1 INTRODUCCIÓN
El uso de tarjetas de débito y crédito con alcance internacional obligan a cumplir con estándares definidos por las grandes marcas mediante El PCI Security Standards Council. El más relevante en materia de seguridad PCI DSS establece diferentes requisitos tanto de gestión como técnicos con la finalidad de precautelar la información de los tarjeta-habientes en el sistema de medios de pago.
Figura 1: Tipos de Datos en Tarjetas
2 OBJETIVOS
2.1 OBJETIVO GENERAL
Desarrollar en conjunto con el cliente actividades para la implementación de los estándares de seguridad PCI DSS que corresponda al tipo de operaciones existentes con los medios de pago con la finalidad de estar preparados para la Auditoria de Cumplimiento PCI DSS
2.2 OBJETIVOS ESPECÍFICOS
Se plantean objetivos específicos en virtud de la experiencia y conocimientos de estos procesos:
- FASE 1: Analizar el Ámbito PCI previamente definido y determinar desviaciones.
- FASE 2: Acotar lo más posible el Ámbito PCI del Cliente
- FASE 3: Adecuación PCI del Ámbito PCI acotado
- FASE 4: Pre auditoria de cumplimiento – SAQ
3 ALCANCE Y ENTREGABLES
La adecuación de la infraestructura de seguridad a los requisitos PCI DSS ha sido definida por fases con sus correspondientes entregables:
3.1 FASE 1: ESTABLECER O VALIDAR ÁMBITO PCI
Mediante la revisión de los procesos operativos y tecnológicos del cliente, determinar el AMBIO PCI o validar el alcance definido por el cliente.
3.2 ENTREGABLE FASE 1
Ámbito PCI REAL VALIDADO
3.3 FASE 2: ASESORAR PARA ACOTAR ÁMBITO PCI
Una vez determinado el ámbito real, esta fase está orientada a minimizar lo más posible los procesos donde se operen con datos de tarjetas que estén protegidos por normativa. En esta fase se pretende realizar un análisis de necesidades por procesos y donde no se pueda establecer una necesidad de negocio, se propondrá medios alternativos para no comprometer los datos en cuestión.
3.4 ENTREGABLE FASE 2
Propuesta de Ámbito PCI Acotado al máximo.
3.5 FASE 3: ASESORAR PARA ADECUAR ÁMBITO PCI
En esta fase se propone asesorar al cliente para lograr el cumplimiento de PCI DSS al ámbito PCI acotado.
3.6 ENTREGABLE FASE 3
Matriz de adecuación del ámbito PCI acotado contra los objetivos de control definidos por PCI DSS. Esta fase puede presentar ciertas demoras en casos donde se requiera infraestructura, dispositivos, pero podría dejarse únicamente a nivel de Plan de Acción.
3.7 FASE 4: EVALUAR CUMPLIMIENTO
En esta fase la tarea consiste en simular una auditoria de pre certificación o también denominada SAQ – Self Assestment Questionary tomando en cuenta todos los requisitos, métodos y consideraciones que hace un organismo de Certificación QSA, durante esta fase.
3.8 ENTREGABLE FASE 4
Informe de pre auditoria SAQ, con No conformidades potenciales y recomendaciones de remediación.
En esta fase se hace una superposición del Ámbito PCI acotado contra los 12 requisitos de seguridad identificados en PCI DSS.
FASE 3.1: GAP PCI
En una primera fase este proceso establece las brechas de adecuación PCI.
Figura 2: Requisitos PCI DSS
FASE 3.2: ADECUACIÓN PCI
En una segunda fase se recomienda y acompaña en la aplicación de medidas técnicas para minimizar las brechas o en su defecto plantear desviaciones temporales y plan de acción.
Figura 3: Matriz de cumplimiento y adecuación
ENTREGABLE FASE 3
Se tienen dos entregables:
FASE 4: EVALUAR CUMPLIMIENTO
En esta fase se plantea realizar un simulacro muy estricto de una auditoria de certificación donde se espera tener como resultado todas las posibles observaciones antes de la auditoria de certificación.
Se aplican las recomendaciones PCI
Figura 4: Documentos relacionados con el SAQ
4.8 ENTREGABLE FASE 4
Informe de pre auditoria con No conformidades potenciales y recomendaciones de remediación. Con la premisa de ser lo más estrictos posibles en términos de cumplimiento y adecuación. Generalmente en esta etapa se destinan recursos humanos complementarios y diferentes a los empleados en la fase de implementación.
5 CREDENCIALES DE EXPERIENCIA ESPECIFICA
A continuación, algunos de los servicios otorgados en lo que al Servicio ISO 27001 se refieren. Estos servicios demuestran más allá de certificaciones teóricas, la experiencia real de nuestro equipo.
| Nº | Año | NOMBRE DEL CLIENTE | SERVICIOS PRESTADOS |
| 1 | 2001 – 2012 | Banco Los Andes Procredit | Evaluación y Adecuación PCI |
| 2 | 2012 | Banco Solidario SA | Evaluación de cumplimiento y Adecuación PCI |
| 3 | 2012 | Mutual La Primera | Evaluación de cumplimiento y Adecuación PCI |
| 4 | 2012 | Cliente BISA | Capacitación y entrenamiento PCI DSS |
| 5 | 2013 | Banco Los Andes Procredit | Evaluación de cumplimiento PCI DSS |
| 6 | 2014 | Banco Los Andes Procredit | Evaluación de cumplimiento PCI DSS |
| 7 | 2015 | Banco Los Andes Procredit | Evaluación de cumplimiento PCI DSS |
| 8 | 2016 | Banco Los Andes Procredit | Evaluación de cumplimiento PCI DSS |
| 9 | 2017 | EFV La Primera | Auditoria de cumplimiento PCI DSS en el Proyecto de Core Financiero |
| 10 | 2017 – 2020 | Banco Ganadero | Adecuación PCI DSS |
Compartimos algunos recuerdos del año 2011, cuando a iniciativa de Yanapti SRL se realizo un evento de PCI DSS para todas las Entidades Financieras con apoyo de empresas internacionales y la AUTORIDAD DE REGULACIÓN DEL SISTEMA FINANCIERO – ASFI
En el siguiente video mostramos unos TIPs de este servicio. Cosecha de los trabajos realizados.
PCI DSS no trae cosas nuevas, pero si tiene un respaldos de marcas, muy fuerte!
