Requisito 8: Identificar y autenticar el acceso a los componentes del sistema

Los requisitos detallados en esta sección son relevantes para HCL Commerce. Revise cada punto minuciosamente.

8.1 Defina y aplique políticas y procedimientos para garantizar la adecuada gestión de la identificación de usuarios para aquellos los usuarios que no sean consumidores y los administradores de todos los componentes del sistema, tal como se indica a continuación:

8.1.1 Asigne a todos los usuarios un ID exclusivo antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta.

Cada usuario de HCL Commerce tiene un ID de usuario exclusivo. Para crear un usuario, consulte Crear un usuario.

Nota: No comparta los ID administrativos como, por ejemplo, wcsadmin. Cree un usuario independiente para cada administrador, cualquier usuario implicado en el proceso de pago, o cualquier usuario que tenga acceso a los datos del titular de la tarjeta.

8.1.2 Controle la adición, supresión y modificación de los ID de usuario, las credenciales y los demás objetos de identificador.

Todas las modificaciones de los ID de usuario se llevan a cabo en la Consola de administración de organizaciones, que se controla mediante la autenticación de contraseña y los permisos basados en roles.

Para obtener más información:

Consola de administración de organizaciones

8.1.3 Revoque, inmediatamente, el acceso a todos los usuarios haya descartado.

Una vez inhabilitada su cuenta, el usuario ya no podrá iniciar la sesión en la aplicación HCL Commerce. Debe asegurarse de que también se revoquen el acceso de sistema operativo y el acceso de red del usuario.

8.1.4Elimine/inhabilite las cuentas de usuario inactivas, como mínimo, cada 90 días.

Puede eliminar cuentas de usuario inactivas, o inhabilitadas, cada 90 días, mediante el programa de utilidad dbclean. Deberá crear una planificación para esta tarea, siempre en colaboración con el administrador de la base de datos.

Para obtener más información sobre el programa de utilidad dbclean:

Script de mandatos del programa de utilidad de limpieza de base de datos

8.1.5 Gestione los ID utilizados por los proveedores para acceder, dar soporte o mantener los componentes del sistema mediante el acceso remoto, tal como se indica a continuación:
  • Habilitados solo durante el periodo de tiempo necesario, e inhabilitados cuando no están en uso.
  • Supervisados cuando estén en uso.

HCL Commerce no habilita ni da soporte al acceso remoto. Si opta por habilitar el acceso remoto a la red, deberá implementar la autenticación de 2 factores.

8.1.6Limite los intentos de acceso repetidos, bloqueando el ID de usuario después de no más de seis intentos.

El umbral de bloqueo predeterminado para los administradores es de 3 intentos, mientras que para los compradores es de 6 intentos. Para obtener más información sobre las políticas de cuentas predeterminada:

Políticas de seguridad de cuentas predeterminadas

8.1.7 Establezca la duración de bloqueo en un mínimo de 30 minutos, o hasta que el administrador habilite el ID de usuario.

El bloqueo de cuenta en HCL Commerce continuará hasta que un administrador vuelva a habilitar la cuenta.

8.1.8 Si una sesión ha estado desocupada durante más de 15 minutos, solicite que el usuario vuelva a autenticarse para reactivar el terminal o la sesión.

HCL Commerce tiene una función de tiempo de espera de inicio de sesión, que está habilitada de forma predeterminada. Si tiene que volver a habilitar esta característica:

Configuración del tiempo de espera basado en cookies

8.2 Además de asignar un ID exclusivo, asegúrese de utilizar la adecuada gestión de la identificación de usuarios para aquellos los usuarios que no sean consumidores y los administradores de todos los componentes del sistema empleando, como mínimo, uno de los métodos siguientes para autenticar a todos los usuarios:

  • Algo que conozca como, por ejemplo, una contraseña o frase
  • Algo que tenga como, por ejemplo, un dispositivo de señal o una tarjeta inteligente
  • Algo que esté relacionado con su profesión o cargo como, por ejemplo, el término biométrico.

Los usuarios de HCL Commerce se autentican con una contraseña.

8.2.1 Mediante criptografía compleja, represente todas las credenciales de autenticación (como, por ejemplo, contraseñas/frases) ilegibles durante la transmisión y el almacenamiento en todos los componentes del sistema.

