Cuando usted está buscando en la línea inferior de lograr el total cumplimiento de PCI, su primera reacción es probablemente a sentirse abrumado. En lugar de pensar en lograr el cumplimiento de PCI como un gran paso, rompiendo el proceso en varios pasos pequeños en cambio entregará un enfoque graduado para hacer cumplimiento mucho más manejable, tanto financieramente como en términos de transición dentro de su empresa.
Un enfoque proactivo
El primer paso para asegurar el cumplimiento es entender sus responsabilidades cuando se trata de PCI DSS. Independientemente de si eres una pequeña empresa pequeñas o una entidad corporativa de varios millones de dólares, todavía debe cumplir todos los doce requisitos señalados, para lograr el cumplimiento.
Adoptar un enfoque proactivo hacia el cumplimiento de PCI es su segunda etapa. Sólo usted puede aprender acerca de las vulnerabilidades de la seguridad de sus operaciones mediante el establecimiento de una base de operaciones estándar a través de una auditoría de seguridad. Luego, una vez que has mirado en lo básico, usted tendrá una mejor comprensión de qué cuestiones deben abordarse inmediatamente, y que pueden ser una prioridad menor.
Aunque esta estrategia tardará un poco más, un enfoque gradual hacia la ampliación del alcance de sus medidas de seguridad existentes también suele ser mucho más eficaz. Implementación de una serie de medidas que es demasiado amplia de la puerta es más difícil en su personal de ti y de tu presupuesto. Recordar, sin embargo, que todavía tendrá que hacer los cambios necesarios para satisfacer los requisitos de las directrices de PCI DSS, aunque esos cambios ocurren más lentamente.
Comprender su entorno
A continuación, más información acerca de su entorno existente de datos de titulares de tarjetas. Esto incluye no sólo el almacenamiento de los datos, sino también en cualquier lugar que pasa datos a través de transferencia antes de procesar, como PC y dispositivos compartidos en la red.
Pasos de bebé para asegurar que sus entornos de datos del titular de la tarjeta PCI compatible, incluyendo el uso apropiado de firewalls, encriptación y otras protecciones. Esto también es un buen momento para implementar registros de sucesos y configurar cualquier programación necesaria para la prueba, supervisión de eventos o ejecutar actualizaciones periódicas.
Usted también tendrá que mirar algún proveedor que utilizas para el outsourcing. Por ejemplo, pasar a PCI compatible con web hosting puede ayudar a mantener sus transacciones en línea seguras, sin cualquier esfuerzo interno adicional de su parte.
Esperando y mirando
Una vez que has hecho unos pequeños cambios, sentarse para ver cómo éstos afectan a sus operaciones diarias de trabajo (si en absoluto) y analizar los eventos que están siendo generados y monitoreados. Esto le dará una mejor idea de qué áreas, si alguno, necesita el apuntalamiento adicional, comparado con lo que está funcionando sin problemas. También ganará una más profunda comprensión de los procesos de cumplimiento para abordar futuras áreas de su negocio.
Haciendo pequeños cambios, entonces adoptar un "esperar y ver" enfoque, usted será capaz de aprender lo que realmente funciona para su negocio y qué no. Si al azar realiza cambios importantes, generalizados, corres el riesgo de abrumar totalmente su sistema y su personal. Puede también terminan invirtiendo mucho más financieramente lo que esperaba, especialmente si trata de la primera no funciona y requiere renovar costosos.
Servicios de cumplimiento de PCI, por definición, son un proceso muy deliberado y completo. Pequeños pasos significa que no te pierdas nada crucial en el camino y te da más libertad para averiguar qué métodos verdaderamente funcionará mejor para su negocio.