¿Se puede lograr la administración de cambios para el cumplimiento de PCI a través de correos electrónicos simples?

Navega tus respuestas
2

El artículo 6.4.5 de PCI DSS requiere lo siguiente:

  

6.4.5 Cambie los procedimientos de control para la implementación de parches de seguridad y modificaciones de software. Los procedimientos deben incluir lo siguiente:

     

6.4.5.1 Documentación de impacto. 6.4.5.2 Aprobación documentada del cambio   por las partes autorizadas.

     

6.4.5.3 Pruebas de funcionalidad para verificar que el cambio no tenga un impacto adverso en la seguridad del sistema.

     

6.4.5.4 Procedimientos de retirada.

Podríamos usar software compatible con ITIL para esto. Pero parece una exageración para una pequeña empresa (menos de 10 empleados). Nos gustaría satisfacer ese requisito de la manera más sencilla posible.

Por ejemplo, supongamos que todos estos elementos se administran a través de un simple correo electrónico. Siempre que sea necesario un cambio, se debe enviar una solicitud de cambio (RfC) a una dirección de correo electrónico específica con toda la información necesaria (justificación, procedimientos de retirada, etc.). Alguien en el rol de administrador de cambios administraría esa casilla de correo electrónico y aprobaría o rechazaría todos los RfC entrantes y tomaría las medidas necesarias, como notificar al administrador del sistema o programar el cambio.

¿Es aceptable en términos de cumplimiento de PCI?

    
pregunta Otavio Macedo 01.02.2013 - 13:45
fuente

3 respuestas

4

Usamos el correo electrónico para la gestión del cambio durante un tiempo, y mientras tengamos un registro, nuestro auditor quedó satisfecho. Sin embargo, el correo electrónico carece de características importantes y no está bien adaptado a la tarea. Es difícil rastrearlo, y colgar en una serie de correos electrónicos y luego proporcionarlos en el momento de la auditoría es una pesadilla.

Sin embargo, es más fácil con otras formas de software diseñadas para rastrear tickets. Puede encontrar un software decente, gratuito de CRM o servicio de asistencia técnica para tickets que se puede usar para rastrear las solicitudes de cambio tan fácilmente como un paquete completo de ITIL, pero con menos funciones. Los componentes críticos son que puede hacer un seguimiento de lo que está cambiando, quién autorizó el cambio y los pasos tomados. Esto se puede lograr a través del software de emisión de boletos que tiene las siguientes características:

  • Le permite grabar incidentes básicos / detalles de llamadas
  • Le permite asignar tickets a personas o grupos
  • Le permite ingresar notas
  • Permite informes fáciles, o al menos acceso a la base de datos para que pueda escribir sus propios informes.
  • Bonificación si le permite adjuntar archivos y lo hace de manera segura. Esto le permite adjuntar documentos de revisión de código, modelos de amenazas u otros artefactos asociados con el cambio.
  • Bonificación si tiene módulos de flujo de trabajo para permitir los procesos de aprobación (aunque se pueden definir y simplemente hacer manualmente)

Cuanto más detallado y específico sea el seguimiento / registro, mejor.

    
respondido por el David Stratton 01.02.2013 - 14:35
fuente
0

De acuerdo con lo anterior.

Pero siempre que su correo electrónico cumpla con los objetivos del control, estará cubierto. Después de todo, está intentando asegurarse de tener un control auditable, es decir, alguien puede presentarse, solicitar una lista de cambios y luego solicitar evidencia de que los ha probado, y sus procedimientos están documentados, etc.

Es posible que el correo electrónico no sea la mejor herramienta para el trabajo, pero es suficiente.

    
respondido por el Matthew 01.02.2013 - 18:16
fuente
0

El correo electrónico hace el trabajo, pero una solución de emisión de tickets ayudará a largo plazo.

Una de las preocupaciones que siempre tuve con el correo electrónico, especialmente en organizaciones pequeñas, es que es muy fácil eliminar el contenido. Como lo señaló David, se puede configurar un buen sistema de emisión de boletos para no permitir la eliminación de boletos y la fácil auditoría del comportamiento del usuario y los patrones de acceso.

Mi trabajo diario no tiene fines de lucro y los desarrolladores utilizan Jira para el seguimiento de errores. Con algunas simplificaciones de flujo de trabajo, está funcionando muy bien para nuestro control de cambios, incluidos los requisitos de PCI. Puede ser un buen punto de partida si no está familiarizado con sus opciones.

    
respondido por el Tim Brigham 02.02.2013 - 03:39
fuente

Lea otras preguntas en las etiquetas

¿Es perjudicial permitir solicitudes http con cadenas de consulta muy largas en IIS? Uso de John the Ripper para romper el hash SHA con conocimiento parcial