PCIDSS_documentation

Uno de los principales inconvenientes en el proceso de implementación de controles de PCI DSS (o de cualquier otro estándar) suele ser el desarrollo de su documentación relacionada (políticas, estándares, mejores prácticas, guías, procedimientos, manuales, etc.).  La implementación técnica y física de los controles de seguridad puede ser correcta, pero casi siempre el fallo proviene del área procedimental y administrativa, en donde se encuentran los documentos vinculados con la operación y administración de estos controles.

Piramide_Documentacion

Para evitar estos inconvenientes, a continuación se indicarán una serie de pasos que permitirán el desarrollo continuo del cuerpo normativo de la organización, lo que permitirá garantizar que todos los requerimientos estarán documentados para que puedan ser repetidos en el tiempo de forma consistente:

  1. Centralizar toda la documentación presente que pueda estar relacionada con el estándar que se desea implementar (en este caso, PCI DSS)
  2. Iniciar con un análisis diferencial con el fin de identificar puntos en los cuales dicha documentación cubre de forma total, parcial o nula los requerimientos.
  3. Proceder con la fase de redacción de documentos conforme con los hallazgos del paso 2
  4. Crear una “lista maestra de documentación“, donde se enumeren todos los documentos relacionados con el estándar, organizados, sus responsables y las fechas de aprobación y publicación para gestionar más adelante su ciclo de vida
  5. Cuando los documentos estén desarrollados, proceder con su aprobación por parte de la Dirección o de las áreas encargadas
  6. Catalogar los documentos conforme con la “necesidad de saber” (need-to-know) y proceder con su publicación
  7. Empezar con la fase de diseminación y formación
  8. Monitorizar cambios en la infraestructura que implique una actualización de la documentación y redactar dichos cambios
  9. Iniciar el proceso nuevamente

Como soporte a este proceso, en PCI Hispano se ha desarrollado un listado de documentos para el cumplimiento del estándar PCI DSS, indicando los requerimientos cubiertos y las referencias de este mismo portal que pueden servir como guía en el desarrollo de esta documentación. Este listado puede ser descargado a continuación:

Descarga el listado de documentación PCIDSS

Cabe anotar que este listado es simplemente una guía recomendada, por lo que cada entidad – dependiendo de su esquematización interna – puede organizar este contenido en diferentes documentos o catalogarla  de acuerdo con sus propios lineamientos. Adicionalmente, tener presente que siempre es recomendable contar con el soporte de un Asesor QSA, quien podrá validar el contenido de cada documento y su cubrimiento con el requerimiento relacionado.

¿Tienes más dudas? Puedes contactárnos a través de las redes sociales, el foro o dejarnos un mensaje más abajo.