Análisis de Cumplimiento PCI DSS V2.0 en Transasec (Agosto 2012)

Abstract

El presente artículo tiene como principal objetivo presentar el análisis de cumplimiento que se realizó de la empresa Transasec1 frente a la norma PCI DSS2 versión 2.0. Este trabajo se basó en un modelo mixto de investigación. En este análisis se revisó a nivel general el cumplimiento de la empresa frente a la norma; se hizo el primer análisis y se presentó de manera muy descriptiva el alcance de la norma, se realizaron las recomendaciones necesarias por cada ítem analizado y, por ejemplo, una de las recomendaciones fue la segmentación de red con la cual se logró una mayor delimitación del alcance de la norma sobre la infraestructura de Transasec. Luego que dicha empresa aplicó las recomendaciones planteadas, se presentó un segundo análisis en el cual se pudo comprobar el cumplimiento de la norma en un 96% y en un 4% de requerimientos que no aplicaron a Transasec. Para esto, la empresa realizó cambios importantes que afectaron su cultura organizacional, pues pasar de un modelo de trabajo un poco informal a un modelo de trabajo basado en políticas y reglas por procesos, generó dificultades que al final se lograron superar. Concluyendo podemos decir que gracias a la implementación de controles, como los planteados por PCI DSS, se logró el cumplimiento legal exigido por Colombia y se mitigaron varios riesgos de pérdida de información. Solo la madurez a la que logre llegar Transasec en sus procesos, son los que permitirán una mejora continua en seguridad de la información. Transasec quedó lista para el mercado de Tarjetas franquiciadas.

This article's main objective is to present the analysis of compliance held company Transasec against the PCI DSS version 2.0. This work was based on a mixed model research. This analysis was revised overall compliance level of the company against the norm, it became the first analysis and presented very descriptive of the scope of the standard, the necessary recommendations were made for each item analyzed and, for example, one of the recommendations was the network segmentation which was achieved with a narrower definition of the scope of the rule on Transasec infrastructure. After the company applied the proposed recommendations, was presented a second analysis in which it was possible to verify compliance with the standard by 96% and 4% of requirements that did not apply to Transasec. For this, the company made significant changes that affected their organizational culture, as going from a working model somewhat informally a working model based on policies and rules for processes generated difficulties eventually overcame. In conclusion we can say that thanks to the implementation of controls, such as those posed by PCI DSS, was achieved legal compliance required by Colombia and mitigated several risks of data loss. Only the maturity that reaches Transasec in their processes is what enables continuous improvement in information security. Transasec was ready for the card market franchises.