El outsourcing de PCI DSS es una estratégia válida e extendida, mas se malinterpreta con frecuencia. No existe una forma de delegar completamente la responsabilidade PCI DSS a un tercero: algunas responsabilidades permanecen sempre en manos del comerciante, por contrato con el adquirente e por la propia naturaleza del estándar. Entender onde termina la responsabilidade del fornecedor e onde empieza la del comerciante es fundamental para construir un modelo de conformidade sostenible e sin sorpresas en caso de auditoría o brecha.
Qué se pode realmente externalizar en el PCI DSS
La parte del conformidade mais fácilmente externalizable tem que ver con la gestão de los dados de cartão. Un fornecedor de tokenização certificado PCI DSS Level 1 asume el armazenamento seguro de los PAN, el encriptação, la gestão del vault, los controles de acceso a los dados de cartão, el vulnerability scanning de su propia infraestrutura e el penetration test periódico. El comerciante que utiliza este fornecedor no tem que preocuparse por ninguno de estos aspectos para los dados de cartão que gere el fornecedor.
También se pode externalizar la gestão de la infraestrutura de red e de processamento de pagos. Un fornecedor de PCI DSS as a Service que gere el hosting, los firewalls, los sistemas de monitorização e los parches de segurança de los ambientes de pago transfiere al comerciante la responsabilidade residual de su propio perímetro reducido. Esta delegação funciona porque el PCI DSS prevé explícitamente la cadena de responsabilidade entre comerciante e fornecedor de serviços: el fornecedor de serviços atestado como conforme cubre los controles incluidos en su serviço, e el comerciante cubre los controles residuales en su propio ambiente.
Qué sigue siendo sempre responsabilidade del comerciante
Incluso con el máximo nivel de outsourcing, algunas responsabilidades no podem delegarse. El comerciante sigue siendo sempre responsable de completar e firmar el SAQ o, en los niveles superiores, de contratar a un QSA para el RoC. Esta responsabilidade es contractual con el adquirente e no pode transferirse al fornecedor de serviços. El comerciante também deve gerir sus propias políticas de acceso físico e lógico a los sistemas empresariales que se interfazan con el ambiente de pago, embora esté reducido.
El comerciante também mantiene la responsabilidade de formar al personal que gere procesos de pago, de verificar periódicamente que sus fornecedores mantienen la certificação PCI DSS e de documentar el perímetro de su propio CDE. Este último punto es crítico: muchos comerciantes que utilizan fornecedores certificados no documentan correctamente su propio ámbito reducido e se encontram en dificultades quando el adquirente solicita aclaraciones sobre el SAQ. El fornecedor pode proporcionar documentação de apoyo, mas la responsabilidade de la correcta cumplimentação del SAQ es sempre del comerciante.
El modelo PCI DSS as a Service con PCI Proxy EU
Con PCI Proxy EU, el comerciante delega al fornecedor la gestão completa de los dados de cartão: tokenização, vault encriptação en Europa, conformidade PCI DSS Level 1 de la infraestrutura de pago. El comerciante mantiene el control de su negocio e de los fluxos de pago, mas sin que los dados de cartão entren nunca en su ambiente. Esto permite al comerciante cualificarse tipicamente para el SAQ A, reduciendo su perímetro de responsabilidade directa a los pocos controles exigidos por ese cuestionario.
El modelo as-a-service inclui também suporte en la cumplimentação del SAQ, documentação del perímetro y, a petição, atestação del fornecedor como fornecedor de serviços conforme con PCI DSS que el comerciante pode adjuntar a su documentação de conformidade. Esto simplifica notablemente el proceso anual de renovação del conformidade con el adquirente. El comerciante no precisa contratar consultores externos para la auditoría o el vulnerability scanning de la infraestrutura de pago: todo ello forma parte del perímetro del fornecedor.
Preguntas frecuentes
Al externalizar el conformidade PCI estoy a salvo de sancões?
Parcialmente. Externalizar la gestão de dados de cartão a un fornecedor certificado reduz significativamente el riesgo de brecha e las sancões asociadas. Pero si el comerciante no completa correctamente el SAQ, no gere sus propios accesos o no forma al personal en los procesos de pago, las responsabilidades residuales permanecen. En caso de auditoría o brecha, el adquirente verificará também la parte del perímetro que corresponde al comerciante, no apenas la del fornecedor.
Mi fornecedor pode firmar una carta de responsabilidade PCI?
Sí. Los fornecedores de serviços PCI DSS certificados suelen emitir una carta de responsabilidade (Responsibility Matrix o Attestation of Compliance) que documenta qué controles PCI DSS forman parte del perímetro del fornecedor e cuáles corresponden al comerciante. Este documento es útil para adjuntarlo al SAQ quando el adquirente solicita documentação del perímetro. Verifica con tu fornecedor que su certificação esté actualizada e que la carta de responsabilidade haga referência específica a los serviços que utilizas.
Cuánto cuesta externalizar respecto a gestionarlo internamente?
Para la mayoría de los comerciantes de tamaño medio, externalizar a un fornecedor certificado es significativamente menos dispendioso que la gestão interna. Los custos internos incluyen infraestrutura certificada, vulnerability scanning trimestral, penetration test anual, formação del personal e consultoría QSA. Un comerciante que gere internamente un CDE completo pode gastar entre 50.000 e mais de 200.000 euros al año en conformidade. Un serviço de tokenização as-a-service tem un custo fijo predecible, tipicamente de un orden de magnitud inferior.
Delega el conformidade PCI DSS manteniendo el control de tu negocio: la tokenização as-a-service es el modelo mais eficiente para la mayoría de los comerciantes. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos