Es muy común escuchar los términos «Auditoría de PCI DSS» o «Auditor de PCI DSS» dentro de la jerga relacionada con el cumplimiento con estándar PCI DSS. El uso de esta terminología está masificado incluso en Asesores Cualificados de Seguridad (Qualified Security Assessor – QSAs) y en las entidades que requieren cumplir con los estándares de PCI SSC (comerciantes, proveedores de servicio, bancos, etc.), sobre todo de habla hispana. No obstante, el uso de esos términos es INCORRECTO desde el punto de vista del Payment Card Industry Security Standards Council (PCI SSC), al igual que otros términos relacionados que suelen emplearse como sinónimos sin que realmente lo sean.

Con el objetivo de usar una misma terminología y evitar ambigüedades y confusiones alrededor de los estándares, desde PCI Hispano os invitamos a incorporar la siguiente terminología dentro del vocabulario relacionado con el cumplimiento de estos estándares.

¿Por qué el término «Auditoría de PCI DSS» es erróneo?

Desde sus inicios, el PCI SSC ha evitado usar el término «auditoría» para referirse a la evaluación de cumplimiento de sus estándares o de «auditor» para los asesores que pueden efectuar dichas evaluaciones.  La razón por la cual no se utiliza esta terminología se debe a que, en muchos países, la ejecución de una auditoría solamente puede ser realizada por profesionales certificados por la Certified Public Accountant (CPA) o entidades similares. En Texas (EEUU), por ejemplo, está prohibido por ley el uso de los términos «auditor» o «accountant» si la persona que los usa no está debidamente certificada.

A pesar de que el concepto de «accountant» (contable) o «auditor» suele estar vinculado a verificaciones de carácter financiero, también puede abarcar otras áreas más técnicas. Tal es el caso de auditorías de System and Organization Control (SSAE 16/SOC 1, 2 y 3) o Sarbanex-Oaxley, que se evalúan siguiendo los criterios descritos en los Generally Accepted Auditing Standards (GAAS), debiendo ser auditados por personal certificado como CPA (obligatorio en el caso de SOC, recomendable en el caso de SOX).

En este sentido, y para evitar temas legales, el PCI SSC ha optado por la siguiente terminología:

  • «Assessment» (Evaluación), para referirse a la revisión de cumplimiento del estándar. De hecho, el nombre completo del estándar PCI DSS es Payment Card Industry (PCI) Data Security Standard – Requirements and Security Assessment Procedures.
  • «Assessor» (Asesor), para referirse a los profesionales certificados que pueden efectuar evaluaciones de cumplimiento de los estándares del PCI SSC. En el caso de PCI DSS, se denominan Asesores Cualificados de Seguridad (Qualified Security Assessors – QSA).

A pesar de que en España y en América Latina estas restricciones pueden no aplicar (dependiendo de la región y de sus leyes locales), es importante que se emplee la misma terminología para evitar malas interpretaciones y problemas legales.

Siendo así:

  • No se dice: «Auditoría de PCI DSS». Se debería decir: «Evaluación de PCI DSS» o «Evaluación de cumplimiento de PCI DSS»
  • No se dice: «Auditor de PCI DSS». Se debería decir: «Asesor Cualificado de PCI DSS» o, simplemente, «Asesor de PCI DSS»

Otros términos que se deben evitar en el ámbito de los estándares del PCI SSC

Aprovechando este artículo, también me gustaría comentar algunos términos que deberían ser evitados con el fin de emplear la misma terminología empleada por el PCI SSC:

  • No se dice: «Test de Intrusión». Se debería decir: «Prueba de Penetración» (Penetration testing, de acuerdo con el req. 11.3 de PCI DSS)
  • No se dice: «Autenticación de dos factores » o «doble factor de autenticación» (Two-factor Authentication). Se debería decir: «Autenticación multifactor» (Multi-factor Authentication o MFA (req. 8.3 de PCI DSS)
  • No se dice: «estándar PCI». Se debería decir: «estándar PCI DSS» (o PCI PIN, PCI 3DS, PCI P2PE, etc.). En este caso, PCI son las siglas del Payment Card Industry, pero no del estándar en particular.

Fuente: https://www.tiktok.com/@parisdnlle1/video/6864980052858113281

¿Conoces algún otro término que se emplee de forma incorrecta en el ámbito de cumplimiento de los estándares del PCI SSC? Si es así, déjanos tus comentarios.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.