear soluciones completas para la validacin de directivas de estado, la limitacin de acceso a redes y el cumplimiento continuo de las condiciones de estado. NAP ofrece componentes de aplicacin de acceso limitado para IPsec, conexiones de red autenticadas con el estndar IEEE 802.1X, redes VPN y Protocolo de configuracin dinmica de host (DCHP). Puede usar estas tecnologas de forma conjunta o individual. Con estas funciones, NAP puede ser una herramienta eficaz para facilitarle la proteccin del estado y la seguridad de la red. Para obtener ms informacin, consulte Proteccin de acceso a redes (en ingls) en http://www.microsoft.com/technet/network/nap/default.mspx.
Microsoft Virtual Server: Microsoft Virtual Server 2005 R2 proporciona una plataforma de virtualizacin que ejecuta la mayora de los sistemas operativos x86 en un entorno de invitado. Es compatible con Microsoft en calidad de host para los sistemas operativos Windows Server y las aplicaciones Windows Server System. Su integracin con una amplia variedad de herramientas de administracin de Microsoft y de terceros permite a los administradores administrar a la perfeccin un entorno de Virtual Server 2005 R2 con las herramientas de administracin de los servidores fsicos existentes. Puesto que Microsoft Virtual Server permite a la organizacin ejecutar varios sistemas operativos en un equipo, puede ayudarle a cumplir con el requisito 2.2.1 del Estndar PCI DSS que exige que la organizacin slo ejecute una funcin principal por servidor. Por ejemplo, puede usar Virtual Server para implementar un servidor web virtual, un servidor de bases de datos virtual y un servidor de archivos virtual en el mismo equipo. Microsoft Virtual Server se puede descargar gratuitamente desde Microsoft. Para obtener ms informacin, consulte la pgina sobre Microsoft Virtual Server (en ingls) en http://www.microsoft.com/windowsserversystem/virtualserver/default.mspx.
Control de host
Las soluciones de control de host controlan los sistemas operativos de servidores y estaciones de trabajo. Las soluciones de control de host tambin incluyen procedimientos recomendados para implementar la seguridad en todos los niveles del sistema operativo de cada host, a la vez que se mantienen las actualizaciones y revisiones ms recientes y se usan mtodos seguros para las operaciones diarias.
Las soluciones de control de host pueden ayudarle a cumplir con los requisitos del Estndar PCI DSS mediante el mantenimiento de los sistemas operativos actualizados y configurados de forma segura. En concreto, el control de host puede ayudarle a cumplir con los requisitos 6 y 11 del Estndar PCI DSS. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft le ofrece una serie de tecnologas que puede usar de forma conjunta o independiente para crear soluciones de control de host. Al igual que con otras soluciones de tecnologa, deber disear estas soluciones para cumplir con los requisitos del Estndar PCI DSS, as como cualquier otro requisito normativo que sea aplicable a su organizacin.
Microsoft Baseline Security Analyzer (MBSA): una de las herramientas principales que puede usar para evaluar los riesgos de los datos de los titulares de tarjetas en la organizacin es MBSA. MBSA es una herramienta fcil de usar que identifica configuraciones incorrectas de seguridad comunes en una serie de productos de Microsoft, incluidos el sistema operativo de Windows, Internet Information Services, SQL Server, Internet Explorer y Microsoft Office. MBSA tambin detecta las actualizaciones de seguridad, los paquetes acumulativos de actualizaciones y los service packs que faltan con respecto a los publicados en Microsoft Update. Puede ejecutar MBSA desde el smbolo del sistema o en una GUI, as como usarlo con Microsoft Update y Windows Server Update Services. Dado que mantener los sistemas actualizados es una tarea muy importante para proteger los datos de los titulares de tarjetas tanto como sea posible, MBSA se puede mostrar como una herramienta irremplazable para la evaluacin de los riegos para los datos de la organizacin. Para obtener ms informacin, consulte el artculo sobre Microsoft Baseline Security Analyzer (en ingls) en http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Microsoft Windows Server Update Services: Microsoft Windows Server Update Services (WSUS) con Service Pack 1 permite a la organizacin implementar muchas de las ltimas actualizaciones de productos de Microsoft publicadas en el sitio de Microsoft Update. WSUS es un componente de actualizacin de Windows Server que le ofrece una forma rpida y eficaz de mantener actualizados los sistemas. WSUS ofrece una infraestructura de administracin que consta de lo siguiente: o Microsoft Update: el sitio web de Microsoft al que se conectan los componentes de WSUS para las actualizaciones de los productos de Microsoft. o Servidor de Windows Server Update Services: el componente servidor que est instalado en un equipo que ejecuta un sistema operativo Microsoft Windows 2000 Server con Service Pack 4 (SP4) o Windows Server 2003 en el firewall corporativo. El servidor WSUS ofrece caractersticas que los administradores necesitan para administrar y distribuir las actualizaciones a travs de una herramienta basada en Internet, a la que se puede tener acceso desde Internet Explorer en cualquier equipo de Windows de la red corporativa. Asimismo, un servidor WSUS puede ser el origen de actualizacin de otros servidores WSUS. o Actualizaciones automticas: el componente de equipo cliente integrado en los sistemas operativos Windows Vista, Windows Server 2003, Windows XP y Windows 2000 con SP3. Con Actualizaciones automticas, el servidor y los equipos cliente pueden recibir actualizaciones desde Microsoft Update o desde un servidor que ejecute WSUS. Estos servicios le ayudan a mantener todos los entornos de la red actualizados con las ltimas correcciones de seguridad de Microsoft para los productos instalados en un host determinado.
Para obtener ms informacin, consulte la pgina principal de Windows Server Update Services (en ingls) en http://www.microsoft.com/windowsserversystem/updateservices/default.mspx.
Microsoft Systems Management Server: si su organizacin usa SMS para administrar los equipos cliente y servidores, es posible que ya cuente con algunas de las herramientas necesarias para realizar la evaluacin de riesgos para los datos de titulares de tarjeta. Con SMS, la organizacin puede administrar de forma remota la configuracin de seguridad de los equipos que ejecutan sistemas operativos de Windows a travs de redes distribuidas. Puede realizar un inventario de los equipos de la red que tienen instaladas las actualizaciones de software obligatorias y seguir el progreso de la instalacin de actualizaciones en dichos equipos. SMS tambin le permite generar informes que identifiquen el inventario completo de hardware y software, los detalles de configuracin y el estado de los equipos de su red, as como el estado de las implementaciones de software y los errores de implementacin. Estas caractersticas de SMS pueden ser muy importantes para la evaluacin de riesgos para los datos de titulares de tarjetas dentro de la organizacin. Para obtener ms informacin acerca de SMS, consulte la pgina principal de Microsoft Systems Management Server (en ingls) en http://www.microsoft.com/smserver/default.mspx.
Microsoft Desktop Optimization Pack for Software Assurance: Microsoft Desktop Optimization Pack for Software Assurance es un servicio de suscripcin que reduce los costos de implementacin de aplicaciones, permite la entrega de aplicaciones como servicios y ofrece una mejor administracin y control de los entornos de escritorio de la empresa. El paquete de optimizacin de escritorio es una solucin de control de host eficaz que le permite realizar las siguientes acciones: o Simplificar y acelerar el ciclo de vida de administracin de aplicaciones desde la planeacin y la implementacin previsible hasta el uso, el mantenimiento y la migracin de software; o Mejorar la administracin de los activos de software de la organizacin; o Acelerar y simplificar las implementaciones de escritorio y las migraciones. Microsoft Desktop Optimization Pack solo est disponible para los clientes con Software Assurance en sus escritorios. Para obtener ms informacin, consulte Optimizacin del escritorio de Windows (en ingls) en http://www.microsoft.com/windows/products/windowsvista/buyorupgrade/optimizeddesktop.mspx. Para consultar vnculos de directrices y procedimientos de seguridad de host especficos para muchos productos de Microsoft, consulte la Gua de planeacin para el cumplimiento normativo (en ingls).
