third_party_pcidss

Más de un año y medio tuvo que transcurrir para que el PCI SSC publicara un nuevo suplemento informativo. En esta ocasión – y con el soporte de aproximadamente 200 organizaciones que pertenecen al “Third-Party Security Assurance Special Interest Group” – el PCI SSC publicó el documento “Information Supplement: Third-Party Security Assurance“, el cual aplica en la contratación de los siguientes proveedores de servicio (“Third-party Service Provider” – TPSP), catalogados de acuerdo con el nivel de interacción con datos de tarjetas de pago:

  • Organizaciones involucradas en el almacenamiento, procesamiento y transmisión de datos de tarjetas de pago (CHD):
    • Operadores de llamadas telefónicas (“call centers”)
    • Proveedores de pagos de comercio electrónico
    • Organizaciones que procesan pagos en nombre de la entidad, como socios de negocio o distribuidores (“resellers”)
    • Servicios de verificación de fraude, de reporte de historial de crédito, agencias de recolección de datos
    • Procesadores de pago
    • Entidades que ofrecen servicios de pasarela de pago
  • Organizaciones involucradas en la securización de datos de tarjetas (CHD):
    • Compañías que ofrecen servicios de destrucción segura de medios físicos o electrónicos
    • Empresas que ofrecen ubicación física para el almacenamiento seguro de medios físicos o electrónicos
    • Compañías que ofrecen servicios de tokenización o encriptación
    • Terceros que proveen servicios de comercio electrónico o de aplicaciones móviles como Software-as-a-Service (SaaS)
    • Proveedores de servicios de gestión de claves
  • Organizaciones involucradas en la protección del entorno de datos de tarjetas (CDE):
    • Proveedores de servicio de infraestructuras
    • Proveedores de servicio de gestión de cortafuegos/enrutadores
    • Empresas de hosting seguro y centros de datos
    • Organizaciones que ofrecen servicios de monitorización de alertas de seguridad (IDS, antivirus, FIM, gestión de registro de eventos, monitorización de cumplimiento, etc.)
  • Empresas que pueden tener acceso incidental (causados por la ejecución del servicio contratado) a datos de tarjeta (CHD) o al entorno (CDE):
    • Proveedores de canales y servicios de distribución de tecnología gestionada
    • Compañías que ofrecen desarrollo de software
    • Proveedores de servicios de mantenimiento

Este documento describe de forma detallada todo el proceso de gestión de proveedores de servicio (“service providers”) desde el momento previo a la contratación, pasando por la contratación en sí,  la fase contractual en términos documentales y la monitorización de cumplimiento durante el trascurso de la prestación de servicios, que hacen parte del requerimiento 12.8 de PCI DSS:

Requerimiento 12.8: Mantenga e implemente políticas y procedimientos para administrar los proveedores de servicios con quienes se compartirán datos del titular de la tarjeta, o que podrían afectar la seguridad de los datos del titular de la tarjeta

A continuación se resumen todos estos pasos, de suma importancia en la delegación de riesgo a un tercero:

Actividades previas a la firma del contrato

En esta fase se debe realizar un análisis de los servicios que serán contratados al proveedor y de su potencial impacto en la seguridad de los datos de tarjeta (CHD) y del entorno de cumplimiento (CDE). Para ello se debe revisar si el proveedor cumple con PCI DSS en los servicios ofrecidos y solicitar la documentación que lo demuestre (Report on Compliance (RoC), Attestation of Compliance (AoC), Cuestionario de Auto-evaluación (SAQ), reportes de escaneos externos de vulnerabilidades (ASV)) y los diagramas de red y flujo de datos para tener una visión holística de su entorno, así como la publicación de su cumplimiento en las listas de las marcas de pago. En el caso que dicho proveedor no cumpla con PCI DSS, es necesario solicitarle un plan de trabajo con fechas límite.  Todo esto acompañado de un análisis de riesgos, que permitirá determinar la viabilidad en la contratación.

Flujograma del proceso de acciones previas a la contratación

Flujograma del proceso de acciones previas a la contratación

Proceso de contratación

En esta fase se debe establecer un canal de comunicación con el proveedor para la gestión de potenciales cambios en el servicio, revisar la evidencia de su cumplimiento y listar todos aquellos controles de PCI DSS que estarán bajo su responsabilidad, bajo la responsabilidad de la empresa contratante o compartida. Para ello, el documento facilita un ejemplo de matriz que se puede utilizar para documentar este punto:

Matriz de responsabilidad de PCI DSS en contratos con proveedores

Matriz de responsabilidad de PCI DSS en contratos con proveedores

Firma del contrato, políticas y procedimientos

Después de la revisión previa a la contratación, en este punto se deben establecer todos los documentos que harán parte del marco contractual, en los que se definen:

  • Los alcances del servicio
  • Los roles y responsabilidades de ambas partes
  • El cumplimiento con las normativas locales
  • El alineamiento con las políticas internas de la organización
  • Los procesos en caso de incidencias
  • Las actividades que se llevarán a cabo en el momento en que finalice el contrato
  • Los controles a ser implementados en el caso que el proveedor ofrezca un servicio que a su vez es provisto por otra empresa subcontratada (“Nested TPSPs”)
  • Actividades en caso que el proveedor incumpla con PCI DSS

Entre otros.

Estas actividades se deberán revisar con los proveedores que cumplen con la normativa como con aquellos que están en proceso de cumplimiento.

Monitorización del cumplimiento contractual del proveedor

Para esta última fase, se debe mantener una lista actualizada de los proveedores de servicio vinculados al entorno de cumplimiento (con base en el requerimiento 12.8.1) e implementar un proceso de monitorización periódica del cumplimiento del proveedor de servicios contratado.

El suplemento informativo describe de forma adicional una serie de actividades a ser ejecutadas en el caso que el proveedor no facilite la información requerida, no haya validado su cumplimiento con PCI DSS o sea la propia entidad la que incluya los servicios de dicho proveedor dentro de su programa de cumplimiento.

Adicionalmente, este suplemento informativo incluye dos anexos bastante útiles durante el proceso:

  • Puntos de discusión de alto nivel para la determinación de responsabilidades, que ofrece un listado genérico de puntos a ser revisados antes, durante y después de la contratación con el fin de identificar potenciales problemas por parte del proveedor.
  • Ejemplo de matriz de responsabilidad de PCI DSS, en la que se enumeran todos los controles bajo responsabilidad del proveedor, de la entidad o compartidos.

¿Tiene preguntas o considera que necesita mayor detalle en alguno de estos puntos? Tiene a su disposición los comentarios y el foro. Así mismo, los invitamos a visitar de forma continua el portal, seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.