Los piratas de PCI DSS

Los Piratas de PCI DSSComo en todos los mares, en las aguas de las normas PCI también hay piratas.

Según la RAE un "pirata es aquella persona que, junto con otras de igual condición, se dedica al abordaje de barcos en el mar para robar."

Aunque en cuanto a las normas PCI se refiere es difícil encontrar la relación entre los piratas, que asociamos a noticias sobre el cuerno de África, los piratas de PCI son aquellos que aprovechan lo bueno (la posibilidad de negocio), sin asumir lo malo (las responsabilidades formales de las homologaciones y sus costes).

Si algo han demostrado las normas PCI es que su cumplimiento no es trivial, casi podríamos decir que puede ser complejo sin tener voluntad de asustar al afectado, y contar con expertos en su evaluación es clave si quiere llevarse a cabo correctamente un proceso de adecuación. Buscando siempre objetividad y experiencia junto con una actualización directa con las marcas de tarjetas, los cambios en marcha en los estándares, las circulares del PCI SSC a los auditores, etc. como fuente de actualización.

Hace ya más de 5 años, en octubre del año 2007 se creó el PCI SSC (PCI Security Standards Council). Este organismo se fijó dos responsabilidades primordiales iniciales: la primera, gestionar la publicación del estándar PCI DSS (consensuando sus requerimientos entre las cinco marcas de tarjetas del Consejo: VISA, Mastercard, AMEX, JCB y Discover); la segunda, definir unos estrictos requerimientos para las empresas Auditoras que llevaran a cabo evaluaciones on-site del cumplimiento de la norma, los denominados QSA, Qualified Security Assessor.

Desde entonces, cuando Internet Security Auditors consiguió la certificación QSA, junto con la de ASV y dos años después, la de PA-QSA, es algo mucho más que ser una empresa con un sello. Implica un conjunto de amplias responsabilidades, profesionales y legales, tanto hacia el PCI SSC como, y más importante, hacia los clientes. Un QSA debe demostrar las capacidades de su equipo humano y debe demostrar que cumple con unos requerimientos a nivel de empresa. Estos requerimientos implicarán desde la forma en que trata la información de los clientes hasta aspectos más administrativos como que se ha dotado de unos seguros muy concretos, muy particulares y con unas coberturas especiales. Podemos dar fe de ello porqué Internet Security Auditors fue la primera empresa en España en demandar alguno de los seguros que el PCI SSC exigía, y podemos garantizar que no fue sencillo obtenerlos dado que se debieron buscar fuera de España.

Para un QSA, serlo, es símbolo de responsabilidad, de poder presentarse ante un cliente como experto en una norma, en poder dar respuesta a interpretaciones en base a la experiencia en la superación de complejos procesos de adecuación finalizados en auditorías de certificación exitosas y en que las respuestas y propuestas planteadas garanticen que esa respuesta sea "PCI Compliance" ante los ojos evaluadores (de nuestro trabajo de adecuación y auditoría final) de las marcas de tarjetas (en el caso de PCI DSS) o del equipo de Quality Assurance del PCI SSC(en el caso de PCI PA-DSS).

Ser QSA es algo mucho más que ser capaz de leerse un documento público y accesible para todo el mundo y poder decidir que se supone que lo que dice es lo que se ha entendido. Es haber analizado con las marcas de tarjetas durante años los matices de un documento abierto a la interpretación, pero que sólo alguien que ha leído y releído ese documento, lo ha comentado, analizado, disgregado y discutido con otros expertos QSA, es capaz de interpretar correctamente, de la misma forma que un experto en la época medieval analizaría el Códice Calixtino (salvando las distancias).

Como QSA, siempre recomendaremos que cuando se trate de PCI DSS se trabaje con un QSA, porque un QSA habrá hecho el esfuerzo de serlo, cosa que otro no. Y además, se habrá comprometido para serlo, cosa que otro no. Y habrá podido serlo, cosa que otro no.

Claro está, ser QSA tiene un coste, debido en gran parte a los fees y costes asociados a la propia certificación (que se ha de renovar anualmente frente al PCI SSC) de la empresa y los profesionales QSA. Un coste tanto para el QSA como para la empresa que confía en él.

Llega un punto en el que hay que hacer una valoración riesgo/beneficio: de todo aquel que realiza su trabajo se espera que lo haga lo mejor posible, pero en algunos casos, la buena voluntad no es suficiente. Formación continua en las normas, evaluaciones anuales de conocimientos, actualización de cambios y directrices del PCI SSC sobre requerimientos de las normas, cambios en reporte al Council y a las marcas, colaboración en Grupos de Interés (SIGs) de nuevas buenas prácticas en nuevas tecnologías, requerimientos de responsabilidad corporativa, etc. Es lo que aporta Internet Security Auditors como QSA, PA-QSA y ASV.

Entonces, pongamos nuestros negocios (en los que se trate, transmite o almacenen datos de tarjeta, no lo olvidemos) en manos de una empresa homologada y certificada. Porqué mientras no pasa nada, nada pasa, pero si ha de pasar algo, mejor es que sepamos que el trabajo se ha hecho como dictan los organismos reguladores.


Autor: Daniel Fernández - CISM, CISA, CISSP, ISO27001 Lead Auditor, CHFI, CEI, OPST/A
Departamento Comercial