Prevencin de software malintencionado Las soluciones de prevencin de software malintencionado son elementos clave para mantener protegidos los datos de los titulares de tarjetas a travs de la red. Al evitar el correo no deseado y mantener los sistemas sin virus ni spyware, estas soluciones pueden garantizar que los sistemas de la red trabajan al mximo de sus posibilidades y que la informacin confidencial no se transmite de forma no intencionada a partes no autorizadas.
Las soluciones de prevencin de software malintencionado que elija pueden ayudarle a cumplir con los requisitos 5 y 6 del Estndar PCI DSS. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft le presenta una serie de tecnologas que puede usar de forma conjunta o individual para evitar el software malintencionado. Debe tener en cuenta estas tecnologas junto con las labores de cumplimiento del Estndar PCI DSS de mayor envergadura, as como los requisitos normativos ms exigentes para la organizacin.
Microsoft Forefront : Forefront es un conjunto de aplicaciones de productos de seguridad de lnea de negocio que proporciona proteccin a los sistemas operativos cliente, los servidores de aplicaciones y la red al completo. Puede usar Forefront con la infraestructura de TI existente para proteger servidores y equipos cliente de malware y otros ataques malintencionados que se originen dentro o fuera de la organizacin. En concreto, Forefront Client Security ofrece proteccin ante software malintencionado para los clientes de la organizacin. La solucin Forefront Client Security consta de dos partes. La primera es el agente de seguridad (instalado en los equipos de escritorio, porttiles y sistemas operativos de servidor de la empresa), que ofrece proteccin en tiempo real y tareas de deteccin programadas para amenazas como spyware, virus y rootkits. La segunda es el servidor de administracin centralizada, que permite a los administradores administrar y actualizar fcilmente agentes de proteccin ante malware personalizados o preconfigurados, adems de generar informes y alertas acerca del estado de seguridad del entorno. Para obtener ms informacin, consulte la pgina sobre Microsoft Forefront (en ingls) en http://www.microsoft.com/forefront/default.mspx.
Herramienta de eliminacin de software malintencionado: la herramienta de eliminacin de software malintencionado de Microsoft Windows busca en los equipos con Windows XP, Windows 2000 y Windows Server 2003 infecciones por software malintencionado especfico y de ataques ms frecuentes, y ayuda a eliminarlas. Cuando el proceso de deteccin y eliminacin ha concluido, la herramienta muestra un informe en el que se describe el resultado e incluye, si lo hubiera, el software malintencionado que se ha detectado y eliminado. Microsoft publica una versin actualizada de esta herramienta el segundo martes de cada mes, o segn se requiera para responder a incidentes de seguridad. Para obtener ms informacin, consulte Herramienta de eliminacin de software malintencionado (en ingls) en http://www.microsoft.com/security/malwareremove/default.mspx. Nota Windows Defender y la herramienta de eliminacin de software malintencionado tambin pueden ayudarle a detectar si un programa malintencionado usa un rootkit. Los rootkits son los mecanismos de los que se sirven los creadores de software malintencionados para ocultar su presencia a los bloqueadores de spyware y a las utilidades de antivirus y de administracin de sistema. Para obtener ms informacin acerca de los rootkits y la forma de detectarlos, consulte http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx (en ingls).
Filtros de terceros con Microsoft ISA Server: adems de ofrecer soluciones de seguridad de red, ISA Server puede ayudarle a proteger la organizacin de ataques de malware. Para ello, use filtros personalizados o de terceros que eliminen el malware antes de que llegue a la red corporativa. Para obtener ms informacin, consulte la pgina sobre Internet Security and Acceleration Server (en ingls) en http://www.microsoft.com/isaserver/default.mspx.
Seguridad de las aplicaciones Para cumplir con los requisitos del Estndar PCI DSS, debe pensar en soluciones para la seguridad de las aplicaciones desde dos puntos de vista. Por un lado, debe exigir que todas las aplicaciones nuevas que creen los desarrolladores de su organizacin cumplan procedimientos de desarrollo seguros. Por otro, debe asegurarse de usar las directrices de seguridad proporcionadas junto con las aplicaciones de software que adquiera de Microsoft o de otro proveedor.
El desarrollo y mantenimiento de aplicaciones seguras, independientemente de si estn basadas en Internet o en Windows, es un paso importante para las tareas de cumplimiento del Estndar PCI DSS que realice. Concretamente, estas soluciones de tecnologa le permiten cumplir el requisito 6.
Para obtener el texto completo de este requisito, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft ofrece orientacin y herramientas especficas para el desarrollo de aplicaciones seguras. Tambin ofrece directrices especficas para usar sus productos de servidor principales de forma segura.
Microsoft Visual Studio 2005: Visual Studio 2005 proporciona una serie de herramientas que permiten que sus desarrolladores comprueben el cdigo para las infracciones de seguridad durante la etapa de desarrollo: o FxCop comprueba el cdigo administrado en caso de defecto, incluidos los defectos de seguridad. o PREfast es una herramienta esttica de anlisis del cdigo de C y C++. Puede ayudar a sus desarrolladores a que detecten una serie de problemas de seguridad. o El Lenguaje de Anotacin Estndar puede ayudar a los desarrolladores a detectar errores de seguridad que podran pasar inadvertidos para los compiladores del cdigo de C o C++. o A la hora de compilar cdigo no administrado escrito en C o C++, los desarrolladores deben compilarlo siempre con la funcin de deteccin de saturacin de la pila /GS y vincular el cdigo a la opcin /SafeESH. o Los desarrolladores de RPC deben compilar su cdigo con el marcador MIDL /robust especificado. El ciclo de vida de desarrollo de seguridad sugiere que use herramientas como FxCop, PREfast y la opcin GS del compilador de C++ para asegurarse de que el cdigo se ejecuta sin comprometer aspectos conocidos de la seguridad. Para obtener ms informacin, consulte la pgina principal de Visual Studio (en ingls) en http://msdn2.microsoft.com/en-us/vstudio/default.aspx.
Intelligent Application Gateway (IAG) 2007 de Microsoft: como parte de Microsoft Forefront Network Edge Security, IAG proporciona una VPN de capa de sockets seguros (SSL), un firewall de aplicaciones web y una administracin de la seguridad de extremos que habilita el control de acceso, la autorizacin y la inspeccin de contenidos en una amplia variedad de aplicaciones de lnea de negocio. En conjunto, estas tecnologas proporcionan a los trabajadores mviles y remotos un acceso fcil, flexible y seguro desde una amplia gama de dispositivos y ubicaciones, incluidos los quioscos multimedia, los equipos de escritorio y los dispositivos mviles. IAG tambin permite que los administradores de TI exijan el cumplimiento de las directrices de uso de la informacin y de las aplicaciones a travs de una directiva de acceso remoto personalizado basada en dispositivos, usuarios, aplicaciones u otros criterios empresariales. Entre los beneficios principales, se incluyen los siguientes: o Una combinacin nica de acceso basado en SSL VPN, proteccin integrada de las aplicaciones y administracin de la seguridad de extremos; o Un firewall de aplicaciones web eficiente que ayuda a mantener fuera el trfico malintencionado y la informacin confidencial dentro; o Una menor complejidad a la hora de administrar el acceso seguro y proteger los activos de la empresa con una plataforma completa y fcil de usar; o Interoperabilidad con la infraestructura principal de las aplicaciones de Microsoft, con los sistemas empresariales de terceros y con herramientas internas personalizadas. Para obtener ms informacin, consulte Informacin general acerca del producto Intelligent Application Gateway 2007 (en ingls) en http://www.microsoft.com/forefront/edgesecurity/iag/overview.mspx.
