Auditora de

seguridad de las
transacciones
electrnicas
mediante Medios
de Pago:
PCI-DSS
Informtica Forense y Auditora

Universidad de Oviedo 1
Auditora de seguridad en PCI-DSS

ndice
Introduccin .................................................................................................................................. 2
Qu es PCI-DSS? .......................................................................................................................... 2
Por qu es importante? ............................................................................................................... 2
Alcance del estndar PCI DSS ........................................................................................................ 3
Requisitos del Estndar de Seguridad de Datos............................................................................ 3
Desarrollar y mantener sistemas y redes seguros .................................................................... 3
Proteger los datos del titular de la tarjeta ................................................................................ 6
Mantener un programa de administracin de vulnerabilidad .................................................. 8
Implementar medidas slidas de control de acceso ............................................................... 10
Supervisar y evaluar las redes con regularidad ....................................................................... 13
Mantener una poltica de seguridad de informacin ............................................................. 15
Proceso de evaluacin................................................................................................................. 17
Glosario ....................................................................................................................................... 18
Bibliografa .................................................................................................................................. 19

Universidad de Oviedo 2
Auditora de seguridad en PCI-DSS

Introduccin
En este documento se va a detallar el estndar PCI-DSS, que permite hacer auditoras
de seguridad de las transacciones electrnicas mediante Medios de Pago. En un inicio se
define el estndar y sus creadores. A continuacin se explica su importancia y la necesidad de
que se cumplan sus puntos para proteger los datos de los titulares de las tarjetas.
A continuacin, organizados por caractersticas se detallan los 12 requisitos que
contiene el estndar. Para cada requisito se enumeran, adems, la serie de sub requisitos que
han de cumplirse.
Finalmente, se incluye un glosario con aquellos trminos ms tcnicos y que necesitan
una definicin adicional.

Qu es PCI-DSS?
PCI-DSS es un estndar de seguridad de datos para las tarjetas de pago que define un
conjunto de pautas para gestionar la seguridad en transacciones, definir polticas y otros tipos
de medidas de proteccin que intervienen en el tratamiento, procesado o almacenamiento de
la informacin de tarjetas de crdito como la arquitectura de red empleada o el diseo del
software.
Ha sido desarrollado por un comit denominado PCI SSC (Payment Card Industry
Security Standards Council) formado por las principales compaas emisoras de tarjetas de
crdito (Visa, Mastercard, American Express, JCB y Discover) como una gua que fuerce y
facilite a comercios, proveedores de servicios y bancos reducir el riesgo de fraude en el uso de
tarjetas proporcionando proteccin en los tiempos de almacenamiento, transmisin y
procesado de los datos de los titulares.
Cualquier organizacin que haga uso de tarjetas de crdito o dbito deben cumplir los
requerimientos que establece este estndar. En caso contrario, se arriesgan a perder los
permisos para procesar las tarjetas, afrontar auditoras o multas. El cumplimiento del estndar
por parte de comerciantes y proveedores debe ser validado de forma peridica. Esta
validacin es realizada por auditores de la QSA (Qualified Security Assessor). Las compaas
que procesen menos de 80,000 transacciones anuales pueden realizar la validacin mediante
un cuestionario proporcionado por el PCI SSC.

Por qu es importante?
Las tarjetas de crdito y dbito contienen gran informacin sensible de sus titulares,
que ha de ser protegida. Esta informacin consiste en datos de la cuenta bancaria: nmero de
cuenta primario (PAN), nombre del titular, fecha de expiracin y cdigo del servicio. Adems,

Universidad de Oviedo 3
Auditora de seguridad en PCI-DSS
tambin incluye informacin de autenticacin, como el cdigo de seguridad de la tarjeta
(cdigo CVV2), la informacin contenida en la banda magntica o en el chip y el nmero PIN. El
estndar PCI DSS se debe aplicar siempre que se procese, almacene o transmita el PAN.
Durante el proceso de pago la informacin contenida en las tarjetas estn expuestos a
una serie de riesgos. Todo comienza cuando el titular inicia un pago, bien a travs de un punto
de venta fsico de un comerciante o en lnea. Es entonces cuando se abre una transaccin en la
que se procesa y enva la informacin descrita anteriormente. Los puntos ms crticos de este
proceso son: los puntos de venta fsicos (POS), los pagos en lnea usando redes pblicas o
inalmbricas, los servidores web y su acceso fsico y las bases de datos.

Alcance del estndar PCI DSS

Los doce requisitos que componen el estndar de seguridad de los Medios de Pago,
son aplicables en todos los componentes y sistemas que estn en el entorno de datos del
titular y aquellos que estn conectados a este entorno. Forman parte de este entorno aquellas
personas, procesos o tecnologas que hagan cualquier uso de datos confidenciales de los
titulares de las tarjetas. Este uso puede ser almacenamiento, procesamiento o transmisin de
los datos.
Los componentes de sistemas que pueden estar en este entorno son los siguientes:

Sistemas que ofrecen servicios de seguridad, facilitan la segmentacin o que

afectan a la seguridad del entorno. Un ejemplo son los servidores de
autenticacin.
Componentes de virtualizacin.
Componentes de la red.
Servidores.
Aplicaciones.
Cualquier otro dispositivo ubicado en el entorno o conectado a ste.

Para poder realizar una evaluacin del cumplimiento de este estndar, en primer lugar,
es necesario delimitar el alcance de la revisin. La entidad que es evaluada debe indicar las
ubicaciones y los flujos de datos confidenciales existentes.

Requisitos del Estndar de Seguridad de Datos

La ltima versin de este estndar (versin 3.0) ha sido publicada en Noviembre de
2013. Cuenta con 12 requisitos organizados por funcionalidad.

Desarrollar y mantener sistemas y redes seguros

Requisito 1: Instale y mantenga una configuracin de firewalls para proteger los datos de los
titulares de las tarjetas.

Universidad de Oviedo 4
Auditora de seguridad en PCI-DSS
Los firewalls son los dispositivos que se encargan de controlar el trfico entre las redes
internas y las redes externas (aquellas no confiables) de una entidad, as como de aquellas
redes con datos ms confidenciales y sensibles como los datos de los titulares de las tarjetas. El
firewall debe encargarse de examinar el trfico y bloquear aquellas transmisiones que no
cumplan unos criterios mnimos de seguridad.
Se debe proteger a los sistemas contra el acceso no autorizado: el acceso a Internet desde los
ordenadores de los empleados, acceso al correo electrnico de empleados, conexiones
inalmbricas, etc. Por tanto, una buena configuracin de un firewall se convierte en una
proteccin esencial para cualquier red de ordenadores.
1.1 Establecer e implementar normas de configuracin para firewalls y routers. Estas
normas han de incluir un proceso para introducir cambios en la configuracin de la
red, un diagrama de la red actual que identifique todas las conexiones y los flujos de
datos que existen, los requisitos de los firewalls y documentacin que justifique el uso
de todos los dispositivos de la red. Comprobar este requisito inspeccionando las
normas de configuracin de los cortafuegos, comprobar que se ha incluido el proceso
formal para aprobar las conexiones de red y la introduccin de cambios, entrevistar al
personal responsable y revisar los registros existentes.
1.2 Desarrollar configuraciones para firewalls y routers que restrinjan las conexiones entre
redes no confiables y otros componentes del sistema en el entorno de los datos de
titulares de tarjetas. Para ello se ha de permitir nicamente el trfico estrictamente
necesario y negar el restante. Comprobar este aspecto revisando las configuraciones
de los firewalls y de los routers. Comprobar que los firewalls restringen el trfico
entrante y saliente y que est negado.
1.3 Prohibir el acceso directo entre Internet y cualquier componente del sistema en el
entorno de datos de los titulares de tarjetas, implementando una zona desmilitarizada,
restringiendo el trfico entrante y controlando trficos no autorizados. Para
comprobar su cumplimiento, revisar las configuraciones de los firewalls, de los routers
y de la zona desmilitarizada.
1.4 Instalar software de firewall personal en todos los dispositivos mviles y aquellos que
sean propiedad de los trabajadores que tengan conexin a Internet cuando estn
fuera de la red, como ordenadores porttiles que de los trabajadores que tambin
usan para acceder a la red. Revisarlo comprobando que exista este software en todos
los dispositivos mviles o de propiedad de los trabajadores, que est correctamente
configurado y funcionando de forma activa. Adems, tambin se ha de verificar que el
firewall no puede ser modificado por los trabajadores.
1.5 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos para administrar los firewalls. Revisar la
documentacin y entrevistar al personal para confirmar que se cumpla este requisito.

Universidad de Oviedo 5
Auditora de seguridad en PCI-DSS
Requisito 2: No utilizar contraseas de sistemas y otros parmetros de seguridad provistos por
los proveedores.
Las contraseas y otros parmetros predeterminados por los proveedores son usados por
personas malintencionadas para comprometer los sistemas. Se debe a que estos datos son
conocidos en las comunidades hacker.
2.1 Cambiar siempre los valores predeterminados por el proveedor y eliminar o bien
deshabilitar las cuentas predeterminadas que no sean necesarias antes de instalar un
sistema en la red. Comprobar este aspecto seleccionando una muestra de los
componentes e intentar acceder con las cuentas predeterminadas con el objetivo de
verificar que todas ellas hayan sido eliminadas. Comprobar tambin que se hayan
eliminado cuentas predeterminadas innecesarias en la muestra de componentes
seleccionada.
2.2 Desarrollar normas de configuracin para todos los componentes de sistemas. Hacer
que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que
concuerden con las normas de alta seguridad de sistema aceptadas en la industria. (CIS
/ ISO / SANS / NIST). Comprobar este aspecto verificando que las normas de
configuracin establecidas en los componentes sean normas de alta seguridad
aceptadas en la industria. Entrevistar al personal para verificar que las normas se
actualizan cuando se detectan vulnerabilidades y cuando se instalan nuevos sistemas.
2.3 Cifrar el acceso administrativo que no sea de consola utilizando un cifrado slido.
Utilizar para ello tecnologas como SSH, VPN o SSL/TLS. Verificar este aspecto
seleccionando una muestra de componentes y verificar que el acceso se cifre en los
accesos, revisar la documentacin asociada y entrevistar al personal para asegurar que
se utiliza una criptografa slida adecuada.
2.4 Contar con un inventario de los componentes del sistema que estn dentro del alcance
de las PCI DSS. Hacer la comprobacin revisando el inventario y entrevistando al
personal para asegurar que el inventario est actualizado.
2.5 Documentar, implementar y dar a conocer a todas las partes afectadas las polticas de
seguridad y los procedimientos operativos para administrar los parmetros
predeterminados del proveedor y otros parmetros de seguridad. Revisar la
documentacin y entrevistar al personal para confirmar que se cumpla este requisito.
2.6 Los proveedores de hosting compartido deben proteger el entorno y los datos del
titular de la tarjeta que aloja la entidad. Estos proveedores deben cumplir requisitos
especficos adicionales que protejan el entorno y los datos alojados en cada entidad.
2.6.1 Asegurar que cada entidad slo implementa procesos que tienen acceso a los
datos confidenciales.
2.6.2 Limitar el acceso y privilegios de cada entidad slo a sus propios datos de
titulares.

