Anda di halaman 1dari 18

REQUERIMIENTO 5

5 Deploy anti-virus software on all systems commonly


affected by malicious software (particularly personal
computers and servers).
5.1 Capturas de pantalla del antivirus instalado y funcionando en
el 10% de los componentes o si la cifra es inferior a 5,
Usar 5 componentes de sistema por cada tipo de componente (Sistemas
operativos windows, linux, AIX, solaris, entre otros )

Registro.

5.1.1 Documentacion tecnica del fabricante que indique que detecta


todo los tipos conocidos de software malicioso, remueve todos los
tipos conocidos de software malicioso, y protege sobre los tipos
conocidos de software malicioso DOCUMENTACION

Capturas de pantalla de la configuracion de solucion de antivirus donde se


evidencia que se encuentra configurado para la deteccion de todos los tipos
conocidos de software malicioso. Registro

Capturas de pantalla de la configuracion de solucion de antivirus donde se


evidencia que se encuentra configurado para la eliminacion de todos los
tipos conocidos de software malicioso Registro

Capturas de pantalla de la configuracion de solucion de antivirus donde se


evidencia que se encuentra configurado para la proteccin de todos los
tipos conocidos de software malicioso. Registro

5.1.2
Listado de personal responsable del monitoreo y
evaluacin de amenazas emergentes para sistemas que no son
consideradas comnmente afectadas por software malicioso.
Para confirmar que dichos sistemas no continuan requiriendo
software
antivirus.
Registros de la evaluacion de amenazas emergentes Registro
5.2 Ensure that all anti-virus mechanisms are maintained as
follows:
5.2.a
Documento y/o seccion del documento de politicas y
procedimientos que indiquen que el software antivirus y las
definiciones se requieren mantener actualizadas.

Documentacion

5.2.b Capturas de pantalla de la configuracion de la solucion


de antivirus que evidencien que se ejecutan actualizaciones
automticas Registro
5.2.c
- Capturas de pantalla del antivirus instalado y funcionando en el 10%
de los componentes o si la cifra es inferior a 5, usar 5 componentes
de sistema por cada tipo de componente (Sistemas operativos
windows, linux, AIX, solaris, entre otros) donde se evidencie que el
software antivirus y las definiciones estan actualizadas.

REGISTRO
- Capturas de pantalla del antivirus instalado y funcionando en el 10%
de los componentes o si la cifra es inferior a 5, usar 5 componentes
de sistema por cada tipo de componente (Sistemas operativos
windows, linux, AIX, solaris, entre otros) donde se evidencie que
analisis periodicos son ejecutadas .
REGISTRO

5.2.d

Capturas de pantalla del antivirus instalado y funcionando en el


10% de los componentes o si la cifra es inferior a 5, usar 5
componentes de sistema por cada tipo de componente (Sistemas
operativos windows, linux, AIX, solaris, entre otros) donde se
evidencie que la generacin de logs esta habilitada. regisrto

Capturas de pantalla de la consola central de antivirus (si aplica)


donde se evidencie que la generacin de logs esta habilitada.

Capturas de pantalla del antivirus instalado y funcionando en el


10% de los componentes o si la cifra es inferior a 5, usar 5
componentes de sistema por cada tipo de componente (Sistemas
operativos windows, linux, AIX, solaris, entre otros) donde se

evidencie que los logs son mantenidos 3 meses en vivo y


hasta un ao disponibles Registro
-

Capturas de pantalla de la consola de antivirus si aplica donde se


evidencie que los logs son mantenidos 3 meses en vivo y hasta un
ao disponibles. Registro

5.3 Ensure that anti-virus mechanisms are actively running and cannot be
disabled or altered by users, unless specifically authorized by management
on a case-by-case basis for a limited time period.

5.3.a Capturas de pantalla del antivirus instalado y funcionando en el 10% de los componentes o
si la cifra es inferior a 5, usar 5 componentes de sistema por cada tipo de componente (Sistemas
operativos windows, linux, AIX, solaris, entre otros) donde se evidencie que se encuentra activo
ejecutandose

Capturas de pantalla de la consola central de antivirus (si aplica) donde se evidencie que los
agentes se encuentran ejecutando. Registro
5.3.b Capturas de pantalla del antivirus instalado y funcionando en el 10% de los componentes o
si la cifra es inferior a 5, usar 5 componentes de sistema por cada tipo de componente (Sistemas
operativos windows, linux, AIX, solaris, entre otros) donde se evidencie que no puede ser
alterado por los usuarios

Capturas de pantalla de la consola central de antivirus (si aplica) donde se evidencie que los
agentes tienen polticas que evitan que los usuarios lo deshabiliten o desactiven.