Directrices
Cdigo de ciclo de vida del desarrollo de seguridad: si su organizacin decide desarrollar algunas soluciones propias para controlar los datos de los titulares de tarjetas, debe considerar que los desarrolladores usen el cdigo de ciclo de vida del desarrollo de seguridad desarrollado en Microsoft. Es un enfoque completo para el desarrollo
de aplicaciones web y de escritorio seguras que sirvan para organizaciones que procesen y almacenen informacin confidencial, como los datos de titulares de tarjetas. El cdigo de ciclo de vida del desarrollo de seguridad comienza con la planeacin de aplicaciones seguras, garantiza que se usan tcnicas de codificacin seguras e incluye la prueba e implementacin de aplicaciones de forma segura una vez completado el desarrollo. Para obtener ms informacin, consulte Anlisis del cdigo de ciclo de vida del desarrollo de seguridad en Microsoft (en ingls) en http://msdn.microsoft.com/msdnmag/issues/05/11/SDL/.
Cumplimiento de directrices de seguridad de productos: Microsoft ofrece directrices de seguridad para algunos de sus productos de software. Las directrices de seguridad para Exchange Server, Systems Management Server y SQL Server son de especial inters para las organizaciones medianas y grandes. Para obtener informacin acerca de directrices de seguridad para estos productos, consulte la seccin sobre seguridad de aplicaciones de la Gua de planeacin de cumplimiento normativo (en ingls).
Mensajera y colaboracin Para cumplir con los requisitos del Estndar PCI DSS, debe garantizar que el software de mensajera y colaboracin que usa su organizacin est configurado e instalado de forma segura. Las aplicaciones de mensajera y colaboracin se han convertido en herramientas fundamentales dentro de la industria de las tarjetas de pago, por lo que es esencial que haga todo lo que est en su mano para asegurarse de que los documentos y mensajes de correo electrnico que puedan contener datos de titulares de tarjetas estn seguros.
Entre los mtodos comunes para ayudar a evitar infracciones de seguridad de la mensajera, se encuentran las puertas de enlace de mensajera, los servidores de mensajera seguros y la filtracin de contenido de mensajera. Tanto las puertas de enlace de mensajera como la filtracin de contenido de mensajera enrutan los mensajes a una aplicacin de software especializada. Esta aplicacin puede usar una gran variedad de mtodos para aislar cadenas de palabras, cadenas de nmeros, patrones de palabras y otros elementos especficos segn la forma en que fue diseada la solucin. Los mensajes que contengan esas cadenas o palabras clave se pueden poner en cuarentena hasta que se pueda comprobar la informacin sospechosa, o simplemente la solucin puede eliminar y purgar el mensaje. Estos mtodos pueden ayudarle a asegurar los datos de los titulares de tarjetas cuando se enven a travs de un mensaje de correo electrnico o de un documento en un entorno de colaboracin. Todas estas tcnicas y soluciones pueden ayudarle a cumplir con el requisito 4 del Estndar PCI DSS. Para obtener el texto completo de este requisito, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft proporciona una serie de soluciones que pueden ayudarle a asegurar el software de mensajera y colaboracin. Cada una de esas soluciones ofrece una solucin para diferentes aspectos de su empresa. Debe implementarlas de forma organizada para que queden tan pocas vulnerabilidades en la seguridad como sea posible despus de haber terminado.
Microsoft Exchange Server: al igual que con la administracin de documentos, Exchange puede ayudarle a definir soluciones eficientes para las necesidades de mensajera de su organizacin a la vez que mantiene la seguridad de los datos de los titulares de tarjetas en los mensajes de correo electrnico. Exchange Server 2007 incluye servicios de mensajera unificada, que compila el correo electrnico, correo de voz y fax que se enva a un usuario en una nica bandeja de entrada. Ofrece adems caractersticas que permiten a la organizacin aplicar reglas de retencin, funciones de deteccin e intervencin en mensajes en curso, diario flexible y realizar bsquedas de texto enriquecido en todos los buzones implementados. Para obtener ms informacin, consulte el sitio web de Microsoft Exchange Server (en ingls) en http://www.microsoft.com/exchange/default.mspx. Microsoft Forefront Security para Exchange Server: Microsoft Forefront Security para Exchange Server le ayuda a proteger la infraestructura de correo electrnico ante infecciones y tiempo de inactividad a travs de un
enfoque que hace hincapi en las defensas en niveles, la optimizacin del rendimiento y la disponibilidad de Exchange Server y el control simplificado de la administracin. o Proteccin exhaustiva: Microsoft Forefront Security para Exchange Server incluye varios motores de deteccin de empresas de seguridad lderes en el sector integrados en una nica solucin para ayudar a las empresas a proteger sus entornos de mensajera de Exchange ante virus, gusanos y correo no deseado. o Rendimiento optimizado: gracias a su estrecha integracin con Exchange Server, as como su innovador sistema de anlisis y de control del rendimiento, Forefront Security para Exchange Server ayuda a proteger los entornos de mensajera a la vez que mantiene el tiempo lmite del servidor y optimiza el rendimiento de este. o Administracin simplificada: Forefront Security para Exchange Server tambin permite a los administradores administrar fcilmente la configuracin y el funcionamiento, las actualizaciones automticas de las firmas del motor de deteccin y un sistema de generacin de informes, tanto en el nivel del servidor como de la empresa. Para obtener ms informacin, consulte la pgina sobre Microsoft Forefront (en ingls) en http://www.microsoft.com/forefront/default.mspx.
Servicios hospedados de Microsoft Exchange: los Servicios hospedados de Microsoft Exchange para la administracin y seguridad de la mensajera se componen de cuatro servicios diferentes que ayudan a las organizaciones a protegerse frente al software malintencionado a travs del correo electrnico, a satisfacer los requisitos de retencin para el cumplimiento, a cifrar los datos para mantener la confidencialidad y a mantener el acceso al correo electrnico durante y despus de las situaciones de emergencia. Los servicios se implementan en Internet mediante un modelo de software como servicio que ayuda a minimizar la inversin de capital adicional, a liberar recursos de TI para centrarse en otras iniciativas que producen valor y a mitigar los riesgos de la mensajera antes de que lleguen al firewall de la empresa. Para obtener ms informacin, consulte Servicios hospedados de Microsoft Exchange (en ingls) http://www.microsoft.com/exchange/services/default.mspx.
Information Right Management (IRM) de Microsoft Office: Office es un conjunto primordial de aplicaciones de productividad para las empresas. La caracterstica IRM de Microsoft Office puede ayudarle a que sus organizaciones controlen el acceso a la informacin confidencial, como los datos de los titular de tarjetas. En concreto, la caracterstica IRM de Office le ayuda de las siguientes formas:
o o o o o o
Evita que un destinatario con acceso a la informacin protegida reenve, copie, modifique, imprima, enve faxes o corte y pegue la informacin para su uso sin autorizacin. Evita que la informacin protegida se copie mediante la funcin Imprimir pantalla de Microsoft Windows. Proporciona informacin con el mismo nivel de proteccin a donde esta se enve. Esta caracterstica conforma la denominada "proteccin persistente". Proporciona el mismo nivel de proteccin a los datos adjuntos de correo electrnico, siempre que estos sean archivos creados con otros programas de Office, como Excel o Word. Protege la informacin contenida en los mensajes de correo electrnico o documentos con fecha de expiracin, de modo que la informacin no se pueda ver hasta pasado un perodo de tiempo determinado. Aplica las directivas corporativas que determinan el uso y la difusin de la informacin dentro y fuera de la compaa.
La caracterstica IRM de Office est integrada en la plataforma de los Servicios de Microsoft Windows Rights Management. Para habilitar esta caracterstica en Office, debe adquirir licencias de servidor RMS. Para obtener ms informacin, consulte el sitio web de Microsoft Office (en ingls) en http://office.microsoft.com/en-us/default.aspx.
