Criterios de PCI DSS para la obtención de evidencia en auditorías

junio 14, 2013 § Deja un comentario

Cuando se realiza una auditoría PCI DSS a un Comercio (“Merchant“) o Proveedor de Servicio (“Service Provider“) clasificados como nivel 1 (“Level 1”) por la cantidad de transacciones anuales realizadas y dichos resultados deben ser reportados a Visa, de forma obligatoria el auditor QSA debe rellenar un documento específico con los detalles pormenorizados de los hallazgos de la auditoría y la evidencia asociada. Dicho documento se denomina “Report on Compliance” (RoC) y de forma discrecional otras marcas (como Discover) lo pueden requerir para evaluar el cumplimiento del estándar.  Este RoC suele acompañar el formulario de  Declaración de cumplimiento para evaluaciones in situ (“Attestation of Compliance”) (AoC) y los resultados de los escaneos ASV como requerimientos de validación.

El RoC – a diferencia del SAQ y del AoC – va más allá del SI/NO en la columna “Estado de cumplimiento”, ya que se requiere un detalle granular justificando el porqué de dicho cumplimiento y respaldándolo con diferentes tipos de evidencia, como se describirá en este artículo. Es importante que tanto el auditor QSA como la empresa auditada conozcan el tipo de evidencia que se requerirá en este proceso:

  • El auditor, para preparar su plan de auditoría y coordinar tiempo y esfuerzo en la obtención de evidencia dependiendo de la complejidad del entorno auditado.
  • La empresa auditada, para poder preparar permisos, autorizaciones, personal acompañante, disponibilidad y encargados de proveer dicha evidencia al auditor.

De esta manera, el proceso de auditoría no tendrá contratiempos y la información a ser revisada podrá estar disponible cuando se requiera

Contenido completo en fuente original PCI Hispano

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Criterios de PCI DSS para la obtención de evidencia en auditorías en Seguridad Informática.

Meta

A %d blogueros les gusta esto: