RRHH TECNOLOGÍA

Informe de cumplimiento de PCI DSS

Este documento se debe utilizar como la plantilla para crear el informe de cumplimiento. La entidad que se evalúe deberá seguir los requisitos de informe de cada marca de pago para asegurar que cada marca de pago reconozca el estado de cumplimiento de la entidad.

Debería comunicarse con cada marca de pago para establecer los requisitos e instrucciones de informe.

Se Incluirá lo siguiente:

  1. Descripción del negocio de tarjeta de pago de la entidad, incluyendo:
    1. El rol de su negocio con las tarjetas de pago, que es la manera en la que almacenan, procesan o transmiten los datos del titular de la tarjeta y la razón por la cual lo hacen.
    2. Forma en que procesan el pago (directamente, indirectamente, etc.)
    3. Los tipos de canales de pago a los que prestan servicios, como transacciones con tarjeta ausente (por ejemplo, pedido por correo-pedido por teléfono [MOTO], comercio electrónico) o transacciones con tarjeta presente.
    4. Toda entidad a la que se conectan para la transmisión o para el procesamiento de pagos, incluidas las relaciones de procesador.
  2. Un diagrama de la red muy detallado (ya sea proporcionado por la entidad o creado por el asesor) de la topografía de la red de la entidad que incluya:
    1. Conexiones hacia y desde la red.
    2. Los componentes importantes que hay dentro del entorno de datos del titular de la tarjeta, incluidos los dispositivos POS, los sistemas, las bases de datos y los servidores web según corresponda.
    3. Otros componentes de pago necesarios, según corresponda.

Descripción del alcance del trabajo y del enfoque adoptado

Se debe describir el alcance, conforme a la sección alcance de la evaluación de este documento, que incluya lo siguiente:

  1. Documentar cómo el asesor validó la exactitud del alcance de las PCI DSS para la evaluación, incluidos:
    1. Los métodos o proceso utilizados para identificar y documentar todas las existencias de datos de titulares de tarjetas.
    2. Cómo se evaluaron y documentaron los resultados.
    3. Cómo se verificó la efectividad y exactitud de los métodos utilizados.
    4. La validación por parte del asesor de que el alcance de la evaluación es exacto y apropiado.
  2. Entorno en el cual se centró la evaluación (por ejemplo, puntos de acceso a Internet del cliente, red corporativa interna, conexiones de procesamiento).
  3. En el caso de que se implemente la segmentación de red y se utilice para disminuir el alcance de la revisión de las PCI DSS, describa esa segmentación y la manera en la que el asesor validó la eficacia de la segmentación.
  4. Si durante la evaluación se utilizó muestreo, para cada conjunto de muestras seleccionado (de las instalaciones del negocio/componentes del sistema) lo siguiente documentar:
    1. Población total.
    2. Cantidad de muestras.
    3. Base para la selección de muestras.
    4. Descripción de los procesos y controles operativos y de seguridad estandarizados de las PCI DSS utilizados para determinar el tamaño de la muestra y cómo se validaron los procesos/controles.
    5. La manera como la muestra es apropiada y representativa de toda la población.
    6. Descripción de toda ubicación o entorno que almacene, procese o transmita datos de titulares de tarjetas que se excluyeron del alcance de la revisión y la razón por la que se excluyeron dichas ubicaciones/entornos.
  5. Enumerar toda entidad en propiedad absoluta que requiera cumplimiento con las PCI DSS y aclarar si se revisan por separado o como parte de esta evaluación.
  6. Enumerar toda entidad internacional que requiera cumplimiento con las PCI DSS y si se revisan por separado o como parte de esta evaluación.
  7. Enumerar toda LAN inalámbrica o aplicación inalámbrica de pago (por ejemplo, terminales POS) que esté conectada al entorno de datos del titular de la tarjeta o que pueda tener efectos sobre su seguridad y describa las medidas de seguridad implementadas para estos entornos inalámbricos.
  8. La versión del documento procedimientos de evaluación de seguridad y requisitos de las PCI DSS utilizado para realizar la evaluación.

Información sobre el entorno evaluado

Se debe incluir la siguiente información en esta sección:

