👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 1.2.7
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a revisar y documentar las configuraciones de los controles de seguridad de red (NSC, Network Security Controls), que te permiten prevenir vulnerabilidades dentro de la infraestructura, con el objetivo de llevar un adecuado control de ellos.
Esta revisión te ayudará a identificar y depurar cualquier regla innecesaria, obsoleta o incorrecta, así como también configuraciones que podrían ser utilizadas por personas no autorizadas. Además, garantiza que todas las reglas y configuraciones permitan solamente los servicios, protocolos y puertos autorizados que coincidan con las justificaciones de negocio documentadas por la empresa.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad, te recomendamos realizar los siguientes pasos:
Identifica cuales son los NSC que utiliza la organización, y cuáles son las configuraciones definidas para ellos.
Esta información debe quedar registrada como puntos de revisión dentro del template que te propones para esta actividad.
💡 Recuerda que los NSC (Network Security Controls) pueden ser los firewalls, routers, WAFs, etcétera.
Realiza una revisión de las reglas y las configuraciones de los NSC para corroborar que sean necesarias, que se encuentren vigentes a las necesidades de la organización, que estén correctas, etcétera.
Esta revisión puede implementarse mediante métodos manuales, automatizados o basados en el sistema que establezca la organización, siempre y cuando se confirme que las configuraciones que controlan las reglas de tráfico de red, solo permiten la entrada y salida del tráfico autorizado.
Documenta los resultados y observaciones obtenidos de la revisión de NSC, así como el estado en el que los encontraste, es decir cumple o no cumple, para llevar un adecuado seguimiento de ellos.
Esto te ayudará también a generar la evidencia pertinente de la realización de estas revisiones.
Asigna a los responsables y las áreas involucradas de monitorear las reglas y configuraciones revisadas, y en dado caso, de remediar algún problema que se presente con ellas.
Es muy importante recordar que debes realizar estas revisiones por lo menos una vez cada 6 meses. Si tu organización cuenta con un alto volumen de cambios en sus configuraciones de red, recomendamos considerar la posibilidad de realizar revisiones con mayor frecuencia para garantizar que las configuraciones siguen satisfaciendo las necesidades del negocio.
Nuestro template está estructurado con una lista de los puntos de revisión mínimos que pide la normativa PCI DSS, así como también con los lineamientos para dar cumplimiento, y con ejemplos y recomendaciones que te servirán para terminar fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa y ampliar la lista, de acuerdo a las necesidades de tu organización 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
Revisa tus reglas y configuraciones de NSC al menos una vez cada seis meses, y cuando se hagan cambios significativos dentro de la infraestructura de la empresa.
Analiza e incluye todos los NSC que están dentro de tu alcance de certificación de PCI DSS y todas las configuraciones establecidas.
Asigna a los responsables más apropiados para llevar a cabo las revisiones y el monitoreo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.