¿Tu empresa maneja datos de tarjetas de pago?¿Te llegó un requerimiento para cumplir con PCI DSS? ¡No te preocupes! La verdad es que no es tan complicado como suena. Sobre todo, si estás preparado antes de empezar con el proceso de certificación.
En Hackmetrix, queremos que tu negocio crezca y logres todas tu metas. Por eso, nos tomamos el tiempo de recopilar información y consejos para apoyarte en tu certificación PCI DSS. Con esta guía rápida, tendrás el éxito asegurado.
Payment Card Industry Data Security Standard (PCI DSS), es un conjunto de controles de seguridad diseñados para garantizar la protección de los datos de tarjetas de pago. Por lo tanto, si tu empresa tramita, recopila y/o procesa información de tarjetas, debe cumplir con este estándar para mantener un entorno seguro.
Puede que tu empresa no procese ni almacene datos de tarjeta, pero sí use pasarelas de pagos de terceros. En este caso, es probable que también debas cumplir con PCI DSS.
Si quieres conocer un poco más acerca de este estándar, te pueden interesar estos artículos:
Antes de aplicar para la certificación, es importante que hayas recabado la evidencia necesaria. Con evidencia nos referimos a todo lo que soporte la implementación de los requisitos PCI DSS y, lo que describes en tu documentación.
Para tu primera certificación, es muy importante que esa evidencia no tenga más de 3 meses de antigüedad. Si por alguna razón tienes más tiempo, tendrás que volver a generar las pruebas correspondientes.
Por ejemplo, si proporcionas un pantallazo de una base de datos que almacena datos de tarjeta cifrados con fecha de captura de febrero y la certificación se extiende hasta junio, esta evidencia ya no es válida y tendrás que volverla a generar.
Así mismo, cuando hablamos de renovar tu certificación, las evidencias no deben tener más de 6 meses. Sigamos con el ejemplo anterior. Si provees un pantallazo de una base de datos con fecha de captura de febrero y la certificación se extiende hasta junio, en esta ocasión, la evidencia es válida para la renovación de la certificación.
Por otro lado, cuando hablamos de escaneos de vulnerabilidades externas e internas, solo se pide un reporte de cada uno con el mismo criterio de tiempo que para la evidencia en la primera certificación.
Mientras que, de la segunda certificación en adelante, se piden al menos 4 reportes de cada uno. Ya que, PCI DSS pide que los hagas por lo menos, cada 3 meses. Esto nos da un mínimo de 4 reportes en estado aprobado al año.
Hackmetrix Insight: Los reportes de escaneos de vulnerabilidades pueden tener dos resultados: fracaso o aprobado. Cuando el reporte resulta en fracaso, quiere decir que tienes vulnerabilidades mayores a 4.0 por atender. Sin embargo, si resulta aprobado, no tienes vulnerabilidades mayores a 4.0. Para esto, es importante saber que las vulnerabilidades se clasifican del 1.0 al 10.0; PCI DSS, te pide resolver las de 4.0 en adelante.
Todos los documentos deben:
Lo más importante es que los documentos existan y que la empresa opere con base en ello.
Segmentar adecuadamente tu infraestructura es la clave para reducir el alcance.
Para comenzar, es necesario definir claramente el alcance y reducirlo en lo posible para minimizar inversiones y gastos. En pocas palabras, tiene que especificar a dónde entran los datos de tarjeta y quiénes pueden acceder a ellos.
Si tienes tu alcance bien definido, puedes implementar estrategias para minimizar el número de personas que tienen acceso a esos datos, lo que también te ayuda a reducir costos, tiempo, y optimizar esfuerzos. Algunas de estas estrategias son:
En este punto, vamos a complementar el proceso de definición de alcance.
Definir tu alcance será mucho más sencillo si creas un diagrama del flujo de los datos de tarjetas de pago. Básicamente, es hacer un mapa donde se muestre por dónde entran los datos, para luego seguir su camino dentro de tu sistema, hasta llegar a su lugar de almacenamiento o salida.
Así que si estás viendo la forma de reducir tu alcance, todo tiene que ver con delimitar los activos de información involucrados. Dicho de otra manera, buscar que el dato pase por menos lugares (equipos) y, por lo tanto, sea manipulado por menos personas.
A diferencia de ISO 27001, PCI DSS sí te pide cumplir al 100% con todos y cada uno de los requisitos que te apliquen. Por lo que durante la implementación debes asegurarte de cubrir los diferentes aspectos de los 12 requisitos, con base en el SAQ que te corresponda.
Para lograrlo, la participación y cooperación de todas áreas involucradas es importante. Ya que, PCI DSS solo se puede cumplir si todos cumplen con sus tareas y responsabilidades.
Toma en cuenta que todas las áreas de la empresa participan, no solamente la de tecnología. El esfuerzo es general para todos aquellos que toman datos de tarjetas.
Hackmetrix Insight: ¿Sabías que en México es obligatorio cumplir con PCI DSS? Así es, aunque no suele ser algo común, este país así lo pide. Conoce más sobre lo que necesitas para operar en México aquí.
La implementación y certificación de PCI DSS, no es siempre un proceso fácil. Por eso, conocer los aspectos que harán la diferencia te ayudarán a estar mucho más preparado durante el camino.
Esperamos que estos consejos te sirvan y hagan que tu certificación sea todo un éxito. Así que, no olvides presentar tus evidencias con el tiempo de antigüedad necesario, definir bien tu alcance y asegurate de que cumples al 100% con la norma.
Para conocer más sobre cómo implementar PCI DSS en tu empresa, puedes contactarnos y con gusto analizaremos tu caso.
Artículo original: https://blog.hackmetrix.com/exito-en-pci-dss/