{"id":165393,"date":"2024-12-27T08:49:08","date_gmt":"2024-12-27T08:49:08","guid":{"rendered":"https:\/\/bejustsimple.com\/credit-card-security-policy\/"},"modified":"2025-02-20T07:01:39","modified_gmt":"2025-02-20T07:01:39","slug":"politica-de-seguridad-de-tarjetas-de-credito","status":"publish","type":"page","link":"https:\/\/nexgendecors.com\/es\/politica-de-seguridad-de-tarjetas-de-credito\/","title":{"rendered":"Pol\u00edtica de seguridad de las tarjetas de cr\u00e9dito"},"content":{"rendered":"<p>Kabboul Kenza<br \/>\nPropietario, Director Ejecutivo.<\/p>\n<p>Fecha de entrada en vigor<\/p>\n<p>17 de abril de 2020<\/p>\n<p>\u00daltima actualizaci\u00f3n de contenido<\/p>\n<p>17 de abril de 2020<\/p>\n<p><strong>Objetivo<\/strong><\/p>\n<p>Esta pol\u00edtica explica los requisitos de seguridad de las tarjetas de cr\u00e9dito de Kabboul Kenza y Nexgendecor, seg\u00fan lo exige el Programa del Est\u00e1ndar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). La gerencia de Kabboul Kenza y Nexgendecor se compromete a cumplir estas pol\u00edticas de seguridad para proteger la informaci\u00f3n que utilizan para alcanzar sus objetivos comerciales. Todos los empleados deben adherirse a las pol\u00edticas descritas en este documento.<\/p>\n<p>Alcance del cumplimiento<\/p>\n<p>Los requisitos PCI se aplican a todos los sistemas que almacenan, procesan o transmiten datos de titulares de tarjetas. Actualmente, el entorno de titulares de tarjetas de Kabboul Kenza y Nexgendecor se compone \u00fanicamente de aplicaciones de pago limitadas (normalmente sistemas de punto de venta) conectadas a internet, pero no incluye el almacenamiento de datos de titulares de tarjetas en ning\u00fan sistema inform\u00e1tico.<\/p>\n<p>Debido a la naturaleza limitada del entorno dentro del alcance, esta pol\u00edtica tiene como objetivo cumplir con los requisitos de PCI seg\u00fan se define en el Cuestionario de Autoevaluaci\u00f3n (SAQ) C, versi\u00f3n 2.0, octubre de 2010. Si Kabboul Kenza y la tienda Nexgendecor implementan canales de aceptaci\u00f3n adicionales, comienzan a almacenar, procesar o transmitir datos del titular de la tarjeta en formato electr\u00f3nico, o de otro modo dejan de ser elegibles para validar el cumplimiento bajo el SAQ C, ser\u00e1 responsabilidad de Kabboul Kenza y la tienda Nexgendecor determinar los criterios de cumplimiento adecuados e implementar pol\u00edticas y controles adicionales seg\u00fan sea necesario.<\/p>\n<p><strong>Pol\u00edtica<\/strong><\/p>\n<p><strong>Requisito 1: Construir y mantener una red segura<\/strong><\/p>\n<p>Configuraci\u00f3n del firewall<\/p>\n<p>Los firewalls deben restringir las conexiones entre redes no confiables y cualquier sistema en el entorno de datos del titular de la tarjeta. Una &quot;red no confiable&quot; es cualquier red externa a las redes de la entidad bajo revisi\u00f3n, o que est\u00e1 fuera de su capacidad de control o gesti\u00f3n. (Requisito PCI 1.2)<\/p>\n<p>El tr\u00e1fico entrante y saliente debe restringirse al necesario para el entorno de datos del titular de la tarjeta. El resto del tr\u00e1fico entrante y saliente debe denegarse espec\u00edficamente. (Requisito PCI 1.2.1)<\/p>\n<p>Todos los puertos y servicios abiertos deben documentarse. La documentaci\u00f3n debe incluir el puerto o servicio, el origen y el destino, y una justificaci\u00f3n comercial para la apertura de dicho puerto o servicio. (Requisito PCI 1.2.1)<\/p>\n<p>Se deben instalar cortafuegos perimetrales entre las redes inal\u00e1mbricas y el entorno de datos del titular de la tarjeta. Estos cortafuegos deben configurarse para denegar o controlar (si dicho tr\u00e1fico es necesario para fines comerciales) cualquier tr\u00e1fico desde el entorno inal\u00e1mbrico hacia el entorno de datos del titular de la tarjeta. (Requisito PCI 1.2.3)<\/p>\n<p>La configuraci\u00f3n del firewall debe prohibir el acceso p\u00fablico directo entre Internet y cualquier componente del sistema en el entorno de datos del titular de la tarjeta de la siguiente manera:<\/p>\n<ul>\n<li>Se proh\u00edben las conexiones directas para el tr\u00e1fico entrante y saliente entre Internet y el entorno de datos del titular de la