👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.2.6, 1.2.7, 1.3.1, 1.3.2, 1.4.1, 1.4.4, 1.5.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a recopilar las capturas de pantalla pertinentes donde se muestra la implementación correcta de los controles de seguridad solicitados en el requisito 1, que posteriormente serán tu evidencia de cumplimiento.
💡 Las capturas de pantalla que generes deben mostrar la fecha y hora de la captura.
¿Qué tengo que hacer? 🚀
Para realizar este documento debes considerar todas las evidencias pertinentes para el cumplimiento del requisito 1 de PCI DSS, que se encuentren apegadas a las políticas y procedimientos realizados, como lo son:
Y para ello, te recomendamos aplicar las siguientes revisiones:
Revisión de las configuraciones de los controles de seguridad de red (Network Security Controls, NSC) como los firewalls, routers, WAFs, etcétera, que son usados por la empresa.
Aquí deberás presentar evidencia de que la organización revisa las configuraciones de los NSC que se establecen en el documento de Lineamientos de Seguridad de Red y en la Política de Configuración de Equipos de Red.
Recuerda que puedes apoyarte del documento de Revisión de las configuraciones NSC.
Revisión de los controles de cambios, que incluya:
Cambios de red: Aquí deberás presentar evidencia de que se tienen los registros o lista documentada de cambios de red, firewalls, switches y ruteadores del último semestre.
Cambios de desarrollo: Aquí deberás presentar evidencia de que la organización cuenta con los registros o lista documentada de cambios de desarrollo de software del último semestre, según lo establecido en el Procedimiento de Gestión de Cambios Productivos.
Revisión de los servicios, protocolos y puertos aprobados.
Aquí deberás presentar evidencia de que los servicios, protocolos y puertos aprobados en los NSC usados por la empresa se revisan correcta y periódicamente.
Además, deberás asegurarte de que estos servicios, protocolos y puertos aprobados se encuentran enlistados en el Inventario de Activos.
Revisión de conexiones con redes confiables.
Aquí deberás presentar evidencia de que la organización revisa las configuraciones de la red para verificar que los NSC implementados entre las redes confiables y no confiables están configurados de acuerdo a los lineamientos y diagramas de red establecidos.
Configuración de dispositivos informáticos que se conectan al CDE (Cardholder Data Environment, o en otras palabras, el entorno PCI DSS dentro de tu organización).
Aquí deberás presentar evidencia de que los dispositivos móviles (de propiedad de la compañía y/o de los trabajadores) que tengan conexión a Internet cuando están fuera de la red cuenten con un firewall activado.
Recuerda que un dispositivo móvil puede ser un equipo de cómputo, un teléfono, una tableta, etcétera.
Nuestro template está estructurado para ayudarte a recopilar fácil y rápidamente toda tu evidencia, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
No olvides que, para que tu evidencia sea válida, todas las capturas de pantalla deberán contener fecha y hora, y con una buena calidad.
Incluye todas las evidencias que consideres necesarias.
Las evidencias que utilices no deben sobrepasar una “vigencia” mayor a tres meses (esto en los casos donde sea aplicable).
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.