Fuente: Amazon AWS Compliance

Fuente: Amazon AWS Compliance


NOTA DEL EDITOR: En este nuevo artículo, nuestro colaborador Carlos Sans García realiza una interesante introducción a la gestión de proveedores de servicios basados en la nube (cloud) – una de las principales tendencias identificadas por Gartner para 2015 – y su relación con PCI DSS.


Actualmente, un número elevado de empresas que operan con datos de tarjetas, dispone de una parte o la totalidad de su infraestructura en la Nube. A su vez, la mayoría de Proveedores de Nube dispone de la certificación PCI DSS Level 1 Service Provider [1] [2]. Existen muchas dudas respecto a qué requisitos PCI DSS son responsabilidad del Cliente y cuáles son responsabilidad del Proveedor. Este artículo introductorio tiene por objetivo intentar aclarar las principales dudas que se plantean durante el inicio de los proyectos de implantación de PCI DSS en la Nube.

En primer lugar, indicar que muchos clientes creen que por el hecho de que su Proveedor de Nube se encuentre certificado no deben realizar ninguna acción de cumplimiento adicional. Esta conclusión es falsa. El Cliente es responsable de establecer todos los requisitos de cumplimiento que afectan al entorno que se encuentra bajo su control, es decir: qué puede configurar y adaptar a sus necesidades.

Por ello, en la mayoría de casos, la responsabilidad del cumplimiento de los requisitos queda distribuida entre el Cliente y el Proveedor. Generalmente, el Proveedor se encarga de los requisitos asociados al perímetro del entorno, mientras que el Cliente se encarga de su interior. Es posible que la responsabilidad de algunos requisitos quede distribuida uniformemente. Para otros, puede quedar prácticamente asignada a una de las partes. Por ejemplo, en el caso que un Cliente mantenga toda su infraestructura en la Nube, la responsabilidad del Requisito 9 Restringir el acceso físico a los datos de tarjetas quedaría asignada prácticamente en su totalidad al Proveedor.

Para delimitar claramente las responsabilidades de cada parte, los Proveedores generalmente proporcionan – bajo solicitud – la relación de responsabilidades específicas del Cliente y el Proveedor [3]. En ella se indica (para cada requisito y subrequisitos de PCI DSS) quién es el responsable de su cumplimiento. Dicha relación es a su vez necesaria para el cumplimiento del Requisito 12.8.5 Mantener información sobre qué requisitos PCI DSS son gestionados por cada Proveedor de Servicios y cuáles son gestionados por la Entidad.

En segundo lugar, es muy importante conocer exactamente cuál es el alcance del certificado de cumplimiento del Proveedor. Dicho alcance se encuentra definido en el documento “Attestation of Compliance” (declaración de cumplimiento) elaborado por el Proveedor y su QSA durante su proceso de certificación, también generalmente proporcionado por este a sus Clientes bajo solicitud [3]. Es importante indicar que generalmente no todos los servicios que ofrece el Proveedor se encuentran bajo el alcance. Además, es posible que un servicio en concreto se encuentre parcialmente incluido en el alcance.

Esto último significa, que el Cliente deberá asumir la responsabilidad asociada a la parte excluida del alcance, con el objetivo de poder utilizar dicho servicio y asegurar el cumplimiento de los requisitos. En estos casos, la mayoría de Proveedores proporcionan servicios adicionales que facilitan la implementación de los requisitos asociados a dicha parte excluida.

Por otro lado, también deben tenerse en cuenta las localizaciones geográficas de los CPDs que se encuentran dentro del alcance del certificado de cumplimiento. Es posible que un servicio concreto únicamente cumpla los requisitos del estándar en unas localizaciones geográficas determinadas. Este hecho restringe al Cliente las posibles localizaciones dónde pueden procesarse, transmitirse o almacenarse sus datos de tarjetas. Los Proveedores generalmente se encargan de publicar toda esta información en su web [4], y de mantenerla ante las modificaciones del alcance que puedan producirse durante los sucesivos procesos de renovación de su certificado.

En tercer lugar, debido a que en la mayoría de casos la responsabilidad del cumplimiento de los requisitos queda distribuida entre el Cliente y el Proveedor, es necesaria la cooperación y coordinación entre ambos para asegurar la eficacia de las medidas de seguridad implementadas. Este hecho añade un grado de complejidad debido a la dependencia de un tercero. Dicha complejidad adicional no existe cuando el cumplimiento depende completamente del Cliente. Sin embargo, en ese caso, el esfuerzo de cumplimiento necesario también recae completamente de él.

Por ejemplo, el Requisito 12.10 Implementar un plan de respuesta a incidentes, requiere que los equipos de respuesta a incidentes de Cliente y Proveedor trabajen de forma conjunta. Ello implica la necesidad de comunicación bidireccional entre los equipos, siendo necesario tener en cuenta en el plan los tiempos de respuesta adicionales de cada comunicación.

Finalmente, antes de seleccionar un Proveedor y contratar un conjunto de sus Servicios, es necesario realizar un análisis de los diferentes Proveedores y Servicios ofrecidos en el mercado. El objetivo del análisis es determinar qué ventajas e inconvenientes presentan dichos Proveedores y Servicios, en términos de esfuerzo, de cara al cumplimiento de los requisitos de seguridad del estándar, y en términos económicos. Una vez realizado dicho análisis, podrá seleccionarse la solución más adecuada a su negocio.

Dicha solución puede no consistir necesariamente en contratar todos los Servicios a un mismo Proveedor. Es posible que consista en contratar un conjunto diferente de Servicios a múltiples Proveedores. Sin embargo, en ese caso se deben tener en cuenta los esfuerzos adicionales necesarios para gestionar el cumplimiento de los requisitos del estándar por parte del conjunto de Proveedores.

Referencias:

[1] Amazon AWS Compliance – PCI DSS Nivel 1: http://aws.amazon.com/es/compliance/

[2] Google Cloud Platform Blog – Google Cloud Platform now PCI Data Security Standard Certified: http://googlecloudplatform.blogspot.com.es/2014/12/google-cloud-platform-now-pci-data-security-standard-certified.html

[3] 2013 PCI Compliance Package available now – AWS Security Blog http://blogs.aws.amazon.com/security/post/Tx2BOQ6RM0ACYGT/2013-PCI-Compliance-Package-available-now

[4] Preguntas frecuentes sobre la certificación PCI DSS de nivel 1 en AWS – ¿Qué servicios de AWS admiten el almacenamiento, el procesamiento o la transmisión de datos de tarjetas de crédito?: http://aws.amazon.com/es/compliance/pci-dss-level-1-faqs/