El cumplimiento del estándar PCI DSS
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) es un estándar de la seguridad de la información, que fue desarrollado para proteger las operaciones financieras con el uso de tarjetas de crédito de determinadas marcas. Los principales proveedores de tarjetas de crédito, tales como Visa, MasterCard y American Express, requieren cumplir completamente el estándar PCI DSS por cualquier empresa que lleva a cabo las operaciones financieras usando sus tarjetas. El software para cumplir el estándar PCI DSS debe garantizar que el sistema esté protegido, así como, supervisar el acceso a todos los datos relacionados con tarjetas de crédito y sus propietarios.
Ekran System ® es un producto rentable y a gran escala, que ofrece la monitorización continua de las actividades de los usuarios usando los servidores y escritorios virtuales de Windows, Linux, y Citrix, y también puede requerir la autentificación adicional, permitiéndole cumplir los requisitos de PCI DSS. Ekran System registra todas las actividades del usuario en el formato de vídeo avanzado adjuntado con los datos correspondientes, sea cual sea el software utilizado. Le ofrece la opción de proveer el cumplimiento del estándar PCI DSS y las soluciones ordinarias en la nube.
Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un ordenador.
Assigning a unique identification (ID) to each person with access ensures that each individual is uniquely accountable for his or her actions. When such accountability is in place, actions taken on critical data and systems are performed by, and can be traced to, known and authorized users.
Note: These requirements are applicable for all accounts, including point-of-sale accounts, with administrative capabilities and all accounts used to view or access cardholder data or to access systems with cardholder data. However, Requirements 8.1, 8.2 and 8.5.8 through 8.5.15 are not intended to apply to user accounts within a point-of-sale payment application that only have access to one card number at a time in order to facilitate a single transaction (such as cashier accounts).
8.1 Assign all users a unique ID before allowing them to access system components or cardholder data.
8.2 In addition to assigning a unique ID, employ at least one of the following methods to authenticate all users:
Something you know, such as a password or passphrase
Something you have, such as a token device or smart card
Something you are, such as a biometric
8.3 Incorporate two-factor authentication for remote access (network-level access originating from outside the network) to the network by employees, administrators, and third parties. (For example, remote authentication and dial-in service (RADIUS) with tokens; terminal access controller access control system (TACACS) with tokens; or other technologies that facilitate two-factor authentication.)
Note:
Two-factor authentication requires that two of the three authentication methods (see Requirement 8.2 for descriptions of authentication methods) be used for authentication. Using one factor twice (for example, using two separate passwords) is not considered two-factor authentication.
8.4 Render all passwords unreadable during transmission and storage on all system components using strong cryptography.
8.5 Ensure proper user identification and authentication management for non-consumer users and administrators on all system components as follows:
8.5.1 Control addition, deletion, and modification of user IDs, credentials, and other identifier objects.
8.5.2 Verify user identity before performing password resets.
8.5.3 Set passwords for first-time use and resets to a unique value for each user and change immediately after the first use.
8.5.4 Immediately revoke access for any terminated users.
8.5.5 Remove/disable inactive user accounts at least every 90 days.
8.5.6 Enable accounts used by vendors for remote access only during the time period needed. Monitor vendor remote access accounts when in use.
8.5.7 Communicate authentication procedures and policies to all users who have access to cardholder data.
8.5.8 Do not use group, shared, or generic accounts and passwords, or other authentication methods.
8.5.9 Change user passwords at least every 90 days.
8.5.10 Require a minimum password length of at least seven characters.
8.5.11 Use passwords containing both numeric and alphabetic characters.
8.5.12 Do not allow an individual to submit a new password that is the same as any of the last four passwords he or she has used.
8.5.13 Limit repeated access attempts by locking out the user ID after not more than six attempts.
8.5.14 Set the lockout duration to a minimum of 30 minutes or until administrator enables the user ID.
8.5.15 If a session has been idle for more than 15 minutes, require the user to re-authenticate to re-activate the terminal or session.
8.5.16 Authenticate all access to any database containing cardholder data. This includes access by applications, administrators, and all other users. Restrict user direct access or queries to databases to database administrators.
Ekran System proporciona una herramienta de la autentificación adicional, que le permitirá identificar a cada persona que usa las cuentas comunes, por ejemplo, administrador. Al iniciar una sesión, el usuario introduce los datos adicionales de la cuenta, que permiten vincular la grabación de una sesión y toda la información relevante con la persona particular.
Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas
Logging mechanisms and the ability to track user activities are critical in preventing, detecting, or minimizing the impact of a data compromise. The presence of logs in all environments allows thorough tracking, alerting, and analysis when something does go wrong. Determining the cause of a compromise is very difficult, if not impossible, without system activity logs.
10.1 Establish a process for linking all access to system components (especially access done with administrative privileges such as root) to each individual user.
10.2 Implement automated audit trails for all system components to reconstruct the following events:
10.2.1 All individual accesses to cardholder data
10.2.2 All actions taken by any individual with root or administrative privileges
10.2.3 Access to all audit trails
10.2.4 Invalid logical access attempts
10.2 5 Use of identification and authentication mechanisms
10.2.6 Initialization of the audit logs
10.2.7 Creation and deletion of system-level objects
10.3 Record at least the following audit trail entries for all system components for each event:
10.3.1 User identification
10.3.2 Type of event
10.3.3 Date and time
10.3.4 Success or failure indication
10.3.5 Origination of event
10.3.6 Identity or name of affected data, system component, or resource.
10.4 Using time-synchronization technology, synchronize all critical system clocks and times and ensure that the following is implemented for acquiring, distributing, and storing time.
Note: One example of time synchronization technology is Network Time Protocol (NTP).
10.4.1 Critical systems have the correct and consistent time.
10.4.2 Time data is protected.
10.4.3 Time settings are received from industry-accepted time sources.
10.5 Secure audit trails so they cannot be altered.
10.5.1 Limit viewing of audit trails to those with a job-related need.
10.5.2 Protect audit trail files from unauthorized modifications.
10.5.3 Promptly back up audit trail files to a centralized log server or media that is difficult to alter.
10.5.4 Write logs for external-facing technologies onto a log server on the internal LAN.
10.5.5 Use file-integrity monitoring or change-detection software on logs to ensure that existing log data cannot be changed without generating alerts (although new data being added should not cause an alert).
10.6 Review logs for all system components at least daily. Log reviews must include those servers that perform security functions like intrusion-detection system (IDS) and authentication, authorization, and accounting protocol (AAA) servers (for example, RADIUS).
Note: Log harvesting, parsing, and alerting tools may be used to meet compliance with Requirement 10.6.
10.7 Retain audit trail history for at least one year, with a minimum of three months immediately available for analysis (for example, online, archived, or restorable from back-up).
Cada usuario de Ekran System System es identificado claramente a través de los datos de cuenta personales que se usan para acceder al sistema. Las acciones de los usuarios, que trabajan con el panel web, se registran en un log particular interno, que puede ser revisado en caso necesario. Ekran System proporciona un conjunto de permisos de usuario incorporadas, ofreciendo una opción de controlar el nivel del acceso a los componentes del sistema de cada usuario particular.
Todos los datos sobre la actividad del usuario pueden exportarse a través de la función de la exportación protegida que cifra los datos mediante una firma digital única, proporcionando así, un registro de la auditoría perfectamente protegido. Gracias al soporte de la base de datos MS SQL, los usuarios de Ekran System tienen acceso a todas las funciones de la copia de seguridad y la protección ofrecidas por el producto.
Ekran System le ayuda a cumplir los siguientes requisitos de PCI DSS:
Requisito 10.1. Ekran System registra de manera cuidadosa cada acceso a los elementos del sistema, relacionándolo directamente con el nombre del usuario particular. Los usuarios de las cuentas comunes pueden identificarse a través de la función de la autentificación adicional.
Requisito 10.2. Ekran System graba todas las actividades durante una sesión independientemente de las aplicaciones inicializadas.
- Función de la grabación de vídeo de Ekran System puede aplicarse para monitorizar y controlar el acceso a los datos confidenciales, los datos de los propietarios de tarjetas entre otros.
- Ekran System graba todas las actividades de los usuarios privilegiados, incluso las de los administradores del sistema. Ninguno de los usuarios privilegiados podrá detener o desactivar la grabación.
- Todos los datos grabados se almacenan en el servidor en el formato comprimido. Los administradores pueden obtener acceso sólo si poseen un permiso. El acceso a los datos siempre se graba en un log de auditoría incorporado.
- La monitorización de los usuarios privilegiados implementado por Ekran System, puede utilizarse para detectar cualquier cambio en el sistema, tales como: la creación o eliminación de las cuentas y el aumento de nivel de los privilegios de un usuario.
- Sólo los usuarios con el acceso completo al panel de control web de la gestión de Ekran System pueden gestionar el proceso de grabación. Un usuario bajo la supervisión del sistema no puede suspender o desactivar la grabación sea cual sea el nivel de privilegias que tenga.
- La monitorización de las actividades de los usuarios privilegiados implementado por Ekran System, puede utilizarse para detectar y controlar la creación y eliminación de cualquier nivel de objetos del sistema.
Requisito 10.3. Ekran System graba todos los datos necesarios u otros metadatos. Siendo plenamente representativo como tal, cada captura de pantalla también va acompañada por un número de metadatos: los nombres de las ventanas activas (los nombres completos de las aplicaciones, documentos, direcciones de las páginas web etc.), los nombres de aplicaciones, nombre de usuario, tipo de sesión, fecha y tiempo, denominación del host.
Además, Ekran System, también ayuda a cumplir los requisitos 10.4, 10.5 (10.5.1-10.5.3), 10.6 (10.6.1) y 10.7. Ver la información detallada del cumplimiento de requisitos particulares mediante Ekran System en nuestra documentación técnica.
Ekran System proporciona un esquema de activación de licencias económico, que hace que el sistema sea más asequible para las empresas de cualquier tipo. También se puede utilizar las versiones de prueba y demo online de forma gratuita.
