👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 9.2.1, 9.2.1.1, 9.3.1, 9.3.1.1, 9.3.2, 9.3.3, 9.3.4, 9.4.1.1, 9.4.1.2, 9.4.2, 9.4.3, 9.4.4, 9.4.5, 9.4.5.1, 9.4.6, 9.4.7, 9.5.1.1, 9.5.1.2.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a recopilar las capturas de pantalla pertinentes donde se muestra la implementación correcta de los controles de seguridad solicitados en el requisito 9, que posteriormente serán tu evidencia de cumplimiento.
💡 Las capturas de pantalla que generes deben mostrar la fecha y hora de la captura.
¿Qué tengo que hacer? 🚀
Para realizar este documento debes considerar todas las evidencias pertinentes para el cumplimiento del requisito 9 de PCI DSS, que se encuentren apegadas a las políticas y procedimientos realizados, como lo son:
Y para ello, te recomendamos aplicar las siguientes revisiones:
Uso de controles de entrada a la empresa apropiados para limitar y supervisar el acceso físico a los sistemas en el CDE (Cardholder Data Environment, es decir el entorno PCI DSS).
Aquí deberás presentar evidencia de una muestra de cámaras de vídeo y/u otros mecanismos de control de acceso usados para supervisar los puntos de entrada y salida de áreas confidenciales, donde se demuestre que no se pueden alterar los videos y que se pueda verificar que se almacenan mínimo por 3 meses.
Implementación de controles físicos o lógicos para el personal o visitantes.
Aquí deberás presentar evidencia del proceso que utiliza la organización para diferenciar a los visitantes con el personal de la organización.
También deberás evidenciar cómo registras a los visitantes dentro de la oficina. Y para esto recuerda que puedes apoyarte del formato de Registro de visitantes que te proponemos en el plan de acción.
Implementación de controles físicos o lógicos para restringir el acceso a conexiones de red pública.
Aquí deberás presentar evidencia de que se implementan controles físicos y/o lógicos, con el objetivo de restringir el acceso a las conexiones de red pública.
Restricción del acceso físico a los puntos de acceso inalámbricos, gateways, dispositivos manuales, hardware de redes o comunicaciones, y líneas de telecomunicaciones.
Aquí deberás presentar evidencia donde se muestre que se restringe correctamente el acceso físico a los puntos de acceso inalámbricos, gateways, dispositivos manuales, hardware de redes o comunicaciones, y líneas de telecomunicaciones.
Logs y/o registros.
Aquí deberás presentar evidencia de la lista de las bajas de personal de los últimos 6 meses incluyendo su fecha de salida, y la solicitud de revocación de los accesos con fecha de baja en los sistemas y la lista de registro de visitantes.
Implementación de controles para medios con datos de tarjeta, de forma que se almacenen, accedan, distribuyan y destruyan de forma segura.
Aquí deberás presentar evidencia de una muestra de componentes de como almacenen, accedan, distribuyan y destruyan de forma segura los datos de tarjeta físicamente.
Uso de seguridad para los dispositivos TPV/POS.
Aquí deberás presentar evidencia de los siguientes puntos:
Que en el inventario de activos, los dispositivos TPV/POS se encuentren actualizados, y que éste documento se revise una vez cada 12 meses.
Que todos los dispositivos se inspeccionen adecuadamente y que dichas inspecciones se realizan periódicamente.
Que todo personal con acceso a los dispositivos se capacite para detectar manipulación y sustitución no autorizada.
Nuestro template está estructurado para ayudarte a recopilar fácil y rápidamente toda tu evidencia, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
No olvides que, para que tu evidencia sea válida, todas las capturas de pantalla deberán contener fecha y hora, y con una buena calidad.
Incluye todas las evidencias que consideres necesarias.
Las evidencias que utilices no deben sobrepasar una “vigencia” mayor a tres meses (esto en los casos donde sea aplicable).
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.