Política de seguridad de la información

Este documento de Política abarca todos los aspectos de la seguridad de la información confidencial de la empresa y debe distribuirse a todos los empleados. Todos los empleados deben leerlo en su totalidad y firmar el formulario confirmando que lo han leído y comprendido completamente. La Gerencia revisará y actualizará este documento anualmente o cuando sea pertinente para incorporar las nuevas normas de seguridad y, cuando corresponda, se distribuirá a todos los empleados y contratistas.

Política de seguridad de la información

Carisclothing LLC maneja información confidencial diariamente. La información confidencial debe tener medidas de seguridad adecuadas para proteger los datos de la cuenta, que incluyen los datos del titular de la tarjeta, su privacidad y para garantizar el cumplimiento de diversas regulaciones, además de proteger el futuro de la organización.

Carisclothing LLC se compromete a respetar la privacidad de todos sus clientes y a proteger cualquier dato de sus clientes frente a terceros. Con este fin, la gerencia se compromete a mantener un entorno seguro en el que procesar la información del titular de la tarjeta para que podamos cumplir estas promesas.

Los empleados que manejan datos confidenciales de titulares de tarjetas deben asegurarse de:

yo Manejar la información de los datos de la Compañía y de las cuentas de una manera que se ajuste a su sensibilidad y clasificación;

yo Limite el uso personal de los sistemas de información y telecomunicaciones de Carisclothing LLC y asegúrese de que no interfiera con su desempeño laboral;

yo Carisclothing LLC se reserva el derecho de monitorear, acceder, revisar, auditar, copiar, almacenar o eliminar cualquier comunicación electrónica, equipo, sistema y tráfico de red para cualquier propósito;

yo No utilice el correo electrónico, Internet ni otros recursos de la Empresa para realizar ninguna acción que sea ofensiva, amenazante, discriminatoria, difamatoria, calumniosa, pornográfica, obscena, acosadora o ilegal;

yo No divulgue información personal a menos que esté autorizado;

yo Proteger los datos confidenciales de la cuenta, incluida la información del titular de la tarjeta;

yo Mantenga las contraseñas y cuentas seguras;

yo Solicitar la aprobación de la gerencia antes de establecer cualquier software o hardware nuevo, conexiones de terceros, etc.;

yo No instale software ni hardware no autorizado, incluidos módems y acceso inalámbrico, a menos que cuente con la aprobación explícita de la gerencia;

yo Deje siempre los escritorios libres de datos confidenciales de los titulares de tarjetas y bloquee las pantallas de las computadoras cuando no estén atendidas;

yo Los incidentes de seguridad de la información deben informarse, sin demora, a la persona responsable de la respuesta ante incidentes a nivel local. Averigüe quién es.

yo Asistir a una capacitación sobre concientización sobre seguridad anualmente.

Cada uno de nosotros tiene la responsabilidad de garantizar que los sistemas y los datos de nuestra empresa estén protegidos contra el acceso no autorizado y el uso indebido. Si no tiene clara alguna de las políticas detalladas aquí, debe buscar asesoramiento y orientación de su superior de línea.

1. Seguridad de la red

Se mantiene y revisa anualmente un diagrama de red de alto nivel de la red. El diagrama de red proporciona una descripción general de alto nivel del entorno de datos del titular de la tarjeta (CDE), que como mínimo muestra las conexiones dentro y fuera del CDE. También se deben ilustrar los componentes críticos del sistema dentro del CDE, como dispositivos POI/POS, bases de datos, servidores web de comercio electrónico, servidores de redirección/iFrame, etc. y cualquier otro componente de pago necesario, según corresponda.

Además, la ASV debe ser realizada y completada por un proveedor de escaneo aprobado por PCI SSC trimestralmente (cada 90 a 92 días), cuando corresponda. La evidencia de estos análisis debe conservarse durante 18 meses. En el caso del comercio electrónico, los análisis deben incluir, como mínimo, los servidores de redirección/iFrame.

Para terminales de acceso telefónico independientes:

Para soluciones P2PE:

Para comercios electrónicos que utilizan redirección/iFrame a una página de pago alojada: consulte el Apéndice D

2. Política de uso aceptable

La intención de la gerencia al publicar una Política de Uso Aceptable no es imponer restricciones que contradigan la cultura establecida de transparencia, confianza e integridad de Carisclothing LLC. La gerencia se compromete a proteger a los empleados, socios y a la Compañía de acciones ilegales o perjudiciales, ya sea intencional o inconscientemente, por parte de individuos. Carisclothing LLC mantendrá una lista aprobada de tecnologías y dispositivos, así como del personal con acceso a dichos dispositivos, como se detalla en el Apéndice B.

· Los empleados son responsables de ejercer el buen juicio respecto a la razonabilidad del uso personal.

· Los empleados deben tomar todas las medidas necesarias para evitar el acceso no autorizado a datos confidenciales, incluidos datos de cuentas/datos del titular de la tarjeta.

· Mantenga sus contraseñas seguras y no comparta cuentas. Los usuarios autorizados son responsables de la seguridad de sus contraseñas y cuentas.

