La fase inicial para llevar a cabo un proyecto de implantación de PCI DSS empieza por un Análisis de Cumplimiento en el que se identifican cuáles son los aspectos de PCI DSS que falta implementar para acabar de cumplir con el estándar. Una vez valorados los riegos vinculados con el ámbito de la organización al que afecta el estándar se definirá un Plan de Acción para implementar de una manera priorizada los requerimientos detectados.
Selección de Controles y Medidas de Seguridad
Tras la valoración de riesgos y priorización de acciones, se definirán los controles o medidas de seguridad necesarias para implementar las acciones en base a la estrategia escogida.
La definición de los controles a implantar se realizará tomando como referencia además de los requerimientos de PCI DSS, los controles establecidos por la norma ISO/IEC 27001:2013, de manera que el Cliente pueda alinear los requerimientos PCI DSS con las buenas prácticas en Seguridad de la Información del estándar que permite certificar Sistemas de Gestión de Seguridad de la Información (SGSI).
Plan de Acción
Tras la identificación de los controles de seguridad necesarios, Internet Security Auditors, proporcionará al Cliente, el plan de acción para implantar estos controles, incluyendo el cuestionario de autoevaluación (SAQ - Self-Assessment Questionnaire) facilitado por el PCI SSC cuando sea necesario.