Consejos para cumplir los requisitos de actualización de PCI DSS
Los piratas informáticos atacan con frecuencia los datos del sector de las tarjetas de pago (PCI). Para ayudar a protegerlos, se establecieron regímenes de cumplimiento como la Norma de Seguridad de Datos de la PCI (PCI DSS) para proteger los datos de los titulares de tarjetas dondequiera que se procesen o almacenen.
La DSS de la PCI incluye varios requisitos diseñados para ayudar a proteger los datos de los titulares de tarjetas, incluidas recomendaciones específicas en lo que respecta a la corrección de vulnerabilidades. Dentro de las directrices de seguridad de las aplicaciones, PCI DSS informa a las organizaciones del plazo para abordar cualquier vulnerabilidad conocida que surja dentro de la tecnología que soporta las transacciones de pago y almacena los datos de pago.
En este artículo, examinaremos los requisitos de PCI DSS para la aplicación de parches y le indicaremos qué puede hacer para cumplirlos, incluso cuando la aplicación de parches sea difícil.
¿Cuáles son los requisitos de PCI DSS en materia de parcheado?
La última norma PCI DSS, la versión 4.0 de PCI DSS, se publicó a finales de marzo de 2022 (aunque la versión 3.2.1 de PCI DSS seguirá activa hasta marzo de 2024). Aparte de algunos cambios, los requisitos de aplicación de parches siguen siendo similares en PCI DSS 4.0 y, a efectos de este artículo, nos referiremos a la versión 4.0 de la norma.
Independientemente de la versión a la que se refiera, encontrará la esencia de los requisitos en torno a la aplicación de parches en la Sección 6, que contiene la especificación para desarrollar y mantener software y sistemas seguros. En la norma PCI DSS 4.0, la sección que trata de los parches es la 6.3: "Se identifican y abordan las vulnerabilidades de seguridad".
El parcheado recibe algunas menciones en la Sección 6.3, pero el requisito pertinente requisito se encuentra en el punto 6.3.3. Aquí, los requisitos de PCI DSS establecen que:
Todos los componentes del sistema están protegidos frente a vulnerabilidades conocidas mediante la instalación de los parches/actualizaciones de seguridad aplicables, tal y como se indica a continuación: Los parches/actualizaciones críticos o de alta seguridad (identificados de acuerdo con el proceso de clasificación de riesgos del requisito 6.3.1) se instalan en el plazo de un mes desde su publicación.
Todos los demás parches/actualizaciones de seguridad aplicables se instalan en un plazo adecuado determinado por la entidad (por ejemplo, en un plazo de tres meses a partir de la publicación).
En resumen, para seguir cumpliendo la norma PCI DSS, los parches críticos deben aplicarse en el plazo de un mes a partir de la publicación del parche, mientras que los parches menos críticos deben aplicarse en el plazo de tres meses a partir de la publicación del parche. La criticidad, tal y como se define en la sección 6.3.1, se reduce a una mezcla de lo que dice el proveedor, los informes de seguridad independientes y la puntuación CVSS.
PCI DSS impone requisitos estrictos sobre los plazos de aplicación de parches. Las organizaciones cubiertas que no cumplan estos requisitos serán declaradas no conformes.
Qué puede hacer para cumplir los plazos de actualización de PCI DSS
Cada organización adopta su propio enfoque respecto a los plazos de aplicación de parches, aunque, en la práctica, el plazo se reduzca esencialmente a ASAP. Sin embargo, una norma independiente, como PCI DSS, establece requisitos fijos que podrían ser difíciles de cumplir con las prácticas de ciberseguridad existentes.
Dependiendo de la fuente a la que te refieras, el tiempo típico que se tarda en parchear puede ser de de dos a cinco meses y las organizaciones suelen tener dificultades para cumplir los plazos de aplicación de parches.. La realidad de la aplicación de parches puede entrar fácilmente en conflicto con los requisitos de PCI DSS. Si no se despliega un parche con la rapidez suficiente, se puede acabar recibiendo una multa, o algo peor.
