El pasado 20 de enero se celebró un encuentro, dentro del Acquirer Forum, que ha dado lugar la publicación de la "Acquirer Review Checklist v1.0" que, dentro de los programas denominados Assessor Quality Management (AQM), pretende servir de guía para las entidades adquirientes en el momento de validar los ROC, AOC y otra documentación de reporte del cumplimiento de los comercios de los que realizan su adquirencia y a los que piden esta documentación como parte de la responsabilidad de su cumplimiento. Esta responsabilidad incluye, a parte del propio cumplimiento, velar y conocer el nivel de cumplimiento de los comercios (reportándolo posteriormente a las marcas de tarjetas de pago) y trabajar con proveedores de servicio que cumplan igualmente con PCI DSS.
Con la publicación de este documento se pretende:
- Incrementar la efectividad del proceso de revisión de las entidades adquirientes sobre los entregables recibidos.
- Fortalecer la efectividad de los entregables generados por los QSA y que acaban en manos de las entidades adquirientes.
- Mejorar el nivel de consistencia y precisión de la documentación redactada por los asesores QSA.
- Disponer de un modelo binario de revisión que reduce el tiempo de la validación de los ROC/AOC mediante una checklist.
El cheklist incluye secciones ("Acquirer Internal Reviewer Training") que resultan interesantes por el hecho de enfatizar la necesidad de personal responsable en las revisiones y, en general, trasladable a todo aquel con responsabilidades en entornos de cumplimiento de PCI DSS, debe contar con formación adecuada en la norma y ya no sólo esto sino también en seguridad TIC.
El documento consta de una sección "básica" para la revisión de los aspectos clave denominada "ROC Submission Checklist for Acquirer Reviews version 1.0 - Basic" con 20 puntos clave en la revisión de un ROC recibido por la entidad adquiriente, con puntos básicos como: si el resultado ha sido "Compliant", y en caso contrario si incluye un Plan de Remediación, si las fechas de ROC y AOC coinciden, si los escaneos ASV han sido satisfactorios o si se ha definido un plan de Mitigación del Riesgo para gestionar el uso de versiones SSL y TLS vulnerables. Incluso si el adquiriente ha tratado con el QSA aspectos para la reducción del entorno se incluyen en el checklist.
La siguiente sección, para aquellos revisores que tengan mayor nivel de exigencia en la validación de los entregables remitidos por sus comercios, disponen de la versión detallada "ROC Submission Checklist for Acquirer Reviews version 1.0 - Detailed".
Ésta consta de unos 80 puntos de revisión y detalle de evidencias y permiten entrar en profundidad en aspectos relacionados con el uso de productos certificados PTS en los entornos de certificación del cumplimiento, actividades que se desarrollarán en un futuro para el cumplimiento, empresas que han llevado a cabo los escaneos ASV y resultado de estos, detalles sobre el uso de aplicaciones certificadas o no PA-DSS dentro del ámbito, uso de soluciones o aplicaciones P2PE, calidad de la información con la que QSA ha detallado el ámbito de cumplimiento, controles compensatorios, procesos de pago del comercio o proveedores de servicio participantes, etc. Con todos estos parámetros, el revisor de la entidad adquiriente podrá tener una herramienta de análisis exhaustiva para valorar la calidad y precisión de la información que le faciliten y poder identificar inconsistencias o información insuficiente.
Sin duda, para los QSA que dedicamos un esfuerzo ingente en los resultados de nuestros trabajos de Auditoría consideramos muy interesante que el PCI SSC dedique esfuerzos a este trabajo y que pueda ser revisado y valorado de forma objetiva y precisa. Esto enfatiza el hecho de que el trabajo de los QSA exigentes consigo mismos podrá ser puesto en valor de forma más sencilla y los comercios que entreguen estos informes a sus entidades adquirientes podrán tener la tranquilidad que estos informes pasarán las revisiones sin problemas.
Referencia:
https://info.pcisecuritystandards.org/acquirer_forum
Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors
