martes, 7 de diciembre de 2021

Impacto de la COVID-19 en el estándar PCI DSS (III)

1. Evaluaciones remotas de entornos PCI DSS

Para terminar con esta serie de post en relación con el impacto de la COVID-19 en los entornos PCI DSS, vamos a analizar, por último, el impacto que ha tenido en la realización de las evaluaciones de cumplimiento.

Dado que los países y regiones se ven afectados de manera diferente y enfrentan diferentes tipos de restricciones, no es posible que el PCI SSC brinde una posición universal sobre la viabilidad de las evaluaciones remotas en todas las regiones. La capacidad para evaluar un entorno, y hasta qué nivel se puede completar la evaluación de acuerdo con los requisitos del programa existente, deberá determinarse caso por caso, dada la situación actual en cada región o país.

Siempre que sea posible, las evaluaciones in situ deben completarse de acuerdo con los requisitos, procedimientos y acuerdos de evaluación del programa PCI SSC aplicables. Cuando se hayan completado o puedan completarse evaluaciones in situ, los evaluadores y las entidades deben completar la evaluación y presentar su documentación de validación como de costumbre.

1.1. Consideraciones

Se permite la ejecución de validaciones de cumplimiento a distancia (de forma remota), siempre y cuando el asesor tenga restricciones para viajar a realizar las evaluaciones en sitio, debido a la pandemia que estamos viviendo o siempre que exista una causa debidamente justificada.

Cuando una evaluación in situ no sea posible temporalmente, los evaluadores y las entidades deben trabajar juntos para identificar qué actividades de prueba, si las hay, son factibles de realizar de forma remota. Las actividades de prueba que son más adecuadas para la evaluación remota generalmente incluyen las siguientes, pero dependerán de las circunstancias específicas:

  • Revisiones de documentación: por ejemplo, revisiones de políticas y documentos de procedimientos.
  • Revisiones de evidencia generada: por ejemplo, registros de reconocimiento del personal de sus responsabilidades de seguridad.
  • Entrevistas: por ejemplo, para verificar que el personal comprenda las políticas y procedimientos.

Las consideraciones para revisar de forma remota la documentación y la evidencia generada incluyen asegurarse de que se utilice un método seguro para compartir y acceder al material, y que la información se revise solo dentro de sistemas y entornos seguros. El evaluador también deberá verificar la integridad de la información proporcionada y que representa lo que habría visto si hubiera estado en el lugar de la entidad. En este sentido, dependiendo del tipo de información a compartir se puede:

  • Hacer uso de MS Teams, FaceTime o cualquier otro software con garantías de seguridad suficientes para las funciones de grabación de video en vivo, por ejemplo, para recorridos de lugares virtuales, como un CPD, un call center, un comercio, etc.
  • Disponer de un portal para la transferencia de evidencias, que sea seguro para facilitar la carga de videos, capturas de pantallas de configuraciones y pantallas de inicio de sesión, documentación, etc.
  • Uso de mecanismos de hash que nos permitan comprobar la integridad de las evidencias compartidas a través de estos medios.

Las consideraciones para las entrevistas remotas incluyen asegurarse de que se disponga de un método de comunicación eficaz y de que las entrevistas se programen en un momento que sea conveniente para los participantes. Las técnicas para maximizar el valor de la comunicación incluyen el uso de videos siempre que sea posible y mantener a todos los participantes visibles y comprometidos durante la duración de la entrevista. Además, se deben utilizar tecnologías de videoconferencias seguras para mantener la confidencialidad de los datos y la protección de los datos de los participantes (Por ejemplo, WebEx o MS Teams).

En la siguiente tabla, se resumen aquellas acciones a tener en cuenta por un QSA, a la hora de llevar a cabo una evaluación remota:

Acción Descripción
Garantía de cumplimiento Al realizar una evaluación remota, los evaluadores deben asegurarse de que cualquier validación que realicen de forma remota proporcione el nivel necesario de garantía de que los controles se implementan correctamente y los requisitos se cumplen antes de firmar que un requisito está "en su lugar" y completar un informe de cumplimiento.  
Garantía de integridad Los evaluadores deben tomar todas las medidas necesarias para garantizar que la integridad de la evaluación no se vea afectada negativamente por las pruebas remotas; por ejemplo, cuando se realizan pruebas de forma remota, pueden ser necesarias precauciones especiales para garantizar que el personal que se entrevista y los componentes del sistema que se examinan son los mismos. como si el asesor estuviera en el lugar. Los métodos utilizados para observar implementaciones y recopilar evidencia también deben proporcionar al menos el mismo nivel de garantía que para una evaluación in situ. 
Políticas y procedimientos En todo momento, se requiere que las empresas asesoras cuenten con políticas y procedimientos que mantengan la confidencialidad de la información recopilada durante el proceso de evaluación de acuerdo con los requisitos aplicables. Los detalles de estos requisitos se definen en la documentación del programa de asesores del PCI SSC correspondiente.
Resultados Se deben tomar todas las medidas para asegurar que los resultados de una evaluación remota sean proporcionales a los resultantes de una evaluación in situ; por tanto, puede llevar más tiempo realizar la evaluación de forma remota. Además, ciertos tipos de pruebas pueden ser solo viables de realizar en persona y los retrasos en la finalización pueden ser inevitables. En este caso se debería contactar con los bancos adquirientes o marcas para indicar la situación y recibir instrucciones de cómo actuar. Esto puede darse a la hora de revisar los controles de seguridad física.
Confianza en el cliente En algunos casos un QSA puede tener un razones suficientes para confiar en las capturas de pantalla proporcionadas por la entidad evaluada: por ejemplo, si el QSA define una prueba por sí mismo y luego dirige al empleado de la entidad evaluada a realizar dicha prueba mientras está observando todo el proceso a través de una pantalla haciendo uso de un sistema de videoconferencia. O en determinadas ocasiones, solicitando la realización de un video con unas condiciones especiales a la entidad evaluada y revisándolo posteriormente.


