👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 12.8.1, 12.8.2, 12.8.3, 12.8.4, 12.8.5
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir y documentar cómo vas a seleccionar adecuadamente a los proveedores de servicios de terceros (TPSP, Third Party Service Providers, por sus siglás en inglés), cuáles son los aspectos más importantes a considerar para su contratación, y cómo vas a revisar su servicio para garantizar que estén alineados a tus necesidades de seguridad y de negocio, sobre todo de aquellos TPSP involucrados en la transmisión, procesamiento y almacenamiento de los datos de titular de la tarjeta.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad, te sugerimos realizar los siguientes pasos:
Comienza por identificar cuáles son los proveedores de servicio de terceros (TPSP) que son alcanzados por tu entorno PCI DSS.
Todos los proveedores identificados deben estar enlistados dentro de tu Inventario de Activos.
Es súper importante revisar que los contratos con estos proveedores cumplan con acuerdos en materia de seguridad de la información, confidencialidad, tratamiento de datos personales, entre otros temas que puedan ser relevantes para tu empresa.
Es importante también mencionar que un contrato o acuerdo con proveedores de tecnología puede ser la aceptación que diste de sus términos y condiciones, por lo que es muy importante para tu seguridad que los conozcas y que se alineen a tus necesidades.
En caso de que requieras buscar o cambiar un proveedor, ya sea porque necesitas cubrir una nueva necesidad o sustituir un servicio, debes realizar la evaluación correspondiente con los criterios que hayas definido, validar los acuerdos contractuales y analizar los potenciales riesgos que podrían estar asociados a esta contratación.
El análisis y evaluación del riesgo de la nueva contratación debe quedar documentada en tu Matriz de Riesgos.
Para validar el cumplimiento del proveedor, tanto con los requisitos de seguridad de tu empresa como con los de PCI DSS, debes realizar un análisis de los servicios y/o productos que deseas contratar, revisar cuales son los requisitos aplicables, y solicitar la evidencia de cumplimiento del estándar PCI DSS, asegurando que siga vigente.
En caso de que todo esté en orden, debes establecer los pasos para continuar con la firma o aceptación de los contratos o acuerdos pertinentes con los nuevos TPSP, actualizar el inventario de activos, y mantener un monitoreo constante de su cumplimiento y la evidencia proporcionada.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Siempre que cambies o contrates algún proveedor, recuerda actualizar el inventario de activos.
Solicita y revisa muy bien la evidencia de cumplimiento del proveedor en el estándar PCI DSS, tanto del certificado proporcionado, como de las respuestas de su SAQ.
Asigna un responsable que dé seguimiento, solicite la evidencia más actual de los proveedores y realice una revisión de los contratos cada trimestre.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.