tarjeta (Requisito PCI 1.3.3)<\/li>\n<li>El tr\u00e1fico saliente desde el entorno de datos del titular de la tarjeta a Internet debe estar autorizado expl\u00edcitamente (Requisito PCI 1.3.5)<\/li>\n<li>Los firewalls deben implementar la inspecci\u00f3n de estado, tambi\u00e9n conocida como filtrado din\u00e1mico de paquetes (Requisito PCI 1.3.6)<\/li>\n<\/ul>\n<p><strong>Requisito 2: No utilice valores predeterminados proporcionados por el proveedor para las contrase\u00f1as del sistema y otros par\u00e1metros de seguridad<\/strong><\/p>\n<p>Incumplimiento del proveedor<\/p>\n<p>Los valores predeterminados del proveedor siempre deben modificarse antes de instalar un sistema en la red. Algunos ejemplos de valores predeterminados del proveedor incluyen contrase\u00f1as, cadenas de comunidad SNMP y la eliminaci\u00f3n de cuentas innecesarias. (Requisito PCI 2.1)<\/p>\n<p>La configuraci\u00f3n predeterminada de los sistemas inal\u00e1mbricos debe modificarse antes de la implementaci\u00f3n. Los valores predeterminados del entorno inal\u00e1mbrico incluyen, entre otros:<\/p>\n<ul>\n<li>Claves de cifrado predeterminadas<\/li>\n<li>Contrase\u00f1as<\/li>\n<li>Cadenas de comunidad SNMP<\/li>\n<li>Contrase\u00f1as\/frases de contrase\u00f1a predeterminadas en los puntos de acceso<\/li>\n<li>Otros valores predeterminados del proveedor inal\u00e1mbrico relacionados con la seguridad, seg\u00fan corresponda<\/li>\n<\/ul>\n<p>El firmware de los dispositivos inal\u00e1mbricos debe actualizarse para que admita un cifrado robusto para la autenticaci\u00f3n y la transmisi\u00f3n de datos a trav\u00e9s de redes inal\u00e1mbricas. (Requisito PCI 2.1.1)<\/p>\n<p>Servicios y protocolos innecesarios<\/p>\n<p>Solo se pueden habilitar los servicios, protocolos, daemons, etc., necesarios para el funcionamiento del sistema. Todos los servicios y protocolos que no sean directamente necesarios para realizar la funci\u00f3n especificada del dispositivo deben deshabilitarse. (Requisito PCI 2.2.2)<\/p>\n<p>Acceso administrativo sin consola<\/p>\n<p>Las credenciales para el acceso administrativo sin consola deben estar cifradas mediante tecnolog\u00edas como SSH, VPN o SSL\/TLS. Las tecnolog\u00edas de cifrado deben incluir lo siguiente: (Requisito PCI 2.3)<\/p>\n<ul>\n<li>Se debe utilizar criptograf\u00eda fuerte y el m\u00e9todo de cifrado debe invocarse antes de solicitar la contrase\u00f1a del administrador.<\/li>\n<li>Los servicios del sistema y los archivos de par\u00e1metros deben configurarse para evitar el uso de telnet y otros comandos de inicio de sesi\u00f3n remoto inseguros<\/li>\n<li>Debe incluir acceso de administrador a las interfaces de administraci\u00f3n basadas en web<\/li>\n<\/ul>\n<p><strong>Requisito 3: Proteger los datos almacenados del titular de la tarjeta<\/strong><\/p>\n<p>Datos prohibidos<\/p>\n<p>Se deben implementar procesos para eliminar de forma segura los datos de autenticaci\u00f3n confidenciales despu\u00e9s de la autorizaci\u00f3n, de modo que sean irrecuperables. (Requisito PCI 3.2)<\/p>\n<p>Los sistemas de pago deben cumplir los siguientes requisitos con respecto a la no conservaci\u00f3n de datos de autenticaci\u00f3n sensibles tras la autorizaci\u00f3n (incluso si est\u00e1n cifrados):<\/p>\n<ul>\n<li>El contenido completo de cualquier dato de pista de la banda magn\u00e9tica (ubicada en la parte posterior de una tarjeta, datos equivalentes contenidos en un chip o en otro lugar) no se almacena bajo ninguna circunstancia (Requisito PCI 3.2.1)<\/li>\n<li>El c\u00f3digo o valor de verificaci\u00f3n de la tarjeta (n\u00famero de tres o cuatro d\u00edgitos impreso en el anverso o reverso de una tarjeta de pago) no se almacena bajo ninguna circunstancia (Requisito PCI 3.2.2)<\/li>\n<li>El n\u00famero de identificaci\u00f3n personal (PIN) o el bloque PIN cifrado no se almacenan bajo ninguna circunstancia (Requisito PCI 3.2.3)<\/li>\n<\/ul>\n<p>Visualizaci\u00f3n de PAN<\/p>\n<p>Kabboul Kenza y la tienda Nexgendecor ocultar\u00e1n la visualizaci\u00f3n de los n\u00fameros de cuenta principal (PAN) y limitar\u00e1n su acceso solo a empleados y otras personas con una necesidad leg\u00edtima. Un n\u00famero correctamente