Information Rights Management (IRM) de Microsoft Windows SharePoint Services: al igual que con las soluciones de administracin de documentos, IRM de SharePoint Services puede ayudarle a hacer que sus soluciones de colaboracin cumplan con los requisitos del Estndar PCI DSS. Esta tecnologa le permite crear un conjunto persistente de controles de acceso que estn asociados con el contenido en lugar de con una ubicacin de red especfica, lo que le ayudar a controlar el acceso a los archivos incluso despus de que ya no estn bajo su control directo. IRM est disponible para archivos que se encuentran en bibliotecas de documentos y que estn almacenados como datos adjuntos a los elementos de lista. Los administradores de sitio pueden decidir proteger las descargas desde una biblioteca de documentos con IRM. Cuando un usuario intenta descargar un archivo desde una biblioteca, Windows SharePoint Services comprueba que el usuario tenga los permisos necesarios del archivo y emite una licencia para el usuario que permite el acceso al archivo en funcin del nivel de permiso correspondiente. A continuacin, Windows SharePoint Services descarga el archivo en el equipo del usuario en un formato de archivo cifrado y administrado a partir de derechos. La caracterstica IRM de Office est integrada en la plataforma de los Servicios de Microsoft Windows Rights Management. Para habilitar esta caracterstica en Office, debe adquirir licencias de servidor RMS. Para obtener ms informacin, consulte el sitio web Productos y tecnologas de Microsoft SharePoint (en ingls) en http://go.microsoft.com/fwlink/?linkid=12632.
Clasificacin y proteccin de datos Las soluciones de clasificacin y proteccin de datos son elementos centrales para el correcto cumplimiento de los requisitos del Estndar PCI DSS y el mantenimiento seguro de los datos de titulares de tarjetas. Estas soluciones tratan la forma de aplicar niveles de clasificacin de la seguridad en los datos de titulares de tarjetas de un sistema o aquellos que estn en transmisin. Esta categora de soluciones tambin comprende la proteccin de los datos en cuanto que ofrecen confidencialidad e integridad tanto de los datos que estn almacenados como de los que se estn transmitiendo. Las soluciones de cifrado constituyen el mtodo ms habitual usado por las organizaciones para proporcionar proteccin de datos.
Las soluciones de clasificacin y proteccin de datos le ayudan a cumplir con los requisitos del Estndar PCI DSS mediante la proteccin de los datos de los titulares de tarjeta cuando estn almacenados en una base de datos, se estn transmitiendo de un servidor a otro o se estn transmitiendo a una red cuando un titular de tarjeta realiza una compra. El uso de estas soluciones le permiten cumplir con los requisitos 3 y 7 del Estndar PCI DSS. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft ofrece una serie de tecnologas que le pueden ayudar a clasificar y proteger los datos de los titulares de tarjetas, independientemente de si se estn transmitiendo por su red, si estn almacenados en un documento del equipo de un empleado o si estn almacenados en una base de datos. Estas recomendaciones son:
Cifrado de unidad BitLocker: el Cifrado de unidad BitLocker le ayuda a proteger los datos de los titulares de tarjetas mediante el cifrado de la unidad y la comprobacin de la integridad de los componentes que primero se ejecutan en el arranque. El cifrado de unidad protege los datos evitando que los usuarios no autorizados traspasen la proteccin del sistema y de los archivos de Windows en equipos perdidos o robados. Ese grado de proteccin se alcanza mediante el cifrado de todo el volumen de Windows. Con BitLocker, se cifran todos los archivos de usuario y de sistema, incluidos los archivos de intercambio e hibernacin. La comprobacin de la integridad de los componentes que primero se ejecutan en el arranque ayuda a asegurar que el descifrado de los datos se realice exclusivamente si esos componentes aparecen como intactos y que la unidad cifrada se encuentre en el equipo
original. BitLocker est disponible en Windows Vista Enterprise y Windows Vista Ultimate, as como en Windows Server Longhorn. Para obtener ms informacin, consulte Cifrado de unidad BitLocker: resumen ejecutivo (en ingls) en http://technet.microsoft.com/en-us/windowsvista/aa906018.aspx.
Sistema de cifrado de archivos (EFS) de Windows: EFS proporciona la principal tecnologa de cifrado de archivos usada para almacenar archivos cifrados en volmenes de sistema de archivos NTFS. Despus de cifrar un archivo o carpeta, trabaja con el archivo o la carpeta que se han cifrado igual que lo hara con cualquier otro archivo o carpeta. El cifrado es transparente para el usuario que ha cifrado el archivo. Esto quiere decir que no tiene que descifrar manualmente ningn archivo cifrado antes de poder usarlo. Puede abrir y cambiar el archivo de la misma forma que lo hace normalmente. El uso de EFS es similar al de los permisos en archivos y carpetas. Los dos mtodos se pueden usar para restringir el acceso a datos. Sin embargo, un intruso que obtenga acceso fsico no autorizado a sus archivos o carpetas cifrados no podr leerlos. Un intruso que intente abrir o copiar sus carpetas o archivos cifrados recibe un mensaje de acceso denegado. Los permisos en archivos o carpetas no protegen de ataques fsicos no autorizados. Para obtener ms informacin, consulte Informacin general acerca del Sistema de cifrado de archivos (en ingls) en http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/enus/encrypt_overview.mspx?mfr=true o Sistema de cifrado de archivos (en ingls) en http://www.microsoft.com/windows/products/windowsvista/features/details/encryptingfilesystem.mspx.
Servicios de Microsoft Windows Rights Management: los Servicios de Microsoft Windows Rights Management (RMS) son una plataforma de software que facilita a las aplicaciones la proteccin de los datos de titulares de tarjetas ante el uso no autorizado (tanto en lnea como sin conexin, fuera y dentro del firewall). RMS mejora la estrategia de seguridad de una organizacin mediante la proteccin de la informacin a travs de directivas de uso persistentes, que se mantienen con la informacin independientemente de donde esta vaya. Las aplicaciones con RMS habilitado se pueden usar para administrar, controlar y auditar el acceso a los documentos que contienen informacin del titular de la tarjeta. El cliente RMS est integrado en el sistema operativo de Windows Vista. Para otras versiones de Windows, el cliente RMS est disponible como descarga gratuita. Para obtener ms informacin, consulte Servicios de Microsoft Windows Rights Management (en ingls) en http://www.microsoft.com/rms.
Cifrado en Microsoft SQL Server: cuando almacena datos de titulares de tarjetas en SQL Server, se cifran los datos con una infraestructura de cifrado jerrquico y de administracin de claves. Cada capa cifra la capa inferior mediante una combinacin de certificados, claves asimtricas y claves simtricas. Existe una clave maestra para SQL Server y una clave independiente para cada base de datos en esa instancia de SQL Server. De esta forma, se proporciona seguridad al almacenamiento de datos de titulares de tarjetas de su organizacin. Para obtener ms informacin, consulte la pgina sobre Microsoft SQL Server (en ingls) en http://www.microsoft.com/sql/default.mspx.
Administracin de identidades La administracin de identidades es otro elemento importante a la hora de cumplir con el Estndar PCI DSS. Las soluciones de administracin de identidades le permiten limitar el personal que podr tener acceso, procesar y transmitir datos de titulares de tarjetas. Su organizacin puede usar dichas soluciones de administracin de identidades para ayudar a administrar los permisos e identidades digitales de sus empleados, clientes y asociados.
