Ir al contenido principal

2. Diagrama de flujo de datos

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 1.1.3

  • PCI DSS v4.0: 1.2.4

¿Para qué me sirve esta actividad? 📚

Esta actividad te permite identificar, por medio de un diagrama de flujo, cómo interactúan las áreas de tu empresa, los procesos de negocio y los componentes tecnológicos por los cuáles pasan datos de tarjeta, con el objetivo de identificar el alcance que tendrá tu certificación PCI DSS. Además, te permitirá validar si la interacción de estos datos con las áreas de la empresa y demás elementos, efectivamente es la más adecuada.

💡 Para cumplimiento del estándar PCI DSS, los diagramas de flujo de datos se deben mantener precisos y cumpliendo lo siguiente:

  • Muestran todos los flujos de datos de la cuenta a través de los sistemas y las redes involucradas.

  • Se actualizan según sea necesario ante cambios en el entorno PCI DSS.

¿Qué tengo que hacer? 🚀

📣 Antes de comenzar, debes saber que para esta actividad no proporcionamos un template.

Realizar un diagrama de flujo puede llegar a ser algo complicado, así que te recomendamos que la persona a cargo de hacer esta actividad cuente con un amplio conocimiento de los procesos de pagos, o usos de datos de tarjeta dentro de tu empresa.

💡 También se puede solicitar a un representante de cada una de las áreas involucradas que documente su flujo correspondiente y con esto, asegurarte que tienes toda la información necesaria.

Ahora bien, para crear tu diagrama fácilmente solo debes aplicar los siguientes pasos:

  1. Elige la herramienta de tu preferencia para modelar tu diagrama. Puede ser por ejemplo Lucidchart, Cacoo, Draw.io, Miro, etcétera.

  2. Identifica todos los procesos, componentes y conexiones que transmiten, procesan y/o almacenan datos de tarjeta para conocer el flujo que realiza esta información dentro de tu organización.

  3. ¡Comienza a diagramar! Te recomendamos utilizar los símbolos adecuados a la metodología de diagramado que estés usando, los adecuados para cada componente, los más apropiados a tu servicio de nube y tus operaciones, etcétera.

Aplicando los pasos anteriores, puedes realizar tu diagrama de varias formas:

  • Haciendo un diagrama sencillo indicando el flujo que llevan los datos de tarjeta, como se ve en el siguiente ejemplo:

El ejemplo anterior se obtiene del artículo de Lucidhart: Qué es un diagrama de flujo de datos, el cuál recomendamos leer para más información sobre esta metodología.

  • Indicando el flujo de datos dentro del diagrama de infraestructura de la empresa, como se ve en el siguiente ejemplo:

En el ejemplo anterior, las flechas en color verde corresponden al flujo de datos de tarjeta que se lleva a cabo dentro de la infraestructura.

Para más información sobre cómo crear un diagrama de infraestructura, recomendamos leer nuestro artículo: Guía completa para crear tu diagrama de infraestructura ✨.

💡 Puedes añadir otros indicadores, colores, símbolos o lo que consideres necesario para que tu diagrama sea lo más claro posible.

Recuerda que, para que el diagrama cumpla con su objetivo principal debes asegurarte de que muestre los flujos de datos de tarjeta entre los sistemas y las redes de la empresa, incluyendo los procesos de autorización, captura, liquidación, contracargos y otros procesos donde apliquen datos de tarjeta.

Además, para garantizar su adecuado seguimiento debe incluir un control de versiones indicando el colaborador que lo elabora, colaborador que lo aprueba, y las fechas de actualización. Para esto, puedes tomar como referencia los cuadros de versionado que te proponemos en nuestros templates 🙌🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

Recomendaciones ✅

  • Actualiza tu diagrama de flujo siempre que sea necesario y ante cualquier cambio significativo.

  • Menciona y/o indica dentro del diagrama si almacenan datos de tarjeta completos, o solo se almacenan los últimos dígitos.

  • Implementa todas las herramientas o medidas de seguridad que consideres pertinentes para proteger los datos de tarjeta durante todo el flujo.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
1. Definición de alcance y descripción de los procesos de negocio con tarjeta de pago
3. Diagrama de red
5. Lineamientos de Seguridad de Red
19. Puntos de revisión para Requisito 3
Diagrama de flujo de datos
¿Ha quedado contestada tu pregunta?