Etiquetado: ,

Mostrando 3 respuestas a los debates
  • Autor
    Publicaciones
    • #50569
      Avatarboscoits
      Participante

      Buenos días,

      Tenemos un grupo compuesto por varias sociedades, las cuales todas disponen de uno o varios canales de pago. Queremos certificar el grupo empleando un único ROC. Pero una de las sociedades dispone de una parte que no cumple con algunos de los requisitos de la norma, pero el resto de las partes si cumplen.

      ¿Hay alguna forma de indicar en el ROC que queremos excluir esa parte del negocio y seguir optando por la certificación del grupo completo?

    • #50575
      Avatarboscoits
      Participante

      Buenas otra vez,

      Hemos estado investigando y al parecer el requisito para recibir una certificación esta marcado por Tax ID (CIF en España), pero siempre que ese Tax ID no dependa de procesos que sean transversales al grupo e influyan en el CDE, como los típicos RRHH, financiero, etc.

      La duda surge porque en los SAQ de proveedor de servicios (punto 2a) si da la opción de definir el alcance de la certificación por servicio/producto, pero no en los ROC.

      ¿Hay diferencias entre en ese aspecto entre un ROC y un SAQ?

      Muchas gracias de antemano.

      Un saludo.

    • #50595
      David AcostaDavid Acosta
      Participante

      Buenas tardes:

      En principio, ten presente que el reporte de cumplimiento con PCI DSS se envía al adquiriente o a las marcas de pago. Estas organizaciones gestionan sus comercios en función del CIF o VAT (Unión Europea). En ese tipo de casos, lo más sencillo es comunicarse con tu entidad adquiriente y preguntarle si puedes presentar un RoC individual por empresa o incluso por canal de pago.

      Aquí puedes encontrar mayor información: «If a merchant has multiple processing environments, should the merchant complete multiple SAQ to validate their PCI DSS compliance?». A pesar de que la FAQ se refiere a SAQ, su aplicabilidad se extiende a evaluaciones formales vía RoC.

      Por otro lado, en tu caso puntual en el que de todas las empresas del grupo solamente una tiene problemas con la alineación con PCI DSS, puedes realizar una evaluación formal sin problema a las empresas que cumplen siempre y cuando se garantice que existe un aislamiento/segmentación con el entorno que no cumple, con el fin de evitar «contaminación» de entornos. Supongo que los problemas que tiene esa empresa que no cumple serán de carácter técnico, por lo que la separación se debería realizar en ese ámbito.

      Espero que esta información te sirva.

      David

    • #50623
      Avatarboscoits
      Participante

      Buenas David,

      Muchísimas gracias por la respuesta.

      Y como has dicho, estamos hablando con el banco adquiriente para que nos valide la opción que tomemos.

      Un saludo.

Mostrando 3 respuestas a los debates
  • Debes estar registrado para responder a este debate.