Antes de empezar el proceso de auditoría, es importante que se definan ciertos aspectos sobre la entidad.
Nivel de cumplimiento
Uno de los primeros pasos que debe realizar una entidad para poder afrontar la certificación PCI DSS es identificar el nivel de cumplimiento en base al volumen de transacciones anuales por el que estaría afectada la entidad. Para los comercios, podemos distinguir 4 niveles:
El nivel 1 está obligado a cumplimentar un RoC (Report on Compliance) por parte de un QSA en un proceso de auditoría externa. Para el resto de los niveles les bastará con cumplimentar un SAQ (Self-assessment questionnaire).
Con relación a los proveedores de servicio podemos distinguir 2 niveles:
▪️Nivel 1: Proveedores de servicio con más de 300.000 transacciones anuales.
▪️Nivel 2: Proveedores de servicio con 300.000 o menos transacciones anuales.
De igual forma que en el nivel 1 de comercio, para el nivel 1 de proveedor de servicios será necesario rellenar un RoC por parte de un QSA en una auditoría externa.
Para el nivel 2 de proveedor de servicios, bastará con rellenar un SAQ del tipo D. En este nivel, muchas veces se solicita que se realice mediante un QSA externo.
Cabe destacar que el nivel de cumplimiento no significa que el proceso será más o menos restrictivo. El nivel únicamente rige el método de certificación que se te exigirá en función de las transacciones anuales que abarque la entidad.
Determinar el alcance
Una vez tenemos claro el nivel de cumplimiento de nuestra entidad, pasamos a determinar el alcance que estará incluido en la certificación.
Es fundamental identificar que procesos, sistemas y redes están involucrados o manejan información de pago. A continuación, se nombran diferentes puntos que hay que definir detalladamente para poder dejar el alcance lo más claro posible:
▪️Sistemas, componentes o dispositivos que almacenen, procesen o transmitan
datos de tarjeta. Incluso aquellos activos que puedan impactar en la seguridad, o
que estén conectados al entorno de los datos de tarjeta.
▪️Todas las redes, incluidas las Wireless, que estén involucradas con los activos del
punto uno y, las que estén relacionadas con las transacciones de pago de la
entidad.
▪️Las personas que tienen acceso a toda está información y activos. También
aquellas personas que estén relacionadas con los procesos.
Es importante realizar la determinación del alcance debido a que si delimitamos incorrectamente el alcance puede derivar en esfuerzos innecesarios o, incluso, en brechas de seguridad.
Después de llevar a cabo los primeros pasos identificados en el apartado anterior, es importante prepararse correctamente para poder afrontar el proceso de certificación. En los siguientes subapartados veremos los pasos más significativos:
Familiarizarse con el estándar
Facilita mucho el proceso que una entidad que está dispuesta a certificarse en
PCI DSS sea conocedora del estándar y de los requisitos que este contiene.
El estándar PCI DSS, actualmente en la versión 4.0.1, contiene 12 requisitos y, cada uno de ellos con múltiples subrequisitos. Estos requisitos abarcan desde la protección de las redes y comunicaciones hasta gestión de accesos y monitoreo constante del entorno. Conocer y entender estos controles permite a la entidad formar una base más sólida respecto al cumplimiento del estándar.
Evaluación interna de la situación actual
Dentro de la preparación previa, se puede realizar una auditoría interna para identificar de forma eficaz las debilidades y puntos de mejora en los procesos, procedimientos e implementaciones del entorno actual en relación con el estándar PCI DSS v4.0.1. Esta auditoría puede realizarse de forma totalmente autónoma con ayuda de los cuestionarios de autoevaluación (SAQ), o bien, con el soporte de una entidad externa especializada.
Esta auditoría interna permitirá a la entidad visualizar el nivel de seguridad tanto organizativo como técnico. De esta forma, se pueden reforzar aspectos esenciales como:
▪️Redes y comunicaciones: Cifrados robustos, implementación de firewalls,
segmentación de redes, etc.
▪️Gestión de accesos: Políticas de contraseñas, MFA, roles de acceso, etc.
▪️Monitorización: SIEM, FIM, registros de auditoría, NTP, etc.
▪️Marco normativo: Política de seguridad, procedimientos, formaciones, etc.
▪️Bastionado: Configuración de componentes, protocolos inseguros, parámetros por
defecto, etc.
Dentro de esta auditoría interna, se pueden realizar escaneos de vulnerabilidades y pruebas de penetración (algunas de ellas necesarias para la certificación PCI DSS) con el fin de detectar fallas y vulnerabilidades y abordarlas antes de la auditoría de certificación. Importante que se utilicen herramientas aprobadas por el PCI SSC para la realización de estas pruebas.
Formación del personal
Capacitar a todos los empleados que estén relacionados de forma directa e indirecta con el tratamiento de datos en el estándar PCI DSS v4.0.1 y las mejores prácticas de seguridad es importante a la hora de evitar errores humanos.
Una vez la entidad se encuentra preparada, es hora de abordar el proceso de certificación. A continuación, explicamos las fases que cualquier empresa encontrará en este proceso:
Inicio del proceso
Primero de todo, es fundamental recopilar toda documentación que pueda servir para demostrar el cumplimiento de los requisitos de PCI DSS v4.0.1, tarea que no debería suponer un esfuerzo excesivo gracias a familiarizarse con el estándar previamente. A continuación, se exponen algunos ejemplos de documentación:
▪️Políticas, procedimientos y manuales de seguridad.
▪️Configuraciones de componentes
▪️Actas, registros o tickets generados a partir de diferentes procesos de seguridad
como la gestión del cambio.
▪️Registros de tareas recurrentes.
▪️Registros de auditoría, de accesos, de asistencia, etc.
▪️Informes de vulnerabilidades, reportes de nuevas amenazas, etc.
Evaluación
En esta fase, se lleva a cabo una inspección detallada de las prácticas y medidas adoptadas por la entidad para cumplir con el estándar. Dependiendo del nivel de cumplimiento de la entidad (detallado en el apartado 3.1), se podrá realizar un cuestionario de autoevaluación (SAQ), o bien, recurrir a un auditor externo (QSA). En cualquiera de los casos, el objetivo final es validar que la entidad a certificar cumple con todos los puntos que le apliquen del estándar.
Durante la evaluación se revisarán los siguientes aspectos:
▪️Configuraciones de los componentes que se encuentran en el alcance, incluyendo
activos de red y de seguridad.
▪️Documentos, políticas y procedimientos operativos de la entidad.
▪️Evidencias técnicas y resultantes de los procedimientos de la entidad.
Esta evaluación se puede realizar a partir de diferentes fases:
▪️Fase I: En esta fase se solicita a la entidad toda la documentación, políticas y
procedimientos de los que se dispongan para su posterior revisión.
▪️Fase II: Durante esta fase se validarán todos los aspectos procedimentales, donde
se confirmará que el personal tiene el conocimiento adecuado sobre los
procedimientos de la entidad.
▪️Fase III: En esta tercera fase, se recogerán todas las evidencias técnicas de los
componentes en alcance. Aquí podemos encontrar configuraciones de activos,
reglas de firewall, controles de accesos, etc.
Cabe destacar que las tres fases se pueden dar en las modalidades presencial o virtual. Se realicen en la modalidad que sea, no hay diferencias en cuanto al proceso de certificación y los aspectos a revisar.
Corrección de No Conformidades
Durante el proceso de evaluación, es común encontrarse algunas deficiencias que no permitan cumplir de forma completa con algún requisito aplicable a la entidad. En estos casos, será necesario realizar medidas correctivas de forma inmediata para poder solventar la situación. Hay que recordar que, si no se puede cumplir con algún requisito aplicable, no será posible obtener la certificación PCI DSS.
Todas las acciones realizadas deben ser documentadas, implementadas eficazmente y verificadas nuevamente para comprobar que solventa la deficiencia detectada previamente.
Redacción de informes
Para finalizar el proceso de certificación y, una vez corregidas todas las deficiencias, se generan los documentos que certifican el cumplimiento del estándar. Como hemos mencionado en puntos anteriores, estos incluyen:
▪️Dependiendo del nivel de cumplimiento podemos encontrar:
🔹 Cuestionario de autoevaluación (SAQ)
🔹 Informe detallado de cumplimiento (RoC)
▪️Documento que verifica el resultado de la evaluación (AoC). Dentro de este documento encontramos un resumen de los resultados obtenidos en la certificación. También, este documento es el que se presenta para demostrar el cumplimiento de una entidad.
