Curso para la Implementación y Auditoría de Cumplimiento PCI DSS

Estructura de la Norma PCI DSS.

• ¿Qué es el PCI Council y cuáles son sus estándares de seguridad?
• Normas PCI: PCI DSS, PCI SSF, PCI PIN, PCI CPP, P2PE, PCI PTS (PCI PED)
• ¿Qué es PCI DSS y dónde aplica?
• Primer acercamiento a la estructura de la norma PCI DSS
• Roles y responsabilidades entorno a PCI DSS
• Certificación PCI DSS versus Autoevaluación PCI DSS
• Terminología de la industria de tarjetas de pago
• Homologaciones de auditores: QSA, PCI SSA, P2PE (QSA/PA-QSA), QPA y ASV.

Determinacion y alcance PCI DSS

• Determinación de alcance PCI DSS
• Segmentación de red
• Duración de implementación de la norma PCI DSS
• Reportes de cumplimiento y documentación de evaluación
• Muestreo de evidencias para las evaluaciones
• Código de Responsabilidad Profesional
• Abordando una implantación de PCI DSS
• Identificación de procesos
  
  • Transmitir, procesar y almacenar
  • Identificación de personas y TI
• Reportando el Cumplimiento de PCI DSS: SAQ o Auditoría
  
  • SAQ, Self Assessment Questionaire
  • ¿Cómo elegir el SAQ adecuado?
  • ¿Cómo cumplimentar correctamente el cuestionario?
  • Errores habituales en la cumplimentación del SAQ

Requisitos de la de la Norma PCI DSS en casos prácticos, Requisito 1-7

• Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
• Requisito 2: No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad
• Requisito 3: Proteger los datos almacenados del titular de la tarjeta
• Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
• Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus
• Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros

Norma PCI DSS en casos prácticos Requisito 7-12

• Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
• Requisito 8: Asignar un ID exclusivo a cada persona que tenga acceso por computadora
• Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta
• Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta
• Requisito 11: Probar periódicamente los sistemas y procesos de seguridad
• Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal

Plan general de gestión

• Controles compensatorios
• Etapas de auditoría de cumplimiento PCI DSS
• Auditoría de un QSA
  
• • Exigencias a los QSA
  • Procedimiento de auditoría
  • Principales problemas para superar una auditoría
• Mantenimiento de la certificación PCI DSS
  
• • ¿Cómo mantengo la certificación PCI DSS?
  • Tareas internas
  • Tareas externas
• Entrega de caso práctico de implementación de los requisitos de PCI.