Ir al contenido principal

33. Procedimiento de Gestión de Accesos

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 7.1, 8.1

  • PCI DSS v4.0: 7.1.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.5, 7.2.5.1, 7.2.6, 8.1.1, 8.2.5, 8.3.8, 8.3.11, 8.6.3

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para establecer e implementar un procedimiento que te permita garantizar la segregación y asignación correcta de los accesos y permisos a tus sistemas, activos y aplicaciones que almacenan, procesan y/o transmiten datos de tarjetahabiente.

¿Qué tengo que hacer? 🚀

Para comenzar esta actividad, te recomendamos leer en su totalidad el template que te proporcionamos para comprender todos los aspectos que debe considerar tu procedimiento.

Los aspectos mínimos que debes definir son los siguientes:

  • Cómo se deben levantar y recibir las solicitudes de acceso dentro de tu organización.

    • Debes definir cómo tus colaboradores pueden solicitar acceso a tus sistemas.

    • Esto puede ser, por ejemplo, por medio de un formulario que recopile toda la información relevante, por medio de un correo electrónico donde se envíe un formato especial para la solicitud, etcétera.

    • Recuerda que las solicitudes pueden ser para dar de alta o baja a los usuarios, o para modificaciones en sus accesos y/o permisos por cambio de funciones.

📝 Por ejemplo, tenemos el siguiente caso:

Juan Pérez, que tiene un rol como auxiliar administrativo en el área de Finanzas solo tiene accesos de “vista” en el sistema MyFinance utilizado por la empresa, con el cual solo hace revisión de nóminas. Pero recientemente ha recibido un ascenso para ser analista de finanzas, por lo que sus permisos dentro del sistema deben cambiar para que también pueda realizar cambios o ajustes.

El formato de su solicitud que enviará por correo electrónico debería verse así:

Fecha: 10/03/2024

Tipo de solicitud: Modificación de permisos

Nombre del solicitante: Juan Pérez

Nombre de quién requiere el acceso: Juan Pérez

Tipo de permiso requerido: De edición

Sistema(s) involucrado(s): MyFinance

Justificación: Por cambio de puesto, se requiere el permiso de edición dentro del sistema para poder ejercer las nuevas funciones asignadas.

  • Cómo se debe analizar la solicitud para autorizarla, y quién será el responsable de esto.

    • Para asignar al responsable más adecuado para analizar la solicitud te recomendamos considerar al dueño del activo involucrado, al administrador del sistema, al líder del área Tecnología, al jefe directo de la persona solicitante y/o de la persona que requiere el acceso, o alguien con un puesto similar que pueda decidir sobre los sistemas y otorgar accesos.

    • También es importante involucrar al Oficial de Seguridad de la Información (OSI) o al encargado de seguridad dentro de tu empresa, para que esté enterado de los cambios y pueda realizar las acciones de registro y/o revisión pertinentes.

    • Para el análisis de la solicitud es muy importante corroborar que la justificación sea válida para evitar incidentes de seguridad y una mala segregación de accesos y permisos.

    • Recomendamos que si la solicitud no puede ser autorizada, ésto se notifique por el mismo medio por el que se realizó la solicitud, indicando los motivos de rechazo.

  • Cómo se deben otorgar los accesos y/o permisos.

    • El responsable asignado debe realizar las acciones necesarias dentro del activo o sistema para cumplir con lo solicitado.

    • Una vez aplicadas dichas acciones, se debe generar y compartir la evidencia pertinente con todos los interesados. ¡Recuerda que esto es súper importante durante una auditoría!

  • Cómo se deben registrar las acciones realizadas.

    • Los accesos y permisos otorgados al usuario nuevo o ya existente deben quedar registrados, y para ello debes ir a tu Matriz de Accesos y generar una actualización con esta información, colocando el nombre de la persona y su puesto, e indicando el permiso que tiene asignado en cada uno de los sistemas.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Recuerda que esto debe estar alineado a Política de Accesos y Contraseñas y a tus operaciones reales, pero sin dejar de considerar la implementación de medidas de seguridad que te ayuden a tener un procedimiento eficiente y estar en cumplimiento.

  • Debes revisar, por lo menos una vez al año, que el contenido de este procedimiento siga vigente.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
20. Procedimiento de Gestión de Accesos
21. Procedimiento de Revisión de Accesos
Procedimiento de Gestión de Accesos
Procedimiento de Revisión de Accesos
Procedimiento de Acceso, Corrección y Borrado de Datos Personales
¿Ha quedado contestada tu pregunta?