Cuando una organización que debe implementar los controles del estándar PCI DSS se encuentra con una limitación/restricción técnica o administrativa que le impide implementar un control tal cual como se indica en el estándar, los controles de compensación (o compensatorios) llegaban al rescate.

Los controles compensatorios – para poder ser aceptados como tal – deben cumplir con los siguientes criterios:

  1. Cumplir con el propósito y el rigor del requisito original de PCI DSS.
  2. Proporcionar un nivel similar de defensa, tal como el requisito original de PCI DSS, de manera que el control compensatorio compense el riesgo para el cual se diseñó el requisito original de PCI DSS.
  3. Ir más allá («above and beyond») del cumplimiento del requisito (el simple cumplimiento con otros requisitos de PCI DSS no constituye un control de compensación).

Este criterio ha sido utilizado hasta ahora (PCI DSS v3.2.1). No obstante, para la versión 4.0 de PCI DSS (a ser publicada antes de finales del año 2020) se espera que los controles compensatorios desaparezcan y sean remplazados por validaciones personalizadas (customized validations). Pero, ¿en qué consisten estas «validaciones personalizadas»?

Validaciones personalizadas: La evolución de los controles compensatorios

Hasta ahora, la validación del cumplimiento de los controles del estándar PCI DSS se realiza comprobando que la implementación física, lógica o documental cumpla con lo que especifica explicitamente el control ( o «cómo el control debe implementarse»). Con la entrada en vigencia de PCI DSS 4.0, este enfoque cambiará de forma radical, ya que ahora se evaluará el resultado final del control, al margen de cómo o con qué se implemente, permitiendo la aceptación de nuevas tecnologías y metodologías sin que ello penalice el nivel de seguridad del entorno.

Esta nueva forma de validación flexibilizará la adecuación de los controles de PCI DSS y permitirá la existencia de formas alternativas diferentes a los «requisitos tradicionales» del estándar para cumplir.  A través de la validación personalizada, las organizaciones pueden mostrar cómo su implementación específica cumple con la intención y aborda el riesgo a cubrir por un control en particular.

A diferencia de los controles compensatorios, ya no se requerirá de una limitación técnica o de negocio para implementar una validación personalizada, ya que los requisitos ahora se basarán en los resultados. Esto implica que en la versión 4.0 de PCI DSS los requisitos se escribirán como declaraciones basadas en resultados y enfocados en la implementación del control de seguridad como resultado final.

Finalmente, es importante tener en cuenta que aquellas organizaciones con despliegues de controles de seguridad basados en versiones anteriores de PCI DSS («controles tradicionales») podrán seguir manteniendo su cumplimiento sin ningún problema, aunque tendrán a disposición la opción de trabajar con validaciones personalizadas, si así lo desean.

Desde PCI Hispano os informaremos en cuanto tengamos más detalles al respecto.

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.