Cualquiera que maneje pagos en línea habrá oído hablar de PCI-DSS. El Estándar de seguridad de datos de la industria de tarjetas de pago es un marco de control de seguridad integral diseñado para proteger los datos de las tarjetas de pago contra piratas informáticos y abusos. Los comerciantes que aceptan pagos con tarjeta de débito o crédito (y los proveedores de servicios que procesan esta información) serán particularmente conscientes de este estándar, ya que es un requisito obligatorio para realizar transacciones. La última versión del estándar, v4.0.1, se lanzará en junio de 2024 y está disponible como descarga gratuita desde PCI. Sitio web del Consejo de normas de seguridad.
En este blog, analizaremos más de cerca los mayores desafíos de implementar y operar en un entorno PCI-DSS, examinaremos algunas de las opciones de tecnología de código abierto disponibles para abordar estos problemas y cómo Canonical proporciona implementaciones ideales de estos componentes de software. .
Tabla de Contenidos
Descripción general de PCI-DSS
Las 12 partes del estándar PCI proporcionan un conjunto detallado de recomendaciones para construir y operar una implementación de infraestructura segura, que se pueden resumir en las siguientes categorías:
- Construya y mantenga redes y sistemas seguros
- Proteger los datos de la cuenta
- Mantener un plan de gestión de vulnerabilidades.
- Implementar fuertes controles de acceso
- Supervise y pruebe la red periódicamente
- Mantener la política de seguridad de la información.
Opciones tecnológicas
Desafortunadamente, es imposible implementar mágicamente una pila de tecnología específica y hacerla compatible con PCI porque los requisitos de PCI están muy centrados en los aspectos operativos de la gestión y el mantenimiento de los sistemas de TI. Sin embargo, hay algunas áreas clave en las que debe centrarse al elegir el mod de compilación adecuado para lograr y mantener el cumplimiento, que cubriremos más adelante en este artículo. Como proveedor de componentes de software, Canonical no puede proporcionar políticas de seguridad, pero hacemos todo lo posible para ayudar a los clientes a utilizar estos componentes de manera segura y conforme.
Gestión de vulnerabilidades
Parchar las vulnerabilidades es una parte integral de cualquier programa de seguridad y, de hecho, PCI-DSS requiere que los administradores remedien cualquier vulnerabilidad crítica o de alta gravedad encontrada en sus activos de TI en el plazo de un mes, y remedien los problemas de menor gravedad según corresponda.
Ubuntu Pro proporciona correcciones de vulnerabilidades de seguridad para vulnerabilidades críticas, altas y de gravedad media seleccionadas en todos los paquetes de software disponibles en el ecosistema Ubuntu. Esto cubre no sólo los sistemas operativos básicos, sino también la mayoría de las aplicaciones de código abierto utilizadas por los desarrolladores hoy en día, como servidores web, bases de datos, tiempos de ejecución de aplicaciones, etc., totalizando aproximadamente más de 25.000 paquetes de software. Con cada versión de Ubuntu, obtienes una garantía de mantenimiento de seguridad de 10 años.
Guía de seguridad de Ubuntu
Parte de la construcción y el mantenimiento de un sistema seguro es configurar el sistema de acuerdo con los estándares de refuerzo establecidos, y la sección 2.2.1 de PCI-DSS requiere que los administradores sigan las pautas de refuerzo de la industria, como CIS (Centro para la seguridad de Internet), NIST u otras.
Los estándares de refuerzo como la línea base CIS contienen cientos de elementos de configuración individuales y puede resultar desalentador intentar implementarlos manualmente, por lo que Canonical ofrece la Guía de seguridad de Ubuntu (USG), una herramienta que simplifica el proceso de refuerzo en un solo paso. USG incluye archivos de configuración para líneas base CIS (escritorio y servidor), así como DISA STIG (basado en las recomendaciones NIST 800-171) para casos de uso federales de EE. UU.
USG está disponible como parte de Ubuntu Pro, un servicio de suscripción de seguridad empresarial que se encuentra encima del Ubuntu normal.
Software de código abierto
Se pueden cumplir muchos otros requisitos técnicos de PCI-DSS mediante el uso de funciones de Linux, como la implementación de firewalls de software en los hosts, el uso de cifrado de disco para proteger datos confidenciales y el registro y monitoreo de la actividad del sistema para detectar comportamientos sospechosos. De hecho, cuando se trata del tema candente de la última tecnología, la inteligencia artificial, solo los sistemas de código abierto pueden ejecutar modelos de aprendizaje automático y flujos de trabajo de ciencia de datos.
Las empresas de servicios financieros están aprovechando cada vez más el código abierto, Linux y Ubuntu para crear plataformas y aplicaciones que sean rápidas, eficientes, eficientes y compatibles. Puede leer más sobre esto en nuestro documento técnico, que brinda información sobre cómo la adopción de código abierto en las finanzas puede reducir costos, acelerar la innovación y la agilidad, y crear un camino emocionante para implementar modelos y flujos de trabajo de IA, todo lo cual se basa en la base segura y compatible proporcionada por Canonical. Puede obtener más información sobre cómo Canonical ofrece seguridad en cada capa de la pila tecnológica visitando Nuestra página web dedicada y segura de código abierto.
Gestión de activos paisajísticos
Una parte fundamental de cualquier programa de cumplimiento de seguridad, como PCI-DSS, es mantener un inventario de activos preciso. Canonical desarrolló Landscape para ayudar a resolver este problema. Landscape, disponible como parte de Ubuntu Pro, monitorea el sistema a través de un agente local, lo que permite la gestión centralizada de indicadores de salud, estado de vulnerabilidad y perfiles de refuerzo desde un único panel. Landscape proporciona una descripción general completa de sus activos de Linux y facilita garantizar que todos los sistemas estén parcheados y configurados correctamente.
Seguridad y cumplimiento para Ubuntu Pro
El software de código abierto es gratuito para todos, pero una vez que lo descarga de Internet, lo más probable es que no comprenda cómo configurar e implementar correctamente la aplicación y mantenerla segura durante todo su ciclo de vida. Cumple con PCI-DSS y otros estándares. Ahí es donde entra Ubuntu Pro: proporcionamos una única fuente confiable de software de código abierto, contamos con un equipo de expertos listos para ayudarlo a implementarlo, garantizamos 10 años de actualizaciones de seguridad y le brindamos las herramientas para mantener contentos a los auditores. . Ubuntu Pro se puede probar de forma gratuita en hasta 5 máquinas mediante un sencillo proceso de registro.
en conclusión
Cada vez más clientes empresariales están aprovechando Ubuntu Pro para satisfacer sus necesidades de cumplimiento. PCI-DSS impone una serie de controles de seguridad a las organizaciones, muchos de los cuales se pueden cumplir mediante el uso de tecnología Linux. Creamos Ubuntu Pro para brindar a los clientes la seguridad adicional necesaria para implementar aplicaciones y servicios de conformidad con PCI-DSS. Directivas Cumplimiento Garantizado.
Lectura recomendada: