Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema. En el contexto de las PCI DSS, los “componentes del sistema” se definen como cualquier componente de red, servidor o aplicación, físico o virtual que esté incluida en el entorno de los datos del titular de la tarjeta o que tenga conectividad con dicho sistema.

El entorno de los datos de los titulares de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación. Los componentes de la red incluyen firewalls, interruptores, routers, puntos de acceso inalámbricos, aplicaciones de la red y otras aplicaciones de seguridad.

Los tipos de servidores incluyen: web, aplicación, base de datos, autenticación, correo electrónico, proxy, protocolo de tiempo de red (NTP) y servidor de nombre de dominio (DNS), entre otros. Las aplicaciones incluyen todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones internas y externas.

El primer paso de una evaluación de las PCI DSS es determinar con exactitud el alcance de la revisión. Por lo menos una vez al año y antes de la evaluación anual, la entidad evaluada debería confirmar la exactitud del alcance de las PCI DSS al identificar todas las ubicaciones y flujos de datos de titulares de tarjetas y al asegurar que se incluyan en el alcance de las PCI DSS.

Para que el alcance de las PCI DSS sea exacto e idóneo, se recomienda seguir los siguientes pasos:

1. La entidad que va a ser evaluada debe identificar y documentar la existencia de todos los datos de los titulares de tarjetas en su entorno, con la finalidad de verificar que no haya datos de titulares de tarjetas fuera del entorno de los datos de los titulares de tarjetas (CDE) actualmente definido.
2. Una vez que se hayan identificado y documentado todas las ubicaciones de los datos de los titulares de tarjetas, la entidad utiliza los resultados para verificar que el alcance de las PCI DSS sea apropiado. Una vez dado el visto bueno al alcance se pasa al siguiente punto.
3. La entidad considera que todos los datos de titulares de tarjetas encontrados están dentro del alcance de la evaluación de las PCI DSS y forman parte del CDE, a menos que dichos datos se eliminen o migren/consoliden en el CDE actualmente definido.
4. La entidad retiene la documentación que demuestre los resultados y cómo se confirmó el alcance de las PCI DSS para la revisión por parte de los asesores y/o como referencia durante la actividad anual de la siguiente confirmación de alcance de las PCI DSS.

Segmentación de red

La segmentación de red, o separación del entorno de los datos del titular de la tarjeta del resto de la red de una entidad, no constituye un requisito de las PCI DSS.

Sin embargo, se recomienda ampliamente como un método que puede disminuir:

1. El alcance de la evaluación de las PCI DSS.
2. El costo de la evaluación de las PCI DSS.
3. El costo y la dificultad de la implementación y del mantenimiento de los controles de las PCI DSS.
4. El riesgo de las organizaciones (que, gracias a la consolidación de los datos del titular de la tarjeta en menos y más controladas ubicaciones, se ve reducido).

Sin la adecuada segmentación de red (a veces denominada “red simple”), toda la red se encuentra dentro del alcance de la evaluación de las PCI DSS. La segmentación de red se puede alcanzar mediante diversos medios físicos o lógicos, tales como firewalls internos de red, routers con sólidas listas de control de acceso u otras tecnologías con la apropiada configuración que restrinjan el acceso a un segmento particular de la red.

Un prerrequisito importante para reducir el alcance del entorno de los datos del titular de la tarjeta es la comprensión de las necesidades del negocio y de los procesos relacionados con el almacenamiento, el procesamiento o la transmisión de los datos del titular de la tarjeta.

La documentación de los flujos de datos del titular de la tarjeta mediante un diagrama de flujo de datos ayuda a comprender completamente todos los flujos de datos del titular de la tarjeta y a asegurar que toda segmentación de red logre aislar el entorno de los datos del titular de la tarjeta.

Una segmentación de red adecuada aísla los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta de los sistemas que no realizan estas operaciones. Se debe de tener en cuenta que no todas las segmentaciones son iguales ni se realizan de la misma manera, ya que depende de factores como la configuración de una red determinada, las tecnologías utilizadas y otros controles que puedan implementarse.

Medios inalámbricos

Si se utiliza tecnología inalámbrica para almacenar, procesar o transmitir datos del titular de la tarjeta o si hay una red de acceso local inalámbrica (WLAN) conectada al entorno de datos de los titulares de la tarjeta o a una parte del mismo (por ejemplo, que no esté claramente separada por el firewall), se aplican y se deben implementar los requisitos y procedimientos de prueba para entornos inalámbricos de las PCI DSS (por ejemplo, requisitos 1.2.3, 2.1.1 y 4.1.1).

Se recomienda encarecidamente que antes de implementar la tecnología inalámbrica, la entidad debe evaluar cuidadosamente la necesidad de contar con esta tecnología tomando en cuenta el riesgo. Tenga en cuenta la implementación de la tecnología inalámbrica solamente para las transmisiones de datos no confidenciales.

