👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 9.9
PCI DSS v4.0: 9.5.1.3
¿Para qué me sirve esta actividad? 📚
Esta actividad servirá para concientizar y capacitar a tu personal sobre el uso y revisión adecuados de los diferentes dispositivos TPV (Terminales de Punto de Venta, POS por sus siglas en inglés), PinPad, etcétera para garantizar el cumplimiento del estándar PCI DSS.
💡 Asegurarse de que el personal conozca los mecanismos y las personas adecuadas para denunciar comportamientos sospechosos (por ejemplo, un gerente u oficial de seguridad) ayudará a reducir la probabilidad y el impacto potencial de que un dispositivo sea manipulado o sustituido. Esta capacitación debe tomarse inmediatamente después de contratar el dispositivo y hacerla por lo menos, una vez al año.
¿Qué tengo que hacer? 🚀
Si manejas algún dispositivo TPV/POS/PinPad, debes incluir este taller dentro de tu programa de capacitación periódico, para asegurar que el personal de tu empresa sea capaz de detectar indicios de alteración o sustitución, y esté debidamente concientizado.
Para completar esta actividad, solo debes solicitar a tu Customer Success Manager el material de apoyo que te proporciona Hackmetrix, el cual debe ser compartido con todo tu personal que maneje y/o trabaje con estos dispositivos.
Los temas más importantes a abordar para asegurar que tu personal se capacite adecuadamente, son lo siguientes:
Cómo revisar un dispositivo TPV/POS/PinPad para detectar alteraciones.
Cómo identificar una tarjeta falsa.
Pasos a seguir para la identificación de personas que pueden revisar o cambiar los dispositivos.
Cómo reportar incidentes de seguridad.
Cómo identificar comportamientos sospechosos cerca del dispositivo (por ejemplo, personas desconocidas que intentan desconectar o abrir el dispositivo).
Algunos de los incidentes más comunes que pueden ocurrir si el personal no está debidamente capacitado son los siguientes:
No se identifica al personal falso que solicita revisar y actualizar dispositivos.
Se recibe un dispositivo "nuevo", el cual está alterado, con la instrucción de cambiarlo por el dispositivo legítimo, con el objetivo de robar información.
Personas desconocidas intentan desenchufar o abrir dispositivos.
Falsificación o cambios no autorizados de los dispositivos.
Cambios de componentes en los dispositivos.
Se recomienda considerar e identificar otros posibles incidentes de seguridad, de acuerdo a los dispositivos usados por la empresa, y con ello definir las acciones adecuados a tomar para que el personal a cargo sepa cómo debe actuar ante estas situaciones.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable), que corresponde al listado del personal que se capacitó y la presentación o material de los temas de capacitación utilizados.
Recomendaciones ✅
Las capacitaciones se deben realizar por lo menos anualmente, por lo que es muy importante actualizar periódicamente el material y/o cualquier recurso de apoyo asociado, si es necesario.
Si las capacitaciones ya se encuentran programadas, verifica la posibilidad de que no pase mucho tiempo antes de capacitar a los nuevos colaboradores, de manera que puedan comenzar a realizar sus actividades con el menor riesgo posible.
Asegúrate de que todos los participantes en la capacitación comprendan los temas impartidos y, en caso de ser necesario, tengan un espacio dedicado para resolver cualquier duda.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.