El uso de soluciones de administracin de identidades le pueden permitir cumplir con el requisito 8 del Estndar PCI DSS ayudndole a crear y asignar un identificador nico a cada persona de la organizacin que tenga acceso a un equipo. Estas soluciones tambin pueden ayudarle a restringir el acceso a datos de los titulares de tarjetas basado en ese identificador nico, lo que constituye la base del requisito 7 del Estndar PCI DSS. Para obtener el texto completo de este requisito, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft proporciona numerosas tecnologas para ayudarle a cumplir con los requisitos de administracin de identidades de su organizacin.
Microsoft Active Directory: Active Directory es compatible con una serie de tcnicas que le ayudan a controlar el personal que puede tener acceso a datos de los titulares de tarjetas, tanto dentro como fuera de la red. En primer lugar, Active Directory es compatible con la autenticacin Kerberos, una de las tcnicas de autenticacin de Windows predeterminadas. Kerberos proporciona autenticacin de usuario segura con un estndar del sector que permite la interoperabilidad. El controlador de dominio de Active Directory mantiene la informacin de inicio de sesin y de cuentas de usuario para ser compatible con el servicio Kerberos. En segundo lugar, Active Directory es compatible con la autenticacin de tarjeta inteligente. Puede exigir que los usuarios y administradores remotos de sistemas que contengan datos de titulares de tarjetas usen una tarjeta inteligente y un nmero de identificacin personal para obtener acceso a la red. En tercer lugar, Active Directory es compatible con las credenciales mviles, un servicio que permite a los usuarios que tienen que usar varios equipos el uso de las mismas credenciales en esos equipos. En cuarto lugar, Active Directory permite que su organizacin personalice los proveedores de credenciales que usa para autenticar a los usuarios. Estas caractersticas pueden ayudarle a controlar la forma en que las cuentas de Active Directory puedan tener acceso a datos de los titulares de tarjetas y las cuentas que le proporcionan acceso a esos datos. Para obtener ms informacin, consulte el centro de tecnologa de Active Directory de Windows Server 2003 (en ingls) en http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx.
Servicios de federacin de Active Directory de Microsoft: con los Servicios de federacin de Active Directory (ADFS), puede crear soluciones de administracin de identidades que van ms all de los lmites tradicionales de su bosque de Active Directory. Mediante la implementacin de ADFS, su organizacin puede ampliar su infraestructura de Active Directory existente para proporcionar acceso a recursos ofrecidos por asociados de confianza en Internet. Estos asociados de confianza pueden incluir terceros externos, otros departamentos o subsidiarias de la misma organizacin. ADFS est altamente integrado en Active Directory. ADFS recupera atributos de usuario de Active Directory y autentica usuarios con Active Directory. ADFS tambin usa la autenticacin integrada de Windows. ADFS est disponible en los sistemas operativos Windows Server 2003 R2 y Windows Server Longhorn. Para obtener ms informacin, consulte Informacin general acerca de los Servicios de federacin de Active Directory (ADFS) en Windows Server 2003 R2 (en ingls) en http://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx.
Microsoft Identity Lifecycle Manager: Microsoft Identity Lifecycle Manager (ILM) simplifica el proceso de coincidencias y administracin de los registros de identidad de repositorios de datos dispares y evita anomalas, como los registros activos de empleados que se han marchado de la organizacin. ILM proporciona a la organizacin un marco de directiva para controlar y realizar un seguimiento de los datos de identidad y acceso que ayudan a administrar el cumplimiento. Tambin incluye herramientas de autoayuda para usuarios finales, lo que permite que su departamento de TI mejore la eficiencia mediante la delegacin segura de muchas tareas en usuarios finales. Otra caracterstica clave de ILM es que incluye una solucin de administracin de certificados basada en Windows que se integra con el sistema operativo Windows Server 2003 y con Active Directory para
proporcionar una solucin de puesta a punto para la administracin del ciclo de vida completo de las tarjetas inteligentes y de los certificados digitales de la entidad de certificacin de Windows Server 2003. ILM brinda a su organizacin las siguientes ventajas:
o
Sincronizacin de la informacin de identidad en una gran variedad de almacenes de identidades heterogneos en directorios u otras ubicaciones. Esto le permite automatizar el proceso de actualizacin de la informacin de identidad en plataformas dispares al tiempo que mantiene la integridad y la propiedad de los datos a travs de la empresa. Provisin y eliminacin de cuentas de usuario e informacin de identidad como distribucin, cuentas de correo electrnico y grupos de seguridad a travs de sistemas y plataformas. Se pueden crear nuevas cuentas para empleados de forma rpida en funcin de los eventos o los cambios de los almacenes de autoridad, como el sistema de recursos humanos. Adems, cuando los empleados se marchan de la compaa, se les puede excluir inmediatamente de tales sistemas. Administracin de certificados y tarjetas inteligentes. ILM incluye una solucin basada en directivas y en el flujo de trabajo que permite que las organizaciones administren fcilmente el ciclo de vida de los certificados digitales y de las tarjetas inteligentes. ILM maximiza los Servicios de Active Directory y los servicios de certificados de Active Directory para entregar certificados digitales y tarjetas inteligentes, con flujo de trabajo automatizado para administrar el ciclo de vida completo de las credenciales basadas en certificados. ILM reduce de forma significativa los costos asociados a los certificados digitales y a las tarjetas inteligentes permitiendo que las organizaciones implementen, administren y mantengan la infraestructura basada en certificados de una forma ms eficiente. Tambin simplifica el aprovisionamiento, la configuracin y la administracin de certificados digitales, al tiempo que aumenta la seguridad a travs de una slida tecnologa de autenticacin multifactor.
Para obtener ms informacin, consulte la pgina principal de Microsoft Identity Lifecycle Manager (en ingls) en http://www.microsoft.com/windowsserver/ilm2007/default.mspx.
Microsoft SQL Server: puede usar el servidor SQL Server junto con otras tecnologas para crear soluciones de administracin de identidades. Use bases de datos de SQL Server para almacenar informacin de nombre de usuario y contrasea, as como para asignar certificados a cuentas de usuario y otras soluciones. Puede usar el servidor SQL Server junto con ILM de Microsoft, Active Directory, directivas de grupo y listas de control de acceso para restringir el acceso de los usuarios a los datos de los titulares de tarjetas almacenados en otra base de datos, en documentos o en directorios. Para obtener ms informacin, consulte la pgina sobre Microsoft SQL Server (en ingls) en http://www.microsoft.com/sql/default.mspx.
Caractersticas de compatibilidad con sistemas operativos
Infraestructura de clave pblica: una infraestructura de clave pblica (PKI) es un sistema de certificados digitales, entidades de certificacin (CA) y otras entidades de registro que comprueban y autentican la validez de cada parte que interviene en una transaccin electrnica mediante el uso de criptografa de clave pblica. Esta infraestructura le permite asegurar e intercambiar datos de titular de tarjeta con un nivel alto de seguridad en Internet, extranets, intranets y aplicaciones. La compatibilidad de PKI est disponible en Windows Server 2000, Windows XP Professional, Windows Server 2003, Windows Vista y Windows Server Longhorn. Para obtener ms informacin, consulte Infraestructura de clave pblica para Windows Server 2003 (en ingls) en http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx.
Autenticacin, autorizacin y control de acceso
La autenticacin es el proceso de identificacin de un usuario. En entornos de TI, la autenticacin suele incluir un nombre de usuario y una contrasea, aunque tambin puede implicar otros mtodos para demostrar la identidad, como el uso de tarjetas inteligentes, exmenes de retina, reconocimiento de voz o el anlisis de las huellas dactilares. La autorizacin se centra en determinar si a la identidad autenticada se le permite el acceso a los recursos solicitados. Puede decidir otorgar o denegar el acceso en funcin de una serie de criterios, como la direccin de red del cliente, la hora del da o el explorador que use esa persona. A la hora de planear una estrategia de autenticacin, autorizacin y control de acceso, tambin debe desarrollar una estrategia para otorgar permisos de cuenta de usuario a todos los recursos de su red. Para obtener ms informacin, consulte Aplicacin del principio de privilegios mnimos a cuentas de usuarios en Windows XP.
