Para los comerciantes, las listas de verificación de auditoría de PCI DSS son cada vez más esenciales a medida que la lista de requisitos y amenazas sigue creciendo.
El equipo de Very Good Security ha visto a numerosas empresas luchar durante Auditoría PCI DSS en su propia.
Si bien las violaciones de datos van en aumento, las empresas luchan por cumplir con los estándares de cumplimiento. 51,9% de las empresas en una encuesta reciente de Verizon reveló que probaron sin éxito su sistema y procesos de seguridad.
Además, menos de la mitad de las organizaciones cambian las contraseñas predeterminadas de otros proveedores, que es uno de los requisitos más fáciles de implementar.
La mayoría de los elementos que las empresas pasan por alto Cumplimiento de PCI DSS puede identificarse durante una auditoría de PCI.
Si planea cumplir con PCI o desea mantener su certificación, se le pedirá que presente una auditoría anualmente.
Cumplimiento de PCI en pocas palabras
Los comerciantes y proveedores de servicios que procesan transacciones con tarjetas de débito o crédito deben lograr cierto nivel de cumplimiento de PCI. Hay cuatro niveles para comerciantes y dos para proveedores de servicios, y el diferenciador principal entre los niveles es la cantidad de transacciones que procesa por año.
Abreviatura de Estándar de seguridad de datos de la industria de tarjetas de pago, el cumplimiento de PCI DSS está destinado a ayudarlo a prevenir fraudes y violaciones de datos. Hay seis objetivos principales, que se dividen en 12 requisitos. Y estos requisitos se subdividen nuevamente en cientos de mini requisitos.
Es bastante extenso. Y esa es una de las razones por las que a menudo se siente abrumador.
¿Qué es una auditoría de PCI y por qué la necesita?
Para lograr su certificación de cumplimiento, deberá completar una auditoría de PCI. El costo de su auditoría específica variará según su entorno de datos, su nivel de PCI, el tamaño de su organización y los honorarios de su auditor individual. El cronograma también depende de los mismos factores y puede tardar entre 4 y 6 meses en completarse.
Sin embargo, esta auditoría es esencial para garantizar que sus sistemas sean seguros. Un auditor experimentado y minucioso podrá comprender su industria y cómo la recopilación, el almacenamiento y la transmisión de datos se ajustan a sus objetivos. También podrán identificar posibles debilidades.
Y encontrar estas debilidades en sus sistemas es crucial. Ninguna de las empresas en las investigaciones de violación de datos de Verizon eran 100% compatibles con PCI. Una auditoría puede ayudarlo a cumplir y mantener el cumplimiento, reduciendo así su riesgo.
Una auditoría de PCI profundiza en sus sistemas para monitorear cómo está cumpliendo con los siguientes objetivos.
Construya y mantenga una red y sistemas seguros
Debería utilizar firewalls y enrutadores, así como cambiar las contraseñas predeterminadas proporcionadas por el proveedor y otros datos. Tanto las rutas entrantes como las salientes a su red deben tener controles de seguridad adecuados.
Proteja los datos del titular de la tarjeta
¿Cómo protege los datos de sus titulares de tarjetas cuando los recopila, transmite o almacena? ¿Qué pasa cuando tienes versiones físicas?
La protección de los datos de los titulares de tarjetas está relacionada en gran medida con la tecnología, como el empleo de tokenización, alias de datos o cifrado. Pero también es importante asegurarse de que sus empleados comprendan cómo manejar los datos de forma segura.
Mantener un programa de gestión de vulnerabilidades
Debe asegurarse de que su software antivirus esté actualizado y de tener otros controles configurados para virus, malware y otras ciberamenazas.
Implementar fuertes medidas de control de acceso
Los empleados u otro personal interno participan en 34% de violaciones de datos. Debe tener un sistema de autenticación y acceso de usuarios para asegurarse de que sus datos estén seguros. La lista de personas que tienen acceso a datos confidenciales debe ser breve.
Monitorear regularmente las redes de prueba
Debería poder monitorear sus sistemas con regularidad y probar sus sistemas para asegurarse de que sus controles funcionen correctamente. Si bien una auditoría de PCI, en cierto sentido, es una revisión de sus controles, es mejor no esperar hasta que necesite una para comenzar a probar sus sistemas.
Mantener una política de seguridad de la información
Finalmente, querrá capacitar a sus empleados sobre sus políticas de protección de datos y asegurarse de que comprendan cómo y por qué se enfoca en el cumplimiento.
Su lista de verificación de auditoría de PCI
Su auditoría de PCI cubre una amplia gama de actividades de seguridad. Para prepararse para su auditoría de PCI, puede hacerlo paso a paso.
Mapee sus sistemas
Primero, querrá mapear sus sistemas y detallar cómo interactúa con los datos del titular de la tarjeta. Esto incluye todo, desde recopilar datos hasta almacenarlos y transmitirlos. También querrá incluir a cualquier proveedor externo que tenga acceso a sus datos.
Considere estas preguntas.
- ¿Cuántas transacciones procesa anualmente?
- ¿Cómo procesa las transacciones con tarjeta de pago?
- ¿Qué tipo de datos recopila?
- ¿Cómo lo recolectas?
- ¿Dónde se almacena?
- ¿Se pueden almacenar los datos en otro lugar que no sea el área designada?
- ¿Cómo se transmiten los datos?
- ¿Tiene purgas regulares?
