Criterios de PCI DSS para la obtención de evidencia en auditorías



Cuando se realiza una auditoría PCI DSS a un Comercio (“Merchant“) o Proveedor de Servicio (“Service Provider“) clasificados como nivel 1 (“Level 1″) por la cantidad de transacciones anuales realizadas y dichos resultados deben ser reportados a Visa, de forma obligatoria el auditor QSA debe rellenar un documento específico con los detalles pormenorizados de los hallazgos de la auditoría y la evidencia asociada. Dicho documento se denomina “Report on Compliance” (RoC) y de forma discrecional otras marcas (como Discover) lo pueden requerir para evaluar el cumplimiento del estándar. Este RoC suele acompañar el formulario de Declaración de cumplimiento para evaluaciones in situ (“Attestation of Compliance”) (AoC) y los resultados de los escaneos ASV como requerimientos de validación.

El RoC – a diferencia del SAQ y del AoC - va más allá del SI/NO en la columna “Estado de cumplimiento”, ya que se requiere un detalle granular justificando el porqué de dicho cumplimiento y respaldándolo con diferentes tipos de evidencia, como se describirá en este artículo. Es importante que tanto el auditor QSA como la empresa auditada conozcan el tipo de evidencia que se requerirá en este proceso:
•El auditor, para preparar su plan de auditoría y coordinar tiempo y esfuerzo en la obtención de evidencia dependiendo de la complejidad del entorno auditado.
•La empresa auditada, para poder preparar permisos, autorizaciones, personal acompañante, disponibilidad y encargados de proveer dicha evidencia al auditor.

De esta manera, el proceso de auditoría no tendrá contratiempos y la información a ser revisada podrá estar disponible cuando se requiera.

Tipos de evidencia requeridos en el RoC


Dentro del RoC se encuentran 4 tipos de evidencia. Cada control – dependiendo de su tipo (físico, lógico o administrativo) – tiene asociado uno o más de estos tipos de evidencia, que le permitirá al auditor respaldar sus conclusiones.



Observe system settings and/or configurations

En esta categoría, el auditor deberá enumerar cualquier evidencia obtenida de las siguientes fuentes:
•Archivos de configuración
•Registro de Windows (en el caso de este tipo de plataformas operativas)
•Valores de variables relacionadas con parámetros de seguridad

Entre otros.

Por lo general, esta tarea permite evaluar el cumplimiento e implementación a nivel técnico de las configuraciones de seguridad descritas y documentadas en el requerimiento 2.2 de PCI DSS y desarrolladas para sistemas operativos, bases de datos, equipos activos de red y aplicaciones. El acompañamiento de personal con privilegios administrativos es indispensable y es crítico que el auditor planifique estas pruebas de forma no intrusiva, evitando cualquier modificación al sistema analizado.

Dentro de los tipos de evidencia obtenidos para esta categoría se encuentran:
•Screenshots (capturas de pantalla)
•Copias de archivos de configuración
•Resultados/reportes de herramientas automatizadas de análisis, las cuales suelen facilitar y optimizar la obtención de evidencia
Etc.

Document reviews

Como su nombre lo indica, esta categoría abarca las siguientes fuentes:
•Cuerpo normativo de PCI DSS (políticas, normativas, estándares, manuales, guías, documentos de mejores prácticas, etc.)
•Diagramas de red, de topología y de flujo de datos de tarjetas
• Cardholder Data Matrix
•Formularios, tickets de soporte o de incidencias, minutas, actas de reunión, etc.
•Documentación provista por los fabricantes o proveedores relacionada con PCI DSS
•Registros de auditoría

Este tipo de evidencia permitirá demostrar que todos los procedimientos relacionados con PCI DSS se encuentran correctamente documentados, revisados, aprobados y publicados y que la ejecución operativa de los mismos cuenta con un soporte.

