Uno de los conceptos más importantes introducidos en PCI DSS v4.0 fue el de promover la seguridad como un proceso continuo.  Por ello,  el PCI SSC ha desarrollado una nueva hoja de trabajo denominada Items Noted for Improvement (INFI), en donde el asesor QSA o ISA puede reportar cualquier actividad susceptible de mejora en la entidad si durante la evaluación de cumplimiento se detectó algún problema que tuvo que ser corregido para alinearse con el estándar.

Breve historia de INFI

Durante  el desarrollo de PCI DSS v4.0 se recibieron múltiples comentarios y sugerencias de diferentes entidades (Request For Comments – RFCs) que, de una forma u otra, fueron analizadas y adicionadas como mejoras en esta nueva versión del estándar. A diferencia de PCI DSS v3.2.1, a la versión 4.0 del estándar se le quiso dotar de una herramienta que permitiera hacerle seguimiento a cualquier control que hubiera presentado problemas durante el proceso de evaluación de cumplimiento.

Por ello, en las plantillas iniciales de reporte de cumplimiento de PCI DSS v4.0 (Report on Compliance – RoC , Attestation of Compliance – AoC y Self-Assessment Questionnaires – SAQ) se agregó un nuevo estado de cumplimiento de cada control que complementaba a los ya tradicionales In Place, Not in Place, Not Applicable y Not Tested: In Place with Remediation. El objetivo de esta opción era promover la seguridad como un proceso continuo, proporcionando a las organizaciones un medio para identificar las áreas que necesitan mejoras año tras año.

«In Place with Remediation» – Actualmente no usado en los reportes de PCI DSS

Este nuevo estado estuvo presente una vez se publicó el estándar y sus documentos asociados en marzo de 2022. Sin embargo, al poco tiempo, este cambio empezó a ser blanco de diferentes críticas por parte de comerciantes y proveedores de servicios. Teniendo en cuenta que los reportes de cumplimiento (sobre todo el AoC) se suelen compartir con terceros (marcas de pago, adquirientes, clientes, etc.), no se veía con buenos ojos el exponer «públicamente» sus problemas de alineación con el estándar, dar una imagen falsa de «diferentes calidades de cumplimiento» entre empresas e incluso dar pie a malos entendidos, sobre todo con empresas aseguradoras. Aparte de esto, no estaba claro ni cómo ni quién se iba a encargar de hacer la monitorización de los controles catalogados como In Place with Remediation luego de la finalización de la evaluación.

Por esa razón, el 14 de diciembre de 2022 el PCI SSC optó por remover ese estado de cumplimiento de los reportes, pero no aclaró cuál sería su remplazo. Con la remoción de este estado se volvía al punto inicial: No había una herramienta para reportar mejoras a la entidad una vez se había finalizado la evaluación de cumplimiento…

Introducción a Items Noted for Improvement (INFI)

Casi seis meses después y luego de muchas revisiones internas, el 28 de junio de 2023 el PCI SSC anunció que el remplazo de In Place with Remediation estaba listo: PCI DSS v4.x Items Noted for Improvement (INFI). En términos generales, el objetivo de INFI es prácticamente el mismo que el estado de In Place with Remediation pero documentado en un formulario independiente y de carácter interno: Enumerar aquellos requerimientos que fueron detectados como incumplimientos pero que fueron remediados por la entidad evaluada dentro de un marco de mejora continua. Para que esto sea válido, el asesor debe tener la seguridad de que se ha identificado la razón por la cual el requerimiento falló, que se ha implementado una corrección efectiva y que se han puesto en marcha medidas adicionales para evitar que vuelva a producirse el mismo fallo.

Algunas de las características de la hoja de trabajo de INFI (Items Noted for Improvement (INFI) Worksheet) son:

      • El uso de la hoja de trabajo de INFI es obligatorio para evaluaciones realizadas con la versión 4.x de PCI DSS y opcional en evaluaciones bajo PCI DSS v3.2.1.
      • Es una hoja de trabajo destinada al uso interno entre el asesor y la entidad evaluada. Por defecto, este documento no se facilita a ninguna otra entidad, incluidas las entidades adquirientes, las marcas de pago, etc.
      • Los resultados de la hoja de trabajo de INFI no se incluyen en ningún documento de cumplimento (RoC o AoC).
      • La hoja de trabajo de INFI debe ser rellenada al margen de si se identificaron o no requerimientos remediados. Para evaluaciones de cumplimiento que emplean un Self-Assessment Questionnaire (SAQ), el uso de INFI es solamente una recomendación.
      • Este documento debe ser firmado por el asesor QSA. En el caso de evaluaciones realizadas por un Internal Security Assessor (ISA), su firma es recomendable pero no obligatoria.
      • Los elementos de incumplimiento sujetos a remediación mediante INFI pueden ser detectados tanto por el asesor como de forma proactiva por la propia entidad evaluada.