Universidad de Oviedo 6
Auditora de seguridad en PCI-DSS
2.6.3
2.6.4

Asegurar que los registros de auditora estn habilitados y su visualizacin sea

exclusiva de la entidad a la que pertenecen los datos.
Establecer pautas para que se inicie una investigacin forense en caso de que
se corran riesgos.

Proteger los datos del titular de la tarjeta

Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados.
Es importante proteger adems por cifrado, truncamiento o funciones hash los datos de los
titulares de las tarjetas por si algn intruso consigue llegar a ellos. Si estn cifrados, sin las
claves adecuadas, no podrn ser ledos ni utilizados.
Se podran considerar adems otros mtodos, como no almacenar datos del titular (salvo
necesidad), truncar datos y no enviar el PAN completo ni utilizar para el envo tecnologas
como el correo electrnico o mensajera instantnea.
3.1 Almacenar la menor cantidad posible de datos del titular de la tarjeta implementando
polticas, procedimientos y procesos de retencin y eliminacin de datos. Verificar
para el cumplimiento de este requisito que existen estas polticas y procedimientos y
que incluyen los aspectos legales para el tratamiento de los datos. Entrevistar,
adems, al personal para verificar que los lugares en los que se almacenan los datos
confidenciales estn tratados con estas polticas, el proceso se lleva a cabo de forma
trimestral y en todas las ubicaciones de datos de titulares.
3.2 No almacenar datos confidenciales de autenticacin ni estando cifrados. Si se reciben
datos confidenciales de autenticacin han de convertirse todos los datos en
irrecuperables cuando ya no sean necesarios. Realizar la comprobacin entrevistando
al personal para comprobar que los datos almacenados estn justificados por razones
de negocio. Revisar que los datos almacenados estn correctamente protegidos.
3.3 Ocultar el PAN cuando aparezca (slo aparecern los primeros seis y los ltimos cuatro
dgitos), de forma que solo el personal con legtimamente lo necesite pueda
visualizarlo completo. Comprobar este aspecto revisando las polticas y los
procedimientos existentes acerca de cmo realizar la ocultacin del PAN, listando las
funciones que pueden acceder a l y las personas autorizadas para visualizarlo.
3.4 Convertir el PAN en ilegible en el momento de almacenarlo utilizando mtodos como
funciones hash, truncamiento, tokens y ensambladores de ndices o criptografa slida.
Realizar la comprobacin revisando la documentacin de los sistemas utilizados para
realizar el cifrado del PAN. Verificar que el PAN es ilegible usando alguno de los
mtodos detallados anteriormente.
3.5 Documentar e implementar procedimientos que protejan las claves utilizadas para
proteger los datos contra su posible divulgacin o uso indebido. Revisar este aspecto
comprobando las polticas y procedimientos para la administracin de claves

Universidad de Oviedo 7
Auditora de seguridad en PCI-DSS
existentes en la organizacin. Comprobar que estas polticas enumeren las siguientes
premisas: acceso restringido a personal que lo necesite para desempear su trabajo,
cifrado slido, claves de cifrado de claves correctamente almacenadas (en distinto sitio
de las claves de cifrado de datos) y claves almacenadas de forma segura.
3.6 Documentar todos los procesos y procedimientos de administracin de claves que se
utilizan para el cifrado de datos del titular de la tarjeta. Comprobarlo revisando los
procesos y procedimientos existentes y que stos especifiquen lo siguiente: cmo
generar claves slidas (verificar que realmente se generan claves slidas) y cmo
distribuir y almacenar claves de forma segura.
3.7 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos para proteger los datos del titular de la
tarjeta almacenados.

Requisito 4: Cifrar la transmisin de los datos del titular de la tarjeta en las redes pblicas
abiertas.
La informacin de carcter confidencial que se transmita a travs de las redes debe estar cifrada.
Vulnerabilidades en cifrados o en redes inalmbricas mal configuradas se convierten en los objetivos de
posibles atacantes.

4.1 Utilizar cifrado slido y protocolos de seguridad (SSL/TLS, SSH, etc.) para proteger los
datos del titular de la tarjeta durante su transmisin por redes pblicas abiertas.
Realizar la comprobacin identificando las ubicaciones donde se realizan transmisiones
de datos y verificar que utilizan protocolos de seguridad y criptografa seguros. Revisar
tambin que haya procesos para aceptar claves y certificados de confianza, que sea un
cifrado slido seguro. Seleccionar una muestra de las transmisiones para comprobar
los aspectos anteriormente detallados. Revisar las implementaciones de los protocolos
SSL/TLS y verificar que se activen al transmitir y recibir datos confidenciales de
titulares de tarjetas.
4.2 No enviar PAN no cifrados por medio de tecnologas de mensajera como el correo
electrnico o la mensajera instantnea. Verificar que en los casos en los que se enve
el PAN a travs de estos mtodos quede ilegible o est protegido mediante tcnicas de
criptografa slida. Revisar las polticas y comprobar que incluyan que el PAN no debe
ser enviado a travs de estos canales.
4.3 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos para cifrar las transmisiones de los datos
del titular de la tarjeta.

