La Auditoría de Cumplimiento on-site es imprescindible para Comercios de Nivel 1 (más de 6.000.000 de transacciones) y Proveedores de Servicio de Nivel 1 (más de 300.000 transacciones) y debe ser desarrollada por una empresa homologada como QSA (Qualified Security Assessor) por el PCI SSC, certificación que Internet Security Auditors posee.
Es recomendable para todas aquellas empresas que aunque no estén obligadas a pasar auditorías pero quieran que un auditor independiente QSA, verifique que han alcanzado el cumplimiento o que siguen cumpliendo los requerimientos de seguridad que PCI DSS les exige.
Al iniciar el proyecto se llevará a cabo una reunión con el equipo que el cliente haya seleccionado, con la finalidad de:
- Presentar al equipo auditor.
- Explicar el alcance de la Auditoría.
- Conocer al responsable/s del proyecto.
- Remarcar el carácter confidencial de la Auditoría.
- Resolver dudas respecto al proceso de Auditoría.
Durante esta fase se revisará los procesos que el cliente lleva a cabo en su actividad diaria, en relación a la transmisión, procesamiento o almacenamiento de datos de tarjetas de crédito, con el objetivo de comprobar la exactitud, correción y ausencia de cambios del entorno de cumplimiento desde la implantación inicial de PCI DSS o desde la última auditoría realizada.
Esta revisión implicará:
- Revisión de los flujos de datos con tarjetas de crédito
- Revisión de los activos de información (HW, SW, Redes, Aplicaciones, BD de Datos, etc..) que intervienen en los procesos de transmisión, procesamiento y almacenamiento de datos de tarjetas de créditos, la relación entre ellos y las medidas de seguridad implementadas en la actualidad.
- Revisión de las relaciones con terceras partes (proveedores de servicios) y como influyen en el cumplimiento de PCI DSS.
Todas estas tareas implicarán la realización de reuniones con responsables de área o departamento, y el personal técnico nombrado por el cliente. Etapa III: Revisión Documental
Con la recopilación de información realizada en la fase anterior y la documentación existente (políticas y procedimientos, documentación sobre sistemas, aplicaciones, auditorías anteriores, etc.), en esta fase se realizan las siguientes tareas:
- Acabar de analizar el entorno de cumplimiento con el fin de asegurar que el ámbito es aquel que se ha determinado inicialmente para la validación posterior del cumplimiento PCI DSS.
- Realizar la revisión documental asociada con la implantación de la norma.
Además, un proveedor de servicio o comercio puede utilizar a un tercero, por lo tanto, los servicios externalizados serán analizados revisando la documentación de las condiciones de prestación del servicio o contractual.
Se llevarán a cabo las tareas necesarias para establecer la muestra de auditoría, elaborar el plan de trabajo con el calendario de reuniones y la ejecución de pruebas de cumplimiento necesarias para la obtención de evidencias. Además se determinan puntos como personal específico que pudiera ser necesario para ciertas tareas de la auditoría.
En esta etapa se ejecuta el Plan de Auditoría, llevando a cabo la evaluación de los controles implementados por el cliente para cumplir los requerimientos PCI DSS, incluyendo la evaluación de controles compensatorios.
La Auditoría se basará en:
- Análisis de documentación
- Pruebas de cumplimiento basadas en muestreo
- Entrevistas con el personal de Empresa Cliente
El resultado final de la Auditoría es el denominado Informe de Cumplimiento. La entidad auditada deberá seguir los requisitos de reporte de cada compañía de tarjetas de pago para asegurar que cada compañía reconozca el estado de cumplimiento de la entidad. Según las directrices del PCI SSC para la versión 3.2 de los informes de cumplimiento su contenido será el siguiente:
Al final del proyecto se llevará a cabo una presentación del Informe de Cumplimiento de los resultados de la Auditoría, repasando las deficiencias identificadas, puntos fuertes, aspectos y propuestas de mejora y que quedará reflejado en la documentación final.