Cumplimiento de los requisitos de PCI DSS para proveedores de servicios externos

Desarrollada originalmente en 2004 y ahora en su versión 4.0, la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) tiene como objetivo mejorar la seguridad de los datos de los titulares de tarjetas y facilitar la adopción generalizada de medidas de seguridad de datos coherentes en todo el mundo. La norma se aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas. Con 12 requisitos en seis áreas, la norma está diseñada para garantizar que las organizaciones cuenten con los controles y procedimientos adecuados para proteger los datos de los titulares de tarjetas.

En lo que respecta específicamente a la gestión de riesgos de terceros, el requisito 12: Apoyar la seguridad de la información con políticas y programas organizativos, sección 12.8: Se gestiona el riesgo para los activos de información asociados a las relaciones con proveedores de servicios externos (TPSP), indica que los proveedores de servicios externos (TPSP) son responsables de garantizar que los datos estén protegidos según los requisitos aplicables de PCI DSS y que cumplan con ellos. PCI define a los proveedores de servicios externos como aquellas entidades a las que las organizaciones han subcontratado:

• sus operaciones de pago, o;
• la gestión de sistemas (como routers, cortafuegos, bases de datos, seguridad física y/o servidores) que intervienen en la transmisión, el almacenamiento o la protección de los datos de los titulares de tarjetas.

Requisitos para proveedores de servicios externos en PCI DSS v4.0

La norma PCI exige a las organizaciones que gestionen sus proveedores de servicios externos (TPSP), lo que incluye:

• Realizar la debida diligencia sobre los controles y prácticas de seguridad de datos de los proveedores de servicios externos.
• Contar con acuerdos adecuados con proveedores de servicios externos para hacer cumplir los controles.
• Identificar qué controles y requisitos de seguridad de datos de terceros se aplican.
• Supervisar el cumplimiento de los proveedores de servicios externos al menos una vez al año.

Es importante señalar que los TPSP son responsables de demostrar su cumplimiento con la norma PCI DSS, tal y como lo solicitan las organizaciones. La norma establece que hay dos (2) formas principales de validar el cumplimiento, entre las que se incluyen:

• Evaluaciones anuales: El TPSP se somete a una evaluación anual del PCI DSS y proporciona pruebas a sus clientes para demostrar que cumple los requisitos aplicables del PCI DSS.
• Evaluaciones múltiples bajo demanda: si un TPSP no se somete a una evaluación PCI DSS anual, deberá someterse a evaluaciones a petición de sus clientes y/o participar en cada una de las evaluaciones PCI DSS de sus clientes, y los resultados de cada revisión se facilitarán a los clientes correspondientes.

En resumen: Los requisitos básicos para la gestión de proveedores de servicios externos incluyen la evaluación y supervisión continua de los TPSP.

Aunque la norma PCI DSS no tiene autoridad legal y su cumplimiento no garantiza la prevención de violaciones de datos, es obligatoria para cualquier empresa que procese transacciones con tarjetas de crédito o débito.

Requisitos de PCI DSS

Consulte la lista siguiente para obtener un resumen de las directrices PCI DSS relacionadas con terceros y las prácticas recomendadas para cumplir estos requisitos. A efectos de este blog (y teniendo en cuenta la amplitud de la norma PCI), solo se revisa el requisito 12.8.

Asegúrese de revisar toda la norma PCI DSS para determinar cómo se aplica cada requisito a su negocio.

Requisito 12.8

Se gestiona el riesgo para los activos de información asociado a las relaciones con proveedores de servicios externos (TPSP).

12.8.1 Se mantiene una lista de todos los proveedores de servicios externos (TPSP) con los que se comparten datos de cuentas o que podrían afectar a la seguridad de los datos de cuentas, incluida una descripción de cada uno de los servicios prestados.

Cree perfiles completos de proveedores de servicios externos que incluyan datos demográficos de los proveedores, ubicación geográfica, tecnologías de terceros utilizadas e información operativa y financiera reciente. Comience importando los proveedores de servicios externos a un sistema de gestión centralizado mediante una plantilla de hoja de cálculo o una conexión API a una solución de gestión de proveedores o adquisiciones existente, lo que eliminará los procesos manuales propensos a errores. A continuación, proporcione un sencillo formulario de registro a todas las partes interesadas responsables de la gestión de terceros, de modo que todos puedan aportar información a un perfil centralizado de terceros. Este formulario debe estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

12.8.2 Los acuerdos escritos con los TPSP se mantienen de la siguiente manera:

• Se mantienen acuerdos por escrito con todos los TPSP con los que se comparten datos de cuentas o que podrían afectar a la seguridad del CDE.
• Los acuerdos escritos incluyen reconocimientos por parte de los TPSP de que son responsables de la seguridad de los datos de las cuentas que poseen o almacenan, procesan o transmiten en nombre de la entidad, o en la medida en que puedan afectar a la seguridad del CDE de la entidad.

Centralice la distribución, discusión, retención y revisión de los contratos de proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.

• Realice un seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en roles.
• Utilice el flujo de trabajo (basado en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
• Automatice los recordatorios y los avisos de vencimiento para agilizar las revisiones de contratos.
• Centralizar las discusiones sobre contratos y el seguimiento de comentarios.
• Almacene contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
• Habilitar el seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
• Aprovecha los permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede garantizar que las responsabilidades claras y las cláusulas de derecho a auditoría se articulen en el contrato con el proveedor, y que los SLA se supervisen y gestionen en consecuencia.

12.8.3 Se implementa un proceso establecido para contratar a los TPSP, que incluye la debida diligencia previa a la contratación.

Comience cuantificando los riesgos inherentes para todos los terceros. Los criterios utilizados para calcular el riesgo inherente para la priorización de terceros incluyen:

• Tipo de contenido necesario para validar los controles
• Importancia crítica para el rendimiento y las operaciones de la empresa
• Ubicación(es) y consideraciones legales o reglamentarias relacionadas
• Grado de dependencia de terceros
• Experiencia en procesos operativos o de cara al cliente
• Interacción con datos protegidos
• Situación económica y salud
• Reputación

A partir de esta evaluación del riesgo inherente, su equipo puede clasificar automáticamente a los proveedores por niveles, establecer niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones en curso.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones de interacción de datos, financieras, normativas y de reputación.

12.8.4 Se implementa un programa para supervisar el estado de cumplimiento de la norma PCI DSS por parte de los TPSP al menos una vez cada 12 meses.

Busque soluciones que cuenten con una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de terceros, incluidas aquellas creadas específicamente en torno a PCI. Las evaluaciones pueden realizarse en el momento de la incorporación del proveedor, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), en función de los cambios significativos que se produzcan en la relación.

Las evaluaciones se gestionan de forma centralizada y están respaldadas por funciones de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros durante todo el ciclo de vida de la relación.

Es importante incluir recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, realice un seguimiento y análisis continuos de las amenazas externas a terceros. Supervise Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones e información financiera. Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta.

La diferencia prevalente

La plataforma de gestión de riesgos de terceros Prevalent puede ayudar a las organizaciones a cumplir los requisitos para proveedores de servicios externos publicados en la norma PCI mediante:

• Proporcionar una plataforma centralizada para automatizar la incorporación, el inventario y la gestión de todos los proveedores de servicios externos.
• Creación de un perfil completo de proveedores de servicios externos para todas las partes interesadas internas, que incluya información actualizada continuamente sobre ciberseguridad, negocios, finanzas, cumplimiento normativo y reputación.
• Centralizar la distribución, discusión, retención y revisión de los contratos con proveedores de servicios externos para garantizar que se incluyan, acuerden y apliquen los requisitos de seguridad clave con indicadores clave de rendimiento (KPI).
• Evaluación del riesgo inherente para informar sobre la elaboración de perfiles, la clasificación y la categorización de los proveedores de servicios externos, y determinación del alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
• Automatización de las evaluaciones de riesgos y las medidas correctivas en todas las etapas del ciclo de vida de los proveedores de servicios externos.
• Seguimiento y análisis continuos de las amenazas externas a los proveedores de servicios externos mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades.
• Simplificación de los informes de auditoría PCI mediante evaluaciones centralizadas, supervisión y gestión de pruebas.

Para obtener más información sobre cómo Prevalent puede ayudarle a simplificar la gestión de proveedores de servicios externos bajo PCI DSS, solicite una demostración hoy mismo.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.