· Todas las PC, portátiles y estaciones de trabajo deben estar protegidas con un protector de pantalla con contraseña y con función de activación automática.

· Todos los dispositivos de entrada POS y POI/PIN deben estar protegidos y asegurados adecuadamente para que no puedan ser manipulados ni alterados.

· La lista de dispositivos del Apéndice B se actualizará periódicamente cuando se modifiquen, agreguen o retiren dispositivos. Se realizará periódicamente un inventario de los dispositivos y se inspeccionarán para identificar cualquier posible manipulación o sustitución de los mismos.

· Los usuarios deben recibir capacitación sobre la capacidad de identificar cualquier comportamiento sospechoso donde pueda realizarse cualquier manipulación o sustitución. Cualquier comportamiento sospechoso será reportado correspondientemente.

· La información contenida en ordenadores portátiles es especialmente vulnerable, por lo que se debe tener especial cuidado.

· Las publicaciones de los empleados desde una dirección de correo electrónico de la empresa en grupos de noticias deben contener una exención de responsabilidad que indique que las opiniones expresadas son estrictamente suyas y no necesariamente las de otros.

Carisclothing LLC, a menos que la publicación sea en el curso de tareas comerciales.

· Los empleados deben tener mucho cuidado al abrir archivos adjuntos de correo electrónico recibidos de remitentes desconocidos, que pueden contener virus, bombas de correo electrónico, códigos de troyanos o ataques de phishing.

3. Proteger los datos almacenados

· Carisclothing LLC y sus empleados no deben almacenar datos del titular de la tarjeta en forma de PAN ni datos de autenticación confidenciales en formato electrónico en absoluto.

· Todos los datos confidenciales de las cuentas, incluidos los datos del titular de la tarjeta, almacenados y gestionados en formato físico por Carisclothing LLC y sus empleados deben estar protegidos de forma segura contra el uso no autorizado en todo momento. Cualquier dato confidencial de la tarjeta que Carisclothing LLC ya no necesite por motivos comerciales debe eliminarse de forma segura e irrecuperable.

· Si no hay una necesidad específica de ver el PAN (Número de cuenta principal) completo, se debe enmascarar cuando se muestra y mostrar los primeros seis y los últimos cuatro números del PAN como máximo.

· Los PAN que no estén protegidos como se indicó anteriormente no deben enviarse a la red externa a través de tecnologías de mensajería del usuario final, como correo electrónico, chats, mensajero ICQ, etc.

Está estrictamente prohibido almacenar:

1. El contenido de la banda magnética de la tarjeta de pago (datos de la pista) o de los datos de la pista del chip equivalente en cualquier medio.

2. El CVV2/CVC2/CAV2/CID (el número de 3 o 4 dígitos en el panel de firma en el reverso de la tarjeta de pago) en cualquier medio.

3. El PIN o el PIN encriptado Bloquear bajo ninguna circunstancia.

4. Clasificación de la información

Los datos y los medios que contienen datos siempre deben estar etiquetados para indicar el nivel de sensibilidad.

· Los datos confidenciales pueden incluir activos de información para los cuales existen requisitos legales para evitar su divulgación o sanciones financieras por su divulgación, o datos que podrían causar daños graves a Carisclothing LLC si se divulgaran o modificaran. Los datos confidenciales incluyen datos de la cuenta/ datos del titular de la tarjeta .

· Los datos de uso interno pueden incluir información que el propietario de los datos considera que debe protegerse para evitar la divulgación no autorizada.

· Los datos públicos son información que puede difundirse libremente.

5. Acceso a los datos sensibles del titular de la tarjeta

Todo acceso a datos confidenciales del titular de la tarjeta debe estar controlado y autorizado. Cualquier función laboral que requiera acceso a datos del titular de la tarjeta debe estar claramente definida.

· Cualquier visualización de los datos de la cuenta/titular de la tarjeta debe restringirse como mínimo a los primeros 6 y los últimos 4 dígitos del número de cuenta principal (PAN).

· El acceso a información confidencial del titular de la tarjeta, como PAN, información personal y datos comerciales, está restringido a los empleados que tienen una necesidad legítima de ver dicha información.

· Ningún otro empleado debe tener acceso a estos datos confidenciales a menos que tenga una necesidad comercial genuina.

· Si los datos del titular de la tarjeta se comparten con un proveedor de servicios ( ^tercero ), se mantendrá una lista de dichos proveedores de servicios como se detalla en el Apéndice C.

· Carisclothing LLC garantizará que exista un acuerdo escrito que incluya un reconocimiento de que el proveedor de servicios será responsable de los datos del titular de la tarjeta que posea el proveedor de servicios de terceros (TPSP).

· Carisclothing LLC se asegurará de que exista un proceso establecido, incluida la debida diligencia, antes de contratar a un TPSP.

· La Compañía contará con un proceso establecido para monitorear el estado de cumplimiento de PCI DSS del TPSP.

