Breaking

Post Top Ad

Your Ad Spot

lunes, 5 de agosto de 2019

Controles de prueba y recopilación de evidencia

Seguridad


Mantenerse al día con el cumplimiento de PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) no es fácil. De hecho, el 80% de las empresas no aprueban sus evaluaciones PCI DSS, según un informe de 2017 de Verizon . Para el 20% que logra aprobar, solo el 29% mantiene el cumplimiento después de un año.
Al igual que cualquier requisito de seguridad de la información, el cumplimiento de PCI DSS no es una tarea única, sino un proceso continuo. El éxito está reservado para empresas vigilantes.
Para las empresas que desean seguir funcionando, el cumplimiento es una necesidad, no un lujo. Las sanciones ad hoc por incumplimiento pueden ser considerables y limítrofes. Siempre que se tome en serio la planificación y la preparación, será bastante fácil obtener la codiciada certificación de cumplimiento (AOC) o el informe de cumplimiento (ROC).
¿Cómo haces eso? Antes de cada autoevaluación o auditoría de PCI DSS, debe probar los controles que ha implementado en el entorno de datos del titular de la tarjeta (CDE), atender cualquier problema que surja y documentar la evidencia de que los controles funcionan según las expectativas.
Algunas de las mejores prácticas son:
  • Probar los controles del sistema y el sistema organizativo con frecuencia
  • Realización de escaneos trimestrales de la red con la ayuda de un proveedor de escaneo aprobado (ASV)
  • Realizar evaluaciones o auditorías anuales en el sitio
  • Documentar las pruebas de sistemas y controles de su organización
  • Documentar las políticas, actividades y procedimientos que ha colocado en torno a la transmisión, el procesamiento y el almacenamiento de los datos del titular de la tarjeta o de la tarjeta de crédito.
Cuando haya terminado con los pasos anteriores, asegúrese de transmitir la evidencia de cumplimiento y los resultados de las pruebas al Asesor de seguridad calificado (QSA) que auditará su negocio. De lo contrario, corre el riesgo de:
  • Aumentar el costo de auditar su negocio ya que el auditor no tendrá otra opción que recopilar estos documentos por su cuenta.
  • Incurrir en multas considerables derivadas del incumplimiento si falla una autoevaluación o auditoría. Una vez que haya probado sus controles y reparado cualquier falla, eliminará cualquier posibilidad de incumplimiento, lo que facilitará la obtención de su ROC o validación.
  • En el peor de los casos, puede perder sus derechos de aceptar pagos con tarjeta de crédito como empresa, lo que puede ser un golpe devastador en la era digital.
Independientemente de si ya había realizado las pruebas o no, aún debe realizarlas antes de cada auditoría. Cualquier evidencia sobre el cumplimiento de PCI DSS que proporcione debe ser actual.

PCI DSS en pocas palabras y por qué es importante el cumplimiento

En términos simples, PCI DSS es un par de requisitos de seguridad de datos que tanto los proveedores de servicios como los comerciantes deben cumplir para procesar los datos de la tarjeta de crédito. Las regulaciones fueron redactadas por el PCI SSC (PCI Security Standard Council), un consejo compuesto por las principales marcas de tarjetas de crédito, incluidas Visa, JCB, Discover, American Express y MasterCard.
El objetivo principal del estándar es mantener los estándares de alta seguridad en torno a los datos de los titulares de tarjetas y tarjetas de crédito, protegiéndolos de las violaciones de datos. Los comerciantes y cualquier entidad que les brinde servicios deben mantener un cumplimiento continuo por parte de sus bancos adquirentes (las instituciones financieras que encabezan el procesamiento de las transacciones con tarjeta de crédito).
Probar la seguridad de extremo a extremo de su sistema de pago con frecuencia es fundamental para cumplir con estos requisitos.

Cómo probar y reunir evidencia

Idealmente, los controles que necesita configurar, y la prueba se centrará en la red de transacciones de su tarjeta de pago. Esto incluye su sistema de punto de venta, la ubicación de almacenamiento de los datos de la tarjeta de crédito, el sistema para procesar su información de pago, el cifrado de sus datos confidenciales y mucho más.
  • La evaluación de riesgos es crítica para mantener el cumplimiento de PCI DSS. Con una evaluación de riesgos en toda la organización, será fácil crear un entorno con el nivel deseado de seguridad para la tarjeta de crédito y los datos del titular de la tarjeta. Asegúrate de que la evaluación que realices sea la causa de los riesgos en torno a los datos de la tarjeta de crédito y que documentas cualquier remedio que elijas.
  • Los requisitos de cumplimiento de PCI DSS describen los controles que debe configurar para cumplir. Hay 281 requisitos que se pueden agrupar en 12 categorías. Abordan la segmentación de la red, el cifrado, la eliminación de datos, la capacitación sobre conciencia de seguridad y la seguridad de datos de terceros, entre muchos otros aspectos de un sistema de seguridad estelar. Por ejemplo, las directivas describen que debería estar utilizando Transport Layer Security (TLS) para el cifrado en lugar de Secure Socket Layer (SSL).
  • La prueba de penetración de su CDE es una necesidad, independientemente de si lo hace internamente o con la ayuda de un tercero calificado e independiente. Las pruebas deben tener como objetivo buscar lagunas en el sistema de seguridad y los procesos en torno a su sistema de tarjeta de pago.
  • Las pruebas de segmentación, una parte de las pruebas de penetración, son una necesidad para las empresas que segmentan su CDE de otras partes de su red. El objetivo es garantizar que los métodos de segmentación establecidos funcionen según las expectativas a la hora de aislar el CDE de los otros sistemas.
Después de probar y verificar que los controles que tiene establecidos funcionan según las expectativas, el siguiente paso es presentar su esfuerzo de cumplimiento preparando una pista de auditoría de documentos. La documentación incluye registros del sistema y de la red, correos electrónicos, políticas, protocolos, configuraciones de red, procedimientos, arquitecturas del sistema y cualquier material escrito que pueda actuar como evidencia de cómo ha protegido su CDE.

Considere trabajar con software de cumplimiento

Mantenerse al día con sus necesidades de cumplimiento manualmente no solo puede llevar mucho tiempo sino también ser agotador. Puede ser bastante fácil cometer errores comunes que pueden resultar en incumplimiento. Mediante el uso de software de cumplimiento, se elimina la mayor parte de la carga de cumplimiento. Por ejemplo, puede escanear el sistema de su empresa contra las directivas PCI DSS para identificar áreas en las que no cumple con el cumplimiento.
Las auditorías in situ o las autoevaluaciones son fáciles con el software. Solo se necesitan unos pocos clics para auditar su sistema en su totalidad y las veces que sea necesario para cerrar la brecha de cumplimiento. El software de cumplimiento también simplifica la tarea de generar, recopilar, almacenar y organizar la documentación de cumplimiento requerida durante las auditorías.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

Post Top Ad

Your Ad Spot

Páginas