Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.

Los requisitos detallados en esta sección son relevantes para HCL Commerce. Revise cada punto minuciosamente.

10.1 Implemente seguimientos de auditoría para enlazar todos los accesos a los componentes del sistema a cada usuario individual.

Todos los accesos a los componentes del sistema deben ser a través de ID de personas emitidos por un administrador de la red.

10.2 Implemente seguimientos de auditoría automatizados para todos los componentes del sistema a fin de reconstruir los siguientes eventos:

La auditoría de negocio de HCL Commerce registra la información sobre la ejecución de la lógica del negocio como, por ejemplo, el mandato, bean de datos, servicio web, solicitud, respuesta, contexto de mandatos y demás información.

La auditoría de negocio en el nivel de detalle adecuado para PCI-DSS no está habilitada de forma predeterminada. Para cumplir con PCI-DSS, debe habilitar la auditoría para el componente de pedidos, siguiendo estos pasos:
  1. Abra el archivo workspace_dir/WC/xml/config/BusinessAuditDataCapture.xml en un editor de texto.
  2. Busque el elemento XML siguiente:
    <EventType name="ORD" enabled="false"
eventFactory="com.ibm.commerce.event.businessaudit.eventfactory.BusinessAuditCommandExecutionAdminEventFactory">
  3. Cambie enabled="false" por enabled="true".
  4. Guarde los cambios.
Recuerde: Efectúe una copia de seguridad de la tabla BUSAUDIT antes de iniciar el servidor para garantizar que se ha archivado el seguimiento de auditoría.
Para obtener más información sobre el seguimiento de auditoría consulte los temas siguientes:

10.2.1 Todo acceso de usuario individual a datos de titulares de tarjetas

Después de haya habilitado el sistema de HCL Commerce para la auditoría de negocio, el sistema está establecido para auditar un gran conjunto de mandatos, incluidos todos los mandatos que acceden a datos de titulares de tarjetas.

Puede personalizar más los mandatos que desea auditar (como por ejemplo, sus propios mandatos personalizados) configurando el archivo BusinessAuditDataCapture.xml, que determina qué mandatos deben auditarse y qué parámetros deben capturarse durante una auditoría. Puede habilitar mandatos que están inhabilitados, añadir mandatos nuevos o eliminar mandatos existentes.

Para configurar auditoría de negocio:

Configuración de auditoría de negocio

10.2.2 Todas las acciones realizadas por personas con privilegios de raíz o administrativos

Cuando visualiza el informe de auditoría de negocio, puede filtrar el informe por LogonID, lo que permite ver todos los sucesos (que se están auditando) para un determinado usuario.

10.2.3 Acceso a todos los seguimientos de auditoría

Si modifica un parámetro en el seguimiento de auditoría, es detectable – la columna BUSAUDIT.SIGNATURE (que es un hash de los parámetros) no coincidirá con los parámetros.

Además, debe supervisar la tabla BUSAUDIT para impedir manipular los datos en BUSAUDIT. Para auditar la tabla BUSAUDIT, ejecute las sentencias siguientes: 
CREATE AUDIT POLICY SENSITIVEDATAPOLICY
    CATEGORIES EXECUTE STATUS BOTH ERROR TYPE AUDIT
COMMIT

AUDIT TABLE BUSAUDIT USING POLICY SENSITIVEDATAPOLICY
COMMIT
OracleOracle auditing. Para auditar la tabla BUSAUDIT, ejecute las sentencias de Oracle siguientes:
AUDIT SELECT, INSERT, DELETE
ON BUSAUDIT
BY ACCESS
WHENEVER SUCCESSFUL

10.2.4 Intentos de acceso lógico no válidos

Los intentos de acceso lógico no válidos se pueden registrar activando el registro de acceso.

Se recomienda establecer el valor logAllRequests en "false" por motivos de rendimiento. Esto garantizará que solo se registren las solicitudes que den como resultado violaciones de acceso. Para habilitar el registro de acceso:

Habilitación del registro de accesos

10.2.5 El uso de y los cambios efectuados en los mecanismos de identificación y autenticación – incluidas, pero sin limitarse a, la creación de nuevas cuentas y elevación de privilegios – y todos los cambios, adiciones o supresiones efectuados en cuentas con privilegios de usuario root o administrativos.

Los mecanismos de identificación y autenticación de HCL Commerce utilizan mandatos y, por consiguiente, se pueden registrar con la auditoría de negocio.

10.2.6 Inicialización, detención o poner en pausa los registros de auditoría

HCL Commerce no inicializa los registros de auditoría. Esto solo lo puede hacer un administrador de la base de datos. Consulte las sentencias en 10.2.3 para obtener detalles sobre la inicialización del registro de auditoría.

10.2.7 Creación y eliminación de objetos en el nivel del sistema.

Toda la creación y la supresión de los objetos de negocio se realiza mediante mandatos y, por consiguiente, se registra en la auditoría de negocio.

10.3 Registre al menos las siguientes entradas de pistas de auditoría de los componentes del sistema para todos los componentes del sistema, para cada suceso:

La característica de auditoría de negocio registra las entradas del seguimiento de auditoría tal como se han descrito en las subsecciones siguientes.

10.3.1 Identificación de usuarios

Se registra LogonID.

10.3.2 Tipo de suceso

Se registra el tipo de suceso. Se puede configurar correlacionándolo con un conjunto de mandatos que se llaman.

10.3.3 Fecha y hora

La fecha y hora se registran.

