Compártelo
Informe de cumplimiento de PCI DSS
RRHH TECNOLOGÍA

Informe de cumplimiento de PCI DSS

Este documento se debe utilizar como la plantilla para crear el informe de cumplimiento. La entidad que se evalúe deberá seguir los requisitos de informe de cada marca de pago para asegurar que cada marca de pago reconozca el estado de cumplimiento de la entidad.

Debería comunicarse con cada marca de pago para establecer los requisitos e instrucciones de informe.

Se Incluirá lo siguiente:

  1. Descripción del negocio de tarjeta de pago de la entidad, incluyendo:
    1. El rol de su negocio con las tarjetas de pago, que es la manera en la que almacenan, procesan o transmiten los datos del titular de la tarjeta y la razón por la cual lo hacen.
    2. Forma en que procesan el pago (directamente, indirectamente, etc.)
    3. Los tipos de canales de pago a los que prestan servicios, como transacciones con tarjeta ausente (por ejemplo, pedido por correo-pedido por teléfono [MOTO], comercio electrónico) o transacciones con tarjeta presente.
    4. Toda entidad a la que se conectan para la transmisión o para el procesamiento de pagos, incluidas las relaciones de procesador.
  2. Un diagrama de la red muy detallado (ya sea proporcionado por la entidad o creado por el asesor) de la topografía de la red de la entidad que incluya:
    1. Conexiones hacia y desde la red.
    2. Los componentes importantes que hay dentro del entorno de datos del titular de la tarjeta, incluidos los dispositivos POS, los sistemas, las bases de datos y los servidores web según corresponda.
    3. Otros componentes de pago necesarios, según corresponda.

Descripción del alcance del trabajo y del enfoque adoptado

Se debe describir el alcance, conforme a la sección alcance de la evaluación de este documento, que incluya lo siguiente:

  1. Documentar cómo el asesor validó la exactitud del alcance de las PCI DSS para la evaluación, incluidos:
    1. Los métodos o proceso utilizados para identificar y documentar todas las existencias de datos de titulares de tarjetas.
    2. Cómo se evaluaron y documentaron los resultados.
    3. Cómo se verificó la efectividad y exactitud de los métodos utilizados.
    4. La validación por parte del asesor de que el alcance de la evaluación es exacto y apropiado.
  2. Entorno en el cual se centró la evaluación (por ejemplo, puntos de acceso a Internet del cliente, red corporativa interna, conexiones de procesamiento).
  3. En el caso de que se implemente la segmentación de red y se utilice para disminuir el alcance de la revisión de las PCI DSS, describa esa segmentación y la manera en la que el asesor validó la eficacia de la segmentación.
  4. Si durante la evaluación se utilizó muestreo, para cada conjunto de muestras seleccionado (de las instalaciones del negocio/componentes del sistema) lo siguiente documentar:
    1. Población total.
    2. Cantidad de muestras.
    3. Base para la selección de muestras.
    4. Descripción de los procesos y controles operativos y de seguridad estandarizados de las PCI DSS utilizados para determinar el tamaño de la muestra y cómo se validaron los procesos/controles.
    5. La manera como la muestra es apropiada y representativa de toda la población.
    6. Descripción de toda ubicación o entorno que almacene, procese o transmita datos de titulares de tarjetas que se excluyeron del alcance de la revisión y la razón por la que se excluyeron dichas ubicaciones/entornos.
  5. Enumerar toda entidad en propiedad absoluta que requiera cumplimiento con las PCI DSS y aclarar si se revisan por separado o como parte de esta evaluación.
  6. Enumerar toda entidad internacional que requiera cumplimiento con las PCI DSS y si se revisan por separado o como parte de esta evaluación.
  7. Enumerar toda LAN inalámbrica o aplicación inalámbrica de pago (por ejemplo, terminales POS) que esté conectada al entorno de datos del titular de la tarjeta o que pueda tener efectos sobre su seguridad y describa las medidas de seguridad implementadas para estos entornos inalámbricos.
  8. La versión del documento procedimientos de evaluación de seguridad y requisitos de las PCI DSS utilizado para realizar la evaluación.

Información sobre el entorno evaluado

Se debe incluir la siguiente información en esta sección:

  1. Un diagrama de cada pieza del vínculo de comunicación, que incluya LAN, WAN o Internet.
  2. Descripción del entorno de datos del titular de la tarjeta, por ejemplo:
    1. Transmisión de documentos y procesamiento de datos de titulares de tarjetas, incluida la autorización, la captura, la liquidación y los flujos de reintegros de cobros, según corresponda.
    2. Lista de archivos y tablas que almacenan datos de titulares de tarjetas, respaldados por un inventario creado (u obtenido del cliente) y retenido por el asesor en los documentos de trabajo. Para cada almacenamiento (archivo, tabla, etc.) de datos de titulares de tarjetas, este inventario debe incluir:
      1. Una lista de todos los elementos correspondientes a los datos almacenados de los titulares de tarjetas.
      2. Cómo se aseguran los datos.
      3. Cómo se registra el acceso al almacenamiento de datos.
      4. Lista de hardware y de software importante que se utilizan en el entorno de los datos de titulares de tarjetas junto con una descripción de la función/uso de cada uno.
    3. Lista de proveedores de servicios y de otros terceros con los cuales la entidad comparte datos de titulares de tarjetas Nota: estas entidades están sujetas al requisito 12.8 de las PCI DSS).
    4. Lista de productos de aplicación de pago de terceros y números de las versiones que se utilizan, incluyendo si cada aplicación de pago se validó conforme a PA-DSS. Incluso si una aplicación de pago se validó conforme a PA-DSS, el asesor debe verificar que la aplicación se implementó de forma tal y en un entorno que cumple con las PCI DSS y conforme a la guía de implementación de PA-DSS del proveedor de la aplicación de pago. Nota: la utilización de aplicaciones PA-DSS validadas no es requisito de las PCI DSS. Consulte a cada marca de pago por separado para comprender sus requisitos de cumplimiento de PA-DSS).
    5. Lista de personas entrevistadas, sus organizaciones, cargos y temas discutidos.
    6. Lista de la documentación revisada.
    7. En el caso de las revisiones de proveedores de servicios administrativos (MSP), el asesor debe detallar claramente los requisitos de este documento que se aplican a los MSP (y que se incluyen en la revisión). Los que no se incluyen en la revisión, los clientes de los MSP deben incluirlos en sus propias revisiones. También incluirá información sobre cuáles direcciones IP de MSP se analizan como parte de los análisis de vulnerabilidad trimestrales de los MSP y cuáles direcciones IP los clientes de los MSP deben incluir en sus propios análisis trimestrales.

