Informar de un incidente

Seleccionar página

SERVICIOS QSA DE PCI

Servicios globales de consultoría QSA de PCI.

Como empresa Evaluadora de Seguridad Cualificada (QSA), LRQA Nettitude ha sido aprobada por el Consejo de Normas de Seguridad de PCI (PCI SSC) para medir el cumplimiento de una organización con el estándar PCI DSS.

Además, contamos con equipos líderes en la industria en pruebas de penetración, respuesta a incidentes y soluciones de seguridad, que están dedicados al 100% a ofrecer consultoría de seguridad de primer nivel y orientación.

Solicitar una cotización gratuita

Alcance global

A través de la presencia de LRQA Nettitude en Europa y América del Norte, estamos idealmente ubicados para brindar servicios de consultoría y auditoría de PCI para organizaciones con alcance global.

PCI para todas las empresas

Nuestro equipo de consultores QSA ofrece servicios de consultoría de PCI en todo el mundo, tanto para comerciantes, proveedores de servicios y adquirientes por igual. Trabajamos con organizaciones de nivel 1 y 2 hasta llegar a comerciantes de nivel 3 y 4.

Servicio dedicado

Nos aseguramos de que cada cliente reciba tanto un QSA primario como uno secundario en todos los proyectos y compromisos. Esto garantiza que
mantengamos una interfaz constante con su organización y genere el máximo retorno de su inversión.

Mantener el cumplimiento

Nuestro enfoque se centra en proporcionar orientación de PCI de alta calidad, en un enfoque pragmático y basado en riesgos. Es este enfoque el que nos distingue de la multitud y nos ha permitido convertirnos en el socio de confianza de muchas organizaciones que están trabajando en el cumplimiento o el mantenimiento del cumplimiento de PCI DSS.

Metodología PCI

El PCI DSS cubre más de 240 requisitos y es aplicable para todo tipo de negocios, desde minoristas tradicionales hasta centros de contacto, empresas de venta por correo y entidades de comercio electrónico. LRQA Nettitude lo guiará a través de estas tres fases del viaje de PCI DSS, para ayudar a lograr y mantener el cumplimiento.

Análisis de brechas de PCI

El enfoque recomendado para las organizaciones que se embarcan en el viaje de PCI DSS es tener un análisis formal de brechas. Durante este ejercicio, LRQA Nettitude mide las políticas, procesos, prácticas laborales y tecnologías actuales de una organización en contra del estándar de seguridad de datos de PCI (DSS). Un análisis de brechas normalmente involucra a un QSA de LRQA Nettitude viajando a la oficina de una organización y llevando a cabo una evaluación del flujo de datos de tarjetas. Este ejercicio identifica todas las áreas donde los datos de tarjetas entran en el entorno, salen del entorno y todos los lugares donde los datos de tarjetas están en reposo.

El ejercicio a menudo resulta en que un QSA trabaje en estrecha colaboración con los gerentes/directores de TI, los gerentes de cumplimiento y los oficiales de seguridad para entender los detalles finos de cómo se manejan los datos de tarjetas. Además, es posible que los miembros de finanzas y recursos humanos deban alimentar el proceso para que se consideren todos los aspectos del estándar de seguridad. Una vez que se hayan trazado todos los flujos de datos de tarjetas, LRQA Nettitude medirá el entorno en contra del PCI DSS. Este ejercicio es efectivamente una evaluación retroactiva del entorno en contra de lo que requiere el PCI DSS. Utilizando estos datos, LRQA Nettitude identificará las brechas y proporcionará retroalimentación sobre las áreas que cumplen y no cumplen.

El análisis de brechas producirá los siguientes documentos:

  • Una revisión general del entorno de datos de titulares de tarjetas
  • Identificación de todos los procesos y ubicaciones de almacenamiento actuales de los datos de los titulares de las tarjetas
  • Un Cuestionario de Autoevaluación (SAQ) completamente completado
  • Un Documento de Enfoque Prioritario (PAD) completamente completado

Como parte del análisis de brechas, LRQA Nettitude también proporcionará una hoja de ruta proactiva sobre cómo se pueden cubrir las brechas. Este documento proporciona orientación estratégica sobre cómo reducir el riesgo, aprovechar las tecnologías existentes y mejorar el entorno de acuerdo con los requisitos del PCI DSS. Al mismo tiempo, LRQA Nettitude producirá un plan de proyecto definido con hitos clave que se pueden lograr de manera realista.

Como parte de un análisis de brechas, LRQA Nettitude también generará los siguientes documentos:

  • Plan de proyecto estratégico para lograr la conformidad
  • Gráfico de Gantt sugerido para la conformidad

Los servicios de análisis de brechas de LRQA Nettitude siempre son 100% agnósticos de proveedores. Se centran en los requisitos de PCI DSS y no hacen recomendaciones sobre soluciones o tecnologías de proveedores individuales. Para las organizaciones que requieren orientación adicional, LRQA Nettitude puede proporcionar asesoramiento imparcial y soluciones de remedio que aprovechan la inversión en
tecnología existente para ayudar en el viaje de conformidad.

Servicios de Descubrimiento de Tarjetas de PCI

Uno de los elementos más fundamentales dentro de un proyecto PCI DSS es identificar dónde reside la información de las tarjetas. Es común que las
organizaciones desconozcan las complejidades en torno al almacenamiento de datos de tarjetas en archivos de registro, archivos temporales, archivos de copia de seguridad y procesos heredados. La virtualización, la creación de instantáneas y las tecnologías basadas en la nube pueden resultar en que los datos de las tarjetas se almacenen en muchos archivos, imágenes y ubicaciones diferentes, y todos estos elementos influyen en el riesgo de fraude con tarjeta para una organización.

Para abordar los problemas relacionados con el almacenamiento de datos de tarjetas, LRQA Nettitude proporciona servicios de descubrimiento de tarjetas para encontrar datos de PAN utilizando métodos forenses y herramientas comerciales de descubrimiento de tarjetas. Como parte de este servicio, LRQA Nettitude puede identificar todas las áreas donde se almacenan datos de tarjetas y proporcionar un mapa de ruta sobre cómo deberían ser gestionados.

Complementario al servicio de descubrimiento de tarjetas, LRQA Nettitude también puede purgar los datos no deseados. Este enfoque utiliza técnicas de eliminación segura para asegurar que la información se elimine de manera segura y permanente.

Para las organizaciones que deseen implementar una herramienta de escaneo proactivo de PAN, LRQA Nettitude puede implementar un pequeño fragmento de código para evaluar continuamente los dispositivos para el almacenamiento de datos de tarjetas. Si se detecta un PAN, se genera una alerta a un dispositivo SIEM o un daemon SMTP.

Servicios específicos de PCI

Para algunos clientes, puede que no se requiera un análisis de brechas. En estos
casos, LRQA Nettitude puede ayudar con áreas específicas del PCI DSS.

En los casos en que las organizaciones hayan realizado su propio análisis de
brechas o cuando otra empresa QSA haya realizado un análisis de brechas,
LRQA Nettitude puede proporcionar consultoría continuada y enfocada para ayudar a
cerrar la brecha.

No existe un modelo explícito para lograr el cumplimiento y, como consecuencia, la
orientación de un evaluador experimentado que haya visto muchos tipos de
entornos de datos de tarjetas puede resultar muy valiosa.

LRQA Nettitude se centra en ayudar a las organizaciones a reducir su riesgo. Esto se
puede lograr mediante numerosos enfoques y tecnologías y, con frecuencia, puede
resultar en una reducción del alcance de PCI DSS. Estos tipos de enfoques pueden
hacer que el viaje de cumplimiento sea más fácil y reducir el costo del cumplimiento
año tras año.

Algunos ejemplos de áreas donde a menudo se requiere asistencia en el diseño y alcance de la red incluyen:

 

  • Almacenamiento de datos de tarjetas
  • Segmentación de procesos
  • Controles de acceso basados en roles y cifrado
  • Tokenización
  • Gestión de claves
  • Diseño de aplicaciones
  • Gestión de parches
  • Control de cambios

Servicios de soporte de PCI

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) ha pasado por una serie de revisiones y continuará evolucionando a medida que se desarrollen nuevas tecnologías y soluciones de pago. Como consecuencia de esto, y debido al requisito de auditoría anual, muchas organizaciones eligen trabajar con un socio Evaluador de Seguridad Calificado (QSA) de manera continua.

Como parte de los servicios de seguridad de LRQA Nettitude, nos complace ofrecer a nuestros clientes acceso a un servicio de soporte de PCI DSS enfocado. Los clientes pueden contactarnos durante el horario de oficina estándar y obtener acceso ilimitado a nuestro equipo calificado de QSA y consultores de seguridad. Los clientes que utilizan los servicios de soporte de PCI DSS de LRQA Nettitude se beneficiarán de asesoramiento y orientación proactivos cuando se publiquen información de los Grupos de Interés Especial (SIG) de PCI y cuando se brinde aclaración sobre algunos de los temas más relevantes del estándar de seguridad.

