not tested

Siguiendo la estela dejada por el último boletín oficial para asesores QSA emitido por el PCI SSC el pasado 1 de diciembre, es necesario comentar la aclaración que se hizo sobre la opción “Not Tested, existente en los Report on Compliance (documento resultante de las auditorías oficiales del estándar PCI DSS, llevadas a cabo por asesores QSA).

Al existir dicha opción como respuesta posible al evaluar cada uno de los requerimientos del estándar PCI DSS en una auditoría oficial, puede venir a la mente la siguiente pregunta:

“¿Es posible superar con éxito una auditoría PCI DSS si uno o más de los requerimientos evaluados son marcados con la opción “Not Tested”?”

La respuesta a dicha pregunta la tenemos en el documento Attestation of Compliance (AoC), que siempre debe acompañar al RoC para acreditar si una entidad ha superado con éxito una auditoría PCI DSS, y – por lo tanto – para acreditar si el entorno sujeto a evaluación es PCI Compliance.

Vemos en dicho documento AoC que la opción que acredita si un entorno ha superado con éxito una auditoría dicta lo siguiente:

not tested

Donde hacemos especial énfasis en la frase:

“… all questions answered affirmatively …

La aclaración del boletín del PCI SSC interviene en este punto, para dejar claro que si un requerimiento del RoC está marcado con la opción “Not Tested”, este requerimiento no se puede considerar como una respuesta positiva, y, por lo tanto, que el entorno evaluado no puede marcarse con la opción “Compliant” en el AoC.

Así pues, vemos que si un requerimiento del estándar PCI DSS ha sido marcado con la opción “Not Tested” en el RoC resultante de una auditoría oficial, el entorno evaluado no cumple los criterios para ser considerado como “PCI Compliant.

La cosa cambia con la opción “Not Applicable” (N/A), ya que el boletín también aclara que el PCI SSC sí la considera como una respuesta afirmativa, de manera que un entorno sujeto a auditoría puede considerarse “PCI Compliant” si el auditor QSA ha considerado que uno o varios de los requerimientos evaluados se cubren con dicha opción (siempre que los demás requerimientos evaluados se encuentren “In Place”, claro está).

Bibliografía

https://www.pcisecuritystandards.org/documents/PCI-DSS-v3_2-ROC-Reporting-Template.pdf

https://www.pcisecuritystandards.org/documents/PCI-DSS-v3_2-AOC-Merchant.docx

https://www.pcisecuritystandards.org/documents/PCI-DSS-v3_2-AOC-ServiceProviders.docx