Este debate contiene 6 respuestas, tiene 4 mensajes y lo actualizó David Acosta David Acosta hace 3 años, 1 mes.

  • Autor
    Publicaciones
  • #44472
    Avatar
    PedroRMA
    Participante

    Hola,

    en mi empresa están pensando en formar a un par de personas como ISA.

    ¿Realmente merece la pena contar con un ISA dentro de la empresa o es mejor contar con una empresa externa que nos proporcione el QSA correspondiente para certificarnos en PCI DSS?

    Sería la primera vez que hacemos la certificación por lo que tenemos muchas dudas «en casi todo»…

    Un saludo, gracias.

  • #44602
    Avatar
    oscar
    Participante

    Recomendable un QSA

  • #44603
    David Acosta
    David Acosta
    Participante

    Hola Pedro:
    Tal como lo comenta Oscar, lo recomendable es un QSA ya que cuenta con la experiencia y el conocimiento de la normativa que te ayudará a optimizar el tiempo y a no caer en errores en el momento del despliegue de controles. Esto en una fase de implementación y pre-auditoría, que es lo recomendable ANTES de una primera auditoría PCI DSS. En la auditoría, únicamente un QSA puede realizar dicha tarea.
    Sin embargo, el hecho de tener profesionales ISA dentro de la empresa ayuda dentro del proceso de implementación y soporte interno antes, durante y después de la certificación, por lo que en este caso ambos perfiles son complementarios. No obstante, un ISA no puede realizar auditorías de PCI DSS.
    Saludos,
    David

  • #44604
    Avatar
    franmoga
    Participante

    Hola David:

    en primer lugar, felicidades por este sitio y el foro, sin duda un gran punto de referencia que acabo de descubrir.

    Estaba revisando las entradas del foro y aunque este hilo tiene casi un año, me gustaría hacer una aclaración sobre la figura de los ISA, puesto que desde mi punto de vista en la página del PCI SSC, la información no es del todo clara y hay que irse a lo que dicen las marcas internacionales para entender correctamente sus atribuciones.

    https://www.mastercard.com/us/company/en/docs/Frequently_Asked_Questions.pdf

    «Can Level 1 merchants currently use internal auditors to perform an onsite assessment? Yes. However, after June 30, 2012, the MasterCard SDP Program mandate for PCI DSS compliance validation will require Level 1 merchants to successfully complete an annual onsite assessment conducted by a PCI SSC certified QSA or an internal auditor who has attended and passed the PCI ISA training offered through the PCI SSC.»

    https://www.visaeurope.com/media/pdf/processing%20e-commerce%20payments%20guide.pdf

    «There are two ways a merchant can validate its compliance with PCI DSS – by completing a self-assessment questionnaire (SAQ) or by obtaining a Report on Compliance (RoC) using a PCI Security Standards Council registered Internal Security Assessor (ISA) or Qualified Security Assessor (QSA).»

    Por lo tanto, tanto para VISA como para MC, salvo error u omisión por mi parte, un ISA certificado por el PCI SSC podría firmar el RoC con las mismas competencias que un QSA. La única diferencia es que un ISA tiene que ser un empleado full time de la compañía para la que está firmando el RoC y no podría hacer esta tarea para ninguna otra compañía.

    Entiendo que esto ya debería de ser una decisión de negocio para una empresa, si pasar el proceso de convertirse en Participant Organization del PCI SSC para poder mandar a sus empleados a los cursos de certificación ISA y que estos luego puedan firmar los RoC o si por el contrario es más cómodo externalizar esta tarea en un QSA.

