Al igual que con el proceso de presentación de los Cuestionarios de Auto-Evaluación (SAQ), los comercios y los proveedores de servicio designados por las marcas para aprobar una auditoría de PCI DSS suelen cometer múltiples errores antes y durante el proceso de validación que pueden conllevar a la no certificación de su cumplimiento y – por ende – mayor exposición al potencial riesgo de fraude con todos los inconvenientes que ello acarrea (mala publicidad, pago de multas e indemnizaciones, bloqueo por parte de las marcas para el procesamiento de las autorizaciones de transacciones, pérdida de clientes y ventas, etc.)

Para evitar estos problemas, a continuación en PCI Hispano listamos los 5 principales errores que debes evitar cuando estás en una auditoría de PCI DSS:

ERROR 1: No realizar revisiones internas periódicas ni pre-auditorías de PCI DSS

“Si vis pacem, para bellum” es una frase latina que significa “Si quieres la paz, prepara la guerra”. Esta máxima (guardando las proporciones) también puede aplicarse a una auditoría de PCI DSS, como se verá a continuación.

Muchos comercios y proveedores de servicio que se enfrentan a su primera auditoría de PCI DSS o a una re-certificación a menudo caen en una situación de “exceso de confianza” que les hace creer que todo en su entorno es perfecto y que no se requiere una preparación previa. Nada más alejado de la realidad: los cambios de tecnología, la movilidad de personal, los incidentes diarios, etc. pueden afectar el cumplimiento de PCI DSS si no se mantiene un control mediante revisiones preventivas.

Estas revisiones pueden ser desarrolladas por alguien de la empresa con conocimientos en PCI DSS (preferiblemente un profesional certificado como “Internal Security Assessor” (ISA), PCIP, el área de Auditoría Interna de la organización o el propio Responsable de Seguridad) o ser realizadas por una empresa externa.

Algunos de los objetivos de estas tareas son:

  • Validar que el cuerpo normativo vinculado con PCI DSS se encuentra actualizado
  • Validar que las tareas periódicas de PCI DSS se han realizado correctamente y se cuenta con evidencia que demuestre su ejecución
  • Validar que el entorno de cumplimiento está correctamente definido y coincide con los diagramas de red y de flujo
  • Comprobar los niveles de seguridad en el momento de la revisión con respecto a métricas definidas previamente

De esta manera, se podrá detectar de forma proactiva cualquier desviación en el cumplimiento y tomar acciones correctivas de forma eficiente, así como optimizar los tiempos asociados con la auditoría y con sus tareas de validación y obtención de evidencia. Estas revisiones se pueden realizar empleando herramientas como el Enfoque Priorizado de PCI DSS, publicada en el sitio web del PCI SSC.

Estas revisiones internas deberían ser realizadas de forma periódica (recomendable como mínimo dos veces al año y – si es posible- ser realizadas sin anuncios previos) y antes de la auditoría (en cuyo caso ya estaríamos hablando de una pre-auditoría). No se trata de “arreglar” el entorno justamente antes de la auditoría sino al contrario: garantizar que entre los periodos anuales entre auditoría y auditoria  el estado de cumplimiento se mantuvo estable y el nivel de seguridad fue constante.

Curva de cumplimiento de PCI DSS en el tiempo. Fuente: PCI SSC

Es importante recordar que la seguridad es un elemento que se degrada con el tiempo.

ERROR 2: No preparar la logística necesaria antes de iniciar la auditoría de PCI DSS

Una auditoría de PCI DSS es una labor metodológica y detallada que requiere la validación de múltiples elementos (documentación, configuración de dispositivos, entrevistas, etc.) en un entorno en particular. Si dichos elementos no han sido preparados con anterioridad, el tiempo y esfuerzo invertido por el asesor QSA se multiplicará (y por consiguiente el coste de sus servicios).

Para ello, se recomienda:

  • Preparar toda la documentación de PCI DSS que sea necesaria (cuerpo normativo, actas de reunión, certificados de asistencia, tickets de servicio, copias de contratos, flujogramas, diagramas, etc.)
  • Centralizar y catalogar las evidencias de cumplimiento para facilitar la auditoría
  • Preparar los calendarios de reuniones de personal con el auditor
  • Informar con suficiente antelación al personal interno (operadores, administradores, personal de RRHH, desarrolladores, etc.) y a terceros involucrados con el entorno que deben estar disponibles durante el periodo que dure la auditoría, para que puedan gestionar su tiempo y compaginarlo con las actividades del día a día sin penalizar la operación normal de la empresa
  • Reservar las salas de reuniones necesarias con su logística relacionada (proyectores, pizarras, marcadores, etc.)
  • Gestionar los accesos de red, cuentas, permisos, accesos, etc. que puedan necesitar los auditores
  • Reservar “ventanas de mantenimiento” en las cuales el desempeño de determinados servidores y/o servicios se puede ver afectado por las validaciones de los auditores (por ejemplo, durante una búsqueda de datos de tarjetas de pago en texto claro en un filesystem)

Con esta preparación, no tendrás contratiempos durante la auditoria y contarás con tiempo suficiente para dedicarlo al auditor en vez de invertirlo en tareas logísticas.

