Kabboul Kenza
Propietario, Director Ejecutivo.

Fecha de entrada en vigor

17 de abril de 2020

Última actualización de contenido

17 de abril de 2020

Objetivo

Esta política explica los requisitos de seguridad de las tarjetas de crédito de Kabboul Kenza y Nexgendecor, según lo exige el Programa del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). La gerencia de Kabboul Kenza y Nexgendecor se compromete a cumplir estas políticas de seguridad para proteger la información que utilizan para alcanzar sus objetivos comerciales. Todos los empleados deben adherirse a las políticas descritas en este documento.

Alcance del cumplimiento

Los requisitos PCI se aplican a todos los sistemas que almacenan, procesan o transmiten datos de titulares de tarjetas. Actualmente, el entorno de titulares de tarjetas de Kabboul Kenza y Nexgendecor se compone únicamente de aplicaciones de pago limitadas (normalmente sistemas de punto de venta) conectadas a internet, pero no incluye el almacenamiento de datos de titulares de tarjetas en ningún sistema informático.

Debido a la naturaleza limitada del entorno dentro del alcance, esta política tiene como objetivo cumplir con los requisitos de PCI según se define en el Cuestionario de Autoevaluación (SAQ) C, versión 2.0, octubre de 2010. Si Kabboul Kenza y la tienda Nexgendecor implementan canales de aceptación adicionales, comienzan a almacenar, procesar o transmitir datos del titular de la tarjeta en formato electrónico, o de otro modo dejan de ser elegibles para validar el cumplimiento bajo el SAQ C, será responsabilidad de Kabboul Kenza y la tienda Nexgendecor determinar los criterios de cumplimiento adecuados e implementar políticas y controles adicionales según sea necesario.

Política

Requisito 1: Construir y mantener una red segura

Configuración del firewall

Los firewalls deben restringir las conexiones entre redes no confiables y cualquier sistema en el entorno de datos del titular de la tarjeta. Una "red no confiable" es cualquier red externa a las redes de la entidad bajo revisión, o que está fuera de su capacidad de control o gestión. (Requisito PCI 1.2)

El tráfico entrante y saliente debe restringirse al necesario para el entorno de datos del titular de la tarjeta. El resto del tráfico entrante y saliente debe denegarse específicamente. (Requisito PCI 1.2.1)

Todos los puertos y servicios abiertos deben documentarse. La documentación debe incluir el puerto o servicio, el origen y el destino, y una justificación comercial para la apertura de dicho puerto o servicio. (Requisito PCI 1.2.1)

Se deben instalar cortafuegos perimetrales entre las redes inalámbricas y el entorno de datos del titular de la tarjeta. Estos cortafuegos deben configurarse para denegar o controlar (si dicho tráfico es necesario para fines comerciales) cualquier tráfico desde el entorno inalámbrico hacia el entorno de datos del titular de la tarjeta. (Requisito PCI 1.2.3)

La configuración del firewall debe prohibir el acceso público directo entre Internet y cualquier componente del sistema en el entorno de datos del titular de la tarjeta de la siguiente manera:

  • Se prohíben las conexiones directas para el tráfico entrante y saliente entre Internet y el entorno de datos del titular de la tarjeta (Requisito PCI 1.3.3)
  • El tráfico saliente desde el entorno de datos del titular de la tarjeta a Internet debe estar autorizado explícitamente (Requisito PCI 1.3.5)
  • Los firewalls deben implementar la inspección de estado, también conocida como filtrado dinámico de paquetes (Requisito PCI 1.3.6)

Requisito 2: No utilice valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad

Incumplimiento del proveedor

Los valores predeterminados del proveedor siempre deben modificarse antes de instalar un sistema en la red. Algunos ejemplos de valores predeterminados del proveedor incluyen contraseñas, cadenas de comunidad SNMP y la eliminación de cuentas innecesarias. (Requisito PCI 2.1)

La configuración predeterminada de los sistemas inalámbricos debe modificarse antes de la implementación. Los valores predeterminados del entorno inalámbrico incluyen, entre otros:

  • Claves de cifrado predeterminadas
  • Contraseñas
  • Cadenas de comunidad SNMP
  • Contraseñas/frases de contraseña predeterminadas en los puntos de acceso
  • Otros valores predeterminados del proveedor inalámbrico relacionados con la seguridad, según corresponda

El firmware de los dispositivos inalámbricos debe actualizarse para que admita un cifrado robusto para la autenticación y la transmisión de datos a través de redes inalámbricas. (Requisito PCI 2.1.1)

Servicios y protocolos innecesarios

Solo se pueden habilitar los servicios, protocolos, daemons, etc., necesarios para el funcionamiento del sistema. Todos los servicios y protocolos que no sean directamente necesarios para realizar la función especificada del dispositivo deben deshabilitarse. (Requisito PCI 2.2.2)

Acceso administrativo sin consola

Las credenciales para el acceso administrativo sin consola deben estar cifradas mediante tecnologías como SSH, VPN o SSL/TLS. Las tecnologías de cifrado deben incluir lo siguiente: (Requisito PCI 2.3)

  • Se debe utilizar criptografía fuerte y el método de cifrado debe invocarse antes de solicitar la contraseña del administrador.
  • Los servicios del sistema y los archivos de parámetros deben configurarse para evitar el uso de telnet y otros comandos de inicio de sesión remoto inseguros
  • Debe incluir acceso de administrador a las interfaces de administración basadas en web

Requisito 3: Proteger los datos almacenados del titular de la tarjeta

Datos prohibidos

Se deben implementar procesos para eliminar de forma segura los datos de autenticación confidenciales después de la autorización, de modo que sean irrecuperables. (Requisito PCI 3.2)

Los sistemas de pago deben cumplir los siguientes requisitos con respecto a la no conservación de datos de autenticación sensibles tras la autorización (incluso si están cifrados):

  • El contenido completo de cualquier dato de pista de la banda magnética (ubicada en la parte posterior de una tarjeta, datos equivalentes contenidos en un chip o en otro lugar) no se almacena bajo ninguna circunstancia (Requisito PCI 3.2.1)
  • El código o valor de verificación de la tarjeta (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) no se almacena bajo ninguna circunstancia (Requisito PCI 3.2.2)
  • El número de identificación personal (PIN) o el bloque PIN cifrado no se almacenan bajo ninguna circunstancia (Requisito PCI 3.2.3)

Visualización de PAN

Kabboul Kenza y la tienda Nexgendecor ocultarán la visualización de los números de cuenta principal (PAN) y limitarán su acceso solo a empleados y otras personas con una necesidad legítima. Un número correctamente oculto mostrará solo los primeros seis y los últimos cuatro dígitos del PAN. (Requisito 3.3 de PCI)

Requisito 4: Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas

Transmisión de datos del titular de la tarjeta

Los datos del titular de la tarjeta que se envían a través de redes públicas abiertas deben protegerse mediante criptografía robusta o protocolos de seguridad (p. ej., IPSEC, SSLTLS). Solo se aceptan claves o certificados de confianza. Para las implementaciones de SSL/TLS, HTTPS debe aparecer como parte de la URL, y los datos del titular de la tarjeta solo se pueden introducir cuando HTTPS aparece en la URL. (Requisito PCI 4.1)

Se deben utilizar las mejores prácticas de la industria (por ejemplo, IEEE 802.11i) para implementar un cifrado robusto para la autenticación y transmisión en redes inalámbricas que transmiten datos del titular de la tarjeta o que están conectadas a dicho entorno. (Requisito PCI 4.1.1)

Se prohíbe el envío de PAN sin cifrar mediante tecnologías de mensajería para usuarios finales. Entre estas tecnologías se incluyen el correo electrónico, la mensajería instantánea y el chat. (Requisito PCI 4.2)

