Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44460
      rayden_web
      Participante

      Estimado,

      En mi organización, se nos está solicitando cumplir con PCI DSS, dado a que estamos trabajando en el desarrollo de una aplicación que almacenará datos de titulares (no realizara autorizaciones, ni cargos a tarjetas de ningún tipo) solo será una especie de BD de PAN (activos e inactivos) para consultar, por otro lado esta aplicación NO se venderá a terceros, únicamente se utilizará para dar un servicio nuestro.

      Consulta; cuando el sistema entre en operación (aún está en desarrollo) en que momento realizo la auditoría?

      Tengo que esperar un año completo?

      o puedo realizarla inmediatamente entra en operación?, entendiendo que bajo este escenario aplicaría un formulario de auto evaluación por la baja cantidad de PAN almacenados.

      Lo otro, en el requisito 11.2 dice:

      «Para el cumplimiento inicial de las PCI DSS, no es necesario tener cuatro análisis trimestrales aprobados si el asesor verifica que 1) el resultado del último análisis fue aprobado, 2) la entidad ha documentado las políticas y los procedimientos que disponen la realización de análisis trimestrales y 3) las vulnerabilidades detectadas en los resultados del análisis se han corregido tal como se muestra en el nuevo análisis.»

      No me queda claro: ¿Esto se refiere a que como mínimo hay que tener 1 trimestre completo? (por lo mencionado en 3))

      GRACIAS!!!!!!!!

    • #44583
      David Acosta
      Participante

      Buenas tardes:
      Te divido la respuesta en dos apartados:
      1) Respecto al tema de la auditoría: El servicio que ofrece tu empresa como tal no realiza transacciones de autorización, por lo que no podrás categorizarte en ningún nivel de las marcas, ya que estos niveles están basados en la cantidad de transacciones anuales que se procesan. Sin embargo, tu servicio (de cara a tus clientes) es el de un proveedor de servicios por lo cual esos clientes exigirán tu cumplimiento con PCI DSS. En este punto, haz de hablar con las marcas de tarjeta con las que trabajas (VISA, MasterCard, etc.) y exponerles tu caso. Encontrarás la información de contacto en http://www.pcihispano.com/enlaces-de-referencia/. Es importante tener presente que necesitarás como mínimo un SAQ D o una auditoría anual.
      Ahora, respecto al momento de realizar la auditoría, se supone que debes tener un entorno seguro desde el momento mismo en que entras a producción y recibes datos de tarjetas de pago REALES. Siendo así, mi recomendación es realizar una pre-auditoría antes de entrar a operación con el fin de identificar posibles incumplimientos y que te dé tiempo de correcciones y proceder con la auditoría cuando ya todo esté listo.
      2) Respecto a los escaneos de vulnerabilidades ASV: Si es tu primera auditoría, con el último escaneo ASV es más que suficiente, siempre y cuando los resultados de ese escaneo sean PCI PASS. En las auditorías subsiguientes se requieren 4 escaneos (uno cada trimestre). Para el tema de escaneos ASV, mírate el siguiente artículo http://www.pcihispano.com/criterios-para-escoger-un-proveedor-aprobado-de-escaneo-asv/
      Espero que esta información te sirva.

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.