10.3.4 Indicación de éxito u omisión

El valor del campo BUSAUDIT.OCCURENCE indica si la salida es un éxito o una excepción. Cada mandato tiene dos registros de auditoría, uno para el intento y el otro para el resultado. La columna tiene un valor para indicar una excepción. Los valores OCCURENCE posibles son:

EXIT = 0;

EXCEPTION = 1;

ENTRY = 2;

EXECUTION = 3;

10.3.5 Origen del evento

Se registra el nombre de clase de mandato.

10.3.6 Identidad o nombre de los datos, componentes del sistema o recurso afectados.

El tipo de suceso se puede configurar para capturar datos específicos (por ejemplo, OrderID). Además, se registran los parámetros del mandato.

10.4 Mediante la tecnología de sincronización del tiempo, sincronice todos los relojes del sistema de todos los relojes y horarios críticos del sistema, y asegúrese de que se implemente lo siguiente para poder adquirir, distribuir y almacenar tiempo.
Nota: Un ejemplo de tecnología de sincronización de tiempo es el NTP (Network Time Protocol).

10.4.1 Los sistemas críticos tienen la hora correcta y coherente.

10.4.2 Los datos de tiempo están protegidos.

10.4.3 Los valores de tiempo se reciben de orígenes de hora aceptados por la industria.

Asegúrese de que los relojes del sistema operativo de todos los servidores de HCL Commerce estén sincronizados y protegidos con una tecnología de sincronización de hora aceptada por la industria, como, por ejemplo,NTP.

10.5 Resguarde las pistas de auditoría para evitar que se modifiquen.

10.5.1 Limite la visualización de pistas de auditoría a quienes lo necesiten por motivos de trabajo.

Los seguimientos de auditoría están protegidos en la base de datos de HCL Commerce, y se autentican - si accede a través de la base de datos directamente o a través de la Consola de administración de HCL Commerce.

10.5.2 Proteja los archivos de las pistas de auditoría contra las modificaciones no autorizadas.

Los seguimientos de auditoría están protegidos, porque están almacenados en la base de datos de HCL Commerce.

Además, si modifica un parámetro en el seguimiento de auditoría, es detectable; la firma no coincidirá con los parámetros.

10.5.3Realice copias de seguridad de los archivos de las pistas de auditoría de inmediato en un servidor de registros central o medios que resulten difíciles de modificar

El administrador de la base de datos ya debe estar realizando copias de seguridad periódicas de la base de datos.

10.5.4Escriba registros para tecnologías externas en un dispositivo de soporte o servidor de registros seguro y centralizado, interno.

Si la red es por cable o inalámbrica es irrelevante para HCL Commerce.

10.5.5Utilice el software de monitorización de integridad de archivos y de detección de cambios en registros para asegurarse de que los datos de los registros existentes no se puedan cambiar sin que se generen alertas (aunque el hecho de agregar nuevos datos no deba generar una alerta).

Cuando los registros se manipulen (tal como lo determina el campo SIGNATURE) se generará un error si la firma no coincide con los parámetros de SystemOut.log.

En función del servidor de base de datos que esté utilizando, también puede configurar sucesos personalizados con un supervisor de actividad para alertarle de cualquier acceso a la tabla BUSAUDIT. La característica de auditoría de negocio solo ejecuta sentencias INSERT de base de datos. Por consiguiente, cualquier UPDATE después de INSERT será una evidencia de manipulación y cualquier administrador de la base de datos puede fácilmente escribir un desencadenante para detectarlo.

10.6Revise los registros y los sucesos de seguridad para todos los componentes del sistema, para poder identificar anomalías o una actividad sospechosa.
Nota: Las herramientas de recolección, análisis y alerta de registros pueden ser utilizadas para cumplir con este requisito.
10.6.1 Revise lo siguiente, al menos una vez al día.
  • Todos los sucesos de seguridad
  • Los registros de todos los componentes del sistema que almacenen, procesen o transmitan CHD y/o SAD, o que podrían afectar a la seguridad de CHD y/o SAD
  • Los registros de todos los componentes críticos del sistema
  • Los registros de todos los servidores y componentes del sistema que realicen funciones de seguridad (como, por ejemplo, cortafuegos, sistemas de sistema de detección de intrusiones, sistemas de prevención de intrusiones (IDS/IPS), servidores de autenticación, servidores de redirección de comercio electrónico, etc.)

10.6.2 Revise los registros de todos los demás componentes del sistema periódicamente, en base a las políticas de la organización y la estrategia de gestión de riesgos, según lo determinado por la evaluación de riesgo anual de la organización.

10.6.3 Anomalías y excepciones de seguimiento identificados durante el proceso de revisión.

Para ver informes de auditoría de negocio, consulte este tema:

Ver un informe de auditoría de negocio

Además de los registros de auditoría, debe revisar los registros del servidor web (consulte la documentación del servidor web) o de los registros de WebSphere Application Server.

Para obtener más información sobre los registros del servidor de aplicaciones:

Archivos de anotaciones cronológicas de servidor de aplicaciones

10.7 Conserve el historial de pista de auditorías durante al menos un año, con un mínimo de tres meses inmediatamente disponible para el análisis (por ejemplo, en línea, archivado o recuperable para la realización de copias de seguridad).

Los seguimientos de auditoría de negocio no se eliminan de forma predeterminada de la base de datos. El administrador de la base de datos puede eliminar entradas de esta tabla en función de la política de retención de seguimientos de auditoría.

10.8 Asegúrese de que las políticas de seguridad y los procedimientos operativos para supervisar todo el acceso a los recursos de la red y a los datos de tarjetas estén documentados, se estén utilizando, y los conozcan todas las partes afectadas.

El comerciante es responsable de documentar y comunicar las política de seguridad y los procedimientos operativos a todas las partes que se vean afectadas.