Posts por Héctor García:

La norma certifica procesos, no entidades: Guía para validar reportes de cumplimiento (Attestation of Compliance – AOC)

Posted on: 15 Abr 2021

En esta oportunidad quiero recomendar algunos puntos al momento de validar el cumplimiento de PCI DSS de los proveedores del servicio, ya sea para un nuevo servicio que se piensa incluir dentro del CDE o simplemente revalidar el cumplimiento de algún proveedor ya existente en nuestro entorno. Cabe mencionar que este articulo solo está enfocado […]

Gestionando vulnerabilidades de acuerdo con PCI DSS

Posted on: 04 Mar 2020

Considerando que la evaluación del asesor es “un snapshot” de cumplimiento al día de la visita en sitio, ¿cómo podemos demostrar – tanto el asesor como la entidad – que las vulnerabilidades fueron tratadas el tiempo en forma durante todo el año? Esta tarea puede llegar a ser muy compleja tanto para el asesor como […]

¿Estar o no estar en el alcance de PCI DSS? Ese es el dilema

Posted on: 26 Ago 2019

Constantemente existen muchas dudas respecto a qué procesos, sistemas o productos deberían de ser incluidos en el alcance de PCI DSS independientemente de si es la primera certificación o ha tenido cambios en sus procesos que tengan que ser incluidos dentro del alcance de su certificación. Me he dado a la tarea de recopilar algunas […]

Consideraciones para el cifrado de disco y cumplir con el requisito 3.4.1 de PCI DSS

Posted on: 15 May 2019

He notado que muchas de las organizaciones que desean cumplir con PCI DSS 3.2.1 tienen dudas sobre cómo cumplir con el requisito 3.4, por lo que en este, mi primer artículo, me tomé la tarea de explicar a detalle este requisito y cómo lo podamos abordar. Para comenzar, entendamos el requisito 3.4: Hasta este momento, […]