Introducción al cumplimiento de PCI DSS en el IBM i

El Payment Card Industry Security Standards Council (PCI SSC) tiene el objetivo de gestionar la evolución continua de la Tarjeta de Pago y mejorar los estándares de seguridad de datos de la industria. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) consta de doce requisitos importantes que incluyen múltiples subrequisitos, que contienen numerosas directivas contra las cuales las empresas pueden medir sus propias políticas, procedimientos y pautas de seguridad de las tarjetas de pago.

Los estándares (PCI SSC) tienen un ciclo de vida o de actualización de la normativa de un período de 3 años, siendo la última versión la 3..2.1 

Para el segundo trimestre del año 2022 se estima que la versión 4.0 sea publicada y todos deben cumplir dichos procesos, El propio PCI SSC (Payment Card Industry Security Standards Council) Publico unos objetivos claves que se deben cumplir en esta nueva versión, las cuales se detallan a continuación:

  • Garantizar que la norma siga satisfaciendo las necesidades de seguridad del sector.
  • Añadir flexibilidad y apoyo a metodologías adicionales para lograr la seguridad.
  • Promover la seguridad como un proceso continuo.
  • Mejorar los métodos y procedimientos de validación.

Para lograr el cumplimiento del estándar, utilizando las capacidades o funcionalidades presentes en el sistema operativo, así como las soluciones de seguridad y auditoria. Para ello se deben cumplir con los siguientes requerimientos:

Requisito PCI DDS
¿Cómo Cumplir con la Normativa?

Requisito PCI DSS N° 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.

Implemente una solución de Programas de Salida (Exit Programs)

Requisito PCI DSS N° 2: No utilizar contraseñas de sistemas y otros parámetros de Seguridad provistos por los proveedores.

Elimine las contraseñas por defecto en los perfiles de usuarios

Remueva las comunidades SNMP por defecto (Ej. Public y prívate)

Cambie las contraseñas por omisión para los ID de usuarios para las herramientas de servicio del sistema SST y DST

Los protocolos TCP/IP que no están en uso deben finalizarse y el valor de inicio automático debe establecerse en *NO

Configure el valor del sistema QSECURITY en 40 o 50

Finalice los recursos compartidos innecesarios

 (Ejemplo: QDIRSRV y QIBM)

Requisito PCI DSS N° 3: Proteja los datos del titular de la tarjeta que fueron almacenados

Habilite una solución de cifrado y enmascaramiento a nivel de campos. (data at Rest)

Requisito PCI DSS N° 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.

Implemente una solución que asegure y automatice sus transferencias de información (MFT)

Requisito PCI DSS N° 5: Utilizar y actualizar con regularidad los programas de software de antivirus.

Implemente una solución de Antivirus nativa para el IBM i.

Requisito PCI DSS N° 6: Desarrolle y mantenga sus sistemas y aplicaciones seguras.

Mantenga actualizado al Nivel N-1 , los siguientes paquetes de PTF’s:

CUMULATIVE PTF PACKAGE

GROUP HIPER 

SECURITY

TCP/IP PTF

HTTP SERVER FOR i

Requisito PCI DSS N° 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de información que tenga la empresa

Implemente una solución de Antivirus nativa para el IBM i.

Requisito PCI DSS N° 8: Identifique y autentique el acceso a los componentes del  sistema.

Minimizar el número de perfiles de usuarios con autorización especial *ALLOBJ y  *SECADM

Ejecute el comando ANZPRFACT INACDAYS(90)

Valor del Sistema QMAXSIGN = 6

Valor del Sistema QMAXSGNACN = 2  

Valor del Sistema QINACTITV = 15 (Tiempo de espera de trabajo inactivo)

Valor del Sistema QINACTMSGQ= *DSCJOB o *ENDJOB

Telnet Seguro (TLS)

Conexión Segura  bajo TLS para los Servidores Principales (HOST SERVER)

Valor del Sistema QPWDEXPITV = 90 (Intervalo de Caducidad de contraseña)

Valor del Sistema QPWDRQDDIF = 8  (La contraseña no puede ser igual a las ultimas 4)

Implemente  autenticación multi-factor en el IBM 

Requisito PCI DSS N° 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas.

Valor del Sistema QAUDCTL = *OBJAUD, *AUDLVL  y *NOQTEMP

Valor del Sistema QAUDLVL o QAUDVL2 = *AUTFAIL, *CREATE, *DELETE, *OBJMGT, *PTFOPR, *SECURITY, *SERVICE , *SAVRST y *SYSMGT

Minimizar el número de perfiles de usuarios con autorización  especial *AUDIT

Configure el servicio SNTP en el IBM i

Envíe los eventos de auditoria del sistema operativo hacia un servidor SYSLOG o SIEM.

Requisito PCI DSS N° 11: Pruebe con regularidad los sistemas y procesos de seguridad

Ethical Hacking para IBM i (Servicios  Profesionales).

Implemente una solución de Programas de Salida (Exit Programs) para auditar y prevenir los accesos  no autorizados desde la red hacia el IBM i.

Implemente el Monitoreo de integridad de  archivos (FIM) en el IBM i

Pagina Web desarrollada por Despliegue Web.