En esta nueva entrega de la serie “Documentación de soporte para PCI DSS” hablaremos acerca del listado maestro de documentación, un inventario del estado de los documentos que soportan el cumplimiento del estándar y que facilitará la gestión normativa en el entorno.

En términos generales, los controles del estándar PCI DSS se dividen en tres categorías:

  • Controles de seguridad física,
  • Controles de seguridad lógica (o técnicos), y
  • Controles documentales.

Este artículo en particular se focalizará en el último punto: los controles documentales, vinculados con el cuerpo normativo.

Categorización de documentos en un marco normativo de seguridad de la información

Por lo general, el cuerpo normativo vinculado con PCI DSS (y con cualquier otro estándar o mejor práctica) suele estar:

  • Distribuído en múltiples documentos,
  • Bajo múltiples formatos de archivo (MS Word, MS Excel, Acrobat PDF, HTML, etc.),
  • Almacenado en diversas ubicaciones (servidor de ficheros, intranet, portales de MS Sharepoint, software de gestión documental, etc.), y
  • Bajo la responsabilidad de diferentes áreas y/o personas.

Lo cual hace muy difícil mantener su trazabilidad en cuanto a versionado, seguridad, contenido, etc. y complica su actualización y las labores de alineación y validacion.

Para mantener un control de todo el cuerpo normativo vinculado con PCI DSS, una alternativa muy interesante es la de usar un “listado maestro de documentos“, que no es más que un inventario de todos los documentos relacionados con el estándar y sus características (metadatos): nombre del archivo, tipo, código, versión, fecha, estado, aprobación y controles del PCI DSS cubiertos.

Listado maestro de documentación

Dentro de los beneficios de tener un inventario documental de estas características se encuentran:

  • Control del estado de cada uno de los documentos del cuerpo normativo,
  • Facilidad a la hora de revisión de cubrimiento de controles y alineación con el estándar,
  • Si hay un cambio en el entorno que afecte a un control en particular, se puede identificar el documento relacionado y hacer las actualizaciones correspondientes,
  • Seguimiento de la aprobación de los documentos

Si durante el proceso de redacción del marco normativo de PCI DSS se usa el “listado maestro de documentos” de forma conjunta con los documentos recomendados para cumplir con el estándar, ya se podrá tener un punto de partida para el cubrimiento de todos los controles documentales exigidos por PCI DSS. Por otra parte, si el “listado maestro de documentos” se integra con la Cardholder Data Matrix (CHDM), entonces la organización contará con un único inventario central de todos los activos pertenecientes al entorno.

La versión en Excel de este documento se puede descargar aquí:

Listado Maestro de Documentación PCI DSS

Si tienes dudas o comentarios al respecto, esperamos tu participación en los foros, en los comentarios del artículo o en las redes sociales.