Ir al contenido principal

62. Auditoría PCI DSS

👉Esta actividad te ayuda a revisar el cumplimiento de todos los controles aplicables con el estándar de PCI DSS.

¿En qué consiste esta actividad? 📚

Esta actividad te ayudará a evaluar el nivel de cumplimiento normativo de tu implementación de seguridad al entorno de tarjeta, por medio de un ejercicio de auditoría, en el cuál se verifica la implementación de los doce requisitos de PCI DSS y su documentación generada.

💡 La auditoría te permite prepararte para abordar todos los temas de seguridad alcanzados por tu entorno PCI DSS y así, garantizar la certificación.

¿Qué tengo que hacer? 🚀

Ahora bien, para esta actividad deberás prepararte y completar la auditoría para certificarte en PCI DSS. Y para que todo el proceso sea fácil y eficiente, te sugerimos realizar los siguientes pasos:

  • Planifica la auditoría. Con ayuda de tu Customer Success Manager podrás coordinar las fechas y horarios de la auditoría. Pero además de eso, debes asegurar que todos los recursos necesarios estén disponibles, incluyendo las áreas y colaboradores pertinentes, la documentación, las evidencias, las herramientas tecnológicas, etcétera.

Las áreas y colaboradores que te recomendamos involucrar son todos aquellos alcanzados por tu alcance PCI DSS, el responsable de implementar la norma PCI, la alta dirección, el encargado de Recursos Humanos, el gerente de Tecnología y Desarrollo, el encargado de la infraestructura tecnológica o sus áreas equivalentes.

  • ¡Prepárate para la auditoría! Para enfrentar cualquier tipo de auditoría es muy importante que conozcas tu documentación, dónde encontrarla y conocer su contenido adecuadamente. Así como también tener toda la evidencia de cumplimiento a la mano, y estar listo para mostrarla en vivo, si el auditor lo solicita.

Algunos de los aspectos más importantes para esta preparación es garantizar que se conoce y comprende el alcance de PCI DS, y donde se almacenan, procesan o transmiten datos de tarjeta. Tus procedimientos deben estar alineados a las operaciones reales de tu empresa, y éstas, deben estar alineadas a tus políticas de seguridad.

  • Reserva el tiempo adecuado. Las sesiones de auditoría pueden ser un poco largas y exhaustivas, por lo que debes reservar el tiempo suficiente para ti y tu equipo, de forma que puedan atender pertinentemente las solicitudes del auditor. Para esto, es importante que todos los involucrados estén previamente informados de que su participación es requerida.

Puedes consultar con el auditor si es posible que alguno de tus colaboradores solo atienda los requisitos asociados a su área y posteriormente se retire. Por ejemplo, el área de Recursos Humanos generalmente no es necesario que atienda las sesiones completas, ya que sus requisitos aplicables pueden revisarse en menor tiempo 🙌🏼.

  • Asiste a la auditoría puntualmente. Para aprovechar al máximo el tiempo, procura llegar puntualmente, respetar el rol del auditor, ser receptivo con los hallazgos y comenzar con toda la actitud 😎.

Para que estés más familiarizado con los tipos de hallazgos que podrá tener tu certificado AoC (Attestation of Compliance), te compartimos los siguientes conceptos:

  • No Tested, es uno o más requerimientos no revisados en la auditoría. Por ejemplo, que durante la auditoría no se presente evidencia de revisión de proveedores y no se tengan sus AoC de cumplimiento.

  • No, es el incumplimiento de uno o más requisitos o controles normativos. Por ejemplo, que la documentación de hardening de los sistemas operativos no se tenga completa y no se implemente.

  • No Aplica, es cuando no aplica algún control normativo de PCI DSS. Por ejemplo, el registro de visitantes o almacenamiento físico.

  • Si con controles compensatorios, es cuando el control no se cumple como lo solicita la normativa, pero se implementaron controles similares para prevenir riesgos.

  • , es cuando se cumple correctamente el requisito.

Una vez terminadas las sesiones, el auditor genera el AoC (Attestation of Compliance) con los hallazgos identificados y toda la información relevante sobre tu certificación. Este reporte se te enviará por correo electrónico, y con él, podrás continuar con esta actividad.

  • Revisa el reporte AoC. Los responsables de la implementación deberán revisar adecuadamente el reporte para verificar que todo esté correctamente de acuerdo con la organización y el alcance certificado.

Recuerda que si hay controles en No o No Tested, se deberá trabajar en corregirlos lo antes posible, por que si se mantienen con ese resultado, no se podrá obtener la certificación.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

Recomendaciones ✅

  • Involucra, capacita y concientiza sobre la importancia de esta actividad a todo el equipo que participará en la auditoría.

  • Para realizar la auditoría deberás haber terminado todas las actividades aplicables de tu plan de acción.

  • Recuerda que en caso de no tener terminadas las actividades mencionadas en el punto anterior, hay mayor probabilidad de no obtener la certificación.

  • Durante las sesiones de auditoría, recuerda que debes mostrar los documentos en su versión final (en PDF).

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
55. Auditoría interna del SGSI
Todo lo que necesitas saber sobre una auditoría interna y cómo hacerla con Hackmetrix
¿Cómo entender y atender una auditoría externa?
58. Procedimiento de Seguimiento PCI
Auditoría interna del SGIA
¿Ha quedado contestada tu pregunta?