El objetivo de esta entrada es reflexionar sobre cómo la guía publicada por el PCI Security Standards Council para clarificar el cumplimiento con PCI-DSS en el caso de utilizar servicios de computación en la nube (pdf) afecta a la calificación de seguridad de servicios TIC.

En primer lugar, nos gustaría recordar que la metodología actual de calificación de seguridad actual incluye niveles especiales para la dimensión de confidencialidad que indican que el servicio calificado cumple con el estándar PCI DSS. Dichos niveles se distinguen por incluir un asterisco (*), es decir, los servicios con un nivel C*-- o superior, serían aptos para almacenar, procesar o transmitir datos de titulares de tarjeta de acuerdo a PCI DSS.

Una vez aclarado esto, destacamos las aportaciones que la calificación hace a aquellos que, utilizando servicios en la nube, tienen que cumplir con PCI DSS:

  • La guía indica la importancia de identificar a todos los que participan en la provisión del servicio puesto que es fundamental para delimitar el alcance. La metodología de leet security hace depender la calificación de un servicio de la calificación de todos los proveedores de la cadena de suministro, por tanto, un servicio con una calificación 'X' implica que todos los proveedores implicados tienen, al menos, ese nivel.
  • También relacionado con el alcance, la guía resalta la necesidad de que el proveedor defina claramente lo que se ha incluido en sus evaluaciones de cumplimiento. En este caso, la metodología que proponemos hace que, para valorar la calificación, se realice previamente esta comprobación, de forma que el usuario puede estar confiado de que si un servicio tiene una calificación suficiente para tratar datos de titulares de tarjeta, todos los elementos relevantes han sido evaluados.
  • Uno de los principios sobre los que gira el documento es la clara delimitación de responsabilidades entre cliente y proveedor. Este aspecto es fundamental en cualquier servicio en la nube y, por dicho motivo, también está recogido en la guía de calificación, haciendo que los servicios calificados incluyan dicha información en forma de ANSs.
  • Finalmente, la guía también resalta la necesidad de que el proveedor proporcione mecanismos al usuario para comprobar que, de manera continuada en el tiempo, sigue cumpliendo con PCI DSS. En relación a este tema, el acuerdo firmado por el proveedor con la agencia de calificación le obliga a notificar cualquier situación que haya o pudiera haber afectado a la calificación de su servicio (y por ende a su cumplimiento de PCI DSS); en definitiva, la agencia se encarga de realizar esta supervisión continua del proveedor por cuenta del cliente.
Como resumen, podemos comprobar cómo la utilización de una calificación por parte del proveedor aporta mecanismos a los usuarios de servicios en la nube para facilitar el cumplimiento con PCI DSS.

Puedes seguirnos en twitter.com/leet_security

6 de marzo de 2013