Conociendo el Requerimiento 12 de PCI DSS

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le aclararemos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el requisito undécimo. Este requisito se centra en probar regularmente los sistemas y procesos de seguridad para los dispositivos de entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

Requerimiento 12 de PCI DSS: Mantener una política que aborde la seguridad de la información para todo el personal

Este requisito se basa en la política de seguridad establecida por la entidad e informa al personal lo que se espera de ellos. Todos los empleados, contratistas y consultores de la empresa con acceso al entorno de datos de tarjetas de crédito deben ser conscientes de la sensibilidad de los datos que manejan y de sus responsabilidades para protegerlos.

Explicaremos los principales desafíos y pasos que debemos considerar

Escriba una política de seguridad de la información que implemente medidas de seguridad para proteger los activos de la empresa, especialmente los datos de tarjetas. Esta política debe ser conocida por todo el personal de la empresa y debe actualizarse anualmente para incluir cambios relevantes en la protección contra nuevas amenazas.
Realice una evaluación de riesgos anual que identifique amenazas y vulnerabilidades que podrían afectar negativamente su negocio e incluir recursos que reduzcan la probabilidad y / o el impacto potencial de la amenaza. Al realizar el análisis, tenga en cuenta metodologías de evaluación de riesgos conocidas que incluyen, entre otros, OCTAVE, ISO 27005 y NIST SP 800-30.
Escriba e implemente las políticas de uso para todo el personal de la empresa en las que puede prohibir o indicar el uso correcto de ciertos dispositivos y tecnologías.
Defina formalmente en la política de seguridad y en los procedimientos las responsabilidades de seguridad de la información para todo el personal.
Implemente un programa formal de concienciación sobre seguridad para concienciar a todo el personal sobre las políticas y procedimientos de seguridad de datos del titular de la tarjeta.
Realice investigaciones exhaustivas de antecedentes antes de contratar personal potencial que se espera que tenga acceso a los datos de tarjetas para reducir el riesgo de uso no autorizado de PAN y otros datos del titular de la tarjeta por parte de personas con antecedentes criminales o cuestionables.
Mantenga e implemente políticas y procedimientos para administrar los proveedores de servicios que podrían afectar la seguridad de los datos de tarjetas.
Implemente un plan de respuesta a incidentes que contenga todos los elementos claves para permitir que su compañía responda de manera efectiva en caso de una infracción que podría afectar los datos de tarjetas.
Compruebe al menos trimestralmente que todas las políticas de seguridad y procedimientos operativos solicitados por PCI DSS sean seguidos por el personal responsable.

Este último requisito se centra en las políticas y procedimientos de seguridad que deben ser respetados por todo el personal de la empresa. Aunque las herramientas no se mencionan, no dude en utilizar todas las herramientas a su disposición para su correcta implementación.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.

Conociendo el Requerimiento 12 de PCI DSS

Requerimiento 12 de PCI DSS: Mantener una política que aborde la seguridad de la información para todo el personal

Explicaremos los principales desafíos y pasos que debemos considerar

Search

Categories

Latest Posts

Follow us on Twitter