Ir al contenido principal

4. Inventario de activos

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 1.1.7, 2.4, 2.5, 3.2, 9.7.1, 9.10, 11.1.1, 11.6

  • PCI DSS v4.0: 1.2.5, 1.2.6, 1.2.7, 1.2.8, 2.2.5, 3.2.1, 4.2.1.1, 5.2.3, 6.3.2, 9.4.5, 9.5.1.1, 11.2.2, 12.3.3, 12.3.4, 12.5.1

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a identificar y enlistar todos los activos que son alcanzados por el entorno de tu certificación PCI DSS, de una manera detallada y ordenada. Además, te permitirá llevar un mejor control de ellos, haciendo más sencilla su protección.

¿Qué tengo que hacer? 🚀

Recordemos que, para fines de cumplimiento de PCI DSS, un activo de información es cualquier cosa que procese, transmita o dé soporte a los equipos con datos de tarjetahabiente, así como también que dé soporte a los equipos que la almacenan, y no es lo mismo que un activo contable. Los activos contables son recursos o bienes materiales que poseen un valor económico, y dentro de ellos podríamos encontrar escritorios, televisores, sillas, etcétera, lo cual no es relevante para tu programa de seguridad.

Ahora bien, teniendo claro qué es un activo de información, te sugerimos realizar los siguientes pasos para que tu inventario sea el mejor 💪🏼:

  1. Identifica todos los activos de información que están involucrados dentro de tu alcance de PCI DSS.

  2. Analiza toda la información que pueda ser relevante para describir el activo, y que te permita identificarlo fácil y rápidamente.

    1. Esto puede ser características técnicas, versión del software, fechas de adquisición, etcétera. ¡Dentro de la descripción del activo puedes colocar todo lo que consideres necesario!

  3. Enlista los activos y documenta su descripción según su tipo, por ejemplo:

    1. servicios, protocolos y puertos permitidos,

    2. configuraciones de seguridad en todos los servicios, protocolos y puertos considerados inseguros,

    3. configuraciones de los controles de seguridad de red (NSC: Network Security Controls),

    4. ubicaciones donde hay datos de tarjetahabientes,

    5. claves y certificados confiables,

    6. todos los componentes del sistema que requieren antivirus/antimalware,

    7. todos los componentes del sistema que no requieren antivirus/antimalware,

    8. software a medida, personalizado y de terceros,

    9. apoyos electrónicos con datos de titulares de tarjetas,

    10. dispositivos POI (Point of Interaction) y terminales de punto de ventas,

    11. puntos de acceso inalámbricos autorizados,

    12. protocolos y conjuntos de cifrado criptográfico,

    13. tecnologías de hardware y software en uso, etcétera.

  4. Asigna a un dueño o propietario del activo para que pueda hacerse responsable de su seguridad. Y para esto, recomendamos asignar a alguien que pueda tomar decisiones sobre el activo y garantizar su protección, no directamente la persona que pagó por él o que lo adquirió, o incluso a veces no es directamente la persona que lo utiliza.

Dentro de nuestro template encontrarás los tipos de activos divididos en pestañas, ya que para cada uno de ellos es necesario registrar ciertos datos que pueden variar un poco de un activo a otro. Pero nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu inventario fácil y rápidamente, solo recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Utiliza nombres de activos adecuados, basado en sus detalles y que te permitan identificarlos fácilmente, por ejemplo: laptop de Ramón Pérez con n° de serie ABC1234, servidor SRV001, base de datos productiva, etcétera.

  • Identifica y enlista todos los activos que se encuentren dentro del alcance de tu entorno PCI DSS.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
9. Puntos de revisión para Requisito 1
58. Procedimiento de Seguimiento PCI
37. Política de Seguridad Física y Ambiental
52. Matriz de Registro de Incidentes
13. Puntos de revisión para Requisito 2
¿Ha quedado contestada tu pregunta?