Etiquetado: , ,

Mostrando 3 respuestas a los debates
  • Autor
    Entradas
    • #44446
      Avatarandresmx89
      Participante

      Hola David

      Los análisis de vulnerabilidades externos deben ser firmados por un ASV? es decir en mi caso por Qualys para que el informe sea válido?

      Gracias,

    • #44558
      David AcostaDavid Acosta
      Participante

      Hola Andrés:
      En el artículo «Criterios para escoger un Proveedor Aprobado de Escaneo (ASV)» (http://www.pcihispano.com/criterios-para-escoger-un-proveedor-aprobado-de-escaneo-asv/) describo todo el proceso de escaneos de vulnerabilidades externos y la forma de gestionarlos con un proveedor.
      En tu caso – y si es la primera vez que te vas a certificar – con el último informe de escaneo de vulnerabilidades es suficiente, pero ten presente que no debe tener ninguna vulnerabilidad crítica, alta o media sin resolver. Este informe ha de ser provisto por un ASV.
      Si es tu re-certificación, necesitarás de los 4 escaneos trimestrales, todos con resultados «limpios».
      El informe del ASV te indicará si el resultado es PCI PASS o PCI FAIL. Si es PCI FAIL es necesario solucionar los problemas detectados y lanzar nuevamente el escaneo para garantizar que todo está OK.
      Saludos,
      David

    • #53517
      AvatarDavid PCI
      Participante

      Buenas,

      Me ha surgido una duda respecto a este requisito de PCI. En nuestro caso, todos los PIN PADs están contratados a una plataforma de pago homologada PCI DSS, sus comunicaciones van cifrados de extremo a extremo desde el dispositivo hasta su CPD. Dado que ningún empleado de nuestra empresa sería capaz de descifrar estas comunicaciones, sería suficiente con la auditoria que realiza el proveedor de servicio en sus instalaciones, o habría que a su vez realizar una auditoria de nuestras redes?

      Por otro lado si el comercio online esta configurado con un IFrame habría que auditar estas redes? En principio tampoco pasarían datos de tarjeta por este servidor.

      Gracias.

    • #53619
      David AcostaDavid Acosta
      Participante

      Hola David:

      Respecto a tu pregunta, varias aclaraciones:

      1) El hecho de usar una solución de encriptación de extremo a extremo (P2PE o E2EE como SNCP en España) no implica que de forma automática estés exento de cumplir con PCI DSS. Incluso, en el mejor escenario que sería una solución P2PE homologada, el comercio debe rellenar un cuestionario de autoevaluación vinculado con este canal (SAQ P2PE), focalizado en la protección física de los dispositivos de pago. Para el caso del SNCP en España, es diferente, ya que SNCP no es una solución homologada por el PCI SSC y por lo general los bancos adquirientes recomiendan presentar un SAQ B-IP o un «cuestionario simplificado» provisto por RedSys. Puedes encontrar más información en estos artículos:
      – ¿Qué es SNCP (Sistema Nacional de Cifrado de Pistas)? https://www.pcihispano.com/que-es-sncp-sistema-nacional-de-cifrado-de-pistas/
      – Todo lo que siempre has querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación) de PCI DSS v3.2.1 (Incluye comparativo en Excel de los tipos de SAQ) https://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/

      2) En el caso de plataformas de comercio electrónico integradas con proveedores de pago a través de un iFrame o de una redirección, el comercio debe reportar su cumplimiento con PCI DSS a través de un SAQ A (22 controles). Más información aquí:
      – ¿Quieres poner en marcha o tienes una tienda online? Sigue estos consejos para cumplir con PCI DSS https://www.pcihispano.com/quieres-poner-en-marcha-o-tienes-una-tienda-online-sigue-estos-consejos-para-cumplir-con-pci-dss/

      Saludos,

      David Acosta

Mostrando 3 respuestas a los debates
  • Debes estar registrado para responder a este debate.