19 de abril de 2022

Ciudad de México, México

Equipo Interno PCI de Wirebit México SAPI de C.V.

Por medio de la presente, se hace de su conocimiento que se ha concluido el proceso de certificación del
año en curso. Con la finalidad de llegar exitosamente al proceso de recertificación de la norma PCI DSS, se
debe comenzar el nuevo ciclo anual de cumplimiento, a través de la ejecución oportuna de tareas BAU
(Business as Usual), siguiendo los periodos que la norma indica. Se recomienda consultar las buenas
prácticas para el mantenimiento de la norma emitidas por el consejo PCI versión 2, en enero de 2019:
https://www.pcisecuritystandards.org/documents/PCI_DSS_V2.0_Best_Practices_for_Maintaining_P
CI_DSS_Compliance.pdf (se deberá dejar evidencia de la generación de todas las tareas BAU).
Es de vital importancia que se logren cumplir en tiempo y forma, así como generar evidencia de los siguientes
puntos:

1. Cuatro ASV trimestrales (escaneos externos), en estatus de “PASS”; con la evidencia de

remediación en caso de aplicar.
2. Cuatro reportes de ejecución de escaneos internos; con la evidencia de la remediación en
caso de aplicar.
3. Pruebas de penetración interna y externa para el alcance PCI, así como la remediación de
hallazgos.
4. En caso de que se declare la existencia de segmentación, evidenciar la ejecución de pruebas
de segmentación y que el resultado de estas sea en PASS.
5. Realizar todas las tareas que son anuales, semestrales, trimestrales, mensuales, semanales
y diarias, obteniendo la evidencia de su realización para presentarla al QSA en el periodo de
la auditoría.

En caso de no realizar las actividades antes descritas, se corre el riesgo de no obtener la recertificación en
la norma PCI-DSS, se recomienda considerar las recomendaciones expuestas, en el Anexo 1.
Se adjunta una propuesta para llevar a cabo sus escaneos internos y externos, así como de las pruebas de
penetración.

Atentamente,

Ana Lilia Rosales Nieves.

PCI-QSA, CISM, CISA
Directora de Auditoría y Cumplimiento
ana.rosales@gmsectec.com

333 Las Olas Blvd, Suite 424 – Fort Lauderdale, Florida 33301 │ PHONE +(866) 735 3369 X170 │ www.gmsectec.com
Anexo 1

Ejemplo de calendarización de los trimestres.

Fecha de AOC: 04/18/2022
Fecha propuesta para la próxima auditoria en sitio: 01/23/2023 (considerar 3 meses previo al
vencimiento del AOC)

Actividad 1Q (May-22) 2Q (Ago-22) 3Q (Nov-22) 4Q (Feb-23)

Escaneo Externo ASV X X X X
Escaneo Interno X X X X
Pruebas de penetración internas y
X** X
externas (anual).
Revisión de segmentación (anual o
semestral si se realiza segmentación como X** X
estrategia para disminuir alcance PCI).
Pruebas de penetración internas, segmentación y externas.
Nota: En caso de contratar los servicios de Pruebas de Penetración y Segmentación con GM SECTEC (se
incluyen dos servicios, aunque es anual**), realizar la programación al menos con dos meses antes con el
área responsables de ejecutarlos.

Recomendaciones Generales
• Realizar en tiempo y forma las tareas BAU, dejando evidencia de su ejecución.
• Solicitar a su proveedor de ASV la solución definitiva para que ya no se reporten las vulnerabilidades
que ya fueron mitigadas y que aún se reportan como pendientes de remediación cada que se vuelve a
ejecutar el escaneo.
• Unificar en un solo escaneo externo (ASV) las IPS/URLs que están dentro del alcance para que se
maneje un solo reporte y no los siete que se mostraron en esta primera revisión.
• Considerar las direcciones IPs internas para ejecutar el escaneo interno de manera trimestral.
• Robustecer el documento de atención a incidentes (Política, Procedimiento, Matriz de Escalación, etc.)
y que este esté basado en alguna de las normas internacionales como ISO27035, NIST SP 800-61, etc.
• Realizar capacitaciones a todo el personal que integra el equipo ERSI en temas de atención de Incidentes
y sobre desarrollo y código seguro al equipo de Desarrollo. (Para este punto, generar evidencia de
material que se utilizó para la capacitación, asistencia a la capacitación y evaluación sobre la misma).
• Realizar capacitaciones referentes a la norma de PCI DSS y de Seguridad de la Información. (Para este
punto, generar evidencia de material que se utilizó para la capacitación, asistencia a la capacitación y
evaluación sobre la misma).
• Realizar y documentar el ejercicio anual de atención de incidentes.

333 Las Olas Blvd, Suite 424 – Fort Lauderdale, Florida 33301 │ PHONE +(866) 735 3369 X170 │ www.gmsectec.com
• Robustecer el proceso de control de cambios (procedimientos y documentación de evidencia).
• Actualizar los documentos como políticas, procedimientos y de inventarios, ya que durante la auditoría
se nos entregaron versiones no actualizadas y con referencia a documentos no existentes.
• Mantener un adecuado control de los cambios significativos ya que en caso de aumentar el alcance de
PCI o realizar ajustes en el alcance PCI, estos cambios se tienen que documentar y validar de acuerdo
con el requisito 6.4.6 en donde se tienen que considerar el realizar en periodos extraordinarios controles
como:
o Escaneos de vulnerabilidades (Internos/Externos).
o Pruebas de intrusión (Internas/Externas).
o Pruebas de segmentación.
o Hardening.
o Análisis de riesgos.
o Etc.

333 Las Olas Blvd, Suite 424 – Fort Lauderdale, Florida 33301 │ PHONE +(866) 735 3369 X170 │ www.gmsectec.com