Planilha de inventário geral CDE

23 DE NOVEMBRO DE 2022
por Héctor García

Muitos de nós já começamos a analisar e até mesmo trabalhar nas adaptações e novos requisitos para o processo de transição da versão PCI-DSS 3.2.1 para a verão PCI-DSS 4.0.

Com o objetivo de apoiar as companhias durante o processo de adaptação, desenvolvi uma planilha template de inventário geral do CDE que nos permite ter uma base para começar a trabalhar e realizar as alterações necessárias de acordo com as especificações de cada organização.

Este documento traz esclarecimentos com relação à versão anterior da norma e inclui novos inventários que são exigidos pela versão 4.0.

Se aprendi alguma coisa nestes anos como QSA é que embora o padrão seja o mesmo para todos, cada organização é um mundo e uma realidade diferentes. Em alguns casos, o mesmo requisito pode ter uma aplicabilidade totalmente diferente entre um ambiente e outro.

É por isso que tento cobrir o máximo de espectro possível com um documento muito geral, com campos e informações mínimas exigidas pela norma.

Por último, mas não menos importante, desenvolvi o documento incluindo as informações mínimas que eu pessoalmente gosto de receber para iniciar uma avaliação PCI-DSS nível 1, sempre observando que as entidades que gerenciam um inventário "centralizado" são as que geralmente (nem sempre, mas na maioria das vezes) têm um nível de maturidade no processo de recertificação PCI-DSS.

NOTA: De forma alguma este ou qualquer outro formato deve ser considerado "obrigatório" para validar a conformidade PCI-DSS. A norma, em ambas as versões, nos diz que deve haver um inventário com informações mínimas necessárias. No entanto, não precisa ser um formato específico e cabe à entidade escolher como desenvolve sua documentação para atender aos requisitos específicos. Sinta-se à vontade para modificar e adaptar o inventário às necessidades específicas de sua organização.

Fonte: https://www.pcihispano.com/plantilla-para-el-inventario-general-del-cde/