Auditar la implementación de una normativa puede ser una tarea compleja que implica un gran trabajo para recopilar y analizar la información. En este sentido, SPICE es una herramienta muy sencilla y que revisa el cumplimiento de algunos requisitos claves relacionados con la gestión de la seguridad en equipos con sistema operativo Windows.

Esta herramienta debe ejecutarse con permisos de administrador para que empiece a monitorear el cumplimiento de algunos lineamientos de seguridad, que a su vez deberían estar activos para cumplir con los requisitos de la norma. Una vez finalizado el análisis se genera un archivo de texto con los resultados de la auditoría separados por requisitos.

spice pci dss
La herramienta cubre una amplia variedad de requisitos de PCI DSS, dentro de los que se pueden destacar los relacionados con la instalación de software de firewall personal en todos los dispositivos de propiedad de los trabajadores que tengan conexión a Internet cuando están fuera de la red, y la implementación de parámetros de seguridad del sistema para evitar el uso indebido y no tener funcionalidades innecesarias instaladas en la máquina. Por ejemplo, sobre el requisito 2.2.2 el informe muestra los programas instalados en la máquina y los servicios que están corriendo sobre la misma para determinar cuáles de estos deberían efectivamente estar funcionales.

spice pci dss req 2_2_2

Sobre el requisito 6, relacionado con el desarrollo y mantenimiento de sistemas y aplicaciones seguras, también hay un literal cubierto en el informe. En el informe se puede encontrar cuáles son las actualizaciones de seguridad que se encuentran instaladas en el equipo, junto a las fechas en las cuales fueron aplicadas las actualizaciones y el usuario que las instaló.

spice pci dss req 6_2

Además de tener información sobre los privilegios de los diferentes usuarios de la computadora, lo cual cubre los requisitos 7.1 y 7.2, el informe también muestra información sobre el status de las contraseñas utilizadas en los perfiles, específicamente si cumplen con las características de seguridad dadas en el requisito 8.2, tales como la longitud, la complejidad, la frecuencia con que se cambia y otras características propias de una contraseña segura.

spice pci dss req 8_2

Finalmente, también se puede encontrar información sobre los registros de auditoría que deben tenerse y hacen parte de los requisitos 10.2 y 10.3 de PCI.

spice pci dss req 10_2
Esta herramienta provee un gran log de información que facilita la verificación del cumplimiento de alrededor de 20 requisitos de la PCI DSS v3.0. La seguridad debe ser gestionada, por lo tanto toda la información recopilada debe ser analizada para saber cuáles son las acciones de control necesarias para cumplir con todos los requisitos.