Ir al contenido principal

1. Definición de alcance y descripción de los procesos de negocio con tarjeta de pago

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v4.0: 12.5.2, 12.5.2.1, 12.5.3

¿Para qué me sirve esta actividad? 📚

Esta actividad consiste en identificar qué procesos de tu negocio procesan, almacenan o transmiten datos de tarjetas de pago ya que con ello, podrás definir el alcance que deberá tener tu programa de seguridad para PCI DSS, y qué requisitos son los deberás cumplir.

¿Qué tengo que hacer? 🚀

¡Lograr esta actividad es muy sencillo! Solo debes realizar este ejercicio al menos cada 12 meses si eres un comercio, o cada 6 meses si eres un proveedor de servicios, y sobre todo, ante cualquier cambio significativo dentro de tu empresa, para asegurar que tu entorno PCI DSS esté siempre bien definido y alineado a tus operaciones con datos de tarjeta.

Esta definición y validación periódica del alcance debe incluir, por lo menos las siguientes tareas:

  • Identificación de todos los flujos de datos para las diversas etapas de pago (por ejemplo, autorización, captura de la liquidación, devoluciones y reembolsos) y canales de aceptación (por ejemplo, tarjeta física, tarjeta virtual y comercio electrónico).

  • Identificación de todas las ubicaciones donde se almacenan, procesan y transmiten datos de cuenta, incluidos, entre otros:

    • cualquier ubicación fuera del entorno de PCI DSS definida actualmente,

    • aplicaciones que procesan datos de titular de la tarjeta,

    • transmisiones entre sistemas y redes, y

    • copias de seguridad de archivos.

  • Identificación de todos los componentes del sistema en el entorno de PCI DSS, conectados a él o que podrían afectar su seguridad.

  • Identificación de todos los controles de segmentación en uso, y los entornos desde los que se segmenta el CDE (Cardholder Data Environment), incluida la justificación de los entornos que están fuera del alcance.

  • Identificación de todas las conexiones de entidades de terceros con acceso al entorno de PCI DSS.

  • Confirmación de que todos los flujos de datos identificados, datos de cuentas, componentes del sistema, controles de segmentación y conexiones de terceros con acceso al CDE están incluidos en el alcance.

  • Además, en este documento debes considerar los tipos de canales con los que cuente tu empresa y que desees incluir en la certificación, como por ejemplo tarjeta presente, tarjeta no presente, comercio electrónico, etcétera.

Nuestro template está estructurado con ejemplos, recomendaciones y guías para ayudarte a definir tu alcance fácil y rápidamente 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

Recomendaciones ✅

  • Identifica y define correctamente todas las ubicaciones y elementos dónde se procesan, almacenan o transmiten datos de tarjetas de pago en los procesos de la empresa.

  • Si al hacer el análisis te das cuenta que tienes más de un proceso donde procesan, almacenan o transmiten datos de tarjeta de pago, lo recomendable es empezar la certificación con solo un proceso, y posteriormente se podrán incluir los procesos faltantes.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
2. Diagrama de flujo de datos
3. Diagrama de red
4. Inventario de activos
57. Política de Seguridad de la Información 
62. Auditoría PCI DSS
¿Ha quedado contestada tu pregunta?