PCI DSS 4.0 ¡CURSO DE CAPACITACIÓN Y ENTRENAMIENTO AHORA DISPONIBLE!

Escrito por: Raúl Jauregui Hidalgo

Al inicio de este año 2022 se hizo oficial el lanzamiento PCI DSS 4.0 el cual es un estándar global que provee una línea base de requerimientos tecnológicos y operacionales diseñados para proteger los datos de tarjetahabientes.

El organismo responsable de este estándar recordemos es PCI SSC “Payment Card Industry Security Standards Council por sus siglas en ingles”. Durante los últimos meses ha estado continuamente liberando documentación relacionada con la nueva versión de PCI DSS.  Tanto los requerimientos como plantillas para evaluación y reportes, resúmenes de cambios, atención a preguntas frecuentes y ahora al material de capacitación para los asesores de seguridad calificados QSA “Qualified Security Assessor por sus siglas en ingles”  o Asesores Internos de seguridad “ISA” con base al cronograma de implementación PCI DSS 4.0 presentado a principios de año.

Ilustración 1 Cronograma para implementación de PCI DSS 4.0

Oficialmente a través del portal y sitio web del consejo de PCI SSC https://www.pcisecuritystandards.org/  ha sido liberado el curso de capacitación y examen de evaluación para QSA´s e ISA´s.

Un QSA es una persona que ha sido calificada por el consejo de PCI para validar la adhesión de una organización a PCI DSS y pertenecen a una empresa independiente que ha cumplido y cumple con los requisitos de QSA.

Un ISA son aquellos profesionales de auditoría de seguridad interna de las organizaciones que califican para recibir la capacitación del estándar PCI por parte del Consejo, son quienes facilitan a las organizaciones la interacción de la empresa con los QSA´s, mejoran la calidad, la confiabilidad y la consistencia de las auto evaluaciones internas para respaldar la correcta y adecuada implementación del estándar y controles requeridos por PCI DSS.

Es importante mencionar que tanto los QSA´s como ISA´s con acreditaciones vigentes pueden ser validados directamente en el portal del PCI para tener la certeza de que son empresas y asesores calificados y que cumplen con los criterios establecidos por el consejo.

Ilustración 2 Ejemplo de asesores calificados a través del portal PCI SSC https://listings.pcisecuritystandards.org/assessors_and_solutions/internal_security_assessors

En cuestión de entrenamiento tanto un QSA como un ISA reciben la formación de manera oficial por medio del consejo de PCI y se podría decir que la principal diferencia es que un QSA esta autorizado para emitir la validación y reporte de cumplimiento “ROC y AOC por sus siglas en ingles” a nombre de la empresa y un ISA no está autorizado para emitir estos mismos.

 

¿QUE ESPERAR EN ESTE NUEVO CURSO DE ENTRENAMIENTO EN PCI DSS 4.0?

Con base a nuestra experiencia en esta nueva versión del curso se ha presentado una nueva plataforma más interactiva y amigable en su uso para el desarrollo del curso y presentación del material de entrenamiento a los asesores.

En el curso de capacitación se abordan 4 principales objetivos a través de 5 módulos

  • Revisión de cambios entre el estándar PCI DSS 3.2.1 Y 4.0.
  • Identificación de nuevos requerimientos.
  • Explicación de como la nueva versión del estándar afecta las evaluaciones in situ.
  • descripción de como los cambios en el estándar impactan el proceso y reporte de cumplimiento.

Los módulos abarcan los temas principalmente de:

  • Línea de transición.
  • Enfoque priorizado vs Enfoque personalizado
  • Relación entre PCI DSS y el Framework para desarrollo de software.
  • Detalles de cambios en cada uno de los requerimientos de la norma.
  • Procesos de evaluación y de reporte.
  • Siguientes pasos.

El curso de capacitación toma aproximadamente 4 horas y está disponible en línea. Previo a iniciar el curso definitivamente se recomienda a las personas interesadas participar en el entramiento tomar un tiempo para acceder a la sección de documentación disponible en el portal del consejo PCI en su sitio de internet https://www.pcisecuritystandards.org/document_library  revisar y leer como mínimo los siguientes documentos:

  • Nueva versión del estándar PCI DSS 4.0.
  • Resumen de cambios del estándar 3.2.1 a 4.0
  • Revisar las nuevas plantillas para reportes de cumplimiento ROC Y AOC.

Al final del curso tanto el QSA´s como los ISA´s deberán de completar un examen de evaluación para validación de conocimiento y al obtener un resultado aprobatorio con base a los criterios establecidos por el consejo poder mantener actualizado su acreditación como asesores certificados en el portal PCI.

SIGUIENTES PASOS

Una vez concluido este proceso, los asesores ahora estarán formalmente autorizados para poder realizar evaluaciones de estado actual y de cumplimiento con base a los nuevos requerimientos del estándar PCI DSS 4.0 para las organizaciones de las que dependen o sean socios de negocios estratégicos.

A partir de hoy tanto asesores como organizaciones que deben o desean implementar PCI DSS 4.0 deberán trabajar en conjunto y seguir cumpliendo los requerimientos de la norma y criterios de evaluación en el estándar PCI DSS 3.2.1 y generar los planes de migración hacia el nuevo estándar PCI DSS 4.0.

 

 

 

Noticias y Novedades

Artículos Relacionados

Novedades
hkmexico

OWASP A4:2021 Diseño Inseguro

Hoy en día, es común hablar de buenas prácticas de desarrollo de software en las distintas aplicaciones que manejamos para llevar a cabo nuestras tareas,

Leer más »