¿Qué son los Controles Compensatorios?

¿Qué son los controles compensatorios?

Los controles compensatorios son medidas de seguridad alternativas que una organización puede poner en marcha cuando no puede cumplir un requisito específico de PCI DSS exactamente como está escrito. No son atajos ni apaños: son alternativas formalmente documentadas que deben aportar un nivel de protección equivalente al del requisito original.

Dicho en términos cotidianos: imagina que una norma de construcción exige que cada oficina tenga un sistema de aspersores. Si la estructura de tu edificio no admite aspersores, podrías instalar paredes resistentes al fuego, extintores adicionales y sistemas de detección de humo en su lugar. Esas alternativas son tus controles compensatorios: métodos distintos que logran el mismo objetivo de seguridad contra incendios.

¿Cuándo se usan controles compensatorios?

Los controles compensatorios existen para situaciones en las que una restricción legítima de negocio o técnica impide a una organización cumplir un requisito de PCI DSS directamente. Escenarios habituales incluyen:

• Sistemas heredados que no pueden actualizarse o reemplazarse de inmediato pero aun así necesitan ser asegurados
• Entornos mainframe donde los estándares modernos de cifrado no se soportan de forma nativa
• Procesos de negocio que requieren un flujo específico que choca con un requisito prescriptivo de PCI
• Situaciones donde el coste del cumplimiento total con un control específico sería desproporcionado, pero puede lograrse seguridad equivalente de otra forma

Importa subrayar que los controles compensatorios no son una excusa para evitar la seguridad. El PCI SSC es muy claro: un control compensatorio debe cumplir la intención y el rigor del requisito original. No puedes simplemente declarar que tienes un control compensatorio y seguir adelante: debe estar formalmente documentado, evaluado y aprobado.

Cómo se documentan los controles compensatorios

PCI DSS exige una Hoja de Controles Compensatorios (Compensating Controls Worksheet) formal para cada control usado. Esta hoja debe incluir:

• El requisito original que no puede cumplirse
• La restricción o motivo específico por el que el requisito no puede cumplirse tal como está
• Una descripción detallada del propio control compensatorio
• Una explicación de cómo el control aborda el riesgo que el requisito original pretendía mitigar
• Evidencia de que el control compensatorio es efectivo y se mantiene activamente

Esta documentación se revisa durante las evaluaciones de PCI DSS por un QSA (para comercios de Nivel 1) o mediante el proceso de autoevaluación. El evaluador debe coincidir en que el control compensatorio aporta genuinamente una protección equivalente.

Las pruebas que debe pasar un control compensatorio

Para que se acepte un control compensatorio, debe cumplir varias condiciones:

• Debe abordar la misma amenaza que el requisito original pretendía contrarrestar
• Debe proporcionar un nivel de defensa similar
• Debe ir más allá de otros requisitos existentes de PCI DSS (no puedes usar un requisito existente como control compensatorio para otro distinto)
• Debe ser proporcional al riesgo adicional creado por no cumplir el requisito original

Por qué importa esto a los negocios

Los controles compensatorios dan flexibilidad a las organizaciones. PCI DSS es un estándar exhaustivo con cientos de requisitos específicos, y los entornos del mundo real son complejos. No todos los sistemas, procesos o tecnologías encajan limpiamente en el marco, y los controles compensatorios ofrecen un camino legítimo al cumplimiento cuando la implementación directa no es viable.

Sin embargo, los controles compensatorios suelen acabar siendo más complejos y caros de mantener que simplemente cumplir el requisito original. Cada uno requiere documentación, monitorización y reevaluación anual continuas. Con el tiempo, la sobrecarga puede volverse significativa, sobre todo si una organización depende de varios controles compensatorios en distintos requisitos.

Relevancia para los pagos telefónicos

Los contact centres que aceptan pagos con tarjeta por teléfono se encuentran con frecuencia con escenarios donde entran en juego los controles compensatorios. Por ejemplo, si las grabaciones de llamada capturan datos de tarjeta y las grabaciones no pueden cifrarse de la manera que prescribe PCI DSS, una organización podría implementar controles compensatorios como acceso restringido, monitorización reforzada y calendarios de borrado automático.

El reto es que estos controles compensatorios añaden capas de complejidad a un entorno de cumplimiento ya exigente. Muchas organizaciones encuentran que un enfoque más efectivo es retirar por completo los datos de tarjeta del entorno de telefonía —mediante supresión DTMF o tecnología similar—, de modo que los requisitos problemáticos dejan de aplicarse y los controles compensatorios ya no son necesarios.

Consejo práctico

Si te planteas controles compensatorios, empieza preguntándote si la restricción que te impide cumplir el requisito original puede resolverse. A veces una actualización de sistema, un cambio de proceso o una elección tecnológica distinta elimina del todo la necesidad de un control compensatorio. Si un control compensatorio realmente es el mejor camino, invierte el tiempo en documentarlo a fondo y en revisarlo periódicamente. Un control compensatorio mal documentado es un riesgo de cumplimiento en sí mismo.

Controles compensatorios bajo PCI DSS v4.0

PCI DSS v4.0 introduce el «enfoque personalizado» como alternativa a los controles compensatorios en algunas situaciones. El enfoque personalizado permite a las organizaciones cumplir la intención de un requisito usando un método distinto, sin el proceso formal de controles compensatorios. Sin embargo, exige una evaluación más detallada y solo es adecuado para organizaciones con programas de seguridad maduros. Para muchos negocios, los controles compensatorios siguen siendo la opción más práctica cuando un requisito específico no puede cumplirse directamente. Entender la distinción entre controles compensatorios y enfoque personalizado —y elegir el camino correcto para tu situación— es algo a discutir con tu QSA o ISA.