Quiero aplaudir al PCI Security Standards Council (PCI SSC) por la pregunta frecuente 1572 publicada en marzo de 2024 por contestar de guisa simple y efectiva una pregunta formulada por innumerables evaluadores durante varios primaveras.
La pregunta es: ¿Se puede utilizar un control compensatorio para requerimientos con una frecuencia periódica o definida, donde una entidad no realizó la actividad adentro del plazo requerido?
Todos los QSA con los que he hablado confirman que han ayudado a empresas que tuvieron un gazapo temporal en los controles de seguridad requeridos. Todos hemos gastado fallos en el cumplimiento de los SLA de corrección de vulnerabilidades, en la producción de estudio ASV trimestrales y mucho más. ¿A qué otros controles de seguridad podría aplicarse esto? Sinceramente, a cualquiera de los controles que se deben realizar periódicamente a lo dadivoso del año, y esas tareas se detallarán próximamente en un próximo blog.
El tablado difícil es cuando llega el momento de la evaluación anual de PCI y todos los controles de seguridad vuelven a estar implementados. Un control compensatorio no parece apropiado, porque ya no faltan controles para compensar.
Por otro costado, estos controles no se consideran conformes si no lo son durante todo el período de auditoría, por lo que un estado de “In situ” no es del todo correcto.
Las preguntas frecuentes hablan por sí solas:
“En estos escenarios, un evaluador puede determinar que un requisito está “Cumplido” si la entidad ha implementado acciones correctivas y ha realizado con éxito el control de acuerdo con el requisito, y el evaluador tiene seguridad de que:
- La entidad cuenta con un proceso repetible y documentado para realizar el control,
- La entidad demuestra que la actividad se perdió adecuado a una circunstancia magnífico (las malas prácticas de seguridad y las fallas recurrentes no son “circunstancias excepcionales”),
- La entidad demuestra que ha abordado la cuestión que dio zona a la excepción, y
- La entidad ha incluido pasos en su proceso para evitar que se repita.
- Si la entidad no puede demostrar lo preparatorio, o el evaluador no tiene seguridad de que la entidad tiene procesos implementados para continuar cumpliendo el requisito, el evaluador puede considerar si un hallazgo de “No implementado” sería el resultado apropiado”.
Poco que no se tráfico en las preguntas frecuentes es el tema subjetivo de identificar las fallas como una circunstancia magnífico que ahora cumple con las normas, frente a una defecto atroz que resulta en un control y un mensaje generales que no cumplen con las normas. Debería ser obvio que una reanudación del control en el posterior momento no puede compensar un año de operaciones de seguridad que no cumplen con las normas.
Se permite una excepción al cumplimiento durante todo el año para la primera evaluación de una entidad cuando se pueden implementar controles sin establecer un año preparatorio de cumplimiento completo. Para los escaneos ASV, la exención del primer año se establece explícitamente, pero este primer año de favor se aplica a todos los controles.
Los PCI QSA siguen teniendo discreción sobre cuándo no se cumple un gazapo en el control de seguridad. Las fallas en el control de seguridad no se limitan a controles periódicos, sino que todos los controles deben mantenerse durante todo el año. Tomemos como ejemplo la documentación formal, como políticas, estándares, diagramas de red, diagramas de flujo de tarjetas y revisiones del repercusión de PCI. Aunque estos nociones sólo deben revisarse anualmente, se calma que se mantengan actualizados, especialmente en el caso de cambios significativos para el PCI. Por esta razón, pueden ocurrir fallas en los controles de seguridad para todo el DSS, y las preguntas frecuentes son potencialmente avíos en todo el DSS.
¿Por qué se necesitaban estas preguntas frecuentes? En varias ocasiones, el PCI SSC ha concreto en reuniones comunitarias que se deben implementar controles de cumplimiento periódicos durante todo el año. Hasta ahora, se han eludido las preguntas sobre cómo manejar esos lapsos temporales. Animo al PCI SSC a contestar de guisa similar a otros escenarios difíciles de cumplimiento de una guisa tan simple y directa.
Mi característica favorita de estas preguntas frecuentes es que es mucho más corta que esta entrada de blog. Con ese espíritu, seré breve: ¡Gracias por adivinar!