GAP Análisis PCI DSS

1          INTRODUCCIÓN

El uso de tarjetas de débito y crédito con alcance internacional obligan a cumplir con estándares definidos por las grandes marcas mediante El PCI Security Standards Council. El más relevante en materia de seguridad PCI DSS establece diferentes requisitos tanto de gestión como técnicos con la finalidad de precautelar la información de los tarjeta-habientes en el sistema de medios de pago.

Figura 1: Tipos de Datos en Tarjetas

2          OBJETIVOS

2.1          OBJETIVO GENERAL

Desarrollar en conjunto con el cliente actividades para la implementación de los estándares de seguridad PCI DSS que corresponda al tipo de operaciones existentes con los medios de pago con la finalidad de estar preparados para la Auditoria de Cumplimiento PCI DSS

2.2          OBJETIVOS ESPECÍFICOS

Se plantean objetivos específicos en virtud de la experiencia y conocimientos de estos procesos:

  • FASE 1: Analizar el Ámbito PCI previamente definido y determinar desviaciones.
  • FASE 2: Acotar lo más posible el Ámbito PCI del Cliente
  • FASE 3: Adecuación PCI del Ámbito PCI acotado
  • FASE 4: Pre auditoria de cumplimiento – SAQ 

3          ALCANCE Y ENTREGABLES

La adecuación de la infraestructura de seguridad a los requisitos PCI DSS ha sido definida por fases con sus correspondientes entregables:

3.1          FASE 1: ESTABLECER O VALIDAR ÁMBITO PCI

Mediante la revisión de los procesos operativos y tecnológicos del cliente, determinar el AMBIO PCI o validar el alcance definido por el cliente.

3.2          ENTREGABLE FASE 1

Ámbito PCI REAL VALIDADO

3.3          FASE 2: ASESORAR PARA ACOTAR ÁMBITO PCI

Una vez determinado el ámbito real, esta fase está orientada a minimizar lo más posible los procesos donde se operen con datos de tarjetas que estén protegidos por normativa. En esta fase se pretende realizar un análisis de necesidades por procesos y donde no se pueda establecer una necesidad de negocio, se propondrá medios alternativos para no comprometer los datos en cuestión.

3.4          ENTREGABLE FASE 2

Propuesta de Ámbito PCI Acotado al máximo.

3.5          FASE 3: ASESORAR PARA ADECUAR ÁMBITO PCI

En esta fase se propone asesorar al cliente para lograr el cumplimiento de PCI DSS al ámbito PCI acotado.

3.6          ENTREGABLE FASE 3

Matriz de adecuación del ámbito PCI acotado contra los objetivos de control definidos por PCI DSS. Esta fase puede presentar ciertas demoras en casos donde se requiera infraestructura, dispositivos, pero podría dejarse únicamente a nivel de Plan de Acción.

3.7          FASE 4: EVALUAR CUMPLIMIENTO

En esta fase la tarea consiste en simular una auditoria de pre certificación o también denominada SAQ – Self Assestment Questionary tomando en cuenta todos los requisitos, métodos y consideraciones que hace un organismo de Certificación QSA, durante esta fase.

3.8          ENTREGABLE FASE 4

Informe de pre auditoria SAQ, con No conformidades potenciales y recomendaciones de remediación.

En esta fase se hace una superposición del Ámbito PCI acotado contra los 12 requisitos de seguridad identificados en PCI DSS.

FASE 3.1: GAP PCI

En una primera fase este proceso establece las brechas de adecuación PCI.

Figura 2: Requisitos PCI DSS

FASE 3.2: ADECUACIÓN PCI

En una segunda fase se recomienda y acompaña en la aplicación de medidas técnicas para minimizar las brechas o en su defecto plantear desviaciones temporales y plan de acción.

Figura 3: Matriz de cumplimiento y adecuación

ENTREGABLE FASE 3

Se tienen dos entregables:

FASE 4: EVALUAR CUMPLIMIENTO

En esta fase se plantea realizar un simulacro muy estricto de una auditoria de certificación donde se espera tener como resultado todas las posibles observaciones antes de la auditoria de certificación.

Se aplican las recomendaciones PCI

Figura 4: Documentos relacionados con el SAQ

4.8          ENTREGABLE FASE 4

Informe de pre auditoria con No conformidades potenciales y recomendaciones de remediación. Con la premisa de ser lo más estrictos posibles en términos de cumplimiento y adecuación. Generalmente en esta etapa se destinan recursos humanos complementarios y diferentes a los empleados en la fase de implementación.

5           CREDENCIALES DE EXPERIENCIA ESPECIFICA

A continuación, algunos de los servicios otorgados en lo que al Servicio ISO 27001 se refieren. Estos servicios demuestran más allá de certificaciones teóricas, la experiencia real de nuestro equipo.

  AñoNOMBRE DEL CLIENTESERVICIOS PRESTADOS
12001 – 2012Banco Los Andes ProcreditEvaluación y Adecuación PCI
22012Banco Solidario SAEvaluación de cumplimiento y Adecuación PCI
32012Mutual La PrimeraEvaluación de cumplimiento y Adecuación PCI
42012Cliente BISACapacitación y entrenamiento PCI DSS
52013Banco Los Andes ProcreditEvaluación de cumplimiento PCI DSS
62014Banco Los Andes ProcreditEvaluación de cumplimiento PCI DSS
72015Banco Los Andes ProcreditEvaluación de cumplimiento PCI DSS
82016Banco Los Andes ProcreditEvaluación de cumplimiento PCI DSS
92017EFV La PrimeraAuditoria de cumplimiento PCI DSS en el Proyecto de Core Financiero
10  2017 – 2020Banco GanaderoAdecuación PCI DSS

 

Compartimos algunos recuerdos del año 2011, cuando a iniciativa de Yanapti SRL se realizo un evento de PCI DSS para todas las Entidades Financieras con apoyo de empresas internacionales y la AUTORIDAD DE REGULACIÓN DEL SISTEMA FINANCIERO – ASFI

En el siguiente video mostramos unos TIPs de este servicio. Cosecha de los trabajos realizados.

Anécdotas de la Consultoria con PCI DSS

PCI DSS no trae cosas nuevas, pero si tiene un respaldos de marcas, muy fuerte!

Salir de la versión móvil