PCI DSS son las siglas de Payment Card Industry Data Security Standard. Se trata de una norma de seguridad en vigor, que describe algunas de las medidas que las empresas están obligadas a tomar para proteger los datos.
Esto incluye muchas capas de seguridad, desde el uso de una VPN como NordVPN hasta la instalación de un cortafuegos. También hay que documentar todo de forma eficaz. Si no lo hace, podría enfrentarse a grandes multas en caso de que se produzca una filtración de datos.
A continuación, le explicaré algunos de los principales requisitos. Esto le ayudará a comprender mejor el plan de seguridad integral que debe establecer y aplicar. Esta lista no es en absoluto exhaustiva, sino que abarca algunos de los principales ámbitos. Consulte la Guía PCI DSS en su totalidad.
Índice de contenidos
Requisito PCI DSS – Instalar y mantener una configuración de cortafuegos
La PCI DSS establece numerosos requisitos que todos los comerciantes deben seguir para garantizar su cumplimiento. El primer paso es proteger los datos de los titulares de las tarjetas instalando y manteniendo una configuración de cortafuegos. Vamos a explicarle en qué consiste y cómo le ayuda nuestro servicio.
Este requisito es en realidad el más exigente desde el punto de vista técnico de todas las normas PCI DSS. La instalación y el mantenimiento de una configuración de cortafuegos pueden parecer sencillos a primera vista, pero este requisito conlleva muchas cosas, como descubrirá a continuación.
¿Qué espera la PCI cuando se trata de instalar y mantener una configuración de cortafuegos?
Lo primero que hay que hacer es establecer e instalar las normas de configuración del router y del cortafuegos, que deben consistir en todo lo siguiente
- Un procedimiento formal para la comprobación y aprobación de todas las conexiones de red y las alteraciones de las configuraciones de los routers y cortafuegos.
- Un diagrama que identifica todas las redes, dispositivos de red y componentes de sistemas. Este diagrama debe incluir las conexiones entre el Entorno de Datos del Titular de la Tarjeta (CDE) y todas las demás redes, incluyendo las redes inalámbricas.
- También necesita un diagrama que muestre los flujos de datos de los titulares de las tarjetas en todas sus redes y sistemas.
- Para cada conexión a Internet, debe haber un cortafuegos. Esto también se aplica entre cualquier zona desmilitarizada (DMZ) y la zona de red interna.
- Para gestionar los componentes de la red, se necesita una descripción de todos los grupos, funciones y responsabilidades.
- Se requiere una justificación y documentación empresarial con respecto a la utilización de todos los servicios, puertos y protocolos permitidos, así como cualquier medida de seguridad que se utilice para los protocolos inseguros.
- Debe revisar todos los conjuntos de reglas del router y del cortafuegos cada seis meses como mínimo.
Comprender este requisito:
Lo que debes reconocer es que tanto los routers como los firewalls juegan un papel crucial cuando se trata de puntos de entrada y salida de la red. Permitirán el acceso autorizado a la red y bloquearán el acceso no deseado, y esto pone de manifiesto por qué es imperativo tener implantados cortafuegos y routers. Los puntos a-g son esencialmente las directrices de PCI para los pasos que hay que dar para asegurar que esta primera línea de defensa es tan fuerte como debe ser.
Así pues, veamos cómo aplicar los puntos a-g:
-
- Proceso formal de prueba/aprobación – Es vital porque ayuda a prevenir los problemas de seguridad que surgen debido a una mala configuración de la red, el cortafuegos o el router. Debe asegurarse de que sólo los usuarios autorizados (con contraseña) puedan realizar cualquier cambio y que estas alteraciones se registren y conserven.
- Diagrama de identificación de redes, dispositivos de red y componentes de sistemas – Estos diagramas describen la configuración de la red y pueden utilizarse para identificar la ubicación de todos los dispositivos de red. Sin ella, los dispositivos pueden quedar fuera de los controles de seguridad sin saberlo, lo que puede suponer un grave riesgo. Debe generar y actualizar automáticamente los diagramas de red.
- Diagrama de flujo de datos del titular de la tarjeta – Identifica la ubicación de todos los datos del titular de la tarjeta dentro de la red. Esto le permite gestionar los datos de forma más eficaz.
- Cortafuegos para todas las conexiones a Internet: esto reduce las posibilidades de que un individuo malintencionado se introduzca en su red a través de una red desprotegida, ya que el acceso se supervisa y controla con mayor eficacia. Asegúrese de que se instala un cortafuegos que cumpla con la normativa PCI para cada conexión a Internet, así como entre cualquier DMZ y la zona de red interna.
- Descripción de todos los grupos, funciones y responsabilidades – Esto garantiza que todo el personal sepa quién es responsable de qué. Estas funciones pueden gestionarse a través de un sistema de gestión centralizado.
- Documentación y justificación empresarial para todos los servicios, puertos y protocolos permitidos: esto le permite eliminar o desactivar todos los demás protocolos, puertos o servicios.
- Revise el conjunto de reglas del enrutador y del cortafuegos cada seis meses: se requiere una actualización constante para cumplir continuamente con las normas PCI DSS.
También debe construir configuraciones de router y firewall que limiten las conexiones entre los componentes del sistema CDE y las redes no confiables. Esto implica:
- El tráfico debe ser restringido, tanto de entrada como de salida, para que el entorno de datos del titular de la tarjeta sólo contenga lo necesario. Todo el resto del tráfico no relacionado debe ser segregado.
- Los archivos de configuración del router deben estar asegurados y sincronizados.
- Controle el tráfico instalando cortafuegos perimetrales entre el CDE y todas las redes inalámbricas. Configure estos cortafuegos para permitir el tráfico autorizado sólo entre el CDE y el entorno inalámbrico.
Comprender este requisito:
El segundo paso consiste en lograr la configuración correcta del cortafuegos para que funcione correctamente y controle el tráfico de la red de forma segura y eficaz. Debe asegurarse de que la protección de la red está instalada entre la red interna de confianza y cualquier red externa que no sea de confianza. Si no lo haces, eres vulnerable a un ataque.
-
- Restringir el tráfico entrante y saliente – Esto es necesario para asegurar que cualquier atacante malicioso no obtenga acceso a su red a través del uso de servicios, puertos o protocolos de manera no autorizada o a través de direcciones IP no autorizadas. Conseguirlo mediante la creación de un Entorno de Datos del Titular de la Tarjeta en el que se deniega todo el tráfico de entrada y salida, excepto las transacciones de pago.
- Asegurar y sincronizar los archivos de configuración del router – Los archivos de configuración de inicio a menudo se pasan por alto debido a su uso poco frecuente. Sin embargo, si no se actualizan con la misma configuración de seguridad, entonces un ciberdelincuente puede encontrar una forma de entrar.
- Instale cortafuegos perimetrales entre todas las redes inalámbricas y el CDE: los individuos malintencionados suelen aprovechar la tecnología inalámbrica para acceder a los datos de las tarjetas. Por eso se necesitan cortafuegos para restringir el acceso de las redes inalámbricas al entorno de datos del titular de la tarjeta.
Debe prohibirse el acceso público directo entre cualquier componente del sistema CDE e Internet. Para ello, debes:
- El tráfico entrante debe limitarse a los componentes del sistema que suministran servicios, protocolos y puertos autorizados de acceso público. Implantar una DMZ para conseguirlo.
- Dentro de la DMZ, el tráfico entrante de Internet debe limitarse a las direcciones IP.
- Deben prohibirse las conexiones directas entre el CDE e Internet, tanto de entrada como de salida.
- Debe detectar y bloquear cualquier dirección IP de origen falsificada para que no pueda entrar en la red. Implementar medidas anti-spoofing para lograrlo.
- No se debe permitir el tráfico saliente no autorizado desde el CDE hacia Internet.
- Las conexiones “establecidas” sólo deben permitirse en la red.
- Todos los componentes del sistema que almacenan datos de los titulares de las tarjetas deben estar separados de la DMZ y de otras redes que no sean de confianza y, en su lugar, colocados en una zona de red interna.
- La información de enrutamiento y las direcciones IP privadas no deben ser reveladas a partes no autorizadas.
Comprender este requisito:
Los dos pasos anteriores se han centrado en la protección que ofrecen los cortafuegos. El cortafuegos protege esencialmente las conexiones de los sistemas públicos al CDE. Sin embargo, todo esto no servirá de nada si se permite el acceso directo entre los sistemas públicos y el CDE.
