👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 12.1
PCI DSS v4.0: 1.5.1, 6.3.1, 6.4.1, 9.4.2, 9.4.3, 9.4.4, 9.5.1, 9.5.1.2.1, 11.1.1, 11.1.2, 11.2.1, 11.3.1, 11.3.1.1, 11.3.1.2, 11.3.1.3, 11.3.2, 11.3.2.1, 11.4.5, 11.4.6, 11.4.7, 11.5.1, 12.1.1, 12.1.2, 12.1.3, 12.1.4, 12.2.1, 12.3.3, 12.3.4, 12.4.1, 12.9.1, 12.9.2, 12.10.4.1, 12.10.7
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer todos los lineamientos necesarios para garantizar la protección de la información y datos del titular de tarjeta que maneja tu empresa dentro del entorno PCI DSS.
¿Qué tengo que hacer? 🚀
Para crear tu política de seguridad de la información te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca.
Una vez leído todo el template, debes asegurar que se encuentre alineado a tus operaciones, o de ser el caso, validar si es posible implementar todos los lineamientos ahí descritos.
💡 La política que te proponemos en nuestro template cuenta con una variedad de temas de seguridad que son requeridos por el estándar PCI DSS. Lo hacemos de esta forma para tener toda la información consolidada en un solo documento y así no tendrás que revisar, actualizar y mantener muchos documentos separados.
A continuación te enlistamos todos los temas de seguridad que encontrarás en el template y que deberás trabajar y adaptar al contexto de tu empresa.
Gestión con instituciones de seguridad de la información.
Las instituciones que debes identificar son las autoridades a las que puedas notificar y/o pedir apoyo ante la ocurrencia de un incidente, como por ejemplo entidades gubernamentales u organismos especializados.
Los grupos de interés son aquellos que te informan sobre nuevas vulnerabilidades o amenazas, y las noticias más actuales en cuanto a ciberseguridad. Nuestras Hacknews y Hackmeets pueden ayudarte a cumplir con esto 😉.
Gestión de protección de datos personales.
Se proporcionan lineamientos para un cumplimiento a alto nivel para la protección de datos personales para el estándar PCI DSS.
Gestión de dispositivos móviles y teletrabajo.
Debes documentar las medidas de uso de dispositivos móviles para garantizar la seguridad de la información, y el buen uso de los dispositivos por parte de los colaboradores.
Los dispositivos móviles que debes considerar son todos aquellos que utilizas para llevar a cabo tus funciones laborales, como por ejemplo equipos de cómputo, celulares, tablets, etcétera, los cuales pueden ser propiedad de la empresa o de los colaboradores.
Además, debes establecer los lineamientos adecuados para asegurar que el entorno donde se trabaje sea el más adecuado, y no ponga en riesgo la información de la empresa.
Gestión de los recursos humanos.
Estos lineamientos impactan en cómo deben llevarse a cabo tus procesos de reclutamiento, contratación y desvinculación de personal, y por ello están asociados con tu Procedimiento de Preselección y Selección de Personal y tu Procedimiento de Gestión de Accesos.
Gestión y clasificación de los activos de información.
Esta sección considera la identificación, clasificación (es decir, el nivel de confidencialidad que requiere la información) y el etiquetado de activos. Así como también los métodos de saneamiento, eliminación y/o destrucción de los activos para mitigar posibles fugas o pérdidas de información.
Gestión de los riesgos de seguridad.
La evaluación de riesgos que realizas en tu Matriz de Riesgos, siguiendo la Metodología de Gestión de Riesgos definida por la empresa, es esencial para el cumplimiento de los requisitos de PCI DSS, y debe ser implementada conforme a lo solicitado por el mismo estándar.
Gestión de la tecnología y las operaciones.
Dentro del template encontrarás el objetivo de la gestión y la referencia a la Política de Tecnología y Operaciones de TI, que es donde se encuentran todos los lineamientos asociados.
Gestión de la seguridad en los sistemas y aplicaciones.
Las soluciones que te solicitamos dentro del template son las mínimas indispensables para asegurar un nivel de protección adecuado, por lo que te recomendamos que si no cuentas con alguna, selecciones la que consideres más conveniente, y realices su instalación y configuración dentro de tus equipos.
Gestión de las vulnerabilidades técnicas.
Esta gestión tiene como objetivo el revisar los sistemas de información de forma periódica para identificar vulnerabilidades y posibles brechas de seguridad, siguiendo el Procedimiento de Gestión de Vulnerabilidades definido por la empresa.
La aplicación de los escaneos de vulnerabilidades internas y externas, las pruebas de penetración o Ethical Hacking, y las pruebas de segmentación son esenciales para el cumplimiento del requisito 11 de PCI DSS.
Gestión del ciclo de vida del desarrollo.
Ya sea que tu empresa desarrolle internamente, siguiendo la Política de Desarrollo Seguro, la Metodología de Ciclo de Vida de Desarrollo y el Procedimiento de Gestión de Cambios Productivos definidos por la empresa, o bien que tengan el desarrollo tercerizado, es súper importante verificar que se estén aplicando las mejores prácticas que propone la industria.
Gestión de incidentes de seguridad.
Sentar las bases para una adecuada gestión de incidentes de seguridad, considerando desde los criterios para su notificación, cómo debe ser analizado y atendido, las acciones de remediación y su comunicación, te permitirá mitigar los riesgos de seguridad y prevenir incidentes futuros.
Esta gestión debe seguir lo establecido dentro del Procedimiento de Gestión de Incidentes de Seguridad de la empresa.
Mantenimiento del alcance.
El alcance debe ser revisado, y de ser necesario, actualizado de manera que tu entorno de certificación PCI DSS siempre se encuentre correctamente definido. Y para ello debes establecer lineamientos para asegurar un mantenimiento adecuado de la identificación de los procesos alcanzados, del diagrama flujo de datos para las diversas etapas de pago y componentes del sistema en el CDE, y del diagrama de red.
Asignación de los roles y responsabilidades derivadas de esta política.
Esto para que el documento se mantenga actualizado en todo momento, alineado a las necesidades de la empresa y sea implementado correctamente por todos los responsables involucrados.
Recuerda que es de suma importancia que no adaptes la operación de tu empresa a esta política, sino que adaptes la política a las operaciones reales de tu empresa, de manera que cubra sus necesidades específicas y al mismo tiempo, se consideren sus limitaciones.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Recuerda que todo lo declarado en esta política debe ser implementado, ya que se solicita evidencia durante las auditorías.
Revisa este documento periódicamente, por lo menos una vez al año, al igual que la mayoría de los documentos generados para tu certificación.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.