La autenticacin, la autorizacin y el control de acceso son partes clave de su estrategia de seguridad de los datos de titulares de tarjetas, especialmente en combinacin con las soluciones de clasificacin y proteccin de datos y de administracin de identidades. En este contexto, la autenticacin, la autorizacin y el control de acceso pueden ayudar a que su organizacin cumpla con los requisitos 6, 7 y 8 del Estndar PCI DSS. Para obtener el texto completo de cualquiera de estos requisitos, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft ofrece varias tecnologas que pueden ayudarle a crear e integrar estrategias de autenticacin, autorizacin y control de acceso en su solucin completa de cumplimiento del Estndar PCI DSS.
Microsoft Active Directory: gran parte del servicio de Active Directory en Microsoft Windows 2000 Server, Windows Server 2003 y Windows Server Longhorn se centra en la autenticacin, la autorizacin y el control de acceso. Por ejemplo, Active Directory es compatible con la autenticacin Kerberos, una de las tcnicas de autenticacin de Windows predeterminadas. Kerberos proporciona autenticacin de usuario segura con un estndar del sector que permite la interoperabilidad. El controlador de dominio de Active Directory mantiene la informacin de inicio de sesin y de cuentas de usuario para ser compatible con el servicio Kerberos. Adems, Active Directory es compatible con la autenticacin de tarjetas inteligentes. Puede exigir que los usuarios y administradores remotos de sistemas que contengan datos de titulares de tarjetas usen una tarjeta inteligente y un nmero de identificacin personal para obtener acceso a la red. Active Directory es compatible con las credenciales mviles, un servicio que permite a los usuarios que tienen que usar varios equipos el uso de las mismas credenciales en esos equipos. Con Active Directory, su organizacin tambin puede personalizar los proveedores de credenciales que usa para autenticar a los usuarios. Adems, Active Directory le permite delegar tareas administrativas en la organizacin. Estas caractersticas pueden ayudarle a controlar la forma en que permite que las cuentas de Active Directory puedan obtener acceso a datos de los titulares de tarjetas y a las cuentas que le proporcionan acceso a esos datos. Para obtener ms informacin, consulte el centro de tecnologa de Active Directory de Windows Server 2003 (en ingls) en http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx.
Servicio de autenticacin de Internet de Microsoft: el Servicio de autenticacin de Internet (IAS) es la implementacin de Microsoft de un servidor y un proxy de Servicio de autenticacin remota telefnica de usuario (RADIUS). Como servidor RADIUS, IAS lleva a cabo tareas de informacin, autorizacin y autenticacin con conexin centralizada de muchos tipos de acceso de red, incluidas las conexiones inalmbricas y VPN. Como proxy RADIUS, IAS reenva mensajes de autenticacin e informacin a otros servidores RADIUS. Al hacer esto, IAS lleva a cabo pasos de autenticacin para conexiones remotas antes de que lleguen a la red de la organizacin. Con las credenciales que el usuario facilit para conectarse remotamente, puede autorizarlo para que tenga acceso slo a los recursos de la red que necesite para realizar su trabajo.
Para obtener ms informacin, consulte Servicio de autenticacin de Internet (en ingls) en http://www.microsoft.com/technet/network/ias/default.mspx.
Uso de listas de control de acceso para otorgar permisos de recurso: una lista de control de acceso (ACL) es un mecanismo usado por los sistemas operativos a partir de Microsoft Windows NT para proteger recursos como archivos y carpetas. Las ACL contienen varias entradas de control de acceso (ACE) que asocian una entidad de seguridad (normalmente una cuenta de usuario o un grupo de cuentas) con una regla que regula el uso del recurso. Las ACL y las ACE otorga a su organizacin la posibilidad de permitir o denegar derechos sobre recursos en funcin de los permisos que pueda asociar a cuentas de usuario. Por ejemplo, puede crear una ACE y aplicarla a la ACL de un archivo para prohibir a todos los usuarios, salvo a un administrador, la lectura del archivo. Debe usar esta tecnologa como parte de la solucin de administracin de identidades ms amplia, pero sigue siendo una buena alternativa para limitar el acceso a datos de titulares de tarjetas exclusivamente a las personas con una necesidad empresarial. Para obtener ms informacin, consulte Informacin general acerca de la tecnologa ACL (en ingls) en http://msdn2.microsoft.com/en-us/library/ms229742.aspx.
Firewall de Windows en Microsoft Windows Vista y Windows Server Longhorn: como se ha comentado anteriormente, Firewall de Windows en Windows Vista y Windows Server Longhorn puede ayudarle a proteger sus sistemas y redes ante ataques malintencionados. Tambin puede ayudarle a controlar los usuarios, equipos y grupos que pueden tener acceso a los recursos de un equipo o dominio. Cuando use Firewall de Windows con seguridad avanzada, puede crear reglas que filtren las conexiones de los usuarios, equipos y grupos de Active Directory. Para crear este tipo de reglas, debe asegurar la conexin con IPsec usando credenciales que portan informacin de cuenta de Active Directory, como Kerberos versin 5. Para obtener ms informacin, consulte Firewall de Windows (en ingls) en http://www.microsoft.com/technet/network/wf/default.mspx.
Para obtener vnculos a informacin conceptual y guas de planeacin acerca de la autenticacin, la autorizacin y el control de acceso, consulte la seccin sobre autenticacin, autorizacin y control de acceso de la Gua de planeacin de cumplimiento normativo (en ingls). Identificacin de vulnerabilidades Las soluciones de identificacin de vulnerabilidades proporcionan herramientas que su organizacin puede usar para ayudarle a probar las vulnerabilidades de los sistemas de informacin. El personal de TI de la empresa debe ser consciente de las vulnerabilidades del entorno de TI antes de que puedan abordarlas de forma eficiente. Tambin forma parte de la identificacin de vulnerabilidades la capacidad de restaurar datos que se perdieron accidentalmente debido a un error de usuario.
Las soluciones para las vulnerabilidades permiten que la organizacin cumpla con el requisito 11 del Estndar PCI DSS, mediante pruebas frecuentes de los sistemas y procedimientos de seguridad. Para obtener el texto completo de este requisito, consulte el Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1. (en ingls).
Microsoft ofrece soluciones que le ayudan a disear soluciones de identificacin de vulnerabilidades para cumplir con los requisitos del Estndar PCI DSS.
Microsoft Baseline Security Analyzer (MBSA): como en la evaluacin de riesgos a la hora de disear diversos controles de proteccin de datos de titulares de tarjetas, MBSA le permite examinar peridicamente las vulnerabilidades que pueden comprometer la seguridad de estos datos. Puede usar MBSA para localizar configuraciones incorrectas de seguridad comunes en una serie de productos de Microsoft, incluidos el sistema operativo de Windows, Internet Information Services, SQL Server, Internet Explorer y Microsoft Office. MBSA tambin detecta las actualizaciones de seguridad, los paquetes acumulativos de actualizaciones y los service packs que faltan con respecto a los publicados en Microsoft Update. Puede ejecutar MBSA desde el smbolo del sistema o en una GUI, as como usarlo con Microsoft Update y Windows Server Update Services. Mantener actualizados los sistemas es una forma muy importante de asegurar los datos de titulares de tarjetas en la mayor medida posible, por lo que MBSA puede ser una herramienta muy valiosa a la hora de determinar si las instalaciones de productos han generado vulnerabilidades en estos datos a lo largo del tiempo. Para obtener ms informacin, consulte el artculo sobre Microsoft Baseline Security Analyzer (en ingls) en http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Supervisin, auditora y generacin de informes Las soluciones de supervisin y generacin de informes recopilan y auditan registros derivados de la autenticacin y del acceso a sistemas. Puede disear estas soluciones para recopilar informacin especfica en funcin del Estndar PCI DSS o usar registros existentes integrados en sistemas operativos o paquetes de software. Una subcategora de la supervisin y la generacin de informes es la recopilacin, el anlisis y la correlacin de todos los datos registrados en la organizacin. A veces, esto se realiza a travs de una solucin similar a un panel, en la que puede analizar mejor los diversos datos recopilados en la organizacin. Este tipo de solucin permite que la administracin de TI determine ms eficazmente si hay una correlacin entre eventos.
Las soluciones de supervisin, auditora y generacin de informes pueden ayudarle a cumplir con el requisito 10 del Estndar PCI DSS para seguir y supervisar todos los accesos a los recursos de red y a los datos de los titulares de tarjetas.
Microsoft ofrece una serie de tecnologas que le permiten supervisar el acceso a redes y a los datos de los titulares de tarjetas.
Recopilacin de auditoras de Microsoft System Center Operations Manager: Operations Manager 2007 puede extraer y recopilar de forma segura y eficaz los registros de seguridad de sistemas operativos de Windows y almacenarlos para su anlisis y notificacin posterior. Los registros extrados se almacenan en una base de datos de recopilacin de auditoras independiente. Operations Manager enviar los informes que se pueden usar para los datos de la recopilacin de auditoras. La recopilacin de auditoras se puede usar para generar distintos informes de cumplimiento, como las auditoras de la normativa Sarbanes-Oxley. La recopilacin de auditoras se puede usar tambin para los anlisis de seguridad, como la deteccin de intrusiones y los intentos de acceso no autorizado. Para obtener ms informacin, consulte el artculo sobre Audit Collection Services (en ingls) en http://technet.microsoft.com/en-us/library/bb381258.aspx.
Infraestructura de registro de eventos de Microsoft Windows Vista: las mejoras de la infraestructura de registro de eventos de Windows facilitan la administracin y supervisin del escritorio de Windows Vista y proporcionan informacin ms exacta acerca de la solucin de problemas. Unos estndares estrictos aseguran que los eventos son coherentes, aplicables y estn bien documentados. Muchos componentes que almacenaban informacin de registro en archivos de texto en versiones anteriores de Windows agregan ahora eventos al registro de eventos. Con el reenvo de eventos, los administradores pueden administrar de forma centralizada los
eventos de equipos de cualquier punto de la red, lo que facilita la identificacin activa de problemas y la correlacin de problemas que afectan a varios equipos. Por ltimo, se ha vuelto a escribir por completo el visor de eventos para permitir que los usuarios creen vistas personalizadas a fin de asociar de una forma sencilla los eventos con tareas y ver de forma remota registros de otros equipos. Esta aportacin hace ms prctico para los administradores el uso del registro de eventos para solucionar problemas de los usuarios. Para obtener ms informacin, consulte Caractersticas de administracin de Windows Vista (en ingls) en http://technet.microsoft.com/en-us/windowsvista/aa905069.aspx.
Microsoft SQL Server: SQL Server Reporting Services es una completa solucin basada en servidor que permite crear, administrar y suministrar informes tradicionales destinados a su impresin en papel e informes interactivos basados en Web. Como parte integrada del marco de Microsoft Business Intelligence, Reporting Services combina la administracin de datos de SQL Server y Microsoft Windows Server con las conocidas y eficaces aplicaciones de Microsoft Office System para suministrar informacin en tiempo real con objeto de admitir operaciones diarias y fundamentar la toma de decisiones. Puede usar estos servicios para generar informes que analicen los datos de los titulares de tarjetas y realizar un seguimiento de los cambios en tales datos. Tambin puede usar servicios de generacin de informes para supervisar de una forma sencilla los patrones de uso de red y el flujo de informacin. Para obtener ms informacin, consulte la pgina sobre Microsoft SQL Server (en ingls) en http://www.microsoft.com/sql/default.mspx.
Listas de control de acceso del sistema NTFS: su organizacin puede usar listas de control de acceso del sistema NTFS (SACL) en archivos y directorios para ayudarle a seguir los cambios de esos archivos y carpetas de un sistema. Cuando establece una SACL en un archivo o una carpeta, cada vez que un usuario realice una accin en esa archivo o carpeta, la SACL hace que el sistema operativo de Windows registre la accin, as como la persona que la realiz. No puede establecer listas SACL en sistemas que tienen el sistema de archivos FAT, por lo que su organizacin debe usar el formato del sistema de archivos NTFS en todos los volmenes que almacenan datos de los usuarios y de los titulares de tarjetas. Para obtener ms informacin, consulte Administracin de parmetros y datos de usuario (en ingls) en http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpusrdat.mspx.
Administracin de soluciones de tecnologa del Estndar PCI DSS Aunque los productos de administracin no ayudan a que su organizacin cumpla con los requisitos especficos del Estndar PCI DSS, s que pueden ayudarle a realizar un seguimiento de los controles de TI que haya implementado por razones de cumplimiento. A la hora de crear un marco para los controles de TI, siempre es importante poder administrar de forma centralizada esos controles desde el menor nmero posible de escritores de administradores.
Microsoft le ofrece dos herramientas principales para la administracin del marco de los controles de TI para cumplir con los requisitos del Estndar PCI DSS y otros requisitos normativos.
Microsoft Forefront: Microsoft Forefront es un conjunto de aplicaciones de productos de seguridad de lnea de negocio que proporcionan proteccin para los sistemas operativos cliente, los servidores de aplicaciones y la red al completo. Puede usar Forefront con la infraestructura de TI que tenga para proteger lo servidores y los equipos cliente ante malware y otros ataques malintencionados a travs de una integracin sencilla con las servidores de aplicaciones como Exchange, SharePoint y el servicio de mensajera instantnea. Forefront tambin incluye integracin incorporada con Active Directory y usa ISA Server para trabajar con Active Directory para ser compatible con RADIUS, DHCP y el uso de tarjetas inteligentes. Asimismo, Forefront proporciona una
herramienta de administracin centralizada para una ubicacin central de informe junto con una ubicacin centralizada para establecer medidas de control de directivas. Para obtener ms informacin, consulte la pgina sobre Microsoft Forefront (en ingls) en http://www.microsoft.com/forefront/default.mspx.
Microsoft System Center: Microsoft System Center es una familia de productos de administracin destinada a proporcionar las herramientas que necesite su organizacin para automatizar la administracin del sistema. System Center incluye tecnologas que ayudan a automatizar las tareas de administracin ms comunes y tambin proporciona herramientas que ayudan a los profesionales de TI a detectar, diagnosticar y corregir problemas en el entorno informtico. Concretamente, System Center proporciona productos que realizan las siguientes funciones: o Supervisin del hardware y el software en un entorno distribuido para detectar problemas y, a continuacin, aportacin de las herramientas para arreglar esos problemas. o Automatizacin del proceso de instalacin, actualizacin y aplicacin de revisiones de software. o Aportacin de implementaciones de procesos estndar para la administracin de sistemas. o Control de las copias de seguridad y de la restauracin de los datos de servidor de archivos de Windows. o Tratamiento de los requisitos de supervisin y configuracin de las organizaciones ms pequeas. o Administracin de mquinas virtuales. Dado que un hardware ms rpido permite la ejecucin de un mayor nmero de aplicaciones en cada equipo, las organizaciones cada vez usan ms la virtualizacin para aislar esas aplicaciones. o Ajuste del tamao de las instalaciones mediante la aportacin de herramientas para la estimacin de los recursos necesarios. Para obtener ms informacin, consulte la pgina sobre Microsoft System Center (en ingls) en http://www.microsoft.com/systemcenter/default.aspx.