Universidad de Oviedo 8
Auditora de seguridad en PCI-DSS

Mantener un programa de administracin de vulnerabilidad

Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software
antivirus regularmente.
Utilizar software antivirus en sistemas en los que el malware podra afectar. El malware es
software malicioso, que accede a la red durante actividades comunes como el uso de Internet
o los correos electrnicos, trata de explotar vulnerabilidades del sistema.
5.1 Implementar software antivirus en todos los sistemas que puedan ser por software
malicioso, como ordenadores personales y servidores. Verificar este aspecto
comprobando que haya implementado software antivirus adecuado. Revisar que el
software antivirus est correctamente configurado y es capaz de detectar, eliminar y
proteger al sistema contra software malicioso. Entrevistar, adems, al personal para
comprobar que supervisan y evalan las amenazas malware en aquellos sistemas que
no tengan software antivirus instalado para ver si es necesario instalarlo en ellos
tambin.
5.2 Actualizar los antivirus, programar anlisis peridicos y hacer que generen registros de
auditora como se indica el Requisito 10. Comprobar este aspecto revisando que los
antivirus estn programados para recibir actualizaciones y anlisis peridicos.
Revisarlo seleccionando una muestra de componentes del sistema.
5.3 Comprobar que los antivirus funcionan de forma activa y que los usuarios no puedan
modificar su comportamiento normal o deshabilitarlos. Permitir estas acciones a
usuarios especficamente autorizados para estos casos. Revisar este requisito
seleccionando una muestra de componentes del sistema y ver si funciona activamente
el software antivirus en ellos. Revisar la configuracin del antivirus y que no pueda ser
modificado su comportamiento. Entrevistar al personal para comprobar que no
pueden modificar la configuracin del software antivirus excepto que estn
autorizados para ello.
5.4 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos que protegen los sistemas.

Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.

Se deben instalar parches de seguridad que proporcionan los proveedores para aquellas
vulnerabilidades en la seguridad que hayan sido detectados. De esta forma, se evita que estas
vulnerabilidades sean aprovechadas tanto por personas o por software malicioso para
comprometer datos del titular de la tarjeta.
6.1 Establecer un proceso para identificar las vulnerabilidades de seguridad y clasificarlas
en funcin de su riesgo. Revisar este requisito comprobando en las polticas y
procedimientos de la organizacin que los procesos estn bien definidos y permiten

Universidad de Oviedo 9
Auditora de seguridad en PCI-DSS
identificar y clasificar vulnerabilidades. Entrevistar al personal para verificar que todo
se realice de forma correcta.
6.2 Instalar en todo el software y componentes del sistema parches de seguridad
proporcionados por los proveedores que ofrecen proteccin contra vulnerabilidades
conocidas. Realizar las instalaciones dentro de un plazo de un mes desde su
lanzamiento. Revisar este requisito analizando las polticas y procedimientos
existentes para la instalacin de parches de seguridad, para comprobar que est
definida la instalacin de parches de seguridad crticos y la instalacin de todos los
parches proporcionados en un periodo de tiempo adecuado (Se recomiendan unos 3
meses).
6.3 Desarrollar aplicaciones de software de manera segura y de acuerdo con las PCI DSS,
basadas en normas o mejores prcticas de la industria e incorporando seguridad de la
informacin durante todo el proceso de desarrollo. Revisar este aspecto comprobando
que los procesos de desarrollo se basan en las mejores prcticas de la industria,
incluyen seguridad de la informacin y las aplicaciones se desarrollan de forma
adecuada.
6.4 Seguir los procesos y procedimientos de control de todos los cambios en los
componentes del sistema. Revisar que se cumple este aspecto estudiando las polticas
y procedimientos de la organizacin relacionados. Comprobar que se separan los
entornos de prueba y desarrollo, el personal dedicado a cada funcin (prueba /
desarrollo), los datos confidenciales no son usados ni en desarrollo ni en prueba, las
cuentas de prueba son eliminadas antes de activar el sistema y todos los
procedimientos de control de cambios estn adecuadamente documentados.
6.5 Controlar vulnerabilidades de codificacin en el proceso de desarrollo formando a los
desarrolladores en tcnicas de codificacin seguras y desarrollando aplicaciones
basadas en directrices de codificacin seguras. Comprobar este aspecto verificando
que a los desarrolladores se les exija conocimientos de codificacin segura. Entrevistar
y revisar la formacin de una muestra de desarrolladores para realizar la
comprobacin. Verificar que las aplicaciones se protegen al menos contra inyeccin
SQL, desbordamiento de bfer, almacenamiento cifrado inseguro, comunicaciones
inseguras, manejo inadecuado de errores y XSS.
6.6 En aplicaciones web pblicas tratar nuevas amenazas y vulnerabilidades de forma
continua y protegerlas contra ataques conocidos mediante herramientas o mtodos
de evaluacin de seguridad automticas o manuales e instalando una solucin tcnica
automtica que detecte y prevenga ataques web, como un firewall, delante de
aplicaciones web pblicas a fin de controlar el trfico continuamente. Realizar la
comprobacin entrevistando al personal y examinando los registros de evaluaciones
existentes para verificar que las aplicaciones web pblicas se revisan de forma
peridica, mnimo anualmente y despus de cambios. Comprobar que se utilizan
tcnicas que prevengan ataques web.

Universidad de Oviedo 10
Auditora de seguridad en PCI-DSS

6.7 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos para desarrollar y mantener seguros los
sistemas y las aplicaciones.

Implementar medidas slidas de control de acceso

Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta segn la necesidad de saber
que tenga la empresa.
Implementar sistemas y procesos que limiten el acceso a los datos segn la necesidad y
responsabilidad del cargo. De esta forma se asegura que accede a los datos importantes el
personal adecuado.
7.1 Limitar el acceso a los componentes del sistema y a los datos del titular de la tarjeta a
aquellos individuos cuyas tareas lo requieran. Comprobar este requisito revisando que
en las polticas de la organizacin estn bien definidas las necesidades y privilegios de
cada funcin y existan restricciones de informacin confidencial en funcin de sus
tareas. Seleccionar una muestra de funciones y verificar que los accesos estn bien
definidos.
7.2 Establecer un sistema de control que restrinja el acceso segn la necesidad del usuario
de conocer y que se configure para negar todo, salvo que se permita lo contrario
especficamente. Evaluar el requisito comprobando que el control de acceso est
implementado en todos los componentes del sistema y tienen como configuracin
predeterminada negar todo.
7.3 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos para restringir el acceso a los datos del
titular de la tarjeta.

Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.

Asignar un identificador exclusivo a cada persona con acceso al sistema para garantizar que
cada una se haga responsable de sus actos. Se asegura que usuarios autorizados y conocidos
estn a cargo de procesos crticos. Estos usuarios han de tener una contrasea que ha de estar
bajo mtodos de seguridad durante su transmisin y almacenamiento.
8.1 Definir e implementar procesos que garanticen la correcta administracin de la
identificacin de usuarios en todos los componentes del sistema asignndoles un ID y
controlando los cambios que se produzcan en el mismo. Comprobar este aspecto
revisando los procedimientos y entrevistando al personal para comprobar que todos
ellos tienen asignado un ID exclusivo para acceder al sistema y a los datos. Seleccionar
adems una muestra de personal para comprobar que con su ID asignado tienen
acceso a los datos acordes a las necesidades de su trabajo. Comprobar que empleados

Universidad de Oviedo 11
Auditora de seguridad en PCI-DSS
antiguos no tienen acceso al sistema y que se hayan devuelto mtodos de
autenticacin fsicos, como tarjetas inteligentes.
8.2 Asegurar una correcta administracin de autenticacin de usuarios en todos los
componentes del sistema y que se use, al menos, uno de estos mtodos para
autenticar todos los usuarios:

Algo que el usuario sepa, como una contrasea o frase de seguridad

Algo que el usuario tenga, como un dispositivo token o una tarjeta

inteligente

Algo que el usuario sea, como un rasgo biomtrico.

Comprobar este requisito verificando que realmente los usuarios utilizan dos mtodos
de autenticacin en el sistema y que est correctamente documentado.
8.3 Incorporar la autenticacin de dos factores para el acceso remoto a la red desde fuera
de la red por parte de cualquier usuario. Revisar este requisito estudiando la
configuracin del sistema para los accesos remotos. Verificar que cuando accede el
personal, terceros y proveedores se exige autenticacin dos factores. Observar una
muestra de usuarios realizando este tipo de autenticacin.
8.4 Documentar y explicar los procedimientos y las polticas de autenticacin a todos los
usuarios, indicarles cmo deben seleccionar buenas credenciales de autenticacin,
cmo protegerlas y cmo modificarlas si sospechan que corren riesgo. Comprobar este
aspecto entrevistando al personal y revisando los procedimientos de la organizacin.
Deben recoger las pautas indicadas para obtener una buena credencial. Entrevistar a
una muestra de usuarios y comprobar que conocen estas pautas.
8.5 No usar ID ni contraseas de grupo, compartidas ni genricas. Comprobar este aspecto
seleccionando una muestra de componentes del sistema y sus identificadores de
usuario. Comprobar que no existe ningn ID con estas caractersticas. Revisar que en
las polticas de la organizacin se prohba el uso de estos identificadores. Entrevistar a
los administradores y responsables para asegurarse de que estos identificadores no se
distribuyen, ni bajo solicitud.
8.6 Si se utilizan otros mecanismos de autenticacin como tokens de seguridad fsicos o
lgicos, tarjetas inteligentes o certificados no deben compartirse entre varias cuentas
y se deben implementar controles fsicos y lgicos para garantizar que slo la cuenta
deseada accede a travs de estos mecanismos. Revisar este requisito estudiando los
procedimientos de la organizacin, entrevistando al personal y examinando la
configuracin del sistema para comprobar que los mecanismos fsicos de autenticacin
no son compartidos entre cuentas.
8.7 Restringir todos los accesos por parte de aplicaciones, administradores y resto de
usuarios a cualquier base de datos que contenga datos del titular de la tarjeta.
Verificar este requisito revisando la configuracin de las aplicaciones y de las bases de

Universidad de Oviedo 12
Auditora de seguridad en PCI-DSS
datos para comprobar que los accesos se realizan a travs de usuarios identificados,
mtodos programticos (como procedimientos almacenados) y que el acceso directo a
la base de datos est limitado al administrador de la misma.
8.8 Documentar, implementar y dar a conocer a todas las partes afectas las polticas de
seguridad y los procedimientos operativos de identificacin y autenticacin.

Requisito 9: Restringir el acceso fsico a los datos del titular de la tarjeta.

Se debe controlar el acceso fsico a datos o sistemas que contengan datos de los titulares de
tarjetas. Tres trminos distintos se utilizarn para detallar este requisito: empleados,
personal de tiempo completo y parcial, personal temporal, y contratistas y consultores que
estn fsicamente presentes en las instalaciones de la entidad; "visitante, proveedor, invitado
de algn empleado, personal de servicio o cualquier persona que necesite ingresar a las
instalaciones durante un tiempo no prolongado, generalmente no ms de un da y medios,
que hace referencia a todos los medios en papel y electrnicos que contienen datos del titular
de la tarjeta.
9.1 Utilizar controles de entrada a la empresa que limiten y supervisen el acceso fsico a
los sistemas en el entorno de datos del titular de la tarjeta, como cmaras de vdeo,
cuyos datos debern ser almacenados un mnimo de 3 meses.
Se debe limitar el acceso fsico a los puntos de acceso inalmbricos, gateways,
hardware de redes y comunicaciones entre otros, e implementar controles fsicos o
lgicos para restringir el acceso a las conexiones de acceso pblico.
9.2 Desarrollar tcnicas que distingan de forma sencilla a empleados y visitantes, como
por ejemplo asignando placas identificativas. Este aspecto se comprueba identificando
empleados o visitantes nuevos, cambiando los requisitos de acceso y renovando las
identificaciones de empleados cesantes. Adems, se debe verificar que el proceso de
identificacin est limitado a empleados.
9.3 Controlar el acceso fsico de los empleados a las reas confidenciales segn su rol y
trabajo. Adems el acceso se debe cancelar de forma inmediata tras finalizar el
trabajo, y los mecanismos de acceso fsico (claves, tarjetas) han de ser devueltas o
desactivadas.
9.4 Implementar procedimientos para identificar y autorizar a los visitantes. stos han de
tener autorizacin para ingresar en reas de procesamiento o almacenamiento de
datos crticos y han de estar acompaados en todo momento. Los visitantes han de
estar identificados y diferenciados de los empleados, entregar la placa de
identificacin al salir o al vencer la vigencia.
9.5 Proteger fsicamente los medios de copias de seguridad, almacenndolos en lugares
seguros, preferentemente un lugar externo a la empresa. Este aspecto se comprueba
revisando la seguridad fsica del lugar de almacenamiento, al menos, una vez al ao.

Universidad de Oviedo 13
Auditora de seguridad en PCI-DSS

9.6 Llevar un control estricto de la distribucin de todas los medios, estando clasificados y
controlando sus traslados con rigor. Este aspecto se comprueba verificando que exista
una poltica para controlar la distribucin de medios y que los abarque todos, incluso
los que se distribuyen a personas.
9.7 Controlar el almacenamiento y accesibilidad de los medios mediante un inventario que
se realizar, al menos, anualmente. Este aspecto se comprueba verificando que la
poltica requiera inventarios peridicos de medios.
9.8 Destruir de la forma adecuada los medios que ya no sean necesarios. Las copias en
papel han de destruirse en tiras, en pulpa o ser incineradas. Los datos almacenados en
soporte electrnico han de destruirse de forma que queden irrecuperables.

9.9 Proteger los dispositivos que interactan directamente con las tarjetas de pago para
obtener los datos para evitar alteraciones y sustituciones. Se debe conservar una lista
de los dispositivos e inspeccionarlos peridicamente para buscar intentos de
alteracin o sustitucin.
9.10 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos para restringir el acceso fsico a los datos
del titular de la tarjeta. Para comprobar este aspecto se debe revisar la documentacin
y entrevistar al personal con el fin de verificar que tanto las polticas de seguridad
como los procedimientos operativos estn documentados, implementadas y sean de
conocimiento de las partes afectadas.

Supervisar y evaluar las redes con regularidad

Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los
titulares de las tarjetas.
Los registros son de vital importancia para determinar la causa de un riesgo, por lo que es
necesario configurar los mecanismos que realizan el registro para poder prevenir, detectar y
minimizar riesgos.
10.1 Implementar pistas de auditora que vinculen los accesos a componentes del sistema a
usuarios especficos. Para comprobar este aspecto se debe preguntar al administrador
del sistema si estn habilitadas, activadas y vinculadas a usuarios.
10.2 Implementar pistas de auditora automticas en todos los componentes del sistema
con el objetivo de poder reproducir el acceso a los datos del titular de la tarjeta,
acciones realizadas con personas con privilegios de raz o administrativos, accesos a las
propias pistas de auditora, intentos de acceso lgico no vlidos, usos y cambios
producidos en los mecanismos de identificacin y autenticacin, inicializacin,
detencin o pausa de los registros y creacin y eliminacin de objetos en el nivel del

Universidad de Oviedo 14
Auditora de seguridad en PCI-DSS
sistema. Para ello se ha de entrevistar al personal responsable, observar los registros
existentes y revisar la configuracin de los registros.
10.3 Para cada evento se debe registrar, al menos, los siguientes datos: identificacin de
usuarios, tipo de evento, fecha y hora en qu se produce, xito o fallo, origen del
evento e identidad o nombre de los datos, componentes del sistema o recursos
afectados. Para comprobar si se cumple este aspecto se ha de entrevistar a los
responsables y observar los registros de auditora.
10.4 Sincronizar todos tiempos y relojes crticos, teniendo en cuenta los siguientes
aspectos: los sistemas crticos han de tener un horario uniforme y correcto, los datos
de tiempo han de estar protegidos y la fuente de los parmetros de la hora han de ser
aceptadas por la industria. Se ha de verificar revisando la configuracin del sistema y
comprobando que las seales de tiempo provienen de fuentes externas adecuadas y
que slo el personal adecuado puede modificar estos parmetros.
10.5 Limitar la visualizacin de las pistas de auditora al personal adecuado, protegerlas
contra modificaciones no autorizadas, realizar copias de seguridad, elaborar registros
para tecnologas externas en un dispositivo interno, seguro y centralizado y utilizar
software de monitorizacin de integridad de archivos. Se ha de entrevistar a los
administradores del sistema y revisar los permisos y la configuracin del sistema para
verificar que todo est en regla.
10.6 Revisar registros y eventos de seguridad en todos los componentes del sistema para
identificar anomalas o actividades sospechosas en el proceso de revisin. Este aspecto
se comprueba entrevistando al personal para verificar que se realiza un seguimiento
de las actividades sospechosas o anomalas.
10.7 Conserve el historial de pistas de auditoras durante, al menos, un ao, con un mnimo
de disponibilidad para anlisis de tres meses. Este aspecto se comprueba verificando
que las polticas y procedimientos de seguridad definan polticas de retencin de
registros de auditora y procedimientos para conservarlos.
10.8 Documentar, implementar y dar a conocer a las partes afectadas las polticas de
seguridad y los procedimientos operativos anteriores. Para comprobar este aspecto se
debe revisar la documentacin y entrevistar al personal con el fin de verificar que
tanto las polticas de seguridad como los procedimientos operativos estn
documentados, implementadas y sean de conocimiento de las partes afectadas.

Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad.

Probar de forma frecuente los componentes, procesos y software del sistema para garantizar
la seguridad, ya que continuamente se descubren nuevas vulnerabilidades que pueden ser
explotadas mediante software malintencionado.

Universidad de Oviedo 15
Auditora de seguridad en PCI-DSS
11.1 Detectar e identificar trimestralmente todos los puntos de acceso inalmbricos
autorizados y no autorizados. Adems, implementar procedimientos de respuesta a
incidentes en caso de que se detecten puntos de acceso inalmbricos no autorizados.
Este aspecto se comprueba verificando que se conserve un inventario de los puntos de
acceso inalmbricos autorizados y que se documente una justificacin comercial para
ellos. Adems, se debe entrevistar al personal para comprobar que se tomen medidas
cuando se encuentren puntos de acceso inalmbricos no autorizados.
11.2 Realizar anlisis internos y externos de las vulnerabilidades de la red de forma
peridica, (al menos, trimestralmente), y tras cada cambio relevante en la red. Este
aspecto se comprueba verificando que existen los informes y la documentacin que
prueban la realizacin de estos anlisis.
11.3 Implementar una metodologa para las pruebas de penetracin que est basada en
alguna aceptada por la industria, incluya cobertura de los aspectos crticos, el entorno
interno y externo de la red, incluya la revisin y evaluacin de las amenazas y
vulnerabilidades del ltimo ao y especifique los resultados de las pruebas y de las
correcciones. Este aspecto se comprueba revisando la metodologa de pruebas de
penetracin y entrevistando al personal responsable para verificar que se implemente.
11.4 Usar tcnicas de intrusin-deteccin y de intrusin-prevencin para detectar o
prevenir intrusiones en la red. Se debe revisar la configuracin del sistema y los
diagramas de red para verificar que se implementen estas tcnicas para monitorear
todo el trfico en el permetro y los puntos crticos del entorno de datos del titular de
la tarjeta.
11.5 Implementar un mecanismo de deteccin de cambios que alerten sobre
modificaciones y otros cambios no autorizados. Configurar el software para que
realice comparaciones de archivos crticos, al menos, semanalmente. Este aspecto se
comprueba verificando que se implemente el mecanismo mediante la observacin de
la configuracin del sistema y los archivos monitoreados.
11.6 Documentar, implementar y dar a conocer a las partes afectadas estas polticas y
procedimientos operativos. Para comprobar este aspecto se debe revisar la
documentacin y entrevistar al personal con el fin de verificar que tanto las polticas
de seguridad como los procedimientos operativos estn documentados,
implementadas y sean de conocimiento de las partes afectadas.

Mantener una poltica de seguridad de informacin

Requisito 12: Mantener una poltica que aborde la seguridad de la informacin de todo el
personal.300
Informar al personal la confidencialidad de los datos y su responsabilidad para protegerlos. Se
denomina personal a los empleados de tiempo completo y parcial, empleados temporales,

Universidad de Oviedo 16
Auditora de seguridad en PCI-DSS
contratistas y consultores que trabajan en las instalaciones de la entidad o tienen acceso al
entorno de datos confidenciales.
12.1 Establecer, publicar, mantener y distribuir una poltica de seguridad. Actualizar la
poltica anualmente y cuando se realicen cambios relevantes. Verificar este requisito,
examinando la poltica de seguridad de la informacin y verificando que llegue a las
partes implicadas.
12.2 Proceso de evaluacin de riesgos que se realice al menos de forma anual y cuando se
produzcan cambios relevantes, identifique aspectos crticos, amenazas y
vulnerabilidades y que d lugar a una evaluacin de riesgos formal. Se debe revisar la
documentacin de la evaluacin de riesgos para verificar que el proceso se ejecute, al
menos, una vez al ao y tras cambios importantes en el entorno.
12.3 Desarrollar polticas que definan como usar correctamente las tecnologas crticas.
Para ello se deben revisar las polticas de uso de tecnologas crticas y entrevistar al
personal responsable para verificar que se implementen.
12.4 Definir claramente en las polticas y en los procedimientos de seguridad las
responsabilidades de seguridad de todo el personal. Se debe entrevistar a un grupo de
usuarios responsables para verificar que las comprenden.
12.5 Asignar las siguientes responsabilidades de administracin de la seguridad: establecer,
documentar y distribuir polticas de seguridad, monitorizar y analizar alertas,
establecer, documentar y distribuir procedimientos de respuesta a incidentes,
administrar las cuentas de usuario y monitorizar y controlar todo el acceso a los datos.
12.6 Contar con un programa formal de concienciacin de seguridad para todo el personal.
Para comprobar este aspecto se deben revisar tanto el programa como sus
procedimientos y documentacin para verificar que ste incluya mtodos para educar
e informar a los empleados de la concienciacin y que les exija realizar una declaracin
de que lo leyeron y entendieron.
12.7 Tener precaucin a realizar contrataciones de personal, con el objetivo de evitar
ataques internos. Se debe consultar con el departamento de Recursos Humanos para
verificar que se realiza un control de los antecedentes de los posibles candidatos antes
de ser contratados.
12.8 Implementar polticas y procedimientos para administrar los proveedores de servicios
con quienes se compartirn los datos confidenciales. Adems, se debe mantener tanto
una lista de proveedores de servicios como un acuerdo por escrito en el que stos
aceptan responsabilizarse de la seguridad de los datos confidenciales de las tarjetas.
12.9 Hacer que los proveedores de servicios acepten, por escrito y ante el cliente,
responsabilizarse de la seguridad de los datos confidenciales de las tarjetas.

