{"id":4333,"date":"2022-07-18T19:10:43","date_gmt":"2022-07-18T19:10:43","guid":{"rendered":"https:\/\/iqcol.com\/?p=4333"},"modified":"2024-02-28T13:36:14","modified_gmt":"2024-02-28T18:36:14","slug":"pci-dss-v4-0-controles-compensatorios-frente-a-un-enfoque-personalizado","status":"publish","type":"post","link":"https:\/\/iqcol.com\/en\/pci-dss-v4-0-controles-compensatorios-frente-a-un-enfoque-personalizado\/","title":{"rendered":"PCI DSS v4.0: Controles compensatorios frente a un enfoque personalizado"},"content":{"rendered":"

Uno de los principales objetivos de la norma PCI DSS v4.0 es aumentar la flexibilidad de las organizaciones que utilizan diferentes m\u00e9todos para alcanzar los objetivos de seguridad.<\/p><\/blockquote>\n

Una de las formas en que la norma lo hace es con la introducci\u00f3n del Enfoque Personalizado. Hablamos con Lauren Holloway, Directora de Normas de Seguridad de Datos, para responder a algunas preguntas comunes sobre el Enfoque Personalizado.<\/p>\n

\u00bfCu\u00e1l es la diferencia entre los controles de compensaci\u00f3n y el enfoque personalizado?<\/strong><\/p>\n

Lauren Holloway<\/strong>: PCI DSS v4.0 ofrece dos formas para que una entidad implemente y valide los requisitos de PCI DSS: el enfoque definido y el enfoque personalizado.<\/p>\n

El enfoque definido es el m\u00e9todo tradicional para implementar y validar los controles de PCI DSS; es lo que las entidades est\u00e1n haciendo ahora para cumplir los requisitos de PCI DSS v3.2.1.<\/p>\n

Los controles compensatorios siguen siendo una opci\u00f3n dentro del enfoque definido para las entidades que tienen una restricci\u00f3n t\u00e9cnica o empresarial leg\u00edtima y documentada que les impide cumplir con el requisito del enfoque definido tal y como est\u00e1 establecido. Los controles compensatorios suelen utilizarse en situaciones en las que existe un sistema o proceso heredado que no puede actualizarse para cumplir el requisito.<\/p>\n

En la norma PCI DSS v4.0,<\/strong> se aclar\u00f3 en el Ap\u00e9ndice B que los controles compensatorios no pueden utilizarse para abordar de forma retroactiva un requisito que no se cumpli\u00f3 en el pasado. Nunca se pretendi\u00f3 que los controles compensatorios pudieran utilizarse, por ejemplo, cuando una tarea que deber\u00eda haberse realizado, no se llev\u00f3 a cabo, y no se tom\u00f3 ninguna medida en ese momento para abordarla.<\/p>\n

Es importante se\u00f1alar que los controles compensatorios tienen una finalidad diferente a la del enfoque personalizado. A diferencia de los controles compensatorios, que se utilizan cuando las organizaciones tienen una restricci\u00f3n y no pueden cumplir el requisito tal y como est\u00e1 establecido, el enfoque personalizado es para las entidades que deciden cumplir el requisito de forma diferente a la establecida. En este caso, la entidad debe cumplir el objetivo del enfoque personalizado en lugar del requisito establecido. El enfoque personalizado tiene m\u00e1s \u00e9xito cuando la entidad tiene procesos de seguridad s\u00f3lidos y pr\u00e1cticas de gesti\u00f3n de riesgos fuertes y es capaz de dise\u00f1ar, documentar, probar y mantener eficazmente los controles de seguridad para cumplir con ese objetivo.<\/p>\n

El requisito 12.3.2 de PCI DSS v4.0 y los ap\u00e9ndices D y E describen todos los elementos del enfoque personalizado, incluidos los elementos del an\u00e1lisis de riesgos espec\u00edfico requerido, las responsabilidades tanto de la entidad como del evaluador, y las plantillas de muestra con la informaci\u00f3n que debe incluir la entidad para documentar el enfoque personalizado.<\/p>\n

En la norma PCI DSS v4.0, consulte la Figura 5 Comprensi\u00f3n de las partes de los requisitos para identificar las ubicaciones del requisito de enfoque definido y del objetivo de enfoque personalizado para cada requisito.<\/p>\n

\u00bfSe pueden utilizar controles compensatorios para cumplir el objetivo de enfoque personalizado?<\/strong><\/p>\n

Lauren Holloway:<\/strong> No. Los controles compensatorios no son una opci\u00f3n con el enfoque personalizado. El enfoque personalizado es para las organizaciones que deciden desarrollar sus propios controles que cumplen con el Objetivo del Enfoque Personalizado del requisito. No tendr\u00eda sentido que una organizaci\u00f3n desarrollara tambi\u00e9n un control compensatorio alternativo porque la implementaci\u00f3n personalizada que la organizaci\u00f3n desarroll\u00f3 no puede cumplir con el Objetivo del Enfoque Personalizado.<\/p>\n

\u00bfPueden utilizarse los controles compensatorios y el enfoque personalizado para el mismo requisito?<\/strong><\/p>\n

Lauren Holloway:<\/strong> S\u00ed. Una entidad puede utilizar controles compensatorios para ciertos componentes del sistema y el enfoque personalizado para cumplir ese mismo requisito para otros componentes del sistema. Tomando el requisito 5.3.1 como ejemplo, una entidad podr\u00eda utilizar un control compensatorio para cumplir ese requisito para un determinado tipo de servidor cuando exista una restricci\u00f3n empresarial leg\u00edtima y documentada que impida que ese servidor cumpla el requisito establecido. La entidad tambi\u00e9n podr\u00eda optar por utilizar el enfoque personalizado para cumplir ese mismo requisito para otros componentes del sistema, cuando haya implementado un enfoque \u00fanico para detectar y abordar las \u00faltimas amenazas de malware. La entidad tambi\u00e9n podr\u00eda utilizar el enfoque definido como se ha indicado, para cumplir ese mismo requisito para otro grupo de componentes del sistema.<\/p>","protected":false},"excerpt":{"rendered":"

Uno de los principales objetivos de la norma PCI DSS v4.0 es aumentar la flexibilidad de las organizaciones que utilizan diferentes m\u00e9todos para alcanzar los objetivos de seguridad. Una de las formas en que la norma lo hace es con la introducci\u00f3n del Enfoque Personalizado. Hablamos con Lauren Holloway, Directora de Normas de Seguridad de […]<\/p>","protected":false},"author":1,"featured_media":4334,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-4333","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/comments?post=4333"}],"version-history":[{"count":0,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4333\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media\/4334"}],"wp:attachment":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media?parent=4333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/categories?post=4333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/tags?post=4333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}