Etiquetado: ,

Mostrando 9 respuestas a los debates
  • Autor
    Entradas
    • #44472
      PedroRMA
      Participante

      Hola,

      en mi empresa están pensando en formar a un par de personas como ISA.

      ¿Realmente merece la pena contar con un ISA dentro de la empresa o es mejor contar con una empresa externa que nos proporcione el QSA correspondiente para certificarnos en PCI DSS?

      Sería la primera vez que hacemos la certificación por lo que tenemos muchas dudas «en casi todo»…

      Un saludo, gracias.

    • #44602
      oscar
      Participante

      Recomendable un QSA

    • #44603
      David Acosta
      Participante

      Hola Pedro:
      Tal como lo comenta Oscar, lo recomendable es un QSA ya que cuenta con la experiencia y el conocimiento de la normativa que te ayudará a optimizar el tiempo y a no caer en errores en el momento del despliegue de controles. Esto en una fase de implementación y pre-auditoría, que es lo recomendable ANTES de una primera auditoría PCI DSS. En la auditoría, únicamente un QSA puede realizar dicha tarea.
      Sin embargo, el hecho de tener profesionales ISA dentro de la empresa ayuda dentro del proceso de implementación y soporte interno antes, durante y después de la certificación, por lo que en este caso ambos perfiles son complementarios. No obstante, un ISA no puede realizar auditorías de PCI DSS.
      Saludos,
      David

    • #44604
      franmoga
      Participante

      Hola David:

      en primer lugar, felicidades por este sitio y el foro, sin duda un gran punto de referencia que acabo de descubrir.

      Estaba revisando las entradas del foro y aunque este hilo tiene casi un año, me gustaría hacer una aclaración sobre la figura de los ISA, puesto que desde mi punto de vista en la página del PCI SSC, la información no es del todo clara y hay que irse a lo que dicen las marcas internacionales para entender correctamente sus atribuciones.

      https://www.mastercard.com/us/company/en/docs/Frequently_Asked_Questions.pdf

      «Can Level 1 merchants currently use internal auditors to perform an onsite assessment? Yes. However, after June 30, 2012, the MasterCard SDP Program mandate for PCI DSS compliance validation will require Level 1 merchants to successfully complete an annual onsite assessment conducted by a PCI SSC certified QSA or an internal auditor who has attended and passed the PCI ISA training offered through the PCI SSC.»

      https://www.visaeurope.com/media/pdf/processing%20e-commerce%20payments%20guide.pdf

      «There are two ways a merchant can validate its compliance with PCI DSS – by completing a self-assessment questionnaire (SAQ) or by obtaining a Report on Compliance (RoC) using a PCI Security Standards Council registered Internal Security Assessor (ISA) or Qualified Security Assessor (QSA).»

      Por lo tanto, tanto para VISA como para MC, salvo error u omisión por mi parte, un ISA certificado por el PCI SSC podría firmar el RoC con las mismas competencias que un QSA. La única diferencia es que un ISA tiene que ser un empleado full time de la compañía para la que está firmando el RoC y no podría hacer esta tarea para ninguna otra compañía.

      Entiendo que esto ya debería de ser una decisión de negocio para una empresa, si pasar el proceso de convertirse en Participant Organization del PCI SSC para poder mandar a sus empleados a los cursos de certificación ISA y que estos luego puedan firmar los RoC o si por el contrario es más cómodo externalizar esta tarea en un QSA.

      Un saludo.
      Fran

    • #44605
      David Acosta
      Participante

      Buenas tardes Fran:
      Efectivamente, todo lo que comentas tiene razón. Las marcas permiten que un ISA se pueda hacer cargo de ejecutar una auditoría y reportar el cumplimiento en un RoC. Aquí mi recomendación es que para evitarte sorpresas de último minuto, te comuniques con las marcas y les preguntes si te autorizan a emplear ese modelo, ya que dependiendo de la justificación que les indiques pueden decirte que sí o que no, este ya es un tema interno de ellos sobre los que tu como cliente o nosotros como QSA no tenemos injerencia.
      Al margen de mi trabajo como QSA, puedo decirte que el hecho de contratar una empresa QSAC te trae una serie de valores agregados que con un ISA no tendrás:
      – El QSA tiene experiencia en múltiples proyectos bajo diferentes implementaciones, entornos y tecnologías y puede agregar valor y optimizar tiempos en los procesos de la auditoría.
      – El QSA al ser de una empresa externa no tendría ningún problema y te evitaría inconvenientes derivados del potencial conflicto de intereses en el momento que un empleado haga la auditoría de su propia empresa.
      El ISA en principio está focalizado en el mantenimiento de los niveles de seguridad post-certificación y en soportar al auditor en la auditoría. Desde mi perspectiva, si no hay una razón de peso (más allá del tema de precios), es mejor mantener la implementación y la auditoría separadas.
      Espero que esta información te sirva.
      Saludos,
      David

    • #44606
      franmoga
      Participante

      Buenos días David:

      Gracias por tus comentarios y tus puntos de vista basados en tu experiencia como QSA, son muy útiles.

      En la documentación a la que hago referencia en mi entrada anterior, viene bastante claro que los ISA pueden firmar el ROC, al igual que un QSA. Por lo que para no perderme nada y tener una foto más clara, ¿tienes algún tipo de información adicional donde se indique que hay que solicitar autorización a los esquemas para que un ISA firme el ROC? ¿Has conocido algún caso en el que un ROC firmado por un ISA no haya sido aceptado?

      Estoy plenamente de acuerdo en que un QSA aporta un punto de vista externo y puede ser una gran herramienta para validar el cumplimiento de PCI-DSS, sobre todo en los primeros años de su implementación, pero creo que un ISA, también aporta ventajas:
      – Un ISA, al estar dentro de la organización, tiene una visión mucho más clara de la misma, por lo que va a comprender mejor el alcance del CDE y los workflows de los datos.
      – Un ISA debe ser un actor intependiente. El objetivo es sea la figura del auditor interno de PCI, no que esté involucrado en la implementación de los sistemas o el procesamiento de los datos de tarjeta. Este modelo de auditor interno, se utiliza en la certificación de otros estándares y es ampliamente aceptado como un método válido.
      – Un ISA forma parte de la compañía, por lo que se preocupará por que los niveles de seguridad se mantengan acordes a los requisitos de PCI-DSS durante todo el año.

      Lo que no veo es esa labor de ISA para interactuar con el auditor QSA durante la auditoría. Creo que el auditor tiene que tener más libertad durante la realización de la auditoría y concentrar todas las peticiones en un único perfil, podría hacer que se le pasaran detalles que obtendría directamente consultando al actor implicado.

      En fin, simplemente es mi punto de vista sobre la figura del ISA, que creo que en los próximos años va a experimentar un crecimiento exponencial en muchas compañías. Aunque los QSA van a seguir siendo una fuerza complementaria y muy necesaria en los procesos de auditoría.

      Un saludo.
      Fran

    • #44607
      David Acosta
      Participante

      Buenas tardes Fran:
      Para no alargarme en mis respuestas, seré conciso:
      – Coincido totalmente contigo en todas tus apreciaciones respecto a ISA vs. QSA
      – Personalmente, no conozco aún ninguna empresa cuya auditoría de PCI DSS haya sido validada por un ISA, por eso mi consejo de primero preguntar a las marcas y luego proceder. Como sabes, cada marca gestiona independientemente sus programas de certificación, así que ante la duda, mejor preguntar primero…
      – De la descripción del curso de ISA (https://www.pcisecuritystandards.org/pdfs/ISA_Training_Course_Description.pdf) «…Internal Security Assessor training provides an opportunity for individuals to learn how to perform internal assessments for their company and recommend solutions to remediate any Payment Card Industry (PCI) compliance issues. Sponsored by their employer to attend this training, an ISA is able to act as liaison with external PCI auditing personnel and manage interactions with a QSA during the assessment process…». El objetivo principal del ISA es servir como soporte al QSA en el proceso de auditoría. Obviamente el QSA podría obtener información de cada actor implicado, pero por temas de optimización de tiempos un ISA es perfecto porque es quien le evitará al QSA empezar desde cero.
      No obstante, si tienes alguna experiencia en RoC firmados por un ISA, no olvides dejar el comentario aquí 🙂

    • #52219
      antuanti
      Participante

      Hora de recuperar este hilo!

      Os doy mi humilde opinión: Ir directamente a QSA implica una inversión importante, sobre todo si de entrada no tienes una cartera específica de clientes que necesiten este perfil, pero si vas primero a por el PCIP, o el ISA, puedes ir evolucionando poco a poco (en todos los sentidos)

      En esta evolución, y corregidme si me equivoco, veo el ISA más cerca del QSA

    • #52279
      David Acosta
      Participante

      Hola a todos:
      Después de casi 4 años desde la última respuesta, considero que la decisión de ir por un ISA o por un QSA depende de la política de la organización respecto al cumplimiento normativo y a las actividades de auditoría. Obviamente, ambos escenarios (ISA o QSA) son válidos, pero, bajo mi punto de vista, trabajar con un asesor QSA le otorga a la empresa que va a ejecutar una evaluación formal de cumplimiento:
      – Un criterio independiente,
      – Posibilidades de optimización del cumplimiento gracias a la experiencia del QSA en múltiples entornos similares,
      – Posibilidad de cambiar de asesor cuando la empresa lo considere necesario (¿Cuáles son las ventajas de un programa de rotación periódica del asesor o empresa QSA?).
      Elementos que potencialmente un ISA no podría aportar.
      Nuevamente, todo depende del criterio de la empresa que debe cumplir con PCI DSS.
      Otra cosa es una empresa que ofrezca servicios de evaluación de cumplimiento de PCI DSS. En este caso, un ISA no aplica, ya que este rol solamente puede efectuar evaluaciones de cumplimiento en la empresa de la cual es empleado.

    • #52295
      antuanti
      Participante

      Gracias por la aclaración David. En mi comentario, lo que quería indicar realmente es que, técnicamente, el ISA me parece más “potente” que el PCIP, y por lo tanto, a nivel de conocimiento, lo veo más cercano al QSA.

      Pero tal y como me has comentado en otro hilo, me queda claro que son cualificaciones distintas, con objetivos distintos.

Mostrando 9 respuestas a los debates
  • Debes estar registrado para responder a este debate.