Español | English
rss facebook linkedin Twitter

Bitacora 4.0, solución ideal para la adaptación a la normativa PCI DSS

Como fruto de una progresiva concienciación sobre seguridad que lleva promoviendo S21sec junto a otros agentes desde hace tiempo, ya han visto la luz o se encuentran en trámite normativas o estándares de ámbito nacional o internacional como la ley Sarbanes-Oxley (SOX), la Norma ISO/IEC 27002, “Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”, la legislación en materia de protección de datos de carácter personal (LOPD y Reglamento de Medidas de Seguridad) o COBIT (Control Objectives for Information and related Technologies), que contemplan aspectos relacionados con la gestión de la seguridad de la información. La mayoría de ellas incluye requerimientos específicos en relación a la monitorización de los sistemas de información y la retención de registros de auditoría.

La monitorización de los sistemas es uno de los aspectos contemplados por el Payment Card Industry Data Security Estándar (PCI DSS), estándar que establece un conjunto de medidas que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos realizados con tarjeta. Estas medidas son aplicables a todos aquellos sistemas que almacenan, procesan o transmiten datos de titulares de tarjetas (host, firewalls, routers, servidores de banca electrónica, bases de datos asociadas, aplicaciones específicas de banca,…).

Las principales marcas de tarjetas, como Visa, Mastercard o American Express, exigen el cumplimiento de PCI DSS tanto por parte de las entidades financieras como por parte de los comercios y proveedores de servicios. Con el fin de validar este cumplimiento, se exige la realización de escaneos de red trimestrales y, en determinados casos, de auditorías anuales in situ que deberán revisar, entre otros aspectos, los mecanismos de gestión de logs implantados en el marco de los planes y programas de seguridad de la Organización.

No todas las herramientas en las que subyace esta necesaria gestión de logs se adaptan todavía al estándar PCI-DSS. S21sec ha conseguido, en cambio, disponer de un instrumento acorde con esta regulación, que cumple eficazmente su misión de detección, solución y prevención de problemas de seguridad críticos en este campo, así como de proveedor de información anticipada antes de que se produzca un posible ataque. Lo ha logrado gracias a la adaptación de la herramienta Bitacora, en su nueva versión 4.0, tras la incorporación de nuevas funcionalidades desde el centro de I+D+ i de S21sec.

Bitacora es una solución avanzada que facilita la gestión y análisis de cualquier tipo de evento, posibilitando el empleo de los logs de auditoría como posibles evidencias en un proceso judicial. No sólo reporta datos de seguridad, sino que además ofrece indicadores que ayudan en la toma de decisiones a nivel de dirección. Adicionalmente, sus nuevas funcionalidades permiten a la plataforma alinearse con diferentes productos y servicios avanzados de S21sec, para adaptarse a las necesidades reales de cada organización, según el sector en el que se encuentre. Los más comunes son el de las comunicaciones (Operadores o ISP), sector financiero, medios de pago, comercio electrónico y las administraciones públicas.

Esta herramienta es pues una solución válida para adaptarse al cumplimiento del estándar PCI DSS, ya que se encuentra en posición de cumplir los siete requisitos contemplados en el Requerimiento 10 de dicho estándar, ‘Revisión y Monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas’. Para empezar, Bitacora es capaz de relacionar todos los accesos a los componentes del sistema (aquellos que almacenan, procesan o transmiten datos de titulares de tarjetas) con un individuo en concreto, así como registrar todos los eventos exigidos por PCI DSS (accesos de los usuarios a la información, intentos de acceso no autorizados, acciones realizadas por los administradores de los sistemas,…), siempre que el dispositivo genere el correspondiente log.

El tercer requerimiento que cumple Bitacora para adaptarse a PCI DSS es permitir el registro de los campos exigidos por el estándar para cada uno de los eventos (identificación del usuario, origen del evento, fecha y hora). Contempla, asimismo, la necesaria sincronización de horas de sistemas críticos.

Por otra parte, en relación a la securización de los registros, y en base a los requerimientos de PCI DSS, Bitacora permite proteger los archivos de auditoría de posibles modificaciones no autorizadas (mediante firma digital y sellado de tiempo), realizar una copia de respaldo de los logs de forma inmediata y establecer diferentes perfiles de acceso, con el fin de limitar la visualización de los registros de auditoría a aquellos usuarios que lo necesiten para el ejercicio de sus funciones.

Existen dos últimas exigencias que han sido satisfechas gracias a las nuevas funcionalidades de Bitacora 4.0: la revisión de logs de todos los componentes del sistema al menos una vez al día, mediante la creación de un conjunto mínimo de alertas que permita monitorizar estos eventos, y el mantenimiento de un histórico de los registros de auditoría durante al menos un año, con un mínimo de tres meses de disponibilidad online.

Debido a ello, se puede afirmar que Bitacora constituye la herramienta idónea para apoyar la implantación de los requerimientos establecidos en el estándar PCI DSS en relación a la monitorización de los sistemas, favoreciendo y facilitando, al mismo tiempo, el cumplimiento de normativas y estándares aplicables a nivel internacional en materia de gestión de seguridad de la información.


Vanesa Gil (Manager Consultoría, Qualified Security Assessor)
Gonzalo Asensio (Manager Bitacora y Vulnera)

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login