-
- Implementar una DMZ – Esto gestiona las conexiones entre Internet y los servicios que las empresas necesitan tener disponibles para el público. Esto impedirá que los ciberdelincuentes utilicen Internet para acceder a su red interna. Limite todo el tráfico para asegurarse de que cumple con la normativa.
- Limitar el tráfico de entrada a las direcciones IP en la DMZ – Esto asegura que nadie no autorizado tenga acceso. Prohibir las conexiones directas entre Internet y el CDE – Esto impide que se produzcan accesos no filtrados entre los entornos de confianza y los que no lo son. Por lo tanto, digamos que un ciberdelincuente obtiene información sensible; no podrá enviarla desde su red a un servidor externo no fiable. Puede conseguirlo denegando todo el tráfico de entrada y salida, excepto las transacciones de pago.
- Implementar medidas anti-spoofing – Los atacantes maliciosos a menudo tratan de imitar una dirección IP para que usted crea que proviene de su propia red. Hay que tomar medidas para evitarlo.
- Prohibir el tráfico saliente no autorizado desde el CDE hacia Internet – Debe controlar el tráfico para que sólo se permitan las comunicaciones autorizadas. Puede hacerlo denegando todo el tráfico entrante y saliente, salvo las transacciones de pago.
- Permitir sólo las conexiones establecidas en la red – Necesita un cortafuegos que realice una inspección de paquetes con estado. Esto implica mantener el estado de cada conexión a través del cortafuegos para saber si una respuesta está autorizada o si un ciberdelincuente está tratando de engañar al cortafuegos para poder encontrar una forma de entrar.
- Segregar los componentes del sistema que almacenan los datos de los titulares de las tarjetas de la DM Z – Hay menos capas para que los ciberdelincuentes penetren si la información de los titulares de las tarjetas se almacena dentro de la DMZ. Esto les facilita el acceso. Los datos de los titulares de las tarjetas deben estar dentro de una red segregada.
- La información de enrutamiento y las direcciones IP privadas no deben ser reveladas a partes no autorizadas – Debe asegurarse de que las direcciones IP privadas sean reveladas, de lo contrario un hacker podría descubrir cuál es la dirección IP y obtener acceso a su red. Exija a todos los usuarios que se registren, garantizando la divulgación autorizada de un administrador en cada lugar, y debe prohibir los protocolos de enrutamiento y los anuncios.
Se debe instalar un software de cortafuegos personal en todos los dispositivos y móviles propiedad de los empleados que se conecten a Internet cuando se utilicen para acceder a la red o fuera de ella.
Comprender este requisito:
Se necesita un cortafuegos personal para proteger los móviles y los dispositivos propiedad de los empleados de un ataque basado en Internet. Esto es imperativo, ya que estos dispositivos son más susceptibles de ser vulnerados porque están fuera del firewall corporativo, y por lo tanto se convierten en objetivos principales para los hackers. Por lo tanto, si sus empleados utilizan sus portátiles para trabajar y se conectan cuando están fuera de la red, es su responsabilidad asegurarse de que tienen instalado un software de cortafuegos personal.
Los procedimientos operativos y las políticas de seguridad para gestionar los cortafuegos deben estar documentados y ser conocidos por todas las partes afectadas.
Comprender este requisito:
Para asegurarse de que sigue impidiendo el acceso no autorizado a la red, debe gestionar las políticas y los procedimientos establecidos en relación con los cortafuegos y los routers, asegurándose de que están bien documentados y actualizados.
Requisito PCI DSS: no utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y los parámetros de seguridad adicionales.
Para lograr el cumplimiento de PCI DSS, la sección dos establece que debe cambiar cualquier valor predeterminado suministrado por el proveedor, sin excepción. Esto es aplicable a todas las contraseñas por defecto, incluidas las utilizadas por los terminales de punto de venta (TPV), las cuentas de aplicaciones, los sistemas operativos y mucho, mucho más.
¿Qué espera la PCI cuando se trata de evitar todos los incumplimientos del proveedor?
Como ya se ha comentado brevemente, debe asegurarse de cambiar los valores predeterminados proporcionados por el proveedor, y debe desactivar o eliminar cualquier cuenta predeterminada no requerida. No hay excepciones a esta regla: todas y cada una de las contraseñas y parámetros de seguridad deben cambiarse.