5.3.c
- Listado del personal responsable para autorizar la desactivacion del antivirus por un periodo l
imitado de tiempo. Listado Entrevista
- Documento del proceso para autorizar la desactivacion del software antivirus durante un
periodo limitado de tiempo.

5.4 Documento y/o seccion del documento de la politica de


seguridad para proteger sistemas contra malware.
-
DOCUMENTACION

Documentos de los Procedimientos operacionales del presente


requerimiento:
a) Procedimiento de instalacin de antivirus
b) Procedimiento de monitoreo y evaluacin de amenazas de
malware emergente
c) Procedimiento de actualizacin de antivirus y firmas
d) Procedimiento de configuracin de antivirus.
e) procedimientos para gestin de la solucin de antivirus, tanto
el cliente como la consola de gestin.

Procedimientos de mantenimiento del software antivirus, donde se


especifique que solo ante una necesidad de negocio y previa
autorizacin el software de antivirus ser deshabilitado por un
periodo limitado de tiempo

Procedimiento de autorizacin para la desactivacin temporal del


software antivirus que debe contemplar, cual es la necesitada
legitima y durante que periodo limitado de tiempo se solicita su
desactivacin

Personal responsable de las polticas de seguridad y procedimientos operacionales para proteger


sistemas contra malware LISTADO DEL PERSONAL

REQUERIMIENTO 6
6.3 Desarrollar aplicaciones de software internas y externas (incluyendo el
acceso administrativo basado en la web a las aplicaciones) de forma segura,
de la siguiente manera:
6.3.a Documento que define el proceso de desarrollo de software y es basado
en estndares de industria y/o mejores prcticas. Documento
Referencia a los Estandares de industria y/o mejores prcticas usadas
6.3.b Documento que define el proceso de desarrollo de software y referencia a
los elementos de seguridad de la informacion incluidas durante el ciclo de vida.
6.3c Documento que define el proceso de desarrollo de software que defina los
requerimientos para que las aplicaciones de software sean desarrolladas
acorde a PCI - DSS.
Requerimientos de uso de puertos seguros.Guias de configuracion.
Cifrado de datos en almacenamiento. Gestion de llaves. Cifrado de datos en
transmision. Control de cambios.
Guias de desarrollo. Manejo de roles. Gestion de usuarios. Generacion y
retencion de log, entre otros.
6.3.d Listado de personal que se encarga de las labores de desarrollo
6.3.1.
-

Documento y/o seccion del documento que define el proceso de


desarrollo de software donde establece los requerimientos para que
cuentas, identificadores de usuario y/o contraseas de aplicaciones
desarrolladas y en preproduccion son removidas antes que el
sistema sea liberado en produccin.

Listado de personal que se encarga de las labores de gestion de


produccin

6.3.2 ---- OJO ---

Cdigo personalizado revisin antes de ponerlos en produccin o


clientes con el fin de identificar cualquier vulnerabilidad potencial de
codificacin (utilizando ya sea manualmente o procesos
automatizados) para incluir al menos lo siguiente:

6.3.2.a
-

Documento y/o seccion del documento del proceso de desarrollo de


software donde establece los procesos para que cdigo de
aplicaciones personalizadas debe ser revisado de forma automatica o
manual y establecer que los cambios de codigo deben ser revisados
por individuos diferentes al autor y que tengan conocimientos en
revision de codigo y prcticas de codificacion segura.

Documento y/o seccion del documento del proceso de desarrollo de


software donde establece los procesos para que codigo de
aplicaciones personalizadas debe ser revisado de forma automatica o
manual y establece que las revisiones de codigo deben garantizar
que el codigo es desarrollado a las guias de codificacion segura del
requerimiento 6.5 de PCI DSS

Documento y/o seccin del documento del proceso de desarrollo de


software donde establece los procesos para que codigo de
aplicaciones personalizadas debe ser revisado de forma automatica o
manual y establece que correcciones apropiadas deben ser
implementadas antes de liberacin.

Documento y/o seccion del documento del proceso de desarrollo de


software donde establece los procesos para que codigo de
aplicaciones personalizadas debe ser revisado de forma automtica o
manual y establece que los revisados de la revisin de cdigo deben
ser aprobados por un cargo gerencial antes de su liberacin.

Listado de personal que se encarga de la revision de cambios de


codigo para todas las aplicaciones personalizadas - listado

Documento y/o seccion del documento de las guias para revision de


codigo acorde al requerimiento 6.5

Personal de nivel gerencial responsable de la aprobacion de las


revisiones de codigo antes de liberacion.

6.3.2.b
-

Listado de los cambios de sofware de aplicaciones desarrolladas de


los ultimos 6 meses - REGISTRO

Registro (Actas, correos electronicos, reporte, informe) de las


revisiones de codigo de 10 cambios donde se evidencie el personal
responsable de realizar la revision de codigo y que fue ejecutado
acorde a el proceso documentado REGISTRO

Para el listado de personal que se encarga de la revision de cambios


de codigo para todas las aplicaciones personalizadas anexar los
certificados, y/o registros de capacitaciones en revision de codigo y
practicas de codificacion segura REGISTRO

Registro (Actas, correos electronicos, reporte, informe) de las


revisiones de codigo de 10 cambios donde se evidencie que el
codigo fue revisado revisando las buenas practicas en seguridad
documentadas en las guias del requerimiento 6.5 de PCI DSS
REGISTRO

Registro (Actas, correos electronicos, reporte, informe) de las


revisiones de codigo de 10 cambios donde se evidencie que se
implementaron las correcciones necesarias de los elementos
identificados en las revisiones de codigo REGISTRO

Registro (Actas, correos electronicos, reporte, informe) de las


revisiones de codigo de 10 cambios donde se evidencie la revision y
aprobacion por un cargo gerencial antes de paso a produccin

6.4 Siga los procesos y procedimientos de control de cambio para todos los
cambios en los componentes del sistema. Los procesos deben incluir lo
siguiente:
-

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que ambientes
de ruebas/desarrollo son separados de ambientes de produccin, con
control de acceso para reforzar la separacion.

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que debe existir
una separacin de funciones entre el personal asignado a ambientes
de pruebas desarrollo y al personal asignado a ambientes de
produccion.

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que informacion
de produccin (PANs vivos) no son usados para pruebas o
desarrollo.

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que datos y
cuentas de pruebas son eliminados antes que sistemas en
produccion sean activos.

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que
procedimientos de control de cambio relacionados con la
implementacion de parches de seguridad y modificaciones de
software son documentados

6.4.1 Entornos de desarrollo / prueba separados de los entornos de produccin,


y se hacen cumplir la separacin con controles de acceso.

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que ambientes
de pruebas/desarrollo son separados de ambientes de produccin,
con control de acceso para reforzar la separacion.

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que debe existir
una separacin de funciones entre el personal asignado a ambientes
de pruebas desarrollo y al personal asignado a ambientes de
produccion

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que informacion
de produccin (PANs vivos) no son usados para pruebas o desarrollo

Documento o seccin del documento de las politicas y


procedimientos de control de cambios que indiquen que datos y
cuentas de pruebas son eliminados antes que sistemas en
produccion sean activos

Documento o
procedimientos
procedimientos

seccin del documento de las politicas y


de control de cambios que indiquen que
de control de cambio relacionados con la

implementacion de parches de seguridad y modificaciones de


software son documentados

6.4.1.a
-

Documento y/o seccion del documento (p.e Estandar de


configuracion de firewall, diagramas de re) de gestion de redes que
muestre como los ambientes de desarrollo/prueba y produccion se
encuentran separados.

Captura de pantalla de la configuracion de los dispositivos de red que


realizan la separacion de los ambientes de desarrollo/pruebas del
ambiente de produccion donde se evidencie la separacion de
ambientes realizada. registro

Descripcion del control de acceso utilizado para separar los


ambientes de desarrollo/pruebas del ambiente de produccion.
registro

Captura de pantalla de la configuracion de los dispositivos de red que


realizan la separacion de los ambientes de desarrollo/pruebas del
ambiente de produccion donde se evidencie el control de acceso
utilizado para realizar la separacion de ambientes registro

Listado de personal asignado a los ambientes de desarrollo/pruebas


Listado Entrevista
Listado del personal asignado a ambiente de produccion Listado
Entrevista

6.4.2

6.4.3
6.4.3.a
-

Listado de personal responsable del procedimiento que asegura que


los datos en produccion (PANs reales) no son usados en pruebas o
desarrollo

Documento del procedimiento que busca garantizar que datos de


produccion (PANs reales) no son usados para pruebas

Documento del procedimiento que busca garantizar que datos de


produccion (PANs reales) no son usados para desarrollo

6.4.3.b
-

Muestra de datos de prueba usada para pruebas registro


Muestra de datos de prueba usada para desarrollo registro

6.4.4.
6.4.4.a
-

Listado de personal responsable de la eliminacion de datos de


prueba y cuentas antes que el sistema sea puesto en produccion.
Listado entrevisa

Registro/acta/email de la ejecucion del Procedimiento de eliminacion


de datos de pruebas antes que el sistema en produccion sea
activado registro

Documento del Procedimiento de eliminacion de cuentas de pruebas


antes que el sistema en produccion sea activado

6.4.4.b
-

Capturas de pantalla de los sistemas(p.e aplicaciones, sistemas


operativos, elementos de red, servidores de aplicacion, entre otros)
que han sido instalados o actualizados durante los ultimos 3 meses
que evidencien que datos de prueba han sido eliminados antes que
el sistema sea activado registro

6.4.5 Cambios de procedimientos de control para la aplicacin de parches de


seguridad y las modificaciones de software debe incluir lo siguiente:
6.4.5.a
-

Documento y/o seccion del documento de los procedimientos de


control de cambios relacionados con la aplicacin de parches de
seguridad y modificaciones de sofwares que incluyan procedimientos
para documentar el impacto

Documento y/o seccion del documento de los procedimientos de


control de cambios relacionados con la aplicacin de parches de
seguridad y modificaciones de sofwares que incluyan procedimientos
para documentar la aprobacion del cambio por partes autorizadas

Documento y/o seccion del documento de los procedimientos de


control de cambios relacionados con la aplicacin de parches de
seguridad y modificaciones de sofwares que incluyan procedimientos

para realizar pruebas funcionales para verificar que el cambio no


afecta negativamente la seguridad del sistema
-

Documento y/o seccion del documento de los procedimientos de


control de cambios relacionados con la aplicacin de parches de
seguridad y modificaciones de sofwares que incluyan procedimientos
para actividades de reversa (Back-out)

Listado de cambios ejecutados en el 10% de componentes de


sistema por cada tipo de componente (Sistemas operativos, firewalls,
switches, routers, motores de bases de datos, servidores de
aplicacin, servidores web, aplicaciones, SAN, switches SAN,
dispositivos wireless, PBX, IVR, software de seguridad, terminales
POS entre otros) si el porcentaje resultante es menor a 5, usar 5
componentes de sistema. REGISTRO

Listado del personal responsable de los cambios o parches de


seguridad LISTADO ENTREVISTA

Para cada componente de sistema seleccionado en el requerimiento


6.4.5.b el listado de cambios ejecutados (cambios de configuracion,
parches de seguridad, cambios en las aplicaciones, entre otros)
durante los ultimos 3 meses. REGISTRO

6.4.5b

6..4.5.1
-

Para cada componente de sistema usado en el requerimiento 6.4.5.b


el REGISTRO donde se evidencie que se incluye el impacto en la
documentacion de control de cambio en los cambios ejecutados
(cambios de configuracion, parches de seguridad, cambios en las
aplicaciones, entre otros). registro

6.4.5.2
-

Para cada componente de sistema usado en el requerimiento 6.4.5.b


el REGISTRO
donde se evidencie la aprobacion por partes
autorizadas en la documentacion de control de cambio en los
cambios ejecutados (cambios de configuracion, parches de
seguridad, cambios en las aplicaciones, entre otros). - registro