Requisito 5: utilizar y actualizar periódicamente software o programas antivirus

Antivirus

Todos los sistemas, en particular las computadoras personales y los servidores comúnmente afectados por virus, deben tener instalado un programa antivirus capaz de detectar, eliminar y proteger contra todo tipo conocido de software malicioso. (Requisito PCI 5.1, 5.1.1)

Todos los programas antivirus deben mantenerse actualizados automáticamente, estar en ejecución, configurados para realizar análisis periódicos y ser capaces de generar registros de auditoría. Los registros antivirus deben conservarse de acuerdo con el requisito 10.7 de PCI (Requisito 5.2 de PCI).

Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros

Parches de seguridad

Todos los parches de seguridad críticos de alto riesgo deben aplicarse dentro de los 14 días posteriores a su lanzamiento. Esto incluye los parches relevantes para los sistemas operativos y todas las aplicaciones instaladas. (Requisito PCI 6.1)

Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad empresarial

Limitar el acceso a los datos del titular de la tarjeta

El acceso a los componentes y datos del sistema de titulares de tarjetas de Kabboul Kenza y la tienda Nexgendecor está limitado únicamente a quienes lo requieran por su trabajo. (Requisito PCI 7.1)

Las limitaciones de acceso deben incluir lo siguiente:

  • Los derechos de acceso para las identificaciones de usuarios privilegiados deben restringirse a los privilegios mínimos necesarios para realizar las responsabilidades laborales (Requisito PCI 7.1.1)
  • Los privilegios deben asignarse a las personas en función de su clasificación laboral y función (también llamado “control de acceso basado en roles”) (Requisito PCI 7.1.2)

Requisito 8: Asignar una identificación única a cada persona con acceso a la computadora

Acceso remoto

Se debe incorporar la autenticación de dos factores para el acceso remoto (acceso a nivel de red desde fuera de la red) a la red por parte de empleados, administradores y terceros. (Requisito PCI 8.3)

Cuentas de proveedores

Todas las cuentas utilizadas por los proveedores para el mantenimiento remoto deberán estar habilitadas únicamente durante el tiempo necesario. Las cuentas de acceso remoto de los proveedores deberán supervisarse cuando estén en uso. (Requisito PCI 8.5.6)

Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta

Proteja físicamente todos los medios que contienen datos del titular de la tarjeta

Los materiales impresos que contienen información confidencial o sensible (por ejemplo, recibos en papel, informes en papel, faxes, etc.) están sujetos a las siguientes pautas de almacenamiento:

  • Todos los medios deben estar protegidos físicamente. (Requisito PCI 9.6)

Se debe mantener un control estricto sobre la distribución interna o externa de cualquier tipo de soporte que contenga datos del titular de la tarjeta. Estos controles incluirán:

  • Los medios deben clasificarse para que se pueda determinar la sensibilidad de los datos (Requisito PCI 9.7.1)
  • Los medios deben enviarse mediante un transportista seguro u otro método de entrega que pueda rastrearse con precisión (Requisito PCI 9.7.2)

Se deben mantener registros para rastrear todos los medios que se trasladan desde un área segura, y se debe obtener la aprobación de la gerencia antes de moverlos. (Requisito 9.8 de PCI)

Se debe mantener un control estricto sobre el almacenamiento y la accesibilidad de los medios que contienen datos del titular de la tarjeta. (Requisito PCI 9.9)

Destrucción de datos

Todos los soportes que contengan datos del titular de la tarjeta deben destruirse cuando ya no sean necesarios por razones comerciales o legales. (Requisito 9.10 de PCI)
Los soportes impresos deben destruirse mediante trituración, incineración o pulpa para que los datos del titular de la tarjeta no puedan reconstruirse. Los contenedores que contengan información en espera de ser destruida deben protegerse para impedir el acceso a su contenido. (Requisito PCI 9.10.1)

