Analytics

jueves, 26 de junio de 2014

Niveles, listas y certificados de cumplimiento PCI DSS: luces y sombras

Aunque PCI DSS es una de esas normas de las que todo el mundo habla cuando hace mención al cumplimiento legal o normativo, al igual que de la Protección de Datos, la LPIC, la ISO 27001 o de otras muchas, PCI DSS se lleva el premio a ser una de las normas sobre las que todavía hay más desconocimiento en algunos aspectos clave relacionados con las particularidades de su cumplimiento.

Si tuviéramos que describir PCI DSS la tarea sería sencilla: es una norma que recoge un conjunto de requerimientos de seguridad que deben cumplir todas las empresas que traten, transmitan o almacenen datos de tarjeta de pago. Eso es fácil. Pero si preguntamos: ¿Usted debe certificarse? ¿Usted está certificado? La empresa X, ¿está certificada? Entramos en el meollo de las grandes dudas. Intentemos resolver algunas....

•    PCI DSS no tiene grados de cumplimiento.
Como nos gusta decir a nosotros, es una norma binaria o en blanco y negro: o se cumple o no se cumple y cuando el cumplimiento sea parcial, según PCI DSS, la situación será de incumplimiento. PCI DSS no contempla grados de cumplimiento ni gamas de grises entre el blanco y el negro. Podrá decidirse asumir el riesgo de que existan grises, pero debe ser consciente que se estará asumiendo un riesgo. ¿Qué riesgo? El riesgo de que mienta a un tercero si dice que cumple y el riesgo de que en caso de un compromiso de datos de pago se confirme su cumplimiento parcial. El problema de esto es que se hubieran hecho esfuerzos no concluidos de adecuación que no sirvieran de nada en caso de compromiso.

•    PCI DSS no tiene niveles de cumplimiento.
Existe un error común en pensar que los niveles de clasificación de las empresas, definido por las marcas de tarjetas pero no por la propia norma, determinan la rigurosidad con la que se debe cumplir PCI DSS. Esta interpretación es errónea: estos niveles únicamente determinan los requerimientos de validación de cumplimiento, es decir, cómo comercios (con cuatro niveles) y proveedores de servicio (con dos niveles) demuestran que su cumplimiento es del 100%. Pero siempre deberemos tener en mente lo explicado en el punto anterior, no existirán grados de cumplimiento sea cual sea el requerimiento de validación que aplique sea la Auditoría On-Site de un QSA (para los niveles 1 de ambos tipos) o un Cuestionario de AutoEvaluación (Self Assessment Questionaire, SAQ) cumplimentado por uno mismo (para el resto de niveles). Si "creemos" que nuestro cumplimiento es menor por estar rellenando un SAQ siendo permisivos seguramente lo que suceda es que haya incumplimientos.

Dada esta situación es "común" escuchar frases como "yo me quedo en el nivel 2" o "no voy a ser nivel 1 todavía" considerando, por interpretaciones incorrectas de estos niveles, que uno elige el nivel donde "se queda" y que ese nivel reduce la complejidad del cumplimiento. Por desgracia, esto es un error. Obviamente, al auditor QSA se nos ve como alguien que revisará el cumplimiento con ojos críticos, aunque siempre pretendemos ser constructivos (por qué otra actitud no tendría sentido), pero siempre más críticos que cuando uno mismo ha de rellenar un Cuestionario de Auto-Evaluación.

Ser "flexible" es una cosa, ser "concesivo" es otra. La primera puede permitir "estirar" lo que la norma exige para alcanzar el cumplimiento con vías "imaginativas" pero dentro de lo que la norma permite, pero la segunda puede llevar a dar por bueno algo que no lo es. Es por ello que contar con un QSA que nos asesore en el proceso de adecuación y sepa aportar su visión y experiencia de otros casos es, cuanto menos, recomendable. Después, podremos decidir qué hacer con esas recomendaciones, siendo conscientes de la realidad sin dulcificaciones y con pragmatismo.

Situaciones en las que el cumplimiento hubiera sido resultado de excesiva concesión puede ofrecer una falsa sensación de tranquilidad. Pero como QSA debemos ser sinceros: en caso de incidente y de existir un compromiso de datos de pago, el incumplimiento desembocará en penalizaciones que pueden ser significativas que, aunque sujetas a la decisión unilateral de las marcas de tarjetas, pueden ser millonarias.

Que  no existan niveles de cumplimiento no quiere decir que no podamos llevar a cabo un alineamiento progresivo. En Internet Security Auditors planteamos Planes de Adecuación empleando modelos alineados con los programas “Safe Harbour” de VISA. Este modelo aporta dos beneficios:
  1. Identifica los incumplimientos que implican mayor riesgo para el negocio con el fin de abordar primero su implementación, reduciendo que amenazas con mayor impacto puedan materializarse en un compromiso de datos de pago.
  2. Emplea un modelo que, habiendo sido aceptado por las marcas de tarjetas, demuestra la diligencia debida por parte de la empresa y, alcanzado el cumplimiento de los controles hasta nivel 4 (de 6), permitiría reducir drásticamente las sanciones en caso de compromiso.

•    Todas las "certificaciones" PCI DSS no son "públicas".

