- Universidad Piloto de Colombia
- Trabajos de grado - Posgrado
- Facultad de Ingenierías
- Especialización en Seguridad Informática
- View Item
Diagnóstico y plan de acción para la implementación de PCI en la operación Metlife de la compañía Intercontact
View/ Open
Date
2017-09-26Author
Colorado Guarnizo, Damián Orlando
Aponte Gómez, Sanly
xmlui.dri2xhtml.METS-1.0.item-advisor
Escobar Escobar, Alvaro / Asesor
Metadata
Show full item recordAbstract
Intercontact es una compañía fundada en el año 2009 que presta servicios de contact center, dentro de sus clientes esta la compañía Metlife cuya relación comercial consta en el uso de Intercontact para la venta de seguros de vida por medio de contacto telefónico y recolección de datos por medio de una aplicación Web. Esta venta de seguros involucra el almacenamiento, tratamiento y trasferencia de datos del titular de la tarjeta y en la actualidad los procedimientos establecidos para ejecutar estas tareas, no cumplen con regulaciones interpuestas por las compañías de tarjetas débito y crédito.
Con el fin de evitar los fraudes que involucran el manejo de datos de tarjetas de pago débito y crédito, arriesgar la pérdida de sus permisos para procesar estos datos y evitar pago de multas, Intercontact ha decidido implementar la PCI DSS.
Para ello se debe establecer las pautas que Intercontact debe tener en cuenta para poder implementar la norma, realizando un análisis GAP con el fin de determinar cuál es el estado actual y el estado deseado relacionado con el cumplimiento de la norma PCI DSS en la campaña Metlife tomando como base una metodología CMMI.
Luego de realizar el análisis GAP es necesario establecer varios planes de acción que logren llegar a un estado Definido con relación a los controles de la norma PCI- DSS, esto quiere decir que el control está documentado, se ha divulgado, pero no se realizan mediciones de su desempeño. De acuerdo a esto la compañía empezaría a realizar otras mejoras para Madurar en la implementación y cumplimiento de la PCI-CSS en la campaña Metlife.
En paralelo se sugiere el orden, tiempo y responsables necesarios para ejecutar esta serie de actividades con un cronograma que debe ser desarrollado o ejecutado a lo largo de un periodo aproximado de año y medio, en el cual se establece como fecha de inicio de ejecución de actividades el 01 de Septiembre del 2017 y una fecha de finalización del 03 de mayo del 2019.
Luego de todas estas actividades Intercontact podría estar listo realizar la autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC) demostrando el cumplimiento de la norma. Intercontact is a company that was founded in the 2009, which provides contact center services; among its clients is the MetLife Company. This relationship consists of the use of Intercontact to sell life insurance through telephone contact and data collection by means of a Web application. The sale of insurance services involves the storage, treatment and transfer of data of the cardholder and currently these established procedures to perform these tasks do not comply with regulations brought by credit card and debit card companies.
In order to avoid scams and fraud that involve the handling of data of credit and debit card payments, risk the loss of their permits to process these data and avoid fines, Intercontact has decided to implement the PCI DSS.
To do this, guidelines must be set that Intercontact must take into account in order to implement the standard/norm. By performing, a GAP analysis to determine what is the current state and the desired state related to compliance with the PCI DSS standard in the MetLife campaign based on a CMMI methodology.
After performing the GAP analysis, it is necessary to establish several action plans to reach a defined state relative to the PCI-DSS standard controls, this means that the control is documented, has been reported, but their performance measurements are not carried out. According to this the company would begin to make other improvements to advance and reach the implementation and compliance of the PCI- CSS in the MetLife campaign.
At the same time, it is suggested that, time, order and responsible parties needed to run this series of activities. This should be done with a timetable/schedulle that should be developed or executed over an approximate period of a year and a half, which sets as a start date for implementation of activities on 01 September 2017 and finish May 03 of 2019.
After all these activities Intercontact could be ready to perform the self-evaluation using a questionnaire provided by the consortium of the PCI (PCI SSC) demonstrating compliance with the standard/norm.