Muchos de nosotros ya comenzamos a analizar e incluso a trabajar en las adecuaciones y nuevos requerimientos para el proceso de transición de la versión de PCI DSS 3.2.1 a la versión 4.0.

En el afán de apoyar a las entidades con las adecuaciones, desarrollé una plantilla (template) de un inventario general del CDE que permita tener una base sobre la cual puedan comenzar a trabajar y modificar según las necesidades específicas de cada organización. Este documento considera algunas aclaraciones respecto a la versión anterior del estándar e incluye nuevos listados y/o inventarios que son requeridos por la versión 4.0.

Si algo he aprendido en estos años como QSA es que si bien el estándar es el mismo para todos, cada entidad es un mundo y realidad muy distinta, siendo que el mismo requerimiento cambie totalmente su aplicabilidad entre un ambiente y otro. Es por eso por lo que trato de cubrir el mayor espectro posible con un documento muy general, con campos e información mínima requerida por el estándar.

Por ultimo – y no menos importante – desarrollé el documento incluyendo la información mínima que personalmente me gusta recibir para iniciar una evaluación de PCI DSS nivel 1, siempre notando que las entidades que gestionan un inventario “centralizado” son las que generalmente (no siempre, pero si la mayoría de las veces) cuentan con un nivel de madurez en el proceso de recertificación de PCI DSS.

NOTA: De ninguna manera debe considerarse este u otro formato como “obligatorio” para validar el cumplimiento con PCI DSS. El estándar, en ambas versiones, nos indica que debe de existir un inventario con información mínima requerida. Sin embargo, no tiene que ser un formato especifico y queda a elección de la entidad la forma en que desarrolla su documentación para cumplir con los requisitos específicos.Siéntanse libres de modificar y adecuar el inventario a gusto y necesidades especificas de cada organización.