oculto mostrar\u00e1 solo los primeros seis y los \u00faltimos cuatro d\u00edgitos del PAN. (Requisito 3.3 de PCI)<\/p>\n<p><strong>Requisito 4: Cifrar la transmisi\u00f3n de datos del titular de la tarjeta a trav\u00e9s de redes p\u00fablicas abiertas<\/strong><\/p>\n<p>Transmisi\u00f3n de datos del titular de la tarjeta<\/p>\n<p>Los datos del titular de la tarjeta que se env\u00edan a trav\u00e9s de redes p\u00fablicas abiertas deben protegerse mediante criptograf\u00eda robusta o protocolos de seguridad (p. ej., IPSEC, SSLTLS). Solo se aceptan claves o certificados de confianza. Para las implementaciones de SSL\/TLS, HTTPS debe aparecer como parte de la URL, y los datos del titular de la tarjeta solo se pueden introducir cuando HTTPS aparece en la URL. (Requisito PCI 4.1)<\/p>\n<p>Se deben utilizar las mejores pr\u00e1cticas de la industria (por ejemplo, IEEE 802.11i) para implementar un cifrado robusto para la autenticaci\u00f3n y transmisi\u00f3n en redes inal\u00e1mbricas que transmiten datos del titular de la tarjeta o que est\u00e1n conectadas a dicho entorno. (Requisito PCI 4.1.1)<\/p>\n<p>Se proh\u00edbe el env\u00edo de PAN sin cifrar mediante tecnolog\u00edas de mensajer\u00eda para usuarios finales. Entre estas tecnolog\u00edas se incluyen el correo electr\u00f3nico, la mensajer\u00eda instant\u00e1nea y el chat. (Requisito PCI 4.2)<\/p>\n<p><strong>Requisito 5: utilizar y actualizar peri\u00f3dicamente software o programas antivirus<\/strong><\/p>\n<p>Antivirus<\/p>\n<p>Todos los sistemas, en particular las computadoras personales y los servidores com\u00fanmente afectados por virus, deben tener instalado un programa antivirus capaz de detectar, eliminar y proteger contra todo tipo conocido de software malicioso. (Requisito PCI 5.1, 5.1.1)<\/p>\n<p>Todos los programas antivirus deben mantenerse actualizados autom\u00e1ticamente, estar en ejecuci\u00f3n, configurados para realizar an\u00e1lisis peri\u00f3dicos y ser capaces de generar registros de auditor\u00eda. Los registros antivirus deben conservarse de acuerdo con el requisito 10.7 de PCI (Requisito 5.2 de PCI).<\/p>\n<p><strong>Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros<\/strong><\/p>\n<p>Parches de seguridad<\/p>\n<p>Todos los parches de seguridad cr\u00edticos de alto riesgo deben aplicarse dentro de los 14 d\u00edas posteriores a su lanzamiento. Esto incluye los parches relevantes para los sistemas operativos y todas las aplicaciones instaladas. (Requisito PCI 6.1)<\/p>\n<p><strong>Requisito 7: Restringir el acceso a los datos del titular de la tarjeta seg\u00fan la necesidad empresarial<\/strong><\/p>\n<p>Limitar el acceso a los datos del titular de la tarjeta<\/p>\n<p>El acceso a los componentes y datos del sistema de titulares de tarjetas de Kabboul Kenza y la tienda Nexgendecor est\u00e1 limitado \u00fanicamente a quienes lo requieran por su trabajo. (Requisito PCI 7.1)<\/p>\n<p>Las limitaciones de acceso deben incluir lo siguiente:<\/p>\n<ul>\n<li>Los derechos de acceso para las identificaciones de usuarios privilegiados deben restringirse a los privilegios m\u00ednimos necesarios para realizar las responsabilidades laborales (Requisito PCI 7.1.1)<\/li>\n<li>Los privilegios deben asignarse a las personas en funci\u00f3n de su clasificaci\u00f3n laboral y funci\u00f3n (tambi\u00e9n llamado \u201ccontrol de acceso basado en roles\u201d) (Requisito PCI 7.1.2)<\/li>\n<\/ul>\n<p><strong>Requisito 8: Asignar una identificaci\u00f3n \u00fanica a cada persona con acceso a la computadora<\/strong><\/p>\n<p>Acceso remoto<\/p>\n<p>Se debe incorporar la autenticaci\u00f3n de dos factores para el acceso remoto (acceso a nivel de red desde fuera de la red) a la red por parte de empleados, administradores y terceros. (Requisito PCI 8.3)<\/p>\n<p>Cuentas de proveedores<\/p>\n<p>Todas las cuentas utilizadas por los proveedores para el mantenimiento remoto deber\u00e1n estar habilitadas \u00fanicamente durante el tiempo necesario. Las cuentas de acceso remoto de los proveedores deber\u00e1n supervisarse cuando est\u00e9n en uso. (Requisito PCI 8.5.6)<\/p>\n<p><strong>Requisito 9: Restringir el acceso f\u00edsico a los datos del titular de la