Auditoría de seguridad PCI DSS - Revisiones de seguridad de infraestructura PCI
Realización de auditorías técnicas de adecuación a la normativa de pagos PCI DSS
Test de intrusión anual y trimestral de la infraestructura PCI DSS

La Auditoría PCI DSS de seguridad es un requisito de obligado cumplimiento que establece la norma PCI, en su sección 11.3. Mediante la auditoría técnica PCIDSS , el equipo de ciberseguridad de Tarlogic verifica la adecuación de los controles técnicos de seguridad para asegurar el tratamiento de datos de pago.

Deben realizar auditorías técnicas de seguridad de PCI-DSS cualquier organización que procese, transmite o almacene información de tarjetas de pago. Es por ello que entidades financieras, plataformas de comercio electrónico o aplicaciones que gestionen pagos deben realizar estas auditorías técnicas para adecuarse a la norma de forma periódica.

Además, la infraestructura sujeta a PCIDSS deberá ser revisada de forma excepcional cuando sufra cambios significativos.

Tarlogic realiza escaneos de vulnerabilidades internos y externos sobre infraestructura PCI haciendo uso de proveedores de escaneo certificados (ASV) y provee asesoramiento técnico para subsanar las debilidades identificadas.

Seguridad en ecomercio electrónico

1

Auditoría Trimestral PCIDSS – ASV

PCI exige que se realicen auditorías trimestrales sobre la infraestructura. Estas revisiones de seguridad trimestrales deben realizarse con dos modalizades bien diferenciadas.

  • Revisión externa ASV: Auditoría de seguridad sobre los sistemas sujetos a PCI y accesibles desde internet. Esta revisión incluye aplicaciones web (portales ecommerce, webs transaccionales,..) y revisión de seguridad de las direcciones IP de la infraestructura. Tarlogic hace uso de soluciones ASV (Approved Scanning Vendors) autorizadas por PCI.
  • Revisión interna: Auditoría interna de los sistemas, validando la exposición de servicios, parches y mecanismos de seguridad desplegados .

2

Test de intrusión anual

De forma anual, o cuando la infraestructura que sustenta la gestión de pagos y procesado de tarjetas cambia, es necesario llevar a cabo un test de intrusión con un alcance más amplio.

Este test de intrusión, realizado según las pautas del estandar NIST 800-115, engloba el siguiente ámbito:

  • Test de seguridad externo PCI: Realizado con excepciones temporales en los elementos de seguridad perimetral para analizar de forma adecuada el nivel de seguridad de los sistemas informáticos.
  • Test de seguridad interno PCI: Llevado a cabo desde diferentes segmentos de red con distintos niveles de privilegios (vlanes o redes inalámbricas) sobre los sistemas internos.
  • Test WiFi PCI: Identificando y geolocalizando cualquier dispositivo de emisión Wifi en el perímetro de la organización y del CPD donde residan los sistemas afectados por PCIDSS.

Contacte con Tarlogic para realizar una auditoría sobre su infraestructura PCI y protejer sus aplicaciones de negocio.

¿Te interesa alguno de nuestros servicios?