Cuando se trata de proteger los datos del titular de la tarjeta contra violaciones de seguridad, PCI DSS es el estándar de seguridad más importante.

Pero con requisitos tan estrictos, el proceso de certificación puede ser estresante y desalentador, especialmente si es la primera vez que se certifica.

¿Por dónde empezar? ¿Qué políticas y controles necesita? Si necesita una auditoría, ¿cómo saber si está listo?

Comprender el proceso de certificación PCI puede ayudarlo a prepararse mejor para una auditoría exitosa o una autoevaluación. Por eso, a continuación lo guiamos por cada paso del proceso.

Proceso de cumplimiento de PCI DSS

Paso 1: Identifique el nivel de cumplimiento requerido

PCI DSS tiene diferentes niveles de cumplimiento según algunos factores:

• Tamaño de su organización
• Número de transacciones con tarjeta de crédito anuales
• Requisitos de sus clientes o del banco adquirente

El primer paso para la certificación es determinar qué nivel de cumplimiento necesita.

La entidad que requiere su cumplimiento PCI (clientes, banco adquirente, compañía de tarjetas de crédito) generalmente indica en su solicitud que debe completar un Informe de Cumplimiento (RoC) o un Cuestionario de Autoevaluación (SAQ).

Si no recibe una solicitud específica, puede usar estas preguntas para determinar su nivel de cumplimiento.

Primero: ¿Es usted un comerciante o un proveedor de servicios?

• Los comerciantes son organizaciones que aceptan pagos con tarjeta a cambio de bienes y servicios. Por ejemplo, empresas de comercio electrónico.
• Los proveedores de servicios son organizaciones que procesan pagos en nombre de otra empresa.

A continuación: ¿Cuántas transacciones procesa anualmente?

• Nivel 1 de comerciantes: Más de 6 millones de transacciones
• Nivel 2 de comerciantes: 1-6 millones de transacciones
• Nivel 3 de comerciantes: 20.000-1 millón de transacciones
• Nivel 4 de comerciantes: Menos de 20.000 transacciones
• Nivel 1 de proveedores de servicios: Más de 300.000 transacciones
• Nivel 2 de proveedores de servicios: Menos de 300.000 transacciones

Los comerciantes de nivel 1 y los proveedores de servicios de nivel 1 deben completar un RoC de PCI.

Si no entra en estas categorías, debe completar un SAQ. El SAQ consta de dos partes:

• Un conjunto de preguntas autoguiadas diseñadas para evaluar su nivel de cumplimiento
• Un Certificado de cumplimiento (AoC). En este documento, debe confirmar que califica para completar el SAQ y que lo ha hecho.
• Es posible que, dependiendo de tu nivel de PCI DSS, se te solicite que una firma QSA confirme tu SAQ.

Paso 2: Realiza una evaluación de preparación

Para prepararte para una evaluación, debes asegurarte de que existen políticas, procedimientos y controles, y que se sigan durante el periodo de auditoría. También debes completar un escaneo ASV y una prueba de penetración.

En este punto, la mayoría de las organizaciones optan por una evaluación de preparación con un Asesor de Seguridad Calificado (QSA) o con Secureframe. Este experto en PCI DSS determinará si tu alcance, controles y procesos están listos para ser auditados.

Paso 3: Completa un RoC o SAQ

Si eres un comerciante o proveedor de servicios de Nivel 1, debes completar un Informe de Cumplimiento (RoC) anualmente. Esta es una auditoría externa realizada por un QSA. El QSA revisará tus políticas, procesos, controles y evidencia para decidir si cumples con los requisitos de PCI DSS.

Si no necesitas un Informe de Cumplimiento (RoC), completa un SAQ. Este cuestionario cubre cada requisito, las pruebas esperadas y pregunta si el control está:

• Presente
• Presente con un control compensatorio (Se pueden considerar controles compensatorios si una organización no puede cumplir explícitamente con un requisito debido a limitaciones técnicas o documentadas operativas legítimas, pero el riesgo asociado con el requisito se ha mitigado adecuadamente mediante la implementación de otros controles.)
• No presente
• No aplicable
• No probado

Paso 4: Mantén la certificación

Tanto el RoC como el AoC son válidos por un año. Para mantener la certificación, debes completar un RoC o SAQ y AoC anualmente.

Aquí hay algunas otras tareas periódicas que deberás planificar durante el año para mantener tu certificación PCI:

• Tareas diarias: Revisa registros y todas las alertas para detectar anomalías o actividades sospechosas.
• Tareas semanales: Los escaneos de supervisión de integridad (comparando archivos críticos) deben realizarse al menos semanalmente.
• Tareas mensuales: Instala todos los parches de seguridad proporcionados por el proveedor para proteger los componentes del sistema y el software contra vulnerabilidades conocidas.
• Tareas trimestrales: Revisa el acceso de los usuarios, escanea en busca de redes inalámbricas no autorizadas y asegúrate de que los datos fuera del periodo de retención se eliminen. También debes realizar escaneos de vulnerabilidad con un proveedor de escaneo autorizado (ASV).
• Tareas semestrales: Revisa las configuraciones del firewall y del router.
• Tareas anuales: Revisa y aprueba políticas nuevamente, solicita a los empleados que reconozcan la política de seguridad de la información y realiza una evaluación de riesgos y una prueba de penetración. También deben completarse las formaciones sobre codificación segura para desarrolladores y las formaciones sobre concienciación de seguridad para los empleados.