tarjeta<\/strong><\/p>\n<p>Proteja f\u00edsicamente todos los medios que contienen datos del titular de la tarjeta<\/p>\n<p>Los materiales impresos que contienen informaci\u00f3n confidencial o sensible (por ejemplo, recibos en papel, informes en papel, faxes, etc.) est\u00e1n sujetos a las siguientes pautas de almacenamiento:<\/p>\n<ul>\n<li>Todos los medios deben estar protegidos f\u00edsicamente. (Requisito PCI 9.6)<\/li>\n<\/ul>\n<p>Se debe mantener un control estricto sobre la distribuci\u00f3n interna o externa de cualquier tipo de soporte que contenga datos del titular de la tarjeta. Estos controles incluir\u00e1n:<\/p>\n<ul>\n<li>Los medios deben clasificarse para que se pueda determinar la sensibilidad de los datos (Requisito PCI 9.7.1)<\/li>\n<li>Los medios deben enviarse mediante un transportista seguro u otro m\u00e9todo de entrega que pueda rastrearse con precisi\u00f3n (Requisito PCI 9.7.2)<\/li>\n<\/ul>\n<p>Se deben mantener registros para rastrear todos los medios que se trasladan desde un \u00e1rea segura, y se debe obtener la aprobaci\u00f3n de la gerencia antes de moverlos. (Requisito 9.8 de PCI)<\/p>\n<p>Se debe mantener un control estricto sobre el almacenamiento y la accesibilidad de los medios que contienen datos del titular de la tarjeta. (Requisito PCI 9.9)<\/p>\n<p>Destrucci\u00f3n de datos<\/p>\n<p>Todos los soportes que contengan datos del titular de la tarjeta deben destruirse cuando ya no sean necesarios por razones comerciales o legales. (Requisito 9.10 de PCI)<br \/>\nLos soportes impresos deben destruirse mediante trituraci\u00f3n, incineraci\u00f3n o pulpa para que los datos del titular de la tarjeta no puedan reconstruirse. Los contenedores que contengan informaci\u00f3n en espera de ser destruida deben protegerse para impedir el acceso a su contenido. (Requisito PCI 9.10.1)<\/p>\n<p><strong>Requisito 11: Probar peri\u00f3dicamente los sistemas y procesos de seguridad<\/strong><\/p>\n<p>Prueba de puntos de acceso inal\u00e1mbricos no autorizados<\/p>\n<p>Al menos trimestralmente, Kabboul Kenza y la tienda Nexgendecor realizar\u00e1n pruebas para garantizar que no haya puntos de acceso inal\u00e1mbricos no autorizados en el entorno del titular de la tarjeta. (Requisito PCI 11.1)<\/p>\n<ul>\n<li>Esta prueba debe detectar e identificar cualquier punto de acceso inal\u00e1mbrico no autorizado, incluidos al menos los siguientes:<\/li>\n<li>Tarjetas WLAN insertadas en los componentes del sistema<\/li>\n<li>Dispositivos inal\u00e1mbricos port\u00e1tiles conectados a componentes del sistema (por ejemplo, mediante USB, etc.)<\/li>\n<li>Dispositivos inal\u00e1mbricos conectados a un puerto de red o dispositivo de red<\/li>\n<\/ul>\n<p>Si se utiliza monitoreo automatizado (por ejemplo, IDS\/IPS inal\u00e1mbrico, NAC, etc.) debe configurarse para generar alertas.<\/p>\n<p>La detecci\u00f3n de dispositivos inal\u00e1mbricos no autorizados debe incluirse en el Plan de Respuesta a Incidentes (consulte el Requisito 12.9 de PCI).<\/p>\n<p>Escaneo de vulnerabilidades<\/p>\n<p>Al menos trimestralmente, y despu\u00e9s de cualquier cambio significativo en la red (como la instalaci\u00f3n de nuevos componentes del sistema, cambios en la topolog\u00eda de la red, modificaciones de las reglas del firewall o actualizaciones de productos), Minnesota State Community and Technical College realizar\u00e1 an\u00e1lisis de vulnerabilidades en todos los sistemas incluidos en el alcance. (Requisito PCI 11.2)<\/p>\n<p>Los an\u00e1lisis de vulnerabilidades internas deben repetirse hasta obtener resultados satisfactorios o hasta que se resuelvan todas las vulnerabilidades &quot;altas&quot;, seg\u00fan lo definido en el Requisito PCI 6.2. (Requisito PCI 11.2.1, 11.2.3)<\/p>\n<p>Los resultados trimestrales de los an\u00e1lisis de vulnerabilidades deben cumplir con los requisitos de la gu\u00eda del Programa ASV (por ejemplo, ninguna vulnerabilidad con una calificaci\u00f3n superior a 4.0 seg\u00fan el CVSS ni fallos autom\u00e1ticos). Los an\u00e1lisis de vulnerabilidades externos deben ser realizados por un Proveedor de An\u00e1lisis Aprobado (ASV), aprobado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). (Requisito PCI 