Cumplir con PCI DSS no es una tarea fácil. Requiere dedicación, algo de inspiración y ciertamente mucha transpiración. Durante la evaluación anual, somos testigos de las muchas horas de trabajo dedicadas por diferentes equipos con el fin de lograr o mantener el cumplimiento. Pero a menudo también vemos que el cumplimiento es visto como una tarea puntual a desarrollar alrededor de la fecha de la visita de la auditoría in situ, y que se acaba después de pasar la evaluación anual. Esta forma de actuar tiene mucho peligro y creemos que el cumplimiento continuo facilita mucho las cosas y coloca a la organización en una mejor posición para pasar las siguientes auditorias anuales de una manera ágil y sencilla.
El cumplimiento de PCI continúa cuando el QSA abandona el edificio
El principal desafío es integrar completamente el cumplimiento de PCI en la dinámica habitual de la organización. Esto significa que los procesos y procedimientos de PCI DSS deben implementarse de una manera factible.
Durante la evaluación inicial, las auditorías dirigidas por los QSAs se basan en el momento puntual en el que la organización que se está evaluando debe demostrar el cumplimiento en la fecha del AoC. A partir de ese momento, sin embargo, las cosas cambian. Con la evaluación del segundo año y los siguientes, todos los controles operativos en curso que son obligatorios por PCI DSS deben haber sido mantenidos (y la organización debe mantener y proporcionar evidencias de ello para apoyar la evaluación QSA).
Estos son los controles operativos que encontramos que más a menudo se pasan por alto:
- Análisis de vulnerabilidades, tanto internos como externos
- Revisión semestral de la configuración y las reglas del firewall
- Aplicación de los procesos de gestión de cambios (tanto para cambios de infraestructura como de software)
- Evaluación de riesgos anual
- Los últimos controles para los proveedores de servicios (que se convirtieron en obligatorios a partir del 2/1/2018):
- Pruebas de segmentación semestrales
- Revisiones trimestrales para verificar el desempeño constante de las políticas de seguridad y los procedimientos operativos
- Análisis de la causa raíz en el caso de fallos en los mecanismos de seguridad
Reglamento PCI y Responsabilidad
El PCI Security Standards Council (SSC) ha reconocido el problema de que las empresas no desarrollan y ejecutan un plan para el cumplimiento continuo de PCI. PCI SCC publicó en enero de 2019 una guía llamada “Best Practices for Maintaining PCI DSS Compliance”. El principal problema para mantener el cumplimiento es que las organizaciones se saltan algunas de las actividades del Programa de Cumplimiento PCI DSS. PCI SSC requiere que las empresas desarrollen un Reglamento PCI y que asignen la responsabilidad de “rendir cuentas respecto al deber de mantener el cumplimiento de PCI DSS en su totalidad”.
PCI DSS requiere que las actividades se lleven a cabo diaria, semanal, mensual, trimestral, semestral y anualmente, lo que a veces puede ser olvidado durante el año siguiente a la evaluación completa. Existen múltiples razones por las que esto puede suceder; sin embargo, el motivo más común es la falta de recursos. Muy a menudo nos encontramos que éste no es el trabajo principal de los empleados encargados de llevar a cabo estas actividades. Idealmente, mantener las actividades de cumplimiento debe ser la responsabilidad principal de un empleado o de un equipo de trabajo.
Otra recomendación es que la organización implemente un comité de PCI que se reúna mensualmente. Durante esta reunión se debe realizar un seguimiento de las actividades del Programa de Cumplimiento PCI DSS para asegurarse de que éstas se están llevando a cabo. Esta reunión también se puede utilizar para tratar cualquier nuevo proyecto que pueda tener un impacto sobre el entorno de datos de las tarjetas o la forma en que se llevan a cabo los pagos.
Desde Fortytwo ofrecemos el “cumplimiento continuo de PCI DSS” como servicio. Es un modelo basado en suscripción donde le guiamos durante las tareas periódicas, realizamos un seguimiento de ellas y estamos a su disposición durante todo el período de cumplimiento para tratar cualquier problema o consulta que se le presente. Este modelo se basa en una cuota mensual fija, por lo que su organización puede disponer, al inicio de cada ciclo, de un presupuesto cerrado para el proyecto de cumplimiento PCI DSS.