¿Software de gestión de políticas PCI? [cerrado]

Recomendaría utilizar un wiki para almacenar las políticas, luego obtendrás el control de versiones, etc. También puedes crear plantillas que incluyan la información de control de documentos que necesitas para evidenciar, como la fecha de cambio, la fecha de aprobación, la fecha de vigencia, etc. Probablemente podría salirse con una wiki liviana, pero si tiene SharePoint o KnowledgeTree, ese podría ser el camino a seguir. Semantic Media Wiki también puede ser una buena opción. La ruta wiki también es buena porque puede incrustar claves y etiquetas, como los requisitos de PCI aplicables, lo que facilita mucho el seguimiento de las políticas individuales y la referencia cruzada.

Si observamos la Guía de puntaje de PCI , vemos que 12.6.2 dice

  

12.6.2 Verifique que la conciencia de seguridad   programa requiere personal para   reconocer, por escrito o electrónicamente, a   Menos anualmente que han leído y   entender la política de seguridad de la información

Siempre consulte con su propio QSA, pero si tiene un grupo lo suficientemente pequeño, probablemente pueda combinar esto de alguna manera con su capacitación anual en 12.6.1; realice una sesión de capacitación con una hoja de registro y otra columna para la aprobación de la política.

Si usa Outlook, puede usar la función del botón de votación para recopilar respuestas, pero probablemente le convenga mejor implementar algún tipo de aplicación web de encuesta que le permita elaborar preguntas de la encuesta. Podría ser extremadamente riguroso y probarlos sobre lo que leyeron, pero sus conceptos básicos serían un campo de nombre, una casilla de verificación y tal vez un campo adicional para las iniciales de una firma digital. Si usa SharePoint, nuevamente puede usarse para recopilar encuestas.

No tengo ninguna familiaridad, pero hice una búsqueda rápida y encontré esto:

• policyIQ (software comercial de gestión de políticas)
• Power DMS - Policy Workflow (otra solución comercial)

Puede haber una solución más personalizada por ahí, pero me parece que una wiki interna fácil de usar suele ser el mejor enfoque. Permite a muchos usuarios actualizar las políticas, proporciona control de versiones y permite a todos acceder fácilmente a la última versión de la política de la empresa para todos los empleados.

No aborda su inquietud sobre las personas que firman la política, pero el punto 12.6.2 del DSS solo requiere que el personal reconozca anualmente que ha leído y comprendido la política. Esto se puede hacer digitalmente a través de correo electrónico o de otra manera; no tiene que ser una firma física.

Aquí hay algunos de los wikis que recomiendo:

• TWiki - Gratis
• DokuWiki - Gratis
• Confluence - Payed
• Wiki de Django - Gratis

Editar

Desde que publiqué esto, he observado que también utilizo un wiki para los agradecimientos. Siempre que cada usuario tenga su propia cuenta, puede crear una página para las firmas del año (es decir, "Reconocimientos de políticas 2015") y todos pueden editar esa página y agregar su nombre para confirmar que han leído / aceptado las políticas en el Wiki. . Dado que el Wiki está controlado por versión y generalmente permite que las diferencias de página cambien de historial, podrá ver que cada cuenta de usuario única agregó su nombre a la página. Proporciona tanta seguridad como el correo electrónico con la ventaja de mantener todos los reconocimientos en una sola página.

Aquí hay un ejemplo de registro de cambios de Django Wiki que muestra el cambio y el usuario que realizó el cambio:

No conozco de antemano ningún sistema en particular que haga eso, aunque estoy seguro de que tales sistemas existen. Dicho esto, en mi experiencia, el software que estás buscando es un humano.

1. Las personas ignoran los correos electrónicos recordatorios de un sistema, los seres humanos son más difíciles de ignorar.
2. El humano puede aplicar el conocimiento en cuanto a áreas de responsabilidad y garantizar que se recuerde a las personas correctas .
3. El humano puede aplicar habilidades de traducción entre los requisitos de PCI / QSA y la base de documentación establecida por la empresa que un sistema no puede.
4. En resumen, el cumplimiento de PCI es un problema de administración de proyectos, y el software no administra los proyectos, las personas sí.

Sí, estos deberes comprometerán importantes recursos de ese ser humano al menos una vez al año. Dependiendo de por qué necesita el cumplimiento de PCI, puede valer la pena (por ejemplo, un comerciante puede poner menos valor en perfeccionar su proceso de auditoría de cumplimiento que un procesador de pagos; las multas por perder el cumplimiento son más severas para este último). Desafortunadamente, ese es el nombre del juego de cumplimiento. Mucha gente dice que no debe confundir el cumplimiento con la seguridad, tampoco debe asumir que se puede hacer de manera eficiente.

Mi última empresa utilizó EtQ Reliance. Pero tampoco era barato o fácil de usar.

enlace

Antes de EtQ, utilizamos un sistema basado en papel y nos aseguramos de seguir la regla si no está capacitado en un documento y no está aprobado, entonces no puede hacer lo que sea para ese documento. Y los gerentes de un proceso no pueden obtenerlo en producción sin obtener su documentación terminada y aprobada.

Aunque todo lleva mucho tiempo.

No estoy seguro de que este sea un problema que se aborde mejor con una solución técnica.

Su equipo de administración ha decidido, supongo, que es un requisito comercial para obtener el cumplimiento de PCI. (Si no es así, ¿por qué lo intentas?)

Luego, si tiene un usuario que no realizará el trabajo, su jefe debe gritarles hasta que lo hagan. Las políticas corporativas no son opcionales.

(Ahora, no estoy diciendo que no debas buscar que el sistema funcione mejor para tus usuarios. Siempre debes tratar de hacer eso. Pero: no se les permite omitir el trabajo en el Mientras tanto.)

No estoy seguro si ha encontrado una solución pero, si no, consulte: Solución de software de administración de políticas de MetaCompliance Este es un sistema de administración de políticas que es excelente para crear las políticas y distribuirlas entre el personal y los proveedores externos. Automatiza la distribución de políticas y tiene características de cumplimiento que garantizan que el personal se registre. Cada respuesta se captura y se muestra en auditorías e informes fáciles de leer. Espero que esto ayude (Karen McNaught, Gerente de Marketing Metacompliance).

Me gustaría recomendar MetaCompliance: tienen un conjunto de Soluciones de software de administración de políticas (SaaS) que cubre Gobernanza, Riesgo y Cumplimiento (GRC), Seguridad y Garantía de la Información. Su software fomenta la máxima participación del usuario cuando se trata de estas áreas.

El software cumple con ISO 27001, ITIOL y COBIT Governance Frameworks e incluye una excelente serie de herramientas de informes que incluyen métricas sobre la actividad del contenido de aprendizaje, la gestión de riesgos y la producción de informes para auditores y reguladores.

Funciona en dispositivos móviles