Información de contacto y fecha del informe

Se debe incluir:

  1. La información de contacto del comerciante o del proveedor de servicio y del asesor.
  2. Plazo de la evaluación que especifique la duración y el período de tiempo de la evaluación.
  3. Fecha del informe.

Resultados del análisis trimestral

  1. Resuma los resultados de los últimos cuatro análisis trimestrales del ASV en el resumen ejecutivo y en los comentarios del requisito 11.2.2. Nota: para determinar el cumplimiento de las PCI DSS inicial, no se requiere que se deban completar cuatro análisis trimestrales satisfactorios si el asesor verifica:
    1. Que el resultado del último análisis fue satisfactorio.
    2. Que la entidad haya documentado las políticas y los procedimientos que requieren la continuación de los análisis trimestrales.
    3. Que todas las vulnerabilidades observadas en el análisis inicial se hayan corregido, lo cual se comprobará después de otro análisis.
    4. En el caso de los años siguientes a la revisión inicial de las PCI DSS, deben obtenerse cuatro análisis trimestrales aprobados.
  2. El análisis debe incluir todas las direcciones IP a las cuales se puede acceder externamente (Internet) que existan en la entidad, conforme a la guía del programa de proveedores aprobados de análisis (AVS) de PCI.

Conclusiones y observaciones

Se debe sintetizar en el resumen ejecutivo todo hallazgo que no cumpla con el formato del Informe de cumplimiento estándar.

Todos los asesores deben:

  1. Utilizar la plantilla de requisitos de las PCI DSS y procedimientos de evaluación de seguridad detallados a los efectos de brindar descripciones detalladas y conclusiones de informes sobre cada requisito y sub-requisito.
  2. Asegurarse de que todas las respuestas N/C se expliquen de manera clara.
  3. Revisar y documentar todo control de compensación que se utiliza para concluir que se implementó un control.

Revalidación de puntos sujetos a control

A los efectos de verificar el cumplimiento, se necesita un informe de “controles implementados”. Este informe se interpretará como incumplidor si existieran “puntos sujetos a control” o puntos que se terminarán en una fecha posterior.

El comerciante/proveedor de servicios debe corregir estos puntos antes de que se complete la validación. Después de que el comerciante/proveedor de servicios haya corregido estos puntos, el asesor volverá a evaluarlos a los efectos de validar que se realizó la corrección y que se cumplieron todos los requisitos. Con posterioridad a la revalidación, el asesor confeccionará un nuevo informe de cumplimiento en el que verificará que el entorno de los datos del titular de la tarjeta se encuentra en cumplimiento y lo presentará conforme a las instrucciones.

Pasos para completar el cumplimiento de las PCI DSS:

  1. Complete el informe de cumplimiento (ROC) conforme a la sección anterior “Instrucciones y contenido del informe de validación”.
  2. Asegúrese de que un Proveedor Aprobado de Escaneo (ASV) de las PCI SSC completó los análisis aprobados de vulnerabilidad y solicítele pruebas al ASV de los análisis aprobados.
  3. Complete la declaración de cumplimiento para proveedores de servicios o comerciantes, según corresponda, en su totalidad. Las declaraciones de cumplimiento están disponibles en el sitio web de las PCI SSC (www.pcisecuritystandards.org).
  4. Presente el ROC, las pruebas del análisis aprobado y la declaración de cumplimiento junto con todo documento solicitado al adquirente (en el caso de comerciantes), a la marca de pago o a todo otro solicitante (en el caso de proveedores de servicios).

Máster DevOps y Arquitectura de Sistemas Cloud

RRHH TECNOLOGÍA

Duración
Duración
1500 horas
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas mensuales sin intereses
CEUPE, escuela premiada por ofrecer la mejor forma...
CEUPE Centro Europeo de Postgrado recibe el recono...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Sábado, 18 Mayo 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial

Noticias más populares

Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...

EMPRESAS

La participación ciudadana es un componente esencial en el funcionamiento de las democracias modernas. A través de ella, los ciudadanos tienen la opor...
Es dentro de la fase de supervisión donde nos aseguramos que el proyecto avance conforme a lo planificado. ¿Qué es la supervisión de un proyecto? La s...
Decimos que un negocio es escalable cuando este puede crecer y aumentar sus ingresos sin que los costos asociados crezcan en la misma proporción. Esto...
En el ámbito de la administración, las decisiones son la piedra angular que determina el curso y el éxito de una organización. Desde la selección de e...

MARKETING

En eventos importantes, desde bodas hasta conferencias, la figura del maestro de ceremonias desempeña un papel crucial. Este individuo es responsable ...
En el vasto mundo del marketing digital y la creación de contenido, el análisis de contenido emerge como una herramienta fundamental. Desde la optimiz...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial