Con el objetivo de formar profesionales que conozcan los riesgos de las transacciones con tarjetas de pago y los controles de seguridad para gestionarlos, el PCI SSC ha definido una serie de formaciones, cada una de ellas orientada hacia un perfil en particular. Algunas de ellas requieren que el personal certificado trabaje tiempo completo en una empresa homologada (ISA, PCI QSA, ASV, QIR), mientras que otros son personales (Awareness, PCIP).

Para aquellos profesionales que deseen ampliar sus conocimientos en PCI DSS, a continuación se describen en detalle las principales formaciones y sus características.

PCI Awareness

PCI Awareness es la formación básica del PCI SSC que le permite al participante obtener conocimientos generales de los estándares de seguridad, su aplicabilidad y sus beneficios para la organización, cubriendo en su totalidad lo requerido en el control 12.6 de PCI DSS. Se trata de una formación personal que no está vinculada a la empresa en la que se trabaja.

Nivel Básico
Descripción Esta certificación está orientada a profesionales que deseen tener un conocimiento básico de los controles de seguridad aplicables a la protección de las transacciones con tarjetas de pago.
La persona que ha recibido esta formación estará en capacidad de soportar los procesos de cumplimiento de la organización y colaborar con las actuaciones de profesionales ISA, PCIP y QSA.
De igual manera, esta formación puede ser homologada para cumplir con el requerimiento 12.6 de PCI DSS
Objetivos y contenido - Obtener un conocimiento de alto nivel de los requerimientos de PCI e identificar sus ventajas
- Conocer los roles y responsabilidades del personal involucrado en el proceso de cumplimiento, incluyendo ISA, QSA y ASV
- Conocer los documentos necesarios para reportar el cumplimiento de PCI
- Obtener una visión general de los requerimientos de PCI DSS
- Identificar los tipos de infraestructuras usadas por las organizaciones para aceptar pagos con tarjetas
- Entender los pasos involucrados en el procesamiento de pagos con tarjetas
Dirigido a Personal directivo, administrativo u operativo que desee ampliar su conocimiento en seguridad de pagos y estándares del PCI SSC
Experiencia necesaria No se requiere
Formato de cursos - Cursos presenciales de un (1) día con un instructor. Esta formación puede ser una convocatoria abierta o una formación específica para empleados de una compañía
- Formación online (e-learning) de cuatro (4) horas
Certificación No se obtiene ninguna certificación
Coste aproximado 495 USD

PCI Acquirer

PCI Acquirer es una formación específica para el personal encargado de gestionar y reportar el cumplimiento de PCI DSS de los comercios conectados a adquirientes y procesadores. Permite obtener un conocimiento general del proceso de cumplimiento y los documentos necesarios (AoC, SAQ, RoC), así como una visión general de los procedimientos propios de cada marca.

Nivel Intermedio
Descripción Esta certificación está orientada a personal de entidades adquirientes y procesadores de pago que desean obtener un conocimiento más profundo de PCI DSS para colaborar a sus comercios cliente en el cumplimiento de los controles del estándar.
De igual manera, le permite a dichos profesionales identificar el tipo de documento que deben emplear sus comercios cliente para reportar su cumplimiento (SAQ o RoC).
Objetivos y contenido - Introducción a PCI DSS
- Entender como se trabaja con las marcas de pago
- Analizar los roles y responsabilidades de cumplimiento
- Identificar los programas de cumplimiento de las marcas de pago
- Analizar los requerimientos de PCIDSS
- Comprender los documentos de reporte de cumplimiento (SAQ, RoC, AoC)
- Revisión de varios casos de estudio desde la perspectiva de adquiriente
Dirigido a Personal encargado de la gestión de cumplimiento de comercios en adquirientes y procesadores
Experiencia necesaria No se requiere experiencia
Formato de cursos - Cursos presenciales de un (1) día con un instructor. Esta formación puede ser una convocatoria abierta o una formación específica para empleados de una compañía
- Formación online (e-learning) de seis (6) horas.
Al final se debe presentar un examen.
Certificación No se recibe ningún certificado
Coste aproximado 1495 USD

PCI Professional (PCIP)™

PCI Professional (PCIP)™ es la certificación intermedia del PCI SSC. Le permite al participante aplicar los controles de los estándares del PCI SSC en su organización y convertirse en el soporte de ISA y QSA en los procesos de implementación y certificación. Se trata de una certificación personal que no está vinculada a la empresa en la que se trabaja.

Nivel Intermedio
Descripción Esta certificación está orientada a profesionales que cuenten con experiencia en el ámbito de seguridad de la información y que deseen obtener conocimiento en los estándares del PCI SSC (PCI DSS, PA-DSS, PCI PTS y PCI P2PE) mediante un análisis de la aplicabilidad de cada uno de estos estándares en los flujos transaccionales de los datos de tarjetas de pago.
Objetivos y contenido - Conocer los principios de los estándares del PCI SSC (PCI DSS, PA-DSS, PCI PTS y PCI P2PE)
- Entender los requerimientos y el propósito de PCI DSS
- Obtener una visión general de la terminología básica de la industria de pago
- Entender el flujo transaccional
- Implementar un enfoque de priorización basado en riesgo
- Conocer el uso apropiado de los controles compensatorios
- Coordinar el trabajo con terceros y proveedores de servicio
- Entender el uso de los Cuestionarios de Auto-Evaluación (SAQ)
- Reconocer cómo las nuevas tecnologías afectan el cumplimiento de PCI (virtualización, tokenización, cloud, etc.)
Dirigido a Personal de Tecnologías de la Información (TI) que deseen trabajar en seguridad de pagos
Experiencia necesaria 2 años de experiencia en TI (o roles relacionados) y conocimiento en tecnologías de la información, seguridad y arquitecturas de red y seguridad de pagos
Formato de cursos - Cursos presenciales de un (1) día con un instructor. Esta formación puede ser una convocatoria abierta o una formación específica para empleados de una compañía
- Formación online (e-learning) de ocho (8) horas.
Al final se debe presentar un examen.
Certificación - Al aprobar el examen se obtiene la certificación PCI Professional (PCIP)™
- La persona certificada estará listada en el sitio web del PCI SSC como PCI Professional
- Este certificado es personal y no está vinculado a la empresa en la que trabaje el profesional
- Se requiere de un proceso de re-certificación cada tres (3) años
Coste aproximado 2400 USD

Qualified Integrators & Resellers (QIR)™

Qualified Integrators & Resellers (QIR)™ es una certificación para personal que trabaja tiempo completo con una compañía homologada para la instalación, mantenimiento y soporte de aplicaciones certificadas como PA DSS. Se trata de una certificación que está vinculada a la empresa en la que el profesional trabaja.

Nivel Avanzado
Descripción La certificación Qualified Integrators & Resellers (QIR)™ está diseñada para formar a aquellos profesionales que se encargan de acceder, instalar y soportar aplicaciones de pago (y cualquier software dependiente) de acuerdo con la información provista por el desarrollador de la aplicación en la guía de implementación de PA-DSS.
Objetivos y contenido - Visión general de PCI DSS
- Visión general de las aplicaciones PA DSS, sus requerimientos y la guía de implementación de PA DSS
- Soportar el entorno del comercio antes de la implementación de una aplicación PA DSS
- Entender los procesos transaccionales de la industria de pagos, su terminología y las relaciones con proveedores
- Entender los programas de cumplimiento de las marcas de pago
- Preparar y ejecutar una instalación cualificada
- Identificar los requerimientos de calidad de QIR

Dirigido a Personal de empresas integradoras, desarrolladores de software, ingenieros, instaladores y técnicos
Experiencia necesaria Experiencia en aplicaciones de pago, securización de sistemas o seguridad de redes suficiente para conducir la instalación técnicamente compleja de una aplicación PA DSS
Formato de cursos - Formación online (e-learning) de siete (7) horas.
Al final se debe presentar un examen.
Certificación - Al aprobar el examen se obtiene la certificación Qualified Integrators & Resellers (QIR)™
- Este certificado está vinculado a la empresa en la que trabaje el profesional (no es un certificado personal)
- Se requiere de un proceso de re-certificación cada tres (3) años a través de un curso online (e-learning) y un examen
Coste aproximado 395 USD

PCI Internal Security Assessor (ISA)™

PCI Internal Security Assessor (ISA)™ es una formación que le permite al profesional certificado implementar, diagnosticar, recomendar y auditar internamente el cumplimiento de PCI DSS de su organización. Se trata de una certificación que está vinculada a la empresa en la que el profesional trabaja.

Nivel Avanzado
Descripción Esta certificación está orientada hacia la formación de personal de auditoría interna para la realización de diagnósticos y soporte a la implementación de controles de PCI DSS, así como la coordinación con auditores externos.
Los profesionales certificados como "Internal Security Assessor" (ISA) deben ser patrocinados por la organización en la que trabajan. Esto quiere decir que antes de certificar a un profesional, la organización en la que trabaja dicho profesional debe inscribirse como "Sponsor Company"
Objetivos y contenido Parte 1: Fundamentos de PCI (PCI Fundamentals)
- Conocer el rol del PCI SSC (Payment Card Industry Security Standards Council), su historia y objetivos
- Entender los tipos de datos de tarjetas de pago
- Comprender los principios de segmentación de red
- Entender las tareas vinculadas con auditorías de PCI DSS
Parte 2: Certificación ISA (ISA qualification)
- Conocer los objetivos del cumplimiento de PCI DSS
- Analizar los requerimientos de validación y reporte de cada marca de pago
- Revisar los 12 requerimientos de PCI DSS
- Conocer las alternativas de reporte de cumplimiento de PCI DSS
- Conocer el uso apropiado de los controles compensatorios
- Analizar alternativas para la minimización del entorno de cumplimiento
- Desarrollar el cuerpo normativo de PCI DSS
- Entender el concepto de CDE (Cardholder Data Environment)
Dirigido a Personal de auditoría interna, gestión de riesgos y de evaluación de seguridad interna
Experiencia necesaria Experiencia en auditorías de seguridad, seguridad de red, seguridad de aplicaciones e integración de sistemas
Formato de cursos El curso consta de dos partes:
- Parte 1: Fundamentos de PCI (PCI Fundamentals): Esta formación de siete (7) horas puede ser tomada de forma online (e-learning). Al finalizar esta parte se debe presentar un examen.
- Parte 2: Certificación ISA (ISA qualification): Esta formación puede ser tomada a través de un curso presencial de dos (2) días con un instructor o en formato online (e-learning) de ocho (8) horas. Al finalizar esta parte se debe presentar un examen.

Certificación - Al aprobar el examen se obtiene la certificación Internal Security Assessor (ISA)™
- La persona certificada estará listada en el sitio web del PCI SSC como PCI ISA
- Este certificado está vinculado a la empresa en la que trabaje el profesional (no es un certificado personal)
- Se requiere de un proceso de re-certificación cada año a través de un curso online (e-learning) y un examen

Coste aproximado 2.850 - 3.950 USD

Associate QSA

La certificación “Associate QSA” ha sido anunciada recientemente y estará disponible en el primer trimestre de 2018. Mayor información en el artículo “¡Nueva certificación anunciada: Associate QSA!

PCI Qualified Security Assessor (QSA)™

PCI Qualified Security Assessor (QSA)™ es una formación que le permite al profesional certificado ejecutar auditorías de cumplimiento en comercios y proveedores de servicio, así como servir de soporte profesional para consultoria en implementación de controles de seguridad. Se trata de una certificación que está vinculada a la empresa en la que el profesional trabaja.

Nivel Avanzado
Descripción Esta certificación está orientada a profesionales que quieran desarrollar auditorías de cumplimiento de los estándares de PCI SSC en comercios y proveedores de servicios. Existe una certificación para cada estándar (PCI DSS, PA DSS y PCI P2PE ).
El personal que cuenta con esta certificación estará autorizado para la realización de auditorías y preparación de reportes de cumplimiento de cada estándar (SAQ, RoC, RoV y P-RoV) requeridos por las marcas de pago y por los bancos adquirientes.
Los asesores QSA deben trabajar tiempo completo con una empresa homologada (Qualified Security Assessor Company - QSAC) y su credencial estará vinculada a dicha compañía.
Objetivos y contenido Parte 1: Fundamentos de PCI (PCI Fundamentals)
- Conocer el rol del PCI SSC (Payment Card Industry Security Standards Council), su historia y objetivos
- Entender los tipos de datos de tarjetas de pago
- Comprender los principios de segmentación de red
- Entender las tareas vinculadas con auditorías de PCI DSS
Parte 2: Certificación QSA (QSA qualification) en el caso de QSA para PCI DSS
- Conocer los objetivos del cumplimiento de PCI DSS
- Analizar los requerimientos de validación y reporte de cada marca de pago
- Revisar los 12 requerimientos de PCI DSS
- Conocer las alternativas de reporte de cumplimiento de PCI DSS
- Conocer el uso apropiado de los controles compensatorios
- Analizar alternativas para la minimización del entorno de cumplimiento
- Obtener una visión general de las estrategias de mitigación y problemas de cumplimiento
- Conocer el proceso de realización de una auditoría
- Aprender a rellenar los formularios de cumplimiento de auditorías
Dirigido a Profesionales de auditoría y de seguridad en compañías QSA (Qualified Security Assessor Company - QSAC)
Experiencia necesaria - En primera instancia, el profesional que quiera optar por la certificación QSA debe trabajar tiempo completo en una compañía QSA (Qualified Security Assessor Company - QSAC)
- Para optar por las certificaciones PA QSA y P2PE QSA, el profesional primero debe ser PCI DSS QSA
- Para optar por la certificación PCI DSS QSA, el profesional debe tener como mínimo una (1) de las siguientes certificaciones:
* Certified Information System Security Professional (CISSP)
* Certified Information Security Manager (CISM)
* Certified Information Systems Auditor (CISA)
* GIAC Systems and Network Auditor (GSNA)
* Certified ISO 27001, Lead Auditor, Internal Auditor
* International Register of Certificated Auditors (IRCA)
* Information Security Management System (ISMS) Auditor
* Certified Internal Auditor (CIA)
- Adicionalmente, se debe contar como mínimo con un (1) año de experiencia en cualquiera de las siguientes disciplinas:
* Seguridad de aplicaciones
* Seguridad de red
* Auditoría de seguridad de tecnologías de la información (TI)
* Análisis de riesgos de seguridad de TI o gestión de riesgos
* Seguridad de sistemas de información
Formato de cursos En el caso de QSA para PCI DSS, el curso consta de dos partes:
- Parte 1: Fundamentos de PCI (PCI Fundamentals): Esta formación de siete (7) horas puede ser tomada de forma online (e-learning). Al finalizar esta parte se debe presentar un examen.
- Parte 2: Certificación QSA (QSA qualification): Esta formación puede ser tomada a través de un curso presencial de dos (2) días con un instructor. Al finalizar esta parte se debe presentar un examen.
Certificación - Al aprobar el examen se obtiene la certificación Qualified Security Assessor (QSA)™
- La persona certificada estará listada en el sitio web del PCI SSC como PCI QSA
- Este certificado está vinculado a la empresa en la que trabaje el profesional (no es un certificado personal)
- Se requiere de un proceso de re-certificación cada año a través de un curso online (e-learning) y un examen
Coste aproximado 2.750 - 3.550 USD

Approved Scanning Vendor (ASV)™

Approved Scanning Vendor (ASV)™ es una certificación para personal de seguridad que se encarga de la ejecución de los escaneos externos ASV descritos en el req. 11.2.2 de PCI DSS y que trabaja tiempo completo en una empresa homologada ASV. Se trata de una certificación que está vinculada a la empresa en la que el profesional trabaja.

Nivel Avanzado
Descripción La certificación Approved Scanning Vendor (ASV)™ está orientada a personal de seguridad que trabaja tiempo completo en una compañía homologada como Approved Scanning Vendor y que se encarga de la realización de los escaneos ASV requeridos por el requerimiento 11.2.2 de PCI DSS.
El personal que ha recibido esta formación estará en capacidad de ejecutar escaneos de vulnerabilidades externos (ASV), enviar los reportes apropiados de dichos escaneos y mantener unos niveles de calidad internos en las labores vinculadas con esta tarea.
Objetivos y contenido - Visión general del ciclo de vida de PCI DSS y los 12 requerimientos del estándar
- Conocer la terminología empleada en la industria de pagos y sus relaciones
- Analizar los requerimientos, procesos y validación de cumplimiento
- Identificar los roles y responsabilidades dentro del programa ASV
- Visión general de ASV y aseguramiento de la calidad
- Analizar los requerimientos generales para los escaneos ASV
- Conocer el proceso de reporte de los escaneos ASV
- Analizar el proceso de pruebas y aprobación para las compañias ASV

Dirigido a Profesionales de seguridad en compañías ASV
Experiencia necesaria 3 años de experiencia en Tecnologías de la Información (TI) incluyendo un (1) año en escaneos de vulnerabilidades o pruebas de penetración
y
Tener alguna de las siguientes certificaciones: CISA, CISM, CISSP o dos (2) años adicionales de experiencia en al menos dos de las siguientes áreas del conocimiento con al menos un año en cada disciplina: seguridad de redes, seguridad en aplicaciones, seguridad de sistemas, auditoría de seguridad de TI, análisis de riesgos de seguridad de TI.
Formato de cursos - Formación online (e-learning) de cinco (5) horas.
Al final se debe presentar un examen que consta de 60 preguntas de elección múltiple.
Certificación - Al aprobar el examen se obtiene la certificación Approved Scanning Vendor (ASV)™
- Este certificado está vinculado a la empresa en la que trabaje el profesional (no es un certificado personal)
- Se requiere de un proceso de re-certificación cada año a través de un curso online (e-learning) y un examen
Coste aproximado 1095 USD

¿Estás interesado en alguna de las anteriores formaciones profesionales y tienes dudas? Contáctanos en nuestro formulario, déjanos un comentario aquí o en el foro o escríbenos a [email protected] con tus datos e intentaremos colaborarte.

ATENCIÓN: Para nuestros lectores, contamos con códigos de descuento para formaciones presenciales (sujetos a disponibilidad de cursos).