Ir al contenido principal

5. Lineamientos de Seguridad de Red

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 1.1.3, 1.1.7, 1.2.1, 1.3.1

  • PCI DSS v4.0: 1.2.1, 1.2.7, 1.2.8, 1.3.1, 1.3.2, 1.3.3, 1.4.1, 1.4.2, 1.4.3, 1.4.4, 1.4.5, 1.5.1, 10.7.1, 10.7.2, 10.7.3, 11.5.1, 11.5.1.1, 11.5.2, 11.6.1

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a establecer todos los lineamientos y medidas de seguridad necesarios para configurar y gestionar adecuadamente los NSC (Network Security Controls, por sus siglas en inglés; este término fue introducido en la v4.0 del estándar PCI DSS).

💡 Algunos ejemplos de controles de seguridad de red son los diferentes tipos de firewalls, WAFs, VPNs, sistemas de detección y prevención de intrusos (IDS/IPS), segmentación de red, entre otros.

¿Qué tengo que hacer? 🚀

Para crear este documento debes analizar y documentar todos los lineamientos y medidas que aplicas, o puedes aplicar dentro de la empresa, para lograr un adecuado nivel de seguridad de red. Y para esto, te sugerimos considerar, por lo menos, las siguientes acciones:

  • Define cuáles serán los controles de seguridad de red (NSC) que vas a utilizar y establece todos los aspectos relevantes sobre ellos, es decir cómo los vas a implementar, configurar y monitorear, cuál será la periodicidad de revisión con la que estarás verificando su correcto funcionamiento, cuáles son los documentos de apoyo que usarás para gestionarlos correctamente, etcétera.

Algunos ejemplos de cómo documentar estos aspectos se ven de la siguiente manera:

  • Debe existir un firewall entre todas las conexiones a internet internas y externas (incluyendo redes inalámbricas), y entre una DMZ en el entorno de datos del titular de la tarjeta.

  • Se deben probar y autorizar todos los cambios en las configuraciones de los NSC mediante un sistema de notificaciones de administración de cambios y de acuerdo al Procedimiento de Control de Cambios establecido por la empresa.

  • Semestralmente, el CTO debe revisar las configuraciones de red y verificar que los NSC estén en su lugar en cada conexión a internet, entre una DMZ y la zona de red interna.

💡 Todos los ejemplos anteriores los puedes encontrar dentro de nuestro template.

  • Establece los criterios necesarios para garantizar que los diagramas de infraestructura, de red y de flujos de datos de tarjeta estén siempre actualizados, y que cuenten con todos los aspectos requeridos para el cumplimiento del estándar PCI DSS.

  • Indica las consideraciones y lineamientos pertinentes para el uso de un firewall personal, de forma que no solo protejas el tráfico dentro de la red de la organización, si no que también protejas los dispositivos móviles usados para realizar funciones de trabajo, y asegures la información que pasa a través de ellos.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu documento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Revisa estos lineamientos por lo menos cada seis meses, y actualízalos siempre que sea necesario para garantizar que cubren las necesidades de seguridad de tu empresa.

  • Comunica estos lineamientos a todos los colaboradores y responsables involucrados. Y asegúrate de que sean implementados correctamente.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
9. Puntos de revisión para Requisito 1
8. Revisión de las configuraciones NSC
6. Política de Configuración de Equipos de Red
58. Procedimiento de Seguimiento PCI
57. Política de Seguridad de la Información 
¿Ha quedado contestada tu pregunta?