ERROR 3: No definir un Punto Único de Contacto

Durante la auditoría de PCI DSS el asesor QSA deberá entrevistarse con múltiples personas de la organización y personal de terceros con el fin de obtener evidencia de cumplimiento. Para evitar que se inicien múltiples canales de comunicación y potencialmente se incurra en demoras o problemas, lo más conveniente es definir un rol interno en la empresa que actúe como “Punto Único de Contacto” o SPOC (“Single Point of Contact”).

Un SPOC es una persona o un grupo reducido de interlocutores que servirán como intermediarios entre el asesor QSA y el personal de la empresa auditada, permitiendo un seguimiento puntual a cada petición y respuesta y actuando como catalizador en el caso de problemas. El SPOC además será en encargado de acompañar al asesor durante toda su jornada, presentarlo al equipo, darle las explicaciones que sean necesarias para ponerlo en contexto, encargarse de hacer seguimiento a los puntos pendientes y coordinar la logística descrita en el punto anterior.

ERROR 4: No tener una hoja de seguimiento de pendientes

Durante la auditoría de PCI DSS siempre se requerirá de evidencia adicional, reorganización de calendarios, presentación de documentos que no se tenían previstos, etc. Si estas tareas pendientes no son administradas correctamente, es posible que queden puntos abiertos que pueden conllevar a incumplimientos.

Es por ello que se hace imprescindible el uso de una hoja de seguimiento de pendientes. Esta lista (que por lo general es una hoja de cálculo) debe ser gestionada por el SPOC (descrito anteriormente) quien debe indicar las fechas límite, responsable, acciones y resultados esperados. Con esta sencilla acción, cualquier imprevisto durante la auditoría podrá ser solucionado de forma efectiva evitando tareas abiertas y no controladas.

ERROR 5: Mentir al auditor

Finalmente, un clásico: Tratar de mentir al auditor.

Uno de los peores errores de las organizaciones que se encuentran bajo una auditoría es creer que pueden engañar al auditor, ya sea porque han cometido cualquiera (o todos) los errores anteriores o simplemente para justificar su incompetencia. Algunas veces esta acción puede ser efectiva (sobre todo con auditores inexpertos), pero a la larga es la propia organización que ha mentido la que estará afectada, ya que su seguridad estará apoyada en argumentos insostenibles. En otras ocasiones, las empresas auditadas intentan “comprar” la auditoría por medio de dádivas al asesor o a la empresa a la que pertenece con el fin de obtener su certificación, aunque su entorno no se encuentre plenamente alineado con las medidas de seguridad estipuladas.

Estos errores son fruto de la falsa creencia que PCI DSS es difícil, que el cumplimiento es excesivo con base en la cantidad de transacciones procesadas, que la certificación es un trámite burocrático o que simplemente es un gasto injustificado.

En este caso, es importante tener presentes las siguientes premisas:

  • El cumplimiento de PCI DSS (a pesar de ser difícil) siempre trae beneficios a la organización, por lo cual su Retorno de Investión (ROI) está plenamente justificado
  • Un auditor (Asesor QSA) no debe ser visto como un policía o como un enemigo. Al contrario, está contratado para detectar las fallas que pueda tener el entorno con el fin de corregirlas antes de que un atacante pueda aprovecharse de ellas.
  • Un auditor (Asesor QSA) no es un amigo (por lo menos durante su labor de auditoría). Es un profesional cualificado que debe ser respetado y cuyas recomendaciones deben ser implementadas por el beneficio de la empresa. Esto no quiere decir que después de la auditoría (y fuera del entorno profesional) no lo puedas invitar a tomar unas cervezas 🙂
  • La diferencia entre un auditor inexperto (o perteneciente a una compañía mediocre) y un auditor con experiencia es que éste último siempre buscará evidencia objetiva de cumplimiento de diversas fuentes y mediante acciones metodológicas, por lo que cualquier mentira o intento de engaño por lo general será descubierta mediante contraste de hallazgos.

Finalmente, es importante indicar que muchas empresas son reacias a invertir en los servicios de una compañía de auditoría confiable y con experiencia y optan por emplear como criterio de elección los costes más baratos. A la larga, la auditoria de PCI DSS (o cualquier otra tarea de auditoría) se puede asimilar a una visita al médico: Puedes ir a un médico general que te recetará ibuprofeno sin revisar en detalle tu enfermedad solamente para paliar con el malestar a corto plazo o visitar a un médico especialista que se encargará de examinarte en profundidad buscando el origen de tus problemas.  Al final, el auditor estará para ayudarte con base en su experiencia; no es un coste, es una inversión.

Esperamos que estas recomendaciones les sean útiles en el momento de afrontar una auditoría de PCI DSS. ¿Tienes alguna recomendación adicional? No dudes en dejarnos tus comentarios o visitar nuestro foro.