👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 6.1.1, 6.2.2, 6.2.3, 6.2.3.1, 6.3.2, 6.3.3, 6.5.1, 6.5.2, 6.5.3, 6.5.4, 6.5.5, 6.5.6
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a recopilar las capturas de pantalla pertinentes donde se muestra la implementación correcta de los controles de seguridad solicitados en el requisito 6, que posteriormente serán tu evidencia de cumplimiento.
💡 Las capturas de pantalla que generes deben mostrar la fecha y hora de la captura.
¿Qué tengo que hacer? 🚀
Para realizar este documento debes considerar todas las evidencias pertinentes para el cumplimiento del requisito 6 de PCI DSS, que se encuentren apegadas a las políticas y procedimientos realizados, como lo son:
Y para ello, te recomendamos aplicar las siguientes revisiones:
Capacitación al personal.
Aquí deberás presentar evidencia de que se implementó una capacitación anual al personal de desarrollo y que incluya las mejores prácticas de OWASP.
Los certificados de participación de la Capacitación de Desarrollo Seguro que te brinda Hackmetrix fungen como evidencia para este punto, pero siempre puedes mostrar más elementos, si cuentas con ellos.
Revisión y autorización del desarrollo antes de su paso a producción.
Aquí deberás presentar evidencia de que el desarrollo es revisado antes de ser lanzado a producción o para los clientes, con el fin de identificar y corregir posibles vulnerabilidades de codificación.
La evidencia puede ser capturas de pantallas, o reportes de revisión de código, ya sean generados por el responsable a cargo o proporcionados por las herramientas utilizadas.
Actualización de parches de seguridad.
Aquí deberás presentar evidencia de una muestra de componentes donde se observe que se actualizan y se aplican los parches de seguridad que proporciona el proveedor.
Control de cambios.
Aquí deberás presentar evidencia de registros o lista documentada de cambios de desarrollo de software del último semestre que se realizaron en la organización, y que estén dentro del alcance de la certificación PCI DSS.
Puedes apoyarte del Procedimiento de Gestión de Cambios Productivos definido por la empresa.
Separación de ambientes.
Aquí deberás presentar evidencia de que se encuentran separados los ambientes de desarrollo, QA (pruebas, testing) y producción.
La evidencia puede ser mediante una captura de pantalla de los usuarios de cada uno de los ambientes para verificar que no hay usuarios iguales en cada ambiente.
Uso de datos no productivos en ambientes previos.
Aquí deberás presentar una muestra de que la información utilizada en los ambientes de desarrollo y de QA (pruebas, testing) no es la misma que se encuentra en producción.
Los datos productivos a los que se hace referencia aquí pueden ser por ejemplo datos de tarjeta como el PAN (Primary Account Number).
Eliminación de usuarios y datos usados en prueba.
Aquí deberás presentar evidencia de que los datos y cuentas de prueba se eliminan de los componentes del sistema, antes de que el sistema entre en producción.
Nuestro template está estructurado para ayudarte a recopilar fácil y rápidamente toda tu evidencia, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
No olvides que, para que tu evidencia sea válida, todas las capturas de pantalla deberán contener fecha y hora, y con una buena calidad.
Incluye todas las evidencias que consideres necesarias.
Las evidencias que utilices no deben sobrepasar una “vigencia” mayor a tres meses (esto en los casos donde sea aplicable).
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.