lunes, 5 de diciembre de 2022

Métodos de validación en PCI DSS v4.0

Tras más de más de 3 años de trabajo, el 31 de Marzo de 2022, el PCI SSC lanzó la versión 4.0 del estándar PCI DSS. Esta versión, ha sido la más transgresora de toda la historia de este estándar de seguridad de datos de tarjeta, debido a que cambia por completo el enfoque y la forma a la que, tradicionalmente, se estaba acostumbrado a trabajar con él, pudiendo adoptar una estrategia de cumplimiento basada totalmente en el riesgo de cada organización, en lugar de cumplir con requisitos concretos, rígidos y exigidos por el PCI SSC.

PCI DSS 4.0 supone un cambio significativo en sí mismo. Aunque se mantiene la esencia del estándar anterior, las tecnologías emergentes y la experiencia adquirida durante estos años han dado paso a la siguiente versión, que trata de adaptarse a los tiempos en los que nos encontramos.

Hasta la versión 3.2.1 del estándar PCI DSS, tradicionalmente, solo existía un solo enfoque basado en 12 requisitos con sus subrequisitos asociados y pruebas de validación, los cuales se debían abordar, sin excepción alguna, por cada una de las empresas afectadas; este enfoque es denominado como "Defined Approach" (Enfoque definido). Ahora, con la entrada en vigor de la versión 4.0 del estándar PCI DSS, la flexibilidad ha sido uno de los aspectos más importantes que se ha incorporado. Con respecto a esta flexibilidad y, teniendo en cuenta que se trata del mayor cambio introducido en esta versión, se permite un nuevo método de validación del cumplimiento del estándar PCI DSS, denominado como "Customized Approach" (Enfoque Personalizado), el cual se va a analizar a continuación.

Enfoque Personalizado para la evaluación de entornos PCI DSS v4.0

El enfoque personalizado es un método nuevo y más flexible que el método definido, el cual permite a una organización enfocarse en el objetivo de seguridad de cada uno de los requisitos. A través de este método, las organizaciones podrán determinar los controles que están siendo utilizados para cumplir con un objetivo de seguridad dado por un requisito específico.

Este enfoque, proporciona a las entidades una flexibilidad mucho mayor para hacer uso de controles alternativos de seguridad, por ejemplo, cuando se utilicen nuevas tecnologías que no se puedan evaluar a través del enfoque definido. Es importante mencionar, que el enfoque personalizado requiere más esfuerzo que el enfoque definido y, como tal, esto puede ser lo mejor para las entidades que ya tienen procesos de seguridad robustos.

En cuanto a la adopción de este enfoque por parte de las entidades afectadas:

  • Está pensado para entidades que deciden cumplir con el objetivo de un requisito PCI DSS de tal manera que no se implemente tal cual el requisito definido.
  • Puede ser aplicado por requisito o por componente del sistema.
  • Permite que una entidad adopte un enfoque estratégico de modo que se pueda analizar, diseñar e implementar los controles de seguridad necesarios para cumplir el objetivo de una manera única.
  • No en todos los requisitos de PCI DSS se puede implementar un enfoque personalizado.
  • Este enfoque personalizado obliga a la organización a realizar un análisis de riesgos específico con la justificación y pruebas propuestas para el cumplimiento del objetivo del requisito concreto.

Elección del método para la validación de PCI DSS v4.0

La entidad que debe evaluar un entorno bajo el estándar PCI DSS en su versión 4.0, antes de nada, debe ser consciente de que dispone de dos vías o enfoques para su consecución, por un lado el enfoque definido o tradicional y, por otro lado, el enfoque personalizado. Ambas vías se pueden apreciar en el siguiente diagrama de flujo:


Como se extrae del diagrama anterior, usando el enfoque personalizado, la organización deberá llevar a cabo un análisis de riesgos abordando cualquier tipo de riesgo existente, definirá y documentará los controles de seguridad y, realizará sus propias pruebas para verificar que los controles implementados de seguridad funcionan y mitigan el riesgo. Lo importante es, que como cada enfoque personalizado es distinto, no existen procedimientos de prueba definidos como sí que los hay en el enfoque definido. En su lugar, el QSA deberá evaluar la documentación del enfoque personalizado de la organización y luego desarrollar procedimientos de prueba que sean apropiados para la implementación específica. Una vez definidas, el QSA llevará a cabo dichas pruebas y validará que los controles cumplan con los objetivos de seguridad esperados.

Como se puede observar, este método de validación requiere de un esfuerzo adicional que no ocurre con el método de validación tradicional, pero que puede ser oportuno para aquellas entidades con procesos robustos de seguridad que requieran cumplir con el estándar de seguridad de una forma alternativa a las medidas de seguridad propuestas por los requisitos tradicionales del estándar.

Todo este esfuerzo se traduce en responsabilidades de cada parte, tanto de la empresa QSA como de la entidad evaluada, las cuales se pueden observar en la siguiente imagen:


A modo de resumen, las responsabilidades más importantes de cada parte son:

Responsabilidades de la entidad u organización evaluada:

  • Implantar los controles de seguridad que cumplen con el objetivo del requisito PCI DSS.
  • Proveer la documentación que describe la implementación personalizada:
    • El quién, qué, dónde, cuándo y cómo de los controles.
    • Evidencia para demostrar que los controles cumplen con la intención y objetivos adecuados.
    • Evidencias de cómo se mantienen los controles y se asegura su eficacia.

