Tal como indica el PCI SCC en su versión actual “Mejores prácticas para implementar las PCI DSS en los procesos habituales” y partiendo de la premisa de que la Seguridad es algo que se degrada con el tiempo además de que cumplir con PCI DSS no acaba con su implantación sino que implica un trabajo continuo para gestionar su cumplimiento.
Internet Security Auditors, mediante su propuesta de Oficina Técnica PCI DSS (OTP) pone a disposición de sus clientes un servicio para dar continuidad al mantenimiento de la normativa de una forma práctica y efectiva e integrada dentro de sus operaciones tecnológicas y de seguridad.
Entre otras, las actividades que llevará a cabo la OTP son:
- Implantación Inicial.
- Mantener el cumplimiento a PCI DSS ante la incorporación en el entorno de:
- Nuevos sistemas, redes, aplicaciones/desarrollos o cambios en los existentes.
- Nuevos procesos/servicios o cambios en los existentes.
- Nuevas empresas adquiridas.
- Nuevos proveedores de servicio.
- Nuevo personal o cambio en las funciones.
- Gestión de cambios en la norma y/o requerimientos de validación.
- Actualización del Marco Documental de forma continuada.
- Formación continuada: Conocer en todo momento los cambios de la norma PCI DSS y de los requerimientos de validación.
- Realizar seguimiento de terceras partes:
- Proveedores de servicio por parte de comercios y entidades financieras.
- Comercios por parte de entidades financieras.
- Otras terceras partes por parte de proveedores de servicio.
- Validar el cumplimiento de los requerimientos de seguridad:
- Análisis de Vulnerabilidades Trimestrales ASV e Internos.
- Revisión y Actualización de Cuestionarios SAQ .
- Auditorías de Cumplimiento Anual QSA.
- Test de Intrusión Internos/Externos.
- Revisiones de Código, Análisis WiFi trimestrales, etc.
- Reportar a Marcas y Entidades Financieras.
- Revisión de controles y riesgos.
La OTP aporta los servicios necesarios para implementar y mantener el cumplimiento de PCI DSS con:
- Personal experto, con formación regular de las propias marcas de tarjetas, trabajado como parte del personal del cliente.
- Herramientas más adecuadas para gestionar el cumplimiento.
- Metodologías alineadas con estándares.
- Formación/transferencia de conocimiento que permita mantener el control.
Todo ello permite a Internet Security Auditors mediante la OTP ofrecer, centralización externalizada de la gestión de PCI DSS a entidades financieras, comercios y proveedores de servicios permitiendo:
- Reducir costes en recursos y tiempo de implantación y mantenimiento de PCI DSS.
- A los clientes de la OTP concentra su esfuerzo en su negocio sin desligarse totalmente de PCI DSS.
- Disponer de un soporte Telefónico, Email y Onsite en un punto centralizador de resolución de dudas e incidencias relacionadas con el cumplimiento.
Cómo las entidades financieras se benefician de los servicios de la OTP para gestionar sus comercios y proveedores de servicio:
- Control continuo del estado de cumplimiento propio y de sus comercios, gestionando el riesgo de forma más eficiente.
- Simplificación del reporting a las marcas sobre el cumplimiento de sus comercios.
- Fidelización de comercios existentes y valor añadido a nuevos comercios.
Cómo los comercios y proveedores de servicios se benefician de los servicios de la OTP:
- Gestión continua del cumplimiento.
- Simplificación del reporting a las entidades.
- Ofrecer mayor nivel de confianza a las entidades y marcas de tarjetas del cumplimiento.