El cumplimiento de los controles de los estándares del PCI SSC se rigen por dos elementos que trabajan de forma mancomunada: el estándar como tal y su programa de validación relacionado. Aquí te explicamos sus diferencias.

Cuando una entidad requiere demostrar su cumplimiento con un estándar de seguridad en particular, es necesario identificar:

  • ¿Por qué se solicita que la entidad demuestre su cumplimiento?
  • ¿Quién está solicitando ese cumplimiento?
  • ¿A quién hay que demostrarle que la entidad cumple?
  • ¿Cómo se demuestra ese cumplimiento?
  • ¿Se trata de una petición interna (por Auditoría Interna, por ejemplo) o externa (por un cliente, por un proveedor, por razones gubernamentales, etc.)?
  • ¿Qué controles son aplicables?
  • ¿Cuál es el riesgo si no se demuestra ese cumplimiento?

Este proceso hace parte de las actividades de cumplimiento (compliance) del marco GRC (Governance, Risk Management, and Compliance). Una vez respondidas estas preguntas, es posible articular las actividades necesarias y complementarias con los componentes de gestión de riesgo y de gobernanza corporativa para llevar a cabo el programa de cumplimiento que se ha identificado.

Relación entre los bloques de conceptos de GRC. Fuente: www.deacosta.com

Esta tarea no es ajena al cumplimiento con los requerimientos descritos en los estándares del Payment Card Industry Security Standards Council (PCI SSC). Tal y como se describió en el artículo ¿Qué es PCI DSS?, el PCI SSC está compuesto por cinco entidades fundadoras (AMEX, Discover, JCB, MasterCard y Visa) y un nuevo miembro (China UnionPay):

Recordemos que el origen del PCI SSC tuvo lugar cuando estas empresas, competidoras entre sí, buscaban la implementación de un marco común de seguridad para la protección de datos de tarjetas. Por ello, la tarea original del PCI SCC fue la centralización y formalización de un conjunto de controles de seguridad que deberían ser cumplidos por aquellas entidades que procesan, almacenan o transmiten datos de tarjetas o que ofrecen servicios que puedan afectar la seguridad de dichos entornos.

Y es precisamente en este punto en donde viene la confusión: Muchas entidades (e incluso, los propios Asesores Cualificados de Seguridad – QSA) suelen tener ambigüedades respecto a la definición de las responsabilidades en términos de cumplimiento al no distinguir entre quién es el encargado de la definición de los controles de seguridad y quién establece las reglas bajo las cuales esos controles se tienen que evaluar.

¿Qué es un estándar?

En este contexto, un estándar es un conjunto de controles de seguridad física, lógica, administrativa y documental orientados hacia la protección de un conjunto específico de datos. En el caso del PCI Security Standards Council (PCI SSC), esta entidad ha desarrollado múltiples estándares de seguridad que definen requerimientos específicos de seguridad orientados hacia la protección de cada una de las áreas relacionadas con la seguridad de los datos de tarjetas de pago, desde su estampación en plástico pasando por su captura y autenticación en canales de pago presenciales y no presenciales, hasta la seguridad de los dispositivos encargados de proveer rutinas criptográficas para la protección de los datos asociados.

Estos estándares se publican en el sitio web del PCI SSC y suelen estar acompañados de otros documentos de soporte como Preguntas de Uso Frecuente (FAQs), guías complementarias y material adicional. Igualmente, se incluyen una serie de formularios para el reporte del cumplimiento por parte de las entidades afectadas.

¿Qué es un programa de validación?

Por otro lado, y de forma complementaria, cada una de las marcas de pago que hacen parte del PCI SSC definen de forma individual quién debe implementar los estándares definidos por el PCI SSC, cómo lo tienen que evaluar, cómo se tiene que reportar el cumplimiento, cada cuánto deben realizar estas validaciones y lo que ocurre si una entidad no cumple o tiene un incidente de seguridad que afecte a los datos de tarjetas que gestiona (multas y sanciones). Esto es lo que se denomina un «programa de validación» o «programa de cumplimiento». En algunos casos, las marcas de pago suelen gestionar listados de entidades que cumplen con los estándares del PCI SSC como es el caso de Visa con el Registro Global de Proveedores o MasterCard con su lista de proveedores de servicio registrados.

Siendo así, por lo general cada marca de pago (payment brand) mantiene su propio programa de validación (o de cumplimiento) en donde se estipulan las reglas que consideran necesarias para proteger los datos de las tarjetas de pago emitidas bajo su marca.

Aunque este criterio rigió durante muchos años, desde hace algún tiempo el propio PCI SSC puede hacer las dos funciones, tanto de desarrollo de los estándares como de gestión del programa de validación asociado,  como ocurre con los estándares P2PE, PCI SSF, CPoC, SPoC y MPoC, en donde el PCI SSC mantiene un listado de entidades que cumplen con dichos estándares.

Estándares y programas de validación

En la siguiente tabla se puede identificar si un estándar en particular es gestionado por un programa de validación (o cumplimiento) de las marcas de pago o si por el contrario el propio PCI SSC gestiona tanto el estándar como el programa:

 

EstándarAsociado a un programa de validación del PCI SSCAsociado a un programa de cumplimiento de las marcas de pago
P2PEX
PCI SSF (Secure SSL y Secure Software)X
CPoC, SPoC y MPoCX
PCI PTS (POI y HSM)X
Card Production (Logical and Physical)X
PCI DSSX
PCI PINX
PCI Token Service Provider (TSP)X
PCI 3-D Secure (3DS)X

Teniendo en cuentas esta definición de responsabilidades, si una entidad tiene alguna pregunta respecto al cumplimiento de determinado estándar, puede dirigirse a las marcas de pago (en el caso en el que el estándar sea gestionado a través de un programa de cumplimiento de las marcas de pago) o directamente al PCI SSC.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Deja un comentario