Uno de los principales objetivos de la norma PCI DSS v4.0 es aumentar la flexibilidad de las organizaciones que utilizan diferentes métodos para alcanzar los objetivos de seguridad.

Una de las formas en que la norma lo hace es con la introducción del Enfoque Personalizado. Hablamos con Lauren Holloway, Directora de Normas de Seguridad de Datos, para responder a algunas preguntas comunes sobre el Enfoque Personalizado.

¿Cuál es la diferencia entre los controles de compensación y el enfoque personalizado?

Lauren Holloway: PCI DSS v4.0 ofrece dos formas para que una entidad implemente y valide los requisitos de PCI DSS: el enfoque definido y el enfoque personalizado.

El enfoque definido es el método tradicional para implementar y validar los controles de PCI DSS; es lo que las entidades están haciendo ahora para cumplir los requisitos de PCI DSS v3.2.1.

Los controles compensatorios siguen siendo una opción dentro del enfoque definido para las entidades que tienen una restricción técnica o empresarial legítima y documentada que les impide cumplir con el requisito del enfoque definido tal y como está establecido. Los controles compensatorios suelen utilizarse en situaciones en las que existe un sistema o proceso heredado que no puede actualizarse para cumplir el requisito.

En la norma PCI DSS v4.0, se aclaró en el Apéndice B que los controles compensatorios no pueden utilizarse para abordar de forma retroactiva un requisito que no se cumplió en el pasado. Nunca se pretendió que los controles compensatorios pudieran utilizarse, por ejemplo, cuando una tarea que debería haberse realizado, no se llevó a cabo, y no se tomó ninguna medida en ese momento para abordarla.

Es importante señalar que los controles compensatorios tienen una finalidad diferente a la del enfoque personalizado. A diferencia de los controles compensatorios, que se utilizan cuando las organizaciones tienen una restricción y no pueden cumplir el requisito tal y como está establecido, el enfoque personalizado es para las entidades que deciden cumplir el requisito de forma diferente a la establecida. En este caso, la entidad debe cumplir el objetivo del enfoque personalizado en lugar del requisito establecido. El enfoque personalizado tiene más éxito cuando la entidad tiene procesos de seguridad sólidos y prácticas de gestión de riesgos fuertes y es capaz de diseñar, documentar, probar y mantener eficazmente los controles de seguridad para cumplir con ese objetivo.

El requisito 12.3.2 de PCI DSS v4.0 y los apéndices D y E describen todos los elementos del enfoque personalizado, incluidos los elementos del análisis de riesgos específico requerido, las responsabilidades tanto de la entidad como del evaluador, y las plantillas de muestra con la información que debe incluir la entidad para documentar el enfoque personalizado.

En la norma PCI DSS v4.0, consulte la Figura 5 Comprensión de las partes de los requisitos para identificar las ubicaciones del requisito de enfoque definido y del objetivo de enfoque personalizado para cada requisito.

¿Se pueden utilizar controles compensatorios para cumplir el objetivo de enfoque personalizado?

Lauren Holloway: No. Los controles compensatorios no son una opción con el enfoque personalizado. El enfoque personalizado es para las organizaciones que deciden desarrollar sus propios controles que cumplen con el Objetivo del Enfoque Personalizado del requisito. No tendría sentido que una organización desarrollara también un control compensatorio alternativo porque la implementación personalizada que la organización desarrolló no puede cumplir con el Objetivo del Enfoque Personalizado.

¿Pueden utilizarse los controles compensatorios y el enfoque personalizado para el mismo requisito?

Lauren Holloway: Sí. Una entidad puede utilizar controles compensatorios para ciertos componentes del sistema y el enfoque personalizado para cumplir ese mismo requisito para otros componentes del sistema. Tomando el requisito 5.3.1 como ejemplo, una entidad podría utilizar un control compensatorio para cumplir ese requisito para un determinado tipo de servidor cuando exista una restricción empresarial legítima y documentada que impida que ese servidor cumpla el requisito establecido. La entidad también podría optar por utilizar el enfoque personalizado para cumplir ese mismo requisito para otros componentes del sistema, cuando haya implementado un enfoque único para detectar y abordar las últimas amenazas de malware. La entidad también podría utilizar el enfoque definido como se ha indicado, para cumplir ese mismo requisito para otro grupo de componentes del sistema.