  1. Un diagrama de cada pieza del vínculo de comunicación, que incluya LAN, WAN o Internet.
  2. Descripción del entorno de datos del titular de la tarjeta, por ejemplo:
    1. Transmisión de documentos y procesamiento de datos de titulares de tarjetas, incluida la autorización, la captura, la liquidación y los flujos de reintegros de cobros, según corresponda.
    2. Lista de archivos y tablas que almacenan datos de titulares de tarjetas, respaldados por un inventario creado (u obtenido del cliente) y retenido por el asesor en los documentos de trabajo. Para cada almacenamiento (archivo, tabla, etc.) de datos de titulares de tarjetas, este inventario debe incluir:
      1. Una lista de todos los elementos correspondientes a los datos almacenados de los titulares de tarjetas.
      2. Cómo se aseguran los datos.
      3. Cómo se registra el acceso al almacenamiento de datos.
      4. Lista de hardware y de software importante que se utilizan en el entorno de los datos de titulares de tarjetas junto con una descripción de la función/uso de cada uno.
    3. Lista de proveedores de servicios y de otros terceros con los cuales la entidad comparte datos de titulares de tarjetas Nota: estas entidades están sujetas al requisito 12.8 de las PCI DSS).
    4. Lista de productos de aplicación de pago de terceros y números de las versiones que se utilizan, incluyendo si cada aplicación de pago se validó conforme a PA-DSS. Incluso si una aplicación de pago se validó conforme a PA-DSS, el asesor debe verificar que la aplicación se implementó de forma tal y en un entorno que cumple con las PCI DSS y conforme a la guía de implementación de PA-DSS del proveedor de la aplicación de pago. Nota: la utilización de aplicaciones PA-DSS validadas no es requisito de las PCI DSS. Consulte a cada marca de pago por separado para comprender sus requisitos de cumplimiento de PA-DSS).
    5. Lista de personas entrevistadas, sus organizaciones, cargos y temas discutidos.
    6. Lista de la documentación revisada.
    7. En el caso de las revisiones de proveedores de servicios administrativos (MSP), el asesor debe detallar claramente los requisitos de este documento que se aplican a los MSP (y que se incluyen en la revisión). Los que no se incluyen en la revisión, los clientes de los MSP deben incluirlos en sus propias revisiones. También incluirá información sobre cuáles direcciones IP de MSP se analizan como parte de los análisis de vulnerabilidad trimestrales de los MSP y cuáles direcciones IP los clientes de los MSP deben incluir en sus propios análisis trimestrales.

Información de contacto y fecha del informe

Se debe incluir:

  1. La información de contacto del comerciante o del proveedor de servicio y del asesor.
  2. Plazo de la evaluación que especifique la duración y el período de tiempo de la evaluación.
  3. Fecha del informe.

Resultados del análisis trimestral

  1. Resuma los resultados de los últimos cuatro análisis trimestrales del ASV en el resumen ejecutivo y en los comentarios del requisito 11.2.2. Nota: para determinar el cumplimiento de las PCI DSS inicial, no se requiere que se deban completar cuatro análisis trimestrales satisfactorios si el asesor verifica:
    1. Que el resultado del último análisis fue satisfactorio.
    2. Que la entidad haya documentado las políticas y los procedimientos que requieren la continuación de los análisis trimestrales.
    3. Que todas las vulnerabilidades observadas en el análisis inicial se hayan corregido, lo cual se comprobará después de otro análisis.
    4. En el caso de los años siguientes a la revisión inicial de las PCI DSS, deben obtenerse cuatro análisis trimestrales aprobados.
  2. El análisis debe incluir todas las direcciones IP a las cuales se puede acceder externamente (Internet) que existan en la entidad, conforme a la guía del programa de proveedores aprobados de análisis (AVS) de PCI.

Conclusiones y observaciones

Se debe sintetizar en el resumen ejecutivo todo hallazgo que no cumpla con el formato del Informe de cumplimiento estándar.

Todos los asesores deben:

  1. Utilizar la plantilla de requisitos de las PCI DSS y procedimientos de evaluación de seguridad detallados a los efectos de brindar descripciones detalladas y conclusiones de informes sobre cada requisito y sub-requisito.
  2. Asegurarse de que todas las respuestas N/C se expliquen de manera clara.
  3. Revisar y documentar todo control de compensación que se utiliza para concluir que se implementó un control.

Revalidación de puntos sujetos a control

A los efectos de verificar el cumplimiento, se necesita un informe de “controles implementados”. Este informe se interpretará como incumplidor si existieran “puntos sujetos a control” o puntos que se terminarán en una fecha posterior.

El comerciante/proveedor de servicios debe corregir estos puntos antes de que se complete la validación. Después de que el comerciante/proveedor de servicios haya corregido estos puntos, el asesor volverá a evaluarlos a los efectos de validar que se realizó la corrección y que se cumplieron todos los requisitos. Con posterioridad a la revalidación, el asesor confeccionará un nuevo informe de cumplimiento en el que verificará que el entorno de los datos del titular de la tarjeta se encuentra en cumplimiento y lo presentará conforme a las instrucciones.

Pasos para completar el cumplimiento de las PCI DSS:

  1. Complete el informe de cumplimiento (ROC) conforme a la sección anterior “Instrucciones y contenido del informe de validación”.
  2. Asegúrese de que un Proveedor Aprobado de Escaneo (ASV) de las PCI SSC completó los análisis aprobados de vulnerabilidad y solicítele pruebas al ASV de los análisis aprobados.
  3. Complete la declaración de cumplimiento para proveedores de servicios o comerciantes, según corresponda, en su totalidad. Las declaraciones de cumplimiento están disponibles en el sitio web de las PCI SSC (www.pcisecuritystandards.org).
  4. Presente el ROC, las pruebas del análisis aprobado y la declaración de cumplimiento junto con todo documento solicitado al adquirente (en el caso de comerciantes), a la marca de pago o a todo otro solicitante (en el caso de proveedores de servicios).