Registro.
5.1.2
Listado de personal responsable del monitoreo y
evaluacin de amenazas emergentes para sistemas que no son
consideradas comnmente afectadas por software malicioso.
Para confirmar que dichos sistemas no continuan requiriendo
software
antivirus.
Registros de la evaluacion de amenazas emergentes Registro
5.2 Ensure that all anti-virus mechanisms are maintained as
follows:
5.2.a
Documento y/o seccion del documento de politicas y
procedimientos que indiquen que el software antivirus y las
definiciones se requieren mantener actualizadas.
Documentacion
REGISTRO
- Capturas de pantalla del antivirus instalado y funcionando en el 10%
de los componentes o si la cifra es inferior a 5, usar 5 componentes
de sistema por cada tipo de componente (Sistemas operativos
windows, linux, AIX, solaris, entre otros) donde se evidencie que
analisis periodicos son ejecutadas .
REGISTRO
5.2.d
5.3 Ensure that anti-virus mechanisms are actively running and cannot be
disabled or altered by users, unless specifically authorized by management
on a case-by-case basis for a limited time period.
5.3.a Capturas de pantalla del antivirus instalado y funcionando en el 10% de los componentes o
si la cifra es inferior a 5, usar 5 componentes de sistema por cada tipo de componente (Sistemas
operativos windows, linux, AIX, solaris, entre otros) donde se evidencie que se encuentra activo
ejecutandose
Capturas de pantalla de la consola central de antivirus (si aplica) donde se evidencie que los
agentes se encuentran ejecutando. Registro
5.3.b Capturas de pantalla del antivirus instalado y funcionando en el 10% de los componentes o
si la cifra es inferior a 5, usar 5 componentes de sistema por cada tipo de componente (Sistemas
operativos windows, linux, AIX, solaris, entre otros) donde se evidencie que no puede ser
alterado por los usuarios
Capturas de pantalla de la consola central de antivirus (si aplica) donde se evidencie que los
agentes tienen polticas que evitan que los usuarios lo deshabiliten o desactiven.
5.3.c
- Listado del personal responsable para autorizar la desactivacion del antivirus por un periodo l
imitado de tiempo. Listado Entrevista
- Documento del proceso para autorizar la desactivacion del software antivirus durante un
periodo limitado de tiempo.
REQUERIMIENTO 6
6.3 Desarrollar aplicaciones de software internas y externas (incluyendo el
acceso administrativo basado en la web a las aplicaciones) de forma segura,
de la siguiente manera:
6.3.a Documento que define el proceso de desarrollo de software y es basado
en estndares de industria y/o mejores prcticas. Documento
Referencia a los Estandares de industria y/o mejores prcticas usadas
6.3.b Documento que define el proceso de desarrollo de software y referencia a
los elementos de seguridad de la informacion incluidas durante el ciclo de vida.
6.3c Documento que define el proceso de desarrollo de software que defina los
requerimientos para que las aplicaciones de software sean desarrolladas
acorde a PCI - DSS.
Requerimientos de uso de puertos seguros.Guias de configuracion.
Cifrado de datos en almacenamiento. Gestion de llaves. Cifrado de datos en
transmision. Control de cambios.
Guias de desarrollo. Manejo de roles. Gestion de usuarios. Generacion y
retencion de log, entre otros.
6.3.d Listado de personal que se encarga de las labores de desarrollo
6.3.1.
-
6.3.2.a
-
6.3.2.b
-
6.4 Siga los procesos y procedimientos de control de cambio para todos los
cambios en los componentes del sistema. Los procesos deben incluir lo
siguiente:
-
Documento o
procedimientos
procedimientos
6.4.1.a
-
6.4.2
6.4.3
6.4.3.a
-
6.4.3.b
-
6.4.4.
6.4.4.a
-
6.4.4.b
-
6.4.5b
6..4.5.1
-
6.4.5.2
-
6.4.5.4
-
6.5.d
Documento y/o seccin del documento de politicas y
procedimientos de desarrollo de software que especifique que las
aplicaciones son protegidas como minimo de las vulnerabilidades del
requerimiento 6.5.1 al 6.5.10.
6.5.1
Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
validar entradas de usuario. documento
ZENDFORM
6.5.2
- Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
validar las fronteras de los buffers
- Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
truncar las cadenas de entrada documentacin
6.5.3 almacenamiento criptogrfico inseguro.
- Documento y/o seccion del documento de politicas y procedimientos de
desarrollo de software que especifique las guias de las tecnicas de
codificacion segura en los lenguajes de programacion usados para
prevenir banderas criptogrficas
-
6.6
REQUERIMIENTO 7
Implementar medidas de control de acceso Fuertes
Limitar el acceso a los componentes del sistema y los datos de los
titulares de aquellos individuos cuyas tareas necesitan de ese acceso.