Qué se debe tener en cuenta en la gestión con terceros (Proveedores de Servicio)
Para comenzar, debemos definir que es un tercero (Proveedor de servicio) para el PCI SSC. Se considera tercero (Proveedor de servicio), toda entidad comercial que no es una marca de pago, involucrada directamente en el procesamiento, almacenamiento o transmisión de datos de titulares de tarjetas en nombre de otra entidad. Esto también incluye empresas que brindan servicios que controlan o podrían afectar la seguridad de los datos del titular de la tarjeta1.
Desde el punto de vista de responsabilidad sobre la información es importante tener presente que en caso de una fuga de información de un proveedor de servicio con el cual se comparten datos de tarjeta, las consecuencias de pérdidas financieras, daños a la reputación, las asume la entidad que contrata el servicio. Entendiendo el significado del término tercero o proveedor de servicio y la responsabilidad de los datos, entremos en materia.
Para poder minimizar el riesgo con los terceros y poder llegar a la meta de conseguir el cumplimiento de la norma PCI-DSS, y por supuesto mantenerla; se debe tener en consideración una serie de pasos que van a ayudar a que la validación de cumplimiento se desarrolle de manera más fluida y que la relación con los terceros realmente sea colaborativa.
Lo primero que se debe hacer con los terceros, es definir qué clase de servicio vamos a requerir, el posible impacto que pueda tener en la seguridad de los datos del tarjetahabiente del entorno de CDE. Esto va a permitir realizar una adecuada selección de las empresas que pueden prestar el servicio que necesitamos.
Como segundo paso se debe definir si el proveedor de servicio que se va contratar va a almacenar, procesar o transmitir datos de tarjeta habiente o impacta la seguridad del ambiente de datos de tarjeta (CDE), si es así, se debe preguntar si el tercero que se va a seleccionar está en cumplimiento de la norma PCI-DSS o no.
Luego de tener definido los pasos anteriores, se debe solicitar al tercero la documentación o evidencia de validación del cumplimiento de PCI-DSS. Si está en cumplimiento basta con solicitar el documento AOC2, se debe validar si el alcance presentado en el AOC incluye el servicio que el proveedor va a prestar a la empresa. Si el proveedor no está en cumplimiento se deben solicitar los documentos con la evidencia que soporte los requerimientos de la norma que aplican.
Al momento de realizar la contratación, se debe dejar por escrito y de manera clara el canal de comunicación con el tercero, la responsabilidad sobre los datos y la documentación que se va a solicitar para validar el cumplimiento de la norma PCI-DSS, y crear una matriz de responsabilidades junto con el tercero, ya que esto va a permitir identificar de manera clara cuales controles le corresponden al tercero, cuales a la empresa y cuáles serán compartidos. Además, se debe dejar dentro del acuerdo de servicios, las actividades en caso de que el tercero proveedor de servicio incumpla con los controles que le corresponden para PCI-DSS.
Esto va a permitir que, al momento de ir a una evaluación para obtener el cumplimiento, podemos tener un aliado que va a ayudar a que no se tengan inconvenientes con los proveedores de servicio al momento de la evaluación.
Algunos ejemplos de terceros o proveedores de servicio son:
- Outsourcing de CTI
- Proveedor SAAS
- Outsourcing de procesamiento
- Compañías de Gestión Documental
- Hosting
- Desarrollo
- Administración de infraestructura y nube
- Administración de medios (Si tienen acceso a los datos o gestionan los mecanismos de acceso a los datos)
Para concluir; la gestión apropiada de los proveedores de servicio, permite minimizar los riesgos sobre la información compartida y/o del impacto a la seguridad de los datos de tarjeta. , Adicionalmente enfatizar que la entidad transfiere un proceso a un tercero pero no la responsabilidad sobre los datos de tarjeta, por ultimo si se define desde un comienzo las responsabilidades sobre los requerimientos de la norma y se formalizan con un contrato, la empresa que quiere obtener la validación de cumplimiento PCI-DSS puede realizar un proceso de manera más fluida sin tropiezos en la validación de los requerimientos de la norma.
- PCI_DSS_V3_Glossary_ES-LA
- Attestation of Compliance
Autor: Diego Fdo. Sánchez T.
Consultor Junior II, IQ-Information Quality.