Esta gu\u00eda presentada por PCI Security Standards Council pretende ayudar a los comerciantes y a los proveedores de servicios con la preparaci\u00f3n de respuesta a incidentes. Esta gu\u00eda tambi\u00e9n describe c\u00f3mo y cu\u00e1ndo se debe contratar a un investigador forense (PFI) debe ser contratado para ayudar.<\/p>\n
S\u00f3lo los PFI que aparecen en el sitio web del PCI SSC est\u00e1n aprobados por el PCI SSC para prestar servicios de forense en el caso de una de una infracci\u00f3n de las tarjetas de pago.<\/p>\n
<\/p>\n
PREPARACI\u00d3N PARA LA GESTI\u00d3N DE LA VIOLACI\u00d3N DE DATOS<\/strong><\/p>\n Implementar un plan de respuesta a incidentes<\/strong><\/p>\n Su organizaci\u00f3n debe asegurarse de que existen controles eficaces de gesti\u00f3n de incidentes. PCIDSS 12.10 es esencial en este esfuerzo. Requiere que las entidades “Implementen un plan de\u00a0respuesta a incidentes. Estar preparadas para responder inmediatamente a una violaci\u00f3n del sistema”.<\/p>\n La gu\u00eda de este requisito de PCI DSS se\u00f1ala que debe ser un “plan de respuesta a incidentes completo que se difunda, lea y comprenda adecuadamente por las partes responsables”. Debe incluir ejercicios de prueba adecuados al menos una vez al a\u00f1o para garantizar que el proceso funciona como est\u00e1 dise\u00f1ado y para mitigar cualquier paso perdido para limitar la exposici\u00f3n.<\/p>\n Limitar la exposici\u00f3n de los datos<\/strong><\/p>\n Es esencial saber c\u00f3mo limitar la exposici\u00f3n de los datos y minimizar la p\u00e9rdida de datos mientras se preservan las pruebas. Por ejemplo, aseg\u00farese de saber c\u00f3mo aislar los sistemas sin simplemente apagarlos. Apagar los sistemas puede dificultar la investigaci\u00f3n y provocar la p\u00e9rdida de pruebas o datos. Para obtener m\u00e1s informaci\u00f3n sobre la conservaci\u00f3n de pruebas, consulte la secci\u00f3n titulada “Trabajar con su PFI” en la p\u00e1gina 3.<\/p>\n Comprenda los requisitos de notificaci\u00f3n<\/strong><\/p>\n Est\u00e9 preparado para alertar inmediatamente a las partes necesarias. Tener un plan y asegurar la informaci\u00f3n de contacto actual\u00a0 precisa que\u00a0 cada parte debe ser validada regularmente. Este plan incluir\u00e1 marcas de tarjetas de pago, adquirentes (bancos comerciales) y cualquier otra entidad que pueda requerir notificaci\u00f3n, ya sea por contrato o por ley.<\/p>\n Gestionar los contratos con terceros<\/strong><\/p>\n Aseg\u00farese de que todos los contratos con proveedores de servicios de terceros, proveedores de alojamiento, integradores\/integradores\/revendedores y otras partes relevantes aborden suficientemente la gesti\u00f3n de la respuesta a incidentes.<\/p>\n Los contratos deben incluir disposiciones espec\u00edficas sobre c\u00f3mo se acceder\u00e1 a las pruebas de esos entornos y su revisi\u00f3n, por ejemplo, permitiendo a su PFI el acceso a los entornos. Los contratos deben incluir disposiciones que exijan la cooperaci\u00f3n del tercero y permitan a la PFI ampliar el alcance de la investigaci\u00f3n a la tercera parte si se descubre que \u00e9sta es la fuente de (o contribuy\u00f3 a) un evento que afect\u00f3 a la seguridad de los datos de los titulares de las tarjetas.<\/p>\n IDENTIFICAR UNA PFI<\/strong><\/p>\n Algunas PFI ofrecen sus servicios a cambio de una remuneraci\u00f3n. Puede considerar un acuerdo de este tipo para tener una empresa PFI lista para llamar cuando la necesite.<\/p>\n Tambi\u00e9n puede considerar la posibilidad de identificar y hablar con varias empresas PFI calificadas para prestar servicios en su regi\u00f3n en caso de que una no est\u00e9 disponible cuando la necesite o si tiene necesidades espec\u00edficas que s\u00f3lo pueden ser atendidas por determinadas PFI.<\/p>\n Tenga en cuenta que todas las PFI deben cumplir estrictos requisitos de independencia para evitar conflictos de intereses. Por tanto, una empresa que utilice para otros servicios de PCI (por ejemplo, servicios de QSA ) no puede utilizarse tambi\u00e9n para la investigaci\u00f3n de su PFI.<\/p>","protected":false},"excerpt":{"rendered":" Esta gu\u00eda presentada por PCI Security Standards Council pretende ayudar a los comerciantes y a los proveedores de servicios con la preparaci\u00f3n de respuesta a incidentes. Esta gu\u00eda tambi\u00e9n describe c\u00f3mo y cu\u00e1ndo se debe contratar a un investigador forense (PFI) debe ser contratado para ayudar. S\u00f3lo los PFI que aparecen en el sitio web […]<\/p>","protected":false},"author":1,"featured_media":4156,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-4155","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/comments?post=4155"}],"version-history":[{"count":0,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4155\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media\/4156"}],"wp:attachment":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media?parent=4155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/categories?post=4155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/tags?post=4155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}