Asegurate de que todo está en orden y tu recertificación será un éxito
Certificarte en PCI DSS es todo un logro. Requiere mucho tiempo, trabajo y esfuerzo. Porque de seguro ya que tienes la certificación en tus manos sientes un gran alivio. Pero, ¿qué viene después?
En este artículo, hablamos de todo lo que necesitas saber para que tu recertificación anual sea todo un éxito. Incluso, te incluímos una plantilla gratuita para darle seguimiento a tu implementación de PCI DSS.
¿Por qué dar seguimiento?
Para poder estar al día con todo lo que te pide el estándar de PCI hay que establecer un procedimiento para evaluar los controles implementados cada 3 meses.
El objetivo es que tu personal tenga una guía para revisar que cada requisito de PCI DSS se esté cumpliendo y la empresa cumpla con la recertificación.
Antes de construir este procedimiento, debes conocer todos los aspectos a revisar y su periodicidad. Para hacértelo más fácil, hicimos esta tabla para ti:
| ¿Qué debo revisar? | ¿Cada cuánto tiempo lo debo revisar? |
| Logs de auditoría | Diario |
| Parches de seguridad | Mensualmente |
| Escaneo de vulnerabilidades externo (ASV) | Trimestralmente |
| Escaneo de vulnerabilidades interno | Trimestralmente |
| Escaneo wireless | Trimestralmente |
| Búsqueda y eliminación de datos de tarjetas | Trimestralmente |
| Bloqueo de usuarios inactivos | Trimestralmente |
| Revisión de reglas firewall | Cada 6 meses |
| Pruebas de segmentación | Cada seis meses |
| Actualización documental | Anualmente |
| Evaluación de riesgos | Anualmente |
| Pruebas de intrusión | Anualmente |
| Programa de concientización de personal | Anualmente |
| Monitoreo de proveedores | Anualmente |
| Revisión de logs de almacenamiento | Anualmente |
Sigue estos pasos al momento de construir tu procedimiento de seguimiento:
1. Realiza una matriz de los controles que estén dentro de tu alcance.
Identificar los requisitos que aplican a tu empresa y que se encuentren dentro del alcance de tu certificación
2. Solicita la evidencia de cumplimiento del control
Define los pasos a seguir para solicitar la evidencia que te permita demostrar el cumplimiento de un control.
3. Evaluación de la evidencia
Evalúa que la evidencia proporcionada sea adecuada y complementa la matriz de controles realizada en el paso 1 para presentarla en la recertificación.
Hackmetrix tip: Algunos de los puntos que debes considerar para aceptar evidencia y asegurarte de que es correcta son:
- Las capturas deben ser en formato fuente de imagen (utilizar herramienta de recortes o print screen).
- Se debe capturar todo el escritorio o pantalla con el objetivo de que se visualice fecha y hora de captura, dirección IP del equipo origen y resultado de la captura.
- Los escaneos de vulnerabilidades deben ser aprobados.
4. Guarda el reporte y la evidencia de manera segura
Define los pasos a seguir y los criterios que consideres pertinentes para resguardar los reportes de incumplimiento, el reporte de la matriz y las evidencias.
Conclusión
Es muy importante que después de obtener la certificación le des seguimiento a los requisitos de PCI DSS.
La seguridad es un trabajo continuo y si quieres pasar la recertificación sin ningún problema, contar con un documento para su seguimiento es una buena idea.
Para que todo sea más fácil, te dejamos por aquí una plantilla descargable de este documento:
¡Esperamos que te sea útil! Sí aún te quedan dudas sobre el tema o estás pensando en certificarte, no dudes en contactarnos.