11.2.2, 11.2.3)<\/p>\n<p><strong>Requisito 12: Mantener una pol\u00edtica que aborde la seguridad de la informaci\u00f3n para empleados y contratistas<\/strong><\/p>\n<p>Pol\u00edtica de seguridad<\/p>\n<p>Kabboul Kenza y la tienda Nexgendecor deber\u00e1n establecer, publicar, mantener y difundir una pol\u00edtica de seguridad que detalle c\u00f3mo la empresa proteger\u00e1 los datos de los titulares de tarjetas. (Requisito PCI 12.1)<\/p>\n<p>Esta pol\u00edtica debe revisarse al menos una vez al a\u00f1o y actualizarse seg\u00fan sea necesario para reflejar los cambios en los objetivos del negocio o el entorno de riesgo. (Requisito PCI 12.1.3)<\/p>\n<p>Tecnolog\u00edas cr\u00edticas<\/p>\n<p>Kabboul Kenza y la tienda nexgendecor deber\u00e1n establecer pol\u00edticas de uso para tecnolog\u00edas cr\u00edticas (por ejemplo, tecnolog\u00edas de acceso remoto, tecnolog\u00edas inal\u00e1mbricas, medios electr\u00f3nicos extra\u00edbles, computadoras port\u00e1tiles, tabletas, datos personales\/asistentes digitales (PDA), correo electr\u00f3nico y uso de Internet. (Requisito PCI 12.3)<\/p>\n<p>Estas pol\u00edticas deben incluir lo siguiente:<\/p>\n<ul>\n<li>Aprobaci\u00f3n expl\u00edcita de las partes autorizadas para utilizar las tecnolog\u00edas (Requisito PCI 12.3.1)<\/li>\n<li>Autenticaci\u00f3n para el uso de la tecnolog\u00eda (Requisito PCI 12.3.2)<\/li>\n<li>Una lista de todos los dispositivos y personal con acceso (Requisito PCI 12.3.3)<\/li>\n<li>Usos aceptables de las tecnolog\u00edas (Requisito PCI 12.3.5)<\/li>\n<li>Ubicaciones de red aceptables para las tecnolog\u00edas (Requisito PCI 12.3.6)<\/li>\n<li>Desconexi\u00f3n autom\u00e1tica de sesiones para tecnolog\u00edas de acceso remoto despu\u00e9s de un per\u00edodo espec\u00edfico de inactividad (Requisito PCI 12.3.8)<\/li>\n<li>Activaci\u00f3n de tecnolog\u00edas de acceso remoto para proveedores y socios comerciales solo cuando lo necesiten, con desactivaci\u00f3n inmediata despu\u00e9s de su uso (Requisito PCI 12.3.9)<\/li>\n<\/ul>\n<p>Responsabilidades de seguridad<\/p>\n<p>Las pol\u00edticas y procedimientos de Kabboul Kenza y Nexgendecor deben definir claramente las responsabilidades de seguridad de la informaci\u00f3n para todo el personal. (Requisito PCI 12.4)<\/p>\n<p>Pol\u00edtica de respuesta a incidentes<\/p>\n<p>El Administrador de Seguridad de Sistemas deber\u00e1 establecer, documentar y distribuir procedimientos de respuesta y escalamiento ante incidentes de seguridad para garantizar la gesti\u00f3n oportuna y eficaz de todas las situaciones. (Requisito PCI 12.5.3)<\/p>\n<p>Identificaci\u00f3n de incidentes<\/p>\n<p>Los empleados deben ser conscientes de sus responsabilidades en la detecci\u00f3n de incidentes de seguridad para facilitar el plan y los procedimientos de respuesta a incidentes. Todos los empleados tienen la responsabilidad de colaborar en los procedimientos de respuesta a incidentes dentro de sus \u00e1reas de responsabilidad. Algunos ejemplos de incidentes de seguridad que un empleado podr\u00eda reconocer en sus actividades diarias incluyen, entre otros:<\/p>\n<ul>\n<li>Robo, da\u00f1o o acceso no autorizado (por ejemplo, papeles faltantes en su escritorio, cerraduras rotas, archivos de registro faltantes, alerta de un guardia de seguridad, evidencia en video de un allanamiento o entrada f\u00edsica no programada\/no autorizada)<\/li>\n<li>Fraude: informaci\u00f3n inexacta en bases de datos, registros, archivos o registros en papel<\/li>\n<\/ul>\n<p>Informar de un incidente<\/p>\n<p>Se debe notificar inmediatamente al Administrador de Seguridad de Sistemas sobre cualquier incidente de seguridad real o sospechoso que involucre datos del titular de la tarjeta:<\/p>\n<p>Contacte al Administrador de Seguridad de Sistemas para reportar cualquier incidente, ya sea sospechado o real. El n\u00famero de tel\u00e9fono de Auditor\u00eda Interna debe ser conocido por todos los empleados y se debe contactar a alguien fuera del horario laboral.<\/p>\n<p>Nadie debe comunicarse con nadie que no sea su(s) supervisor(es) o el Administrador de Seguridad de Sistemas sobre detalles o generalidades relacionados con cualquier incidente, ya sea real o sospechoso. Todas las comunicaciones con las fuerzas del orden o el p\u00fablico ser\u00e1n coordinadas por el Decano Ejecutivo de Soluciones Tecnol\u00f3gicas.