Nuestro equipo de expertos puede aportar, en base al amplio conocimiento en Seguridad TIC, la mejor respuesta

 

Auditoría de Certificación del Cumplimiento de PCI DSS

La Auditoría de Cumplimiento on-site es imprescindible para Comercios de Nivel 1 (más de 6.000.000 de transacciones) y Proveedores de Servicio de Nivel 1 (más de 300.000 transacciones) y debe ser desarrollada por una empresa homologada como QSA (Qualified Security Assessor) por el PCI SSC, certificación que Internet Security Auditors posee. También es recomendable para todas aquellas empresas que aunque no estén obligadas a pasar auditorías pero quieran que un auditor independiente QSA, verifique que han alcanzado el cumplimiento o que siguen cumpliendo los requerimientos de seguridad que PCI DSS les exige.

Proceso Implantación PCI DSS Fase V

FASE V Auditoría de Cumplimiento

La Auditoría se basará en:

  • Etapa I: Lanzamiento de proyecto.
    Al iniciar el proyecto se llevará a cabo una reunión con el equipo que el cliente haya seleccionado, con la finalidad de:
    • Presentar al equipo auditor.
    • Explicar el alcance de la Auditoría.
    • Conocer al responsable/s del proyecto.
    • Remarcar el carácter confidencial de la Auditoría.
    • Resolver dudas respecto al proceso de Auditoría.
  • Etapa II: Revisión del Entorno de Cumplimiento
    Durante esta fase se revisará los procesos que el cliente lleva a cabo en su actividad diaria, en relación a la transmisión, procesamiento o almacenamiento de datos de tarjetas de crédito, con el objetivo de comprobar la exactitud, correción y ausencia de cambios del entorno de cumplimiento desde la implantación inicial de PCI DSS o desde la última auditoría realizada.
    Esta revisión implicará:
    • Revisión de los flujos de datos con tarjetas de crédito
    • Revisión de los activos de información (HW, SW, Redes, Aplicaciones, BD de Datos, etc..) que intervienen en los procesos de transmisión, procesamiento y almacenamiento de datos de tarjetas de créditos, la relación entre ellos y las medidas de seguridad implementadas en la actualidad.
    • Revisión de las relaciones con terceras partes (proveedores de servicios) y como influyen en el cumplimiento de PCI DSS.

    Todas estas tareas implicarán la realización de reuniones con responsables de área o departamento, y el personal técnico nombrado por el cliente.

  • Etapa III: Revisión Documental
    Con la recopilación de información realizada en la fase anterior y la documentación existente (políticas y procedimientos, documentación sobre sistemas, aplicaciones, auditorías anteriores, etc.), en esta fase se realizan las siguientes tareas:
    • Acabar de analizar el entorno de cumplimiento con el fin de asegurar que el ámbito es aquel que se ha determinado inicialmente para la validación posterior del cumplimiento PCI DSS.
    • Realizar la revisión documental asociada con la implantación de la norma.

    Además, un proveedor de servicio o comercio puede utilizar a un tercero, por lo tanto, los servicios externalizados serán analizados revisando la documentación de las condiciones de prestación del servicio o contractual.

  • Etapa IV: Preparación del Plan de Auditoría
    Se llevarán a cabo las tareas necesarias para establecer la muestra de auditoría, elaborar el plan de trabajo con el calendario de reuniones y la ejecución de pruebas de cumplimiento necesarias para la obtención de evidencias. Además se determinan puntos como personal específico que pudiera ser necesario para ciertas tareas de la auditoría.
  • Etapa V: Ejecución de la Auditoría
    En esta etapa se ejecuta el Plan de Auditoría, llevando a cabo la evaluación de los controles implementados por el cliente para cumplir los requerimientos PCI DSS, incluyendo la evaluación de controles compensatorios.
    La Auditoría se basará en:
    • Análisis de documentación
    • Pruebas de cumplimiento basadas en muestreo
    • Entrevistas con el personal de Empresa Cliente
  • Etapa VI: Elaboración del Informe de Cumplimiento
    El resultado final de la Auditoría es el denominado Informe de Cumplimiento. La entidad auditada deberá seguir los requisitos de reporte de cada compañía de tarjetas de pago para asegurar que cada compañía reconozca el estado de cumplimiento de la entidad. Según las directrices del PCI SSC para la versión 3.2 de los informes de cumplimiento su contenido será el siguiente:
    1. 1. Información de Contacto y fecha del informe
      1. 1.1. información del contacto
      2. 1.2. Fecha y plazo de la Auditoría
      3. 1.3. Versión PCI DSS
      4. 1.4. Servicios adicionales proporcionados por el QSA
    2. 2. Resumen
      1. 2.1. Descripción del negocio de tarjetas de pago de la entidad
      2. 2.2. Diagrama(s) de red de alto nivel
    3. 3. Descripción del Alcance de Trabajo y Enfoque adoptado
      1. 3.1. Validación del QSA de la exactitud del alcance
      2. 3.2. Entorno en la que se centra la Auditoría
      3. 3.3. Segmentación de red
      4. 3.4. Detalles de la segmentación de red
      5. 3.5. Entidades conectadas para el procesamiento
      6. 3.6. Otras entidades empresariales que requiren el cumplimiento de PCI DSS
      7. 3.7. Resumen de redes inalámbricas
      8. 3.8. Detalles de redes inalámbricas
    4. 4. Detalles sobre el Entorno Auditado
      1. 4.1. Diagrama(s) de red detallados
      2. 4.2. Descripción de los datos de los flujos de datos de tarjetas
      3. 4.3. Almacenamiento de datos de tarjetas
      4. 4.4. Hardware crítico en el entorno de datos de tarjetas
      5. 4.5. Software crítico en el entorno de datos de tarjetas
      6. 4.6. Muestreo
      7. 4.7. Conjuntos de muestras para el informe
      8. 4.8. Proveedores de servicios y terceros con los que se comparten datos de tarjetas
      9. 4.9. Aplicaciones/Soluciones de pago de terceros
      10. 4.10. Documentación revisada
      11. 4.11. Personal entrevistado
      12. 4.12. Proveedores de servicios gestionados
      13. 4.13. Sumario de justificaciones de Controles Compensatorios
      14. 4.14. Sumario de justificaciones de Controles no testeados
    5. 5. Resultados de Escaneos Trimestrales
      1. 5.1. Resultados de Escaneos Trimestrales - validación inicial de cumplimiento PCI DSS
      2. 5.2. Resultados de Escaneos Trimestrales - resto de validaciones de cumplimiento PCI DSS
      3. 5.3. Ccertificados de conformidad de los escaneos
    6. 6. Resultados y Observaciones
  • Etapa VII: Presentación de Resultados
    Al final del proyecto se llevará a cabo una presentación del Informe de Cumplimiento de los resultados de la Auditoría, repasando las deficiencias identificadas, puntos fuertes, aspectos y propuestas de mejora y que quedará reflejado en la documentación final.

volver a la página anterior