👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 6.4.5, 6.7
PCI DSS v4.0: 6.1.1, 6.1.2, 6.2.1, 6.2.2, 6.2.3.1, 6.2.4, 6.4.1, 6.4.2, 6.4.3, 6.5.2, 6.5.3, 6.5.4, 6.5.5, 6.5.6
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer los lineamientos necesarios para garantizar que el desarrollo de tus aplicaciones y sistemas se realice de manera segura y siguiendo las mejores prácticas recomendadas por la industria.
Implementar estos lineamientos te ayudará a disminuir las vulnerabilidades que exponen tus sistemas, así como también a ofrecer productos y servicios de confianza a tus clientes, lo cual es muy importante ⭐.
💡 En conjunto con esta política, te recomendamos ampliamente crear una cultura de desarrollo seguro con todo tu equipo, de manera que todos tengan conocimiento de los riesgos a los que está expuesto un código vulnerable, y el impacto que tienen sus funciones dentro del programa de seguridad.
¿Qué tengo que hacer? 🚀
Antes de comenzar a trabajar esta política, te recomendamos ya haber realizado la Capacitación de Desarrollo Seguro que te ofrece Hackmetrix.
Recuerda que puedes enviarla desde el módulo de Capacitaciones o desde el módulo de Personal (si es que deseas enviarla solo a ciertos colaboradores) ✨.
💡 El software a medida y personalizado se debe de desarrollar de forma segura de la siguiente manera:
Basándose en estándares de la industria y/o mejores prácticas para un desarrollo seguro.
De acuerdo con PCI DSS (por ejemplo, autenticación segura y registro).
Considerando la incorporación de la información de problemas de seguridad durante cada etapa del ciclo de vida del desarrollo de software.
Ahora bien, para realizar este documento te sugerimos considerar los siguientes aspectos:
Seguridad en el desarrollo, ya sea in-house o tercerizado, mediante el uso de herramientas y metodologías adecuadas y seguras.
Si cuentas con desarrollo tercerizado, de igual forma es muy importante que conozcas cuáles son los criterios y controles de seguridad que utiliza tu proveedor. De ser necesario, comunica esta política y todos los lineamientos de seguridad pertinentes para garantizar que tu proveedor se encuentre alineado a ellos.
Puedes establecer en esta política los lineamientos necesarios para verificar periódicamente que tu proveedor de desarrollo efectivamente aplique los controles de seguridad pertinentes.
Seguridad en los servicios expuestos a redes, de forma que se pueda proteger la información que es almacenada, transferida y/o procesada en sistemas abiertos a redes públicas.
Seguridad en los ambientes de desarrollo, entendiendo la importancia de tener una adecuada segregación de los entornos de desarrollo, pruebas y producción, de manera que el código sea creado y ejecutado de forma segura.
Aplicación de pruebas de aceptación, para verificar que el software cumple las expectativas del cliente y de los usuarios finales, y que su comportamiento es el esperado. Algunos tipos de pruebas de aceptación son:
Pruebas de Aceptación del Usuario (UAT, User Acceptance Testing). Aquí el usuario usa el producto de software para asegurar que satisface sus expectativas como usuario, y que le proporciona los beneficios esperados.
Pruebas de Aceptación Operativa (OAT, Operational Acceptance Testing). Aquí se examina la seguridad, escalabilidad, velocidad, rendimiento, comportamiento bajo cargas máximas, capacidad de recuperación ante fallos, generación de copias de seguridad, restauración, equilibrio de la carga, y todo lo necesario para validar que el producto de software funciona correctamente.
Pruebas de aceptación de cumplimiento, para garantizar que el producto de software está alineado a las regulaciones aplicables.
Pruebas Alfa (aceptación interna) y Beta (aceptación externa o de campo), que tienen como objetivo recopilar información sobre el uso real del producto de software antes de lanzarlo al público en general.
Entre otras pruebas.
Protección contra vulnerabilidades, revisando periódicamente el desarrollo para verificar que está protegido contra las vulnerabilidades más comunes.
Al identificar alguna vulnerabilidad, ya sea por revisiones internas o incluso por escaneos externos, se debe seguir el Procedimiento de Gestión de Vulnerabilidades definido por la empresa.
Las prácticas de seguridad deben ser aplicadas durante todas las etapas del ciclo de vida de un desarrollo, las cuales suelen ser las siguientes:
Definición del requerimiento o funcionalidad.
Diseño del requerimiento o funcionalidad.
Desarrollo del código.
Pruebas al requerimiento o funcionalidad.
Implementación del requerimiento o funcionalidad (es decir, el paso a producción).
Revisión y monitoreo del funcionamiento del código.
Esta política debe estar alineada a la Metodología de Ciclo de Vida de Desarrollo de la organización.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Establece los lineamientos que se alineen a las necesidades y contexto de tu empresa e implementa todas las mejoras que estén a tu alcance.
Capacita a tu equipo de trabajo periódicamente y actualizando el contenido de dichas capacitaciones.
Infórmate sobre nuevas prácticas, vulnerabilidades y novedades en general de desarrollo seguro.
Todos los colaboradores que tengan responsabilidades relacionadas directa o indirectamente con el desarrollo, operación o mantenimiento de las aplicaciones o sistemas de la empresa deben conocer e implementar esta política.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.