NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el requisito undécimo. Este requisito se centra en probar regularmente los sistemas y procesos de seguridad para los dispositivos de entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Requerimiento 12 de PCI DSS: Mantener una política que aborde la seguridad de la información para todo el personal

 

Este requisito se basa en la política de seguridad establecida por la entidad e informa al personal lo que se espera de ellos. Todos los empleados, contratistas y consultores de la empresa con acceso al entorno de datos de la tarjeta de crédito deben ser conscientes de la sensibilidad de los datos que manejan y de sus responsabilidades para protegerlos.

 

Explicaremos los principales desafíos y pasos que debemos considerar

 

  1. Escriba una política de seguridad de la información que implemente medidas de seguridad para proteger los activos de la empresa, especialmente los datos de tarjetas. Esta política debe ser conocida por todo el personal de la empresa y debe actualizarse anualmente para incluir cambios relevantes en la protección contra nuevas amenazas.
  2. Realice una evaluación de riesgos anual que identifique amenazas y vulnerabilidades que podrían afectar negativamente su negocio e incluir recursos que reduzcan la probabilidad y / o el impacto potencial de la amenaza. Al realizar el análisis, tenga en cuenta que las metodologías de evaluación de riesgos conocidas que incluyen, entre otros, OCTAVE, ISO 27005 y NIST SP 800-30.
  3. Escriba e implemente las políticas de uso para todo el personal de la empresa en las que puede prohibir o indicar el uso correcto de ciertos dispositivos y tecnologías.
  4. Defina formalmente en la política de seguridad y en los procedimientos las responsabilidades de seguridad de la información para todo el personal.
  5. Implementar un programa formal de concientización sobre seguridad para concientizar a todo el personal sobre las políticas y procedimientos de seguridad de datos del titular de la tarjeta.
  6. Realizar investigaciones exhaustivas de antecedentes antes de contratar personal potencial que se espera que tenga acceso a los datos del titular de la tarjeta para reducir el riesgo de uso no autorizado de PAN y otros datos del titular de la tarjeta por parte de personas con antecedentes cuestionables o criminales.
  7. Mantener e implementar políticas y procedimientos para administrar los proveedores de servicios que podrían afectar la seguridad de los datos del titular de la tarjeta.
  8. Implementar un plan de respuesta a incidentes que contenga todos los elementos claves para permitir que su compañía responda de manera efectiva en caso de una infracción que podría afectar los datos del titular de la tarjeta.
  9. Compruebe al menos trimestralmente que todas las políticas de seguridad y procedimientos operativos solicitados por PCI DSS sean seguidos por el personal responsable.

 

Este último requisito se centra en las políticas y procedimientos de seguridad que deben ser respetados por todo el personal de la empresa. Aunque las herramientas no se mencionan, no dude en utilizar todas las herramientas a su disposición para su correcta implementación.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo. 

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal