Mantén una política de seguridad de la información
Hemos llegado a la última parte de esta serie sobre PCI DSS y sus 12 requisitos. En esta última meta hablaremos sobre la importancia de mantener una política de seguridad de la información.
Es algo de suma importancia porque estas políticas son la guía para que tus empleados mantengan la seguridad de la empresa. Tienes que encargarte de que todos los controles que has trabajado tan duro en implementar, se respeten y se cumplan.
Si esta es la primera vez que llegas a nuestro blog para aprender sobre PCI, te recomendamos comenzar por aquí:
- ¿Qué es PCI DSS y quiénes deben cumplirla?
- PCI DSS: ¿Qué es SAQ, ROC y AOC?
- PCI DSS: Los 12 requisitos [Parte 1].
- PCI DSS: Los 12 requisitos [Parte 1]
- PCI DSS: Los 12 requisitos [Parte 2]
- PCI DSS: Los 12 requisitos [Parte 3]
- PCI DSS: Los 12 requisitos [Parte 4]
- PCI DSS: Los 12 requisitos [Parte 5]
Requisito 12
Como lo mencionamos al principio, este último requisito habla de las políticas de seguridad que tienes que implementar en tu empresa para poder certificarte en PCI DSS. Está política va dirigida a todo el personal y aborda temas de seguridad de la información.
Recuerda, es sumamente importante que tus empleados la conozcan, comprendan y sigan, ya que, de esto depende la seguridad de tu organización. En este caso, específicamente los datos del titular de la tarjeta de tus clientes.
| Sub requisito | Lo que quiere decir |
| 12.1) Establezca, publique, mantenga y distribuya una política de seguridad. | La política de seguridad es el plan de acción para tu empresa. Es ahí donde marcas qué controles y sistemas de seguridad se trabajan Todo tu personal debe conocerla y seguirla. |
| 12.2) Implemente un proceso de evaluación de riesgos que cumpla con lo siguiente: Se realiza, al menos, una vez al año y después de implementar cambios significativos en el entorno (por ejemplo, adquisiciones, fusiones o reubicaciones, etc.). Identifica activos críticos, amenazas y vulnerabilidades. Los resultados en un análisis formal y documentado de riesgo.Los ejemplos de metodologías de evaluación de riesgos incluyen, entre otros, OCTAVE, ISO 27005 y NIST SP 800-30. | Evaluar tus riesgos por lo menos una vez al año, te ayuda a identificar amenazas y vulnerabilidades. Así puedes tener tus controles de seguridad actualizados para hacer frente a cualquier incidente. Uno de los procesos de evaluación de riesgos son las pruebas de ethical hacking. |
| 12.3) Desarrolle políticas de uso para las tecnologías críticas y defina cómo usarlas correctamente. | Estas son lineamientos que marcan “el sentido común” del empleado. Por ejemplo: una política de uso te puede mencionar que el correo corporativo es únicamente para fines laborales, que no debes extraer información confidencial de la empresa a una USB, etc. |
| 12.4) Asegúrese de que las políticas y los procedimientos de seguridad definan, claramente, las responsabilidades de seguridad de la información de todo el personal. | Dentro de tus políticas define claramente los roles y las responsabilidades de seguridad dentro de tu organización. |
| 12.5) Asigne a una persona o a un equipo responsabilidades de administración de seguridad de la información. | Designa a un jefe de seguridad que esté dispuesto y sea capaz de cumplir con las responsabilidades. |
| 12.6) Implemente un programa formal de concienciación sobre seguridad para que todo el personal tome conciencia de la importancia de la seguridad de los datos del titular de la tarjeta. | Capacita a tu personal en temas de seguridad. Si no son conscientes de los riesgos y no aplican las políticas podría haber una brecha a causa de un error o una acción por desconocimiento. |
| 12.7) Examine al personal potencial antes de contratarlo a fin de minimizar el riesgo de ataques desde fuentes internas. (Entre los ejemplos de verificaciones de antecedentes se incluyen el historial de empleo, registro de antecedentes penales, historial crediticio y verificación de referencias). | Trabaja con Recursos Humanos para investigar a fondo los antecedentes de quiénes vas a contratar. |
| 12.8) Mantenga e implemente políticas y procedimientos para administrar los proveedores de servicios con quienes se compartirán datos del titular de la tarjeta, o que podrían afectar la seguridad de los datos del titular de la tarjeta. | Genera políticas de seguridad exclusivas para tratar con proveedores. Debes poder gestionar la información a la que tienen acceso. |
| 12.9) Requisitos adicionales solo para los proveedores de servicios: Los proveedores de servicios aceptan, por escrito y ante los clientes, responsabilizarse de la seguridad de los datos del titular de la tarjeta que ellos poseen, almacenan, procesan o transmiten en nombre del cliente, o en la medida en que puedan afectar la seguridad del entorno de datos del titular de la tarjeta del cliente. | Debe haber un acuerdo escrito en el que el proveedor de servicios se responsabilice del uso de los datos del titular de la tarjeta. Este tendrá que ser firmado por el proveedor como parte de su compromiso con la seguridad de la información del cliente. |
| 12.10) Implemente un plan de respuesta ante incidentes. Prepárese para responder de inmediato ante un fallo en el sistema. | Debes de tener un plan para responder un incidente de seguridad. Asegúrate de que el departamento de seguridad lo conozco para que puedan actuar rápido. Así, minimizas el riesgo y pérdidas económicas. |
| 12.11) Requisitos adicionales solo para los proveedores de servicios: Realizar revisiones al menos trimestralmente para confirmar que el personal sigue las políticas de seguridad y los procedimientos operativos. Las revisiones deben cubrir los siguientes procesos: Revisiones del registro diario Revisiones del conjunto de reglas de firewall La aplicación de las normas de configuración a los nuevos sistemas Respuesta a las alertas de seguridad Procesos de gestión del cambio | Asegúrate de que tus empleados están siguiendo las políticas de seguridad. Haz revisiones trimestrales de que se sigan las políticas, los controles y los procesos de seguridad. |
Conclusión
Hemos llegado al final de esta saga. Esperamos que la hayas disfrutado y que te sea de utilidad para certificarte en PCI DSS. Antes de cerrar, te dejamos por aquí un breve resumen de lo que se trata PCI DSS.
| Metas | Requisitos |
| 1. Crear y mantener sistemas y redes seguras | Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. |
| 2. Proteja los datos del titular de la tarjeta | Proteger los datos almacenados del titular de la tarjeta.Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. |
| 3. Mantener un programa de administración de vulnerabilidades | Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.Desarrollar y mantener sistemas y aplicaciones seguros. |
| 4. Incrementar medidas sólidas de control de acceso | Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.Identificar y autenticar el acceso a los componentes del sistema.Restringir el acceso físico a los datos del titular de la tarjeta |
| 5. Supervisar y evaluar las redes con regularidad | Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de tarjeta.Probar periódicamente los sistemas y procesos de seguridad. |
| 6. Mantener una política de seguridad de la información | Mantener una política que aborde la seguridad de la información para todo el personal. |
A grandes rasgos, esta certificación se preocupa de proteger los datos del titular de la tarjeta. Esto a través de una serie de políticas de seguridad que te servirán como guía para la protección de datos, implementación de controles y capacitación de personal. No olvides que contar con un departamento dedicado específicamente para la seguridad de la información es indispensable.
Si tienes alguna duda, en el apartado de contacto, puedes contarnos sobre tu caso y te asesoraremos más a profundidad sobre el tema.
