Este debate contiene 3 respuestas, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 3 semanas, 3 días.

  • Autor
    Publicaciones
  • #48273

    jvegonzalez
    Participante

    Buenas tardes

    Estimado, David tenemos una duda relacionada a la documentación PCI a entregar para efectos de los requisitos Requisito 7.6 /10.9 / 11.2 /8.4, ya que se pide “Estándar de configuración” pero no es el mismo documento para cada requisito, porque en el requisito 10.9 es para red y en el 8.4 es para los componentes de sistema.

    Gracias

  • #48294
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Estoy un poco confuso con tu pregunta, ya que los requisitos que enumeras son bastante dispares y otros no existen (7.6, por ejemplo). ¿Estamos hablando de PCI DSS (https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf)? ¿Podrías aclararme un poco más la pregunta, por favor?

    Muchas gracias.

  • #48295

    jvegonzalez
    Participante

    Tienes mucha razón David, me confundí con los números de los requisitos, me refiero al 7.1 de la norma, estamos hablando de 1 solo documento ? o es un documento separado por cada componente, ejemplo 1 de base de datos, 1 de aplicaciones, 1 de componentes de sistema y 1 de red ? gracias

  • #48333
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Bueno, lo primero que hay que tener en cuenta es que para cumplir con PCI DSS se requiere de la redacción y publicación de un cuerpo normativo asociado con los controles relacionados. Esta documentación se puede categorizar en función de su obligatoriedad en políticas, estándares, procedimientos, manuales, guías, recomendaciones, etc. Lo interesante de esto es que el estándar no te obliga a seguir un listado específico, por lo que cada empresa puede generar y esquematizar los documentos como bien lo considere, siempre y cuando se cumpla lo que se pide.

    En el artículo “Listado de documentación para cumplir con el estándar” https://www.pcihispano.com/estas-buscando-listado-documentacion-cumplir-pci-dss-aqui-lo-tienes/ publiqué una categorización de documentos con su correspondiente requerimiento, que podrías usar como guía.

    Por otro lado, hay unos documentos especiales que se piden en el requerimiento 2.2, que son los estándares de configuración segura (o guías de hardening). En el artículo “Estándares de configuración segura (hardening) en PCI DSS (actualización v3.2)” https://www.pcihispano.com/estandares-de-configuracion-segura-hardening-en-pci-dss/ puedes encontrar una hoja Excel en donde relaciono los requerimientos de PCI DSS que se deberían cumplir en estos documentos.

    Siendo así, la respuesta a tu pregunta es que no importa la cantidad de documentos, siempre y cuando lo que se pide esté documentado.

    Espero que esto haya respondido a tu duda.

Debes estar registrado para responder a este debate.