Cuando se trata de todos los entornos inalámbricos que transmiten información de los titulares de las tarjetas o se conectan al entorno de datos de los titulares de las tarjetas (CDE), debe modificar todos los valores predeterminados de los proveedores inalámbricos en la instalación. Esto incluye las cadenas de comunidad SNMP por defecto, las contraseñas y las claves de cifrado inalámbricas.
Comprender este requisito:
Las configuraciones por defecto suelen ser publicadas y bien conocidas en las comunidades de hackers. Esto hace que su sistema sea más vulnerable, ya que las personas malintencionadas podrían acceder fácilmente mediante el uso de contraseñas, nombres de cuentas, configuraciones y similares por defecto, y, por lo tanto, al cambiar todos los valores predeterminados usted restringe efectivamente el acceso.
En cuanto a cambiar todos los valores predeterminados del proveedor de servicios inalámbricos, esto es vital porque si no lo hace, un ciberdelincuente podría entrar fácilmente en su red y atacarla. Esto ocurre porque la mayoría de las redes inalámbricas se implementan sin las configuraciones de seguridad adecuadas, lo que da a los hackers la oportunidad de capturar datos y contraseñas espiando el tráfico.
El siguiente requisito implica el desarrollo de normas de configuración para todos los componentes de su sistema. Deben abordarse todas las vulnerabilidades de seguridad conocidas, y deben ser coherentes con las normas de endurecimiento del sistema aceptadas por la industria. Para ello, debes seguir los siguientes pasos:
- Sólo debe haber una función primaria implementada para cada servidor. Esto es imprescindible para garantizar que no coexistan en el mismo servidor servidores que necesitan distintos niveles de seguridad.
- Sólo deben activarse los protocolos y servicios necesarios para el funcionamiento del sistema.
- Para cualquier protocolo o servicio requerido que se considere inseguro, debe implementar características de seguridad adicionales.
- Evitar el uso indebido mediante la configuración de los parámetros de seguridad del sistema.
- Hay que eliminar la funcionalidad innecesaria, incluyendo servidores web, sistemas de archivos, subsistemas, funciones, controladores y scripts innecesarios.
Comprender este requisito:
La PCI ha implantado este requisito para combatir las numerosas debilidades conocidas que presentan las aplicaciones, las bases de datos y los sistemas operativos de las empresas. Si bien hay vulnerabilidades, también hay formas de solucionarlas, y se proporcionan los pasos a-e para garantizar que su empresa se ocupe de cualquier debilidad en su sistema
Así pues, echemos un vistazo a los cinco puntos mencionados aquí:
- Implemente una función principal por servidor – Si tiene dos funciones de servidor, y están ubicadas en el mismo servidor pero requieren diferentes niveles de seguridad, una de las funciones del servidor estará comprometida. Esto se debe a que las necesidades de las funciones de mayor seguridad se verán reducidas como resultado de la presencia de las funciones de menor seguridad.
- Habilitar sólo los protocolos y servicios necesarios – Hay muchos protocolos que proporcionan a los intrusos maliciosos una forma fácil de comprometer una red. Por lo tanto, la PCI ha implementado este requisito para garantizar que las empresas sólo habiliten los protocolos y servicios necesarios para reducir el riesgo de un ataque.
- Implantar funciones de seguridad añadidas para protocolos y servicios inseguros: si habilita los sistemas de seguridad antes de desplegar los nuevos servidores, puede asegurarse de que no se instalen en un entorno con configuraciones inseguras. Las características de seguridad adicionales también reducirán la posibilidad de que se produzca una brecha, ya que los hackers no podrán aprovechar los puntos de compromiso más utilizados de la red.
- Configurar los parámetros de seguridad del sistema – Esto es fundamental para evitar el uso indebido, y puede lograrlo a través de una variedad de métodos, incluyendo la autorización basada en roles, reglas de firewall basadas en plantillas y registros de auditoría seguros.
- Eliminar las funciones innecesarias: este requisito garantiza que los individuos malintencionados no tengan ninguna oportunidad adicional de comprometer su sistema.
Debe utilizar una criptografía fuerte para cifrar todos los accesos administrativos que no sean de la consola.
Comprender este requisito:
Sin comunicaciones encriptadas y una autenticación segura, un hacker podría robar fácilmente información con el fin de acceder a la red, convertirse en administrador y, en última instancia, robar datos.
Este paso requiere que se mantenga un inventario de los componentes del sistema. Este debe incluir todos los componentes que están en el ámbito de la PCI DSS.
