Continuando con nuestra campaña en pro del buen uso de los términos en el ámbito de PCI, esta vez analizamos el uso del concepto de «certificación» y la emisión de certificados o diplomas posterior a la evaluación formal, con el fin de evitar errores conceptuales que puedan llevar a malinterpretar los resultados del proceso de cumplimiento.
Es una práctica muy común y extendida entre las empresas que ofrecen servicios de QSA (QSA Companies – QSAC) que emitan un certificado propio (o «diploma») en el que confirman que el comercio o el proveedor de servicios asesorado/evaluado cumple con los controles del estándar PCI DSS al finalizar el cuestionario de autoevaluación (SAQ) o la evaluación de cumplimiento anual de PCI DSS.

Por otro lado, también es común ver cómo los comercios y proveedores de servicio usan los logos del PCI SSC (incluyendo logos personalizados o adaptados) en sus sitios web, pies de correo electrónico o en documentación oficial como «evidencia» de su cumplimiento con el estándar:

Sin embargo, ¿esta práctica es válida? ¿Se puede demostrar el cumplimiento con PCI DSS (o de cualquier otro estándar del PCI SSC) a través de estas acciones?
¿»Evaluación de cumplimiento» o «certificación»?
El uso de términos erróneos en el entorno de los estándares del PCI SSC ya fue discutido en PCI Hispano en el artículo «No se dice: «Auditoría de PCI DSS». Se debería decir: «Evaluación de cumplimiento de PCI DSS»«. Sin embargo, muchas empresas siguen haciendo uso del término «certificación» para referirse a una evaluación de cumplimiento de PCI DSS («certificación de PCI DSS»).
En ese sentido, es importante aclarar que el cumplimiento con el estándar PCI DSS no es «certificable». Para evaluar si los controles del estándar se encuentran implementados de forma satisfactoria, se realiza una «evaluación de cumplimiento», cuyo resultado es la generación de tres documentos principales: RoC o SAQ y sus respectivos AoCs.
Dependiendo del tipo de evaluación, los hallazgos pueden ser descritos en dos documentos adicionales:
- Report on Compliance (RoC): El «Reporte de Cumplimiento» o RoC es un reporte que contiene detalles específicos y confidenciales acerca de todo el proceso de evaluación, incluyendo información de activos, información del personal entrevistado, listado de documentos y evidencia revisados, datos de direccionamiento IP y diagramas de red, asó como los resultados (hallazgos) de la revisión por cada uno de los controles. Por esta razón, este documento es confidencial y puede ser compartido bajo petición expresa, siendo recomendable la firma de un acuerdo de confidencialidad antes de proceder.
- Self-Assessment Questionaire (SAQ): El «Cuestionario de Autoevaluación» o SAQ es un documento en el cual aquellas entidades designadas pueden reportar el estado de cada uno de los controles del estándar PCI DSS que le apliquen. Este documento no suele ser tan detallado como un RoC, ya que su creación no requiere la intervención expresa de un Asesor de Seguridad Cualificado (Qualified Security Assessor – QSA).
Igualmente, cada RoC/SAQQ debe contar con su AoC relacionado:
- Attestation of Compliance (AoC) – Este documento contiene información general acerca de la entidad evaluada, incluyendo sus datos, entorno en el alcance, información de proveedores, datos de la entidad que realizó la evaluación (si aplica), resultado de la evaluación (cumple/no cumple), firmas de los responsables y planes de acción en caso de incumplimiento. Este documento puede ser compartido con terceros para demostrar el estado de alineación con el estándar.
El proceso de evaluación no es una «certificación», ya que al ser finalizado, no se recibe un certificado o diploma de forma oficial.
Lo que dice el PCI SSC respecto al uso de certificados de cumplimiento o diplomas
Desde la publicación de las primeras versiones de PCI DSS, el PCI SSC ha sido enfático en aclarar que el uso de certificados de cumplimiento o de cualquier otra documentación no oficial emitida unilateralmente por las empresas QSAC para demostrar alineación con el estándar no es aceptable como evidencia de cumplimiento. Siguiendo por la misma línea, tales certificados no pueden ser usados para demostrar el cumplimiento de los requisitos 12.8 y 12.9 relacionados con la gestión de proveedores de servicio.
De acuerdo con esto, se puede concluir que el uso de certificados es una acción meramente simbólica, sin ningún valor efectivo para demostrar cumplimiento con PCI DSS.
Mayor información en la FAQ #1220: Are compliance certificates recognized for PCI DSS validation?
Lo que dice el PCI SSC respecto al uso de logos
Por otro lado, el uso de cualquier tipo de logo o imagen para demostrar cumplimiento con PCI DSS también está prohibido por el PCI SSC. De hecho, el logo del PCI SSC es una marca registrada y no puede ser usado sin autorización.
Mayor información en la FAQ #1325: Does PCI SSC provide a “PCI DSS Compliant” logo?
¿Cómo comprobar si un comercio o un proveedor de servicios cumple con PCI DSS?
Debido a estas restricciones, a continuación se enumeran las únicas opciones válidas para comprobar si una organización cumple con PCI DSS:
En el caso de comercios (merchants):
- En el caso de comercios de nivel 1, el cumplimiento con PCI DSS debe ser demostrado exclusivamente a través del documento de «reporte de cumplimiento» (Report on Compliance – RoC) y/o de su declaración de cumplimiento (Attestation of Compliance – AoC) relacionado.
- En el caso de comercios de nivel 2, 3 o 4, el cumplimiento de PCI DSS debe ser demostrado exclusivamente a través del cuestionario de autoevaluación (self-assessment questionnaire – SAQ) y/o de su AoC relacionado.
Es importante aclarar que ni las marcas ni el PCI SSC mantienen un listado público de comercios que cumplen con PCI DSS.
En el caso de proveedores de servicio («service providers»):
- En el caso de proveedores de servicio de nivel 1, el cumplimiento con PCI DSS debe ser demostrado exclusivamente a través del documento de «reporte de cumplimiento» (Report on Compliance – RoC) y/o de su AoC relacionado.
- De forma complementaria, también se puede consultar el cumplimiento con PCI DSS de proveedores de servicio de nivel 1 en las listas que de forma periódica publican VISA y MasterCard:
- En el caso de proveedores de servicio de niveles 2, 3 y 4 y de otro tipo de entidades que hayan sido definidas por las marcas, el cumplimiento con PCI DSS se debe validar estrictamente a través del SAQ y/o del AoC relacionado.
¿Qué pasa si una entidad se niega a proporcionar su RoC / SAQ / AoC?
Por norma general, cualquier empresa que cumpla con los controles de PCI DSS debe tener disponibles su RoC (en el caso de una evaluación formal de cumplimiento en sitio) o su SAQ y sus AoC relacionados para ser compartidos con cualquier entidad que los solicite.
Si el proveedor de servicios se niega a proporcionar evidencia de su cumplimiento con PCI DSS o no aparece en las listas de las marcas (si es un proveedor de nivel 1), entonces se está frente a un caso de negligencia. Si se presenta esta situación, el proveedor no cumplirá con lo requerido en los controles 12.8 y 12.9 y debe ser retirado inmediatamente del entorno de cumplimiento de PCI DSS.
Mayor información en los siguientes enlaces:
- FAQ #1576: What evidence is a TPSP expected to provide to customers to demonstrate PCI DSS compliance?
- FAQ #1312: How is an entity’s PCI DSS compliance impacted by using third-party service providers (TPSPs)?
- Documento Information Supplement – Third-Party Security Assurance, apartado 6.2.1 Third-party Service Provider Does Not Provide Requested Information.
Por ello, una buena práctica es que en los contratos con proveedores de servicio o comercios se incluyan cláusulas contractuales que permitan que estos documentos puedan ser solicitados de forma discrecional por la entidad que los contrata.