- ¿Quién tiene acceso a estos datos?
- ¿Está utilizando cifrado, tokenización u otro método para proteger esos datos?
- ¿Tiene políticas vigentes en caso de incumplimiento?
- ¿Sabe su personal cómo manejar de forma segura los datos de los titulares de tarjetas en todas sus formas?
Una vez que comprenda mejor su alcance y límites, podrá comenzar a prepararse para su auditoría.
Determine su nivel de PCI
Sus requisitos de PCI específicos diferirán según su nivel de PCI. Hay cuatro niveles para comerciantes y dos para proveedores de servicios.
- Nivel 1: Comerciantes que procesan más de 6 millones de transacciones con tarjeta al año o proveedores de servicios que procesan 300.000 transacciones.
- Nivel 2: Comerciantes que procesan de 1 a 6 millones de transacciones al año o proveedores de servicios que procesan menos de 300 000 transacciones al año.
- Nivel 3: Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año.
- Nivel 4: Comerciantes que procesan menos de 20.000 transacciones al año.
Comprenda la documentación de su SAQ
El siguiente paso es comprender los requisitos de auditoría de PCI. Si bien los niveles 2-4 no están obligados a preparar una auditoría externa, todos los comerciantes y proveedores de servicios deben enviar una Cuestionario de autoevaluación (SAQ).
Este cuestionario es una serie de preguntas de sí o no. Hay varias versiones de SAQ según su nivel de PCI y cómo procesa los pagos.
- SAQ A – Para comerciantes que subcontratan todo su proceso de pago independientemente del canal.
- SAQ A-EP – Este formulario es específico para comerciantes y proveedores de comercio electrónico que subcontratan su procesamiento de pagos pero no el sitio web, si el sitio web puede afectar la seguridad del canal de pago.
- SAQ B – Comerciantes que utilizan máquinas de impresión sin almacenamiento de datos eléctricos o terminales independientes sin almacenamiento de datos. Esto no incluye a los comerciantes de comercio electrónico.
- SAQ B-IP – Comerciantes que utilizan terminales de pago aprobados por PTS con conexión IP y sin almacenamiento de datos eléctricos para pagos. Esto no incluye a los comerciantes de comercio electrónico.
- SAQ C-VT – Comerciantes sin almacenamiento electrónico de datos de titulares de tarjetas que procesan los pagos de uno en uno escribiéndolos individualmente en una palabra clave en un portal de pago. Esto no es relevante para los comerciantes de comercio electrónico.
- SAQ C – Comerciantes que procesan pagos a través de Internet pero que no requieren recopilar ni almacenar datos de titulares de tarjetas. Este formulario no es aplicable a los canales de comercio electrónico.
- SAQ P2PE-HW – Comerciantes que utilizan terminales de pago de hardware gestionados P2PE validados y listados en PCI-SSC. Esto no se aplica a los canales de comercio electrónico.
- SAQ D – Este formulario incluye todos los comerciantes que no se han mencionado en los formularios anteriores y todos los proveedores de servicios.
Solucione los problemas restantes
Si marca «no» a alguna pregunta en su SAQ, es probable que necesite arreglar alguna parte de su sistema. Asegúrese de hacer esto antes de traer a un auditor.
Encuentra un auditor
Si necesita el cumplimiento de PCI de nivel 1, deberá encontrar un auditor calificado para su auditoría externa. Un auditor de PCI experto, denominado asesor de seguridad calificado (QSA), podrá revisar minuciosamente sus sistemas y detectar cualquier problema restante.
Para los comerciantes y proveedores de Nivel 1, también podrán proporcionar un Informe de cumplimiento (ROC), que necesita para obtener la certificación PCI.
Al evaluar a un auditor potencial, querrá observar los siguientes criterios.
- ¿Tienen experiencia en su industria específica?
- ¿Cuánto tiempo han sido QSA?
- ¿Cuántas empresas han auditado?
- ¿Cuál es su metodología?
- ¿Tienen referencias o comentarios de clientes?
- Cual es su disponibilidad?
- Si forman parte de una empresa, ¿cuál es la tasa de rotación de QSA para esa empresa?
No vaya solo a su auditoría de PCI
No hay duda de que las auditorías de PCI DSS requieren mucha mano de obra. No solo tiene que revisar todo su sistema de procesamiento de pagos y sus políticas, sino que también debe corregir los puntos débiles, completar un SAQ y, potencialmente, contratar a un auditor externo si necesita el nivel 1 de cumplimiento.
Pero las cosas están cambiando.
Antes, podía subcontratar solo fragmentos de su cumplimiento de PCI mientras asumía toda la responsabilidad en caso de incumplimiento. Ahora puede transferir toda la responsabilidad y la carga a un socio experto en datos.
VGS no solo asume la carga de una filtración de datos y protege completamente sus procesos de recopilación, almacenamiento y transmisión de datos, sino que también puede ayudarlo paso a paso a través del proceso de auditoría. Eso incluye encontrarle un QSA experto para realizar la auditoría externa final.
¿La mejor parte? En lugar de dedicar meses o incluso un año al cumplimiento de PCI DSS, puede obtener la certificación en semanas.
La seguridad de los datos es demasiado importante para omitirla. Con VGS, puede obtener seguridad a nivel empresarial y ayuda con su auditoría PCI sin estrés. De esa manera, ambos pueden disfrutar de la tranquilidad de una mejor seguridad de los datos, mientras se concentran más en su negocio.
