Una auditoría PCI ayuda a los comerciantes y proveedores de servicios de Nivel 1 y algunos de Nivel 2 a identificar y comprender mejor qué controles son necesarios para proteger contra posibles amenazas a los datos del titular de la tarjeta y a los sistemas que afectan a estos datos.
¿Desea obtener más información sobre las auditorías PCI y su contenido? A continuación, encontrará detalles sobre quién debe realizar una auditoría y cómo puede prepararse para ella.
¿Qué es una auditoría PCI DSS?
Una auditoría PCI DSS dirigida por un Asesor de Seguridad Calificado (QSA) examina cómo maneja su empresa la información de pago de los clientes de acuerdo con los requisitos del PCI DSS.
La auditoría tiene tres objetivos principales:
- Examinar los controles PCI actuales e identificar las brechas
- Documentar las brechas y proporcionar una lista de medidas correctivas
- Verificar que todos los problemas hayan sido solucionados
Durante una auditoría PCI, el QSA revisa sus controles actuales para determinar si cumple con los 12 requisitos PCI, ya sea directamente o a través de controles compensatorios. Luego, el QSA elabora un Informe de Cumplimiento (RoC) o proporciona una opinión sobre su SAQ para verificar la conformidad de su empresa.
¿Quién necesita una auditoría PCI?
No todas las empresas necesitan someterse a una auditoría PCI. Los comerciantes y proveedores de servicios de Nivel 1 son las únicas organizaciones que deben realizar una auditoría dirigida por un QSA y completar un RoC (a menos que su organización lo requiera específicamente).
Los comerciantes y proveedores de servicios de Nivel 1 manejan el mayor volumen de pagos con tarjeta de los cuatro niveles PCI. Aquí hay un resumen:
- Nivel 1 de comerciantes PCI DSS: Aceptan pagos con tarjeta a cambio de bienes y servicios y procesan más de 6 millones de transacciones por año.
- Nivel 1 de proveedores de servicios PCI DSS: Procesan los datos del titular de la tarjeta en nombre de otra empresa y procesan más de 300,000 transacciones por año.
Los comerciantes y proveedores de servicios de Nivel 2 también pueden estar obligados a realizar una auditoría anual y completar un SAQ confirmado.
Sin embargo, todos los comerciantes y proveedores de servicios que han sufrido una brecha de datos en la que se han comprometido datos del titular de la tarjeta (CHD) pueden estar obligados a someterse a una auditoría anual.
¿Qué hace el QSA?
Su QSA revisará todos sus controles, políticas y procedimientos con respecto a los requisitos del PCI DSS.
Los QSA también:
- Revisarán la evidencia proporcionada por su empresa
- Aprobarán el alcance de su PCI (o le solicitarán que realice cambios)
- Evaluarán sus controles compensatorios, es decir, controles alternativos para cumplir con un requisito que la empresa no puede implementar en ese momento.
- Verificarán que se cumplan los estándares del PCI DSS.
- Elaborarán y enviarán un informe completo (PCI AoC y RoC).
6 pasos de una auditoría PCI
Para ayudarle a comprender lo que implica una auditoría PCI, repasaremos seis pasos desde el alcance inicial hasta la monitorización continua del cumplimiento PCI.
1. Defina su alcance
Cuando determine el alcance de su evaluación PCI, debe identificar a todas las personas, procesos y tecnologías que podrían afectar la seguridad de los datos del titular de la tarjeta.
Para comprender qué está dentro del alcance de su empresa, considere todas las ubicaciones y flujos de CHD, así como los sistemas conectados con CHD (como proveedores y prestadores de servicios), que en caso de comprometerse podrían afectar la integridad de esta información.
El alcance de PCI debe revaluarse anualmente para asegurar su precisión. Una documentación detallada sobre cómo se determinó el alcance de PCI ayudará a su auditor a confirmar si la determinación del alcance se realizó correctamente.
2. Encuentre un evaluador de seguridad cualificado (QSA)
Los evaluadores de seguridad cualificados (QSAs) son los únicos evaluadores autorizados para realizar una auditoría PCI. Puede encontrar un QSA aquí o buscando en la lista oficial de QSAs en el sitio web de PCI.
Aunque muchas empresas externalizan auditorías a un QSA, quizá desee que su propio auditor interno reciba la formación y la certificación del PCI Security Standards Council como auditor de seguridad interno (ISA). Los ISAs también pueden completar auditorías PCI anuales.
