Mostrando 5 respuestas a los debates
  • Autor
    Entradas
    • #44442
      Diego
      Participante

      Hola David,

      Esto tiene relación con otros post que he puesto por aquí, por lo que es posible que te suene.
      Imaginemos que tenemos 3 empresas: el comercio, un proveedor de hosting tecnológico y un procesador de pagos.
      .- El comercio tiene delegada toda la responsabilidad en el proveedor de hosting. A parte de e-commerce hace MOTO.
      .- El proveedor de hosting es la dueña de los sistemas y ofrece una web de pagos al comercio. Esta web de pagos se conecta a una procesadora de pagos mediante redirección, por lo que los datos de tarjeta no pasan por sus sistemas.

      El flujo de datos sería:
      .- Un usuario entra en la web del comercio y elige pagar por tarjeta, en ese momento se le redirige a la procesadora y realiza el pago.

      Mi pregunta tiene que ver con qué SAQ aplica a cada uno. Yo había pensado:
      .- Comercio: SAQ_A
      .- Proveedor hosting: SAQ_D
      .- Procesadora: certificado de cumplimiento PCI como Service Provider.

      ¿Te encaja?

      Un saludo, Diego.

    • #44549
      David Acosta
      Participante

      Hola Diego:
      Los niveles de SAQ y los formularios a presentar los define el adquiriente, no el QSA o el comercio/proveedor de servicios.
      Dejando de lado esta aclaración y con base en los flujos que comentas, los tipos de SAQ que has descrito son correctos sí y solo sí:
      + La cantidad de transacciones anuales de cada uno de estas entidades no supera los umbrales definidos para ser Level 1 y no requieren una auditoría.
      + El comercio no influye en la forma cómo se capturan los datos de tarjetas,no tiene acceso al sitio web y dicho sitio web es totalmente alojado y gestionado por un procesador que cumple con PCI DSS
      + El comercio usa o 1) un inline frame (iFrame) o 2) un enlace (link) al sitio web del procesador para el proceso de pago
      + El hosting no permite el acceso del comercio a la página web
      Así mismo, las responsabilidades de cada uno de los actores frente a los requerimientos de PCI DSS están claramente identificadas y descritas en términos contractuales, conforme con el requerimiento 12.8.5 de PCI DSS v3.0. «Conserve información sobre cuáles son los requisitos de las PCI DSS que administra cada proveedor de servicios y cuáles administra la entidad».
      Así mismo, échale un vistazo al artículo «Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)» que lo he actualizado con un comparativo entre el SAQ A vs. SAQ A-EP y el SAQ B vs. SAQ B-IP: http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/
      Saludos,
      David

    • #44550
      andresmx89
      Participante

      Hola David

      En mi organización también tengo la duda sobre este tema, tenemos varios proveedores de varios temas y no se si aplican diferentes SAQ, o una solamente, y si los proveedores deben diligenciarla en su totalidad.

      Gracias,

    • #44551
      David Acosta
      Participante

      Hola Andrés:
      Cada proveedor debe cumplir con PCI DSS en función de los servicios que le preste a tu organización. Así mismo, cada proveedor es responsable de su cumplimiento, tu tarea como cliente de sus servicios es simplemente monitorizar su cumplimiento (req. 12.8). El responsable de exigir un reporte de cumplimiento a tu cliente es el centro autorizador al cual esté conectado.
      Ahora bien, PCI DSS v3.0 establece lo siguiente en el apartado «Uso de proveedores de servicios externos/tercerización»:
      «…
      Los terceros proveedores de servicios tienen dos formas de validar el cumplimiento:
      1) Pueden realizar una evaluación de las PCI DSS por cuenta propia y proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento; o
      2) Si no realizan la evaluación de las PCI DSS por cuenta propia, deberán solicitar la revisión de sus servicios durante el curso de cada una de las evaluaciones de las PCI DSS de sus clientes.
      …»
      En conclusión: Es responsabilidad de los proveedores cumplir y demostrar que se encuentran alineados con PCI DSS a través de un SAQ o un RoC. La labor del cliente es validar que dichos proveedores cumplen. Si el proveedor no cumple, se pueden incluír los servicios que ofrece dentro de la auditoría que debe aprobar el propio cliente.
      Saludos,
      David

    • #44552
      andresmx89
      Participante

      Hola David

      En caso tengo 3 proveedores:

      Level3 (Datacenter)
      Switche Transaccional
      Software de Datafonos y Pin Pads,

      Como los 3 son diferentes debo utilizar una misma SAQ para los 3 o diferentes SAQ? y dentro de la SAQ debe ser en su totalidad o solo los puntos que aplican al proveedor.

      Gracias,

    • #44553
      David Acosta
      Participante

      Hola Andrés:
      ¿Te refieres a TU cuestionario (SAQ) o el de TUS proveedores?
      Como lo comenté anteriormente, si es TU cuestionario, entonces debes validar que tus proveedores cumplen con lo descrito en el requerimiento 12.8, pero es responsabilidad de ellos el rellenarlo y presentarlo a sus centros autorizadores.
      Si es el de TUS proveedores, pues son ellos los que te lo deben mostrar para demostrarte su cumplimiento.
      Ahora, por los proveedores que comentas, podemos entrar en más detalles:
      – Datacenter: Depende de los servicios que tengas contratados con ellos: solamente la ubicación física, la ubicación + infraestructura y/o administración. Dependiendo de ello, haz de identificar los requerimientos compartidos y sus responsabilidades y validar que si tienen un SAQ o ROC, dichos documentos cubren los controles relacionados con los servicios contratados.
      – Switch transaccional: Supongo que te referirás al centro autorizador. En este caso, ese centro autorizador (dependiendo de su nivel en cuanto a cantidad de transacciones anuales) debería aparecer en las listas de VISA como Service Provider Level 1. Si no, que te demuestren su cumplimiento.
      – Software de datafonos y PIN PAD: En este caso, si no se trata de un desarrollo a medida, ten cuidado porque podría aplicar PA DSS.
      Todas estas labores hacen parte de las actividades del req. 12.8 de gestión de proveedores y precisamente el objetivo es garantizar que aquellas entidades con las que se comparten datos de tarjetas proveen el mismo nivel de seguridad a esos datos como el que tu tienes en tu entorno.
      Saludos,
      David

Mostrando 5 respuestas a los debates
  • Debes estar registrado para responder a este debate.