El PCI Security Standards Council (PCI SSC) ha lanzado un nuevo suplemento informativo titulado: Guía de segmentación y alcance de PCI DSS para arquitecturas de red modernas. Este documento, elaborado por el Grupo de Interés Especial (SIG) 2023, reúne la experiencia en seguridad de pagos de profesionales del sector y ofrece orientación práctica para aplicar técnicas de segmentación y alcance de PCI DSS en una amplia gama de arquitecturas de red.
¿Por qué es relevante este nuevo suplemento?
Con el aumento de la adopción de arquitecturas de red modernas, como las que soportan servicios en la nube y redes de confianza cero, el ecosistema de pagos ha experimentado cambios significativos. Ahora, es común ver entornos de datos de titulares de tarjetas (CDE) que combinan nubes múltiples con arquitecturas de red tradicionales. Las organizaciones enfrentan desafíos para entender y adaptar las prácticas de segmentación y alcance de PCI DSS a estas nuevas configuraciones. Este documento aborda esos desafíos y ofrece las mejores prácticas a seguir.
Puntos clave de la guía:
- Impacto de la arquitectura de confianza cero en el alcance de PCI DSS
La adopción de redes de confianza cero puede influir en cómo se define el alcance de PCI DSS y en la segmentación de redes. El documento ofrece un análisis detallado de cómo estas nuevas configuraciones afectan los controles de seguridad y el cumplimiento. - Segmentación en implementaciones de microsegmentación y múltiples nubes
Las arquitecturas híbridas de red, que incluyen tanto microsegmentación como múltiples nubes, requieren enfoques específicos para definir los límites del alcance de PCI DSS. La guía proporciona claridad sobre cómo manejar estos entornos complejos. - Gestión de inventario de activos PCI DSS en entornos efímeros
Con la naturaleza cambiante y dinámica de los microservicios y los sistemas en la nube, mantener un inventario actualizado de activos es un reto. La guía sugiere estrategias para garantizar un control efectivo de estos activos en arquitecturas modernas. - Riesgos asociados a las arquitecturas de red modernas
La complejidad de las configuraciones actuales presenta riesgos adicionales. La guía destaca los riesgos más comunes y ofrece soluciones prácticas para mitigarlos. - Requisitos de PCI DSS para controles de segmentación y alcance
Cumplir con los requisitos específicos de PCI DSS sigue siendo esencial, y el documento proporciona orientación detallada para verificar que las prácticas de segmentación y alcance se implementen correctamente.
¿A quién está dirigido este documento?
Este suplemento está destinado a comerciantes, proveedores de servicios y evaluadores, quienes pueden beneficiarse de la orientación práctica y los ejemplos reales incluidos. Aunque complementa las normas PCI DSS, no sustituye los estándares existentes. Es un recurso valioso para definir el alcance y aplicar la segmentación en arquitecturas de red modernas, ayudando a las organizaciones a mantenerse al día con las mejores prácticas de seguridad.
Colaboración impulsada por la comunidad
Este documento es el resultado de la colaboración entre el Grupo de Interés Especial del PCI SSC, compuesto por organizaciones participantes que propusieron y seleccionaron este tema. Los grupos de interés son iniciativas impulsadas por la comunidad para abordar los desafíos de seguridad de los pagos, fomentando la colaboración entre expertos en la materia y el PCI SSC.
Para obtener más detalles, consulta el suplemento informativo completo aquí.
Este lanzamiento subraya el compromiso continuo del PCI SSC en ayudar a las organizaciones a adaptarse a un panorama tecnológico en constante evolución, manteniendo los más altos estándares de seguridad para proteger la información de los titulares de tarjetas en redes cada vez más complejas.