Requisito 11: Probar periódicamente los sistemas y procesos de seguridad

Prueba de puntos de acceso inalámbricos no autorizados

Al menos trimestralmente, Kabboul Kenza y la tienda Nexgendecor realizarán pruebas para garantizar que no haya puntos de acceso inalámbricos no autorizados en el entorno del titular de la tarjeta. (Requisito PCI 11.1)

  • Esta prueba debe detectar e identificar cualquier punto de acceso inalámbrico no autorizado, incluidos al menos los siguientes:
  • Tarjetas WLAN insertadas en los componentes del sistema
  • Dispositivos inalámbricos portátiles conectados a componentes del sistema (por ejemplo, mediante USB, etc.)
  • Dispositivos inalámbricos conectados a un puerto de red o dispositivo de red

Si se utiliza monitoreo automatizado (por ejemplo, IDS/IPS inalámbrico, NAC, etc.) debe configurarse para generar alertas.

La detección de dispositivos inalámbricos no autorizados debe incluirse en el Plan de Respuesta a Incidentes (consulte el Requisito 12.9 de PCI).

Escaneo de vulnerabilidades

Al menos trimestralmente, y después de cualquier cambio significativo en la red (como la instalación de nuevos componentes del sistema, cambios en la topología de la red, modificaciones de las reglas del firewall o actualizaciones de productos), Minnesota State Community and Technical College realizará análisis de vulnerabilidades en todos los sistemas incluidos en el alcance. (Requisito PCI 11.2)

Los análisis de vulnerabilidades internas deben repetirse hasta obtener resultados satisfactorios o hasta que se resuelvan todas las vulnerabilidades "altas", según lo definido en el Requisito PCI 6.2. (Requisito PCI 11.2.1, 11.2.3)

Los resultados trimestrales de los análisis de vulnerabilidades deben cumplir con los requisitos de la guía del Programa ASV (por ejemplo, ninguna vulnerabilidad con una calificación superior a 4.0 según el CVSS ni fallos automáticos). Los análisis de vulnerabilidades externos deben ser realizados por un Proveedor de Análisis Aprobado (ASV), aprobado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). (Requisito PCI 11.2.2, 11.2.3)

Requisito 12: Mantener una política que aborde la seguridad de la información para empleados y contratistas

Política de seguridad

Kabboul Kenza y la tienda Nexgendecor deberán establecer, publicar, mantener y difundir una política de seguridad que detalle cómo la empresa protegerá los datos de los titulares de tarjetas. (Requisito PCI 12.1)

Esta política debe revisarse al menos una vez al año y actualizarse según sea necesario para reflejar los cambios en los objetivos del negocio o el entorno de riesgo. (Requisito PCI 12.1.3)

Tecnologías críticas

Kabboul Kenza y la tienda nexgendecor deberán establecer políticas de uso para tecnologías críticas (por ejemplo, tecnologías de acceso remoto, tecnologías inalámbricas, medios electrónicos extraíbles, computadoras portátiles, tabletas, datos personales/asistentes digitales (PDA), correo electrónico y uso de Internet. (Requisito PCI 12.3)

Estas políticas deben incluir lo siguiente:

  • Aprobación explícita de las partes autorizadas para utilizar las tecnologías (Requisito PCI 12.3.1)
  • Autenticación para el uso de la tecnología (Requisito PCI 12.3.2)
  • Una lista de todos los dispositivos y personal con acceso (Requisito PCI 12.3.3)
  • Usos aceptables de las tecnologías (Requisito PCI 12.3.5)
  • Ubicaciones de red aceptables para las tecnologías (Requisito PCI 12.3.6)
  • Desconexión automática de sesiones para tecnologías de acceso remoto después de un período específico de inactividad (Requisito PCI 12.3.8)
  • Activación de tecnologías de acceso remoto para proveedores y socios comerciales solo cuando lo necesiten, con desactivación inmediata después de su uso (Requisito PCI 12.3.9)

