Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 4 meses, 3 semanas.

  • Autor
    Publicaciones
  • #47564

    Jose
    Participante

    Buenas David, tenemos una duda/consulta con respecto a la designación de Roles. Somos una empresa pequeña (6 personas, en su gran medida programadores y cada quien tiene sus tareas específicas con otros clientes) que hizo un software para una empresa de procesamiento de pagos con tarjetas.
    Nos piden la certificación PA-DSS y estamos revisando el punto de los roles establecidos y aquí es donde nos surge la duda, en cuanto al ser tan pequeños casi que todos los requerimientos que solicita el cliente los realizamos y revisamos nosotros mismos y luego se lo enviamos para su implementación. Hasta donde tenemos entendido, lo idóneo y correcto, es que haya una persona que ejecute, otra que revise y la última que apruebe para su posterior envío, Es así?
    Qué podemos hacer en este caso? Gracias por la ayuda.

  • #47567
    David Acosta
    David Acosta
    Participante

    Buenas tardes José:
    Antes de responderte, ¿has verificado si la aplicación que has desarrollado cumple con los criterios para ser certificada como PA-DSS? https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf.
    En términos generales, si tu aplicación la vendes mediante licencias y en modo “off the shelf”, es decir: no realizas personalizaciones a dicho software entre diferentes clientes, entonces sí que requieres cumplir con PA DSS. De lo contrario, lo más probable es que tu empresa simplemente sea un proveedor de software que puede enmarcarse dentro del dominio 6 de PCI DSS. Esto es muy importante, ya que PA-DSS es un estándar bastante técnico y detallado y requiere mucho tiempo y esfuerzo.
    Si definitivamente sí que tienes que cumplir con PA-DSS, mi sugerencia es que intentes al máximo posponer la certificación, ya que el PCI SSC ha confirmado que a finales de este año publicará el estándar PCI Software Security Standard (S3) Framework, que remplazará el programa PA DSS. Échale un vistazo a este artículo: PCI Software Security Standard (S3) Framework: La evolución de PA DSS llegará a finales de 2018.
    Respecto a tu pregunta, desde que se pueda garantizar que haya independencia entre los equipos y de que se respete la triada solicitud->aprobación->implementación y que sean diferentes personas las que ejecutan dichas tareas, se puede revisar la implementación de un control compensatorio. En últimas, el objetivo de estos controles es evitar que una persona de forma unilateral pueda incorporar cambios o modificaciones en el código sin aprobación ni trazabilidad. No obstante, este tema lo tendría que validar el asesor QSA de PA DSS.
    Revisa esta información y si tienes más dudas, con mucho gusto.

Debes estar registrado para responder a este debate.