Universidad de Oviedo 17
Auditora de seguridad en PCI-DSS

12.10 Implementar un plan de respuesta ante cualquier incidente. Estar preparado para
responder de forma inmediata ante un fallo en el sistema. Este aspecto se comprueba
verificando que el plan de respuesta ante incidentes incluya procedimientos
especficos de respuesta a incidentes, de recuperacin y continuidad comercial;
procesos de copia de seguridad de datos; cobertura y respuestas de todos los
componentes crticos del sistema. Adems, se debe verificar que el plan se pruebe al
menos una vez al ao.

Proceso de evaluacin
Para realizar la evaluacin y el posterior informe existe una plantilla que se
proporciona en el sitio web del estndar, ROC Reporting Template for v3.0, (primera
referencia de la seccin de bibliografa).
Los procesos de evaluacin se enumeran a continuacin:
1.
2.
3.
4.
5.

Confirmar el alcance.
Llevar a cabo la evaluacin segn indica cada requisito.
Realizar las correcciones necesarias en los elementos no implementados.
Completar el informe de evaluacin.
Completar la declaracin del cumplimiento del estndar, segn
corresponda.
6. Presentar el informe y la declaracin de cumplimiento a la parte
interesada, el adquiriente, la marca de pago o cualquier otro solicitante.
Si no se cumple el estndar el PCI SSC no impone ninguna consecuencia. En cambio,
cada marca de tarjeta de crdito tiene programas de cumplimiento que pueden acarrear una
multa por parte del banco. De todas formas, la compaa es responsable de todos los datos
que transmita y en caso de que tengan lugar incidencias puede acarrear consecuencias
negativas, como prdida de la reputacin, ventas, clientes

Universidad de Oviedo 18
Auditora de seguridad en PCI-DSS

Glosario
Autenticacin dos factores: La autenticacin de dos factores requiere que se utilicen dos de
los tres mtodos de autenticacin (algo que el usuario sabe / tiene / es). El uso de un mismo
factor dos veces (por ejemplo, utilizar dos contraseas individuales) no se considera una
autenticacin de dos factores.
Firewall (Cortafuegos): Parte de un sistema o una red que est diseada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de
un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el
trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.
ISA (Internal Security Assessor): Empleado de una empresa que es educado y aprobado por el
PCI SSC para poder llevar a cabo auditoras de seguridad interna. Requiere la participacin en
un programa de cualificacin paso a paso.
Malware: Tipo de software que tiene como objetivo infiltrarse o daar una computadora o
sistema de informacin sin el consentimiento de su propietario. El trmino malware incluye
virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo,
crimeware y otros softwares maliciosos e indeseables.
PAN: Nmero de cuenta principal.
QSA (Qualified Security Assessor): Asesores de seguridad cualificados que a su vez son
empleados de empresas de seguridad que han sido entrenados y certificados para realizar
evaluaciones que verifican el cumplimiento del estndar PCI-DSS.
XSS (Cross-site scripting): Tipo de inseguridad informtica o agujero de seguridad tpico de las
aplicaciones Web, que permite a una tercera parte inyectar en pginas web vistas por el
usuario cdigo JavaScript o en otro lenguaje script similar. Es un ataque que puede ser
utilizado para robar informacin delicada, secuestrar sesiones de usuario, y comprometer el
navegador, subyugando la integridad del sistema. Esta situacin es usualmente causada al no
validar correctamente los datos de entrada que son usados en cierta aplicacin, o no sanear la
salida adecuadamente para su presentacin como pgina web.
Zona desmilitarizada (DMZ): Red local que se ubica entre la red interna de una organizacin y
una red externa, generalmente en Internet. Su objetivo es que las conexiones desde la red
interna y la externa a la DMZ estn permitidas, mientras que en general las conexiones desde
la DMZ solo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar
con la red interna.

Universidad de Oviedo 19
Auditora de seguridad en PCI-DSS

Bibliografa

PCI DSS v3.0, Noviembre 2013.

https://www.pcisecuritystandards.org/security_standards/documents.php

Wikipedia, PCI DSS http://es.wikipedia.org/wiki/PCI_DSS

A2Secure, Estndar de PCI DSS http://www.a2secure.com/es/pci

A2Secure, Auditora PCI http://www.a2secure.com/auditorias/auditoria-pci

A2Secure, Tutorial del Estndar de Seguridad de Datos PCI,

http://www.a2secure.com/es/pci/tutorial