Responsabilidades de seguridad

Las políticas y procedimientos de Kabboul Kenza y Nexgendecor deben definir claramente las responsabilidades de seguridad de la información para todo el personal. (Requisito PCI 12.4)

Política de respuesta a incidentes

El Administrador de Seguridad de Sistemas deberá establecer, documentar y distribuir procedimientos de respuesta y escalamiento ante incidentes de seguridad para garantizar la gestión oportuna y eficaz de todas las situaciones. (Requisito PCI 12.5.3)

Identificación de incidentes

Los empleados deben ser conscientes de sus responsabilidades en la detección de incidentes de seguridad para facilitar el plan y los procedimientos de respuesta a incidentes. Todos los empleados tienen la responsabilidad de colaborar en los procedimientos de respuesta a incidentes dentro de sus áreas de responsabilidad. Algunos ejemplos de incidentes de seguridad que un empleado podría reconocer en sus actividades diarias incluyen, entre otros:

  • Robo, daño o acceso no autorizado (por ejemplo, papeles faltantes en su escritorio, cerraduras rotas, archivos de registro faltantes, alerta de un guardia de seguridad, evidencia en video de un allanamiento o entrada física no programada/no autorizada)
  • Fraude: información inexacta en bases de datos, registros, archivos o registros en papel

Informar de un incidente

Se debe notificar inmediatamente al Administrador de Seguridad de Sistemas sobre cualquier incidente de seguridad real o sospechoso que involucre datos del titular de la tarjeta:

Contacte al Administrador de Seguridad de Sistemas para reportar cualquier incidente, ya sea sospechado o real. El número de teléfono de Auditoría Interna debe ser conocido por todos los empleados y se debe contactar a alguien fuera del horario laboral.

Nadie debe comunicarse con nadie que no sea su(s) supervisor(es) o el Administrador de Seguridad de Sistemas sobre detalles o generalidades relacionados con cualquier incidente, ya sea real o sospechoso. Todas las comunicaciones con las fuerzas del orden o el público serán coordinadas por el Decano Ejecutivo de Soluciones Tecnológicas.

Documente cualquier información que conozca mientras espera la respuesta del Administrador de Seguridad de Sistemas al incidente. Si la conoce, debe incluir la fecha, la hora y la naturaleza del incidente. Cualquier información que pueda proporcionar nos ayudará a responder de manera adecuada.

Respuesta a incidentes

Las respuestas pueden incluir o pasar por las siguientes etapas: identificación, clasificación de gravedad, contención, erradicación, recuperación y análisis de la causa raíz, dando como resultado una mejora de los controles de seguridad.

Contener, erradicar, recuperar y realizar análisis de causa raíz

  1. Notificar a las asociaciones de tarjetas correspondientes.

Visa

Proporcione las cuentas Visa comprometidas al Grupo de Control de Fraude de Visa dentro de diez (10) días hábiles. Para obtener asistencia, comuníquese al 1-(650)-432-2978. Los números de cuenta deben enviarse de forma segura a Visa según las instrucciones del Grupo de Control de Fraude de Visa. Es fundamental que se proporcionen todas las cuentas potencialmente comprometidas. Visa distribuirá los números de cuenta Visa comprometidas a los emisores y garantizará la confidencialidad de la información de la entidad y no pública. Consulte la documentación de Visa "Qué hacer en caso de vulneración" para conocer las actividades adicionales que deben realizarse. Dicha documentación se puede encontrar en http://usa.visa.com/download/business/accepting_visa/ops_risk_management…

tarjeta MasterCard

Contacte a su banco comercial para obtener información específica sobre qué hacer tras una vulneración. Puede encontrar información sobre el banco comercial (es decir, el adquirente) en el Manual del Comerciante en http://www.mastercard.com/us/wce/PDF/12999_MERC-Entire_Manual.pdfSu banco comercial le ayudará cuando llame a MasterCard al 1-(636)-722-4100.