Una vez la entidad disponga de estos documentos, se puede declarar a la entidad como PCI DSS Compliance. Aunque se pueda pensar que el ciclo ha terminado, es un error que las entidades suelen cometer y que se explica en detalle en el punto 6.3.
En este apartado se muestran los tres errores más recurrentes que se cometen en relación con la certificación PCI DSS.
Delimitación del alcance de forma errónea
Uno de los problemas que se encuentran con mayor frecuencia es el de no definir correctamente el alcance. Muchas entidades no establecen de forma adecuada qué sistemas, aplicaciones o procesos forman parte del entorno sujeto a PCI DSS.
Podemos encontrar dos formas de cometer este tipo de error.
El primero, definir un alcance demasiado amplio, incluyendo componentes y procesos que realmente podrían quedarse fuera del alcance, dando lugar a un esfuerzo mayor.
Por otro lado, podemos encontrar entidades que han reducido demasiado el alcance dejando fuera componentes críticos que, sí que deberían incluirse, por lo que se generará un incumplimiento de la norma.
Para prevenir problemas derivados del alcance, se debe realizar un análisis exhaustivo de todos los flujos que estén relacionados con datos de tarjeta y documentar los componentes involucrados. Se aconseja apoyarse en diagramas de red y flujo actualizados.
Dentro de la documentación del PCI SSC podemos encontrar dos guías “Guidance-PCI-DSS-Scoping-and-Segmentation_v1_1” y “PCI-DSS-Scoping-and-Segmentation-Guidance-for-Modern-Network-Architectures” sobre como definir correctamente el alcance, o bien, delimitarlo de forma adecuada.
Quitarle importancia al marco documental
Muchas entidades tienen implementadas medidas de seguridad, pero se olvidan de la parte documental. Es tan importante la implementación de los controles como que se dé respaldo a través de políticas, procedimientos y manuales. La ausencia de documentación clara es una de las principales razones por las que una auditoría puede fracasar y, por tanto, no obtener la certificación.
Realmente, la solución a este problema puede ser relativamente fácil de llevar a cabo. Una buena práctica podría ser que cada vez que se implementen controles, a su vez, se describan en procedimientos formales y, según el control dejar registros/evidencias que lo respalden como podría ser un acta de capacitación en base a las formaciones impartidas. Toda esta documentación debe mantenerse actualizada y accesible.
Certificarse en PCI DSS y relajarse
Para terminar los errores más comunes que suelen darse dentro del ciclo de la certificación PCI DSS, nos encontramos con que existen entidades que tienen un enfoque sobre la certificación PCI DSS como un evento puntual. Con esto nos referimos a que existe un esfuerzo puntual en el momento de la evaluación para obtener la primera certificación PCI DSS y, una vez conseguida, bajan la guardia y dejan de trabajar en algunos controles. Esto aumenta la probabilidad de incumplimiento en la siguiente certificación, recordemos que es de carácter anual, además de exponer a la empresa a vulnerabilidades
Como podemos observar en la imagen anterior, PCI DSS sigue un modelo de mejora continua en la que encontramos 4 fases definidas de actuación. Por tanto, obtener la certificación solo es el inicio para la siguiente evaluación.
Afrontar la certificación PCI DSS por primera vez puede parecer todo un reto, pero con una correcta preparación y una estrategia bien definida, es totalmente alcanzable. Lo principal está en comprender y entender el estándar y sus requisitos, preparar los procesos adecuadamente y tener la seguridad como una prioridad constante para la entidad.
Cumplir con PCI DSS no solo ayuda a una entidad a evitar sanciones, sino que aumentará la confianza de los clientes y socios al garantizar la protección de los datos de tarjeta en las transacciones.
Bibliografía:
🔗 Payment Card Industry (PCI) Data Security Standard, v4.0.1
🔗 Guidance PCI DSS Scoping and Segmentation, v1.1
🔗 PCI DSS Scoping and Segmentation Guidance for Modern Network Architectures
🔗 PCI DSS Quick Reference Guide
🔗 Best Practices for Maintaining PCI DSS Compliance