Requisito 12.1.2 de PCI DSS: ¿Es suficiente apuntar a un proceso estándar?

Navega tus respuestas
2

El artículo 12.1.2 de PCI DSS requiere que la política de seguridad de la compañía:

  

12.1.2 Incluye un proceso anual que identifica amenazas y vulnerabilidades, y da como resultado una evaluación de riesgos formal.

El NIST ha publicado una Guía para realizar Evaluaciones de riesgo , que es bastante detallada y podría utilizarse como nuestro proceso. Para satisfacer ese requisito, ¿basta con solo apuntar a la Guía NIST o debería la compañía desarrollar su propio proceso personalizado (aunque basado en la Guía)?

    
pregunta Otavio Macedo 31.01.2013 - 20:06
fuente

1 respuesta

2

De un vistazo, la guía NIST a la que te has vinculado describe los objetivos y los antecedentes que se realizarían en una evaluación, pero no hay nada que puedas señalar y decir: "Hemos seguido estos pasos". No proporciona un proceso cuantificable y verificable que un auditor pueda confirmar.

Tendrás que encontrar otro recurso o desarrollar el tuyo.

    
respondido por el Jeff Ferland 31.01.2013 - 20:12
fuente

Lea otras preguntas en las etiquetas

mod_spamhaus ejemplo de lista blanca para permitir un rango de ips Encriptación SSD con contraseña ATA - ¿Modo AHCI?