El próximo 25 de agosto, se activará una configuración en todas las computadoras (portátiles y de escritorio) de las personas trabajadoras del Conglomerado Financiero BCR con la herramienta DLP Endpoint Central.
Esta política tiene como objetivo localizar datos relacionados a titulares de tarjetas, por lo que realizará un análisis en todas las carpetas de los equipos para ubicar los archivos que contengan números de tarjetas completos y visibles (16 dígitos visibles).
Del resultado de la búsqueda se generará un reporte con el detalle de los archivos, usuario, tipo evento, entre otros.; con el fin de aplicar su apropiado tratamiento.
¿Por qué se aplica esta política?
Se aplica para cumplir con el requisito de la norma de PCI DSS:
A3.2.5 Se implementa una metodología de localización de datos que:
- Confirma el alcance PCI DSS
- Ubica todas las fuentes y ubicaciones de datos PAN no cifrados al menos una vez cada tres meses y ante cambios significativos en el CDE o los procesos
- Aborda la posibilidad de que datos PAN no cifrados residan en sistemas y redes fuera del CDE definido actualmente
¿Aplica también para subsidiarias?
Aplica para todo el Conglomerado, incluyendo los equipos que se encuentran el dominio de auditoría y de Bancrédito.
¿Cómo me doy cuenta si ya la política revisó mi computadora?
Cuando la política se aplique a los equipos, se le mostrará un mensaje como los siguientes al usuario:
Se le solicitará reiniciar las aplicaciones o navegadores que estén en uso; sin embargo, para no afectar las labores a los compañeros deben dar clic en el botón “No” o "Skip" pero deben reiniciar el equipo al finalizar las labores del día.
¿Los archivos que se encuentren serás borrados?
No se realizará ninguna gestión con los archivos, sólo serán identificados con un ícono como el de la imagen adjunta.
¿Un usuario puede solicitar el reporte individual de lo que la política encontró en su equipo?
No puede solicitarlo.
¿Qué uso se le dará al reporte?
Con el reporte generado se debe aplicar este otro requisito de PCI DSS:
A3.2.5.2 Se implementan procedimientos de respuesta ante la detección de datos PAN no cifrados fuera del CDE que incluyen:
- Determinar qué hacer si se descubren datos PAN fuera del CDE, incluyendo su recuperación, eliminación segura y/o migración al CDE actualmente definido, según corresponda
- Determinar cómo los datos terminaron fuera del CDE
- Remediar fugas de datos o brechas en el proceso que llevaron a que los datos llegaran a una ubicación fuera del CDE
- Identificar la fuente de los datos
- Identificar si se almacenan datos de track con los datos PAN
¿Cuánto tiempo tarda en aplicarse la política? ¿El usuario debe hacer algo en particular?
El usuario solamente debe reiniciar el equipo si le da clic al botón “No” del mensaje.
El agente de Endpoint Central de ManageEngine se comunica con el servidor cada 90 minutos, siempre que el equipo esté activo en la red. Por lo que se aplicará la política al equipo cuando el agente del endpoint de ese equipo se comunique con el servidor.