· La empresa debe garantizar que las responsabilidades para garantizar la seguridad de los datos de las cuentas/datos del titular de la tarjeta estén definidas entre la empresa y el proveedor de servicios de transferencia de dinero (TPSP). Esto debe documentarse en una matriz de responsabilidades.

6. Seguridad física

El acceso a información sensible, tanto en formato físico como físico, debe estar restringido físicamente para evitar que personas no autorizadas obtengan datos sensibles.

· Se define como medio cualquier papel impreso o escrito a mano, faxes recibidos, disquetes, cintas de respaldo, disco duro de computadora, etc.

· Los medios que contienen información confidencial del titular de la tarjeta deben ser manipulados y distribuidos de manera segura por personas de confianza.

· Los visitantes siempre deben estar acompañados por un empleado de confianza cuando se encuentren en áreas que contengan información confidencial del titular de la tarjeta.

· Se deben implementar procedimientos para que todo el personal pueda distinguir fácilmente entre empleados y visitantes, especialmente en áreas donde se pueda acceder a los datos de las cuentas, incluidos los del titular de la tarjeta. "Empleado" se refiere a empleados de tiempo completo y parcial, empleados y personal temporal, y consultores que residen en las instalaciones de Carisclothing LLC. Un "visitante" se define como un proveedor, un invitado de un empleado, personal de servicio o cualquier persona que necesite ingresar físicamente a las instalaciones por un período breve, generalmente no más de un día.

· Se debe mantener una lista de dispositivos, incluidas las terminales de punto de interacción (POI) que aceptan datos de tarjetas de pago.

· La lista debe incluir la marca, el modelo y la ubicación del dispositivo (POI).

· La lista debe tener el número de serie o un identificador único del dispositivo (POI).

· La lista debe actualizarse cuando se agreguen, eliminen o reubiquen dispositivos (POI).

· Las superficies de los dispositivos POS se inspeccionan periódicamente para detectar manipulaciones o sustituciones.

· El personal que utilice los dispositivos debe estar capacitado y ser consciente del manejo de los dispositivos POI.

· El personal que utilice los dispositivos debe verificar la identidad de cualquier tercero que afirme reparar o ejecutar tareas de mantenimiento en los dispositivos (POI), instalar dispositivos nuevos (POI) o reemplazar dispositivos (POI).

· El personal que utilice los dispositivos debe estar capacitado para reportar comportamientos sospechosos e indicios de manipulación de los dispositivos (PDI) al personal correspondiente. Sitios de Carisclothing LLC. Un "visitante" se define como un proveedor, un invitado de un empleado, personal de servicio o cualquier persona que necesite ingresar a las instalaciones por un período corto, generalmente no más de un día.

· Se mantiene un control estricto sobre la distribución externa o interna de cualquier medio que contenga datos del titular de la tarjeta y debe ser aprobado por la gerencia.

· Se mantiene un control estricto sobre el almacenamiento y la accesibilidad de los medios.

· Todas las computadoras que almacenan datos confidenciales del titular de la tarjeta deben tener habilitado un protector de pantalla protegido con contraseña para evitar el uso no autorizado.

7. Proteger los datos en tránsito

Todos los datos confidenciales del titular de la tarjeta deben protegerse de forma segura si se van a transportar física o electrónicamente.

· Los datos del titular de la tarjeta (PAN, datos de seguimiento, etc.) nunca deben enviarse a través de Internet mediante correo electrónico, chat instantáneo o cualquier otra tecnología de usuario final.

· Si existe una justificación comercial para enviar datos del titular de la tarjeta por correo electrónico o por cualquier otro modo, debe hacerse después de la autorización y utilizando un mecanismo de cifrado fuerte (es decir, cifrado AES, cifrado PGP, IPSEC, etc.).

· El transporte de medios que contengan datos confidenciales del titular de la tarjeta a otra ubicación debe ser autorizado por la gerencia, registrado e inventariado antes de salir de las instalaciones. Solo se pueden utilizar servicios de mensajería seguros para el transporte de dichos medios. Se debe monitorear el estado del envío hasta su entrega en su nueva ubicación.

8. Eliminación de datos almacenados

Todos los datos deben eliminarse de forma segura cuando Carisclothing LLC ya no los necesite, independientemente del medio o el tipo de aplicación en el que estén almacenados.
Debe existir un proceso automático para eliminar permanentemente los datos en línea, cuando ya no sean necesarios.
Todas las copias impresas de los datos del titular de la tarjeta deben destruirse manualmente cuando ya no sean necesarias por razones comerciales válidas y justificadas. Debe implementarse un proceso trimestral para confirmar que todos los datos no electrónicos del titular de la tarjeta se han eliminado de forma adecuada y oportuna.
Carisclothing LLC contará con procedimientos para la destrucción de materiales impresos. Estos requerirán que todos los materiales impresos se trituren, incineren o despulpen para que no puedan reconstruirse.
Carisclothing LLC contará con procedimientos documentados para la destrucción de medios electrónicos. Estos requerirán:

Todos los datos del titular de la tarjeta en medios electrónicos deben volverse irrecuperables cuando se eliminan, por ejemplo, mediante desmagnetización o borrado electrónico mediante procesos de eliminación segura de grado militar o la destrucción física del medio;
Si se utilizan programas de borrado seguro, el proceso debe definir los estándares aceptados por la industria que se siguen para la eliminación segura.

Toda la información del titular de la tarjeta que esté pendiente de ser destruida debe guardarse en contenedores de almacenamiento con cerradura claramente marcados como “Para ser destruido”; el acceso a estos contenedores debe ser restringido.

9. Concienciación y procedimientos de seguridad

Las políticas y procedimientos que se describen a continuación deben incorporarse a las prácticas de la empresa para mantener un alto nivel de concienciación sobre la seguridad. La protección de datos sensibles exige capacitación periódica de todos los empleados y contratistas.

· Revisar los procedimientos de manejo de información confidencial y realizar reuniones periódicas de concientización sobre seguridad para incorporar estos procedimientos a las prácticas diarias de la empresa.

· Distribuya este documento de política de seguridad a todos los empleados de la empresa para su lectura. Es necesario que todos los empleados confirmen que comprenden su contenido firmando un formulario de confirmación (véase el Apéndice A).

· Todos los empleados que manejan información confidencial serán sometidos a verificaciones de antecedentes (como verificaciones de antecedentes penales y crediticios, dentro de los límites de la ley local) antes de comenzar a trabajar en la Compañía.

· Todos los terceros con acceso a números de cuentas de tarjetas de crédito están obligados contractualmente a cumplir con los estándares de seguridad de la asociación de tarjetas (PCI/DSS).

· Las políticas de seguridad de la empresa deben revisarse anualmente y actualizarse según sea necesario.

10.

10. Plan de respuesta a incidentes de seguridad de tarjetas de crédito (PCI)

· El Equipo de Respuesta a Incidentes de Seguridad PCI de Carisclothing LLC (Equipo de Respuesta PCI) está compuesto por el Oficial de Seguridad de la Información y el Departamento de Servicios Comerciales. El plan de respuesta a incidentes de seguridad PCI de Carisclothing LLC es el siguiente:

1. Cada departamento debe informar cualquier incidente al Oficial de Seguridad de la Información (preferiblemente) o a otro miembro del Equipo de Respuesta de PCI.

2. El miembro del equipo que reciba el informe informará al Equipo de Respuesta de PCI sobre el incidente.

3. El Equipo de Respuesta de PCI investigará el incidente y ayudará al departamento potencialmente comprometido a limitar la exposición de los datos del titular de la tarjeta y a mitigar los riesgos asociados con el incidente.

4. El Equipo de Respuesta de PCI resolverá el problema a satisfacción de todas las partes involucradas, lo que incluye informar el incidente y los hallazgos a las partes correspondientes (asociaciones de tarjetas de crédito, procesadores de tarjetas de crédito, etc.) según sea necesario.

5. El Equipo de Respuesta de PCI determinará si es necesario actualizar las políticas y los procesos para evitar un incidente similar en el futuro y si se requieren medidas de protección adicionales en el entorno donde ocurrió el incidente o para la institución.

Equipo de respuesta a incidentes de seguridad PCI de Carisclothing LLC (o equivalente en su organización):

Director de informática
Director de Comunicaciones
Oficial de Cumplimiento
Consejo
Oficial de Seguridad de la Información
Cobranzas y servicios comerciales
Gerente de Riesgos

Procedimientos de respuesta a incidentes de seguridad de la información PCI:

· Cualquier departamento que considere razonablemente que puede haber sufrido una violación de seguridad de cuenta, de la información del titular de la tarjeta o de los sistemas relacionados con el entorno PCI en general, debe informar al Equipo de Respuesta a Incidentes PCI de Carisclothing LLC. Tras ser notificado de la vulneración, el Equipo de Respuesta a Incidentes PCI, junto con el personal designado, implementará el Plan de Respuesta a Incidentes PCI para apoyar y complementar los planes de respuesta de los departamentos.

Notificación de respuesta a incidentes

Miembros de escalamiento (o equivalente en su empresa):

Escalada – Primer Nivel:

Controlador del Oficial de Seguridad de la Información

Director Ejecutivo de Proyectos de Cobranza de Crédito y Servicios Comerciales Asesor Legal

Gerente de Riesgos

Director de Comunicaciones de Carisclothing LLC

Escalada – Segundo Nivel:

Presidente de Carisclothing LLC

Gabinete Ejecutivo

Auditoría interna

Miembros auxiliares según sea necesario

Contactos externos (según sea necesario)

Marcas de tarjetas de proveedores comerciales

Proveedor de servicios de Internet (si corresponde)

Proveedor de servicios de Internet del intruso (si corresponde) Operadores de comunicaciones (locales y de larga distancia) Socios comerciales

Compañía de seguros

Equipo de respuesta externa según corresponda (Centro de coordinación del CERT) 1, etc.) Agencias de aplicación de la ley según corresponda en la jurisdicción local

En respuesta a una vulneración de los sistemas, el Equipo de Respuesta de PCI y sus designados harán lo siguiente:

Asegúrese de que los sistemas comprometidos estén aislados de la red.
Recopilar, revisar y analizar los registros y la información relacionada de varias salvaguardas y controles de seguridad centrales y locales.
Realizar un análisis forense apropiado del sistema comprometido.

