La Auditoría de Cumplimiento on-site es imprescindible para Comercios de Nivel 1 (más de 6.000.000 de transacciones) y Proveedores de Servicio de Nivel 1 (más de 300.000 transacciones) y debe ser desarrollada por una empresa homologada como QSA (Qualified Security Assessor) por el PCI SSC, certificación que Internet Security Auditors posee.
Es recomendable para todas aquellas empresas que aunque no estén obligadas a pasar auditorías pero quieran que un auditor independiente QSA, verifique que han alcanzado el cumplimiento o que siguen cumpliendo los requerimientos de seguridad que PCI DSS les exige.
Al iniciar el proyecto se llevará a cabo una reunión con el equipo que el cliente haya seleccionado, con la finalidad de:
- Presentar al equipo auditor.
- Explicar el alcance de la Auditoría.
- Conocer al responsable/s del proyecto.
- Remarcar el carácter confidencial de la Auditoría.
- Resolver dudas respecto al proceso de Auditoría.
Durante esta fase se revisará los procesos que el cliente lleva a cabo en su actividad diaria, en relación a la transmisión, procesamiento o almacenamiento de datos de tarjetas de crédito, con el objetivo de comprobar la exactitud, correción y ausencia de cambios del entorno de cumplimiento desde la implantación inicial de PCI DSS o desde la última auditoría realizada.
Esta revisión implicará:
- Revisión de los flujos de datos con tarjetas de crédito
- Revisión de los activos de información (HW, SW, Redes, Aplicaciones, BD de Datos, etc..) que intervienen en los procesos de transmisión, procesamiento y almacenamiento de datos de tarjetas de créditos, la relación entre ellos y las medidas de seguridad implementadas en la actualidad.
- Revisión de las relaciones con terceras partes (proveedores de servicios) y como influyen en el cumplimiento de PCI DSS.
Todas estas tareas implicarán la realización de reuniones con responsables de área o departamento, y el personal técnico nombrado por el cliente.
Con la recopilación de información realizada en la fase anterior y la documentación existente (políticas y procedimientos, documentación sobre sistemas, aplicaciones, auditorías anteriores, etc.), en esta fase se realizan las siguientes tareas:
- Acabar de analizar el entorno de cumplimiento con el fin de asegurar que el ámbito es aquel que se ha determinado inicialmente para la validación posterior del cumplimiento PCI DSS.
- Realizar la revisión documental asociada con la implantación de la norma.
Además, un proveedor de servicio o comercio puede utilizar a un tercero, por lo tanto, los servicios externalizados serán analizados revisando la documentación de las condiciones de prestación del servicio o contractual.
Se llevarán a cabo las tareas necesarias para establecer la muestra de auditoría, elaborar el plan de trabajo con el calendario de reuniones y la ejecución de pruebas de cumplimiento necesarias para la obtención de evidencias. Además se determinan puntos como personal específico que pudiera ser necesario para ciertas tareas de la auditoría.
En esta etapa se ejecuta el Plan de Auditoría, llevando a cabo la evaluación de los controles implementados por el cliente para cumplir los requerimientos PCI DSS, incluyendo la evaluación de controles compensatorios.
La Auditoría se basará en:
- Análisis de documentación
- Pruebas de cumplimiento basadas en muestreo
- Entrevistas con el personal de Empresa Cliente
El resultado final de la Auditoría es el denominado Informe de Cumplimiento. La entidad auditada deberá seguir los requisitos de reporte de cada compañía de tarjetas de pago para asegurar que cada compañía reconozca el estado de cumplimiento de la entidad. Según las directrices del PCI SSC para la versión 3.2 de los informes de cumplimiento su contenido será el siguiente:
1. Información de Contacto y fecha del informe:
1.1. información del contacto
1.2. Fecha y plazo de la Auditoría
1.3. Versión PCI DSS
1.4. Servicios adicionales proporcionados por el QSA
2. Resumen:
2.1. Descripción del negocio de tarjetas de pago de la entidad
2.2. Diagrama(s) de red de alto nivel
3. Descripción del Alcance de Trabajo y Enfoque adoptado
3.1. Validación del QSA de la exactitud del alcance
3.2. Entorno en la que se centra la Auditoría
3.3. Segmentación de red
3.4. Detalles de la segmentación de red
3.5. Entidades conectadas para el procesamiento
3.6. Otras entidades empresariales que requiren el cumplimiento de PCI DSS
3.7. Resumen de redes inalámbricas
3.8. Detalles de redes inalámbricas
4. Detalles sobre el Entorno Auditado
4.1. Diagrama(s) de red detallados
4.2. Descripción de los datos de los flujos de datos de tarjetas
4.3. Almacenamiento de datos de tarjetas
4.4. Hardware crítico en el entorno de datos de tarjetas
4.5. Software crítico en el entorno de datos de tarjetas
4.6. Muestreo
4.7. Conjuntos de muestras para el informe
4.8. Proveedores de servicios y terceros con los que se comparten datos de tarjetas
4.9. Aplicaciones/Soluciones de pago de terceros
4.10. Documentación revisada
4.11. Personal entrevistado
4.12. Proveedores de servicios gestionados
4.13. Sumario de justificaciones de Controles Compensatorios
4.14. Sumario de justificaciones de Controles no testeados
5. Resultados de Escaneos Trimestrales
5.1. Resultados de Escaneos Trimestrales - validación inicial de cumplimiento PCI DSS
5.2. Resultados de Escaneos Trimestrales - resto de validaciones de cumplimiento PCI DSS
5.3. Certificados de conformidad de los escaneos
6. Resultados y Observaciones
Al final del proyecto se llevará a cabo una presentación del Informe de Cumplimiento de los resultados de la Auditoría, repasando las deficiencias identificadas, puntos fuertes, aspectos y propuestas de mejora y que quedará reflejado en la documentación final.