Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44434
      Diego
      Participante

      Buenas,
      Tengo una duda con respecto a los proveedores de servicio, lo voy a plantear con un ejemplo: tenemos dos empresas, una de ellas es la que tiene una línea de negocio e-commerce y es la que debe dar cumplimiento de PCI; la otra empresa pertenece al mismo grupo y es la dueña de la infraestructura tecnológica.
      .- Si la empresa se crea su propio gateway de pagos y se conecta con los distintos bancos para procesar los pagos, ¿se podría considerar a la empresa tecnológica como un proveedor de servicios de PCI de la primera? ¿deberían reportar cumplimiento ambas empresas?
      .- Si la empresa redirige los pagos a un procesador externo, y encima lo hace mediante redirección por lo que los datos no entran en los sistemas y la empresa tecnológica lo único que haría sería poner la tecnología y los frontales desde donde se haría la redirección, ¿la empresa tecnológica que sería en este caso? ¿un simple proveedor de servicios tecnológicos?

      Un saludo, Diego.

    • #44539
      David Acosta
      Participante

      Hola Diego:
      Trabajaré la respuesta con el ejemplo que has puesto. Llamemos a la empresa de comercio electrónico «Empresa1» y a la empresa de infraestructura «Empresa2».
      + Para la primera pregunta:
      Si Empresa1 ha implementado su propia pasarela de pagos, debe reportar de forma obligatoria su cumplimiento de PCI DSS dependiendo del nivel de transacciones anuales que procese, ya sea en una auditoría o en un SAQ.
      Respecto al cumplimiento de Empresa2, todo depende de los servicios que le ofrezca a Empresa1 y al impacto que dichos servicios tengan en la gestión de datos de tarjetas de pago. Puede ser que en sus servicios tenga acceso lógico a la red Y a los datos de tarjeta (y depende si los puede ver cifrados y si tiene o no las claves de descifrado, tokenizados, en hash, truncados o en texto claro), que tenga acceso lógico a la red pero NO a los datos de tarjeta (por ejemplo gestión de servidores, monitorización, administración de cortafuegos/IDS/IPS, soporte técnico, etc.), que tenga acceso físico al entorno de cumplimiento (proveedor de infraestructura de CPD, servicios de vigilancia privada, etc.) o que provea algún tipo de servicio asociado a desarrollo o a provisión de software. Para cada uno de estos modelos y escenarios Empresa1 debe definir un proceso de gestión de proveedores y clausulado conforme con el requerimiento 12.8 de PCI DSS. Parte del principio que cuando se trabaja con terceros el riesgo se está delegando y la única forma de gestionarlo es mediante acuerdos contractuales.
      Es importante tener presentes las opciones que PCI DSS v3.0 describe en el apartado «Uso de proveedores de servicios externos/tercerización»:
      «…
      Los terceros proveedores de servicios tienen dos formas de validar el cumplimiento:
      1) Pueden realizar una evaluación de las PCI DSS por cuenta propia y proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento; o
      2) Si no realizan la evaluación de las PCI DSS por cuenta propia, deberán solicitar la revisión de sus servicios durante el curso de cada una de las evaluaciones de las PCI DSS de sus clientes.
      …»
      Siendo así, es MUY IMPORTANTE que en el proceso de gestión de proveedores se IDENTIFIQUEN los controles y responsabilidades que serán cubiertos por parte y parte y la forma como se evaluarán.
      + Para la segunda pregunta:
      Se debe revisar de forma detallada el flujo de transmisión de datos hacia el centro autorizador por parte de Empresa1. Como sabes, en la versión 3.0 de PCI DSS se definieron modelos nuevos de SAQ entre los que se encuentran el SAQ A y el SAQ A-EP que cubren dos escenarios similares con la diferencia de la forma como se envían los datos al centro autorizador y ambos incluyen el requerimiento 12.8 de gestión de proveedores. En este caso, volvemos al mismo punto de arriba en el que habría que validar los servicios prestados por Empresa2 y el nivel de acceso y riesgo al entorno de cumplimiento.
      Lamentablemente con la información proporcionada es muy difícil poder darte una respuesta puntual y ajustada al entorno de las empresas que describes, por lo que he intentado ser lo más generalista posible.
      Finalmente, en el «Appendix B: Merchant and Third-Party PCI DSS Responsibilities» del documento «Information Supplement: PCI DSS E-commerce Guidelines» puedes encontrar respuesta a las preguntas adicionales que puedas tener: https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf
      Espero que esta información te sea de utilidad.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.