GERENCIA CORPORATIVA TECNOLOGÍA

Matching: discovery

Borrado de archivos con datos de tarjetas

Marlen Sanchez Badilla Tags: discovery archivos_con_datos_de_tar... normas_pci ‎ ‎ 414 Views

Como parte de nuestro compromiso con la seguridad de la información y el cumplimiento de la Norma PCI DSS, les informamos que se ha iniciado un proceso de revisión y limpieza de datos sensibles en todas las estaciones de trabajo. Leer: Descubriendo archivos con datos PCI

¿Qué se requiere?

Se solicita a todos los usuarios que, antes del lunes 22 de setiembre, eliminen todos los archivos que contengan números de tarjeta completos y visibles que puedan estar almacenados localmente en su computadora (portátil y de escritorio) incluyendo: Archivos de Excel, Word, PDF, bloc de notas u otros formatos

¿Qué debo hacer?

Realizar una búsqueda de archivos que puedan contener datos PAN (16 dígitos visibles) en su equipo y eliminar cualquier archivo que contenga esta información.
Posterior a que los archivos sean eliminados de su equipo, debe vaciar la papelera de reciclaje.
Evitar almacenar archivos con datos PAN en el futuro su equipo.
En caso de duda, contactar a la Unidad Mesa de Ayuda ext. 700.

¿Por qué es importante?

El almacenamiento local de datos PAN representa un riesgo significativo para la seguridad de la información y puede comprometer el cumplimiento de los estándares PCI. La eliminación de estos datos ayuda a proteger a nuestros clientes y al banco frente a posibles brechas de seguridad.

Fecha límite de cumplimiento: 22 de septiembre de 2025

Agradecemos su colaboración para mantener un entorno seguro
y en cumplimiento con los estándares internacionales.

Modified on by Marlen Sanchez Badilla

Descubriendo archivos con datos PCI

Marlen Sanchez Badilla Tags: dlp normas_pci discovery endpoint_central ‎ ‎ 1,663 Views

El próximo 25 de agosto, se activará una configuración en todas las computadoras (portátiles y de escritorio) de las personas trabajadoras del Conglomerado Financiero BCR con la herramienta DLP Endpoint Central.

Esta política tiene como objetivo localizar datos relacionados a titulares de tarjetas, por lo que realizará un análisis en todas las carpetas de los equipos para ubicar los archivos que contengan números de tarjetas completos y visibles (16 dígitos visibles).

Del resultado de la búsqueda se generará un reporte con el detalle de los archivos, usuario, tipo evento, entre otros.; con el fin de aplicar su apropiado tratamiento.

¿Por qué se aplica esta política?

Se aplica para cumplir con el requisito de la norma de PCI DSS:

A3.2.5 Se implementa una metodología de localización de datos que:

Confirma el alcance PCI DSS
Ubica todas las fuentes y ubicaciones de datos PAN no cifrados al menos una vez cada tres meses y ante cambios significativos en el CDE o los procesos
Aborda la posibilidad de que datos PAN no cifrados residan en sistemas y redes fuera del CDE definido actualmente

¿Aplica también para subsidiarias?

Aplica para todo el Conglomerado, incluyendo los equipos que se encuentran el dominio de auditoría y de Bancrédito.

¿Cómo me doy cuenta si ya la política revisó mi computadora?

Cuando la política se aplique a los equipos, se le mostrará un mensaje como los siguientes al usuario:

Se le solicitará reiniciar las aplicaciones o navegadores que estén en uso; sin embargo, para no afectar las labores a los compañeros deben dar clic en el botón “No” o "Skip" pero deben reiniciar el equipo al finalizar las labores del día.

¿Los archivos que se encuentren serás borrados?

No se realizará ninguna gestión con los archivos, sólo serán identificados con un ícono como el de la imagen adjunta.

¿Un usuario puede solicitar el reporte individual de lo que la política encontró en su equipo?

No puede solicitarlo.

¿Qué uso se le dará al reporte?

Con el reporte generado se debe aplicar este otro requisito de PCI DSS:

A3.2.5.2 Se implementan procedimientos de respuesta ante la detección de datos PAN no cifrados fuera del CDE que incluyen:

Determinar qué hacer si se descubren datos PAN fuera del CDE, incluyendo su recuperación, eliminación segura y/o migración al CDE actualmente definido, según corresponda
Determinar cómo los datos terminaron fuera del CDE
Remediar fugas de datos o brechas en el proceso que llevaron a que los datos llegaran a una ubicación fuera del CDE
Identificar la fuente de los datos
Identificar si se almacenan datos de track con los datos PAN

¿Cuánto tiempo tarda en aplicarse la política? ¿El usuario debe hacer algo en particular?

El usuario solamente debe reiniciar el equipo si le da clic al botón “No” del mensaje.

El agente de Endpoint Central de ManageEngine se comunica con el servidor cada 90 minutos, siempre que el equipo esté activo en la red. Por lo que se aplicará la política al equipo cuando el agente del endpoint de ese equipo se comunique con el servidor.

Modified on by Marlen Sanchez Badilla

Feed for Blog Entries

Communities