4. Contactar con departamentos y entidades internas y externas según corresponda.

5. Poner el análisis forense y de registros a disposición del personal de seguridad de la industria de tarjetas o de las fuerzas de seguridad correspondientes, según sea necesario.

6. Ayudar al personal de seguridad de la industria de tarjetas y de aplicación de la ley en los procesos de investigación, incluidos los procesamientos.

Las compañías de tarjetas de crédito tienen requisitos específicos que el Equipo de Respuesta debe cumplir al reportar vulneraciones presuntas o confirmadas de datos de titulares de tarjetas. Consulte estos requisitos a continuación.

Notificaciones de respuesta a incidentes a varios esquemas de tarjetas

1. En caso de sospecha de una violación de seguridad, alerte inmediatamente al oficial de seguridad de la información o a su superior de línea.

2. El oficial de seguridad llevará a cabo una investigación inicial de la presunta violación de seguridad.

3. Tras confirmar que se ha producido una vulneración de seguridad, el oficial de seguridad alertará a la gerencia y comenzará a informar a todas las partes relevantes que puedan verse afectadas por la vulneración.

Pasos para la VISA

Si la vulneración de la seguridad de los datos afecta a números de cuentas de tarjetas de crédito, implemente el siguiente procedimiento:

· Cierre todos los sistemas o procesos involucrados en la violación para limitar su alcance y evitar una mayor exposición.

· Alerte a todas las partes afectadas y autoridades, como el Banco Comercial (su Banco), el Centro de Control de Fraude de Visa y las autoridades policiales.

· Proporcionar detalles de todos los números de tarjetas comprometidos o potencialmente comprometidos a Visa Fraud Control dentro de las 24 horas.

· Para obtener más información, visite: http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp_if_compromised.html

Plantilla de informe de incidentes de Visa

Este informe debe entregarse a VISA dentro de los 14 días posteriores a la notificación inicial del incidente. Al completarlo, se deben seguir el contenido y las normas que se indican a continuación. El informe debe distribuirse de forma segura a VISA y al Merchant Bank. Visa clasificará el informe como "VISA Secret"*.

I. Resumen ejecutivo

a. Incluir una descripción general del incidente

b. Incluir nivel de RIESGO (Alto, Medio, Bajo)

do. Determinar si se ha contenido el compromiso

II. Fondo

III. Análisis inicial

IV. Procedimientos de investigación

a. Incluir herramientas forenses utilizadas durante la investigación

V. Recomendaciones

a. Número de cuentas en riesgo, identificar aquellas tiendas comprometidas

b. Tipo de información de cuenta en riesgo

do. Identifique todos los sistemas analizados. Incluya lo siguiente:

· Nombres del Sistema de nombres de dominio (DNS)

· Direcciones de Protocolo de Internet (IP)

· Versión del sistema operativo (SO)

· Función del sistema(s)

d. Identifique todos los sistemas comprometidos. Incluya lo siguiente:

· Nombres DNS

· Direcciones IP

· Versión del sistema operativo

· Función del sistema(s)

mi. Plazo del compromiso

F. Cualquier dato exportado por el intruso

gramo. Establecer cómo y la fuente del compromiso

h. Verifique todas las posibles ubicaciones de las bases de datos para asegurarse de que no haya datos CVV2, Track 1 o Track 2 almacenados en ninguna parte, ya sea cifrados o no cifrados (por ejemplo, tablas o bases de datos duplicadas o de respaldo, bases de datos utilizadas en entornos de desarrollo, etapa o prueba, datos en máquinas de ingenieros de software, etc.)

i. Si corresponde, revise la seguridad de los puntos finales de VisaNet y determine el riesgo

VI. Acción de entidad comprometida

VII. Recomendaciones

VIII. Contacto(s) en la entidad y asesor de seguridad que realiza la investigación

*Esta clasificación se aplica a la información comercial más sensible, destinada al uso interno de VISA. Su divulgación no autorizada podría afectar gravemente a VISA, a sus empleados, a sus bancos miembros, a sus socios comerciales o a la Marca.

Pasos para MasterCard:

Dentro de las 24 horas posteriores a un evento de cuenta comprometida, notifique al Equipo de Cuentas Comprometidas de MasterCard por teléfono al 1-636-722-4100.
Proporcione una declaración escrita detallada de los hechos sobre la vulneración de la cuenta (incluidas las circunstancias contribuyentes) a través de un correo electrónico seguro a equipo_de_cuenta_comprometida@mastercard.com .

Proporcionar al Departamento de Control de Fraude de Comerciantes de MasterCard una lista completa de todos los números de cuentas comprometidas conocidos.
Dentro de las 72 horas de tener conocimiento de una presunta vulneración de una cuenta, contrate los servicios de una empresa de seguridad de datos aceptable para MasterCard para evaluar la vulnerabilidad de los datos comprometidos y los sistemas relacionados (como una evaluación forense detallada).

