Es muy común escuchar los términos «AuditorÃa de PCI DSS» o «Auditor de PCI DSS» dentro de la jerga relacionada con el cumplimiento con estándar PCI DSS. El uso de esta terminologÃa está masificado incluso en Asesores Cualificados de Seguridad (Qualified Security Assessor – QSAs) y en las entidades que requieren cumplir con los estándares de PCI SSC (comerciantes, proveedores de servicio, bancos, etc.), sobre todo de habla hispana. No obstante, el uso de esos términos es INCORRECTO desde el punto de vista del Payment Card Industry Security Standards Council (PCI SSC), al igual que otros términos relacionados que suelen emplearse como sinónimos sin que realmente lo sean.
Con el objetivo de usar una misma terminologÃa y evitar ambigüedades y confusiones alrededor de los estándares, desde PCI Hispano os invitamos a incorporar la siguiente terminologÃa dentro del vocabulario relacionado con el cumplimiento de estos estándares.
¿Por qué el término «AuditorÃa de PCI DSS» es erróneo?
Desde sus inicios, el PCI SSC ha evitado usar el término «auditorÃa» para referirse a la evaluación de cumplimiento de sus estándares o de «auditor» para los asesores que pueden efectuar dichas evaluaciones. La razón por la cual no se utiliza esta terminologÃa se debe a que, en muchos paÃses, la ejecución de una auditorÃa solamente puede ser realizada por profesionales certificados por la Certified Public Accountant (CPA) o entidades similares. En Texas (EEUU), por ejemplo, está prohibido por ley el uso de los términos «auditor» o «accountant» si la persona que los usa no está debidamente certificada.
A pesar de que el concepto de «accountant» (contable) o «auditor» suele estar vinculado a verificaciones de carácter financiero, también puede abarcar otras áreas más técnicas. Tal es el caso de auditorÃas de System and Organization Control (SSAE 16/SOC 1, 2 y 3) o Sarbanex-Oaxley, que se evalúan siguiendo los criterios descritos en los Generally Accepted Auditing Standards (GAAS), debiendo ser auditados por personal certificado como CPA (obligatorio en el caso de SOC, recomendable en el caso de SOX).
En este sentido, y para evitar temas legales, el PCI SSC ha optado por la siguiente terminologÃa:
- «Assessment» (Evaluación), para referirse a la revisión de cumplimiento del estándar.
- «Assessor» (Asesor), para referirse a los profesionales certificados que pueden efectuar evaluaciones de cumplimiento de los estándares del PCI SSC. En el caso de PCI DSS, se denominan Asesores Cualificados de Seguridad (Qualified Security Assessors – QSA).
A pesar de que en España y en América Latina estas restricciones pueden no aplicar (dependiendo de la región y de sus leyes locales), es importante que se emplee la misma terminologÃa para evitar malas interpretaciones y problemas legales.
Siendo asÃ:
- No se dice: «AuditorÃa de PCI DSS». Se deberÃa decir: «Evaluación de PCI DSS» o «Evaluación de cumplimiento de PCI DSS».
- No se dice: «Auditor de PCI DSS». Se deberÃa decir: «Asesor Cualificado de PCI DSS» o, simplemente, «Asesor de PCI DSS»
Estos conceptos son igualmente aplicables a cualquier evaluación de cumplimiento de los diferentes estándares del PCI SSC.
Otros términos que se deben evitar en el ámbito de los estándares del PCI SSC
Aprovechando este artÃculo, también me gustarÃa comentar algunos términos que deberÃan ser evitados con el fin de emplear la misma terminologÃa empleada por el PCI SSC:
- No se dice «Test de Intrusión». Se deberÃa decir «Prueba de Penetración» (Penetration testing, de acuerdo con el req. 11.3 de PCI DSS)
- No se dice «Autenticación de dos factores » o «doble factor de autenticación» (Two-factor Authentication). Se deberÃa decir «Autenticación multifactor» (Multi-factor Authentication o MFA (req. 8.3 de PCI DSS)
- No se dice «estándar PCI». Se deberÃa decir «estándar PCI DSS» (o PCI PIN, PCI 3DS, PCI P2PE, etc.). En este caso, PCI son las siglas del Payment Card Industry, pero no del estándar en particular.
- No se dice «normativa PCI DSS». Se deberÃa decir «estándar PCI DSS» (o PCI PIN, PCI 3DS, PCI P2PE, etc.), ya que la traducción de standard es simplemente «estándar».
Ahora, por favor leed nuevamente el artÃculo pero esta vez con la voz de Paris Danielle 🙂