Ir al contenido principal

32. Política de Accesos y Contraseñas

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 7.1, 8.1, 8.1.1, 8.1.2, 8.1.3, 8.1.4, 8.1.5.a, 8.1.5.b, 8.1.6.a, 8.1.6.b, 8.1.7, 8.1.8 , 8.4.a, 8.4.b, 8.5

  • PCI DSS v4.0: 7.1.1, 7.1.2, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.5, 7.2.5.1, 7.2.6, 8.1.1, 8.1.2, 8.2.1, 8.2.2, 8.2.3, 8.2.4, 8.2.6, 8.2.8, 8.3.1, 8.3.2, 8.3.3, 8.3.4, 8.3.5, 8.3.6, 8.3.7, 8.3.8, 8.3.9, 8.3.10, 8.3.10.1, 8.3.11, 8.5.1, 8.6.1, 8.6.3

¿En qué consiste esta actividad? 📚

Esta actividad te ayudará a establecer los lineamientos de seguridad necesarios para la implementación de una adecuada gestión de accesos lógicos a los activos de información de la empresa.

💡 La gestión de accesos debe considerar una segregación de funciones pertinente, es decir otorgar sólo los permisos necesarios para que cada usuario pueda llevar a cabo sus funciones laborales, así como también el uso de contraseñas seguras.

¿Cómo lo vas a lograr? 🚀

Para lograr esta actividad debes documentar una política donde establezcas todos los lineamientos y requisitos de seguridad que consideres necesarios para que el otorgamiento de accesos a los sistemas y activos de información sea ejecutado correctamente. Además, debes considerar los lineamientos para la generación y uso de contraseñas robustas.

Dentro de tu política te sugerimos considerar por lo menos los siguientes temas:

  • Lineamientos generales

  • Accesos a bases de datos

  • Lineamientos para contraseñas seguras

  • Accesos a proveedores

  • Accesos remotos

💡 Estos son los aspectos que encontrarás dentro de nuestro template.

Dentro de los temas mencionados anteriormente, se deben incluir aspectos como las altas, bajas y cambios en los usuarios y permisos, es decir que debes definir cómo deben ser solicitados, cómo deben ser ejecutados y/o eliminados, según sea el caso, y cómo deben ser comunicados, dependiendo la solicitud.

También es importante mencionar lineamientos sobre cómo vas a realizar las revisiones periódicas de los accesos y permisos asignados dentro de tus sistemas, para asegurar que se encuentren otorgados correctamente y según las funciones y necesidades de cada colaborador. Para cumplimiento del estándar PCI DSS, estas revisiones deben ser realizadas cada tres meses.

Además, debes definir directrices para restringir el acceso a información sensible, las medidas de seguridad para la correcta autenticación de usuarios en las aplicaciones y sistemas, acceso al código fuente solo a los responsables autorizados y capacitados, controles de acceso para los colaboradores trabajando de forma remota, para los usuarios administradores que, al tener permisos privilegiados, deben ser monitoreados con mayor precaución, y a proveedores o terceros que, por necesidades de negocio, deben acceder a información o activos confidenciales de la empresa, etcétera.

Algunos ejemplos de los lineamientos que debes incluir en esta política para el cumplimiento de los requisitos PCI DSS son los siguientes:

  • Las contraseñas generadas deben tener una longitud mínima de 12 caracteres, o si el sistema no admite 12 caracteres, una longitud mínima de 8 caracteres.

  • Las contraseñas deben contener caracteres numéricos, símbolos y letras mayúsculas y minúsculas.

  • Las contraseñas deben ser modificadas, por lo menos cada 90 días.

  • Al menos semestralmente se debe realizar una revisión de cuentas de usuario y de los privilegios de acceso relacionados, para asegurarse de que las cuentas de usuario y el acceso sigan siendo apropiados según la función del trabajo.

  • Trimestralmente se debe realizar una revisión para identificar, eliminar o desactivar los IDs de usuarios redundantes, que han abandonado la organización o que están en inactivos (sin actividad).

Otros lineamientos para implementar las mejores prácticas que puedes incluir en esta política son los siguientes:

  • Los accesos, consultas y acciones del usuario realizadas en las bases de datos se realizan a través de privilegios mínimos del usuario.

  • Contar con mecanismos de autenticación como el MFA.

  • Cada colaborador debe contar con usuario único para acceder a los sistemas.

  • Para proveedores, el acceso solo estará disponible por un tiempo definido para realizar el servicio de soporte, mantenimiento o actividad asociada, y serán deshabilitados cuando no estén en uso, entre otros.

El objetivo de todos estos lineamientos y en general, de esta política es que puedas limitar el acceso a los datos del titular de la tarjeta, en todos los lugares donde se encuentren, solo a personas cuyos trabajos efectivamente los requieran.

Utilizar IDs únicos para los usuarios te ayudará también a conocer a los colaboradores vinculados a dichos IDs, y hacerlos responsables de sus acciones, llevando una correcta trazabilidad de las actividades realizadas en los sistemas.

Te recomendamos siempre realizar previas autorizaciones de acceso con los propietarios de la información, los administradores de los sistemas, los dueños de los activos o los gerentes pertinentes, para garantizar que el acceso esté debidamente justificado.

Nuestro template está estructurado para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

    • Para este caso puedes subir una captura de pantalla de la vista principal del módulo.

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Revisa periódicamente que se cumpla lo establecido en la política, se recomienda hacerlo al menos una vez al año.

  • Implementa todas las medidas de seguridad que estén a tu alcance. Si hay algo que no puedas aplicar, procura siempre buscar el control o la medida de seguridad más alineada a lo solicitado por el estándar PCI DSS.

  • No olvides también ajustar tu Procedimiento de Gestión de Accesos a lo establecido en esta política.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
28. Política de Tecnología y Operaciones de TI
42. Política de Gestión de Logs
55. Política de Relación con Proveedores
11. Documentación de Hardening
37. Política de Seguridad Física y Ambiental
¿Ha quedado contestada tu pregunta?