¿Qué son los Controles Compensatorios?

¿Qué son los controles compensatorios?

Los controles compensatorios son las medidas de seguridad alternativas que puede implantar cuando de verdad no puede cumplir un requisito concreto de PCI DSS tal y como está redactado. No son atajos. No son apaños. Son alternativas documentadas formalmente que tienen que ofrecer un nivel de protección equivalente al del requisito original.

Aquí va la versión de andar por casa: imagine que la normativa de edificación exige que toda oficina tenga un sistema de rociadores. Si su edificio de verdad no puede llevar rociadores (por ser un edificio protegido, por motivos estructurales, por lo que sea), puede instalar en su lugar muros resistentes al fuego, extintores adicionales y detección de humos. Esas alternativas son sus controles compensatorios. Métodos distintos, el mismo objetivo de seguridad contra incendios.

¿Cuándo se usan los controles compensatorios?

Los controles compensatorios existen para situaciones en las que una restricción legítima, de negocio o técnica, le impide cumplir directamente un requisito de PCI DSS. Los escenarios habituales:

• Sistemas heredados que no se pueden actualizar ni reemplazar de inmediato, pero que aun así hay que asegurar
• Entornos de mainframe donde los estándares modernos de cifrado no se admiten de forma nativa
• Procesos de negocio que requieren un flujo de trabajo concreto que choca con un requisito prescriptivo de PCI
• Situaciones en las que el coste de cumplir un control directamente es desproporcionado, pero se puede lograr una seguridad equivalente por otra vía

Conviene ser tajante con esto: los controles compensatorios no son una manera de esquivar la seguridad. El PCI SSC deja claro que un control compensatorio tiene que cumplir la intención y el rigor del requisito original. No basta con declarar que tiene uno y seguir adelante: hay que documentarlo, evaluarlo y obtener el visto bueno.

Cómo se documentan los controles compensatorios

PCI DSS exige una hoja de controles compensatorios formal para cada control que se use. Esa hoja recoge:

• El requisito original que no se puede cumplir
• La restricción concreta que le impide cumplirlo tal y como está redactado
• Una descripción detallada del propio control compensatorio
• Cómo aborda el control el riesgo que el requisito original estaba diseñado para mitigar
• Pruebas de que el control compensatorio funciona y se mantiene de forma activa

Este papeleo se revisa durante las evaluaciones de PCI DSS: por un QSA si es de Nivel 1, o como parte del proceso de autoevaluación en los demás casos. El evaluador tiene que dar por bueno que el control compensatorio ofrece de verdad una protección equivalente. No siempre lo hace.

Las pruebas que un control compensatorio debe superar

Para que un control compensatorio salga adelante, tiene que salvar varios obstáculos:

• Debe abordar la misma amenaza que el requisito original estaba diseñado para contrarrestar
• Debe ofrecer un nivel de defensa similar
• Debe ir más allá de los demás requisitos de PCI DSS que ya existen: no se puede usar como control compensatorio de otro requisito uno que ya está obligado a cumplir
• Debe ser proporcionado al riesgo adicional que se crea al no cumplir el requisito original

Por qué importa esto a los negocios

Los controles compensatorios dan flexibilidad a las organizaciones. PCI DSS es una norma detallada con cientos de requisitos concretos, y los entornos del mundo real son enrevesados. No todos los sistemas ni todos los procesos encajan limpiamente en el marco, y los controles compensatorios son la vía legítima cuando la implantación directa no es posible.

El problema es que los controles compensatorios suelen resultar más complejos y más caros que cumplir sin más el requisito original. Cada uno necesita documentación, supervisión y reevaluación anual continuas. Acumule varios controles compensatorios para varios requisitos y la carga se dispara enseguida.

Relevancia para los pagos por teléfono

Los centros de contacto que cobran con tarjeta por teléfono entran en el terreno de los controles compensatorios a todas horas. Un ejemplo típico: las grabaciones de llamadas capturan datos de tarjeta, y esas grabaciones no se pueden cifrar de la forma que prescribe PCI DSS. Los controles compensatorios podrían ser el acceso restringido, una supervisión reforzada y unos calendarios de borrado automático.

El inconveniente es que esos controles añaden complejidad a un entorno de cumplimiento ya de por sí doloroso. Vemos centros de contacto quemar presupuestos de seis cifras en una arquitectura de controles compensatorios que no habría hecho falta si los datos de la tarjeta no hubieran entrado nunca en la telefonía. Retirar los datos de la tarjeta del centro de contacto por completo (mediante el enmascaramiento DTMF o algo similar) hace que los requisitos problemáticos sencillamente no se apliquen. No hacen falta controles compensatorios porque no hay nada que compensar.

Consejos prácticos

Si está pensando en controles compensatorios, la primera pregunta que conviene hacerse es si la restricción que le bloquea se puede eliminar en su lugar. Una actualización de sistema, un cambio de proceso, una elección tecnológica distinta: a veces eso elimina por completo la necesidad de un control compensatorio. Si un control compensatorio es de verdad la respuesta adecuada, documéntelo bien y revíselo con regularidad. Un control compensatorio mal documentado es, por sí mismo, un riesgo de cumplimiento.

Los controles compensatorios bajo PCI DSS v4.0

PCI DSS v4.0 introduce el "enfoque personalizado" como alternativa a los controles compensatorios en ciertas situaciones. El enfoque personalizado le permite cumplir la intención de un requisito usando un método distinto, sin pasar por el proceso formal de controles compensatorios. Es más flexible, pero la carga de documentación es mayor, y en realidad solo resulta adecuado para organizaciones con programas de seguridad maduros. Para la mayoría de los negocios, los controles compensatorios siguen siendo la opción más práctica cuando un requisito concreto no se puede cumplir directamente. Decidir entre usar controles compensatorios o el enfoque personalizado es una conversación que vale la pena tener pronto con su QSA o ISA, no después de haber invertido ya en el camino equivocado.