Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Carta de Cierre de Auditoria - Wirebit Mexico
Carta de Cierre de Auditoria - Wirebit Mexico
Por medio de la presente, se hace de su conocimiento que se ha concluido el proceso de certificación del
año en curso. Con la finalidad de llegar exitosamente al proceso de recertificación de la norma PCI DSS, se
debe comenzar el nuevo ciclo anual de cumplimiento, a través de la ejecución oportuna de tareas BAU
(Business as Usual), siguiendo los periodos que la norma indica. Se recomienda consultar las buenas
prácticas para el mantenimiento de la norma emitidas por el consejo PCI versión 2, en enero de 2019:
https://www.pcisecuritystandards.org/documents/PCI_DSS_V2.0_Best_Practices_for_Maintaining_P
CI_DSS_Compliance.pdf (se deberá dejar evidencia de la generación de todas las tareas BAU).
Es de vital importancia que se logren cumplir en tiempo y forma, así como generar evidencia de los siguientes
puntos:
En caso de no realizar las actividades antes descritas, se corre el riesgo de no obtener la recertificación en
la norma PCI-DSS, se recomienda considerar las recomendaciones expuestas, en el Anexo 1.
Se adjunta una propuesta para llevar a cabo sus escaneos internos y externos, así como de las pruebas de
penetración.
Atentamente,
333 Las Olas Blvd, Suite 424 – Fort Lauderdale, Florida 33301 │ PHONE +(866) 735 3369 X170 │ www.gmsectec.com
Anexo 1
Recomendaciones Generales
• Realizar en tiempo y forma las tareas BAU, dejando evidencia de su ejecución.
• Solicitar a su proveedor de ASV la solución definitiva para que ya no se reporten las vulnerabilidades
que ya fueron mitigadas y que aún se reportan como pendientes de remediación cada que se vuelve a
ejecutar el escaneo.
• Unificar en un solo escaneo externo (ASV) las IPS/URLs que están dentro del alcance para que se
maneje un solo reporte y no los siete que se mostraron en esta primera revisión.
• Considerar las direcciones IPs internas para ejecutar el escaneo interno de manera trimestral.
• Robustecer el documento de atención a incidentes (Política, Procedimiento, Matriz de Escalación, etc.)
y que este esté basado en alguna de las normas internacionales como ISO27035, NIST SP 800-61, etc.
• Realizar capacitaciones a todo el personal que integra el equipo ERSI en temas de atención de Incidentes
y sobre desarrollo y código seguro al equipo de Desarrollo. (Para este punto, generar evidencia de
material que se utilizó para la capacitación, asistencia a la capacitación y evaluación sobre la misma).
• Realizar capacitaciones referentes a la norma de PCI DSS y de Seguridad de la Información. (Para este
punto, generar evidencia de material que se utilizó para la capacitación, asistencia a la capacitación y
evaluación sobre la misma).
• Realizar y documentar el ejercicio anual de atención de incidentes.
333 Las Olas Blvd, Suite 424 – Fort Lauderdale, Florida 33301 │ PHONE +(866) 735 3369 X170 │ www.gmsectec.com
• Robustecer el proceso de control de cambios (procedimientos y documentación de evidencia).
• Actualizar los documentos como políticas, procedimientos y de inventarios, ya que durante la auditoría
se nos entregaron versiones no actualizadas y con referencia a documentos no existentes.
• Mantener un adecuado control de los cambios significativos ya que en caso de aumentar el alcance de
PCI o realizar ajustes en el alcance PCI, estos cambios se tienen que documentar y validar de acuerdo
con el requisito 6.4.6 en donde se tienen que considerar el realizar en periodos extraordinarios controles
como:
o Escaneos de vulnerabilidades (Internos/Externos).
o Pruebas de intrusión (Internas/Externas).
o Pruebas de segmentación.
o Hardening.
o Análisis de riesgos.
o Etc.
333 Las Olas Blvd, Suite 424 – Fort Lauderdale, Florida 33301 │ PHONE +(866) 735 3369 X170 │ www.gmsectec.com