Es una práctica muy común y extendida entre las empresas que ofrecen servicios de QSA (“QSA Companies” – QSAC) que emitan un certificado propio (o “diploma”) en el que confirman que el comercio o el proveedor de servicios asesorado/auditado cumple con los controles del estándar PCI DSS al finalizar el cuestionario de autoevaluación (SAQ) o la auditoría anual de PCI DSS.

Por otro lado, también es común ver cómo los comercios y proveedores de servicio usan los logos del PCI SSC (incluyendo logos personalizados o adaptados) en sus sitios web, pies de correo electrónico o en documentación oficial como “evidencia” de su cumplimiento con el estándar: 

Sin embargo, ¿esta práctica es válida? ¿Se puede demostrar el cumplimiento con PCI DSS a través de estas acciones?

Lo que dice el PCI SSC respecto al uso de certificados de cumplimiento o diplomas

Desde la publicación de las primeras versiones de PCI DSS, el PCI SSC ha sido enfático en aclarar que el uso de certificados de cumplimiento o de cualquier otra documentación no oficial emitida unilateralmente por las empresas QSAC para demostrar alineación con el estándar no es aceptable como evidencia de cumplimiento. Siguiendo por la misma línea, tales certificados no pueden ser usados para demostrar el cumplimiento de los requisitos 12.8 y 12.9 relacionados con la gestión de proveedores de servicio.

De acuerdo con esto, se puede concluir que el uso de certificados es una acción meramente simbólica, sin ningún valor efectivo para demostrar cumplimiento con PCI DSS.

Mayor información en la FAQ #1220: Are compliance certificates recognized for PCI DSS validation?

Lo que dice el PCI SSC respecto al uso de logos

Por otro lado, el uso de cualquier tipo de logo o imagen para demostrar cumplimiento con PCI DSS también está prohibido por el PCI SSC. De hecho, el logo del PCI SSC es una marca registrada y no puede ser usado sin autorización.

Mayor información en la FAQ #1325: Does PCI SSC provide a “PCI DSS Compliant” logo?

¿Cómo comprobar si un comercio o un proveedor de servicios cumple con PCI DSS?

Debido a estas restricciones, a continuación se enumeran las únicas opciones válidas para comprobar si una organización cumple con PCI DSS:

En el caso de comercios (“merchants”):

  • En el caso de comercios de nivel 1, el cumplimiento con PCI DSS debe ser demostrado exclusivamente a través del documento de “reporte de cumplimiento” (“report on compliance” – RoC) y/o de su declaración de cumplimiento (“attestation of compliance” – AoC) relacionado.
  • En el caso de comercios de nivel 2, 3 o4, el cumplimiento de PCI DSS debe ser demostrado exclusivamente a través del cuestionario de autoevaluación (“self-assessment questionnaire” – SAQ) y/o de su AoC relacionado.

Es importante aclarar que ni las marcas ni el PCI SSC mantienen un listado público de comercios que cumplen con PCI DSS.

En el caso de proveedores de servicio (“service providers”):

  • En el caso de proveedores de servicio de nivel 1, el cumplimiento con PCI DSS debe ser demostrado exclusivamente a través del documento de “reporte de cumplimiento” (“report on compliance” – RoC) y/o de su AoC relacionado.
  • De forma complementaria, también se puede consultar el cumplimiento con PCI DSS de proveedores de servicio de nivel 1 en las listas que de forma periódica publican VISA y MasterCard:
  • En el caso de proveedores de servicio de niveles 2, 3 y 4 y de otro tipo de entidades que hayan sido definidas por las marcas, el cumplimiento con PCI DSS se debe validar estrictamente a través del SAQ y/o del AoC relacionado.

¿Qué pasa si los documentos de “Report on Compliance” (RoC), “Self Asessment Questionnaire” (SAQ) y/o “Attestation of Compliance” (AoC) contienen información confidencial que no se quiere compartir con terceros?

En aquellos casos en los que el RoC, el SAQ o el AoC contengan información confidencial de la organización que no quiera ser compartida con terceros (datos de aplicaciones internas, diagramas de arquitectura, datos personales de empleados, información de ubicación de los centros de datos, etc.), hay dos opciones:

  1. Firmar un acuerdo de confidencialidad o establecer unas cláusulas de protección de información sensible con la entidad con la que se comparte el RoC/SAQ/AoC (como lo hace Microsoft con sus servicios de Azure en este ejemplo), o
  2. Compartir el documento de “declaración de cumplimiento” (“Attestation of Compliance”) protegiendo (ocultando o cubriendo) aquellas secciones confidenciales, como se muestra en la siguiente imagen:

Figura 1. Ejemplo de AoC editado para proteger áreas con información sensible

Más información en la FAQ #1354: Can the AOC be redacted to protect sensitive information?

¿Qué pasa si un proveedor de servicios se niega a proporcionar su RoC / SAQ / AoC?

Por norma general, cualquier empresa que cumpla con los controles de PCI DSS debe tener disponibles su RoC (en el caso de una auditoría) o su SAQ y sus AoC relacionados para ser compartidos con cualquier entidad que los solicite.

Si el proveedor de servicios se niega a proporcionar evidencia de su cumplimiento con PCI DSS y no aparece en las listas de las marcas (si es un proveedor de nivel 1), entonces se está frente a un caso de negligencia. Si se presenta esta situación, el proveedor no cumplirá con lo requerido en los controles 12.8 y 12.9 y debe ser retirado inmediatamente del entorno de cumplimiento de PCI DSS.

Mayor información en la FAQ #1312: If an entity uses a service provider that is not PCI DSS compliant, how does this impact the entity’s compliance?, en el documento “Information Supplement – Third-Party Security Assurance“, apartado “6.2.1 Third-party Service Provider Does Not Provide Requested Information” y en el articulo “4 sencillos pasos para gestionar proveedores de servicio en PCI DSS“.

Por ello, una buena práctica es que en los contratos con proveedores de servicio o comercios se incluyan cláusulas contractuales que permitan que estos documentos puedan ser solicitados de forma discrecional por la entidad que los contrata.

Si tienes alguna duda adicional, no olvides dejarnos tus comentarios o visitar el foro.