3. Realice un análisis de brechas
Si está cumpliendo con las regulaciones PCI DSS por primera vez, puede ser útil realizar un análisis de brechas inicial para facilitar un poco el viaje de cumplimiento.
Un análisis de brechas ayuda a los comerciantes y proveedores de servicios a comprender su estado actual de cumplimiento antes de llevar a cabo la auditoría PCI más exhaustiva.
Al igual que con una auditoría oficial, un QSA, ISA o una persona experimentada realiza el análisis de brechas para crear un informe que indique los resultados y le permita a su organización abordar proactivamente las brechas en sus controles de seguridad, lo que podría hacer que el proceso de auditoría sea más rápido y eficiente.
4. Completar una evaluación dirigida por un QSA
Después de un análisis de brechas, el siguiente paso será que su QSA realice una evaluación exhaustiva.
La evaluación incluye:
- Revisión de la documentación proporcionada por la empresa
- Verificación de que existen los controles de seguridad requeridos
- Entrevistar a los miembros relevantes del equipo
- Revisar los controles de seguridad física
5. Resolver problemas de seguridad
Una vez que su QSA haya completado su evaluación, le proporcionará una lista documentada de hallazgos y le dará la oportunidad de resolver cualquier vulnerabilidad o control faltante para obtener un Informe de Cumplimiento (RoC).
Una vez que estas no conformidades se hayan resuelto y su QSA las haya verificado, le enviará un RoC final para su revisión. Después de la aprobación, su RoC muestra a sus stakeholders y clientes que cumple con PCI.
6. Continuar monitorizando los estándares de seguridad PCI
Un RoC aprobado no es el último paso en su viaje de cumplimiento PCI. Las empresas que deben realizar auditorías dirigidas por QSA deben hacerlo anualmente.
Entre las auditorías, usted es responsable de la supervisión continua de los controles de seguridad para asegurarse de que se cumplan todos los estándares PCI. Si su empresa cambia y su alcance PCI se desarrolla, también deberá actualizarlo.
Mantener la conformidad PCI continua puede ser abrumador. Sin embargo, existen herramientas y consejos que pueden facilitar el proceso, como por ejemplo:
- Realización de escaneos ASV
- Uso de recopilación automática de pruebas
- Supervisión continua de sus sistemas y controles internos
- Rellenar y guardar evaluaciones de riesgos de proveedores
Preguntas frecuentes sobre auditoría PCI
¿Todavía tiene algunas preguntas pendientes sobre la auditoría PCI? A continuación, respondemos algunas de las preguntas más frecuentes.
¿Cuánto tiempo dura una auditoría PCI?
La duración de una auditoría PCI depende de varios factores. Para las empresas que realizan el proceso de cumplimiento de PCI por primera vez (incluida la configuración de controles de seguridad), el proceso completo puede tardar unos seis meses.
La parte del trabajo de campo de una auditoría, en la que un QSA entrevista a los miembros del equipo y realiza pruebas relevantes, puede durar entre seis y ocho semanas. Sin embargo, trabajar con una empresa de automatización de cumplimiento como Secureframe puede acortar este proceso.
¿Con qué frecuencia debo realizar una auditoría PCI?
Un comerciante o proveedor de servicios de nivel 1 debe realizar una auditoría anual dirigida por un QSA o ISA.
Si usted es un comerciante o proveedor de servicios de nivel 2, 3 o 4 y ha experimentado una violación de datos en la que se han comprometido los datos de las tarjetas de sus clientes, también deberá realizar una auditoría PCI.
¿Qué pasa si no pasa una auditoría PCI?
A diferencia de un examen de matemáticas, una auditoría PCI no es una prueba que se pueda aprobar o reprobar. Más bien, considere una auditoría PCI como una oportunidad para evaluar la efectividad de sus controles de seguridad actuales y mejorarlos.
Si su QSA encuentra vulnerabilidades en sus prácticas de seguridad para los datos de los titulares de tarjetas, es posible que no pase esa sección específica de la auditoría. Sin embargo, su QSA le dará una 'chuleta' para ayudarle a realizar los cambios necesarios y lograr el cumplimiento PCI.
Aunque sería ideal no encontrar problemas durante la auditoría, identificar estos en esta fase puede ayudarle a evitar problemas mayores de incumplimiento en el futuro. Estos incluyen consecuencias financieras y de reputación costosas.