👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 9.5.1.2
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer las tareas necesarias para la revisión correcta de los dispositivos de Punto de Interacción (POI), y con ello, poder prevenir vulnerabilidades técnicas, robo de información o algún otro tipo de incidente de seguridad.
Recuerda que para conocer más sobre estos dispositivos y su protección, recomendamos tomar la Capacitación de TPV/POS/PinPad.
💡 Las inspecciones regulares de estos dispositivos te ayudarán a detectar fácil y rápidamente las manipulaciones a través de evidencias externas, como por ejemplo la adición de un skimmer o lector de tarjeta, o incluso la sustitución de un dispositivo, reduciendo así el riesgo de utilizar dispositivos fraudulentos o alterados.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad y documentar tu procedimiento, te recomendamos aplicar los siguientes pasos:
Primero, define el tipo de inspección que realizarás sobre tus dispositivos. Esto dependerá de los dispositivos que utilices.
Por ejemplo, se pueden utilizar fotografías de dispositivos que se conoce que son seguros, y comparar el aspecto actual de tu dispositivo con el aspecto original y verificar si ha cambiado.
Otra opción puede ser utilizar un rotulador seguro, como un rotulador de luz ultravioleta, para marcar las superficies y las aberturas de los dispositivos, de modo que cualquier manipulación o sustitución sea evidente.
Los métodos de inspección periódica deben incluir la comprobación del número de serie y otras características del dispositivo, así como también la comparación de la información con la lista de dispositivos POI de la empresa para verificar que no ha sido intercambiado con un dispositivo fraudulento.
Genera un reporte de las revisiones realizadas.
Este reporte funge como evidencia de cumplimiento para demostrar que estás implementando revisiones periódicas a tus dispositivos.
Recuerda que las revisiones se pueden realizar con base en un checklist de los criterios mínimos a verificar del dispositivo. De esta forma, puedes generar un reporte de revisión fácilmente.
Recomendamos que las revisiones se realicen con una frecuencia adecuada para prevenir incidentes; por ejemplo diariamente o cada cambio de turno.
Capacita a tu personal sobre cómo notificar cualquier anomalía o falla de un dispositivo POI.
Para esto, sugerimos que se establezca un medio de comunicación adecuado, y la asignación de uno o más responsables que puedan atender estos reportes adecuadamente.
Define qué se debe hacer para realizar el cambio del dispositivo POI, cuando sea necesario.
Recuerda que, al detectar anomalías o fallas, se recomienda realizar el cambio del dispositivo lo más rápido posible.
Los responsables asignados para hacer el cambio deben estar correctamente capacitados, y siempre identificarse con las credenciales que lo acrediten como personal autorizado para realizar estas tareas.
Cuando el cambio del dispositivo se haya completado exitosamente, se debe notificar a todos los interesados pertinentes.
Actualiza el inventario de activos de la empresa, con la información del nuevo dispositivo POI.
Recuerda revisar y evaluar el nuevo dispositivo por medio del checklist o método de tu elección para asegurar que no ha sido alterado y que funciona correctamente. Posteriormente, recuerda generar el reporte de revisión.
Asegúrate de que el inventario de activos siempre cuente con la información más actualizada.
Resguarda los reportes y checklist realizados en la revisión de los dispositivos POI, ya que fungen como evidencia de cumplimiento que será muy importante para tu certificación PCI DSS.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Define correctamente tu checklist de revisión para los dispositivos POI, de manera que cubra todas las necesidades de seguridad de la empresa y a su vez, los requisitos del estándar PCI DSS.
No olvides ingresar la información al inventario de activos cuando se tengan nuevos dispositivos POI para asegurar que siempre esté actualizado, y por ende, que mantengas tu cumplimiento.
Revisa periódicamente si la información de los dispositivos POI que tienes registrada para seguimiento está correcta para evitar posibles errores o anomalías.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.