👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 12.8
PCI DSS v4.0: 2.2.7, 2.3.1, 12.8.1, 12.8.2, 12.8.3, 12.8.4, 12.8.5
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer los lineamientos de seguridad para la revisión y selección de proveedores de servicios de terceros (TPSP, Third Party Service Providers, por sus siglas en inglés), que tengan contacto o trabajen de alguna manera con datos del titular de la tarjeta.
💡 Al comunicar e implementar esta política a todos los interesados, podrás reducir los potenciales riesgos de trabajar con terceros, y así contribuir con la protección de la información confidencial de la organización y la de tus clientes.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad, primero debes identificar los proveedores con los que estás trabajando dentro del entorno de certificación PCI DSS, y que transmitan, procesen o almacenen datos de tarjeta. Esto puede incluir proveedores de aplicaciones, sistemas, servicios tercerizados, etcétera.
Una vez identificados, ya podrás documentar los lineamientos más adecuados con los que vas a gestionar a estos proveedores. Y para ello, te recomendamos considerar los siguientes puntos:
Lineamientos generales que incluyan el inventariado de proveedores, la celebración de contratos, la definición adecuada de responsabilidades de cada una de las partes, la periodicidad de revisión con la que se evaluarán sus servicios, la verificación de su estado cumplimiento con el estándar PCI DSS, etcétera.
Lineamientos para la selección de proveedores, es decir que debes establecer cuáles serán los criterios pertinentes a evaluar a la hora de contratar nuevos proveedores, ya que debes garantizar que éstos puedan cumplir con tus necesidades de negocio y los requisitos de seguridad de la empresa.
💡 Estos lineamientos deben estar alineados con el Procedimiento de Revisión y Contratación de Proveedores que defina la empresa.
Lineamientos para la implementación de controles de seguridad, de manera que la empresa garantice la protección de la información compartida con los proveedores, se mantenga una comunicación adecuada en cuanto a incidentes o vulnerabilidades detectados, la concientización colectiva de manera continua sobre temas de seguridad, el cumplimiento de las obligaciones estipuladas, entre otras cosas.
La asignación de los roles y responsabilidades derivadas de esta política, para que el documento se mantenga actualizado en todo momento, alineado a las necesidades de la empresa y sea implementado correctamente por todos los responsables involucrados.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Gestiona y controla adecuadamente los accesos y permisos a tus sistemas que otorgues a proveedores o partes externas. Cualquier acceso debe tener una justificación o necesidad de negocio válida.
Recuerda que todo proveedor que procesa, transmite o almacena datos de tarjeta debe contar con su certificado PCI DSS.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.