La Auditoría PCI DSS de seguridad es un requisito de obligado cumplimiento que establece la norma PCI, en su sección 11.3. Mediante la auditoría técnica PCIDSS , el equipo de ciberseguridad de Tarlogic verifica la adecuación de los controles técnicos de seguridad para asegurar el tratamiento de datos de pago.
Deben realizar auditorías técnicas de seguridad de PCI-DSS cualquier organización que procese, transmite o almacene información de tarjetas de pago. Es por ello que entidades financieras, plataformas de comercio electrónico o aplicaciones que gestionen pagos deben realizar estas auditorías técnicas para adecuarse a la norma de forma periódica.
Además, la infraestructura sujeta a PCIDSS deberá ser revisada de forma excepcional cuando sufra cambios significativos.
Tarlogic realiza escaneos de vulnerabilidades internos y externos sobre infraestructura PCI haciendo uso de proveedores de escaneo certificados (ASV) y provee asesoramiento técnico para subsanar las debilidades identificadas.

1
Auditoría Trimestral PCIDSS – ASV
PCI exige que se realicen auditorías trimestrales sobre la infraestructura. Estas revisiones de seguridad trimestrales deben realizarse con dos modalizades bien diferenciadas.
- Revisión externa ASV: Auditoría de seguridad sobre los sistemas sujetos a PCI y accesibles desde internet. Esta revisión incluye aplicaciones web (portales ecommerce, webs transaccionales,..) y revisión de seguridad de las direcciones IP de la infraestructura. Tarlogic hace uso de soluciones ASV (Approved Scanning Vendors) autorizadas por PCI.
- Revisión interna: Auditoría interna de los sistemas, validando la exposición de servicios, parches y mecanismos de seguridad desplegados .
2
Test de intrusión anual
De forma anual, o cuando la infraestructura que sustenta la gestión de pagos y procesado de tarjetas cambia, es necesario llevar a cabo un test de intrusión con un alcance más amplio.
Este test de intrusión, realizado según las pautas del estandar NIST 800-115, engloba el siguiente ámbito:
- Test de seguridad externo PCI: Realizado con excepciones temporales en los elementos de seguridad perimetral para analizar de forma adecuada el nivel de seguridad de los sistemas informáticos.
- Test de seguridad interno PCI: Llevado a cabo desde diferentes segmentos de red con distintos niveles de privilegios (vlanes o redes inalámbricas) sobre los sistemas internos.
- Test WiFi PCI: Identificando y geolocalizando cualquier dispositivo de emisión Wifi en el perímetro de la organización y del CPD donde residan los sistemas afectados por PCIDSS.
Contacte con Tarlogic para realizar una auditoría sobre su infraestructura PCI y protejer sus aplicaciones de negocio.