Comprender este requisito:
Si no cumple con este requisito, es posible que se olvide de los componentes del sistema y, por lo tanto, pueden ser excluidos de sus normas de configuración.
Documente todos los procedimientos operativos y las políticas de seguridad para la gestión de los incumplimientos de los proveedores, así como otros parámetros de seguridad.
Comprender este requisito:
El quinto paso ha sido diseñado para prevenir configuraciones inseguras asegurando que todo el personal siga los procedimientos operativos diarios y las políticas de seguridad establecidas.
Los proveedores de alojamiento compartido deben proteger los datos de los titulares de las tarjetas y el entorno de alojamiento de cada entidad.
Comprender este requisito:
Si varios clientes se alojan en el mismo servidor a través de un proveedor de alojamiento, entonces un cliente puede comprometer los datos de otro añadiendo scripts y funciones inseguras. Este requisito está pensado para combatirlo.
Requisito PCI DSS: la transmisión de los datos de los titulares de las tarjetas debe estar cifrada en todas las redes públicas y abiertas
Esta sección de los requisitos de la DSS de la PCI está diseñada para garantizar que usted tenga controles de encriptación sólidos siempre que se transmitan los datos de los titulares de las tarjetas. Está diseñado para impedir que los ciberdelincuentes intercepten o desvíen los datos cuando están en tránsito.
Para salvaguardar los datos de los titulares de las tarjetas mientras transitan por redes públicas y abiertas, debe utilizar protocolos de seguridad y una criptografía sólida. Algunos ejemplos comunes de redes abiertas y públicas son las comunicaciones por satélite, las tecnologías inalámbricas e Internet.
Además, para garantizar la implementación de un cifrado fuerte para la transmisión y la autenticación, es necesario utilizar las mejores prácticas de la industria cuando las redes inalámbricas están conectadas al entorno de datos del titular de la tarjeta (CDE) o transmiten datos del titular de la tarjeta.
Comprender este requisito:
Este requisito es imprescindible porque los datos que se transmiten por redes públicas y abiertas son vulnerables a la interceptación por parte de personas malintencionadas.
La segunda parte del primer paso, relativa a las redes inalámbricas, es esencial porque los ciberdelincuentes suelen espiar las comunicaciones inalámbricas mediante herramientas gratuitas y ampliamente disponibles. Utilizando las mejores prácticas del sector, puede evitar que esto ocurra.
Nunca debe utilizar tecnologías de mensajería de usuario final para enviar PAN no protegidos. Los principales ejemplos de tecnologías de mensajería de usuario final son la mensajería instantánea y el correo electrónico.
Comprender este requisito:
Este requisito se ha establecido porque las tecnologías de mensajería del usuario final pueden ser interceptadas con facilidad. Simplemente hay que asegurarse de no utilizar estas herramientas al enviar el PAN.
Documentar todos los procedimientos operativos y las políticas de seguridad para encriptar las transmisiones de datos de los titulares de tarjetas. Asegúrese de que estos procedimientos y políticas son conocidos por todas las personas que se ven afectadas por ellos.
Comprender este requisito:
Este requisito es imprescindible para garantizar una gestión eficaz y continua de la transmisión segura de los datos de los titulares de tarjetas.
Requisito PCI DSS – Desarrollar y mantener aplicaciones y sistemas seguros
El cumplimiento de la norma PCI DSS es un proceso continuo, y este requisito implica el desarrollo y mantenimiento de aplicaciones y sistemas seguros. El propósito de esto es asegurarse de que se mantiene al día con cualquier vulnerabilidad que pueda tener un impacto en su entorno y plantear problemas potenciales. Desde los controles de seguridad hasta las actualizaciones, hay muchas maneras de cumplir con sus obligaciones.
El primer paso para cumplir este requisito de PCI DSS es establecer procesos para la identificación de cualquier vulnerabilidad de seguridad. Para ello, debe establecerse un sistema de clasificación de riesgos para cualquier vulnerabilidad recién descubierta, que dependerá de su estrategia y entorno de evaluación de riesgos.
Comprender este requisito:
Este requisito se ha establecido porque su organización estará abierta a nuevas vulnerabilidades si no se mantiene al día con todos los riesgos potenciales. Realice comprobaciones semanales de los servicios de seguridad para asegurarse de que cualquier nueva vulnerabilidad se detecta de forma inminente.
