Muchos comercios y proveedores de servicios eligen el camino de la autovalidación PCI. En este caso ellos mismos realizan todos los pasos de validación, documentan su progreso en los Cuestionarios de Autoevaluación (SAQ) e informan de su estado en la Declaración de Cumplimiento (AoC). Un plan de cumplimiento PCI anual puede ayudar a las empresas que se acrediten a sí mismas a facilitar su camino en los conceptos básicos de este proceso. Este plan puede proporcionar la orientación necesaria para las organizaciones que se someten a una evaluación anual de PCI QSA.
A continuación, hemos enumerado todas las tareas obligatorias de cumplimiento de PCI. Estas tareas deben realizarse periódicamente y deben formar parte de su plan de PCI anual.
Estas tareas deben realizarse periódicamente:
Continuamente
- Requisito 5.2: Actualizaciones y escaneos de AV.
Asegúrese de que todos los mecanismos antivirus se mantengan actualizados y realicen escaneos periódicos. - Requisito 11.4 — Actualizaciones IDS.
Mantenga actualizados todos los motores, la configuración básica y las firmas del sistema de detección y prevención de intrusiones.
Diariamente
- Requisito 6.1: Monitoreo de fuentes de información de seguridad y de amenazas emergentes para la confidencialidad de los datos de tarjetas (CHD).
Establezca un proceso para identificar vulnerabilidades de seguridad utilizando fuentes externas de buena reputación y asigne una clasificación de riesgos a las vulnerabilidades de seguridad recién descubiertas. - Requisito 10.6: Revisión de los logs y/o de las alertas de la monitorización de los eventos, de los sistemas IDS/IPS y AV.
Revise los logs y los eventos de seguridad de todos los componentes del sistema para identificar anomalías o cualquier actividad sospechosa. Para cumplir con este requisito, se pueden utilizar herramientas de recolección, análisis y alertas de logs.
Semanamente
- Requisito 11.5: Análisis FIM.
Si no se trata de un proceso en tiempo real, los análisis de monitorización de la integridad de los ficheros deben ejecutarse al menos semanalmente. Implemente un mecanismo de detección de cambios para alertar al personal sobre la modificación no autorizada de archivos críticos. Configure el software para realizar comparaciones de archivos críticos al menos una vez por semana.
Mensualmente
- Requisito 6.2: Aplicación de parches críticos de software.
Asegúrese de que todos los componentes y software del sistema están protegidos contra vulnerabilidades conocidas mediante la instalación de parches de seguridad suministrados por el proveedor. Instale parches de seguridad críticos en el plazo de un mes a partir de su lanzamiento.
Trimestralmente
- Requisito 11.1: Escaneo de redes inalámbricas.
Se necesita que sea ejecutado un proceso para identificar y retirar cualquier dispositivo inalámbrico furtivo en el entorno dentro del alcance, por lo menos trimestralmente, y para buscar redes inalámbricas no autorizadas. - Requisito 11.2.1: Escaneo interno.
Se debe obtener, al menos trimestralmente, un análisis limpio de vulnerabilidades para todos los dispositivos relevantes; si se detectan deficiencias, deben corregirse y se debe ejecutar otro escaneo para validar que el problema ha sido corregido. Los informes resultado del año deben conservarse y entregarse al auditor durante la revisión anual. - Requisito 11.2.2: Escaneo externo.
Estos análisis deben realizarse utilizando un producto o servicio de un Proveedor de Escaneos Autorizado (ASV). Los escaneos deben resultar en un análisis limpio de vulnerabilidades para todas las direcciones IP y URL relevantes, al menos trimestralmente. Los informes resultado del año deben conservarse y entregarse al auditor durante la revisión anual. - Requisito 3.1: Verifique que el CHD almacenado fuera del período de retención se borre de forma segura.
Se debe desarrollar y ejecutar un proceso trimestral para identificar y eliminar de forma segura los datos almacenados del titular de la tarjeta que excedan las necesidades de retención previamente definidas, con evidencias de que éstos han sido realizados. - Requisito 12.11: Revise las políticas y procedimientos (para los Proveedores de Servicios).
