Te damos algunos tips para que te certifiques exitosamente
¿Tu empresa maneja datos de tarjetas de pago?¿Te llegó un requerimiento para cumplir con PCI DSS? ¡No te preocupes! La verdad es que no es tan complicado como suena. Sobre todo, si estás preparado antes de empezar con el proceso de certificación.
En Hackmetrix, queremos que tu negocio crezca y logres todas tu metas. Por eso, nos tomamos el tiempo de recopilar información y consejos para apoyarte en tu certificación PCI DSS. Con esta guía rápida, tendrás el éxito asegurado.
¿Por qué cumplir con PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS), es un conjunto de controles de seguridad diseñados para garantizar la protección de los datos de tarjetas de pago. Por lo tanto, si tu empresa tramita, recopila y/o procesa información de tarjetas, debe cumplir con este estándar para mantener un entorno seguro.
Puede que tu empresa no procese ni almacene datos de tarjeta, pero sí use pasarelas de pagos de terceros. En este caso, es probable que también debas cumplir con PCI DSS.
Si quieres conocer un poco más acerca de este estándar, te pueden interesar estos artículos:
- ¿Qué es PCI DSS y quiénes deben cumplirla?
- PCI DSS: Los 12 requisitos [Parte 1]
- Mantén tu empresa segura con ISO 27001 y PCI DSS
Ahora y sin más preámbulos, te damos algunos consejos:
No hay nada más importante que la evidencia
Antes de aplicar para la certificación, es importante que hayas recabado la evidencia necesaria. Con evidencia nos referimos a todo lo que soporte la implementación de los requisitos PCI DSS y, lo que describes en tu documentación.
Para tu primera certificación, es muy importante que esa evidencia no tenga más de 3 meses de antigüedad. Si por alguna razón tiene más tiempo, tendrás que volver a generar las pruebas correspondientes.
Por ejemplo, si proporcionas un pantallazo de una base de datos que almacena datos de tarjeta cifrados con fecha de captura de febrero y la certificación se extiende hasta junio, esta evidencia ya no es válida y tendrás que volverla a generar.
Así mismo, cuando hablamos de renovar tu certificación, las evidencias no deben tener más de 6 meses. Sigamos con el ejemplo anterior. Si provees un pantallazo de una base de datos con fecha de captura de febrero y la certificación se extiende hasta junio, en esta ocasión, la evidencia es válida para la renovación de la certificación.
Evidencia para escaneos de vulnerabilidades
Por otro lado, cuando hablamos de escaneos de vulnerabilidades externos e internos, solo se pide un reporte de cada uno con el mismo criterio de tiempo que para la evidencia en la primera certificación.
Mientras que, de la segunda certificación en adelante, se piden al menos 4 reportes de cada uno. Ya que, PCI DSS pide que los hagas por lo menos, cada 3 meses. Esto nos da un mínimo de 4 reportes en estado aprobado al año.
Hackmetrix Insight: Los reportes de escaneos de vulnerabilidades pueden tener dos resultados: fracaso o aprobado. Cuando el reporte resulta en fracaso, quiere decir que tienes vulnerabilidades mayores a 4.0 por atender. Sin embargo, si resulta aprobado, no tienes vulnerabilidades mayores a 4.0. Para esto, es importante saber que las vulnerabilidades se clasifican del 1.0 al 10.0; PCI DSS, te pide resolver las de 4.0 en adelante.
Documentar y comunicar
Todos los documentos deben:
- Comunicarse a las áreas afectadas. Es decir, a todas las personas que estén involucradas en ese proceso.
- Implementarse, tal cual y como se indica en dicho documento.
Lo más importante es que los documentos existan y que la empresa opere con base en ello.
Define tu alcance
Segmentar adecuadamente tu infraestructura es la clave para reducir el alcance.
Para comenzar, es necesario definir claramente el alcance y reducirlo en lo posible para minimizar inversiones y gastos. En pocas palabras, tiene que especificar a dónde entran los datos de tarjeta y quiénes pueden acceder a ellos.
Si tienes tu alcance bien definido, puedes implementar estrategias para minimizar el número de personas que tienen acceso a esos datos, lo que también te ayuda a reducir costos, tiempo, y optimizar esfuerzos. Algunas de estas estrategias son:
- Segmentación de red. Es decir, separar el entorno de los datos del titular de la tarjeta del resto de la red. Para conocer cómo segmentar tu red, te sugerimos leer esta guía de segmentación para PCI DSS.
- Borrar información innecesaria. Por ejemplo, si no es necesario almacenar datos de tarjeta, mejor elimínalos y así puedes evitar controles de cumplimiento.
- Contar con proveedores certificados para reducir tu alcance. Por ejemplo, tokenizadores, procesadores, etc.
Crea un diagrama de flujo
En este punto, vamos a complementar el proceso de definición de alcance.
Definir tu alcance será mucho más sencillo si creas un diagrama del flujo de los datos de tarjetas de pago. Básicamente, es hacer un mapa donde se muestre por dónde entran los datos, para luego seguir su camino dentro de tu sistema, hasta llegar a su lugar de almacenamiento o salida.
Así que si estás viendo la forma de reducir tu alcance, todo tiene que ver con delimitar los activos de información involucrados. Dicho de otra manera, buscar que el dato pase por menos lugares (equipos) y, por lo tanto, sea manipulado por menos personas.
Cumplimiento al 100%
A diferencia de ISO 27001, PCI DSS sí te pide cumplir al 100% con todos y cada uno de los requisitos que te apliquen. Por lo que durante la implementación debes asegurarte de cubrir los diferentes aspectos de los 12 requisitos, con base en el SAQ que te corresponda.
Para lograrlo, la participación y cooperación de todas áreas involucradas es importante. Ya que, PCI DSS solo se puede cumplir si todos cumplen con sus tareas y responsabilidades.
Toma en cuenta que todas las áreas de la empresa participan, no solamente la de tecnología. El esfuerzo es general para todos aquellos que toman datos de tarjetas.
Hackmetrix Insight: ¿Sabías que en México es obligatorio cumplir con PCI DSS? Así es, aunque no suele ser algo común, este país así lo pide. Conoce más sobre lo que necesitas para operar en México aquí.
Otros tips
- Conoce todos los procesos que gestionan datos de tarjeta.
- Trabaja con proveedores de servicio certificados en PCI DSS.
- Evita almacenar datos de tarjeta. Procura que no se queden guardados en tu sistema, ya que esto puede complicar el cumplimiento de los requisitos.
- Educa al personal involucrado sobre la importancia del proyecto y el conocimiento de los estándares.
- Crea un plan de acción para lograr los objetivos establecidos.
- Asegura la participación de la alta dirección para lograr los objetivos establecidos. Después de todo, ellos son quienes ponen el ejemplo.
Más vale estar preparado
La implementación y certificación de PCI DSS, no es siempre un proceso fácil. Por eso, conocer los aspectos que harán la diferencia te ayudarán a estar mucho más preparado durante el camino.
Esperamos que estos consejos te sirvan y hagan que tu certificación sea todo un éxito. Así que, no olvides presentar tus evidencias con el tiempo de antigüedad necesario, definir bien tu alcance y asegurate de que cumples al 100% con la norma.
Para conocer más sobre cómo implementar PCI DSS en tu empresa, puedes contactarnos y con gusto analizaremos tu caso.