PCI DSS

El objetivo de este estándar fue el de establecer un marco común de controles de seguridad en términos de desarrollo seguro para aquellas aplicaciones de pago que cumplan con los siguientes criterios:
Almacenan, procesan o transmiten datos de tarjetas de pago como parte de los procesos de autorización o liquidación, y Son vendidas, distribuidas o licenciadas por terceros.
Ya han pasado más de diez años desde aquel entonces (actualmente la versión de PA DSS es la 3.2) y tanto la tecnología, las metodologías de desarrollo y las amenazas a las aplicaciones de pago han cambiado. Es por ello que el PCI SSC ha considerado que los controles del estándar PA DSS se han quedado anticuados frente a los riesgos actuales y ha visto la necesidad de evolucionar los criterios de seguridad en el ciclo de vida de desarrollo de software, tanto para aplicaciones tradicionales como para aplicaciones emergentes, apostando por el desarrollo de un nuevo estándar de seguridad: PCI Software Security Standard (S3) Framework.
Este nuevo marco de trabajo será publicado a finales de 2018 como resultado de la revisión y comentarios de las organizaciones participantes del PCI SSC. La estructura de PCI S3 contará con tres documentos principales:
Requerimientos de seguridad de software (“Software Security Requirements”):
Controles específicos para software de pago para proteger de forma adecuada la integridad y confidencialidad de las transacciones de pago y sus datos asociados.
Requerimientos de seguridad del ciclo de vida de desarrollo de software (“Secure Software Life Cycle Requirements”): Controles de seguridad para empresas desarrolladores de software de pago para gestionar de forma efectiva la seguridad en el desarrollo durante todo el ciclo de vida de sus aplicaciones.

Visión general del marco de trabajo PCI S3 (“S3 Framework Overview”): Un documento en donde se describirá a alto nivel el marco de trabajo propuesto y su programa de validación relacionado.
La empresa que puede brindar la certificación es BOTECH FPI que según lo que mencionan, tienen dos objetivos:
-        -   Minimizar el fraude.
-         -  Apoyar a las organizaciones en la implementación de buenas prácticas de seguridad recogidas en la norma.
Su metodología es la siguiente:
Fase 1 – Curso inicial de capacitación
El objetivo es abordar temas sobre conceptos generales, puntos clave para el cumplimiento y concienciar dentro de la organización
Fase 2 – Asesoramiento experto
Se realizarán entrevistas y se revisará la documentación necesaria para establecer y registrar los procesos activos y los proveedores involucrados que determinarán el alcance de PCI DSS.
Fase 3 – GAP Analysis gratuito
Realizamos un GAP Analysis gratuito para nuevos clientes, mediante la recopilación de información, con el fin de analizar todos los procesos de seguridad existentes y determinar el nivel de cumplimiento de la organización.
Fase 4 – Acompañamiento y asesoría
Mediante visitas mensuales de un consultor QSA se realiza un acompañamiento y una asesoría durante todo el proceso de implementación.
Fase 5 – Auditoria in situ
Recuperamos la información necesaria para determinar el debido cumplimiento del PCI DSS. La evaluación realizada se hará constar en el informe final ROC (Report on Compliance) y AOC (Attestation of Compliance)
Fase 6 – Revisión final
La fase final trata de realizar la documentación del estado de cumplimiento de PCI DSS y la posterior preparación del informe ROC y AOC.

Referencias:

Comentarios

Publicar un comentario

Entradas más populares de este blog

ITAF

Imagen
por Palomino Flores Uriel Funciones El Marco de Garantía de la Tecnología de la Información (ITAF, por sus siglas en inglés), publicado por ISACA, es un modelo integral y de establecimiento de buenas prácticas que: Proporciona orientación sobre el diseño, la realización y la presentación de informes de las tareas de auditoría y aseguramiento de TI Define términos y conceptos específicos para el aseguramiento de TI; Establece estándares que abordan las funciones y responsabilidades profesionales de auditoría y aseguramiento de TI; conocimientos y habilidades; y diligencia, conducta y requisitos de información. ITAF proporciona una fuente única a través de la cual los profesionales de auditoria y aseguramiento de TI pueden buscar orientación, investigar políticas y procedimientos, obtener programas de auditoria y aseguramiento y desarrollar informes efectivos. Si bien ITAF incorpora los estándares y la guía de ISACA existentes, se ha diseñado para ser un documento vivo....
Leer más

MOF

Imagen
Definición El Manual de Organización y Funciones (MOF) es un documento técnico normativo de gestión institucional donde se describe y establece la función básica, las funciones específicas, las relaciones de autoridad, dependencia y coordinación, así cómo los requisitos de los cargos o puestos de trabajo.  Utilidad   Determina las funciones específicas de los cargos o puestos de trabajo, cuyo cumplimiento contribuye a lograr que se cumplan los objetivos funcionales de las unidades orgánicas de cada dependencia, así como las responsabilidades y obligaciones asignadas al cargo o puesto de trabajo, en concordancia con el marco legal y normativo correspondiente.   Proporciona información a los directivos y personal sobre sus funciones y ubicación en la estructura orgánica de la entidad.   Ayuda a la simplificación administrativa, proporcionando información sobre las funciones que les corresponde desempeñar al personal, al ocupar los cargos o puestos de tr...
Leer más

SABSA

Imagen
SABSA es un marco de seguridad impulsado por el negocio para empresas que se basa en el riesgo y las oportunidades asociadas con él. SABSA no ofrece ningún control específico y se basa en otros, como la Organización Internacional para la Estandarización (ISO) o los procesos COBIT. Es puramente una metodología para asegurar la alineación del negocio y un marco de "vida útil": se aplica a lo largo de todo el ciclo de vida, desde la ingeniería de requisitos empresariales hasta la gestión de las soluciones entregadas. La metodología SABSA tiene seis capas (cinco horizontales y una vertical). Cada capa tiene un propósito y vista diferente. La capa contextual está en la parte superior e incluye los requisitos y objetivos del negocio. La segunda capa es la capa conceptual, que es la vista de arquitectura. La figura 1 muestra las seis capas de este marco. SABSA se compone de una serie de marcos, modelos, métodos y procesos integrados, que se utilizan de forma ...
Leer más