La certificación PCI puede ser un proceso prolongado que requiere meses de trabajo manual para prepararse para una evaluación.
El software de automatización de cumplimiento puede acortar significativamente este período de tiempo. Al recopilar pruebas automáticamente y monitorear su stack tecnológico, el tiempo de preparación para una evaluación se reduce en cientos de horas.
En este artículo, describimos las diferentes fases del cumplimiento de PCI y cuánto tiempo lleva obtener la certificación, tanto con como sin automatización.
Cronograma de Cumplimiento de PCI DSS
Preparación de la evaluación: Meses 1 - 4
- Paso 1: Determine el nivel de PCI
- Paso 2: Defina el alcance de PCI
- Paso 3: Realice una evaluación de riesgos y un análisis de brechas
- Paso 4: Desarrolle e implemente políticas y controles
- Paso 5: Documentar y recopilar pruebas
RoC o SAQ: Meses 5 - 8
- Paso 6: Las medidas de seguridad y los procesos empresariales se evalúan en una auditoría externa o en un SAQ revisado por un QSA o una parte interna.
- Paso 7: Se implementan medidas correctivas para controles que no están presentes.
- Paso 8: Obtenga o complete su certificación de cumplimiento, válida por un año.
Monitoreo y mejora continua: Meses 8 - 12
- Paso 9: Monitoree continuamente su entorno de cumplimiento
- Paso 10: Realice tareas recurrentes periódicas durante el año
Recertificación: Mes 12
- Paso 11: Complete anualmente un RoC o SAQ
¿Cuánto tiempo lleva cumplir con PCI DSS?
Cuánto tiempo se tarda en cumplir con PCI depende del tamaño de su empresa, la complejidad de la gestión de los datos del titular de la tarjeta y la disponibilidad para implementar los controles de PCI DSS.
Una pequeña o mediana empresa puede esperar estar lista para la auditoría en un promedio de cuatro meses y completar el proceso de evaluación en seis meses. Las organizaciones más grandes pueden necesitar de ocho meses a un año o más.
Estos cuatro meses de preparación para la auditoría generalmente incluyen la definición de su CDE, la realización de una evaluación de riesgos y análisis de brechas, la creación e implementación de controles, la capacitación del personal, y la preparación de documentación y pruebas.
El proceso de evaluación puede tardar de 2 a 3 meses, dependiendo de si completa un informe de auditoría de cumplimiento completo o un cuestionario de autoevaluación. Si es un comerciante o proveedor de servicios de nivel 1, será auditado por una empresa QSA externa y recibirá un RoC que describe el entorno de los datos del titular de la tarjeta, los controles PCI DSS y una descripción detallada de la implementación de estos controles en su empresa.
Si no cae en estas categorías, completará un SAQ. Puede hacer que una QSA revise el SAQ para determinar el estado de cumplimiento de su empresa con PCI, o puede auto-certificarlo.
Fase previa a la auditoría: meses 1-4
Durante este tiempo, determinará qué nivel de cumplimiento debe cumplir y si necesita un RoC o SAQ. También definirá el alcance de su CDE para determinar todos los componentes que deben incluirse en el alcance de acuerdo con el estándar PCI DSS.
A continuación, deberá realizar una evaluación de riesgos para identificar y mitigar los riesgos potenciales que podrían afectar a su entorno de datos del titular de la tarjeta. También puede optar por contratar a un asesor externo o utilizar la herramienta de enfoque priorizado para realizar un análisis de brechas y proporcionar instrucciones sobre cómo puede cumplir con los requisitos de PCI.
En la fase de preparación para la evaluación, también deberá preparar documentación, incluyendo la redacción de políticas de seguridad, la implementación de controles técnicos y operativos, y la capacitación de su personal en conciencia de seguridad PCI.
Fase de evaluación: 1-2 meses
Hay dos posibles evaluaciones que una organización debe pasar para cumplir con PCI: una auditoría externa o una autoevaluación.
Si su organización somete a una auditoría externa para una evaluación de nivel 1, la QSA elaborará un resumen de los resultados, listando los controles y documentación proporcionados durante la fase de auditoría en el informe de cumplimiento.
Si su organización completa un cuestionario de autoevaluación (SAQ), entonces como organización certifica su propio cumplimiento. Un auditor externo puede confirmar su SAQ si se requiere una auditoría de terceros.
Cómo la automatización del cumplimiento simplifica la certificación PCI DSS
El proceso tradicional para lograr el cumplimiento de PCI requiere una gran cantidad de trabajo manual. Debe recopilar y organizar cientos de pruebas, redactar más de una docena de políticas, averiguar quién no ha completado el entrenamiento PCI y las revisiones de políticas, y realizar una gran cantidad de otras tareas tediosas y que consumen mucho tiempo.
Secureframe hace que todo el proceso sea mucho más eficiente. Ayudamos a las empresas a lograr su certificación PCI DSS en una fracción del tiempo.
Así es como:
Recopilación de pruebas automatizada
Nuestra plataforma recopila automáticamente pruebas para muchos de los requisitos técnicos de PCI. Secureframe también garantiza que permanezca seguro al notificarle cuando los controles ya no cumplan con las regulaciones y proporcionar detalles sobre cómo pueden corregirse.
Plantillas de políticas
En lugar de redactar políticas complejas y específicas desde cero, puede seleccionar, personalizar y enviar para revisión a su personal las plantillas de políticas de seguridad PCI DSS de nuestra biblioteca. Todas las políticas están creadas, revisadas y aprobadas por exauditores y expertos en cumplimiento.
Tableros de preparación para auditorías
Asigne a su equipo capacitaciones sobre conciencia de seguridad PCI y revisiones de políticas y realice un seguimiento a través de un tablero para asegurarse de que estas tareas se completen. Obtendrá una visión en tiempo real de los controles aprobados y de los pasos que debe seguir para cumplir con PCI DSS.
Monitoreo continuo
Supervise continuamente sus controles PCI para garantizar la protección de los datos del titular de la tarjeta durante todo el año mediante el uso de nuestras más de 125 integraciones.