Resumen En esta seccin, se describen soluciones de tecnologa que su organizacin puede usar para conseguir y mantener el cumplimiento del Estndar PCI DSS. Se analizan las razones de la importancia de estas soluciones y se ofrecen vnculos para la orientacin y la tecnologa de Microsoft que puede ayudar a que la organizacin alcance el cumplimiento normativo. El efecto de la implementacin de esas soluciones no slo ayuda a proporcionar estndares de seguridad y cumplimiento para su entorno de TI, sino que tambin tiene un efecto positivo sobre los procesos empresariales de su organizacin. Antes de implementar alguna de las soluciones identificadas, asegrese de recibir asesoramiento legal de sus asesores jurdicos y auditores acerca de las necesidades nicas de cumplimiento del Estndar PCI DSS y considere con detenimiento la repercusin de esas aplicaciones sobre toda la organizacin, no slo en materia de cumplimiento. Microsoft trabaja por ofrecer estudios y soluciones ms exhaustivas para el Estndar PCI DSS y otros tipos de cumplimiento normativo. No obstante, tambin puede realizar una bsqueda pblica para adquirir ms informacin acerca de este complejo e importante asunto. Top Of Page
Apndices
Esta seccin contiene preguntas que suelen hacer los clientes acerca de las soluciones de tecnologa de Microsoft y de su idoneidad para cumplir con los requisitos del Estndar PCI DSS. Tambin contiene una tabla de las soluciones de tecnologa que pueden ayudar a su organizacin a cumplir esos requisitos. Preguntas ms frecuentes P: Por qu debe mi organizacin esforzarse por cumplir con el Estndar de seguridad de datos en la industria de tarjetas de pago? No se trata de otro estndar intil y caro?
R: Las razones por las que la organizacin debe cumplir con el Estndar PCI DSS son tres. La primera, porque las marcas de tarjetas como Visa se han comprometido a ofrecer incentivos financieros por el cumplimiento del Estndar e imponer sanciones si no se cumple. La segunda, porque el cumplimiento de este estndar puede ayudar a reducir las responsabilidades en casos de prdidas de datos. La tercera, porque mediante un anlisis detallado y el diseo adecuado de sus sistemas, el proceso le puede ayudar realmente a seguir los datos del cliente y, por lo tanto, a mejorar el servicio y la satisfaccin del cliente. P: Exagera Microsoft la idoneidad de sus soluciones con respecto al cumplimiento del Estndar PCI DSS? R: La situacin de cada organizacin es distinta y esta gua pretende ser lo ms completa posible. Microsoft puede desarrollar una orientacin especfica para segmentos verticales del sector. Tambin se puede poner en contacto con el representante de ventas de Microsoft y plantearle su consulta. Como se ha afirmado anteriormente, puede obtener mejores resultados empresariales si considera este proceso, no como un simple proyecto de cumplimiento, sino como una forma de mejorar sus procesos de seguimiento y administracin de la informacin del cliente. P: Este documento describe muchas tecnologas que ayudan a cumplir con el Estndar PCI DSS , pero pocas soluciones de cumplimiento. Por qu? R: Cada situacin es nica y, por lo tanto, no se puede presentar una sola solucin ideal para todos. Microsoft se compromete a ofrecer a su organizacin informacin ms detallada, como se ha mencionado en el resumen. P: Qu puede hacer Microsoft para ayudar a mi organizacin a obtener la certificacin del Estndar PCI DSS? R: Microsoft puede ofrecer software y servicios que facilitan el cumplimiento de los requisitos del Estndar PCI DSS, pero no puede garantizar que su organizacin los cumplir. Como proveedor, estamos interesados en ayudar a su organizacin a cumplir con dichos requisitos, pero el cumplimiento se extiende a la organizacin, los auditores y las marcas de tarjetas con las que se trabaja. P: No implica la seccin 3.4.1 que no se pueden usar las tecnologas de proteccin de datos de Microsoft? R: No. Dicha seccin dice exactamente lo siguiente: En caso de hacer uso del cifrado de disco (en lugar de aplicar el cifrado por archivos o columnas de la base de datos), el acceso lgico se debe administrar independientemente de los mecanismos de control de acceso del sistema operativo (por ejemplo, sin usar las cuentas de sistema local o de Active Directory). Las claves de descifrado no deben estar vinculadas a las cuentas de usuario. Las tecnologas de proteccin de datos de Microsoft no vinculan las claves de descifrado a las cuentas de usuario. Por ejemplo, el Cifrado de unidad BitLocker nunca vincula las claves de descifrado (nmeros de identificacin personal ni contraseas de recuperacin) a las cuentas de usuario de Active Directory. El Sistema de cifrado de archivos (EFS) tampoco vincula las claves de descifrado a las cuentas de usuario. Su organizacin puede revocar la capacidad de una persona de descifrar un documento sin cambiar los privilegios de acceso al sistema. Para determinadas configuraciones, EFS intenta optimizar la experiencia del usuario mediante la colocacin automtica de algunas claves de descifrado en los perfiles de usuario de determinados usuarios. Sin embargo, este comportamiento se puede cambiar mediante la configuracin apropiada. Requisitos del Estndar PCI DSS y soluciones de tecnologa asociadas Requisito Requisito 1 Requisito 2 Requisito 3 Requisito 4 Secciones de la solucin de tecnologa Evaluacin de riesgos; Seguridad de red Seguridad de red Administracin de documentos; Evaluacin de riesgos; Clasificacin y proteccin de datos Evaluacin de riesgos; Mensajera y colaboracin; Clasificacin y proteccin de datos; Seguridad de red
Requisito 5 Evaluacin de riesgos; Prevencin de software malintencionado Administracin de documentos; Evaluacin de riesgos; Administracin de cambios; Control de host; Requisito 6 Prevencin de software malintencionado; Seguridad de las aplicaciones; Autenticacin, autorizacin y control de acceso Administracin de documentos; Evaluacin de riesgos; Administracin de identidades; Autenticacin, Requisito 7 autorizacin y control de acceso; Clasificacin y proteccin de datos Requisito 8 Evaluacin de riesgos; Autenticacin, autorizacin y control de acceso Requisito 9 Administracin de documentos Administracin de documentos; Administracin de cambios; Supervisin, auditora y generacin de Requisito 10 informes; Seguridad de red Requisito 11 Evaluacin de riesgos; Control de host; Identificacin de vulnerabilidades Requisito 12 Administracin de documentos Recursos adicionales Estndar de seguridad de datos en la industria de tarjetas de pago, versin 1.1 (en ingls) Gua de planeacin para el cumplimiento normativo (en ingls) Cuestionario de autoevaluacin del Estndar PCI DSS (en ingls) Procedimientos de auditora para el evaluador QSA del Estndar PCI DSS (en ingls) Procedimientos de examen para el proveedor ASV del Estndar PCI DSS (en ingls) Aplicacin del principio de privilegios mnimos a cuentas de usuario de Windows XP (en ingls) Procedimientos recomendados para delegar la administracin de Active Directory (en ingls) Servicios bancarios: descargas (en ingls)

Guía de Planeación para El Cumplimiento Del Estándar de Seguridad de Datos en La Industria de Tarjetas de Pago

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Guía de Planeación para El Cumplimiento Del Estándar de Seguridad de Datos en La Industria de Tarjetas de Pago

Загружено:

Авторское право:

Доступные форматы

Gua de planeacin para el cumplimiento del Estndar de seguridad de datos en la industria de tarjetas de pago

Introduccin Cumplimiento de los requisitos del Estndar PCI DSS Apndices

Cumplimiento de los requisitos del Estndar PCI DSS

Cumplimiento de los requisitos del Estndar PCI DSS

Caractersticas de compatibilidad con sistemas operativos

Autenticacin, autorizacin y control de acceso

Caractersticas de compatibilidad con sistemas operativos

Вам также может понравиться