Mostrando 2 respuestas a los debates
  • Autor
    Entradas
    • #44468
      Veronica
      Participante

      Hola, quería consultarles acerca del requisito 9. Referente a las cámaras de seguridad de vigilancia.

      El punto menciona lo siguiente:
      «Verifique que las cámaras de video y otros mecanismos de control de acceso se usen para supervisar los puntos de entrada y salida de áreas confidenciales.»

      La consulta es, es necesario que las cámaras de video estén dentro de las áreas identificadas como restringidas, donde se manejan datos de tarjeta de crédito o simplemente se cumple con este punto si se supervisan los controles de acceso, por ejemplo que se filme la entrada y salida a las áreas restringidas?

      Saludos

    • #44593
      David Acosta
      Participante

      Buenas tardes Verónica:
      Como sabes, el estándar intenta ser lo más genérico posible para poderse adaptar a las diferentes situaciones y entornos de comercios y proveedores de servicio que requieren cumplir con la normativa. Es por ello que para este requerimiento (9.1) se emplean las palabras «áreas confidenciales» («Sensitive areas”) para determinar las áreas en las cuales se ubican en términos físicos los dispositivos que almacenan, procesan o transmiten datos de tarjetas de pago. Algunos de los ejemplos son centros de datos, salas de servidores, racks en housing compartido, centros de gestión, áreas de almacenamiento de datos de tarjetas, etc. De hecho, el mismo estándar apunta: «… Cada organización debe identificar las áreas confidenciales para asegurarse de implementar los controles de monitorización físicos necesarios….»
      Bajo esta descripción, obviamente el primer paso es determinar en tu propia organización cuáles son esas «áreas confidenciales». Establecido esto, el paso siguiente es ubicar las cámaras de videovigilancia. Aquí ya depende de tu propio entorno. Algunos ejemplos:
      + Si hay una única sala en la cual estén los servidores del entorno de PCI DSS, con una cámara que grabe la entrada y salida a dicha cámara es suficiente.
      + Si hay una sala pero es compartida (por ejemplo con otras empresas o entornos) e ingresa distinto personal (en el caso de un housing), además de la grabación de entrada/salida de la sala puede ser necesario grabar el rack o el pasillo en donde se encuentren tus servidores.
      El criterio para determinar si se requiere o no grabación en un punto físico determinado es preguntarse: En caso de un incidente de manipulación física no autorizada que afecte datos de tarjetas de pago, ¿con la videovigilancia que tengo sería suficiente?
      Obviamente no se trata de desplegar los controles de grabación solamente por cumplir, se trata de gestionar el riesgo en caso de un potencial incidente. Por otro lado, también es importante validar que dichas cámaras no serán alteradas o desactivadas.
      Espero que esta información te sirva.
      Saludos,
      David

    • #44594
      Veronica
      Participante

      Muchas gracias por la aclaración David, quedo super claro tu detalle y comentarios al respecto de mi consulta.

Mostrando 2 respuestas a los debates
  • Debes estar registrado para responder a este debate.