V. Proporcionar informes de estado escritos semanales a MasterCard, abordando preguntas y problemas abiertos hasta que se complete la auditoría a satisfacción de MasterCard.

VI. Proporcionar rápidamente listas actualizadas de números de cuentas potenciales o conocidas comprometidas, documentación adicional y otra información que MasterCard pueda solicitar.

VII. Proporcionar los resultados de todas las auditorías e investigaciones al departamento de Control de Fraude de Comerciantes de MasterCard dentro del plazo requerido y continuar abordando cualquier exposición o recomendación pendiente hasta que se resuelva a satisfacción de MasterCard.

Una vez que MasterCard obtenga los detalles de los datos de la cuenta comprometida y la lista de números de cuenta comprometidos, MasterCard hará lo siguiente:

1. Identifique a los emisores de las cuentas que se sospecha que fueron comprometidas y agrupe todas las cuentas conocidas bajo los respectivos ID de miembro principal.

2. Distribuir los datos del número de cuenta a sus respectivos emisores.

Los empleados de la empresa deberán informar al responsable de seguridad sobre cualquier problema relacionado con la seguridad. La función del responsable de seguridad es comunicar eficazmente todas las políticas y procedimientos de seguridad a los empleados de la empresa y a los contratistas. Además, supervisará la programación de las sesiones de capacitación en seguridad, supervisará y hará cumplir las políticas de seguridad descritas tanto en este documento como en las sesiones de capacitación y, por último, supervisará la implementación del plan de respuesta a incidentes en caso de una vulneración de datos confidenciales.

Pasos para la tarjeta Discover

I. Dentro de las 24 horas posteriores a un evento de vulneración de cuenta, notifique a Discover Fraud Prevention al (800) 347-3102

II. Prepare una declaración escrita detallada de los hechos sobre la vulneración de la cuenta, incluidas las circunstancias contribuyentes.

III. Prepare una lista de todos los números de cuentas comprometidas conocidos

IV. Obtenga requisitos específicos adicionales de Discover Card

Pasos de American Express

I. Dentro de las 24 horas posteriores a un evento de vulneración de cuenta, notifique a American Express Merchant Services al (800) 528-5200 en los EE. UU.

II. Prepare una declaración escrita detallada de los hechos sobre la vulneración de la cuenta, incluidas las circunstancias contribuyentes.

III. Prepare una lista de todos los números de cuentas comprometidas conocidos. Obtenga requisitos específicos adicionales de American Express.

11. Política de transferencia de información sensible

· Todas las empresas de terceros que brinden servicios críticos a Carisclothing LLC deben proporcionar un Acuerdo de Nivel de Servicio acordado.

· Todas las empresas de terceros que proporcionen instalaciones de alojamiento deben cumplir con la Política de seguridad física y control de acceso de la empresa.

· Todas las empresas de terceros que tengan acceso a la información del titular de la tarjeta deben

1. Cumplir con los requisitos de seguridad PCI DSS.

2. Reconocer su responsabilidad por la protección de los datos del Titular de la Tarjeta.

3. Reconocer que los datos del Titular de la Tarjeta solo deben utilizarse para ayudar a completar una transacción, respaldar un programa de fidelización, brindar un servicio de control de fraude o para usos específicamente requeridos por la ley.

4. Cuente con disposiciones adecuadas para la continuidad del negocio en caso de una interrupción, desastre o falla importante.

5. Brindar plena cooperación y acceso para realizar una revisión de seguridad exhaustiva después de una intrusión de seguridad por parte de un representante de la industria de tarjetas de pago o un tercero aprobado por la industria de tarjetas de pago.

12. Gestión de acceso de usuarios

· El acceso a Carisclothing LLC se controla a través de un proceso formal de registro de usuario que comienza con una notificación formal de Recursos Humanos o de un gerente de línea.

· Cada usuario se identifica mediante un ID único para que pueda vincularse con él y responsabilizarse de sus acciones. El uso de ID de grupo solo está permitido cuando sea adecuado para el trabajo realizado.

· Hay un nivel de acceso estándar; se puede acceder a otros servicios cuando lo autoriza específicamente el departamento de Recursos Humanos o la gerencia de línea.

· La función laboral del usuario decide el nivel de acceso que tiene el empleado a los datos del titular de la tarjeta.

· La solicitud de servicio debe presentarse por escrito (correo electrónico o copia impresa) por el superior inmediato del recién llegado o por el departamento de Recursos Humanos. La solicitud es de formato libre, pero debe indicar:

Nombre de la persona que realiza la solicitud;

Título del puesto de trabajo del recién llegado y del grupo de trabajo;

Fecha de inicio;

Servicios necesarios (los servicios predeterminados son: MS Outlook, MS Office y acceso a Internet).

· Cada usuario recibirá una copia de su formulario de nuevo usuario para que conste en una declaración escrita de sus derechos de acceso, firmada por un representante de TI tras su proceso de introducción. El usuario firma el formulario indicando que comprende las condiciones de acceso.

· El acceso a todos los sistemas de Carisclothing LLC es proporcionado por TI y solo se puede iniciar después de completar los procedimientos adecuados.

· Tan pronto como una persona deja su empleo en Carisclothing LLC, todos sus inicios de sesión en el sistema deben revocarse inmediatamente y su cuenta debe deshabilitarse y eliminarse.

· Como parte del proceso de despido del empleado, el departamento de Recursos Humanos (o los gerentes de línea en el caso de los contratistas) informará al departamento de operaciones de TI sobre todos los que se van y su fecha de salida.

13. Política de control de acceso

· Los sistemas de control de acceso están implementados para proteger los intereses de todos los usuarios de los sistemas informáticos de Carisclothing LLC al proporcionar un entorno seguro, protegido y de fácil acceso en el que trabajar.

· Carisclothing LLC proporcionará a todos los empleados y otros usuarios la información que necesitan para llevar a cabo sus responsabilidades de la manera más eficaz y eficiente posible.

· Normalmente no se permitirán identificaciones genéricas o de grupo, pero podrán concederse en circunstancias excepcionales si existen otros controles de acceso suficientes.

· La asignación de privilegios (p. ej., administrador local, administrador de dominio, superusuario, acceso root) deberá estar restringida y controlada, y la autorización deberá ser otorgada conjuntamente por el propietario del sistema y el departamento de TI. Los equipos técnicos deberán evitar la asignación de privilegios a equipos enteros para evitar la pérdida de confidencialidad.

· Los derechos de acceso se concederán siguiendo los principios de mínimo privilegio y necesidad de saber.

· Todo usuario debe intentar mantener la seguridad de los datos en su nivel clasificado incluso si los mecanismos de seguridad técnica fallan o están ausentes.

· Los usuarios que opten por colocar información en medios digitales o dispositivos de almacenamiento o mantener una base de datos separada sólo deberán hacerlo cuando dicha acción esté de acuerdo con la clasificación de los datos.

· Los usuarios están obligados a informar los casos de incumplimiento al CISO de Carisclothing LLC.

· El acceso a los recursos y servicios de TI de Carisclothing LLC se brindará mediante la provisión de una cuenta única de Active Directory y una contraseña compleja.

· No se proporcionará acceso a ningún recurso ni servicio de TI de Carisclothing LLC sin la autenticación y autorización previa de la cuenta de Windows Active Directory de Carisclothing LLC de un usuario.

· La emisión, los requisitos de seguridad, la modificación y el control de las contraseñas se gestionarán mediante procesos formales. La longitud, la complejidad y los plazos de caducidad de las contraseñas se controlarán mediante los objetos de directiva de grupo de Windows Active Directory.

o Contraseña: 8 caracteres, compleja, única y cambia en el primer uso, no reutilizable, cambia cada 90 días.

· El acceso a la información confidencial, restringida y protegida se limitará a las personas autorizadas cuyas responsabilidades laborales lo requieran, según lo determine el titular de los datos o su representante designado. Las solicitudes de autorización de acceso, modificación o revocación deberán presentarse por escrito.

· Se espera que los usuarios se familiaricen y cumplan con las políticas, estándares y pautas de Carisclothing LLC para el uso apropiado y aceptable de las redes y los sistemas.

· El acceso de usuarios remotos estará sujeto a la autorización de los Servicios de TI y se proporcionará de acuerdo con la Política de Acceso Remoto y la Política de Seguridad de la Información. No se permitirá el acceso externo no controlado a ningún dispositivo o sistema de red.

· El acceso a los datos se controla de forma diversa y adecuada según los niveles de clasificación de datos descritos en la Política de Gestión de Seguridad de la Información.

· Los métodos de control de acceso incluyen derechos de acceso de inicio de sesión, permisos de recursos compartidos de Windows y NTFS, privilegios de cuenta de usuario, derechos de acceso a servidores y estaciones de trabajo, permisos de firewall, derechos de autenticación de intranet/extranet de IIS, derechos de base de datos SQL, redes aisladas y otros métodos según sea necesario.

· Los propietarios de los sistemas y de los datos, en colaboración con los Servicios de TI, llevarán a cabo un proceso formal a intervalos regulares para revisar los derechos de acceso de los usuarios. La revisión se registrará y los Servicios de TI la aprobarán para autorizar la continuidad de los derechos de acceso de los usuarios.

Apéndice A – Formulario de Acuerdo de Cumplimiento - Acuerdo de Cumplimiento de las Políticas de Seguridad de la Información

________________________

Nombre del empleado (impreso)

________________

Departamento

Acepto tomar todas las precauciones razonables para garantizar que la información interna de la empresa, o la información que le hayan confiado terceros, como clientes, no se divulgue a personas no autorizadas. Al finalizar mi empleo o contrato con la empresa, acepto devolver toda la información a la que haya tenido acceso como resultado de mi puesto. Entiendo que no estoy autorizado a utilizar información sensible para mis propios fines ni a proporcionarla a terceros sin el consentimiento expreso por escrito del responsable interno, quien es el titular designado de la información.

