Fuente: SearchSecurity.com

El Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago (PCI SSC, por sus siglas en inglés), bajo presión de los comerciantes para mejorar la formación de sus Evaluadores de Seguridad Calificados (QSA, por sus siglas en inglés), ha detallado planes para reforzar el proceso de revisión de certificación de los PCI QSAs, añadiendo personal y recursos financieros necesarios para mejorar la supervisión de las personas que llevan a cabo las evaluaciones de cumplimiento con el PCI Data Security Standard (DSS).

“Seguimos agregando personal a medida que el programa crece”, dijo Bob Russo, gerente general del PCI SSC. “Nos estamos asegurando de que las empresas QSA cuenten con un procedimiento interno que garantice evaluaciones precisas y oportunas”.

El consejo, una organización independiente fundada por cinco marcas de tarjetas de pago, mantiene los estándares de PCI y regula la formación y la aprobación de QSAs y Proveedores de Escaneo Aprobados (ASV, por sus siglas en inglés). Inicialmente había tres personas que revisaban cientos de evaluaciones de PCI DSS para detectar incoherencias que puede ser señal de una empresa de evaluación con problemas o desorganizada. La organización está contratando un analista de control de calidad y en la actualidad cuenta con un equipo de cinco personas para revisar las evaluaciones del QSA.

Russo no quiso decir cuánto se ha presupuestado para el programa de remediación. Dijo que la asignación presupuestaria fue una cantidad significativa del presupuesto general del Consejo de PCI y aumentaría con el tiempo.

El Consejo PCI anunció su programa de remediación de QSA en 2008 para moderar las quejas de los comerciantes sobre evaluaciones inconsistentes y, en algunos casos, de que los evaluadores certificados no parecían saber lo suficiente como para llevar a cabo una evaluación exhaustiva de PCI DSS. Desde entonces, más de una docena de empresas certificadas de evaluación han sido colocadas en remediación. Una vez en la remediación, a una empresa se le da 90 días para corregir los problemas y mejorar sus procesos. Russo dijo que la mayoría cumple y se saca de la remediación, pero “un puñado”, señaló, optó por abandonar por completo sus servicios de evaluación del PCI DSS.

“Creo que estamos haciendo lo que nos proponemos hacer y que es mejorar el proceso de evaluación y hacer que el proceso de pago sea más seguro”, dijo Russo. “He oído a los comerciantes diciendo que hay una gran diferencia entre hace dos años y ahora”.

El proceso de revisión de la evaluación se basa también en los comentarios de los comerciantes para provocar una revisión de una empresa de evaluación. Los comerciantes están obligados a llenar formularios de retroalimentación calificando las habilidades técnicas de un evaluador y el nivel de comprensión del PCI DSS. La retroalimentación también aborda la ética del QSA, en particular, si el asesor insinúa que un producto comercial o servicio en particular era necesario para el cumplimiento.

La calidad de las evaluaciones en sitio puede llegar a ser un factor aún más crítico si los comercios Nivel 2 – los que realizan entre 1 y 6 millones de transacciones por año – se ven obligados a someterse a evaluaciones en sitio. Los comercios Nivel 2 constituyen la mayor parte en la industria de pago.

A partir de junio de 2011, MasterCard, requerirá que los comercios que lleven a cabo un cuestionario de autoevaluación asistan a programas de formación de PCI DSS para comercios y aprueben un programa de acreditación del PCI SSC. La marca de tarjeta recientemente revocó una decisión controvertida de exigir a comercios de Nivel 2 llevar a cabo evaluaciones en sitio.

Además, Russo dijo que el Consejo PCI está revisando la forma en que entrenan a los evaluadores. Actualmente, los evaluadores sólo están obligados a tomar un curso de fin de semana y, a su vez suelen pasar una prueba a libro abierto. Russo dijo que el programa está siendo modificado para incluir un examen a libro cerrado, incluyendo preguntas de ensayo. La educación anual de los QSAs para la recertificación se ha formateado para ser llevado a cabo en línea.

“Hay una verificación de antecedentes y tienen que tener un cierto nivel de certificaciones de la industria de seguridad”, dijo Russo. “Ellos están obligados a pasar por la formación y obtener la recertificación cada año”.

Pero poseer la totalidad de las certificaciones de seguridad disponibles no necesariamente proporciona a un profesional de seguridad con las capacidades de auditoría necesarias para realizar una revisión exhaustiva de los sistemas de una empresa, dijo Jerry Hughes, un QSA certificado de Lighthouse Computer Services, Inc., empresa basada en Lincoln, RI.

A pesar de las preguntas de ensayo, la prueba se compone de preguntas de opción múltiple y se centra en las áreas de tecnología de la norma. Hughes dijo que las habilidades que aprendió en la realización de trabajos de auditoría para el sector bancario, la FDIC y FFIEC y para el gobierno federal ayudó a proporcionar una base sólida para hacer una mejor y más objetiva determinación de la certificación de una empresa con el estándar PCI DSS.

“Hay un montón de gente que puede entrar en una red y realizar un escaneo, pero tenemos que hacer trabajo de campo y capturar pruebas para formular una opinión”, dijo Hughes. “He visto certificaciones llevadas a cabo por otros que son francamente aterradoras, es alarmante lo que la gente aprueba”.

NDB Consultiva LLC, una firma de contabilidad con sede en Atlanta, fue solicitada con tanta frecuencia por sus clientes llevar a cabo certificaciones PCI DSS que tiene equipo de contables certificado para llevar a cabo evaluaciones de QSA. Un contador de NDB y QSA certificado que desea permanecer en el anonimato dijo que cree que la formación actual establecida por el Consejo de PCI permite a las personas llevar a cabo una evaluación a fondo, pero lo que puede estar faltando es orientación acerca de si la evaluación debe incluir cierto nivel de análisis cuantitativo y cualitativo.

Algunos profesionales de seguridad lo ven como una manera de llevar a cabo una evaluación rápida y escribir un informe, mientras que otros están tratando de apoyar sus conclusiones con datos, dijo el QSA.

“Creo que una gran cantidad de los QSAs que existen pueden ser buenos consultores; son hábiles conocedores de la tecnología, pero me pregunto si estamos haciendo lo suficiente para validar sus opiniones”, dijo el QSA. “Cuando nos falta una cantidad razonable de orientación, sé que recurrimos a los procesos tradicionales de auditoría contable y hacemos más en lugar de menos”.