Destino del suplemento
Entre los motivos que podrían llevar a una de estas entidades a requerir está validación adicional estarían:
- Entidades que almacenan, procesan o transmiten un gran volumen de datos de tarjeta.
- Entidades que sirven como punto central de agregación de datos de tarjeta.
- Entidades que han sufrido una brecha significativa o repetidas brechas con datos de tarjeta involucrados.
Motivación de la publicación del suplemento
Es importante dejar claro que no se trata de nuevos requerimientos de la norma PCI DSS, sino de formas más detalladas para validación de ciertos requisitos ya existentes. Su motivación principal es demostrar que los controles de la norma son mantenidos de forma efectiva durante todo el año, a través de la validación de los controles BAU (Business As Usual) y mayor control sobre la definición del ámbito PCI DSS.
Uno de los principales objetivos del PCI SSC tanto en la evolución de la norma como con este tipo de suplementos de ayuda, es conseguir que ésta no sea percibida como una validación anual en forma de auditoría sino que haya que demostrar la labor realizada durante todo del año. Por este motivo, en la versión 3 de la norma se introdujo el concepto de procesos BAU.
Estructura del suplemento
En lo que respecta propiamente al contenido del suplemento publicado, está dividido en 5 áreas de control, 20 requerimientos y 37 procedimientos de validación. En relación con las áreas de control, podemos distinguir las siguientes:
DE.1: Implementar un programa de cumplimiento PCI DSS
Principalmente basada en el requerimiento 12, hace énfasis en el establecimiento de la responsabilidad en la realización de los procesos requeridos para el cumplimiento la norma PCI DSS así como la definición formal de las actividades que deben ser realizadas (incluyendo en que franjas temporales) para asegurar dicho cumplimiento. Adicionalmente, se debe demostrar formación realizada en relación con la norma PCI DSS a personal con responsabilidades en su cumplimiento.
DE.2: Documentar y validar el ámbito PCI DSS
Requerimientos referentes a una validación estricta del ámbito PCI DSS definido, así como su evolución durante el proceso de cumplimiento de la norma haciendo especial énfasis en los cambios realizados en el entorno (cambios de configuración, administrativos u organizativos). Cabe destacar la necesidad de un método formal de búsqueda de números de tarjeta y procedimientos de respuesta en caso de detección de los mismos.
DE.3: Validar que PCI DSS está incorporado dentro de la actividades habituales del negocio (BAU)
Formalización y documentación de los procedimientos de realización de las tareas recurrentes incluidas en la norma PCI DSS y análisis detallado de situaciones anómalas.
DE.4: Controlar y gestionar el acceso lógico al entorno de datos de tarjeta
Revisión recurrente (cada 6 meses) de las cuentas de usuarios y los privilegios de acceso en función de la necesidad de conocer, para todos los sistemas incluidos dentro del ámbito PCI DSS.
DE.5: Identificar y responder a eventos sospechosos
Definición de una metodología de detección y respuesta ante la ocurrencia de anomalías.
Reporte de cumplimiento
Aunque los requisitos de reporte no han sido definidos, dadas las circunstancias en las que se requiere este tipo de validación (orientado a entidades de nivel 1) parece bastante evidente que deberá ser un auditor el que certifique el cumplimiento de los requisitos incluidos en este suplemento.
Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.
