👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 1.4, 6.1, 11.1, 9.5.1, 10.4, 12.3
PCI DSS v4.0: 1.5.1, 6.1.1, 6.1.2, 6.3.3
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a identificar las actividades y procesos operacionales relacionados a las tecnologías de la información que se llevan a cabo dentro de tu empresa para cuidar los datos de tarjeta que utilizan, alineados a los requerimientos de seguridad que pide PCI DSS.
💡 Éstos procesos de tecnología son cruciales para garantizar la continuidad de las operaciones de la organización, y son aquellos que permiten que la infraestructura tecnológica de la empresa funcione correctamente.
¿Qué tengo que hacer? 🚀
Para lograrlo, te sugerimos comenzar por identificar todas las actividades de tecnología que realices dentro tu alcance de PCI DSS. Los que te recomendamos considerar son los siguientes:
Gestión de cambios. Puede ser cualquier tipo de cambio que impacte en las operaciones de la empresa, en el negocio o en su infraestructura.
Si cuentas con desarrollo interno o tercerizado, será muy importante que definas también los lineamientos de seguridad pertinentes para una correcta gestión de los cambios productivos aplicados en tu código, alineado al Procedimiento de Gestión de Cambios Productivos.
Gestión de la capacidad. Debes asegurar la disponibilidad de los recursos y las herramientas necesarias para garantizar que tus operaciones pueden continuar. Esto puede considerar el almacenamiento, la cantidad de transacciones, el nivel de respuesta o procesamiento, etcétera.
Gestión de los respaldos. Los respaldos o copias de seguridad te permiten asegurar la recuperación de información valiosa.
Una de las cosas más importantes para esta gestión es la periodicidad de generación de copias de seguridad, ya que ésta puede variar de sistema a sistema, por lo que debes definirla adecuadamente de forma que sea factible.
Gestión de los parches de seguridad. La actualización de los sistemas permite disminuir el riesgo de que ocurra una brecha de seguridad, o que una vulnerabilidad sea explotada, por lo que una adecuada gestión de los parches de seguridad es esencial en todos los procedimientos tecnológicos.
Todos los componentes del sistema deben de estar protegidos contra vulnerabilidades conocidas mediante la instalación de parches/actualizaciones de seguridad. Si son críticas o de alta seguridad, deben instalarse dentro del período de un mes de su emisión.
Esto debe estar alineado al Procedimiento de Aplicación de Parches de Seguridad definido por la empresa.
Adquisición y mantenimiento de equipos y sistemas. La adquisición de nuevos equipos y sistemas debe apegarse a los lineamientos definidos en ésta y las demás políticas que establezcas, es decir que debe permitir una instalación, configuración y/o uso que cumpla con los requisitos de seguridad. Además, el mantenimiento de los equipos debe ser periódico, garantizando su buen funcionamiento.
💡 Los controles de seguridad se deben implementar en cualquier dispositivo informático, incluyendo los dispositivos propiedad de la empresa y de los empleados, que se conectan tanto a redes no confiables (incluida Internet) como al CDE (Cardholder Data Environment) de la siguiente manera:
Se definen los parámetros de configuración específicos para impedir que se introduzcan amenazas en la red de la entidad.
Los controles de seguridad se están ejecutando activamente.
Los usuarios de los dispositivos informáticos no pueden alterar los controles de seguridad a menos que estén específicamente documentados y autorizados por el nivel gerencial, caso por caso, durante un período limitado.
Entre los principales objetivos de los lineamientos de esta política podemos mencionar los siguientes:
Asegurar la correcta operación de los recursos de procesamiento.
Evitar la pérdida de datos.
Generar respaldos de seguridad periódicos.
Garantizar la integridad de los sistemas operacionales.
Prevenir la explotación de vulnerabilidades técnicas.
Ejecutar una adecuada instalación de parches de seguridad.
Gestionar los cambios productivos de las redes y las aplicaciones.
Contar con procedimientos y recursos de escalamiento, en caso de fallas o interrupciones.
Debes analizar, añadir y/o ajustar todos los aspectos que consideres pertinentes para documentar una política robusta, alineada y viable para tus operaciones, y que proteja la información en cualquier parte de tu infraestructura tecnológica.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Comunica esta política a todos los involucrados para asegurar que se implemente correctamente.
Revisa periódicamente esta política y actualízala siempre que sea necesario para mantenerla alineada a tus operaciones y a las mejores prácticas que pide PCI DSS.
El área de Tecnología, administradores de sistemas y el CTO son roles que pueden ayudarte a generar esta política.
Conoce los manuales de uso de los sistemas alcanzados por esta política, de las configuraciones de seguridad que ofrecen, de sus nuevas funcionalidades, etcétera para asegurarte que implementas las mejores prácticas posibles.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.