Los análisis de vulnerabilidad son necesarios una vez cada tres meses, como mínimo, y después de cualquier cambio importante. ¿Qué se entiende por "cambio importante" en PCI DSS?

Cambio importante en la PCI DSS

Definir un cambio importante depende en gran medida de la configuración de tu entorno.

Sin embargo, estas actividades son consideradas como “cambio importante” por el Consejo del PCI:

• Nuevo hardware, software o equipo de red añadido al CDE.
• Cualquier sustitución o actualización importante de hardware y software en el CDE.
• Cualquier cambio en el flujo o el almacenamiento de los datos de la cuenta.
• Cualquier cambio en el límite del CDE o en el ámbito de evaluación de la PCI DSS.
• Cualquier cambio en la infraestructura de soporte subyacente del CDE (incluidos, entre otros, los cambios en los servicios de directorio, los servidores de tiempo, el registro y la supervisión).
• Cualquier cambio en proveedores de servicio/colaboradores externos (o servicios proporcionados) que respalden el CDE o cumplan con los requisitos de la PCI DSS en nombre de la entidad.

Cada una de estas actividades, como mínimo, tiene un impacto potencial en la seguridad del entorno de datos del titular de la tarjeta (CDE) de una entidad y debe tenerse en cuenta y evaluarse para determinar si un cambio es importante para esa entidad y en el contexto de los requisitos de la PCI DSS relacionados.