    Un saludo.
    Fran

  • #44605
    David Acosta
    David Acosta
    Participante

    Buenas tardes Fran:
    Efectivamente, todo lo que comentas tiene razón. Las marcas permiten que un ISA se pueda hacer cargo de ejecutar una auditoría y reportar el cumplimiento en un RoC. Aquí mi recomendación es que para evitarte sorpresas de último minuto, te comuniques con las marcas y les preguntes si te autorizan a emplear ese modelo, ya que dependiendo de la justificación que les indiques pueden decirte que sí o que no, este ya es un tema interno de ellos sobre los que tu como cliente o nosotros como QSA no tenemos injerencia.
    Al margen de mi trabajo como QSA, puedo decirte que el hecho de contratar una empresa QSAC te trae una serie de valores agregados que con un ISA no tendrás:
    – El QSA tiene experiencia en múltiples proyectos bajo diferentes implementaciones, entornos y tecnologías y puede agregar valor y optimizar tiempos en los procesos de la auditoría.
    – El QSA al ser de una empresa externa no tendría ningún problema y te evitaría inconvenientes derivados del potencial conflicto de intereses en el momento que un empleado haga la auditoría de su propia empresa.
    El ISA en principio está focalizado en el mantenimiento de los niveles de seguridad post-certificación y en soportar al auditor en la auditoría. Desde mi perspectiva, si no hay una razón de peso (más allá del tema de precios), es mejor mantener la implementación y la auditoría separadas.
    Espero que esta información te sirva.
    Saludos,
    David

  • #44606
    Avatar
    franmoga
    Participante

    Buenos días David:

    Gracias por tus comentarios y tus puntos de vista basados en tu experiencia como QSA, son muy útiles.

    En la documentación a la que hago referencia en mi entrada anterior, viene bastante claro que los ISA pueden firmar el ROC, al igual que un QSA. Por lo que para no perderme nada y tener una foto más clara, ¿tienes algún tipo de información adicional donde se indique que hay que solicitar autorización a los esquemas para que un ISA firme el ROC? ¿Has conocido algún caso en el que un ROC firmado por un ISA no haya sido aceptado?

    Estoy plenamente de acuerdo en que un QSA aporta un punto de vista externo y puede ser una gran herramienta para validar el cumplimiento de PCI-DSS, sobre todo en los primeros años de su implementación, pero creo que un ISA, también aporta ventajas:
    – Un ISA, al estar dentro de la organización, tiene una visión mucho más clara de la misma, por lo que va a comprender mejor el alcance del CDE y los workflows de los datos.
    – Un ISA debe ser un actor intependiente. El objetivo es sea la figura del auditor interno de PCI, no que esté involucrado en la implementación de los sistemas o el procesamiento de los datos de tarjeta. Este modelo de auditor interno, se utiliza en la certificación de otros estándares y es ampliamente aceptado como un método válido.
    – Un ISA forma parte de la compañía, por lo que se preocupará por que los niveles de seguridad se mantengan acordes a los requisitos de PCI-DSS durante todo el año.

    Lo que no veo es esa labor de ISA para interactuar con el auditor QSA durante la auditoría. Creo que el auditor tiene que tener más libertad durante la realización de la auditoría y concentrar todas las peticiones en un único perfil, podría hacer que se le pasaran detalles que obtendría directamente consultando al actor implicado.

    En fin, simplemente es mi punto de vista sobre la figura del ISA, que creo que en los próximos años va a experimentar un crecimiento exponencial en muchas compañías. Aunque los QSA van a seguir siendo una fuerza complementaria y muy necesaria en los procesos de auditoría.

    Un saludo.
    Fran

  • #44607
    David Acosta
    David Acosta
    Participante

    Buenas tardes Fran:
    Para no alargarme en mis respuestas, seré conciso:
    – Coincido totalmente contigo en todas tus apreciaciones respecto a ISA vs. QSA
    – Personalmente, no conozco aún ninguna empresa cuya auditoría de PCI DSS haya sido validada por un ISA, por eso mi consejo de primero preguntar a las marcas y luego proceder. Como sabes, cada marca gestiona independientemente sus programas de certificación, así que ante la duda, mejor preguntar primero…
    – De la descripción del curso de ISA (https://www.pcisecuritystandards.org/pdfs/ISA_Training_Course_Description.pdf) «…Internal Security Assessor training provides an opportunity for individuals to learn how to perform internal assessments for their company and recommend solutions to remediate any Payment Card Industry (PCI) compliance issues. Sponsored by their employer to attend this training, an ISA is able to act as liaison with external PCI auditing personnel and manage interactions with a QSA during the assessment process…». El objetivo principal del ISA es servir como soporte al QSA en el proceso de auditoría. Obviamente el QSA podría obtener información de cada actor implicado, pero por temas de optimización de tiempos un ISA es perfecto porque es quien le evitará al QSA empezar desde cero.
    No obstante, si tienes alguna experiencia en RoC firmados por un ISA, no olvides dejar el comentario aquí :-)

Debes estar registrado para responder a este debate.