audit

NOTA: Este artículo aplica únicamente a auditorías realizadas bajo el estándar PCI DSS versión 2.0.

Cuando se realiza una auditoría PCI DSS a un Comercio (“Merchant“) o Proveedor de Servicio (“Service Provider“) clasificados como nivel 1 (“Level 1”) por la cantidad de transacciones anuales realizadas y dichos resultados deben ser reportados a Visa, de forma obligatoria el auditor QSA debe rellenar un documento específico con los detalles pormenorizados de los hallazgos de la auditoría y la evidencia asociada. Dicho documento se denomina “Report on Compliance” (RoC) y de forma discrecional otras marcas (como Discover) lo pueden requerir para evaluar el cumplimiento del estándar.  Este RoC suele acompañar el formulario de  Declaración de cumplimiento para evaluaciones in situ (“Attestation of Compliance”) (AoC) y los resultados de los escaneos ASV como requerimientos de validación.

El RoC – a diferencia del SAQ y del AoC – va más allá del SI/NO en la columna “Estado de cumplimiento”, ya que se requiere un detalle granular justificando el porqué de dicho cumplimiento y respaldándolo con diferentes tipos de evidencia, como se describirá en este artículo. Es importante que tanto el auditor QSA como la empresa auditada conozcan el tipo de evidencia que se requerirá en este proceso:

  • El auditor, para preparar su plan de auditoría y coordinar tiempo y esfuerzo en la obtención de evidencia dependiendo de la complejidad del entorno auditado.
  • La empresa auditada, para poder preparar permisos, autorizaciones, personal acompañante, disponibilidad y encargados de proveer dicha evidencia al auditor.

De esta manera, el proceso de auditoría no tendrá contratiempos y la información a ser revisada podrá estar disponible cuando se requiera.

Tipos de evidencia requeridos en el RoC

Dentro del RoC se encuentran 4 tipos de evidencia. Cada control – dependiendo de su tipo (físico, lógico o administrativo) – tiene asociado uno o más de estos tipos de evidencia, que le permitirá al auditor respaldar sus conclusiones.

Captura

Observe system settings and/or configurations

En esta categoría, el auditor deberá enumerar cualquier evidencia obtenida de las siguientes fuentes:

  • Archivos de configuración
  • Registro de Windows (en el caso de este tipo de plataformas operativas)
  • Valores de variables relacionadas con parámetros de seguridad

Entre otros.

Por lo general, esta tarea permite evaluar el cumplimiento e implementación a nivel técnico de las configuraciones de seguridad descritas y documentadas en el requerimiento 2.2 de PCI DSS y desarrolladas para sistemas operativos, bases de datos, equipos activos de red y aplicaciones.  El acompañamiento de personal con privilegios administrativos es indispensable y es crítico que el auditor planifique estas pruebas de forma no intrusiva, evitando cualquier modificación al sistema analizado.

Dentro de los tipos de evidencia obtenidos para esta categoría se encuentran:

  • Screenshots (capturas de pantalla)
  • Copias de archivos de configuración
  • Resultados/reportes de herramientas automatizadas de análisis, las cuales suelen facilitar y optimizar la obtención de evidencia

Etc.

Document reviews

Como su nombre lo indica, esta categoría abarca las siguientes fuentes:

  • Cuerpo normativo de PCI DSS (políticas, normativas, estándares, manuales, guías, documentos de mejores prácticas, etc.)
  • Diagramas de red, de topología y de flujo de datos de tarjetas
  •  Cardholder Data Matrix
  • Formularios, tickets de soporte o de incidencias, minutas, actas de reunión, etc.
  • Documentación provista por los fabricantes o proveedores relacionada con PCI DSS
  • Registros de auditoría

Este tipo de evidencia permitirá demostrar que todos los procedimientos relacionados con PCI DSS se encuentran correctamente documentados, revisados, aprobados y publicados y que la ejecución operativa de los mismos cuenta con un soporte.

Dentro de los tipos de evidencia obtenidos para esta categoría se encuentran:

  • Copias electrónicas de los documentos relacionados
  • Escaneos de documentos (en caso que se cuente con evidencia física y se requiera convertir a electrónica)
  • Screenshots (capturas de pantalla)
  • Fotografías

Etc.

Interviews with personnel

Muchas veces, las explicaciones verbales pueden contener gran cantidad de información que soporte una conclusión de auditoría. Para ello, el auditor debe realizar una serie de entrevistas con el personal encargado de implementar y monitorizar los controles del estándar.

La evidencia puede ser de alguno de los siguientes tipos:

  • Actas de reunión, donde se enumeren los asistentes, sus cargos y responsabilidades
  • Archivos de video y/o sonido donde se haya grabado la entrevista
  • Transcripciones de grabaciones de audio y/o video
  • Notas tomadas en las entrevistas

Observe process, action, state

Finalmente, en esta categoría se encuentra cualquier evidencia obtenida de las siguientes fuentes:

  • Observación del comportamiento del personal frente a una acción premeditada del auditor con el fin de probar la respuesta de un control.
  • Observación del comportamiento del personal en las acciones del día a día, que deberá ser obtenida por el auditor de una forma lo más sutil posible para que su presencia no ponga en alerta al personal.
  • Capturas de tráfico y monitorización de red
  • Observación del estado de los controles (bloqueo de pantallas, cámaras de seguridad, uso de carnés, etc.)

Como se puede observar, esta categoría no es tan objetiva como las anteriores, debido a que requiere del criterio y experiencia del auditor para la obtención de una evidencia que resulte útil para demostrar el cumplimiento de un control determinado.

Dentro del tipo de evidencia a obtener se encuentran:

  • Fotografías
  • Grabaciones de video y/o audio
  • Notas tomadas por el auditor
  • Documentos en general (impresiones, faxes, cartas, etc.)

Por otro lado, en algunos controles específicos se requiere de la escogencia de una muestra (“sampling“), en donde el auditor elige una serie de elementos representativos de las tecnologías cubiertas por el control y las enumera dentro del RoC. Este muestreo debe seguir los lineamientos definidos en la página 12 del estándar de PCI DSS (Apartado “Sampling of Business Facilities/System Components”).

Protección y retención de evidencia de auditoría

Toda la información obtenida por el auditor en virtud de la auditoría debe ser catalogada y protegida por la empresa QSA. Los roles y responsabilidades derivados de la protección de esta información deben quedar descritos claramente en el contrato y en el acuerdo de confidencialidad firmado entre ambas partes. Así mismo, la empresa QSA deberá contar con una política interna de protección y retención de evidencia de auditoría.

Todos los resultados de la auditoría y la evidencia deben ser almacenados como mínimo por tres años y estar disponible en el caso que se requiera realizar una investigación posterior (por ejemplo: un análisis forense de una intrusión o un incidente relacionado con tarjetas de pago). 

El documento relacionado con estos procedimientos de auditoría se puede descargar desde la página del PCI SSC:

Payment Card Industry (PCI) Data Security Standard: ROC Reporting Instructions for PCI DSS v2.0