Prueba 7.3 del estándar PCI DSS

Navega tus respuestas
3
  

7.3 Examinar la documentación, entrevistar al personal para verificar que las políticas de seguridad y los procedimientos operativos para restringir el acceso a los datos del titular de la tarjeta sean:   · Documentado,   · En uso, y   · Conocido por todas las partes afectadas.

Como proveedor de servicios que proporciona monitoreo para clientes en sus redes y ubicaciones de centros de datos, me pregunto cómo puedo probar esta pregunta bastante verbal para mi validación de evaluación PCI DSS .

La compañía ha implementado información de seguridad y prueba para validar que todos los empleados hayan recibido información sobre cómo manejar datos confidenciales, como información de tarjetas de crédito y fugas, etc.

¿Pero cómo hago una prueba de la cita anterior? ¿Cómo compruebo que al monitorear su red y sistemas, no registramos ningún tipo de información de tarjeta de crédito ni datos del titular de la tarjeta?

    
pregunta OMG-1 07.09.2016 - 15:22
fuente

1 respuesta

1

La audiencia para esa guía es QSAs, asesores de seguridad calificados, cuyo trabajo es aparecer en el sitio, examinar la documentación, entrevistar al personal y realizar otras actividades relacionadas con la auditoría para garantizar que estén cómodos emitiendo un informe que indique que la compañía cumple con PCI .

En términos de la prueba específica, el auditor decidirá qué evidencia debe considerar, cualquiera que sea la documentación que tenga, la configuración, los archivos de registro, para determinar si cumple con los estándares. Deben proporcionarle alguna dirección con respecto a las piezas de evidencia específicas que necesitan ver.

Nivel superior: como proveedor de servicios cuyos clientes deben ser compatibles con PCI y cuyo compromiso con esos clientes expone los sistemas que usted controla a los entornos de datos de tarjetas de sus clientes, debe tener su propia documentación de cumplimiento de PCI, ya sea su propio Informe de cumplimiento proporcionado por un auditor, o, si los niveles de transacción de sus clientes son lo suficientemente bajos, un Cuestionario de autoevaluación del proveedor de servicios. Esa documentación se proporciona a los clientes como evidencia cuando pasan por sus propias auditorías de PCI. Los clientes no deben acudir a usted para obtener respuestas a preguntas específicas sobre su propio cumplimiento.

    
respondido por el Jonah Benton 07.09.2016 - 17:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo verificar si NTLM v2 o v1 se usa para la autenticación? ¿Se pueden utilizar hashes deliberadamente de baja entropía para evitar ataques de diccionario?