Instale los parches de seguridad suministrados por el proveedor para proteger todo el software y los sistemas de las vulnerabilidades conocidas.
Comprender este requisito:
Una de las mayores amenazas para las empresas es el continuo flujo de ataques que utilizan los exploits que se publican ampliamente. Por lo tanto, el segundo paso está pensado para garantizar que los individuos maliciosos no aprovechen estos exploits para desactivar o atacar su sistema. El uso de los parches de seguridad más recientes puede combatir todas las vulnerabilidades conocidas.
Todas las aplicaciones informáticas externas e internas deben desarrollarse de forma segura. Este requisito se divide en una serie de pasos –
- Antes de que las aplicaciones se liberen a los clientes o se activen, debe eliminar las contraseñas, los ID de usuario, las cuentas de aplicaciones personalizadas, las cuentas de aplicaciones de desarrollo y las cuentas de aplicaciones de prueba.
- Antes de la publicación, revise el código personalizado para identificar cualquier posible vulnerabilidad de codificación.
Comprender este requisito:
Este requisito se ha establecido porque las vulnerabilidades de seguridad pueden introducirse de forma maliciosa o inadvertida si la seguridad no se incluye durante las fases de definición de requisitos, diseño, análisis y pruebas del desarrollo de software. Veamos los pasos “a” y “b” con más detalle a continuación.
- Elimine las contraseñas, los identificadores de usuario, las cuentas de aplicaciones personalizadas, las cuentas de aplicaciones de desarrollo y las cuentas de aplicaciones de prueba: es necesario eliminar estos elementos para no revelar información sobre el funcionamiento de la aplicación.
- Revisar el código personalizado para identificar cualquier posible vulnerabilidad de codificación – Este paso es importante porque los individuos maliciosos a menudo explotan las vulnerabilidades de seguridad en el código personalizado con el fin de obtener acceso a una red y comprometer los datos.
Cuando se realicen cambios en los componentes del sistema, se deben seguir los procedimientos y procesos de control de cambios, que se describen en los pasos siguientes:
- Los controles de acceso deben utilizarse para separar los entornos de prueba/desarrollo de los entornos de producción.
- Las funciones deben estar separadas entre los entornos de producto y los entornos de prueba/desarrollo.
- No debe utilizar datos de PANs/producción en vivo para el desarrollo o las pruebas.
- Antes de que los sistemas de producción se activen, debe eliminar las cuentas y los datos de prueba.
- Para las modificaciones de software y la aplicación de parches de seguridad, debe cambiar los procedimientos de control. Véase más abajo:
- Impacto del documento.
- Documentar la aprobación del cambio por las partes autorizadas.
- Verificar que el cambio no tendrá un efecto adverso en la seguridad del sistema mediante pruebas de funcionalidad.
- Procedimientos de retirada.
Comprender este requisito:
Esta parte del cumplimiento de la PCI es imperativa porque todo lo siguiente podría ocurrir si los controles de cambio no se implementan y documentan correctamente: podría introducirse código malicioso, podrían aparecer irregularidades en el procesamiento y las características de seguridad podrían quedar inutilizadas, ser omitidas deliberadamente o por descuido. Veamos los pasos mencionados anteriormente con más detalle:
-
- Separar los entornos de prueba/desarrollo de los de producción – Esto es necesario porque los entornos de desarrollo y prueba no suelen ser tan seguros como los de protección.
- Separar las funciones entre los entornos de producción y los entornos de prueba/desarrollo – Este paso minimizará el riesgo porque el acceso al CDE y al entorno de producción estará restringido.
- No utilice PANs en vivo/datos de producción para el desarrollo o las pruebas – Esto es crucial porque los PANs en vivo podrían dar a los ciberdelincuentes una vía de entrada, ya que los controles de seguridad no suelen ser tan rigurosos en los entornos de desarrollo o prueba.
- Antes de que los sistemas de producción se activen, elimine las cuentas y los datos de prueba: si no elimina los datos y las cuentas de prueba, puede revelar información sobre el funcionamiento de la aplicación o el sistema.
- Para las modificaciones de software y la implementación de parches de seguridad, debe cambiar los procedimientos de control – Pueden producirse problemas de seguridad cuando los parches de seguridad y las modificaciones de software no se gestionan adecuadamente.