Ir al contenido principal

37. Política de Seguridad Física y Ambiental

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 9.1.1, 9.1.2

  • PCI DSS v4.0: 9.1.1, 9.1.2, 9.2.2, 9.2.3, 9.2.4, 9.4.1, 9.4.1.1, 9.4.1.2, 9.4.5.1

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a establecer los lineamientos necesarios para implementar una adecuada seguridad física y ambiental, considerando las responsabilidades de los empleados, proveedores, visitantes y cualquier persona que desee ingresar a las instalaciones de la organización donde se procesan, transmiten y/o almacenan datos de tarjetahabientes.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad primero debes identificar las áreas y lugares de trabajo que deseas proteger y que sean alcanzados por tu certificación PCI DSS.

Posteriormente, debes establecer todos las medidas de seguridad física y ambiental que consideres pertinentes, y para ello te recomendamos considerar los siguientes aspectos:

  • Controles de seguridad para restringir el acceso físico a la organización.

    • Para lograr un adecuado control de accesos físicos se recomienda identificar los diferentes tipos de personas que pueden requerir entrar a las oficinas o instalaciones de la empresa, como por ejemplo colaboradores, proveedores y visitantes. Una vez conociendo esto, se podrán definir las medidas de seguridad más adecuadas para cada escenario.

    • Algunos ejemplos de estos controles de seguridad son el uso de credenciales o gafetes que identifiquen a los colaboradores, la previa autorización a visitantes, garantizando que exista un motivo de visita justificado, el uso y mantenimiento de una bitácora de accesos, etcétera.

  • Controles de seguridad para el acceso a las instalaciones.

    • Las instalaciones o áreas comunes de la empresa de igual forma deben estar debidamente protegidas, considerando controles como videovigilancia, revisión periódica de los sistemas de grabaciones, capacitación y concientización periódica al personal, instalación de alarmas, acceso solo a personal previamente autorizado, etcétera.

  • Controles de seguridad para el acceso a centros de procesamiento de datos y cuartos de telecomunicaciones.

    • Al ser áreas donde se manipula información confidencial, como lo son los datos del titular de la tarjeta, se deben considerar medidas de seguridad adicionales a las definidas para las instalaciones, como por ejemplo la restricción no solo de la entrada, sino también de la salida del personal, de equipos, de medios impresos que contengan información, etcétera, para garantizar y mantener la confidencialidad.

    • También se debe controlar y gestionar adecuadamente el acceso físico y lógico a las redes, sistemas, consolas o cualquier otro dispositivo que se encuentren en estas áreas.

    • Para los equipos y servicios de telecomunicaciones se recomienda garantizar que los cables (o cualquier otro elemento dentro de estos sistemas) estén correctamente identificados y segregados según su funcionalidad para evitar errores y/o daños.

De manera general, esta política debe contener todos los lineamientos pertinentes para implementar un adecuado perímetro de seguridad, un adecuado control de accesos físicos y lógicos, el nivel de protección apropiado de las áreas, tanto de aquellas que son comunes para todos los colaboradores, como de las que están restringidas, el mantenimiento del suministro de energía y de otros servicios básicos que se tienen dentro de las instalaciones de la organización.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Revisa y actualiza los lineamientos de esta política por lo menos una vez al año, para garantizar que están alineados a las necesidades reales de la empresa.

  • Comunica esta política a todos tus colaboradores y terceros interesados, para asegurar que sea implementada correctamente.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
FAQs - 5. Política de Seguridad de la Información
55. Política de Relación con Proveedores
57. Política de Seguridad de la Información 
38. Procedimiento de Seguridad Física
Política de Seguridad Física y Ambiental
¿Ha quedado contestada tu pregunta?