El cumplimiento PCI DSS tiene varias facetas. Para algunos, la parte más difícil podría ser el proceso de certificación, pero de hecho vemos muchas organizaciones que su dificultad consiste en seguir cumpliendo: PCI DSS no es una tarea que se realiza en una fecha determinada, sino que requiere apoyo continuo y ternura, cariño y atención.

De hecho, PCI Security Standards Council (SSC) sugiere y aboga firmemente por el desarrollo de un plan para el cumplimiento continuo de PCI. La guía  «Mejores prácticas para mantener el cumplimiento de PCI DSS»  (enero 2019) enumera las cuestiones clave para mantener el cumplimiento. Uno de los requerimientos incluso obliga a que las empresas establezcan un comité PCI que tenga asignado la «responsabilidad, y el rendimiento de cuentas, acerca del mantenimiento del cumplimiento PCI DSS».

Las actividades y controles de PCI DSS deben llevarse a cabo diariamente, semanalmente, mensualmente, trimestral, bianual y anualmente. Existen multitud de motivos por los que algunas de estas tareas se pueden pasar por alto, siendo la falta de recursos el más común. Idealmente, las actividades de cumplimiento deben ser la responsabilidad principal de un empleado o un equipo. Sin embargo, como empresa QSA nos encontramos que la mayoría de las empresas fallan en el cumplimiento continuo e incluso dejan de preocuparse por PCI tan pronto como el auditor QSA abandona sus oficinas. Por no hablar del estrés que se genera cuando el QSA llega el año siguiente para la evaluación.

Con objeto de ayudar a las empresas a validar el cumplimiento de PCI, desde Fortytwo Security hemos desarrollado nuestro programa de Cumplimiento Continuo, implementando sesiones, controles y reuniones periódicas para realizar un seguimiento de las actividades del Programa de Cumplimiento PCI DSS y, de esta forma, garantizar que se están llevando a cabo. El hecho de incorporar un QSA a su programa de cumplimiento asegura un trayecto relajado hacia la próxima validación PCI. Conozca nuestro Servicio de Cumplimiento Continuo PCI:

Servicio PCI Continuous Compliance

Nuestro servicio de cumplimiento continuo PCI DSS es un servicio basado en suscripción que ofrece un método atractivo y eficaz de validación de PCI-DSS, y tener acceso a un QSA durante todo el ciclo. Nuestro personal experto en PCI le ofrecerá orientación para el desarrollo y seguimiento de las tareas periódicas, y estará disponible durante todo el periodo para tratar cualquier problema o cuestión que se le plantee.

A continuación, se resumen los principales beneficios de nuestro servicio de cumplimiento continuo PCI:

  • Servicio basado en suscripción. Costes fijos
    Este modelo se basa en una cuota mensual fija, lo que le permite tener un presupuesto cerrado del proyecto PCI DSS al inicio del ciclo.
  • Soporte especializado PCI QSA
    El servicio garantiza la disponibilidad de un auditor QSA o consultor PCI para cualquier consulta durante el ciclo de gestión de mantenimiento PCI. Además, cualquier nuevo proyecto o cambio que afecte al entorno PCI puede ser pre-analizado en términos de impacto, e implementado con la garantía de que está alineado con los requisitos del estándar.
  • Reuniones periódicas con un experto PCI QSA
    Las reuniones periódicas con un QSA entrenan y capacitan a los recursos de la organización involucrados en la gestión PCI, lo que contribuye a que ésta se asimile como una cosa habitual dentro de su desempeño. Esto es especialmente importante en organizaciones sin recursos dedicados a este propósito. Estas reuniones también se pueden utilizar para discutir cualquier nuevo proyecto que pueda afectar al entorno de datos de tarjetas o a la forma en que se llevan a cabo los pagos.
  • Evaluación anual PCI al final del ciclo (opcional)
    En la cuota mensual se incluye la auditoria de la certificación PCI anual. En esta se verifican las evidencias y se rellena el SAQ, o se realiza la auditoría completa para aquellas organizaciones que requieran el informe de cumplimiento PCI (ROC). Esto da como resultado el documento de Certificación de Cumplimiento (AOC).
  • Garantiza la viabilidad de la siguiente certificación PCI
    Con este servicio se minimizan los riesgos de no pasar la siguiente auditoría PCI, ya que garantiza que los controles periódicos se hayan ejecutado correctamente y en tiempo, y que los resultados asociados (para los cuales se deben presentar evidencias durante la auditoría) cumplan con los requeridos por PCI DSS.
  • Reduce los tiempos de auditoría PCI
    Los plazos y esfuerzos de remediación en los procesos de evaluación se reducen drásticamente. Esto da como resultado que se garanticen los plazos de recertificación y validez de los AOC, evitando tensiones innecesarias con los clientes y/o entidades adquirentes.
  • Reducción gradual del costo del servicio
    Los costes asociados a este servicio se pueden reducir en los siguientes ciclos de certificación PCI, relegando la coordinación y revisión integral requerida en los ciclos iniciales a la simple supervisión regular de las actividades de mantenimiento de PCI y al soporte QSA.

La cuota mensual del servicio se establece en función de las necesidades de cada organización. Dentro de la cuota también se pueden incluir los 4 escaneos trimestrales ASV obligatorios, así como la auditoría PCI anual. Asimismo, también le podemos ayudar con las pruebas de pentesting y test de segmentación anual, con un precio especial para los clientes que contratan el servicio de cumplimiento continuo PCI. Si está interesado en obtener más información sobre cómo este servicio podría ayudar a su organización, póngase en contacto con nosotros en spain@fortytwo.nl o visite nuestro sitio web  www.fortytwo.n