¿Qué debería haber preparado para una evaluación en sitio de cumplimiento de PCI?

Navega tus respuestas
3

La empresa para la que trabajo está a punto de someterse a una evaluación in situ de cumplimiento de PCI. El PCI DSS tiene una especie de lista de verificación, pero para mí todo es muy vago y abstracto. Así que no estoy muy seguro de lo que necesito tener preparado para el QSA, cuando venga.

Más específicamente, me gustaría saber qué es exactamente lo que pide el QSA en cuanto a documentos, software, archivos de configuración, scripts, etc. En el caso de los documentos, ¿qué tan detallada debe ser la información? ¿Solo pautas generales o procedimientos específicos para cada artículo?

Por ejemplo, ¿es aceptable escribir solo algo como esto en mi documento de política?

  

Los procedimientos deben incluir inventarios periódicos de medios para validar la efectividad de estos controles.

¿O debería proporcionar detalles sobre cuáles son estos procedimientos, quién los realizará, durante cuánto tiempo es el período mencionado, etc.?

    
pregunta Otavio Macedo 29.01.2013 - 17:56
fuente

2 respuestas

2

Eso depende de varias cosas. Desafortunadamente, el DSI de PDI es un poco vago en algunas áreas, y diferentes auditores interpretan las cosas de manera diferente. Espere que su primera auditoría llegue a un 80% de lo que necesita para prepararse, el 20% en realidad se reúna y luego espere que las futuras auditorías se realicen sin problemas. Pero su QSA le dirá lo que espera.

Sin embargo, en general, debería haber escrito políticas sobre cómo proteger sus datos (copias de seguridad, en vivo, etc.) y poder generar registros y pruebas que demuestren que sigue los procedimientos.

Por ejemplo, para satisfacer la sección 6, los desarrolladores deben tener un proceso de desarrollo documentado. Nosotros lo hacemos, y nuestro proceso incluye pasos como revisiones de código (por lo que proporcionamos copias de revisiones de código completas) procedimientos para solicitar a los administradores que publiquen un elemento etiquetado específico del control de origen para abordar la separación de inquietudes (por lo tanto, proporcionamos tickets de solicitud de cambio que especifican qué versión del código fuente se publica en qué fecha / hora).

Lo mismo ocurre con el resto de la auditoría. Haga que sus procedimientos estén documentados y proporcione pruebas de que sigue esos procedimientos.

En cuanto a qué tan detalladas deben ser las políticas, debe incluir su rastro impreso en las políticas, de modo que el auditor sepa qué esperar de la documentación y se obligue a usted mismo a recopilar la documentación durante todo el año. Hace las cosas mucho más fáciles. Incluya elementos en sus políticas, como "Todos los cambios están registrados (nombre de un sistema)" y luego realmente registre sus cambios en ese sistema .

Lo más probable es que sus prácticas actuales no cumplan los requisitos al 100% o que no pueda proporcionar esa documentación. En general, eso parece esperarse en una primera auditoría (o al menos eso es lo que yo reconozco de nuestros auditores) y la primera auditoría es una especie de revelación. Le enseña dónde necesita mejorar sus políticas (y cómo mejorarlas ahora mismo). Es probable que tenga la oportunidad de proporcionar lo que tiene y comenzar a redactar nuevas políticas bajo la guía de su auditor. En los años siguientes, espere menos indulgencia.

    
respondido por el David Stratton 29.01.2013 - 18:59
fuente
2

Esta es una pregunta común. Es útil saber exactamente qué debe confirmar el QSA según lo exige el consejo de PCI. Utilice el siguiente documento como guía:

enlace

Verás que las instrucciones para el QSA son muy específicas y estas son las cosas que él buscará. La columna "Detalles de informes de ROC" proporcionará una exageración casi exacta de los elementos que deben encontrarse en sus políticas, así como los elementos que deberá verificar. Las políticas son su responsabilidad de prepararse antes de que llegue, pero le pedirá que le muestre cualquier otra cosa que sea necesaria para su validación. Por supuesto, si es un buen QSA, aclarará todo esto para usted.

    
respondido por el freb 30.01.2013 - 04:56
fuente

Lea otras preguntas en las etiquetas

Reportar una dirección de correo electrónico utilizada por un phisher ¿Cuál es la técnica para determinar si un usuario está "leyendo" una página llamada? (similar a "desplazamiento infinito")