Esta guía presentada por PCI Security Standards Council pretende ayudar a los comerciantes y a los proveedores de servicios con la preparación de respuesta a incidentes. Esta guía también describe cómo y cuándo se debe contratar a un investigador forense (PFI) debe ser contratado para ayudar.
Sólo los PFI que aparecen en el sitio web del PCI SSC están aprobados por el PCI SSC para prestar servicios de forense en el caso de una de una infracción de las tarjetas de pago.
PREPARACIÓN PARA LA GESTIÓN DE LA VIOLACIÓN DE DATOS
Implementar un plan de respuesta a incidentes
Su organización debe asegurarse de que existen controles eficaces de gestión de incidentes. PCIDSS 12.10 es esencial en este esfuerzo. Requiere que las entidades “Implementen un plan de respuesta a incidentes. Estar preparadas para responder inmediatamente a una violación del sistema”.
La guía de este requisito de PCI DSS señala que debe ser un “plan de respuesta a incidentes completo que se difunda, lea y comprenda adecuadamente por las partes responsables”. Debe incluir ejercicios de prueba adecuados al menos una vez al año para garantizar que el proceso funciona como está diseñado y para mitigar cualquier paso perdido para limitar la exposición.
Limitar la exposición de los datos
Es esencial saber cómo limitar la exposición de los datos y minimizar la pérdida de datos mientras se preservan las pruebas. Por ejemplo, asegúrese de saber cómo aislar los sistemas sin simplemente apagarlos. Apagar los sistemas puede dificultar la investigación y provocar la pérdida de pruebas o datos. Para obtener más información sobre la conservación de pruebas, consulte la sección titulada “Trabajar con su PFI” en la página 3.
Comprenda los requisitos de notificación
Esté preparado para alertar inmediatamente a las partes necesarias. Tener un plan y asegurar la información de contacto actual precisa que cada parte debe ser validada regularmente. Este plan incluirá marcas de tarjetas de pago, adquirentes (bancos comerciales) y cualquier otra entidad que pueda requerir notificación, ya sea por contrato o por ley.
Gestionar los contratos con terceros
Asegúrese de que todos los contratos con proveedores de servicios de terceros, proveedores de alojamiento, integradores/integradores/revendedores y otras partes relevantes aborden suficientemente la gestión de la respuesta a incidentes.
Los contratos deben incluir disposiciones específicas sobre cómo se accederá a las pruebas de esos entornos y su revisión, por ejemplo, permitiendo a su PFI el acceso a los entornos. Los contratos deben incluir disposiciones que exijan la cooperación del tercero y permitan a la PFI ampliar el alcance de la investigación a la tercera parte si se descubre que ésta es la fuente de (o contribuyó a) un evento que afectó a la seguridad de los datos de los titulares de las tarjetas.
IDENTIFICAR UNA PFI
Algunas PFI ofrecen sus servicios a cambio de una remuneración. Puede considerar un acuerdo de este tipo para tener una empresa PFI lista para llamar cuando la necesite.
También puede considerar la posibilidad de identificar y hablar con varias empresas PFI calificadas para prestar servicios en su región en caso de que una no esté disponible cuando la necesite o si tiene necesidades específicas que sólo pueden ser atendidas por determinadas PFI.
Tenga en cuenta que todas las PFI deben cumplir estrictos requisitos de independencia para evitar conflictos de intereses. Por tanto, una empresa que utilice para otros servicios de PCI (por ejemplo, servicios de QSA ) no puede utilizarse también para la investigación de su PFI.
