Comida y hospitalidad > Pci-dss: lista de verificación de control automático de propiedad

Usuario anónimo

Starwood hotels & resorts, regional - tailandia vietnam camboya

Auditoría

Los cortafuegos son dispositivos que controlan el tráfico informático permitido entre las redes de una entidad (internas) y las redes no confiables (externas), así como el tráfico hacia y desde áreas más sensibles dentro de las redes de confianza internas de una entidad. El entorno de datos del titular de la tarjeta es un ejemplo de un área más sensible dentro de la red confiable de una entidad. Un firewall examina todo el tráfico de red y bloquea las transmisiones que no cumplen con los criterios de seguridad especificados. Todos los sistemas deben estar protegidos del acceso no autorizado desde redes no confiables, ya sea que ingresen al sistema a través de Internet como comercio electrónico, acceso a Internet de los empleados a través de navegadores de escritorio, acceso al correo electrónico de los empleados, conexiones dedicadas como conexiones de empresa a empresa, a través de conexión inalámbrica redes o a través de otras fuentes. A menudo, las rutas aparentemente insignificantes hacia y desde redes no confiables pueden proporcionar rutas no protegidas hacia sistemas clave. Los cortafuegos son un mecanismo de protección clave para cualquier red informática. Starwood Hotels and Resort proporciona un cortafuegos y un enrutador estándar con una configuración centralizada gestionada por un equipo de seguridad certificado. Propiedad que ha inscrito el firewall centralizado de Starwood administrado por Starwood y se conecta a Starwood WAN donde el enrutador inscrito y administrado por el equipo WAN de Starwood, la propiedad cumple con este requisito. Equipo responsable: Tecnología de la información
Las personas malintencionadas (externas e internas a una entidad) a menudo usan contraseñas predeterminadas del proveedor y otras configuraciones predeterminadas del proveedor para comprometer los sistemas. Estas contraseñas y configuraciones son bien conocidas por las comunidades de hackers y se determinan fácilmente a través de la información pública. Equipo responsable: Tecnología de la información
Métodos de protección como encriptación, truncamiento, enmascaramiento (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se mostrarán), y el hash son componentes críticos de la protección de datos del titular de la tarjeta. Si un intruso elude otros controles de seguridad y obtiene acceso a datos cifrados, sin las claves criptográficas adecuadas, los datos son ilegibles e inutilizables para esa persona. Otros métodos efectivos para proteger los datos almacenados también deben considerarse como posibles oportunidades de mitigación de riesgos. Por ejemplo, los métodos para minimizar el riesgo incluyen no almacenar los datos del titular de la tarjeta a menos que sea absolutamente necesario, truncar los datos del titular de la tarjeta si no se necesita un PAN completo y no enviar PAN sin protección utilizando tecnologías de mensajería para el usuario final, como el correo electrónico y la mensajería instantánea. Finanzas
La información confidencial debe cifrarse durante la transmisión a través de redes a las que acceden fácilmente personas malintencionadas. Las redes inalámbricas mal configuradas y las vulnerabilidades en los protocolos de encriptación y autenticación heredados siguen siendo objetivos de personas malintencionadas que explotan estas vulnerabilidades para obtener acceso privilegiado a los entornos de datos del titular de la tarjeta. Equipo responsable: Tecnología de la información / operaciones
El software malicioso, comúnmente denominado "malware", incluidos virus, gusanos y troyanos, ingresa a la red durante muchas actividades aprobadas por la empresa, incluido el correo electrónico de los empleados y el uso de Internet, computadoras móviles y dispositivos de almacenamiento, lo que resulta en la explotación de vulnerabilidades del sistema. El software antivirus debe usarse en todos los sistemas comúnmente afectados por malware para proteger los sistemas de las amenazas de software maliciosas actuales y en evolución. Las soluciones antimalware adicionales se pueden considerar como un complemento del software antivirus; sin embargo, tales soluciones adicionales no reemplazan la necesidad de contar con un software antivirus. Equipo responsable: Tecnología de la información
Las personas sin escrúpulos usan vulnerabilidades de seguridad para obtener acceso privilegiado a los sistemas. Muchas de estas vulnerabilidades son reparadas por parches de seguridad proporcionados por el proveedor, que deben ser instalados por las entidades que administran los sistemas. Todos los sistemas deben tener todos los parches de software adecuados para proteger contra la explotación y el compromiso de los datos del titular de la tarjeta por parte de personas malintencionadas y software malintencionado. Equipo responsable: Tecnología de la información
Para garantizar que solo el personal autorizado pueda acceder a los datos críticos, deben existir sistemas y procesos para limitar el acceso en función de la necesidad de conocer y de acuerdo con las responsabilidades del trabajo. "Necesidad de saber" es cuando los derechos de acceso se otorgan solo a la menor cantidad de datos y privilegios necesarios para realizar un trabajo. Equipo responsable: Finanzas / Operaciones
Asignar una identificación (ID) única a cada persona con acceso asegura que cada individuo sea el único responsable de sus acciones. Cuando existe tal responsabilidad, las acciones tomadas en los datos y sistemas críticos son realizadas por usuarios y procesos conocidos y autorizados, y pueden rastrearse hasta ellos. La efectividad de una contraseña está determinada en gran medida por el diseño y la implementación del sistema de autenticación, en particular, la frecuencia con la que un atacante puede realizar intentos de contraseña y los métodos de seguridad para proteger las contraseñas de los usuarios en el punto de entrada, durante la transmisión y mientras en almacenamiento. Equipo responsable: Tecnología de la información
Cualquier acceso físico a datos o sistemas que alberguen datos de titulares de tarjetas brinda la oportunidad a las personas de acceder a dispositivos o datos y eliminar sistemas o copias impresas, y debe restringirse adecuadamente. Para los propósitos del Requisito 9, “personal en el sitio” se refiere a empleados a tiempo completo y parcial, empleados temporales, contratistas y consultores que están físicamente presentes en las instalaciones de la entidad. Un "visitante" se refiere a un proveedor, invitado de cualquier personal en el sitio, trabajadores de servicio o cualquier persona que necesite ingresar a la instalación por un período corto, generalmente no más de un día. "Medios" se refiere a todos los medios impresos y electrónicos que contienen datos del titular de la tarjeta. Equipo responsable: Tecnología de la información / Seguridad / Finanzas
Los mecanismos de registro y la capacidad de rastrear las actividades del usuario son fundamentales para prevenir, detectar o minimizar el impacto de un compromiso de datos. La presencia de registros en todos los entornos permite un seguimiento, alerta y análisis exhaustivos cuando algo sale mal. Determinar la causa de un compromiso es muy difícil, si no imposible, sin los registros de actividad del sistema. Equipo responsable: Tecnología de la información
Las personas e investigadores maliciosos están descubriendo continuamente vulnerabilidades, y un nuevo software las está introduciendo. Los componentes del sistema, los procesos y el software personalizado se deben probar con frecuencia para garantizar que los controles de seguridad sigan reflejando un entorno cambiante. Equipo responsable: Tecnología de la información
Una política de seguridad sólida establece el tono de seguridad para toda la entidad e informa al personal qué se espera de ellos. Todo el personal debe ser consciente de la sensibilidad de los datos y sus responsabilidades para protegerlos. Para los propósitos del Requisito 12, "personal" se refiere a empleados a tiempo completo y parcial, empleados temporales, contratistas y consultores que son "residentes" en el sitio de la entidad o que de otra manera tienen acceso al entorno de datos del titular de la tarjeta. Equipo responsable: Finanzas Y todas las operaciones

Aprobaciones

Descargar Ejemplo
"

Construya sus propios formularios digitales

Con el Form Builder puede crear formularios perfectos. Es fácil, intuitivo y potente.

Sigue a DataScope en las redes sociales

© 2021 DataScope