En esta oportunidad quiero recomendar algunos puntos al momento de validar el cumplimiento de PCI DSS de los proveedores del servicio, ya sea para un nuevo servicio que se piensa incluir dentro del CDE o simplemente revalidar el cumplimiento de algún proveedor ya existente en nuestro entorno. Cabe mencionar que este articulo solo está enfocado a la validación de Attestation of Compliance (AoC) en PCI DSS.

Antes de entrar al detalle de la estructura del reporte AoC para buscar e identificar la información que nos interesa, recordemos solo los formatos publicados por el PCI SSC son válidos, mientras que los certificados o diplomas emitidos por empresas QSA o con logos de PCI, no tienen ningún valor para el cumplimiento de la norma como se menciona en el artículo anterior.

Anteriormente, ya se ha comentado en el artículo “4 sencillos pasos para gestionar proveedores de servicio en PCI DSS” como gestionar a los proveedores de servicio de acuerdo con el requisito 12.8, pero en esta ocasión me centraré en la última etapa del proceso, en donde surgen las siguientes preguntas:

  • ¿El AoC proporcionado por el proveedor es válido?
  • ¿El AoC cubre en su totalidad el servicio que me esta brindado?
  • ¿Necesito solicitar más información o detalle?

He descargado y llenado un reporte AoC como ejemplo con algunos comentarios para que los puedan ayudar a validar los reportes y responder las preguntas antes mencionadas.

1. Validar el nombre del proveedor: parece algo tan obvio, pero créanme que en la practica no lo es, muchas veces la entidad entrega el AoC de su proveedor de servicios y éste no es válido. El cumplimiento de la norma debe ser evidenciado para el proveedor de servicio con el que se tiene la relación contractual. Si bien el proveedor pudiera tercerizar sus procesos o responsabilidades, de igual manera esta obligado a cumplir con varios requisitos, entre ellos el 12.8.

2. Validar la empresa QSA (en caso de ser evaluación nivel 1)

3. Validar que la empresa QSA (QSA Company – QSAC) sea válida: esta validación se puede realizar directamente en la página de PCI SSC y basta con buscar el nombre de la compañía en el listado de QSA avaladas por el consejo.

4. Validación de servicios certificados: esta es la sección más importante para la validación y quiero comenzar con la aclaración de la confusión que siempre existe. Es erróneo decir que “una empresa es PCI DSS compliant”, lo correcto es decir que cierta entidad cuenta con algunos procesos que cumplen con el estándar. La norma certifica procesos, no entidades. En la sección 2ª, se deben detallar y marcar explícitamente los servicios que el QSA o SAQ está cubriendo con su evaluación, si no está marcado o indicado, podemos asegurar que el AoC NO cubre el servicio que estamos buscando.

Aquí hay es donde surgen muchas dudas y confusiones, pongo algunos ejemplos que veo comúnmente para ayudar a aclarar la idea:

    • Caso 1: El proveedor es un procesador de pagos cuenta con la sección “procesamiento de pago” marcada, sin embargo, el servicio que se quiere incluir es de hosting de infraestructura. Si bien el proveedor pudiera contar con un Datacenter que cumple con los requerimientos de PCI DSS, no significa que este en posibilidad de ofrecerlo como un servicio a sus clientes si esto no está indicado explícitamente en su certificado y el asesor así lo evaluó.
    • Caso 2: Si el servicio evaluado no viene especificado como checkbox (servicios como tokenización o cargos recurrentes por mencionar algunos), generalmente nosotros como QSA debemos de incluirlos dentro de la sección “Otros”.

5. Complemento del punto anterior, validar que el servicio en evaluación no haya sido declarado como “fuera de alcance”.

6. Revisar la descripción de los procesos evaluados y CDE: Muchas veces en estas secciones encontramos información referente al alcance o servicio que se busca validar, si bien pudiera no estar claramente especificado en la sección 2ª, pudiera estar mencionado dentro de estas secciones, asegurando que el asesor validó el proceso.

7. Fecha de cumplimiento: Esta es la fecha en que el ROC (Report on Compliance) fue completado, esta es la fecha que debemos de considerar para confirmar que el reporte se encuentra vigente, considerando que tiene vigencia de 1 año.

 

Algunas veces hay confusión ya que se piensa que las fechas de firma de AoC son las que marcan la vigencia del reporte, sin embargo, esto no es correcto, la fecha oficial será la mencionada anteriormente.

Referencias

https://www.pcihispano.com/se-pueden-usar-los-certificados-diplomas-emitidos-por-las-empresas-qsa-o-los-logos-del-pci-ssc-para-evidenciar-el-cumplimiento-con-pci-dss/

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/If-an-entity-uses-a-service-provider-that-is-not-PCI-DSS-compliant-how-does-this-impact-the-entity-s-compliance

https://www.pcihispano.com/4-sencillos-pasos-para-gestionar-proveedores-de-servicio-en-pci-dss/

https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors


Héctor García

PCI QSA, CISA, C|EH, C|SS, COBIT, TOGAF, ITIL Intermediate OSA-RCV