Etiquetado: ,

Mostrando 5 respuestas a los debates
  • Autor
    Entradas
    • #52143
      Avatarantuanti
      Participante

      Hola a [email protected]

      Tengo un perfil de auditor de estándares ISO «tecnológicos» (ISO 27001, ISO 20000, ISO 27701, etc), y además también audito ENS, y por otra parte también tengo perfil técnico, entre otras cosas para realizar hacking ético y pentesting. Pero ahora quiero ir orientándome poco a poco al perfil de QSA.

      El problema es que es una inversión grande, y no tengo todavía clientes PCI como para que me pueda salir rentable la inversión, por lo que estoy pensando ir poco a poco, pero la verdad es que no se por dónde empezar, y me explico: Hay muchas certificaciones PCI, y no se cual puede encajar mejor para mi perfil, teniendo en cuenta que mi idea inicial, salvo que me recomendéis lo contrario, es ir paso a paso. Algún consejo?

      Muchas gracias

    • #52187
      David AcostaDavid Acosta
      Participante

      Hola Antonio:
      Para realizar certificaciones PCI DSS requieres que la compañía esté registrada como QSA Company (QSAC) y que se cumplan una serie de requisitos (pago de seguros, pago de anualidades, etc.). Hecho esto, esa compañía puede proceder a enviar a cursos a sus empleados, siempre y cuando tengan como mínimo 2 certificaciones de seguridad y experiencia en medios de pago, entre otros temas. El primer curso es presencial y los siguientes son online, pero igualmente se requiere del pago de una anualidad por cada empleado certificado. Los costes son muy altos, pero también es muy alta la responsabilidad en la ejecución de estas evaluaciones formales.
      No obstante, nada te limita para que puedas efectuar implementaciones y/o adecuaciones del estándar. Solamente las evaluaciones formales de cumplimiento (erróneamente llamadas «auditorías») pueden ser ejecutadas por un QSA.
      En ese caso, un perfil como PCI Professional te vendría muy bien para tener un conocimiento general del estándar y de su aplicabilidad. Échale un vistazo a este artículo: ¿Quieres certificarte como PCI Professional (PCIP)™? Esta información te interesa
      Saludos,
      David

    • #52215
      Avatarantuanti
      Participante

      Muchas gracias David! Queda claro que de momento QSA lo voy a dejar aparcado, y PCIP parece interesante, pero PCI ISA también pinta bien.

      Con respecto a PCI ISA, como he visto que hay otro hilo en el foro, mejor comento por ahí 🙂

    • #52281
      David AcostaDavid Acosta
      Participante

      Buenas tardes:
      Si el objetivo es ofrecer servicios de PCI DSS como empresa, un PCI ISA solamente puede efectuar evaluaciones de cumplimiento para la empresa para la que trabaja y que requiere demostrar cumplimiento con PCI DSS, no para otras empresas externas. En ese caso, se requiere exclusivamente de un asesor QSA.
      Por otro lado, un profesional PCIP sí que puede ofrecer servicios a empresas externas para implementación (no para evaluación formal), ya que esta certificación no está vinculada con el empleador sino con el profesional.

    • #52294
      Avatarantuanti
      Participante

      Muchas gracias David. Creo que entonces claramente la PCIP es la que más me interesa para empezar a rodar con una cualificación seria, lo único es que tengo la sensación de que es una cualificación “flojita”, pero ir directamente a QSA lo veo demasiado radical (económicamente es una inversión importante).

    • #52371
      David AcostaDavid Acosta
      Participante

      Si, totalmente de acuerdo contigo. Es mejor ir poco a poco.

Mostrando 5 respuestas a los debates
  • Debes estar registrado para responder a este debate.