Tarjeta Discover

Comuníquese con su gerente de relaciones o llame a la línea de soporte al EMAIL para obtener más orientación.

  1. Alerte a todas las partes involucradas. Asegúrese de notificar:
  2. banco mercantil
  3. Oficina local del FBI
  4. Servicio Secreto de EE. UU. (si los datos de pago de Visa se ven comprometidos)
  5. Autoridades locales (si corresponde)
  6. Realice un análisis de los requisitos legales para reportar vulnerabilidades en cada estado donde los clientes se vieron afectados. Se debe utilizar la siguiente fuente de información.
  7. Recopilar y proteger la información relacionada con la intrusión. En caso de requerirse una investigación forense, el CIO colaborará con el departamento legal y la gerencia para identificar a los especialistas forenses adecuados.
  8. Eliminar los medios de acceso del intruso y cualquier vulnerabilidad relacionada.
  9. Investigar los posibles riesgos relacionados o daños causados por el método de intrusión utilizado.

Análisis de causa raíz y lecciones aprendidas

En un plazo máximo de una semana tras el incidente, los miembros del departamento de TI y todas las partes afectadas se reunirán para revisar los resultados de la investigación, determinar la causa raíz del ataque y evaluar la eficacia del Plan de Respuesta a Incidentes. Se revisarán otros controles de seguridad para determinar su idoneidad para los riesgos actuales. Cualquier área identificada en la que el plan, la política o el control de seguridad pueda mejorarse o optimizarse deberá actualizarse en consecuencia.

Conciencia de seguridad

Kabboul Kenza y la tienda Nexgendecor deberán establecer y mantener un programa formal de concientización sobre seguridad para que todo el personal sea consciente de la importancia de la seguridad de los datos del titular de la tarjeta. (Requisito PCI 12.6)

Proveedores de servicios

Kabboul Kenza y la tienda Nexgendecor deberán implementar y mantener políticas y procedimientos para la gestión de los proveedores de servicios. (Requisito 12.8 del PCI)
Este proceso debe incluir lo siguiente:

  • Mantener una lista de proveedores de servicios (requisito PCI 12.8.1)
  • Mantener un acuerdo escrito que incluya un reconocimiento de que los proveedores de servicios son responsables de la seguridad de los datos del titular de la tarjeta que poseen (requisito PCI 12.8.2)
  • Implementar un proceso para realizar la debida diligencia antes de contratar a un proveedor de servicios (requisito PCI 12.8.3)
  • Supervisar el estado de cumplimiento de PCI DSS de los proveedores de servicios (requisito PCI 12.8.4)

Política de uso aceptable de los empleados para el manejo de datos de tarjetas de pago

Objetivo

Esta política complementa las políticas, procedimientos y directrices del sistema para cumplir con los requisitos del PCI DSS SAQ C para comerciantes. Esta política se aplica a todos los sistemas de tiendas Kabboul Kenza y Nexgendecor que almacenan, procesan o transmiten datos de titulares de tarjetas y a los usuarios con acceso a ellos.

Política

Todo el personal, empleados del Sistema o contratistas, que estén autorizados a utilizar dispositivos que manejen o almacenen datos del titular de la tarjeta deben adherirse a las políticas, procedimientos y pautas de uso del Sistema, incluyendo: Política 5.22 del sistema estatal de Minnesota sobre el uso aceptable de computadoras y recursos de tecnología de la información y Procedimiento 5.22.1 del sistema estatal de Minnesota sobre el uso aceptable de computadoras y recursos de tecnología de la información.

Kabboul Kenza y la tienda Nexgendecor mantienen una lista de todos los dispositivos que manejan o almacenan datos de titulares de tarjetas, así como del personal autorizado para usarlos. Cada dispositivo está etiquetado con su propósito, propietario e información de contacto. Kabboul Kenza y la tienda Nexgendecor mantienen una lista de todos los productos y proveedores de servicios.