6.4.5.3 Prueba de funcionalidad para verificar que el cambio no afecta


negativamente a la seguridad del sistema.
-

Para cada componente de sistema usado en el requerimiento 6.4.5.b


el REGISTRO
donde se evidencien las pruebas funcionales
ejecutadas en la documentacion de control de cambio en los cambios

ejecutados (cambios de configuracion, parches de seguridad,


cambios en las aplicaciones, entre otros). Registro
-

Listado de cambios ejecutados en el 10% de las aplicaciones de


codigo personalizado; si el porcentaje resultante es menor a 5, usar 5
aplicaciones. Registro

Para cada cambio usado en el requerimiento 6.4.5.3.b el REGISTRO


donde se evidencien que todas las actualizaciones de codigo son
probadas acorde con el requerimiento 6.5 de PCI DSS antes que el
sistema sea desplegado en produccion Registro

6.4.5.4
-

Para cada componente de sistema usado en el requerimiento 6.4.5.b


el REGISTRO donde se evidencien los procedimientos de reversa
(back-out) en la documentacion de control de cambio en los cambios
ejecutados (cambios de configuracion, parches de seguridad,
cambios en las aplicaciones, entre otros). Registro

6.5 Frente a las vulnerabilidades de codificacin comunes en los


procesos de desarrollo de software de la siguiente manera:
6.5.a. Documento y/o seccion del documento de politicas y
procedimientos de desarrollo de software que especifique que el
entrenamiento en tecnicas de codificacion segura es requerido para
los desarrolladores CAPACITACION
6.5.b
software

Listado de personal encargado de labores de desarrollo de

6.5.c Registro (actas, certificaciones, entre otras) del entrenamiento en


tecnicas de codificacion segura. Los registros de capacitacion deben
mostrar adicionalmente que el personal fue capacitado en como evitar
vulnerabilidades comunes y recibir formacion de como manejar
datos sensibles en memoria

Documento del Resumen/Temario de la formacin recibida por parte de


los desarrolladores - Registro

6.5.d
Documento y/o seccin del documento de politicas y
procedimientos de desarrollo de software que especifique que las
aplicaciones son protegidas como minimo de las vulnerabilidades del
requerimiento 6.5.1 al 6.5.10.

- Listado de personal encargado de labores de desarrollo de software

6.5.1
Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
validar entradas de usuario. documento

Documento y/o seccion del documento de politicas y procedimientos de


desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
truncar las cadenas de entrada documento

ZENDFORM
6.5.2
- Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
validar las fronteras de los buffers
- Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
truncar las cadenas de entrada documentacin
6.5.3 almacenamiento criptogrfico inseguro.
- Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
prevenir banderas criptogrficas
-

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para usar algoritmos y llaves criptograficas fuertes

6.5.4 Comunicaciones Inseguras

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para autenticar todas las comunicaciones sensibles.

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para encriptar todas las comunicaciones sensibles

6.5.5 Control de errores incorrecto


- Documento y/o seccion del documento de politicas y procedimientos
de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para hacer un manejo adecuado de los errores y prevenir revelar
informacion mediante los mensajes de error
6.5.6 vulnerabilidades de "alto riesgo" identificados en el proceso de
identificacin de vulnerabilidades (como se define en la norma PCI
DSS Requisito 6.1).
-

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para direccionar las vulnerabilidades altas identificadas en el
requerimiento 6.1 de PCI DSS.

6.5.7 Cross-site scripting (XSS).


-

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para validar todos lo parametros antes de la inclusin

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para utilizar escaping sensible al contexto

6.5.8 control de acceso incorrecto (por ejemplo, referencias directas inseguros


objeto, el fracaso para restringir el acceso URL, salto de directorio, y la
falta de restringir el acceso de los usuarios a las funciones).

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas

de codificacion segura en los lenguajes de programacion usados


para hace una autenticacion apropiada de usuarios
-

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para limpiar las entrada

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para no exponer referencias a objetos internos a los usuarios

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para usar interfaces de usuarios para no permitir acceso a funciones
no autorizadas

6.5.9 Entre sitios de falsificacin de peticin (CSRF).


-

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para prevenir CSRF

6.5.10 autentificacin y Gestin de Sesiones.


