Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los proveedores.
Los requisitos detallados en esta sección son relevantes para HCL Commerce. Revise cada punto minuciosamente.
2.1 Cambie siempre los valores predeterminados suministrados por el proveedor y elimine o inhabilite las cuentas innecesarias predeterminadas, antes de instalar un sistema en la red.
Esto se aplica a TODAS las contraseñas predeterminadas, incluyendo, pero sin limitarse a, las utilizadas por los sistemas operativos, el software que proporcione los servicios de seguridad, las aplicaciones y las cuentas del sistema, los terminales de punto de venta (POS), las cadenas de comunidad del protocolo simple de gestión de red (SNMP), etc.).
Además de cambiar las contraseñas predeterminadas, es recomendable que no utilice ningún nombre de ID predeterminado para las cuentas de administrador. Por ejemplo, no utilice wcsadmin, webadmin, root o db2admin para ningún ID de usuario. La cuenta de administrador se crea cuando se crea la instancia.
Para obtener información sobre cómo cambiar las contraseñas en HCL Commerce, consulte:
2.1.1 En los entornos inalámbricos conectados al entorno de datos del titular de la tarjeta o que transmitan datos del titular de la tarjeta, cambie TODOS los valores predeterminados inalámbricos del proveedor durante la instalación, incluyendo, pero sin limitarse a, las claves de cifrado, las contraseñas y las cadenas de comunidad SNMP inalámbricas predeterminadas.
HCL Commerce no depende de, ni tiene presente, si la red es, o no, inalámbrica. Si la red interna es inalámbrica, asegúrese de haber tomado medidas suficientes para proteger la red inalámbrica frente a las amenazas para la seguridad.
La protección es un procedimiento que refuerza la seguridad en el servidor, inhabilitando los servicios y puertos innecesarios, haciendo que sea más difícil entrar en el sistema a través de las características no utilizadas. En función de su sistema operativo, hay muchas directrices sobre protección disponibles en Internet.
2.2 Desarrolle estándares de configuración para todos los componentes del sistema. Asegúrese de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y se ajusten a los estándares de refuerzo de sistemas aceptados en el sector.
Desarrolle un procedimiento establecido para garantizar que los servidores en los que se esté ejecutando HCL Commerce siga un plan de pruebas y una configuración de seguridad coherentes.
2.2.1 Implemente solo una función primaria por servidor, para evitar funciones que requieran que niveles de seguridad diferentes coexistan en el mismo servidor. (Por ejemplo, los servidores web, los servidores de bases de datos y los servidores DNS deben implementarse en servidores separados). Nota: Allí donde se utilicen tecnologías de virtualización, implemente solo una función primaria por componente del sistema virtual.
2.2.2 Habilite solo los servicios, protocolos, daemons, etc., necesarios, según sea necesario para el funcionamiento del sistema.
Antes de instalar el software de HCL Commerce, proteja el sistema operativo. La protección es un procedimiento que refuerza la seguridad en el servidor, inhabilitando los servicios y puertos innecesarios, haciendo que sea más difícil entrar en el sistema a través de las características no utilizadas. En función de su sistema operativo, hay muchas directrices sobre protección disponibles en Internet.
Como referencia, un sitio popular para descargar las valoraciones y herramientas de seguridad para muchos sistemas operativos diferentes es www.cisecurity.org.
2.2.4 Configure los parámetros de seguridad del sistema para evitar un uso indebido.
HCL Commerce ha proporcionado un conjunto de características seguridad mejoradas que se documentan aquí: Consideraciones sobre la seguridad del sitio
2.2.5 Elimine todas las funciones innecesarias como, por ejemplo, scripts, controladores, características, subsistemas, sistemas de archivos y servidores web innecesarios.
HCL Commerce contiene un amplio conjunto de características que pueden habilitarse e inhabilitarse de forma selectiva.
2.3 Cifre todos los accesos administrativos que no sean de la consola, utilizando criptografía compleja. Utilice tecnologías como, por ejemplo, SSH, VPN o SSL/TLS para la gestión basada en web y otros accesos administrativos que no sean de la consola.
SSL se utiliza para el Management Center, la consola de administración y HCL Commerce Accelerator. Consulte el sitio web siguiente para obtener una lista de los puertos utilizados:Consulta rápida de los ID de usuario, las contraseñas y las direcciones Web
Los puertos para el acceso administrativo no deben estar disponible fuera del cortafuegos. Debe solicitar a los usuarios remotos que utilicen una tecnología como, por ejemplo, VPN para acceder a su red, antes de acceder a ninguna función administrativa de HCL Commerce.
2.4 Mantenga un inventario de los componentes del sistema que estén en el ámbito de PCI DSS.
El comerciante es responsable de mantener un inventario de los componentes del sistema que estén en el ámbito de PCI DSS.
2.5 Asegúrese de que las políticas de seguridad y los procedimientos operativos para gestionar los valores predeterminados del proveedor y otros parámetros de seguridad estén documentados, se estén utilizando, y los conozcan todas las partes afectadas.
El comerciante es responsable de documentar y comunicar las política de seguridad y los procedimientos operativos a todas las partes que se vean afectadas.
2.6 Los proveedores de alojamiento compartido deben proteger el entorno y los datos del titular de la tarjeta de cada entidad. Estos proveedores deben cumplir requisitos específicos, tal como se describe en el Apéndice A: Requisitos adicionales de PCI DSS para los proveedores de alojamiento compartido.
Aunque este requisito no es directamente aplicable a HCL Commerce, si utiliza HCL Commerce como un entorno de alojamiento, deberá cumplir las responsabilidades adicionales de un proveedor de alojamiento.