Se mantienen e implementan políticas y procedimientos para gestionar a los proveedores de servicios que manejan los datos de los titulares de tarjetas de Kabboul Kenza y Nexgendecor. Cuando se comparten datos de titulares de tarjetas con proveedores de servicios, Kabboul Kenza y Nexgendecor exigen la aceptación por escrito de que la seguridad de los datos es responsabilidad del proveedor. Se implementa un programa para supervisar el cumplimiento de PCI DSS por parte de los proveedores de servicios.

Control de acceso

Objetivo

Esta política complementa las políticas, procedimientos y directrices del sistema para cumplir con los requisitos del PCI DSS SAQ C para comerciantes. Esta política se aplica a todos los sistemas de tiendas Kabboul Kenza y Nexgendecor que almacenan, procesan o transmiten datos de titulares de tarjetas y a los usuarios con acceso a ellos.

Política

Todos los sistemas del entorno de procesamiento de pagos deben protegerse con un nombre de usuario y una contraseña únicos. Las cuentas de usuario únicas indican que cada cuenta utilizada está asociada a un usuario o proceso individual, sin que se utilicen cuentas de grupo genéricas utilizadas por más de un usuario o proceso.

Todas las cuentas predeterminadas proporcionadas con sistemas operativos, bases de datos o dispositivos deben eliminarse, deshabilitarse o renombrarse según sea posible. Todas las cuentas deben cumplir con los requisitos de contraseña de PCI-DSS.

El estándar PCI requiere que las contraseñas cumplan los siguientes requisitos:

Requisitos de contraseña

  • Las contraseñas deben tener al menos 7 caracteres y un máximo de 15.
  • Las contraseñas deben incluir caracteres numéricos y alfabéticos o Las contraseñas deben cambiarse al menos cada 90 días
  • Las nuevas contraseñas no pueden ser iguales a las últimas 4 contraseñas o Las cuentas de usuario dentro del entorno de datos de tarjetas también estarán sujetas a los siguientes requisitos
  • Si se proporciona una contraseña incorrecta 6 veces, la cuenta debe bloquearse. La duración del bloqueo de la cuenta debe ser de al menos 30 minutos (o hasta que un administrador la restablezca).
  • Las sesiones inactivas durante más de 15 minutos deben requerir el reingreso del nombre de usuario y la contraseña para reactivar la sesión.

Las cuentas dentro del entorno de datos de tarjetas también están sujetas a los siguientes requisitos

  • Bloqueo de contraseña incorrecta
    • Las cuentas se bloquearán después de 5 intentos fallidos de iniciar sesión en el sistema.
  • Duración del bloqueo
    • Después de intentos de inicio de sesión no válidos, las cuentas se bloquearán del sistema durante 30 minutos o hasta que un administrador del sistema desbloquee la cuenta.
  • Duración del bloqueo por tiempo de inactividad
    • Las sesiones de escritorio remoto finalizarán después de una hora de inactividad
    • La sesión de escritorio remoto desconectada expirará una hora después de la desconexión.

Acceso remoto

Objetivo

Esta política complementa las políticas, procedimientos y directrices del sistema para cumplir con los requisitos del PCI DSS SAQ C para comerciantes. Esta política se aplica a todos los sistemas de tiendas Kabboul Kenza y Nexgendecor que almacenan, procesan o transmiten datos de titulares de tarjetas y a los usuarios con acceso a ellos.

Política

Todos los empleados, administradores o proveedores con acceso remoto al entorno de datos de tarjetas deben tener configurada la autenticación de dos factores. Las cuentas de terceros solo estarán activas mientras el acceso sea necesario para el servicio prestado y se auditarán mientras estén conectadas. El acceso remoto de terceros debe desactivarse inmediatamente después.