Los Grupos de Especial Interés (
Special Interest Groups - SIG's) son grupos de trabajo coordinados por el
PCI SSC con el objetivo de encontrar soluciones y mejoras, a las diferentes normas de
PCI SCC, sobre aspectos específicos de determinado sector o industria así como aspectos tecnológicos no contemplados anteriormente.
El objetivo final de los SIG's es elaborar guías, recomendaciones, clarificaciones y mejoras en los diferentes estándares de
PCI SSC. Este año 2014 el
PCI SSC ha seleccionado únicamente dos grupos de trabajo de especial interés:
Penetration Testing Guidance Security Awareness Program:
Best Practices for Implementing a Formal Security Awareness Program. Como ya hicimos en 2013, colaborando en dos SIG's,
Internet Security Auditors vuelve a colaborar este año 2014 con
PCI SSC. En esta ocasión, Vicente Aguilera Díaz participará en el grupo de trabajo "
Penetration Testing Guidance", aportando su experiencia y conocimientos en esta área.
El objetivo del grupo
Penetration Testing Guidance es el de actualizar el actual documento "
Information Supllement: Requirement 11.3 Penetration Testing" realizado en 2008, de forma que se incluyan los siguientes aspectos: Desarrollar buenas prácticas y recomendaciones para actividades de pentest Considerar pruebas en modo autenticado utilizando varios roles, de forma que se asegure que el acceso a los datos de tarjeta está restringido a los privilegios asignados al rol Desarrollar una guía para crear plantillas de informes Desarrollar las mejoras prácticas para verificar un informe de pentest Documentar casos de estudio ilustrativos La publicación de este documento actualizado, está prevista para finales de este año 2014.
Referencias:
- PCI SSC Special Interest Groups:
https://www.pcisecuritystandards.org/get_involved/special_interest_groups.php
Information Supplement:
- Requirement 11.3 Penetration Testing
https://www.pcisecuritystandards.org/pdfs/infosupp_11_3_penetration_testing.pdf