Algunas de las medidas que su organización puede tomar para reducir el tiempo de aplicación de los parches y tener más posibilidades de seguir cumpliendo la norma PCI DSS son las siguientes:
- Presentamos la visibilidad. Como ocurre con muchas cosas en ciberseguridad, no se puede proteger lo que no se conoce. Identifica los sistemas de los que dependes para gestionar los datos de los titulares de las tarjetas y los pagos, y luego identifica también sus dependencias.
- Centrarse en lo esencial. Si su régimen de cumplimiento -PCI DSS- exige que la tecnología relacionada con los pagos esté parcheada a tiempo, ahí es donde debe centrar sus recursos...
- Comunicar y coordinar mejor. No se ponga en modo crisis para aplicar parches: asegúrese de que supervisa sistemáticamente los objetivos de aplicación de parches, comunica la necesidad de aplicarlos a las partes interesadas y planifica las ventanas de mantenimiento.
- Utilizar la tecnología para cambiar el juego. La aplicación manual de parches, que consume mucho tiempo e implica reinicios perjudiciales. Explore el uso de live patching para cualquiera de sus sistemas relacionados con el pago que pueda cubrirse con live patching. Esto incluye distribuciones Linux empresariales, bibliotecas de código abierto, bases de datos y entornos de virtualización.
- Recursos adecuados. La necesidad de aplicar parches no debería ser una novedad para usted a estas alturas, y no debería sorprenderle la gran cantidad de recursos necesarios para la aplicación sistemática de parches en grandes parques tecnológicos. Para seguir cumpliendo la norma PCI DSS, debe asignar los recursos adecuados para la aplicación de parches.
Para cumplir los requisitos de aplicación de parches, incluidos los de la norma PCI DSS, es necesario contar con todas las manos en la masa. Esto incluye desplegar todas las soluciones tecnológicas a su disposición, desde el escaneado de vulnerabilidades hasta la aplicación de parches en tiempo real.
Otras notas sobre la aplicación de parches en PCI DSS
La aplicación de parches se menciona en un par de otros requisitos de la PCI DSS. Por ejemplo, 1.2.5 señala la necesidad de identificar los servicios tecnológicos que están activos y disponibles y verificar que cada uno de estos servicios tiene una necesidad empresarial definida. Los servicios no utilizados suelen olvidarse y, como consecuencia, quedan sin parchear y son vulnerables.
Del mismo modo, la sección 11.3 se refiere a la necesidad de escanear los dispositivos de cara al exterior y asegurarse de que cualquier vulnerabilidad encontrada se parchea o se corrige de otro modo. También hay algunas menciones menores en los diversos apéndices de la norma.
Obtenga toda la ayuda que necesite
El incumplimiento de los plazos de aplicación de parches establecidos en la sección 6.3 de PCI DSS supone el incumplimiento de la norma PCI DSS. Una organización cubierta por los requisitos de PCI DSS estará sujeta a fuertes multas en caso de incumplimiento.
También existe el riesgo de que una aplicación inadecuada de parches provoque una brecha, lo que puede suponer enormes costes de limpieza e incluso el cierre de la empresa.
En TuxCare, podemos acelerar su enfoque de aplicación de parches y facilitar significativamente la consecución y el mantenimiento de la conformidad con PCI DSS.
Con nuestras soluciones de live patching, sus sistemas recibirán los últimos parches de vulnerabilidades de Linux en cuanto estén disponibles. Con TuxCare, los parches se despliegan automáticamente en segundo plano mientras los sistemas están en funcionamiento, sin que su equipo tenga que programar una ventana de mantenimiento o reiniciar.
TuxCare live patching le ofrece cobertura para los sistemas operativos Linux empresariales más populares, así como para las bibliotecas y bases de datos de código abierto más utilizadas, e incluso para entornos de virtualización. Más información sobre la gama de soluciones de live patching de TuxCare aquí.