Niveles de comercios

Los comercios están clasificados de acuerdo al número de transacciones con tarjeta que procesan en un período de 12 meses. Las siguientes tablas describen los niveles y requerimientos de cumplimiento para ambos comercios y proveedores de servicios.

Terceros

En el caso de proveedores de servicios que deben realizar una evaluación anual en el sitio, la validación de cumplimiento se deberá realizar siempre en todos los componentes del sistema del entorno de datos del titular de la tarjeta.

Los comerciantes o proveedores de servicio pueden utilizar un proveedor de servicios externo para almacenar, procesar o transmitir datos del titular de la tarjeta en su nombre, o para administrar componentes como routers, firewalls, bases de datos, seguridad física y/o servidores. En ese caso, la seguridad del entorno de los datos del titular de la tarjeta podría estar afectada.

En el caso de que las entidades deleguen el almacenamiento a un tercero, o el procesamiento o la transmisión de datos del titular de la tarjeta a terceros proveedores de servicios, el Informe de cumplimiento (ROC) debe documentar el rol que desempeña cada proveedor de servicios e identificar claramente los requisitos que se aplican a la entidad evaluada y los que se aplican al proveedor de servicios.

Los terceros proveedores de servicios tienen dos opciones para validar el cumplimiento:

1. Pueden realizar una evaluación de las PCI DSS por cuenta propia y proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento.
2. Si no realizan la evaluación de las PCI DSS por cuenta propia, deberán solicitar la revisión de sus servicios durante el curso de cada una de las evaluaciones de las PCI DSS de sus clientes.

Asimismo, los comerciantes y los proveedores de servicios deben administrar y supervisar el cumplimiento de las PCI DSS de todos los terceros proveedores de servicios con acceso a los datos del titular de la tarjeta.

Muestreo de instalaciones de negocios/componentes de sistemas

El muestreo no es un requisito de las PCI DSS. Sin embargo, después de considerar el alcance global y la complejidad del entorno que se está evaluando, el asesor puede seleccionar de manera independiente muestras de instalaciones de negocios/componentes del sistema a fin de evaluar los requisitos de las PCI DSS.

Las muestras se deben definir primero para instalaciones de negocios y luego para los componentes del sistema dentro de cada instalación del negocio seleccionada. Además, deben constituir una selección representativa de todos los tipos y las ubicaciones de las instalaciones del negocio, así como de los tipos de componentes del sistema dentro de las instalaciones del negocio seleccionadas.

Las muestras deben ser suficientemente grandes para proporcionar al asesor la seguridad de que los controles se implementaron de la manera esperada. El muestreo de las instalaciones del negocio/componentes del sistema para una evaluación no reduce el alcance del entorno de los datos de los titulares de tarjetas o la aplicabilidad de los requisitos de las PCI DSS.

Independientemente de si se utiliza o no el muestreo, los requisitos de las PCI DSS se aplican al entorno de datos de los titulares de tarjetas en su totalidad. Si se utiliza muestreo, cada muestra se debe evaluar en función de todos los requisitos de las PCI DSS aplicables, teniendo en cuenta que el muestreo de los requisitos de las PCI DSS en sí no está permitido.

Al seleccionar muestras de las instalaciones del negocio/componentes del sistema, los asesores deberán tener en cuenta lo siguiente:

1. Si están implementados procesos y controles estándares y centralizados de seguridad y operativos para las PCI DSS que garanticen uniformidad y que debe seguir cada instalación del negocio/componente del sistema, la muestra puede ser más pequeña que si no hubiera procesos/controles estándares implementados. La muestra debe ser suficientemente grande para proporcionar al asesor la garantía razonable de que todas las instalaciones del negocio/componentes del sistema se configuraron según los procesos estándares.
2. Si no está implementado más de un tipo de proceso operativo y/o de seguridad estándar (por ejemplo, para diferentes tipos de instalaciones del negocio/componentes del sistema), la muestra debe ser suficientemente grande para incluir las instalaciones del negocio/componentes del sistema asegurados con cada tipo de proceso.
3. Si no están implementados procesos/controles de PCI DSS estándares y cada instalación del negocio/componente del sistema se administra a través de procesos no estándares, la muestra debe ser más grande para que el asesor pueda estar seguro de que cada instalación del negocio/componente del sistema implementó los requisitos de las PCI DSS de manera apropiada.

Para cada instancia donde se hayan utilizado muestras, el asesor debe:

1. Documente la justificación de la técnica de muestreo y el tamaño de la muestra.
2. Documente y valide los procesos y controles de las PCI DSS estandarizados que se utilizan para determinar el tamaño de la muestra.
3. Explique la manera como la muestra es apropiada y representativa de toda la población.

Los asesores deben revalidar la justificación del muestreo para cada evaluación. Si se utiliza muestreo, se deben seleccionar diferentes muestras de instalaciones del negocio y componentes del sistema para cada evaluación.