Seguridad y cumplimiento de la información de Edgio – Cumplimiento PCI-DSS 4,0

Esbozo

Páginas relacionadas

La suite de seguridad de Edgio ofrece un enfoque robusto e integrado para implementar y proteger rápidamente las aplicaciones web, alineándose con los controles de seguridad PCI DSS para garantizar una protección y cumplimiento integrales.

El Consejo de Normas de Seguridad PCI encabeza la iniciativa global para reforzar la seguridad de los pagos dentro del ecosistema de datos de los titulares de tarjetas. Establecido en 2004, el estándar de seguridad de datos PCI (PCI DSS) ha surgido como el punto de referencia universal para asegurar la información de los titulares de tarjetas. El cumplimiento de PCI DSS es imprescindible para todas las organizaciones que procesan, almacenan o transmiten datos de autenticación confidenciales y de titulares de tarjetas, garantizando la integridad del entorno de datos del titular de la tarjeta.

La actualización de PCI DSS 3,2 a 4,0 representa una evolución fundamental del estándar. Con la jubilación de 3,2 el 31 de marzo de 2024, PCI DSS 4,0 tendrá prioridad. Se concede a las organizaciones un plazo de dos años para adoptar y aplicar las nuevas prácticas óptimas delineadas en 4,0. A partir del 31 de marzo de 2025, la adhesión a estas prácticas será obligatoria para mantener el cumplimiento de la norma actualizada.

Cómo mantener el cumplimiento continuo de PCI DSS

La solución de seguridad de Edgio ofrece una solución robusta e integral para garantizar el cumplimiento de PCI DSS, protegiendo a las empresas de las repercusiones del incumplimiento, como multas elevadas, batallas legales costosas, daños a la marca y disminución de la confianza del consumidor. La transición a PCI DSS 4,0 puede ser desalentadora, pero la solución de seguridad de Edgio agiliza el proceso, ofreciendo un conjunto de servicios que son fáciles de implementar en varios entornos sin las complejidades y los altos costos asociados con las herramientas de seguridad tradicionales.

Nuestro servicio incluye software basado en la nube, análisis y un equipo de analistas de seguridad expertos que supervisan su entorno las 24 horas del día. Con nuestras soluciones de detección y respuesta gestionadas (MDR) y firewall de aplicaciones web gestionadas (WAF), ofrecemos:

  • Análisis de datos de registro de eventos para detectar posibles incidentes de seguridad, como bloqueos de cuentas, inicios de sesión fallidos, nuevas cuentas de usuario e intentos de acceso no autorizados.
  • Identificación de incidentes que requieren investigación, notificación para revisión y creación de una pista de auditoría de incidentes para auditores.
  • Revisión de expertos y asistencia en la resolución de disputas con informes de escaneo PCI ASV.
  • Monitoreo de las actividades de recopilación de registros y alertas cuando no se recopilan registros.
  • Configuración, supervisión y ajuste regular de los firewalls de aplicaciones web para bloquear el tráfico web malicioso.

La introducción de PCI DSS 4,0 ha hecho de los firewalls de aplicaciones web un requisito obligatorio para «detectar y prevenir continuamente ataques basados en web» contra aplicaciones y API. El WAF administrado de Edgio no solo cumple con este requisito, sino que también proporciona controles automatizados para mitigar los riesgos del lado del cliente, abordando los requisitos de 6.4.3 y 11.6,1, y reduciendo la necesidad de múltiples herramientas de seguridad. Nuestra solución está diseñada para proteger su negocio de manera integral, asegurando que usted se mantenga a la vanguardia de las amenazas de seguridad y mantenga el cumplimiento con facilidad.

Requisitos de PCI DSS 4,0 y Edgio Security

Requisito 6 de PCI DSS 4,0: Desarrollar y mantener sistemas y software seguros

El requisito 6 exige que las organizaciones se aseguren de que todos los sistemas y software estén protegidos contra vulnerabilidades conocidas mediante la implementación de parches de seguridad críticos y la adopción de prácticas de desarrollo seguras. Esto incluye mantener un inventario actualizado de software, implementar procesos de control de cambios para gestionar cambios en los componentes del sistema y garantizar que las características de seguridad se incluyan en el desarrollo de aplicaciones.

