Como ya se ha comentado en el blog de Advantio, el cumplimiento de PCI DSS no es un evento único. Es un proceso de mejora continua que busca identificar e implementar nuevas garantías siempre que sea posible.
Para comprender el estado actual del sistema y la eficacia de cada nueva iteración, su empresa deberá realizar auditorías PCI de manera periódica. Debido a la cantidad de trabajo adicional generado por una auditoría, muchos directores de tecnología de la información y las comunicaciones (CTOs/CISOs) podrían verse tentados a evitar realizarlas, a menos que así se los ordene una tercera parte.
Sin embargo, con la preparación adecuada, su negocio puede reducir el riesgo de fallar en una auditoría y hacer que el proceso sea mucho menos doloroso.
Arreglesudocumentación
El requisito 3 del marco de cumplimiento del PCI DSS se refiere principalmente a la protección de los datos almacenados de los tarjetahabientes. Además de implementar realmente las disposiciones de seguridad, también se espera que su empresa documente cada una de estas medidas de seguridad.
La documentación debe contener todos los detalles de los protocolos de encriptación, los procesos de gestión de claves y los procedimientos para proteger los datos almacenados de las tarjetas (entre otros). Estos documentos no sólo prueban que su negocio ha cumplido con los estándares requeridos para el cumplimiento, sino que también proporcionan una forma simplificada de comprobar que las disposiciones siguen cumpliendo con los requisitos.
Cualquier auditoría de PCI también evaluará si la documentación se ha mantenido actualizada. Si no se registran los procesos actuales, usted fallará la auditoría.
Creardiagramas de procesos
La creación de representaciones visuales de sus procesos ayuda a clarificar el movimiento de datos personales sensibles dentro y fuera de su negocio. También proporciona una manera sencilla de identificar las deficiencias y debilidades de los procesos actuales.
Al resaltar los potenciales problemas, su equipo técnico puede diseñar una solución antes de que lleguen los auditores. Sólo asegúrese de que estos diagramas de flujo se actualicen regularmente junto con el resto de su documentación.
Diseñar y llevar a caboevaluaciones de riesgos
Las evaluaciones de riesgos son un aspecto crucial para identificar y desplegar nuevas tecnologías. Su equipo de gestión del cambio ya evaluará cada nuevo sistema y el impacto potencial en la infraestructura existente, pero ¿realizan la misma labor de diligencia debida para evaluar el impacto en el cumplimiento de la norma PCI DSS?
Las evaluaciones de riesgos le permiten considerar y probar el efecto de los cambios en el sistema a una escala menor que las auditorías PCI completas. Usted debe realizar evaluaciones de riesgo cada vez que se cambie el sistema, ya que proporcionan una detección temprana de posibles incumplimientos, y brindan una oportunidad para resolver esos problemas antes de que se produzca un incumplimiento.
Asociarse con un especialistaexterno
Una asociación con un PCI DSS de terceros tiene sentido en varios niveles. En primer lugar, ofrecen una nueva perspectiva de los sistemas con los que su propio personal puede estar demasiado familiarizado, lo que les impide realizar evaluaciones objetivas. En segundo lugar, aportan una experiencia más amplia de la industria, lo que les permite recomendar mejoras y perfeccionamientos que, según se ha visto, aportan beneficios genuinos en otros lugares.
También puede subcontratar tareas como revisiones de cortafuegos, análisis de código fuente, gestión de vulnerabilidades y parches, actualizaciones de documentación, etc.
Las auditorías PCI son un aspecto inevitable del cumplimiento si usted tiene un papel en los pagos en línea. Es mucho más preferible llevar a cabo un control semestral voluntario que someterse a uno tras una auditoría no conforme o incluso un incumplimiento. Las auditorías demuestran que su empresa cumple sistemáticamente con sus obligaciones de proteger la seguridad.
Para obtener más información sobre los preparativos de la auditoría PCI y sobre cómo Advantio puede ayudar a su empresa a poner en orden sus sistemas y procesos contactocon nosotros..