Dentro de los tipos de evidencia obtenidos para esta categoría se encuentran:
•Copias electrónicas de los documentos relacionados
•Escaneos de documentos (en caso que se cuente con evidencia física y se requiera convertir a electrónica)
•Screenshots (capturas de pantalla)
•Fotografías


Interviews with personnel

Muchas veces, las explicaciones verbales pueden contener gran cantidad de información que soporte una conclusión de auditoría. Para ello, el auditor debe realizar una serie de entrevistas con el personal encargado de implementar y monitorizar los controles del estándar.

La evidencia puede ser de alguno de los siguientes tipos:
•Actas de reunión, donde se enumeren los asistentes, sus cargos y responsabilidades
•Archivos de video y/o sonido donde se haya grabado la entrevista
•Transcripciones de grabaciones de audio y/o video
•Notas tomadas en las entrevistas

Observe process, action, state

Finalmente, en esta categoría se encuentra cualquier evidencia obtenida de las siguientes fuentes:
•Observación del comportamiento del personal frente a una acción premeditada del auditor con el fin de probar la respuesta de un control.
•Observación del comportamiento del personal en las acciones del día a día, que deberá ser obtenida por el auditor de una forma lo más sutil posible para que su presencia no ponga en alerta al personal.
•Capturas de tráfico y monitorización de red
•Observación del estado de los controles (bloqueo de pantallas, cámaras de seguridad, uso de carnés, etc.)

Como se puede observar, esta categoría no es tan objetiva como las anteriores, debido a que requiere del criterio y experiencia del auditor para la obtención de una evidencia que resulte útil para demostrar el cumplimiento de un control determinado.

Dentro del tipo de evidencia a obtener se encuentran:
•Fotografías
•Grabaciones de video y/o audio
•Notas tomadas por el auditor
•Documentos en general (impresiones, faxes, cartas, etc.)

Por otro lado, en algunos controles específicos se requiere de la escogencia de una muestra (“sampling“), en donde el auditor elige una serie de elementos representativos de las tecnologías cubiertas por el control y las enumera dentro del RoC. Este muestreo debe seguir los lineamientos definidos en la página 12 del estándar de PCI DSS (Apartado “Sampling of Business Facilities/System Components”).

Protección y retención de evidencia de auditoría


Toda la información obtenida por el auditor en virtud de la auditoría debe ser catalogada y protegida por la empresa QSA. Los roles y responsabilidades derivados de la protección de esta información deben quedar descritos claramente en el contrato y en el acuerdo de confidencialidad firmado entre ambas partes. Así mismo, la empresa QSA deberá contar con una política interna de protección y retención de evidencia de auditoría.

Todos los resultados de la auditoría y la evidencia deben ser almacenados como mínimo por tres años y estar disponible en el caso que se requiera realizar una investigación posterior (por ejemplo: un análisis forense de una intrusión o un incidente relacionado con tarjetas de pago).

Fuente: PCI Hispano

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

MPLS vs. Ethernet: ¿Qué opción de conectividad WAN es mejor?

Nota editorial: La comparativa entre MPLS vs. Tecnología Ethernet ayuda a los ingenieros IT a evaluar las ventajas e inconvenientes de MPLS y Ethernet en cuanto a conectividad WAN. Las dos opciones más populares de conexión en área ancha (WAN) son MPLS y Carrier Ethernet. Los servicios MPLS se refieren a la Capa 3 de los servicios MPLS de VPN, mientras que los servicios de Carrier Ethernet incluyen los servicios de LAN virtual privada (VPLS) Gigabit y metro Ethernet. Dependiendo de dónde (o con qué) quiera conectarse su empresa, ya sea una sucursal alejada de su sede o un sitio de copia de seguridad, algunos servicios WAN ofrecen opciones más beneficiosas que otras. En este artículo consideramos las ventajas de usar conectividad Ethernet sobre WAN. Para ayudar a las empresas a analizar las diferencias entre estas opciones, la siguiente tabla comparativa de MPLS y Ethernet ofrece un resumen de las ventajas e inconvenientes de cada conectividad WAN: MPLS y Ethernet para WAN Cost
Leer más