👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 8.2.2, 8.2.5, 8.2.7, 8.3.1, 8.3.2, 8.3.4, 8.3.8, 8.3.11, 8.4.1, 8.4.2, 8.4.3, 8.5.1, 8.6.2, 8.6.3
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a recopilar las capturas de pantalla pertinentes donde se muestra la implementación correcta de los controles de seguridad solicitados en el requisito 8, que posteriormente serán tu evidencia de cumplimiento.
💡 Las capturas de pantalla que generes deben mostrar la fecha y hora de la captura.
¿Qué tengo que hacer? 🚀
Para realizar este documento debes considerar todas las evidencias pertinentes para el cumplimiento del requisito 8 de PCI DSS, que se encuentren apegadas a las políticas y procedimientos realizados, como lo son:
Y para ello, te recomendamos aplicar las siguientes revisiones:
Configuración de usuarios y administradores durante el ciclo de vida.
Aquí deberás presentar evidencia de una muestra de componentes que tenga lo siguiente:
Que no se usan usuarios grupales para la administración de datos de tarjeta.
Que se muestre correctamente la baja de un usuario.
Que se muestre que las cuentas de usuario inactivas, se eliminan o inhabilitan dentro de los 90 días de inactividad.
Que se muestre que se configura que todo acceso por parte de los usuarios y administradores, sea por contraseña o token.
Que se muestre que se configura que toda contraseña se cifra cuando se transmite y se almacene.
Que se muestre que se configuran los sistemas y aplicaciones para que los intentos de autenticación inválidos se limitan mediante:
El bloqueo del ID de usuario después de no más de 10 intentos.
El establecimiento de la duración del bloqueo es de un mínimo de 30 minutos, o hasta que se confirme la identidad del usuario.
Que se muestre que en los componentes se configura para el cambio de contraseña obligatorio después del primer uso.
Que se muestre que se configuran los sistemas para solo aceptar contraseñas con los siguientes requisitos:
Una longitud mínima de 12 caracteres (solo si el sistema no admite 12 caracteres, debe tener una longitud mínima de 8 caracteres).
Contener tanto caracteres numéricos como alfabéticos.
Que se muestre que los sistemas se configuran para que los usuarios no puedan enviar una nueva contraseña/frase de contraseña, que sea igual a cualquiera de las últimas cuatro contraseñas/frases de contraseña utilizadas.
Que se muestre que los sistemas se configuran para que las contraseñas se cambien al menos una vez cada 90 días.
Múltiple factor de autenticación.
Aquí deberás presentar evidencia de una muestra de componentes del sistema que muestren que se cuenta con la implementación del múltiple factor de autenticación para el acceso remoto al CDE (Cardholder Data Enviroment), o al acceso a un dato de tarjeta en la base de datos.
Nuestro template está estructurado para ayudarte a recopilar fácil y rápidamente toda tu evidencia, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
No olvides que, para que tu evidencia sea válida, todas las capturas de pantalla deberán contener fecha y hora, y con una buena calidad.
Incluye todas las evidencias que consideres necesarias.
Las evidencias que utilices no deben sobrepasar una “vigencia” mayor a tres meses (esto en los casos donde sea aplicable).
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.