<\/p>\n<p>Documente cualquier informaci\u00f3n que conozca mientras espera la respuesta del Administrador de Seguridad de Sistemas al incidente. Si la conoce, debe incluir la fecha, la hora y la naturaleza del incidente. Cualquier informaci\u00f3n que pueda proporcionar nos ayudar\u00e1 a responder de manera adecuada.<\/p>\n<p>Respuesta a incidentes<\/p>\n<p>Las respuestas pueden incluir o pasar por las siguientes etapas: identificaci\u00f3n, clasificaci\u00f3n de gravedad, contenci\u00f3n, erradicaci\u00f3n, recuperaci\u00f3n y an\u00e1lisis de la causa ra\u00edz, dando como resultado una mejora de los controles de seguridad.<\/p>\n<p>Contener, erradicar, recuperar y realizar an\u00e1lisis de causa ra\u00edz<\/p>\n<ol>\n<li>Notificar a las asociaciones de tarjetas correspondientes.<\/li>\n<\/ol>\n<p><strong>Visa<\/strong><\/p>\n<p>Proporcione las cuentas Visa comprometidas al Grupo de Control de Fraude de Visa dentro de diez (10) d\u00edas h\u00e1biles. Para obtener asistencia, comun\u00edquese al 1-(650)-432-2978. Los n\u00fameros de cuenta deben enviarse de forma segura a Visa seg\u00fan las instrucciones del Grupo de Control de Fraude de Visa. Es fundamental que se proporcionen todas las cuentas potencialmente comprometidas. Visa distribuir\u00e1 los n\u00fameros de cuenta Visa comprometidas a los emisores y garantizar\u00e1 la confidencialidad de la informaci\u00f3n de la entidad y no p\u00fablica. Consulte la documentaci\u00f3n de Visa &quot;Qu\u00e9 hacer en caso de vulneraci\u00f3n&quot; para conocer las actividades adicionales que deben realizarse. Dicha documentaci\u00f3n se puede encontrar en\u00a0<u><a href=\"http:\/\/usa.visa.com\/download\/business\/accepting_visa\/ops_risk_management\/cisp_what_to_do_if_compromised.pdf\">http:\/\/usa.visa.com\/download\/business\/accepting_visa\/ops_risk_management\u2026<\/a><\/u><\/p>\n<p><strong>tarjeta MasterCard<\/strong><\/p>\n<p>Contacte a su banco comercial para obtener informaci\u00f3n espec\u00edfica sobre qu\u00e9 hacer tras una vulneraci\u00f3n. Puede encontrar informaci\u00f3n sobre el banco comercial (es decir, el adquirente) en el Manual del Comerciante en\u00a0<u><a href=\"http:\/\/www.mastercard.com\/us\/wce\/PDF\/12999_MERC-Entire_Manual.pdf\">http:\/\/www.mastercard.com\/us\/wce\/PDF\/12999_MERC-Entire_Manual.pdf<\/a><\/u>Su banco comercial le ayudar\u00e1 cuando llame a MasterCard al 1-(636)-722-4100.<\/p>\n<p><strong>Tarjeta Discover<\/strong><\/p>\n<p>Comun\u00edquese con su gerente de relaciones o llame a la l\u00ednea de soporte al EMAIL para obtener m\u00e1s orientaci\u00f3n.<\/p>\n<ol>\n<li>Alerte a todas las partes involucradas. Aseg\u00farese de notificar:<\/li>\n<li>banco mercantil<\/li>\n<li>Oficina local del FBI<\/li>\n<li>Servicio Secreto de EE. UU. (si los datos de pago de Visa se ven comprometidos)<\/li>\n<li>Autoridades locales (si corresponde)<\/li>\n<li>Realice un an\u00e1lisis de los requisitos legales para reportar vulnerabilidades en cada estado donde los clientes se vieron afectados. Se debe utilizar la siguiente fuente de informaci\u00f3n.<\/li>\n<li>Recopilar y proteger la informaci\u00f3n relacionada con la intrusi\u00f3n. En caso de requerirse una investigaci\u00f3n forense, el CIO colaborar\u00e1 con el departamento legal y la gerencia para identificar a los especialistas forenses adecuados.<\/li>\n<li>Eliminar los medios de acceso del intruso y cualquier vulnerabilidad relacionada.<\/li>\n<li>Investigar los posibles riesgos relacionados o da\u00f1os causados por el m\u00e9todo de intrusi\u00f3n utilizado.<\/li>\n<\/ol>\n<p>An\u00e1lisis de causa ra\u00edz y lecciones aprendidas<\/p>\n<p>En un plazo m\u00e1ximo de una semana tras el incidente, los miembros del departamento de TI y todas las partes afectadas se reunir\u00e1n para revisar los resultados de la investigaci\u00f3n, determinar la causa ra\u00edz del ataque y evaluar la eficacia del Plan de Respuesta a Incidentes. Se revisar\u00e1n otros controles de seguridad para determinar su idoneidad para los riesgos actuales. Cualquier \u00e1rea identificada en la que el plan, la pol\u00edtica o el control de seguridad pueda mejorarse o optimizarse deber\u00e1 actualizarse en consecuencia.