El PCI SSC ha publicado este mes de Junio el documento "PCI DSS Designated Entities Suplemental Validation". Este documento lo podemos ver como una "meta-norma" que tiene como objetivo aumentar las garantías de mantenimiento en el cumplimiento con PCI DSS v3.1. Se amplía el conjunto de requisitos a cumplir para aquellas empresas que suponen un alto riesgo para la seguridad de los datos de tarjeta de pago. El documento establece que será obligatorio su cumplimiento para aquellas empresas designadas por las marcas de pago o las entidades adquirientes (estas serán quienes comuniquen a los afectados), dando algunos ejemplos (empresas que tratan grandes volúmenes de datos de tarjeta de pago o aquellas que hayan sufrido compromisos importantes y/o reiterados), pero sin limitarlos, de manera que finalmente dependerá del criterio de las marcas y los adquirientes.
El documento define requisitos enfocados a definir formalmente un programa de cumplimiento, validar y actualizar correctamente el alcance de cumplimiento, validar que las tareas periódicas que solicita PCI DSS se están ejecutando correctamente y corregir desviaciones, reforzar la revisión en los controles de acceso implementados y finalmente reforzar la identificación y respuesta ante incidentes.
Gran parte de estos requisitos vienen a constatar la necesidad de controles que las empresas ya implementan para poder mantener el cumplimiento de una norma tan precisa y compleja como es PCI DSS. Recordemos que PCI DSS es un proceso continuo, y esto es lo que se intenta remarcar a lo largo de los requisitos recogidos en este nuevo documento.
Junto a este documento se han emitido plantillas para poder documentar un RoC y un AOC específico en estos casos (aunque en compañía de los documentos de RoC y AOC para PCI DSS v3.1).
Referencias:
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_DESV.pdf
https://www.pcisecuritystandards.org/documents/FAQs_for_DESV.pdf
https://www.pcisecuritystandards.org/documents/PCI_DSSv3_DESV_S-ROC_Reporting_Template.pdf
https://www.pcisecuritystandards.org/documents/PCI_DSSv3_DESV_S_AOC.docx
Autor: Miguel Ángel Domínguez - CGEIT, CISA, CISSP, ISO27001 L.A. BS25999 L.A., PCI QSA, PCI PA-QSA, AMBCI, OPST
Departamento de Consultoría
