¿Qué es un Report on Compliance?

Un Report on Compliance (RoC) es el informe detallado de evaluación PCI DSS que un Qualified Security Assessor redacta tras auditar a un comercio de Nivel 1 o a un proveedor de servicios de Nivel 1. Recorre cada uno de los 12 requisitos de PCI DSS, los desglosa en sus subrequisitos y procedimientos de prueba, y deja constancia de lo que el QSA probó, las evidencias que revisó y la determinación de implantado o no implantado. Los RoC suelen tener varios cientos de páginas, su elaboración cuesta entre 30.000 y 80.000 libras y hay que volver a emitirlos cada año. La Attestation of Compliance (AoC), más corta, que se envía a los adquirentes es el resumen público que se firma a partir del RoC.

El Report on Compliance es la forma más profunda de validación PCI DSS que existe, y se hace al comercio por parte de un evaluador independiente, no por el propio comercio. Esa es la línea que lo separa de un Self-Assessment Questionnaire, que los Niveles 2 a 4 rellenan por su cuenta. Un RoC fallido tampoco es un aviso blando: el comercio se trata como no conforme desde la fecha de evaluación hasta que se subsanen las brechas, lo que puede suponer multas de las marcas de tarjetas o escalado por parte del adquirente. Como el documento incluye diagramas de red, flujos de datos y pruebas detalladas de los controles, es confidencial: la mayoría de los proveedores de servicios compartirán su AoC cuando se les pida pero mantendrán el RoC bajo acuerdo de confidencialidad.

Qué es un Report on Compliance

Un Report on Compliance (RoC) es la forma más detallada y rigurosa de documentación del cumplimiento PCI DSS. Lo elabora un Qualified Security Assessor (QSA) después de realizar una evaluación in situ exhaustiva del entorno de datos del titular de la tarjeta de una organización. El RoC documenta cada requisito de PCI DSS, describe cómo cumple (o no cumple) la organización cada uno de ellos y aporta las evidencias que respaldan esas conclusiones.

Si la Attestation of Compliance (AoC) es el certificado resumen, el RoC es el informe de auditoría completo que hay detrás. Normalmente tiene cientos de páginas y ofrece una imagen exhaustiva de la postura de seguridad de una organización en lo relativo a los datos de tarjeta de pago.

Quién necesita un RoC

No todas las organizaciones necesitan un Report on Compliance. Los RoC se exigen a los comercios de Nivel 1 (los que procesan más de seis millones de transacciones con tarjeta al año) y a los proveedores de servicios de Nivel 1 (los que almacenan, procesan o transmiten datos del titular de la tarjeta por cuenta de otras organizaciones).

Los comercios y proveedores de servicios más pequeños suelen validar el cumplimiento mediante Self-Assessment Questionnaires (SAQs), que son menos detallados pero siguen los mismos requisitos subyacentes. Sin embargo, algunos bancos adquirentes o socios comerciales pueden solicitar un RoC incluso a organizaciones que no están estrictamente obligadas a producir uno, sobre todo cuando la relación implica manejar grandes volúmenes de datos sensibles.

Paytia, por ejemplo, mantiene un RoC como parte de su certificación PCI DSS Nivel 1. Esto da a los clientes de Paytia la confianza de que la plataforma a la que están confiando los datos de tarjeta de sus clientes ha sido evaluada de forma independiente y rigurosa.

Qué contiene el RoC

Un RoC sigue una plantilla estructurada proporcionada por el PCI SSC. Cubre en detalle cada uno de los requisitos de PCI DSS, organizados en las secciones siguientes.

Resumen ejecutivo

Una visión general de alto nivel de la evaluación, incluyendo el alcance, los hallazgos clave y el estado global de cumplimiento. Esta sección le da al lector la conclusión antes de meterse en los detalles.

Alcance de la evaluación

Una descripción detallada del entorno de datos del titular de la tarjeta que se evaluó. Esto incluye diagramas de red, diagramas de flujo de datos, listas de sistemas y aplicaciones dentro del alcance, y descripciones de cómo entran, se mueven y salen del entorno los datos de tarjeta. La sección de alcance es crítica porque define los límites de la evaluación: cualquier cosa fuera del alcance declarado no se ha evaluado.

Evaluación requisito por requisito

Aquí está el grueso del documento. Para cada uno de los requisitos de PCI DSS (y sus subrequisitos), el RoC describe los controles implantados, los procedimientos de prueba que realizó el QSA, las evidencias recogidas y si el requisito se cumple, no se cumple o se cumple con controles compensatorios.