Edgio aborda este requisito con las siguientes soluciones:

Descubrimiento y auditoría de activos: La protección del lado del cliente cataloga y realiza un seguimiento de los activos en uso por el cliente.

Análisis de vulnerabilidades: Attack Surface Management (ASM) permite a una organización obtener una visión completa de todas sus propiedades y posibles vulnerabilidades. Los CVE se pueden asignar a los propietarios y abordar rápidamente.

Detección de endpoints: La seguridad de API supervisa, aplica esquemas e informes sobre el uso de API.

Requisito 10 de PCI DSS 4,0: Seguimiento y monitoreo de todo el acceso a recursos de red y datos de titulares de tarjetas

El Requisito 10 se centra en la importancia de rastrear y monitorear todo el acceso a los recursos de la red y a los datos de los titulares de tarjetas para detectar y responder a incidentes de seguridad de manera oportuna. Se exige a las organizaciones que implementen mecanismos de registro y se aseguren de que los registros se revisen periódicamente. Este requisito también incluye garantizar que los registros sean seguros, completos y precisos.

Edgio aborda este requisito con las siguientes soluciones:

  • Informes y registros en tiempo real: Edgio proporciona acceso a los registros de compilación, servidor y acceso.
  • Protección del lado del cliente: Edgio monitorea scripts y API del lado del navegador para evitar la exfiltración de datos.
  • Monitoreo continuo: Edgio monitorea continuamente el tráfico en todo su sistema, y aprovecha EL ML y la IA para eliminar y alertar sobre problemas. Esto incluye el estado de toda la red y los sistemas dentro de ella.

PCI DSS 4,0 Requisito 11: Prueba de Sistemas y Procesos de Seguridad

El Requisito 11 requiere que las organizaciones prueben regularmente los sistemas y procesos de seguridad para garantizar que sean eficaces en la protección de los datos de los titulares de tarjetas. Esto incluye la realización de análisis de vulnerabilidades, pruebas de penetración y pruebas de detección de intrusiones para identificar y abordar las debilidades de seguridad.

Edgio aborda este requisito con las siguientes soluciones:

  • Gestión de superficie de ataque (ASM): La solución ASM de Edgio proporciona una visión completa de toda la arquitectura frente a Internet. Esto incluye un inventario de vulnerabilidades para el registro y la asignación a los propietarios para el seguimiento.
  • Firewall de aplicaciones web (WAF): El WAF administrado de Edgio proporciona un conjunto de reglas continuamente actualizado para abordar vulnerabilidades. Además, puede atrapar cosas como inyección SQL, scripting cruzado, u otra manipulación de solicitudes.
  • Gestión de bots: Edgio proporciona una herramienta de gestión de bots para garantizar que los bots no abusen de las páginas para acciones como el relleno de credenciales.
  • API Security: Cumplimiento de la validación de esquemas de llamadas API.
  • Centro de Operaciones de Seguridad (SOC): Monitorea y mantiene alertas de comportamiento anormal.

Requisito 12 de PCI DSS 4,0: Implementar una política que aborde la seguridad de la información

El Requisito 12 consiste en mantener una política que aborde la seguridad de la información para todo el personal. Esta política debe incluir un compromiso organizativo con la seguridad, funciones y responsabilidades en materia de seguridad, y procedimientos operativos que se actualicen regularmente para reflejar los cambios en los objetivos de negocio o el entorno de riesgo.

Edgio aborda este requisito con las siguientes soluciones:

  • Centro de Operaciones de Seguridad (SOC): El SOC de Edgio mantiene un conjunto completo de procesos para la detección y respuesta administradas a eventos de seguridad. Pueden implementar rápidamente reglas de toda la red en caso de vulnerabilidades de día cero o ataques. Mantienen una política integral del SLA para la escalada y la respuesta de 24/7.

Documentos conexos

Informe ESG de 2022