Cómo crear un panel de control de cumplimiento PCI con InvGate

Con InvGate Asset Management, puedes crear un panel de control de cumplimiento PCI fácilmente en pocos pasos. Al centralizar los activos relacionados con el CDE y los principales indicadores de seguridad en un solo lugar, los equipos pueden avanzar más rápido, priorizar lo más importante y mantener un mejor control sobre el alcance de PCI.

Estos son algunos (no todos) de los gráficos que recomendamos incluir en tu panel de control:

1. Total de activos dentro del alcance por país.
2. Activos dentro del alcance por estado de salud.
3. Activos dentro del alcance con tickets.
4. Solicitudes abiertas por tipo.
5. Estado de dispositivos no conformes.
6. Activos por estado y ubicación.
7. Activos dentro del alcance por ubicación.

#1: Crear un inventario preciso

Ten en cuenta que tu capacidad para crear un panel de control significativo depende de qué tan completo sea tu inventario. Para obtener información precisa, necesitas tener todos los activos de tu CDE correctamente identificados y cargados en InvGate Asset Management.

1.1. Crear tipos de activo específicos para los activos del CDE

InvGate Asset Management permite crear manualmente diferentes tipos de activo para que tu inventario sea lo más preciso y estructurado posible. Si bien la plataforma incluye opciones predeterminadas, para fines de PCI se recomienda crear tipos de activo específicos que coincidan con los dispositivos incluidos en tu CDE.

Puedes crear tantos tipos de activo como necesites. A modo de ejemplo, vamos a crear el tipo de activo “Terminal punto de venta”. Sigue estos pasos:

1. Ve a Configuración > CIs > Tipos de Activos.
2. Haz clic en “Agregar” y completa los siguientes campos:
   1. Nombre: Terminal punto de venta.
   2. Campos: Déjalo como está.
   3. Ícono: Elige el ícono que prefieras.

Repite este proceso para cada tipo de activo que forme parte de tu CDE.

1.2. Crear un ID de inventario diferente para cada tipo de activo del CDE

Luego, crea un ID de inventario específico para cada tipo de activo que definiste en el paso anterior. Siguiendo con el ejemplo, vamos a crear el ID de inventario para “Terminal punto de venta”.

Sigue estos pasos:

1. Ve a Configuración > CIs > ID de Inventario.
2. Haz clic en “Agregar” y completa los siguientes campos:
   • Nombre: Terminal punto de venta.
   • Prefijo: POS-
   • A partir de: 001
   • Número de dígitos: 3
   • Sufijo: Ninguno.

Repite este proceso para cada tipo de activo que forme parte de tu CDE.

#2: Crear un inventario de activos del CDE

Ahora que ya creaste tus tipos de activo y tus IDs de inventario, agregar activos del CDE en InvGate Asset Management será mucho más sencillo. Sigue estos pasos:

1. Haz clic en Nuevo CI (esquina superior derecha).
2. Selecciona Activos.
3. Busca y haz clic en “Terminal punto de venta” (el tipo de activo que creaste en el paso 1).

Durante la creación del activo, verás muchos campos disponibles. Para fines de PCI, nos enfocaremos solo en los más relevantes (y, en muchos casos, requeridos) para activos del CDE.

4. Completa la siguiente información:
   1. Estado: Activo (puedes cambiarlo más adelante si es necesario).
   2. Fabricante: Selecciona un fabricante existente o crea uno nuevo.
   3. Modelo: Selecciona o crea el modelo específico.
   4. Ubicación (opcional): Elige la ubicación del activo.
   5. Número de activos a crear: Indica cuántos activos de este tipo quieres crear.
   6. Columnas para ingresar: Elige los atributos que deseas cargar, normalmente ID de inventario, Nombre y Número de serie.
   7. ID de inventario: Selecciona el ID de inventario creado en el paso anterior (si es necesario, puedes asignar IDs distintos por activo).

Nota: Asegúrate de clasificar los activos correctamente. Un terminal POS, un terminal de tarjeta de crédito y una computadora pueden cumplir funciones muy distintas en el procesamiento de pagos y pueden quedar dentro de consideraciones de alcance PCI diferentes.

#3: Etiquetar todos tus activos relacionados con el CDE

El siguiente paso para crear tu panel de control de cumplimiento PCI es etiquetar los activos que pertenecen a tu CDE. Esto facilita la creación de gráficos y la aplicación de condiciones consistentes en todo el panel de control.

Puedes etiquetar tus activos relacionados con el CDE de la siguiente manera:

1. Ve a Activos.
2. Escribe “POS” para filtrar activos por ID de inventario.
3. Selecciona todos los activos que coincidan.
4. Haz clic en Etiquetas.
5. Crea una nueva etiqueta llamada “Panel de control de cumplimiento PCI”.
6. Selecciona la nueva etiqueta y aplica los cambios.

