👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 12.11
PCI DSS v4.0: 12.4.2, 12.4.2.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer cómo se debe realizar la verificación de los controles implementados que dan cumplimiento a PCI DSS, siguiendo la periodicidad requerida para cada uno de ellos.
💡 Este procedimiento te permite también prepararte para próximas evaluaciones PCI DSS, y lograr nuevamente la certificación.
¿Qué tengo que hacer? 🚀
Antes que nada, es importante conocer los controles y/o elementos que debes revisar y la periodicidad solicitada por PCI DSS para mantener el cumplimiento y la certificación de la empresa.
A continuación, te mostramos los elementos más importantes a revisar:
Business as Usual (Control BAU de PCI DSS) |
Periodicidad: | Elementos a revisar: |
Diario | Revisión de logs de auditoría. Nota: A partir de marzo del 2025, de manera obligatoria, se deberá implementar una herramienta como SIEM. |
Mensual | Parches de seguridad. |
Trimestral | Escaneo de vulnerabilidades externo (ASV). |
Trimestral | Escaneo de vulnerabilidades interno. |
Trimestral | Pruebas de revisión de puntos de acceso inalámbricos. |
Trimestral | Búsqueda y eliminación de datos de tarjetas. |
Trimestral | Bloqueo de usuarios inactivos. |
Semestral | Revisión de reglas para los NSC (Network Security Controls) |
Semestral | Pruebas de segmentación (si aplica). |
Anual | Actualización documental. |
Anual | Revisión de diagrama de red. |
Anual | Revisión del alcance de certificación. |
Anual | Evaluación de riesgos. |
Anual | Pruebas de penetración. |
Anual | Programa de concientización del personal. |
Anual | Monitoreo de proveedores. |
Anual | Revisión de logs de almacenamiento. |
💡 Los controles y elementos a revisar dependen de la aplicabilidad que tengas en tu empresa, según el alcance de tu certificación.
Ahora bien, para documentar tu procedimiento te recomendamos aplicar los siguientes pasos:
Identifica cuáles son los requisitos de PCI DSS que aplican a tu empresa y que se encuentren dentro de tu certificación, y posteriormente deberás enlistarlos en un documento.
Hackmetrix te proporciona un template de Matriz de Controles PCI DSS que puede facilitarte esta actividad 🙌🏼.
Algunos ejemplos de las revisiones a realizar son los registros de auditoría, los reportes de escaneos o informes de exploración de vulnerabilidades, los conjuntos de reglas de los NSC (Network Security Controls) como los firewalls, WAFs, etcétera.
Solicita evidencia del cumplimiento de cada uno de los controles aplicables, previamente identificados, para asegurar que todo está en orden.
Para obtener estas evidencias, debes solicitar a las áreas responsables involucradas la evidencia que respalde la implementación de las políticas y procedimientos definidos por la empresa.
Evalúa la evidencia proporcionada por las áreas responsables para asegurar que sea adecuada, correcta y que cumpla con los requisitos de seguridad, como por ejemplo:
Que las capturas de pantalla sean en formato fuente de imagen (utilizar herramienta de recortes o print screen).
Que la captura muestre todo el escritorio o pantalla, con el objetivo de que se visualice la fecha y hora.
Que los resultados de retest de los escaneos de vulnerabilidades sean aprobatorios.
Genera un reporte con los resultados obtenidos, las evidencias recolectadas, los incumplimientos encontrados, observaciones, etcétera.
Esto te permitirá llevar un seguimiento adecuado de las revisiones realizadas, así como también te sirven como evidencia de que las revisiones se aplican según lo establecido.
Resguarda los reportes y las evidencias en un repositorio seguro y oficial de la organización, que te permita tenerlos disponibles para atender las auditorías y requerimientos de seguridad de PCI DSS.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Revisa solo los controles de PCI DSS que son aplicables dentro de tu empresa, y de acuerdo a tu alcance de certificación.
Recuerda que debes solicitar y revisar toda la evidencia que consideres pertinente para asegurarte de que sea la correcta y que pueda dar cumplimiento a la evaluación.
Realiza una agenda de revisión para programar con anticipación tus evaluaciones trimestrales, o de cualquier otra periodicidad.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.