<\/p>\n<p>Conciencia de seguridad<\/p>\n<p>Kabboul Kenza y la tienda Nexgendecor deber\u00e1n establecer y mantener un programa formal de concientizaci\u00f3n sobre seguridad para que todo el personal sea consciente de la importancia de la seguridad de los datos del titular de la tarjeta. (Requisito PCI 12.6)<\/p>\n<p>Proveedores de servicios<\/p>\n<p>Kabboul Kenza y la tienda Nexgendecor deber\u00e1n implementar y mantener pol\u00edticas y procedimientos para la gesti\u00f3n de los proveedores de servicios. (Requisito 12.8 del PCI)<br \/>\nEste proceso debe incluir lo siguiente:<\/p>\n<ul>\n<li>Mantener una lista de proveedores de servicios (requisito PCI 12.8.1)<\/li>\n<li>Mantener un acuerdo escrito que incluya un reconocimiento de que los proveedores de servicios son responsables de la seguridad de los datos del titular de la tarjeta que poseen (requisito PCI 12.8.2)<\/li>\n<li>Implementar un proceso para realizar la debida diligencia antes de contratar a un proveedor de servicios (requisito PCI 12.8.3)<\/li>\n<li>Supervisar el estado de cumplimiento de PCI DSS de los proveedores de servicios (requisito PCI 12.8.4)<\/li>\n<\/ul>\n<p><strong>Pol\u00edtica de uso aceptable de los empleados para el manejo de datos de tarjetas de pago<\/strong><\/p>\n<p><strong>Objetivo<\/strong><\/p>\n<p>Esta pol\u00edtica complementa las pol\u00edticas, procedimientos y directrices del sistema para cumplir con los requisitos del PCI DSS SAQ C para comerciantes. Esta pol\u00edtica se aplica a todos los sistemas de tiendas Kabboul Kenza y Nexgendecor que almacenan, procesan o transmiten datos de titulares de tarjetas y a los usuarios con acceso a ellos.<\/p>\n<p><strong>Pol\u00edtica<\/strong><\/p>\n<p>Todo el personal, empleados del Sistema o contratistas, que est\u00e9n autorizados a utilizar dispositivos que manejen o almacenen datos del titular de la tarjeta deben adherirse a las pol\u00edticas, procedimientos y pautas de uso del Sistema, incluyendo:\u00a0<u><a href=\"https:\/\/www.minnstate.edu\/board\/policy\/522.html\">Pol\u00edtica 5.22 del sistema estatal de Minnesota sobre el uso aceptable de computadoras y recursos de tecnolog\u00eda de la informaci\u00f3n<\/a><\/u>\u00a0y\u00a0<u><a href=\"https:\/\/www.minnstate.edu\/board\/procedure\/522p1.html\">Procedimiento 5.22.1 del sistema estatal de Minnesota sobre el uso aceptable de computadoras y recursos de tecnolog\u00eda de la informaci\u00f3n<\/a><\/u>.<\/p>\n<p>Kabboul Kenza y la tienda Nexgendecor mantienen una lista de todos los dispositivos que manejan o almacenan datos de titulares de tarjetas, as\u00ed como del personal autorizado para usarlos. Cada dispositivo est\u00e1 etiquetado con su prop\u00f3sito, propietario e informaci\u00f3n de contacto. Kabboul Kenza y la tienda Nexgendecor mantienen una lista de todos los productos y proveedores de servicios.<\/p>\n<p>Se mantienen e implementan pol\u00edticas y procedimientos para gestionar a los proveedores de servicios que manejan los datos de los titulares de tarjetas de Kabboul Kenza y Nexgendecor. Cuando se comparten datos de titulares de tarjetas con proveedores de servicios, Kabboul Kenza y Nexgendecor exigen la aceptaci\u00f3n por escrito de que la seguridad de los datos es responsabilidad del proveedor. Se implementa un programa para supervisar el cumplimiento de PCI DSS por parte de los proveedores de servicios.<\/p>\n<p><strong>Control de acceso<\/strong><\/p>\n<p><strong>Objetivo<\/strong><\/p>\n<p>Esta pol\u00edtica complementa las pol\u00edticas, procedimientos y directrices del sistema para cumplir con los requisitos del PCI DSS SAQ C para comerciantes. Esta pol\u00edtica se aplica a todos los sistemas de tiendas Kabboul Kenza y Nexgendecor que almacenan, procesan o transmiten datos de titulares de tarjetas y a los usuarios con acceso a ellos.<\/p>\n<p><strong>Pol\u00edtica<\/strong><\/p>\n<p>Todos los sistemas del entorno de procesamiento de pagos deben protegerse con un nombre de usuario y una contrase\u00f1a \u00fanicos. Las cuentas de usuario \u00fanicas indican que cada cuenta utilizada est\u00e1 asociada a un usuario o proceso individual, sin que se utilicen cuentas de grupo gen\u00e9ricas utilizadas por m\u00e1s de un usuario o proceso.<\/p>\n<p>Todas las cuentas predeterminadas proporcionadas con sistemas operativos, bases de datos o dispositivos deben eliminarse, deshabilitarse o renombrarse seg\u00fan sea posible. Todas las cuentas deben cumplir con los requisitos de contrase\u00f1a de PCI-DSS.<\/p>\n<p>El est\u00e1ndar PCI requiere que las contrase\u00f1as cumplan los siguientes requisitos:<\/p>\n<p>Requisitos de contrase\u00f1a<\/p>\n<ul>\n<li>Las contrase\u00f1as deben tener al menos 7 caracteres y un m\u00e1ximo de 15.<\/li>\n<li>Las contrase\u00f1as deben incluir caracteres num\u00e9ricos y alfab\u00e9ticos o Las contrase\u00f1as deben cambiarse al menos cada 90 d\u00edas<\/li>\n<li>Las nuevas contrase\u00f1as no pueden ser iguales a las \u00faltimas 4 contrase\u00f1as o Las cuentas de usuario dentro del entorno de datos de tarjetas tambi\u00e9n estar\u00e1n sujetas a los siguientes requisitos<\/li>\n<li>Si se proporciona una contrase\u00f1a incorrecta 6 veces, la cuenta debe bloquearse. La duraci\u00f3n del bloqueo de la cuenta debe ser de al menos 30 minutos (o hasta que un administrador la restablezca).<\/li>\n<li>Las sesiones inactivas durante m\u00e1s de 15 minutos deben requerir el reingreso del nombre de usuario y la contrase\u00f1a para reactivar la sesi\u00f3n.<\/li>\n<\/ul>\n<p>Las cuentas dentro del entorno de datos de tarjetas tambi\u00e9n est\u00e1n sujetas a los siguientes requisitos<\/p>\n<ul>\n<li>Bloqueo de contrase\u00f1a incorrecta\n<ul>\n<li>Las cuentas se bloquear\u00e1n despu\u00e9s de 5 intentos fallidos de iniciar sesi\u00f3n en el sistema.<\/li>\n<\/ul>\n<\/li>\n<li>Duraci\u00f3n del bloqueo\n<ul>\n<li>Despu\u00e9s de intentos de inicio de sesi\u00f3n no v\u00e1lidos, las cuentas se bloquear\u00e1n del sistema durante 30 minutos o hasta que un administrador del sistema desbloquee la cuenta.<\/li>\n<\/ul>\n<\/li>\n<li>Duraci\u00f3n del bloqueo por tiempo de inactividad\n<ul>\n<li>Las sesiones de escritorio remoto finalizar\u00e1n despu\u00e9s de una hora de inactividad<\/li>\n<li>La sesi\u00f3n de escritorio remoto desconectada expirar\u00e1 una hora despu\u00e9s de la desconexi\u00f3n.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>Acceso remoto<\/strong><\/p>\n<p><strong>Objetivo<\/strong><\/p>\n<p>Esta pol\u00edtica complementa las pol\u00edticas, procedimientos y directrices del sistema para cumplir con los requisitos del PCI DSS SAQ C para comerciantes. Esta pol\u00edtica se aplica a todos los sistemas de tiendas Kabboul Kenza y Nexgendecor que almacenan, procesan o transmiten datos de titulares de tarjetas y a los usuarios con acceso a ellos.<\/p>\n<p><strong>Pol\u00edtica<\/strong><\/p>\n<p>Todos los empleados, administradores o proveedores con acceso remoto al entorno de datos de tarjetas deben tener configurada la autenticaci\u00f3n de dos factores. Las cuentas de terceros solo estar\u00e1n activas mientras el acceso sea necesario para el servicio prestado y se auditar\u00e1n mientras est\u00e9n conectadas. El acceso remoto de terceros debe desactivarse inmediatamente despu\u00e9s.<\/p>","protected":false},"excerpt":{"rendered":"<p>Kabboul Kenza Owner, CEO. Effective date April 17, 2020 Last content update April 17, 2020 Purpose This policy explains Kabboul<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-165393","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/nexgendecors.com\/es\/wp-json\/wp\/v2\/pages\/165393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nexgendecors.com\/es\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nexgendecors.com\/es\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nexgendecors.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nexgendecors.com\/es\/wp-json\/wp\/v2\/comments?post=165393"}],"version-history":[{"count":0,"href":"https:\/\/nexgendecors.com\/es\/wp-json\/wp\/v2\/pages\/165393\/revisions"}],"wp:attachment":[{"href":"https:\/\/nexgendecors.com\/es\/wp-json\/wp\/v2\/media?parent=165393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}