La fase inicial para llevar a cabo un proyecto de implantación de PCI DSS empieza por un Análisis de Cumplimiento en el que se identifican cuáles son los aspectos de PCI DSS que falta implementar para acabar de cumplir con el estándar. Una vez valorados los riegos vinculados con el ámbito de la organización al que afecta el estándar se definirá un Plan de Acción para implementar de una manera priorizada los requerimientos detectados.
Los objetivos de esta fase inicial del proyecto de implantación PCI DSS son:
- Presentar el equipo de proyecto, el calendario de trabajo preliminar y el mecanismo de desarrollo del proyecto.
- Conocer cómo afecta PCI DSS al Cliente. Como la organización maneja la información de tarjetas de crédito.
- Obtener el estado actual de cumplimiento de los requerimientos PCI DSS.
- Acotar el entorno de cumplimiento al mínimo imprescindible.
- Reducir costes innecesarios de implantación y mantenimiento del programa de seguridad
- Reducir el tiempo necesario para cumplir PCI DSS.
En esta etapa del proyecto, se desarrollan todas las actividades relativas a la valoración de los riesgos sobre el entorno de protección definido en el Entorno de Cumplimiento y en base al diagnóstico realizado sobre los requerimientos PCI DSS, con el objetivo de poder determinar en fases posteriores las medidas de seguridad necesarias para mitigar dichos riesgos, determinar las prioridades para atacar los riesgos y alcanzar el cumplimiento de los requerimientos PCI DSS minimizando el esfuerzo y la inversión.
El PCI SSC mediante el documento PCI DSS Prioritized Approach, define una metodología de cómo implementar PCI DSS minimizando el riesgo de compromiso de datos, basado en 6 fases encaminadas a implementar PCI DSS, y apuntando la importancia de la norma con respecto a la protección contra el fraude.
Estas son las fases que muestra el PCI DSS Prioritized Approach:
- Etapa 1: Eliminar la información relativa a la autenticación y limitar la retención de información.
- Etapa 2: Proteger el entorno (perímetro) así como las intranets y las redes Wireless
- Etapa 3: Aplicaciones Seguras
- Etapa 4: Monitorización y control de acceso a las aplicaciones
- Etapa 5: Proteger la información del titular almacenada (número de tarjeta).
- Etapa 6: Todos los demás requerimientos
El Programa de Cumplimiento PCI DSS define la estrategia a seguir por el Cliente para cumplir los requerimientos establecidos por PCI DSS, disminuir los riesgos identificados y alinear la inversión en seguridad con los objetivos y necesidades de la organización. Esta estrategia se concreta en una planificación de proyectos que facilita la información necesaria para decidir qué acciones abordar así como su justificación en base al riesgo que disminuyen.
Selección de Controles y Medidas de Seguridad
Tras la valoración de riesgos y priorización de acciones, se definirán los controles o medidas de seguridad necesarias para implementar las acciones en base a la estrategia escogida.
La definición de los controles a implantar se realizará tomando como referencia además de los requerimientos de PCI DSS, los controles establecidos por la norma ISO/IEC 27001:2013, de manera que el Cliente pueda alinear los requerimientos PCI DSS con las buenas prácticas en Seguridad de la Información del estándar que permite certificar Sistemas de Gestión de Seguridad de la Información (SGSI).
Plan de Acción
Tras la identificación de los controles de seguridad necesarios, Internet Security Auditors, proporcionará al Cliente, el plan de acción para implantar estos controles, incluyendo el cuestionario de autoevaluación (SAQ - Self-Assessment Questionnaire) facilitado por el PCI SSC cuando sea necesario.