Ir al contenido principal

38. Procedimiento de Seguridad Física

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 9.1.1, 9.12

  • PCI DSS v4.0: 9.1.1, 9.1.2, 9.2.2, 9.2.3, 9.2.4, 9.3.1, 9.3.1.1, 9.3.2, 9.4.1.1, 9.4.1.2, 9.4.5.1

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a establecer y formalizar un procedimiento que te permita capacitar a todo tu personal, e incluso a otras partes interesadas, sobre cómo realizar las diferentes tareas de seguridad física que se deben implementar dentro de tu organización.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad solo debes documentar las tareas que se deben realizar, y quiénes son los responsables a cargo, para cumplir los lineamientos definidos en tu Política de Seguridad Física y Ambiental.

Para esto, te sugerimos considerar por lo menos los siguientes aspectos:

  • Monitoreo y vigilancia de los sistemas de grabación (CCTV, Circuito Cerrado de Televisión).

    • Aquí debes definir cómo se deben revisar las grabaciones de vigilancia de las áreas que cuenten con cámaras de seguridad, los responsables involucrados y la periodicidad de revisión.

    • Recomendamos también indicar cómo se debe realizar una solicitud formal para realizar consultas extraordinarias de las grabaciones, para controlar mejor el acceso a ellas.

  • Procedimiento de acceso a los colaboradores de la empresa.

    • Aquí debes indicar todos los criterios que deben cumplir los colaboradores para poder ingresar a la organización, así como también qué es lo que deben hacer durante su estancia en las instalaciones.

    • Por ejemplo, mantener su credencial de identificación y/o gafete siempre a la vista, no compartir códigos de acceso, qué hacer en caso de robo o extravío de sus identificaciones, etcétera.

  • Procedimiento de acceso a visitantes.

    • Aquí debes indicar todos los criterios que deben cumplir los visitantes o terceros para poder ingresar a la organización, así como también qué es lo que deben hacer durante su estancia en las instalaciones.

    • Por ejemplo, mantener su gafete de visitante siempre a la vista, dejar en recepción alguna identificación personal, ir siempre acompañado y/o supervisado por un responsable de la empresa, etcétera.

    • Si requieren ingresar a zonas restringidas, es necesario que se dé una autorización explícita, y para ello se debe tener una razón o necesidad de negocio debidamente justificada.

    • Estos visitantes pueden ser proveedores, clientes, personal de mantenimiento, invitados, etcétera.

  • Acceso a áreas restringidas.

    • Así como lo mencionamos anteriormente, el acceso a zonas o áreas restringidas debe ser controlado y monitoreado. Esto es esencial para proteger la información y los activos confidenciales que se encuentren en estas áreas, y por ende, mantener el cumplimiento de los requisitos del estándar PCI DSS.

    • Aquí debes indicar todos los criterios que cualquier persona debe cumplir para poder acceder a áreas restringidas, así como también lo que deben realizar durante toda su estancia en ellas.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Documenta lo que la empresa realiza realmente para su seguridad física, pero a la vez implementa toda las mejoras que consideres necesarias para que el procedimiento sea seguro y eficiente.

  • Revisa periódicamente los registros y bitácoras de acceso para identificar cualquier posible anomalía.

  • Revisar el CCTV por periodos cortos, por ejemplo cada 30 días.

  • Deberás conservar los registros de las bitácoras de acceso para estar en cumplimiento con el estándar PCI DSS.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
58. Procedimiento de Seguimiento PCI
51. Procedimiento de Gestión de Incidentes de Seguridad
37. Política de Seguridad Física y Ambiental
18. Procedimiento de Eliminación de Información
Política de Seguridad Física y Ambiental
¿Ha quedado contestada tu pregunta?