Responsabilidad de la empresa QSA:

  • Planificar y conducir la evaluación del entorno PCI DSS.
  • Revisar la información provista por la entidad evaluada.
  • Diseñar los procedimientos de prueba oportunos basados en la información proporcionada y soluciones de seguridad implementadas por la entidad.
  • Documentar los detalles de los procedimientos de prueba y los resultados de las pruebas en el Report on Compliance (RoC)

Enfoque Definido vs Enfoque Personalizado

Una vez definido y analizado el enfoque personalizado, es interesante realizar una comparativa entre ambos enfoques existentes a la hora de evaluar un entorno bajo el paraguas de la versión 4.0 del estándar PCI DSS:



 Para el enfoque definido:

  • El flujo de trabajo es el habitual hasta la versión 3.2.1 del estándar PCI DSS.
  • El propio estándar define los requisitos y procedimientos de prueba a llevar a cabo.
  • Puede ser el enfoque correcto para todas las entidades PCI DSS actualmente certificadas.
  • Proporciona instrucciones sobre cómo implementar los requisitos de seguridad.
  • Posibilidad de implementación de controles compensatorios.

Para el enfoque personalizado:

  • Se centra en el cumplimiento del objetivo de cada requisito PCI DSS.
  • La entidad evaluada determina e implementa los controles para cumplir con dichos objetivos.
  • Proporciona una mayor flexibilidad en la implementación de los controles de seguridad. No existe la necesidad de seguir los controles rígidos del estándar PCI DSS.
  • Puede ser el enfoque correcto para las entidades con robustos procesos de seguridad y procesos de gestión de riesgos maduros e implementados en la organización.
  • Incompatibilidad con controles compensatorios.

Enfoque Personalizado vs Control compensatorio

Como broche final a este tema, a continuación, se va a analizar la diferencia que existe entre un control compensatorio y el enfoque personalizado, ya que, a priori, puede dar lugar a confusión entre ambos conceptos o el momento de la aplicabilidad de uno u otro.

De los controles compensatorios sabemos que se aplican cuando la entidad no puede cumplir con el requisito establecido debido a restricciones técnicas o comerciales documentadas, por lo que el estándar permite implementar controles alternativos para mitigar el riesgo.

Además, los controles compensatorios, para poder ser aceptados como tal, deben cumplir con 3 criterios:

  1. Cumplir con el propósito y el rigor del requisito original de PCI DSS.
  2. Proporcionar un nivel similar de defensa, tal como el requisito original de PCI DSS, de manera que el control compensatorio compense el riesgo para el cual se diseñó el requisito original de PCI DSS.
  3. Ir más allá del cumplimiento del requisito (el simple cumplimiento con otros requisitos de PCI DSS no constituye un control de compensación).

Por otro lado, el enfoque personalizado se implementa o se debe implementar cuando la entidad tiene procedimientos robustos de gestión de riesgos y opta por implementar diferentes controles que cumplen con el objetivo del enfoque personalizado pero no de la forma en la que indica el requisito concreto establecido por el estándar tal y como se ha explicado a lo largo de este artículo.

La principal diferencia está en que los controles de compensatorios necesitan una justificación (una restricción técnica o de negocio) y el enfoque personalizado no.

Conclusiones

El enfoque personalizado permite a las organizaciones, típicamente a las más maduras en cuanto a postura de seguridad se refiere, más flexibilidad a la hora de abordar un control determinado del estándar PCI DSS. En esencia, implica que la organización puede poseer controles que se ajustan al objetivo del enfoque personalizado en lugar de cumplir con el enfoque definido tradicional.

Al final, se trata de generar un control completamente nuevo que se alinee con el objetivo original, a expensas de una carga de trabajo extra tanto para la organización como para el asesor QSA, quienes deben definir y documentar el control (la organización) y crear los procedimientos de prueba para validar dicho control (el asesor QSA).

Es importante matizar que los controles compensatorios no son compatibles con el enfoque personalizado y que el enfoque personalizado requiere más esfuerzo que el enfoque definido y, como tal, esto deben tenerlo en cuenta aquellas entidades que deseen evaluarse a través de esa vía.

No obstante, es recomendable consultar a una empresa QSA ya que todo esto supone una complejidad nueva para el ecosistema PCI DSS. En esta época cambiante y llena de nuevos retos, una empresa QSA especializada en la materia, es la mejor opción para guiar a las empresas en su camino hacia el cumplimiento del estándar de la mejor forma posible y haciendo que el camino sea eficiente y lo menos costoso posible.

Referencias

  • PCI DSS v3.2.1 y PCI DSS v4.0:
    https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf?agreement=true&time=1601995865583
  • Blog PCI SSC:
    https://www.pcisecuritystandards.org/covid19

Autor: Sergio Moreno - PCIP, PCI QSA, PCI QPA, CCSP, CISSP, CDPSE, SFPC, CSFPC, ISO 27001 L.A., CCNA
Dpto. Consultoría