Por otro lado, es importante conocer qué actividades NO pueden ser gestionadas con INFI:

  • Incumplimientos en los requerimientos una vez finalizada la evaluación: Si el asesor identifica un incumplimiento y éste no se remedia ANTES de que finalice la evaluación, dicho resultado se reportará en el RoC/SAQ y AoC correspondiente.
  • Gestión de requerimientos usando controles alternativos a los descritos en el estándar (Enfoque Definido/Defined Approach): En este caso se debe hacer uso de controles compensatorios y/o enfoque personalizado (Customized Approach) junto con sus formularios respectivos.

Uso de INFI

El proceso para determinar si un requerimiento debe ser catalogado como «Not in Place» o gestionado empleando la hoja de trabajo de INFI es el siguiente:

Flujo de acciones para determinar el uso de INFI

En ese sentido:

  • Si se comprueba que el requerimiento cumple con lo establecido en el estándar (ya sea con cumplimiento directo, a través de controles compensatorios o empleando el enfoque personalizado (customized approach)), se reporta como «In Place».
  • Si se comprueba que el requerimiento no cumplía con el objetivo del estándar PERO la entidad implementó controles correctivos para remediarlo y evitar que el problema no volviera a producirse ANTES de que finalice la evaluación, se reporta como «In Place» en el RoC/AoC/SAQ y se describe su proceso de gestión en una hoja de trabajo de INFI.
  • Si se comprueba que el requerimiento no se cumple, se reporta como «Not in Place».

Para guiar el desarrollo de esta actividad se dispone de tres documentos principales:

La hoja de trabajo cuenta con los siguientes campos que deben ser rellenados por el asesor:

Reporte de requerimientos bajo INFI

Finalmente, el asesor debe rellenar el apartado de «Reconocimiento y atestación» (Acknowledgement and Attestation)  indicando si se identificaron requerimientos bajo INFI o no:

Reconocimiento y atestación del INFI

Finalmente:

  • Se firma el formulario por parte del asesor (obligatorio para QSA y recomendado para ISA)
  • Se firma la aceptación del INFI por parte de la entidad. Esta acción es opcional, ya que no es imprescindible que la entidad acepte el documento.

¿Qué se debe hacer una vez se recibe una hoja de trabajo INFI?

Una vez finaliza la evaluación formal de cumplimiento, el asesor debe hacer entrega de la hoja de trabajo INFI a la entidad evaluada. Dependiendo de sus procesos internos, la entidad puede delegar estas recomendaciones al área de Cumplimiento, de Riesgos o incluso en un tercero para realizar el seguimiento necesario.

De igual manera, este documento le proveerá información valiosa al asesor en futuras evaluaciones, ya que le permitirá conocer y entender en qué falló la entidad en el pasado y cómo gestionó sus incumplimientos. Si el asesor confirma que este incumplimiento sigue siendo recurrente y que las acciones de mejora no permiten la gestión adecuada de su riesgo, podrá reportar el requerimiento con problemas como «Not in Place».

Algunos ejemplos de aplicación de INFI

Cualquiera de los requerimientos de PCI DSS, si detecta incumplimiento durante su evaluación, puede ser ser susceptible a ser gestionado a través de INFI. Esto incluye requerimientos con ejecución periódica o requerimientos de ejecución única que no se implementaron de forma correcta y expusieron temporalmente a la entidad a un riesgo. Algunos ejemplos se citan en los documentos de guía de INFI listados anteriormente:

  • La entidad no instaló una actualización de seguridad crítica dentro de los primeros 30 días posterior a su reporte, pero este incidente fue identificado y corregido en el siguiente trimestre a través del escaneo de vulnerabilidades.
  • Una configuración insegura en un activo de red fue identificado por el asesor pero fue corregido por la entidad ANTES de finalizar la evaluación.
  • Un documento del marco normativo de la entidad no estaba alineado con los requerimientos del estándar pero fue actualizado por la entidad ANTES de finalizar la evaluación.
  • Un activo no fue contemplado dentro del alcance de PCI DSS y por ello no fue configurado de forma adecuada. Sin embargo, la entidad lo identificó y configuró de forma correcta un mes después de ponerlo en producción.
  • Un subconjunto del personal no había finalizado la formación en PCI DSS dentro de los 12 meses estipulados por el estándar. Esto fue corregido ANTES de finalizar la evaluación.

Como se puede concluir, la hoja de trabajo de INFI es una herramienta muy interesante para mantener un control de los errores internos en el cumplimiento de PCI DSS y de sus acciones para remediar el riesgo asociado, lo cual demuestra la madurez y la evolución del estándar PCI DSS hacia un enfoque de mejora continua.

Deja un comentario

Acerca de David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Categoría

Contenido general

Tags

, , , , , , ,