¿Qué es una atestación de cumplimiento?

Una atestación de cumplimiento (AoC) es el documento breve y firmado que confirma que un comercio o proveedor de servicios ha sido evaluado contra PCI DSS y declarado conforme. Suele tener entre cuatro y ocho páginas y resume un cuestionario de autoevaluación (Self-Assessment Questionnaire, para los Niveles 2-4) o un Report on Compliance (para el Nivel 1). Cada marca de tarjeta publica su propia plantilla, pero la estructura es la misma: quién fue evaluado, qué alcance, el tipo de SAQ o RoC, el resultado y las firmas. Es lo que pide tu adquirente y lo que los proveedores entregan durante la diligencia debida. Los AoC son válidos por un año y deben renovarse anualmente.

El AoC no es la evaluación en sí — es la portada que da fe de ella. El detalle vive en el SAQ o en el Report on Compliance que está detrás. Una atestación de cumplimiento PCI DSS de un SAQ la firma solo el comercio; un AoC de un RoC lo firman tanto el comercio como el QSA que realizó la auditoría. Los proveedores de servicios como nosotros también publicamos un AoC redactado dirigido a clientes que los comercios referencian en sus propias evaluaciones — por ejemplo, cuando un comercio indica que las grabaciones de llamadas residen en el entorno de Paytia y no en el suyo.

Qué es una atestación de cumplimiento

Una atestación de cumplimiento (AoC) es una declaración formal de que una organización ha sido evaluada contra los requisitos de PCI DSS y se ha encontrado conforme en el momento de la evaluación. Es el documento oficial que demuestra que has hecho el trabajo -- implementado los controles de seguridad, pasado la evaluación y cumplido el estándar.

Piénsalo como un certificado de finalización. No describe cada detalle técnico de cómo lograste el cumplimiento (eso queda recogido en el Report on Compliance o en el SAQ), pero ofrece la declaración resumida que los bancos adquirentes, las marcas de tarjeta y los socios de negocio necesitan ver.

Quién necesita un AoC

Toda organización que procese, almacene o transmita datos del titular de la tarjeta debe validar su cumplimiento de PCI DSS, y el AoC es el documento que recoge esa validación. Esto incluye comercios de todos los tamaños, proveedores de servicios de pago, pasarelas de pago, proveedores de alojamiento y cualquier otra entidad en la cadena de pagos.

En términos prácticos, tu banco adquirente o procesador de pagos te pedirá periódicamente tu AoC para confirmar que cumples. Si no puedes presentar un AoC válido y vigente, puedes enfrentarte a comisiones más altas, restricciones en tu capacidad de procesar transacciones o sanciones de las marcas de tarjeta.

Cómo se crea el AoC

El proceso para producir un AoC depende del tamaño de la organización y de su nivel de cumplimiento.

Para comercios y proveedores de servicios de Nivel 1

Las organizaciones de Nivel 1 -- normalmente las que procesan más de seis millones de transacciones al año -- deben someterse a una evaluación completa en sitio realizada por un Qualified Security Assessor (QSA). El QSA examina cada aspecto del entorno de datos del titular de la tarjeta, prueba los controles, revisa la documentación y entrevista al personal. Al concluir la evaluación, el QSA produce tanto un Report on Compliance (RoC), un documento detallado de cientos de páginas, como el AoC, que resume los hallazgos.

Para comercios más pequeños

Los comercios de Niveles 2, 3 y 4 suelen validar el cumplimiento mediante un cuestionario de autoevaluación (SAQ). El SAQ es un conjunto estructurado de preguntas de sí/no que el comercio completa para confirmar que cumple los requisitos relevantes de PCI DSS. Cada tipo de SAQ tiene su correspondiente plantilla de AoC que el comercio firma al completar el cuestionario.

Qué contiene el AoC

Aunque el formato varía ligeramente según acompañe a un RoC o a un SAQ, todo AoC incluye la siguiente información clave.

• Datos de la organización Razón social, nombres comerciales e información de contacto de la entidad evaluada
• Alcance de la evaluación Una descripción de lo que se evaluó, incluyendo los sistemas, redes y procesos cubiertos
• Fecha de la evaluación Cuándo se completó la evaluación -- esto es importante porque el cumplimiento de PCI DSS es una validación en un momento concreto, no un estado permanente
• Estado de cumplimiento Si la organización fue declarada conforme, no conforme o conforme con controles compensatorios
• Datos del QSA Para evaluaciones de Nivel 1, el nombre y las credenciales de la firma QSA y del evaluador individual que realizó la evaluación
• Firma El AoC lo firma un representante autorizado de la organización evaluada (y el QSA, en las evaluaciones de Nivel 1), confirmando la exactitud de la información

Cuánto dura un AoC

Un AoC es válido por un año desde la fecha de la evaluación. Después, la organización debe someterse a una nueva evaluación y producir un AoC nuevo para mantener su estado de cumplimiento. Este ciclo anual garantiza que los controles de seguridad se revisen con regularidad y que las organizaciones no se relajen después de lograr el cumplimiento una vez.

Vale la pena recalcar que el cumplimiento de PCI DSS no es un ejercicio de una sola vez. El AoC confirma el cumplimiento en un momento concreto. Se espera que la organización mantenga sus controles de manera continua durante todo el año, no solo durante el periodo de evaluación.

AoC y pagos telefónicos

Para los negocios que aceptan pagos por teléfono, el alcance del AoC depende mucho de cómo se capturen y manejen los datos de la tarjeta durante las llamadas. Si los agentes teclean manualmente los datos en una terminal virtual, las estaciones de trabajo de los agentes, los sistemas de telefonía, las grabaciones de llamadas y la red local entran en el alcance de la evaluación. Esto normalmente implica un SAQ más complejo (como SAQ C o SAQ D) y un AoC correspondientemente detallado.

Por el contrario, las organizaciones que usan enmascaramiento DTMF para impedir que los datos de la tarjeta entren en su entorno pueden a menudo calificar para el SAQ A, más sencillo. El AoC en este caso cubre un alcance mucho menor porque los datos del titular nunca tocan los sistemas del comercio -- los captura la plataforma del proveedor de pagos certificada PCI DSS Nivel 1 y se enrutan directamente al procesador.

Esta diferencia puede ser transformadora. Una evaluación SAQ D puede implicar cientos de requisitos individuales y semanas de preparación. Una evaluación SAQ A, por el contrario, cubre una fracción de esos requisitos y a menudo se completa en cuestión de días.

Compartir tu AoC

Tu AoC se comparte normalmente con tu banco adquirente, tu procesador de pagos y cualquier socio de negocio que necesite la garantía de que manejas los datos de tarjeta con seguridad. Es habitual que se les pida a las organizaciones su AoC durante la diligencia debida de proveedores, las negociaciones de contratos o al incorporar nuevos clientes.

Aunque el AoC en sí no suele considerarse confidencial, el Report on Compliance subyacente o el SAQ completado contienen información técnica detallada sobre tus controles de seguridad y deberían compartirse con más cuidado. La mayoría de las organizaciones comparten el AoC libremente, pero limitan el acceso al RoC o al SAQ completo a las partes que realmente lo necesitan.