Etiquetado: 

Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 6 días, 23 horas.

  • Autor
    Publicaciones
  • #48687

    Marcia
    Participante

    Hola,
    Por favor, podrían orientarme con el requisito 3.6.8. En el requisito dice que el custodio debe aceptar las responsabilidades de ser custodio de claves, pero no tengo claridad de cuáles son esas responsabilidades.
    ¿Cuáles son las responsabilidades de un custodio?

    gracias
    Marcia.

  • #48692
    David Acosta
    David Acosta
    Participante

    Buenas tardes Marcia:

    Asumo inicialmente que en tu entorno se almacenarán datos de tarjetas de pago encriptados. Si esto es así, obviamente requieres la gestión de custodios para el almacenamiento de los componentes de las claves de encriptación. En este caso, la responsabilidad del custodio es la de almacenar de forma segura ese componente, informar en caso de algún problema o incidente que afecte la seguridad de los datos que se le han delegado y la participación en el caso que sea necesaria su presencia.

    En esta URL encontrarás un formulario (en inglés) que te puede servir como referencia: https://www.nsoftware.com/docs/epayment/sample_key_custodian_form.pdf

    El objetivo de este documento es concienciar al custodio de sus responsabilidades y servir como control disuasivo en el caso que se quiera emplear la clave para usos fraudulentos.

    Adicional a esto, mis sugerencias son:

    • Preferiblemente que el custodio sea una persona con un cargo directivo y con poco o nulo conocimiento técnico (en últimas, para sus tareas no lo necesitará).
    • Si son varios custodios, lo ideal es que no reporten a la misma persona sino que pertenezcan a áreas de negocio diferentes (para evitar conflictos de interés)
    • En algunas ocasiones, se recomienda que un custodio no sepa quién es también custodio y que la lista de custodios permanezca confidencial. Esto para minimizar intentos de fraude.
    • Los componentes de las claves de encriptación deberían ser almacenados en un lugar seguro (una caja fuerte, por ejemplo). Si esto sucede, entonces el custodio tendría que aceptar la responsabilidad de la seguridad física del contenedor del componente (la llave de la caja fuerte).

    Si tengo tiempo, intento hacer un artículo con esta información.

    Espero que te sirva.

Debes estar registrado para responder a este debate.