Las contraseñas se almacenan en la base de datos utilizando un hash unidireccional y, a continuación, se cifran aún más. Las contraseñas se cifran durante la transmisión a través de HTTP, mediante SSL. Para configurar el correo electrónico de tipo Restablecer contraseña para que contenga un código de validación en lugar de un temporal de contraseña de texto sin formato, efectúe los pasos siguientes: Configuración Restablecer contraseña para utilizar códigos de validación largos..

8.2.2 Verifique la identidad del usuario antes de modificar las credenciales de autenticación; por ejemplo, lleve a cabo restablecimientos de contraseña, proporcione señales nuevas o genere claves nuevas.

Los restablecimientos de contraseña se envían a la cuenta de correo electrónico que el usuario haya especificado durante su registro. Se solicita a los compradores que respondan una pregunta de contraseña formulada durante su registro.

8.2.3 Las contraseñas/frases deben cumplir los criterios siguientes:
  • Requerir una longitud mínima de siete caracteres.
  • Contener tanto caracteres numéricos como alfabéticos.
Como alternativa, las contraseñas y la frases deben tener la complejidad y fortaleza que equivalga, como mínimo, a los parámetros especificados anteriormente.

Asegúrese de que la política de contraseñas que se está utilizando en HCL Commerce requiera, como mínimo, siete caracteres. De forma predeterminada, a los administradores se les requiere que utilicen contraseñas de ocho caracteres. Es obligatorio que las contraseñas de WebSphere Commerce contengan tanto caracteres numéricos como alfabéticos.

Para obtener más información, consulte Políticas de seguridad de cuentas predeterminadas.

8.2.4 Cambie las contraseñas/frases de contraseñas, como mínimo, cada 90 días.

Asegúrese de que la política de contraseñas que se está utilizando en HCL Commerce requiera, como mínimo, un cambio de contraseña cada 90 días. De forma predeterminada, se obliga a los administradores a cambiar su contraseña cada 90 días. Para obtener más información, consulte Políticas de seguridad de cuentas predeterminadas.

8.2.5 No permita que un individuo envíe una nueva contraseña/frase que sea la misma que cualquiera de las cuatro últimas contraseñas/frases que él o ella haya utilizado.

HCL Commerce no le permite enviar una nueva contraseña que sea la misma que cualquiera de las cuatro últimas contraseñas/frases que él o ella haya utilizado.

Si está utilizando un mecanismo de autenticación personalizado como, por ejemplo, LDAP, deberá probarlo para garantizar que su cumpla los requisitos pertinentes.

8.2.6 Establezca contraseñas/frases para su primer uso y tras restablecerse éstas, en un valor exclusivo para cada usuario, y que se cambie inmediatamente después del primer uso.

La cuenta de administrador de HCL Commerce deberá cambiarse, inmediatamente, después del primer uso.

8.3 Incorpore la autenticación de dos factores para el acceso de red remoto procedente de fuera de la red por parte del personal (incluidos los usuarios y administradores) y por parte de todos los terceros, (incluyendo el acceso de proveedores a efectos de soporte o mantenimiento).
Nota: La autenticación de dos factores requiere que se utilicen, para la autenticación, dos de los tres métodos de autenticación (consulte el Requisito 8.2 para obtener una descripción de los métodos de autenticación). Utilizar un factor dos veces (por ejemplo, utilizar dos contraseñas independientes) no se considera que sea una autenticación de dos factores.

Entre los ejemplos de tecnologías de dos factores se incluyen la autenticación remota y el servicio de acceso telefónico (RADIUS) con señales; el sistema de control de acceso de controlador de acceso de terminal (TACACS) con señales; y otras tecnologías que facilitan la autenticación de dos factores.

HCL Commerce no habilita ni da soporte al acceso remoto. Si opta por habilitar el acceso remoto a la red, deberá implementar la autenticación de 2 factores.

Importante: Los integradores o distribuidores con los que haga negocios, deberán utilizar e implementar características de seguridad de acceso remoto. A continuación figuran ejemplos de características de seguridad de acceso remoto:
  • Cambiar la configuración predeterminada del software de acceso remoto (por ejemplo, cambiar las contraseñas predeterminadas y utilizar contraseñas exclusivas para cada cliente).
  • Permitir solo conexiones procedentes de direcciones IP/MAC específicas (conocidas).
  • Utilizar autenticación y contraseñas complejas para los inicios de sesión, conforme a los requisitos de PCI DSS.
  • Habilitar la transmisión de datos cifrados, conforme a los requisitos de PCI DSS.
  • Habilitar el bloqueo de cuentas después de haber realizado un número determinado de intentos de inicio de sesión fallidos, conforme a los requisitos de PCI DSS.
  • Configurar el sistema de forma que un usuario remoto deba establecer una conexión de tipo VPN (red privada virtual) a través de un cortafuegos para que se le otorgue acceso.
  • Habilitar la función de registro.
  • Restringir el acceso a las contraseñas de clientes al personal de distribuidor/integrador autorizado.
  • Establecer las contraseñas cliente conforme a los requisitos de PCI DSS.

