Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44437
      andresmx89
      Participante

      Hola David

      Actualmente tenemos varios proveedores, como de gestión de hosting compartido, firewall, san, datafonos y pin pad, software de switche transaccional.

      Para cada se debe emplear una SAQ diferente? como en el caso del hosting compartido y san puede ser la SAQ-D, ellos deben responder en la totalidad del cuestionario SAQ? o solo en la parte que aplican de acuerdo al servicio prestado?.

      Tengo muchas dudas sobe este documento si cada proveedor debe responder de acuerdo a lo que aplican o si deben responder completamente la SAQ o tipo de SAQ.

      Muchas Gracias,

    • #44542
      David Acosta
      Participante

      Hola Andrés:
      Antes que nada, échale un vistazo a la discusión ubicada en http://www.pcihispano.com/foro/#/discussion/18/proveedor-de-servicios que es una pregunta similar a la tuya.
      Ten presente que no es tu responsabilidad el cumplimiento de tus proveedores. Tu labor es simplemente validar que ellos cumplen y monitorizarlos. Los terceros proveedores de servicios tienen dos formas de validar el cumplimiento:
      1) Pueden realizar una evaluación de las PCI DSS por cuenta propia y proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento; o
      2) Si no realizan la evaluación de las PCI DSS por cuenta propia, deberán solicitar la revisión de sus servicios durante el curso de cada una de las evaluaciones de las PCI DSS de sus clientes.
      Siendo así, dependiendo del servicio ofrecido es tu labor identificar qué controles son compartidos con cada proveedor y las responsabilidades asumidas y de acuerdo con ello aplicar cualquiera de las dos opciones descritas arriba.
      Por otro lado, ten presente que los SAQ (excepto el SAQ D) solamente aplican a comercios.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.