Por ejemplo, bajo el Requisito 3 (Proteger los datos de cuenta almacenados), el RoC describiría qué datos del titular de la tarjeta se almacenan, cómo se cifran, quién tiene acceso, cómo se controla el acceso y qué hizo el QSA para verificar que estos controles funcionan.

Controles compensatorios

Si una organización no puede cumplir un requisito específico tal como se enuncia pero ha implementado controles alternativos que proporcionan una seguridad equivalente, estos se documentan como controles compensatorios. Cada hoja de control compensatorio explica la limitación que impide cumplir el requisito original, el objetivo del requisito original y cómo el control compensatorio cumple ese objetivo.

El proceso del RoC

Producir un RoC es una tarea importante. El proceso se suele desarrollar a lo largo de varias semanas o meses, según el tamaño y la complejidad del entorno de datos del titular de la tarjeta.

• Planificación del trabajo: el QSA y la organización acuerdan el alcance, el calendario y la logística de la evaluación. Esto incluye identificar contactos clave, programar visitas in situ y determinar qué sistemas y procesos hay que examinar.
• Revisión documental: el QSA revisa políticas de seguridad, procedimientos, diagramas de red, diagramas de flujo de datos y otra documentación antes de la visita in situ. Esto ayuda a identificar posibles brechas pronto y hace que el trabajo in situ sea más eficiente.
• Evaluación in situ: el QSA visita las instalaciones de la organización (o realiza la evaluación en remoto, donde está permitido) para probar controles, examinar sistemas, revisar configuraciones y entrevistar al personal. Aquí es donde el QSA recoge las evidencias que respaldarán los hallazgos en el RoC.
• Remediación de brechas: si el QSA identifica controles que no están implantados o que no funcionan eficazmente, la organización tiene la oportunidad de corregirlos durante la ventana de evaluación. Luego el QSA volverá a probar los controles remediados antes de finalizar el RoC.
• Redacción del informe: el QSA compila los hallazgos en la plantilla del RoC, documentando cada requisito, las pruebas realizadas y las evidencias recogidas. Esta es la parte más intensiva en trabajo del proceso.
• Finalización: el RoC completado se revisa por la organización, lo firman ambas partes y se envía junto con la Attestation of Compliance a los bancos adquirentes o marcas de tarjetas correspondientes.

RoC y pagos telefónicos

Para las organizaciones que procesan pagos telefónicos, el RoC incluirá una evaluación detallada del entorno de telefonía. El QSA examinará cómo se capturan los datos de tarjeta durante las llamadas, si las grabaciones contienen datos del titular de la tarjeta, cómo se protegen los puestos de trabajo de los agentes y qué controles protegen el canal de voz.

Las organizaciones que usan enmascaramiento DTMF pueden simplificar significativamente esta sección del RoC. Como los datos de tarjeta nunca entran en el entorno de telefonía, el QSA puede confirmar que los sistemas de telefonía, los puestos de los agentes y la plataforma de grabación de llamadas están fuera del alcance de la evaluación. El foco se desplaza hacia la relación con el proveedor de enmascaramiento DTMF y su certificación PCI DSS Nivel 1, en lugar de la infraestructura propia del comercio.

Esta reducción de alcance puede ahorrar semanas de tiempo de evaluación y reducir significativamente el coste del trabajo del QSA.

RoC frente a SAQ

El Report on Compliance y el Self-Assessment Questionnaire cumplen el mismo propósito de fondo —validar el cumplimiento de PCI DSS— pero se diferencian significativamente en profundidad y rigor.

• RoC: lo produce un QSA independiente. Implica pruebas in situ, recogida de evidencias y entrevistas al personal. Cientos de páginas. Obligatorio para organizaciones de Nivel 1.
• SAQ: lo completa la propia organización (autoevaluación). No se exige verificación independiente (aunque un QSA puede ayudar). Mucho más corto y simple. Lo usan los comercios de Niveles 2, 3 y 4.

El RoC ofrece una garantía mucho mayor porque la evaluación la realiza un tercero independiente y cualificado. Por eso las organizaciones de Nivel 1 —las que procesan los mayores volúmenes de transacciones o las que manejan datos de tarjeta por cuenta de otros— están obligadas a pasar por el proceso completo del RoC.