Un Informe de Cumplimiento PCI (RoC) es una evaluación que prueba los controles de seguridad de una empresa que protegen los datos del titular de la tarjeta.

El informe detalla si su empresa cumple con los 12 requisitos del estándar PCI DSS y cualquier deficiencia descubierta durante la evaluación.

Sin embargo, no se requiere un RoC para todos los comerciantes o proveedores de servicios. A continuación, desglosamos quién necesita uno y cómo funciona el proceso RoC.

¿Quién necesita un RoC PCI DSS?

Los bancos adquirentes o las marcas de tarjetas de pago requieren, como mínimo, que complete un informe de cumplimiento anual y escaneos de red trimestrales.

Dependiendo del nivel PCI en el que se encuentre su negocio, el informe de cumplimiento será un RoC o un cuestionario de autoevaluación (SAQ).

Se requieren RoCs para comerciantes y proveedores de servicios de Nivel 1 y potencialmente para comerciantes de Nivel 2, dependiendo de los requisitos de la marca de tarjetas de crédito.

• Comerciantes de Nivel 1: 6 millones o más de transacciones por año
• Comerciantes de Nivel 2: 1 millón - 6 millones de transacciones por año
• Proveedores de servicios de Nivel 1: 300,000 o más transacciones por año

Los comerciantes y proveedores de servicios que no necesitan un RoC para el cumplimiento PCI completarán un SAQ.

Si no está seguro de si su negocio necesita un RoC o SAQ, puede acudir a su banco adquirente para obtener ayuda.

¿Quién puede realizar un RoC?

Un RoC debe ser completado por un Asesor de Seguridad Calificado (QSA) o un Evaluador de Seguridad Interno (ISA).

Un ISA es un empleado interno que ha recibido capacitación en PCI DSS. Aunque algunas organizaciones utilizan un evaluador interno de su personal para completar el RoC, muchas eligen contratar a un tercero independiente.

El Consejo de Normas de Seguridad PCI proporciona una lista de QSAs para ayudarle a encontrar uno cerca de usted.

¿Qué es el proceso RoC?

Los QSAs o ISAs usan la Plantilla de Informes RoC para crear un resumen de hallazgos que detalla los controles en su lugar y la documentación proporcionada durante la etapa de auditoría.

Después de completar un RoC, el evaluador presentará sus hallazgos al banco adquirente de la empresa. Si el adquirente acepta el RoC, se enviará a las marcas de pago para su verificación.

Las marcas de pago establecen la frecuencia de auditoría, pero en general, un comerciante o proveedor de servicios de Nivel 1 necesitará someterse a una auditoría completa y completar un RoC anualmente.

Secciones RoC

Un RoC se divide en dos partes: una visión general de la evaluación y un resumen de los hallazgos.

• Resumen ejecutivo: Proporciona una visión general de los hallazgos del informe relacionados con la seguridad de los datos del titular de la tarjeta.
• Descripción del alcance y enfoque adoptado: Detalla la segmentación de la red, las aplicaciones de pago, la versión de PCI DSS utilizada para la evaluación y el marco temporal.
• Detalles sobre el entorno revisado: Incluye un diagrama de cada segmento de red, una descripción del entorno de datos del titular de la tarjeta (CDE), proveedores de servicios, personas entrevistadas durante la auditoría y documentación comercial relevante.
• Información de contacto y fecha del informe: Incluye la información de contacto del comerciante y del evaluador y la fecha del informe.
• Resultados de escaneos trimestrales: Un resumen de los resultados de escaneos trimestrales más recientes.
• Hallazgos y observaciones: Un resumen de cualquier hallazgo que no pueda encajar en la plantilla estándar RoC, incluyendo detalles sobre controles compensatorios.

¿Cuáles son los posibles resultados de RoC?

Hay cinco posibles hallazgos de evaluación para los requisitos de PCI DSS:

• En su lugar: Se ha realizado la prueba y se cumplen todos los elementos del requisito.
• En su lugar con remediación: El requisito no se cumplió en algún momento durante la evaluación, pero se remedió antes de completar la evaluación.
• No aplicable: El requisito no se aplica a la organización.
• No probado: El requisito no se incluyó en la evaluación y no se probó de ninguna manera.
• No implementado: Algunos o todos los elementos del requisito no se han cumplido, están en proceso de implementación o requieren más pruebas.

Una organización no se considera conforme si hay elementos abiertos o elementos que deben abordarse en una fecha futura. La validación es todo o nada, por lo que todos los requisitos deben cumplirse para ser considerados conformes con PCI.

Informe de Cumplimiento PCI (RoC) frente a Certificado de Cumplimiento (AoC): ¿En qué se diferencian?

Un RoC es una evaluación que determina el cumplimiento PCI. Un certificado de cumplimiento (AoC) confirma que el RoC es preciso.

Un RoC debe completarse antes de un AoC, que se considera el último paso en el proceso de cumplimiento. Ambos son necesarios para demostrar el cumplimiento con el estándar PCI.

Por qué debería considerar completar un RoC

Incluso si no se requiere un RoC para su negocio, podría considerar completarlo de todos modos.

Un RoC completado ofrece a las empresas una variedad de beneficios que incluyen:

• Aseguramiento: Al tener una tercera parte independiente evaluando la seguridad de los datos del titular de la tarjeta, tendrá la tranquilidad de saber que está cumpliendo con los estándares de seguridad y protegiendo adecuadamente los datos de los clientes.
• Ventaja competitiva: Las empresas que eligen completar un RoC demuestran a los clientes potenciales y actuales que se toman en serio la seguridad de los datos del titular de la tarjeta.
• Credibilidad: Asegurar que tiene un entorno seguro para los datos del titular de la tarjeta se traduce en mejores prácticas de seguridad en toda la organización. Esto puede resultar en menos brechas de datos y mayor confianza de los clientes.

Cómo Secureframe puede ayudarlo a prepararse para un RoC

¿No está seguro si está listo para demostrar el cumplimiento con un RoC?

El equipo de expertos en PCI DSS de Secureframe puede ayudar a preparar a su equipo y al entorno de datos del titular de la tarjeta para la auditoría, identificando rápidamente las brechas y ayudando con la remediación.

Solicite una demostración hoy para ver cómo Secureframe puede ayudar a agilizar su proceso de auditoría.