PCI

PCIDSS40

Cumplimiento PCI – Reglas del Firewall

Si bien en nuestro país "parece" que el tema de cumplimiento PCI se ha relajado, no olvidemos que nuestros dos principales Administradores de Tarjetas debito/credito han entrado no hace mucho bajo la regulación y control de ASFI. Una ya ha certificado el pasado año su cumplimiento PCI y la otra este año. Ahora si, con los principales actores Certificados, el escenario cambia.

Esperamos que ahora se pase a la fas de hacer cumplir a los Entidades Financieras que ofrecen estos servicios.

No era muy razonable que se obligue a las Entidades Financieras cuando las Administradoras de tarjetas ni siquiera eran reguladas por ASFI. Creo que ahí se les fue un poco la lógica, dado que la principal fuente de Contaminación PCI no estaba cubierta.

Entonces la lectura hacia adelante es que se retome este control por parte del los reguladores. Aun si me equivocara, hacerlo no perjudica al negocio.

PCI tiene un enfoque de seguridad de tinte Minimalista!!. Mientras mas pequeño sea el ámbito PCI, el control es mejor. Mientras menos perjudiquen, la seguridad es mas administrable.

Uno de los puntos a controlar se refiere a las reglas del Firewall

Adjuntamos dos ejemplos, el primero un estado de no cumplimiento PCI

El segundo cuando las reglas han sido definidas. Por supuesto que a esta validación se debe acompañas las correspondientes políticas, normas y procedimientos.

Desde Yanapti recomendamos retomar o mantener los proyectos PCI. Al final la lógica binaria de cumplimiento ayuda mucho y despeja las eternas discusiones a las que llevan estándares como ISO 27001 o metodologías como COBIT cuando el Riesgo determina la dirección.

Con PCI el estado es Binario. Se tiene o no, independiente del riesgo. Este ayuda después de cumplir y no se usa como instrumento de escape.