#4: Crear tu panel de control de cumplimiento PCI

El objetivo de un panel de control de cumplimiento PCI es monitorear los activos que almacenan, procesan o transmiten datos del titular de la tarjeta. Para lograrlo, puedes crear un panel de control específico en InvGate Asset Management. Sigue estos pasos:

1. Ve a Tablero.
2. Haz clic en el ícono “+” para crear un panel de control nuevo.
3. Completa los datos básicos y los filtros globales:
   1. Nombre: Panel de control de cumplimiento PCI.
   2. Descripción: Centraliza métricas de PCI DSS para monitorear el cumplimiento, dar seguimiento a la evidencia e identificar riesgos dentro del Entorno de Datos del Titular de la Tarjeta (CDE).
   3. Deja los filtros globales vacíos (Owner, Location, Tags) para mantener visibilidad completa sobre todo tu entorno.

Nota: Los filtros globales se aplican a todos los gráficos del panel de control, creando una vista predeterminada que funciona junto con los filtros propios de cada gráfico. Esto te permite ajustar visualizaciones sin tener que editar cada gráfico de forma individual.

Una vez que completes la configuración del panel de control, podrás comenzar a agregar los gráficos recomendados arriba. A continuación te explicamos cómo hacerlo.

4.1. Total de activos dentro del alcance por ubicación

Haz clic en “Agregar gráfico” para crear el siguiente gráfico:

1. Visualización: Torta.
2. Métrica: Activos (Monitoreados) - Total.
3. Dimensión: Ubicación.
4. Agrega la siguiente condición:
   1. Activos > Nombre de etiqueta > contiene > PCI.
5. Asigna el nombre “Total de activos dentro del alcance por país” y haz clic en “Guardar”.

4.2. Activos dentro del alcance por estado de salud

Haz clic en “Agregar gráfico” para crear el siguiente gráfico:

1. Visualización: Torta.
2. Métrica: Activos (Monitoreados) - Total.
3. Dimensión: Estado de salud.
4. Agrega la siguiente condición:
   1. Activos > Nombre de etiqueta > contiene > PCI.
5. Asigna el nombre “Activos dentro del alcance por estado de salud” y haz clic en “Guardar”.

Nota: El estado de salud depende de las reglas de salud definidas por cada organización. Para que este gráfico entregue información útil, los atributos vinculados a salud deben poder monitorearse. Por lo general, esto requiere instalar el Agente de InvGate Asset Management en los endpoints dentro del alcance, para que reporte condiciones que pueden afectar el cumplimiento PCI, como el estado de antivirus/EDR, el cifrado de disco, parches faltantes, versión/soporte del sistema operativo, y otras señales relacionadas con seguridad.

4.3. Activos dentro del alcance con tickets abiertos

Haz clic en “Agregar gráfico” para crear el siguiente gráfico:

1. Visualización: Columna apilada.
2. Métrica: Solicitudes asignadas (Abiertas).
3. Dimensión: Tipo y Ubicación.
4. Agrega la siguiente condición:
   1. Activos > Nombre de etiqueta > contiene > PCI.
5. Asigna el nombre “Activos dentro del alcance con tickets” y haz clic en “Guardar”.

4.4. Solicitudes abiertas por tipo

Haz clic en “Agregar gráfico” para crear el siguiente gráfico:

1. Visualización: Indicador.
2. Métrica: Solicitudes asignadas (Abiertas).
3. Dimensión: Tipo de activo.
4. Agrega la siguiente condición:
   1. Activos > Nombre de etiqueta > contiene > PCI.
5. Asigna el nombre “Solicitudes abiertas por tipo” y haz clic en “Guardar”.

4.5. Estado de dispositivos no conformes

Haz clic en “Agregar gráfico” para crear el siguiente gráfico:

1. Visualización: Columna apilada.
2. Métrica: Activos (Monitoreados) - Total.
3. Dimensión: Tipo de activo y Estado.
4. Agrega las siguientes condiciones:
   1. Activos > Nombre de etiqueta > contiene > PCI.
   2. Activos > Estado de salud > no es > Seguro.
5. Asigna el nombre “Estado de dispositivos no conformes” y haz clic en “Guardar”.

4.6. Activos por estado y ubicación

Haz clic en “Agregar gráfico” para crear el siguiente gráfico:

1. Visualización: Columna apilada.
2. Métrica: Activos (Monitoreados) - Total.
3. Dimensión: Tipo de activo y Estado.
4. Agrega la siguiente condición:
   1. Activos > Nombre de etiqueta > contiene > PCI.
5. Asigna el nombre “Activos por estado y ubicación” y haz clic en “Guardar”.

4.7. Activos dentro del alcance por ubicación

Haz clic en “Agregar gráfico” para crear el siguiente gráfico:

1. Visualización: Columnas.
2. Métrica: Activos (Monitoreados) - Total.
3. Dimensión: Ubicación y Tipo.
4. Agrega la siguiente condición:
   1. Activos > Nombre de etiqueta > contiene > PCI.
5. Asigna el nombre “Activos dentro del alcance por ubicación” y haz clic en “Guardar”.