{"id":4179,"date":"2022-03-28T15:37:25","date_gmt":"2022-03-28T15:37:25","guid":{"rendered":"https:\/\/iqcol.com\/?p=4179"},"modified":"2024-02-26T14:46:54","modified_gmt":"2024-02-26T19:46:54","slug":"la-importancia-de-los-terceros-en-el-cumplimiento-pci-dss","status":"publish","type":"post","link":"https:\/\/iqcol.com\/en\/la-importancia-de-los-terceros-en-el-cumplimiento-pci-dss\/","title":{"rendered":"La importancia de los terceros en el cumplimiento PCI-DSS"},"content":{"rendered":"<p><strong>Qu\u00e9 se debe tener en cuenta en la gesti\u00f3n con terceros (Proveedores de Servicio)<\/strong><\/p>\n<p>Para comenzar, debemos definir que es un <strong><u>tercero (Proveedor de servicio)<\/u><\/strong> para el <strong>PCI SSC<\/strong>. Se considera tercero (Proveedor de servicio), toda entidad comercial que no es una marca de pago, involucrada directamente en el procesamiento, almacenamiento o transmisi\u00f3n de datos de titulares de tarjetas en nombre de otra entidad. Esto tambi\u00e9n incluye empresas que brindan servicios que controlan o podr\u00edan afectar la seguridad de los datos del titular de la tarjeta<sup>1<\/sup>.<\/p>\n<p>Desde el punto de vista de responsabilidad sobre la informaci\u00f3n es importante tener presente que en caso de una fuga de informaci\u00f3n de un proveedor de servicio con el cual se comparten datos de tarjeta, las consecuencias de p\u00e9rdidas financieras, da\u00f1os a la reputaci\u00f3n, las asume la entidad que contrata el servicio.\u00a0 Entendiendo el significado del t\u00e9rmino tercero o proveedor de servicio y la responsabilidad de los datos, entremos en materia.<\/p>\n<p>Para poder minimizar el riesgo con los terceros y poder llegar a la meta de conseguir el cumplimiento de la norma <strong><u>PCI-DSS<\/u><\/strong>, y por supuesto mantenerla; se debe tener en consideraci\u00f3n una serie de pasos que van a ayudar a que la validaci\u00f3n de cumplimiento se desarrolle de manera m\u00e1s fluida y que la relaci\u00f3n con los terceros realmente sea colaborativa.<\/p>\n<p>Lo primero que se debe hacer con los terceros, es <u>definir qu\u00e9 clase de servicio vamos a requerir<\/u>, el posible impacto que pueda tener en la seguridad de los datos del <strong>tarjetahabiente del entorno de CDE<\/strong>. Esto va a permitir realizar una adecuada selecci\u00f3n de las empresas que pueden prestar el servicio que necesitamos.<\/p>\n<p>Como segundo paso se debe definir si el proveedor de servicio que se va contratar va a <u>almacenar<\/u>, <u>procesar<\/u> o <u>transmitir datos de tarjeta habiente o impacta la seguridad del ambiente de datos de tarjeta (CDE),<\/u> si es as\u00ed, se debe preguntar si el tercero que se va a seleccionar est\u00e1 en cumplimiento de la norma PCI-DSS o no.<\/p>\n<p>Luego de tener definido los pasos anteriores, se debe solicitar al tercero la documentaci\u00f3n o evidencia de validaci\u00f3n del cumplimiento de PCI-DSS. Si est\u00e1 en cumplimiento basta con solicitar el documento <strong><u>AOC<\/u><\/strong><sup>2<\/sup>, se debe validar si el alcance presentado en el AOC incluye el servicio que el proveedor va a prestar a la empresa. Si el proveedor no est\u00e1 en cumplimiento se deben solicitar los documentos con la evidencia que soporte los requerimientos de la norma que aplican.<\/p>\n<p>Al momento de realizar la contrataci\u00f3n, se debe dejar por escrito y de manera clara el canal de comunicaci\u00f3n con el tercero, la responsabilidad sobre los datos y la documentaci\u00f3n que se va a solicitar para validar el cumplimiento de la norma PCI-DSS, y crear una <strong><u>matriz de responsabilidades<\/u><\/strong> junto con el tercero, ya que esto va a permitir identificar de manera clara cuales controles le corresponden al tercero, cuales a la empresa y cu\u00e1les ser\u00e1n compartidos. Adem\u00e1s, se debe dejar dentro del acuerdo de servicios, las actividades en caso de que el tercero proveedor de servicio incumpla con los controles que le corresponden para PCI-DSS.<\/p>\n<p>Esto va a permitir que, al momento de ir a una evaluaci\u00f3n para obtener el cumplimiento, podemos tener un <strong><u>aliado<\/u><\/strong> que va a ayudar a que no se tengan inconvenientes con los proveedores de servicio al momento de la evaluaci\u00f3n.<\/p>\n<p>Algunos ejemplos de terceros o proveedores de servicio son:<\/p>\n<ul>\n<li>Outsourcing de CTI<\/li>\n<li>Proveedor SAAS<\/li>\n<li>Outsourcing de procesamiento<\/li>\n<li>Compa\u00f1\u00edas de Gesti\u00f3n Documental<\/li>\n<li>Hosting<\/li>\n<li>Desarrollo<\/li>\n<li>Administraci\u00f3n de infraestructura y nube<\/li>\n<li>Administraci\u00f3n de medios (Si tienen acceso a los datos o gestionan los mecanismos de acceso a los datos)<\/li>\n<\/ul>\n<p>Para concluir; la gesti\u00f3n apropiada de los proveedores de servicio, permite minimizar los riesgos sobre la informaci\u00f3n compartida y\/o del impacto a la seguridad de los datos de tarjeta. , Adicionalmente enfatizar que la entidad transfiere un proceso a un tercero pero no la responsabilidad sobre los datos de tarjeta, por ultimo si se define desde un comienzo las responsabilidades sobre los requerimientos de la norma y se formalizan con un contrato, la empresa que quiere obtener la validaci\u00f3n de cumplimiento\u00a0 PCI-DSS puede realizar un proceso de manera m\u00e1s fluida sin tropiezos en la validaci\u00f3n de los requerimientos de la norma.<\/p>\n<ol>\n<li>PCI_DSS_V3_Glossary_ES-LA<\/li>\n<li>Attestation of Compliance<\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<p>Autor: Diego Fdo. S\u00e1nchez T.<\/p>\n<p>Consultor Junior II, IQ-Information Quality.<\/p>","protected":false},"excerpt":{"rendered":"<p>Qu\u00e9 se debe tener en cuenta en la gesti\u00f3n con terceros (Proveedores de Servicio) Para comenzar, debemos definir que es un tercero (Proveedor de servicio) para el PCI SSC. Se considera tercero (Proveedor de servicio), toda entidad comercial que no es una marca de pago, involucrada directamente en el procesamiento, almacenamiento o transmisi\u00f3n de datos [&hellip;]<\/p>","protected":false},"author":2,"featured_media":4166,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-4179","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/comments?post=4179"}],"version-history":[{"count":0,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4179\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media\/4166"}],"wp:attachment":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media?parent=4179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/categories?post=4179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/tags?post=4179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}