El resultado ha sido publicado bajo el nombre “Information Supplement: Third-Party Security Assurance” y lo primero que debe tenerse en cuenta es que no modifica ni altera el propio cumplimiento de PCI DSS sino que su objetivo es el de clarificar y profundizar en cómo llevar a cabo el cumplimiento del requerimiento 12.8 de la norma.
El requerimiento 12.8 determina que se ha de “Mantener e implementar políticas y procedimiento para gestionar los proveedores de servicio con los cuales los datos de pago ese comparte o que podrían afectar en la seguridad de los datos de pago”. Estas terceras empresas serán las que denominaremos Proveedores de Servicio Terceros (emplearemos el término en inglés TPSP, Third-Party Service Providers).
Esta nueva Guía se centra en cuatro aspectos clave que deben tener presentes todas las organizaciones (en la Guía se denominan “entities”) que contraten servicios a estos TPSP:
- Antes de establecer acuerdos o contratar sus servicios debemos llevar a cabo procesos de diligencia debida para confirmar que sus capacidades y experiencia son adecuadas para garantizar el cumplimiento.
- Será clave tener muy claro que responsabilidades de cumplimiento deberán ser llevadas a cabo por los TPSP contratados y cuales seguirán siendo nuestras a fin de ser capaces de evaluar el impacto sobre la seguridad del entorno PCI DSS que implica contar con el TPSP.
Aun cuando se deleguen responsabilidades al TPSP, el responsable último del cumplimiento seremos nosotros independientemente de las responsabilidades definidas entre ambas partes. - Será imprescindible trasladar a Acuerdos, Políticas y Procedimientos las responsabilidades y obligaciones de cumplimiento que el TPSP deberá conocer, asumir y cumplir.
- Monitorizar el cumplimiento de PCI DSS del TPSP será una actividad a incluir dentro del propio cumplimiento por lo que únicamente conociendo de forma detallada el o los servicios ofrecidos por el TPSP podremos conocer su efecto en nuestra evaluación de cumplimiento.
Algo que merece especial atención de la Guía es la referencia a su pretendida audiencia, haciendo foco en tres tipologías de organizaciones: empresas que piensen contar con terceros dentro de sus procesos de pago (comercios, proveedores de servicio, adquirientes, emisores, etc.), los propios proveedores de servicio que quieran dar estos servicios de forma adecuada con un nivel de cumplimiento de PCI DSS y quieran conocer cuáles son sus responsabilidades y, por último, las entidades adquirientes (bancos adquirientes, bancos comerciales instituciones financieras) que ofreciendo servicios a los comercios son responsables de asegurar que éstos trabajan con TPSP que implementan medidas adecuadas de seguridad.
Según la Guía, será conveniente para comercios y proveedores de servicios que se valide y contraste con la entidad adquiriente con la que se pueda estar trabajando que el TPSP escogido es aceptado por esta. Para los comercios esto podrá ser una muestra de diligencia debida y de implicar a su entidad adquiriente en las responsabilidades posteriores en caso que se produjera un incidente donde su TPSP estuviera involucrado.
Centrándonos en los proveedores de servicio TPSP que estarían incluidos y deberían leer esta Guía, la lista es extensa, por mencionar algunos según la clasificación del propio documento:
- Organizaciones involucradas en el almacenamiento, procesamiento y transmisión de datos de pago (Cardholder data, CHD) como Call centers, proveedores de pago de e-commerce, procesadores y pasarelas de pago, servicios anti-fraude, de análisis de crédito, etc.
- Organizaciones involucradas en la protección del CHD: destrucción de medio físicos y electrónicos, almacenamiento de datos lógicos o soportes lógicos, empresas que ofrecen servicios de cifrado y tokenización de CHD así como proveedores de soluciones servicios de gestión e inyección de claves de cifrado, proveedores de soluciones y servicios de aplicaciones de e-commerce y móviles, etc.
- Organizaciones involucradas en la protección del Entorno de Datos de Tarjetas (Cardholder Data Environment, CDE): proveedores de servicios de infraestructura, de gestión de firewalls/routers, de alojamiento seguro de centros de datos, de monitorización y gestión de alertas de seguridad de IDS, AV, detección de cambios, etc.
- Organizaciones que pueden tener accesos incidentales al CHD o el CDE: proveedores TIC, compañías proveedoras de desarrollo de software como de aplicaciones web, empresas de servicios de mantenimiento.
El documento integro puede descargarse desde la sección “Info Supps” de la Librería del PCI SSC:
https://www.pcisecuritystandards.org/security_standards/documents.php
https://www.pcisecuritystandards.org/documents/PCI_DSS_V3.0_Third_Party_Security_Assurance.pdf
Desde Internet Security Auditors vamos a seguir participando en los SIG que el PCI SSC seleccionará mediante una votación abierta de las iniciativas candidatas este año y que consideramos que permiten, gracias a la participación abierta, la mejora en las normas PCI en general y en los procesos de adecuación y cumplimiento.
Si su empresa requiere ayuda sobre el cumplimiento o quiere conocer cómo podemos ayudarle para alcanzarlo de la forma más pragmática posible, contacte con nosotros a través del correo pcidss@isecauditors.com, a través de los formularios de contacto de nuestra web, redes sociales o teléfono.
