Criterios de PCI DSS para la obtención de evidencia en auditorías

Cuando se realiza una auditoría PCI DSS a un Comercio ("Merchant") o Proveedor de Servicio ("Service Provider") clasificados como nivel 1 ("Level 1") por la cantidad de transacciones anuales realizadas y dichos resultados deben ser reportados a Visa, de forma obligatoria el auditor QSA debe rellenar un documento específico con los detalles pormenorizados de los hallazgos de la auditoría y la evidencia asociada. Dicho documento se denomina "Report on Compliance" (RoC) y de forma discrecional otras marcas (como Discover) lo pueden requerir para evaluar el cumplimiento del estándar.  Este RoC suele acompañar el formulario de  Declaración de cumplimiento para evaluaciones in situ ("Attestation of Compliance") (AoC) y los resultados de los escaneos ASV como requerimientos de validación.

El RoC – a diferencia del SAQ y del AoC - va más allá del SI/NO en la columna “Estado de cumplimiento”, ya que se requiere un detalle granular justificando el porqué de dicho cumplimiento y respaldándolo con diferentes tipos de evidencia, como se describirá en este artículo. Es importante que tanto el auditor QSA como la empresa auditada conozcan el tipo de evidencia que se requerirá en este proceso:

• El auditor, para preparar su plan de auditoría y coordinar tiempo y esfuerzo en la obtención de evidencia dependiendo de la complejidad del entorno auditado.
• La empresa auditada, para poder preparar permisos, autorizaciones, personal acompañante, disponibilidad y encargados de proveer dicha evidencia al auditor.

De esta manera, el proceso de auditoría no tendrá contratiempos y la información a ser revisada podrá estar disponible cuando se requiera

Contenido completo en fuente original PCI Hispano

Suscríbete a nuestro Boletín