👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 3.5, 3.6
PCI DSS v4.0: 3.4.1, 3.4.2, 3.5.1, 3.5.1.1, 3.6.1, 3.6.1.2, 3.7.1, 3.7.2, 3.7.3, 3.7.4, 3.7.5, 3.7.6, 3.7.7, 3.7.8
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayuda a establecer los pasos necesarios que te permitirán llevar una adecuada gestión de las claves criptográficas usadas por la empresa para proteger y cifrar la información sensible que es almacenada, procesada y transmitida.
💡 Utilizar protocolos de encriptación para proteger datos del titular de la tarjeta que son confidenciales durante el almacenamiento y transmisión te ayuda a robustecer mucho la seguridad de tu información.
¿Qué tengo que hacer? 🚀
Para crear este documento debes definir los criterios, lineamientos y flujos de trabajo que se llevarán a cabo para la gestión de claves criptográficas dentro de tu organización, y para ello te sugerimos considerar las siguientes actividades:
Solicitud de claves. Es importante definir cómo se deben solicitar estas claves y qué información se debe proporcionar en dicha solicitud, como por ejemplo el nombre del solicitante, la justificación de la necesidad de claves, el uso que se les dará, etcétera.
💡 Para cumplimiento de PCI DSS, los responsables de solicitar nuevas claves son aquellos que firmaron y aceptaron sus funciones en un Acta de Custodios.
Revisión y autorización de la solicitud. Revisar la información brindada en la solicitud y definir los criterios de aceptación es un filtro de seguridad importante para asegurarnos que los datos de tarjeta estarán protegidos, y que se les dará un buen uso a las claves criptográficas. Además, debes asignar un área o persona responsable de autorizar las solicitudes. Con esto podrás tener una gestión adecuada de las claves, dando cumplimiento a los requisitos normativos.
Generación y notificación. Con ayuda del equipo de Tecnología o área equivalente dentro de tu empresa, deberán establecer cómo se generan estas claves, cómo deben ser entregadas, y las posibles restricciones que se deben tener en cuenta a la hora de ejecutar este paso. Además, es esencial comunicar las medidas de seguridad que se deben aplicar para dar buen uso de las claves.
Monitoreo. Recomendamos monitorear el uso de las claves criptográficas de manera periódica para identificar a tiempo cualquier uso indebido, anomalía o actividad sospechosa. También será importante indicar las acciones a realizar en caso de encontrar dichas irregularidades y documentar la aplicación de estas revisiones, ya que te servirán como evidencia de cumplimiento.
Además de las etapas de gestión anteriores, te recomendamos definir lineamientos de seguridad para la renovación, revocación, eliminación, custodia y recuperación de claves, según las necesidades de la empresa.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Revisa y actualiza periódicamente este documento para que se mantenga eficiente, y alineado al contexto y necesidades de tu organización.
Asegúrate de que este procedimiento esté alineado a lo establecido en tu Política de Gestión de Claves Criptográficas y Política de Tratamiento de la Información para garantizar su cumplimiento.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.