Dale seguimiento a tu implementación de PCI DSS

Dale seguimiento a tu implementación de PCI DSS

Asegurate de que todo está en orden y tu recertificación será un éxito

Certificarte en PCI DSS es todo un logro. Requiere mucho tiempo, trabajo y esfuerzo. Porque de seguro ya que tienes la certificación en tus manos sientes un gran alivio. Pero, ¿qué viene después?

En este artículo, hablamos de todo lo que necesitas saber para que tu recertificación anual sea todo un éxito. Incluso, te incluímos una plantilla gratuita para darle seguimiento a tu implementación de PCI DSS.

¿Por qué dar seguimiento?

Para poder estar al día con todo lo que te pide el estándar de PCI hay que establecer un procedimiento para evaluar los controles implementados cada 3 meses. 

El objetivo es que tu personal tenga una guía para revisar que cada requisito de PCI DSS se esté cumpliendo y la empresa cumpla con la recertificación. 

Antes de construir este procedimiento, debes conocer todos los aspectos a revisar y su periodicidad. Para hacértelo más fácil, hicimos esta tabla para ti:

¿Qué debo revisar?¿Cada cuánto tiempo lo debo revisar?
Logs de auditoríaDiario
Parches de seguridadMensualmente
Escaneo de vulnerabilidades externo (ASV)Trimestralmente
Escaneo de vulnerabilidades internoTrimestralmente
Escaneo wirelessTrimestralmente
Búsqueda y eliminación de datos de tarjetasTrimestralmente
Bloqueo de usuarios inactivosTrimestralmente
Revisión de reglas firewallCada 6 meses
Pruebas de segmentaciónCada seis meses
Actualización documentalAnualmente
Evaluación de riesgosAnualmente
Pruebas de intrusiónAnualmente
Programa de concientización de personalAnualmente
Monitoreo de proveedoresAnualmente
Revisión de logs de almacenamientoAnualmente

Sigue estos pasos al momento de construir tu procedimiento de seguimiento:

1. Realiza una matriz de los controles que estén dentro de tu alcance.
Identificar los requisitos que aplican a tu empresa y que se encuentren dentro del alcance de tu certificación

2. Solicita la evidencia de cumplimiento del control
Define los pasos a seguir para solicitar la evidencia que te permita demostrar el cumplimiento de un control.

3. Evaluación de la evidencia
Evalúa que la evidencia proporcionada sea adecuada y complementa la matriz de controles realizada en el paso 1 para presentarla en la recertificación.

Hackmetrix tip: Algunos de los puntos que debes considerar para aceptar evidencia y asegurarte de que es correcta son:

  • Las capturas deben ser en formato fuente de imagen (utilizar herramienta de recortes o print screen).
  • Se debe capturar todo el escritorio o pantalla con el objetivo de que se visualice fecha y hora de captura, dirección IP del equipo origen y resultado de la captura.
  • Los escaneos de vulnerabilidades deben ser aprobados.

4. Guarda el reporte y la evidencia de manera segura
Define los pasos a seguir y los criterios que consideres pertinentes para resguardar los reportes de incumplimiento, el reporte de la matriz y las evidencias. 

Conclusión

Es muy importante que después de obtener la certificación le des seguimiento a los requisitos de PCI DSS. 

La seguridad es un trabajo continuo y si quieres pasar la recertificación sin ningún problema, contar con un documento para su seguimiento es una buena idea.

Para que todo sea más fácil, te dejamos por aquí una plantilla descargable de este documento:

procedimiento-seguimiento-pci-dss

¡Esperamos que te sea útil! Sí aún te quedan dudas sobre el tema o estás pensando en certificarte, no dudes en contactarnos

Backed by

Hackmetrix startup chile