Este es, sin duda, el punto más delicado (y oscuro y confuso y ....) alrededor de PCI DSS. VISA es la marca de tarjetas que mantiene de forma más rigurosa las listas de empresas proveedoras de servicios "certificadas" en el cumplimiento de PCI DSS. Aunque siendo estrictos deberíamos usar el término "auditadas" dado que el concepto de certificado "global" no está definido de forma unificada: un Auditor QSA puede emitir un certificado y este tendrá validez global pero sin que el informe de Auditoría sea revisado por las marcas este tendrá una validez particular y así debe reflejarse en el certificado.

En el caso de comercios no existe ninguna lista pública de empresas auditadas y éstos sólo recibirían petición de sus Informes de Auditoría (RoC, Report of Compliance) por parte de sus entidades adquirientes (o eso dice la teoría).

VISA y Mastercard, históricamente, mantienen unas listas en sus sitios web de Visa.com, VisaEurope.com y Mastercard.com de, únicamente, proveedores de servicio que hayan gestionado su proceso de alta directamente con ellos o a través de una entidad bancaria a la que den servicios de pago, que hayan pagado los correspondientes pagos para el alta y que hayan remitido la correspondiente información tras superar una Auditoría de Cumplimiento por parte de un QSA. Cuando VISA dé el visto bueno a ese informe y a ese alta, se pasará a estar en las listas de Proveedores de Servicio "Certificados" en el cumplimiento de PCI DSS "públicamente". Sin duda ese es el que podría considerarse "estatus summum" de cumplimiento o "Certificación" dado que tanto el QSA como un tercero (VISA y/o MC) han validado el cumplimiento.

El año 2007, Visa Europe empezó a anotar públicamente la proliferación de proveedores de servicio que no estaban dados de alta en sus listas de Visa.com y VisaEurope.com, básicamente, porque no eran proveedores de servicios de pago para entidades bancarias y estas no llegaban a tener relación con ellos dado que sus servicios los prestaban a los comercios clientes de las entidades. Eso conducía a que existiera un creciente volumen de empresas que trataban, transmitían y almacenaban datos de tarjeta en gran cantidad, que para las marcas, estaba fuera de su "control". Para intentar regular esto, Visa Europe creo una nueva lista o registro: VisaMerchantAgents.com. En este nuevo portal se pretende que todos los proveedores de servicio para comercios u otros proveedores de servicio, estuvieran "inventariados" (con su alta, pago de fees correspondiente -sin una fórmula o parámetros claros que determinen su importe y sólo con un máximo conocido y nada despreciable de 5000 euros-).
Esto deja claro que SÓLO los proveedores de servicio que quieran publicar su certificación podrán hacerlo, principalmente y dependiendo de su tipo de cliente (bancos o comercios/proveedores de servicios), en los sitios web de VISA y MC comentados antes.
Desde Internet Security Auditors tenemos experiencias en los procesos de alta y los problemas comunes de estos procesos por lo que, podemos asesorar a las empresas que deban registrarse según sea el listado que les corresponda.

Según lo explicado hasta ahora se generan varias cuestiones:
¿Qué sucede si un QSA hace una auditoría pero su cliente no tramita el alta en las listas porque no quiere hacerlo, no lo necesita o no se le ha informado de la existencia de éstas?
El QSA que haya realizado la Auditoría On-Site podrá emitir un certificado que claramente defina el ámbito de procesos auditados, fechas de validez y si ese certificado se ha emitido con o sin la revisión de alguna de las marcas de tarjetas.

¿El certificado de un QSA es válido globalmente?
Si el certificado incluye la información que hemos mencionado será válido dado que los QSA tenemos reconocimiento global -aunque sólo regiones de operación (Europa, LAC, África, Asia, USA, etc.)- y de todos nosotros se espera que hagamos las auditorías con la más alta profesionalidad según los requerimiento firmados con el PCI SSC en el momento de nuestra homologación y cuando el PCI SSC va regulando las condiciones de homologación como pasó a finales del año 2013.

¿Qué sucede con las entidades adquirientes y los comercios que hayan pasado auditorías?
Públicamente no podrá conocerse quienes han superado auditorías con un QSA, dado que no existen listas oficiales similares a las de proveedores de servicio. La razón, es desconocida y, tras el paso de los años, se ha demostrado como otro de los hándicaps que incentiven y favorezcan la transparencia del cumplimiento en todo el ecosistema PCI DSS.

Cualquier empresa, incluidas entidades financieras y comercios, pueden "presumir" de haber implantado y mantener sistemas de calidad según ISO 9001, o de seguridad como ISO 27001 con sellos oficiales de las entidades certificadoras. Porqué razón no existe un sello de PCI DSS Compliance oficial, registrado y regulado sigue sin ser comprensible. Hasta el momento, incluir el certificado emitido por el QSA sería la mejor herramienta para demostrar el cumplimiento a terceros.

¿Por qué el PCI SSC y las marcas de tarjetas (que sí tienen sellos para otros usos como 3D Secure, Verified by Visa o SecureCode) han permitido que prolifere en Internet un sello informal de "PCI DSS Compliance" que induce a la equivocación del usuario y siguen sin asumir este error y corregirlo?  Muchas empresas, que se esfuerzan para alcanzar el cumplimiento también se hacen esta pregunta.

Es de esperar que en un futuro se mejore el proceso de gestión de las certificaciones de cumplimiento de PCI DSS y que, como pasó con las aplicaciones de pago bajo PCI PA-DSS, se centralice su registro y revisión desde el PCI SSC. Los beneficiados, sin duda, serán los afectados por el cumplimiento de la norma, los Auditores QSA y los usuarios y clientes.