Al final, hay diversas formas alternativas de poder cumplir con los distintos requisitos, lo que requerirá en cada caso escoger la que mejor se adapte y más garantías ofrezca en ese momento.

Los evaluadores también deben documentar claramente en el Informe de cumplimiento por qué no se realizaron las pruebas in situ y cómo las pruebas remotas proporcionaron un nivel equivalente de garantía. Toda la evidencia relevante debe conservarse como parte de los documentos de trabajo para la evaluación, en caso de auditoría u otra solicitud.

1.2. Condicionantes y limitaciones

Las condiciones actuales y las restricciones de viaje han provocado que muchas organizaciones tengan que reducir significativamente la dotación de personal o cerrar temporalmente sus instalaciones a los empleados y visitantes. Es posible que estas organizaciones no tengan personal disponible para coordinar las actividades de evaluación con un evaluador remoto.

Además, cuando el personal de una entidad está disponible para respaldar las actividades de evaluación remota, podría haber factores de seguridad y logísticos que limiten el alcance de las actividades de evaluación que se pueden realizar con éxito de forma remota.

Al considerar si una actividad de evaluación se puede realizar de forma remota y en qué medida, se deben cumplir los siguientes principios:

  1. Las actividades de evaluación remota no deben reducir ni afectar negativamente la seguridad del medio ambiente que se evalúa. Esto incluye no exigir que una entidad deshabilite o eluda los controles de seguridad para facilitar la evaluación remota.
  2. Las actividades de evaluación remota no deben requerir la violación de un requisito de seguridad estándar de PCI para evaluar un entorno de acuerdo con ese estándar. Por ejemplo, si un estándar PCI prohíbe los teléfonos con cámara personal en ciertas áreas, dichos dispositivos no deben introducirse en esas áreas con el propósito de completar una evaluación remota.
  3. Las actividades de evaluación remota deben diseñarse e implementarse de manera que se evite la introducción de riesgos adicionales de interrupción en las operaciones de la entidad.
  4. Las evaluaciones remotas deben realizarse con el mismo rigor e integridad que una evaluación en el sitio y proporcionar un nivel equivalente de garantía sobre si los controles evaluados se implementan correctamente.

Las actividades de prueba que requieren que el evaluador observe los controles de seguridad física o los procesos que se están realizando son generalmente las más difíciles de completar de forma remota. Estar en el sitio y observar activamente los procesos en acción es a menudo la única forma en que un evaluador puede obtener una imagen real del entorno y tomar una determinación precisa sobre si se están siguiendo los procesos de seguridad. Tanto el evaluador como la entidad que se evalúa deben tener aportes y acordar las decisiones sobre la naturaleza y la viabilidad de las actividades de evaluación remota, manteniendo el cumplimiento de los principios y la intención de los requisitos de prueba aplicables.

  • En este sentido, las empresas de asesores QSA también pueden considerar contratar recursos de asesores locales calificados para ayudar en esta tarea. Por ejemplo, para una evaluación de PCI DSS, si el QSA principal no puede viajar a la ubicación en el sitio debido a problemas de salud, puede contratar a un subcontratista aprobado para que realice los aspectos de la evaluación en el sitio de acuerdo con los requisitos del programa QSA. 


Las organizaciones deben comunicarse con su entidad que acepta el cumplimiento, es decir, la marca de pago o el adquirente, para determinar cualquier impacto en el cumplimiento asociado con las evaluaciones remotas. Cuando no sea factible completar una evaluación, la entidad debe consultar con su adquiriente y / o marca de pago para comprender sus expectativas con respecto a evaluaciones parciales o incompletas y cualquier consideración de aplazamiento. Las marcas de pago y los adquirentes definen cualquier exención o extensión de los mandatos de cumplimiento.

En definitiva, la pandemia COVID-19 ha cambiado por completo la forma en la que vivimos, y con respecto al cumplimiento del estándar PCI DSS, la forma en que accedemos al entorno, protegemos nuestros activos y realizamos las evaluaciones de cumplimiento. Esto supone que, haya cambios, surjan nuevas amenazas y que tengamos que hacer frente a ellas. Por ello, es muy importante tener en cuenta todos los riesgos, medidas de seguridad y consideraciones analizadas y aportadas en esta serie de post para intentar, en la medida de lo posible, realizar las acciones necesarias que nos permitan seguir con los procesos de producción necesarios pero con las máximas garantías de seguridad tanto a nivel técnico como sanitario. 

Además, desde el punto de vista de un QSA, su trabajo sigue siendo el mismo, pero tiene que adecuarse a las necesidades de las organizaciones y normativas de seguridad en cuanto a salud, pero manteniendo el mismo nivel de exigencia en las auditorías remotas que se tenía antes de la pandemia.


Todo esto supone una complejidad nueva para el ecosistema PCI DSS. En esta época cambiante y llena de nuevos retos, una empresa QSA especializada en la materia, es la mejor opción para guiar a las empresas en su camino hacia el cumplimiento del estándar.

Referencias 



Autor: Sergio Moreno - PCI QSA, PCI QPA, PCIP, CCNA, CISSP, CDPSE, SFPC, CSFPC, ISO 27001 L.A.
Dpto. Consultoría