Realice revisiones al menos trimestralmente para confirmar que el personal está siguiendo las políticas de seguridad y los procedimientos operativos. Las revisiones deben abordar, como mínimo: revisiones diarias de logs, revisiones del conjunto de reglas de firewall, aplicación de estándares de configuración en nuevos sistemas, respuesta frente a alertas de seguridad y procesos de gestión de cambios. Las revisiones deben documentarse, dando como resultado un registro de ejecución auditable y datado.
Semestralmente
- Requisito 1.1.7: Revise las configuraciones del Firewall y del Router.
Realice y documente revisiones de la configuración de los firewalls y routers para verificar que las
configuraciones están actualizadas, de acuerdo con los estándares documentados, y cumplir con los requisitos de PCI. - Requisito 11.3.4.1: Testee los controles de segmentación (para Proveedores de Servicios).
Las pruebas de intrusión se realizan para verificar la eficacia de los controles de segmentación al menos cada seis meses y después de cualquier cambio en los controles/métodos de segmentación.
Anualmente
- Requisito 6.6: revise las aplicaciones web públicas.
Este requisito se puede cumplir mediante una solución automatizada, por ejemplo, un firewall de aplicaciones web o mediante la realización de revisiones manuales. - Requisito 9.9: Mantener una lista actualizada de terminales de pago.
Si su empresa utiliza terminales de pago, es necesario hacer un inventario anual de los terminales utilizados e inspeccionarlos para ver si han sido manipulados. - Requisito 11.3: Realice test de intrusión internos y externos.
Realice pruebas de intrusión en línea con la guía de PCI SSC, tanto en las capas de red como de aplicación, al menos anualmente y después de cualquier modificación material en el entorno. - Requisito 12.1.1: Revisión y re-aprobación de Políticas.
Compruebe que la directiva de seguridad de la información se revise al menos anualmente y se actualice según sea necesario para reflejar los cambios en los objetivos empresariales o en el entorno de riesgo. - Requisito 12.2: Evaluación de riesgos.
Implementar un proceso de evaluación de riesgos. El proceso debe realizarse al menos anualmente; debe identificar activos críticos, amenazas y vulnerabilidades, y dar lugar a un análisis de riesgos formal y documentado. - Requisito 12.6: Concienciación en seguridad.
Ejecute y documente la formación en Concienciación en Seguridad para asegurarse de que todo el personal esté al corriente de las políticas y procedimientos de seguridad de la información y datos de tarjetas. Esto debe suceder al menos anualmente y para cada proceso de nueva contratación de personal. - Requisito 12.6.2: Reconocimiento de la Política de Seguridad de la Información.
Exija al personal que reconozca al menos una vez al año que ha leído y entendido la política y los procedimientos de seguridad. Este proceso debe ser documentado, dando como resultado un registro auditable de revisión/reconocimiento anual por cada empleado. - Requisito 12.10.2: Pruebas Plan de Respuesta a Incidentes (IRP).
Revisar y probar el Plan de Respuesta a Incidentes (IRP) de seguridad de la información al menos anualmente; incluir todos los elementos enumerados en el Requisito 12.10.1. Documente la ejecución y los resultados de la prueba.
Al menos anualmente y antes de la evaluación anual, la entidad evaluada también debe confirmar la exactitud de su alcance PCI DSS identificando todas las ubicaciones y flujos de datos de tarjetas, así como todos los sistemas a los que están conectados a —o, si fuesen comprometidos, podrían tener impacto sobre— el entorno de datos de tarjetas (CDE).
Con un plan anual: el cumplimiento PCI no tiene que ser un engorro
Cuando tienes un plan anual en marcha y lo ejecutas, no toma mucho tiempo antes de que tus acciones se asimilen de forma natural. Lo mismo ocurre con el cumplimiento de PCI y las mejores prácticas de seguridad.
La participación de un PCI QSA con buena reputación también puede facilitarle las cosas porque puede convertirse en un recurso de confianza donde obtener asesoramiento y orientación durante todo el año. Nuestro equipo está aquí para ayudar. Contáctenos aquí.
Lea más sobre cómo mantener el cumplimiento en nuestro blog: ¿Como mantener el cumplimiento PCI?