Tengo acceso a una copia de las Políticas de Seguridad de la Información, las he leído y comprendido, y comprendo cómo afectan a mi trabajo. Como condición para continuar en mi empleo, me comprometo a cumplir las políticas y demás requisitos de la política de seguridad de la empresa. Entiendo que el incumplimiento dará lugar a medidas disciplinarias que pueden incluir el despido, así como posibles sanciones penales o civiles.

También acepto informar rápidamente todas las violaciones o sospechas de violaciones de las políticas de seguridad de la información al oficial de seguridad designado.

________________________

Firma del empleado

________________________

Fecha

Apéndice B – Lista de dispositivos

Nombre del activo/dispositivo	Descripción	Propietario/Usuario aprobado	Ubicación

Apéndice C - Lista de proveedores de servicios externos

Nombre del proveedor de servicios	Datos de contacto	Servicios prestados	Cumple con PCI DSS	Fecha de validación de PCI DSS

Apéndice D – Política de gestión de POI independientes y P2PE

Cuando la Compañía utiliza POI independientes y P2PE, se aplican las siguientes políticas:

Inventario y gestión de dispositivos POI:

· Mantenga un inventario actualizado de todos los dispositivos POI, incluida la marca, el modelo, la ubicación y el número de serie.

· Establecer procedimientos para agregar, reubicar y retirar de forma segura dispositivos POI.

Medidas de seguridad física:

· Asegure los dispositivos de punto de interés para evitar su manipulación o sustitución. Esto incluye el uso de sellos o carcasas de seguridad.

· Inspeccione periódicamente los dispositivos para detectar señales de manipulación o sustitución.

· Implementar almacenamiento seguro para dispositivos que no estén en uso.

Inspección y mantenimiento del dispositivo:

· Realice inspecciones y mantenimiento periódicos de los dispositivos POI para garantizar que funcionen correctamente y no se hayan visto comprometidos.

· Documentar y mantener un registro de todas las inspecciones y actividades de mantenimiento.

Configuración segura y gestión de software:

· Asegúrese de que los dispositivos POI estén configurados de forma segura y de conformidad con los requisitos de PCI DSS.

· Implementar medidas para evitar cambios no autorizados en el software y la configuración.

· Actualice periódicamente el software del dispositivo POI, incluidos los parches para las vulnerabilidades conocidas.

Controles de acceso:

· Restrinja el acceso a los dispositivos POI únicamente al personal autorizado.

· Utilice métodos de autenticación fuertes para el acceso administrativo a los dispositivos POI.

· Implementar controles de acceso basados en roles y separar funciones para minimizar el riesgo de acceso o cambios no autorizados.

Apéndice E – Política de configuración y fortalecimiento del comercio electrónico

Cuando la empresa utiliza soluciones de redireccionamiento e iFrame para aceptar pagos para el entorno de comercio electrónico, la empresa debe aplicar la configuración del sistema y el fortalecimiento de estos sistemas de la siguiente manera:

Establecer una configuración estándar de servidor de comercio electrónico:

· Definir una configuración estándar para servidores que incluya los servicios, protocolos y configuraciones necesarios.

· Asegúrese de que las cuentas predeterminadas del proveedor se modifiquen, eliminen o deshabiliten.

· Deshabilite servicios y protocolos innecesarios para minimizar las vulnerabilidades.

· Asegúrese de que todas las configuraciones de seguridad estén alineadas con las mejores prácticas de la industria.

Implementar procedimientos de endurecimiento:

· Implementar mecanismos fuertes de autenticación y autorización.

· Utilice herramientas de supervisión de integridad de archivos para detectar cambios no autorizados.

· Forzar el uso de soluciones antivirus y antimalware.

Controlar el acceso administrativo:

· Limite el acceso a las configuraciones del servidor únicamente al personal autorizado.

· Utilice la autenticación multifactor para el acceso administrativo.

· Mantener un registro de auditoría de todos los accesos y cambios realizados en las configuraciones del servidor.

Revisar y actualizar periódicamente las configuraciones:

· Revise periódicamente las configuraciones del servidor frente al estándar establecido.

· Actualizar las configuraciones en respuesta a nuevas amenazas, vulnerabilidades o cambios en las necesidades organizacionales.

Mantener un programa de gestión de vulnerabilidades:

· Analice periódicamente las vulnerabilidades y aborde las debilidades identificadas.

· Incluya tanto el software como los componentes físicos en sus evaluaciones de vulnerabilidad.

· Establecer un proceso para detectar nuevas vulnerabilidades de seguridad e incluir lo siguiente:

o Fuentes reconocidas por la industria

o Proceso de clasificación de riesgos basado en las mejores prácticas de la industria e identificación de vulnerabilidades de alto riesgo.

· Actualice y aplique parches periódicamente a los sistemas operativos y al software para corregir vulnerabilidades.

· Asegúrese de aplicar los parches de seguridad correspondientes dentro del mes posterior al lanzamiento.

Introducción