- Documento y/o seccion del documento de politicas y procedimientos
de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para etiquetar tokens de autenticacion (p.e cookies) como "secure"

6.6

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para no exponer identificadores de sesion en la URL

Documento y/o seccion del documento de politicas y procedimientos


de desarrollo de software que especifique las guias de las tecnicas
de codificacion segura en los lenguajes de programacion usados
para implementar rotacion de time-outs y rotacion de ID de sesion
despues de un login exitoso.

- Listado de las aplicaciones web de cara al publico indicando el


metodo usado para proteger de ataques conocidos (WEB application
vulnerability security assessments y/o solucion automatica para detectar
y prevenir ataques basado en web tales como Web Application firewalls).
- REGISTRO

Documento y/o seccion del documento del proceso documentado que


indique que las aplicaciones de cara al publico deben ser revisadas al
menos anualmente

Documento y/o seccion del documento del proceso documentado que


indique que las aplicaciones de cara al publico deben ser revisadas
despues de cualquier cambio

Documento y/o seccion del documento del proceso documentado que


indique que las aplicaciones de cara al publico deben ser revisadas
por una organizacin especializada en seguridad de aplicaciones

Documento y/o seccion del documento del proceso documentado que


indique que las aplicaciones de cara al publico deben ser revisadas
analizando como minimo las vulnerabilidades incluidas en el
requerimiento 6.5

Documento y/o seccion del documento del proceso documentado que


indique que las aplicaciones de cara al publico deben corregir todas
las vulnerabilidades posterior a la revisin

Documento y/o seccion del documento del proceso documentado que


indique que las aplicaciones de cara al publico deben ser
reevaluadas despues de la aplicacin de correciones

Listado de personal responsable de la revision de aplicaciones de


cara al publico Listado Entrevista

6.7 Documento y/o seccion del documento de la politica de seguridad para


desarrollar y mantener sistemas y aplicaciones seguros.

Documentos de los Procedimientos operacionales del presente


requerimiento:

Definir procedimientos operacionales de recepcin, ranking y envo


de vulnerabilidades al interior de la organizacin

Procedimiento de instalacin de parches

Procedimiento de revisin de cdigo

Procedimientos de implementacin de parches de seguridad

Procedimiento de implementar modificaciones de software

Procedimiento de autorizacin de modificacin de listas de control de


acceso a los entornos de produccin y desarrollo/pruebas

Procedimiento de eliminacin de datos de pruebas.

Procedimientos de revisin de no existencia de PANs vivos en


desarrollo/pruebas

Procedimientos de cambios estndar

Procedimiento de desarrollo seguro, que incluya requerimiento 6.5.*

Procedimiento para revisin aplicaciones web publicas

Personal responsable de las polticas de seguridad y procedimientos


operacionales para desarrollar y mantener sistemas y aplicaciones seguros

REQUERIMIENTO 7
Implementar medidas de control de acceso Fuertes
Limitar el acceso a los componentes del sistema y los datos de los
titulares de aquellos individuos cuyas tareas necesitan de ese acceso.

Documento o seccion del documento que defina la politica para control de


acceso que establezca las necesidades de acceso y la asignacion de
privilegios para cada rol

Documento o seccion del documento que defina la politica para control de


acceso que establezca la restriccion de acceso paralos ID de usuario
privilegiado a los minimos privilegios necesarios para ejecutar las
responsabilidades del trabajo

Documento o seccion del documento que defina la politica para control de


acceso que establezca la asignacion de acceso basado en la clasificacion
y funcion del trabajo individual del personal.

Documento o seccion del documento que defina la politica para control de


acceso que establezca aprobacion documentada por partes autorizadas

para todos los accesos incluyendo listado de privilegios especificos


aprobados.
7.1.1
-

Listado de roles de la organizacin junto con las necesidades de acceso


para cada rol que incluya:

Informacin de a que componentes de sistema tienen acceso cada rol y

A que recursos de datos requiere accesar para desempear las funciones


de su trabajo registro

7.1.2.a Listado de personal responsable de la asignacin de accesos tanto a


usuarios normales como a usuarios privilegiados. Listado entrevista
7.1.2.b Listado de usuarios privilegiados en la totalidad de componentes de
sistema. Registro
7.1.2.c Listado de personal responsable de la definicin de roles de la
organizacin Listado Entrevista

Anda mungkin juga menyukai