8.4 documento y comunicar procedimientos de autenticación y políticas a todos los usuarios, incluidos: Instrucciones para seleccionar las credenciales de autenticación fuerte; instrucciones sobre cómo los usuarios deben proteger sus credenciales de autenticación; instrucciones para que no vuelvan a utilizar las contraseñas usadas previamente; instrucciones para cambiar las contraseñas si hay alguna sospecha de que éstas pudieran verse comprometidas.

El comerciante es responsable de documentar y comunicar las política de seguridad y los procedimientos operativos a todas las partes que se vean afectadas.

8.5 No utilice contraseñas, ID de grupo, compartidos o genéricos, u otros métodos de autenticación, tal como se indica a continuación:
  • Los ID de usuario genéricos se inhabilitan o eliminan.
  • ID de usuario compartidos no existen para la administración del sistema y otras funciones críticas.
  • Los ID de usuario compartidos y genéricos no se utilizan para administrar ninguno de los componentes del sistema.

No comparta el acceso a las cuentas de administrador en HCL Commerce. Cree una cuenta nueva para cada administrador. De forma predeterminada, los ID de usuario en HCL Commerce no pueden iniciar la sesión varias veces de forma simultánea.

La gestión de contraseñas en HCL Commerce se gestiona a través de las políticas de cuentas.

A continuación se describe la política de cuentas predeterminada para los compradores y administradores:

Políticas de seguridad de cuentas predeterminadas

Otros temas útiles:

8.5.1 Requisito adicional para los proveedores de servicios: Los proveedores de servicio que tengan acceso remoto a las instalaciones del cliente (por ejemplo, para dar soporte a los servidores o los sistemas POS) deben utilizar una credencial de autenticación exclusiva (por ejemplo, una contraseña/frase) para cada cliente.
Nota: Este requisito no está pensado para aplicarse a los proveedores de alojamiento compartido que accedan a su propio entorno de alojamiento, donde se alojen varios entornos de cliente.

El requisito 8.5.1 es un procedimiento recomendado hasta el 30 de junio de 2015, fecha a partir de la cual se convierte en un requisito.

Los proveedores no deberían necesitar nunca cuentas de administración en HCL Commerce. Asegúrese de que las cuentas del sistema operativo utilizadas por los proveedores están inhabilitadas cuando no estén en uso.

8.6 Allí donde se utilicen otros mecanismos de autenticación (por ejemplo, señales de seguridad físicas o lógicas, tarjetas inteligentes, certificados, etc.), el uso de estos mecanismos debe asignarse tal como se indica a continuación Los mecanismos de autenticación deben asignarse a una cuenta individual y no compartirse entre varias cuentas. Los controles físicos y/o lógicos deben estar en vigor para poder garantizar que solo la cuenta pertinente pueda utilizar dicho mecanismo para obtener acceso.

De forma predeterminada, HCL Commerce no da soporte a estos mecanismos de autenticación. Es responsabilidad del proveedor garantizar que solo la cuenta pertinente pueda utilizar el mecanismo de autenticación para obtener acceso.

8.7 Todos los accesos a cualquier base de datos que contenga datos del titular de la tarjeta (incluido el acceso por parte de aplicaciones, administradores y todos los demás usuarios) están restringidos, tal como se indica a continuación:
  • Todos los accesos de usuario, consultas de usuario a, y acciones de usuario efectuadas en las bases de datos a través de métodos programáticos.
  • solo los administradores de bases de datos tienen la posibilidad de acceder a, o consultar, las bases de datos directamente.
  • ID de aplicación para las aplicaciones de base de datos solo los pueden utilizar las aplicaciones (y no los usuarios individuales u otros procesos que no sean de la aplicación).

Se autentican todos los accesos a la base de datos de HCL Commerce.

8.8 Asegúrese de que las políticas de seguridad y los procedimientos operativos para la identificación y la autenticación estén documentados, se estén utilizando, y los conozcan todas las partes afectadas.

Ésta es una responsabilidad del comerciante.