LRQA Nettitude brinda acceso a consultores de seguridad reales, con experiencia real en seguridad. En lugar de acceder a un servicio de Wikipedia o extranet anónimo, nuestros consultores pueden ofrecerle asesoramiento y orientación pragmáticos que se adaptan a los requisitos individuales.

Servicios de Preauditoría PCI QSA

Las auditorías de PCI DSS pueden ser un ejercicio relativamente estresante para las organizaciones que se acercan a su primera evaluación. Para brindarles más confianza de que aprobarán y resolver cualquier deficiencia antes de la auditoría completa, LRQA Nettitude recomienda que se embarquen en una preauditoría aproximadamente un mes antes de la auditoría final.

Verificación de Cumplimiento de la Preauditoría

Una auditoría completa de QSA a veces puede tardar semanas en completarse. Para maximizar el éxito de este ejercicio, o incluso para buscar confianza antes de enviar una SAQ, LRQA Nettitude puede realizar una verificación de cumplimiento de preauditoría. Durante una preauditoría, un consultor QSA recorrerá todos los aspectos de la auditoría, desde el inicio hasta el final. Todas las políticas, procedimientos y prácticas laborales se medirán según los requisitos de PCI DSS.

Se revisarán las configuraciones, se evaluarán los registros y se revisará y considerará la información de vulnerabilidad. Todo este proceso será similar a una auditoría de PCI DSS, pero con menos enfoque en la recopilación o validación de datos.

Auditoría Final de QSA

Una vez que LRQA Nettitude comienza una auditoría final de QSA, está sujeta a plazos relativamente agresivos en áreas de no conformidad. Si se identifican no conformidades al final de una auditoría final, en algunos casos puede resultar en que se reinicie el proceso completo de auditoría después de la remediación. Al pasar por la fase de preauditoría, esto elimina la posibilidad de no conformidades en
la auditoría final. LRQA Nettitude alienta a todos los clientes que buscan cumplimiento de PCI a pasar por una fase de preauditoría. Esta prueba proporcionará un grado de seguridad de que la auditoría final se llevará a cabo sin problemas.

Cuando LRQA Nettitude realiza preauditorías, es común que falten tecnologías y políticas y procedimientos. Como consecuencia de esto, LRQA Nettitude entrega informes sólidos de preauditoría (coherentes con los informes de análisis de brechas) para permitir que sus clientes llenen cualquier vacío.

Servicios de auditoría y ROC de PCI QSA

LRQA Nettitude es una de las pocas empresas aprobadas de PCI élite que es un QSA de PCI, un PA-QSA de PCI, un P2PE-QSA de PCI y un ASV de PCI. Como
consecuencia, nuestros consultores altamente capacitados pueden ofrecer consejos y orientación para todo tipo de organizaciones que emprenden el viaje de cumplimiento de PCI DSS. Ofrecemos servicios de consultoría y auditoría en el Reino Unido, EMEA, Estados Unidos y Asia Pacífico y tenemos una sólida cartera de clientes satisfechos. Para las organizaciones que desean implementar una herramienta de exploración PAN proactiva, LRQA Nettitude puede implementar un pequeño fragmento de código para evaluar continuamente los dispositivos para el almacenamiento de datos de tarjeta. Si se detecta un PAN, se genera una alerta a un dispositivo SIEM o un daemon SMTP.

¿Qué debe esperar de una auditoría de PCI QSA?

LRQA Nettitude ha desarrollado un conjunto de herramientas y técnicas personalizadas que nos ayudan a realizar auditorías de manera fluida y consistente. Durante nuestras auditorías, recopilamos evidencia a través de una entrevista, una revisión de la configuración del sistema, una revisión de políticas y procedimientos y una revisión de las prácticas de trabajo. Donde se puede realizar muestreo, los QSA de
LRQA Nettitude recopilarán muestras representativas de sus prácticas de trabajo.

Informe de cumplimiento (RoC)

Uno de los resultados de una auditoría es que LRQA Nettitude produce un informe de cumplimiento (RoC). Este informe se presenta al proveedor de servicios de marcas de tarjetas o al adquirente de los comerciantes. El RoC proporciona una visión completa de cómo la organización interactúa con los datos de la tarjeta y proporciona una medición cualitativa y cuantitativa contra el estándar. Una vez que el adquirente o la marca de tarjeta aceptan este RoC, la organización se clasificará
como compatible con PCI DSS durante 12 meses a partir del momento de la auditoría.

Ponte en contacto para hablar con uno de nuestros expertos…