EVOLUCIÓN DE PCI DSS

PCI DSS es el estándar el cual se ha desarrollado a través de los esfuerzos varias asociaciones de tarjetas. En 1990, estas asociaciones de tarjetas desarrollaron varios estándares con el fin de mejorar la seguridad de la información confidencial que es transmitida o procesada por estas entidades. En el caso de VISA, diferentes regiones vinieron con diferentes estándares. Luego, en Junio del 2001, VISA Estados Unidos, lanzó el Cardholder Information Security Program (CISP). El CISP, como proceso de auditoría PCI en la versión 1.0 fue inspiración por el desarrollo del PCI DSS. El proceso de auditoría PCI fue recorriendo diferentes versiones hasta llegar a la 2.3 en Marzo del 2004. En este momento, VISA estaba trabajando en conjunto con Master Card. Esto conllevó a la propuesta de que los diferentes establecimientos debían recorrer el camino del cumplimiento de acuerdo a lo establecido por el CISP, es decir, seguir los lineamientos de la auditoría de seguridad, junto con las directrices de MasterCard para el análisis de vulnerabilidades. Visa mantendría así la lista de los asesores aprobados y MasterCard mantendría la lista de los fabricantes aprobados de dispositivos de analisis de redes (scanning vendors). Finalmente el PCI se conformaría: https://www.pcisecuritystandards.org. Compuesto por American Express, Discover Financial Services, JCB, MasterCard, VISA, PCI Co, mantendría la propiedad intelectual del DSS.

ASESORES APROVADOS Y FABRICANTES CERTIFICADOS

PCI, ahora controla qué compañías le son permitidas conducir una auditoría PCI. Estas compañías, conocidas oficialmente como Qualified Security Assesor (QSA), deben recorrer un proceso de aplicaciones y calificaciones con el fin de demostrar su cumplimiento a través de la calidad de sus procesos operativos y administrativos. Los QSA también deben invertir en entrenamiento y certificación del personal con el fin de construir un equipo de Qualified Security Assesors (QSAs), capacitado para realizar las auditorías PCI.

Por otro lado, para llevar a ser un Approved Scanning Vendor (ASV), estas compañías deben recorrer un proceso similar al de los QSAC. La diferencia radica que en el caso de los QSA, los cuales deben atender entrenamientos periódicos y anuales, los ASVs deben enviar (submit) un informe de resultados contra un perímetro de red. Una compañía puede elegir ser tanto QSA como ASV, lo que le permitirá ser un único fabricante en capacidad de ofrecer la auditoría completa PCI.