Doce tiendas. Un ciclo PCI. ~28% de brecha de registro, cerrada.

El planteamiento

El cliente es un retailer especializado que cotiza en bolsa, con varios cientos de tiendas en EE. UU. y una rama de contratos federales (uniformes y suministro para cuentas federales) que sitúa a la empresa bajo el cumplimiento de la Sección 889 de la NDAA. Cumplimiento: PCI DSS 4.0 en cada ubicación con TPV (evaluación anual), leyes estatales de privacidad (CCPA/CPRA, VCDPA), NDAA 889 para la rama de contratos federales, ISO 27001 para el patrimonio de TI corporativo.

El problema recurrente: la integridad del inventario PCI era un hallazgo en cada evaluación anual. El programa PCI del cliente se apoyaba en los gerentes de tienda para mantener una lista de dispositivos por tienda; el muestreo del evaluador encontraba con regularidad dispositivos en el cable que no estaban en la lista del gerente. La mayoría eran controladores de señalización gestionados por proveedor, kioscos y hardware accesorio del TPV (impresoras de etiquetas, escáneres) instalados durante renovaciones trimestrales de merchandising visual que no pasaban por la gestión de cambios central de TI.

La petición: producir una forma de evidencia consistente por tienda que el QSA pudiera aceptar sin más, muestrear cualquier tienda y verificar en lugar de reconstruir.

Por qué CybrIQ

El CISO del retailer y el responsable del programa PCI eligieron CybrIQ específicamente por su capacidad de producir una forma de evidencia idéntica en muchos sitios de bajo contacto. La red a nivel de tienda es intencionalmente sencilla: un único switch, un AP inalámbrico, un controlador de TPV, reproductores de señalización. Las herramientas basadas en agente en cientos de tiendas son operativamente inviables; la lectura pasiva de Capa 1 de CybrIQ se despliega sin participación de TI a nivel de tienda.

Los criterios de decisión eran estrechos:

• Forma de evidencia idéntica en todos los sitios. El QSA debía poder muestrear cualquiera de las 12 tiendas y ver el mismo formato de registro, fechado y estructurado de la misma manera.
• Cero participación de TI por tienda. Las tiendas no tienen personal de TI in situ; el despliegue debía ser instalable de forma remota enviando el equipo por correo a cada ubicación.
• Cumplimiento NDAA 889 sobre el mismo registro. Sistemas de señalización y de cámaras marcados por componentes prohibidos sin un escaneo aparte.
• Claridad del alcance PCI. La evidencia debía hacer evidentes para el evaluador las clasificaciones de dispositivos dentro y fuera del alcance.

El proyecto

El proyecto delimitó 12 tiendas en una región: una mezcla de ubicaciones en centros comerciales, tiendas a pie de calle y un centro outlet. Los equipos se enviaron a cada tienda; el personal in situ los conectó a la toma de red que indicaba la guía de despliegue. En las 48 horas posteriores a la activación del equipo de cada tienda, el inventario por tienda aterrizó en el tenant central de CybrIQ. El responsable del programa PCI y el QSA del retailer se sumaron cada uno a una revisión del Día 7.

Lo que mostró el cable

• Brecha media de ~28% entre el registro de activos y el cable en las 12 tiendas. El rango fue del 18% al 41% según la antigüedad de la tienda y la cadencia de renovación; las peores brechas estuvieron en las ubicaciones con la renovación de merchandising visual más reciente.
• 9 componentes prohibidos por NDAA identificados en las 12 tiendas. Todos estaban dentro de controladores de señalización gestionados por proveedor etiquetados con una marca de proveedor estadounidense. Bloqueo automático en el cable al ser identificados; la rama de contratos federales arrastraba obligaciones 889 que el equipo de merchandising visual desconocía.
• 3 switches no gestionados en los armarios de red de la trastienda. Los tres eran anteriores a los gerentes de tienda actuales; nadie sabía cuándo se habían instalado.
• 17 dispositivos inalámbricos en la VLAN corporativa que deberían haber estado en la VLAN de invitados. Kioscos de cara al cliente mal configurados durante la instalación; CybrIQ los marcó como candidatos a expansión del alcance PCI en el Día 2.
• 5 dispositivos accesorios de TPV (impresoras de etiquetas, escáneres) con firmware más antiguo que el mínimo PCI 4.0 de la plataforma. Solución sencilla una vez visibles; imposibles de encontrar antes del despliegue.

El resultado

El hallazgo PCI 12.5.1 de integridad de inventario se cerró en el siguiente ciclo de evaluación. El QSA tomó la evidencia por tienda de CybrIQ como artefacto subyacente y dejó de pedir las listas de dispositivos mantenidas por los gerentes; el muestreo se hace ahora contra la exportación de la plataforma, no contra recorridos en tienda. El retailer amplió SpacesIQ a 80 tiendas adicionales en los seis meses siguientes y va camino de la cobertura completa de la huella. ComplianceIQ canaliza la evidencia hacia los ciclos de informes de PCI y 889.

La categoría de auditoría que producía la mayoría de los hallazgos en cada ciclo previo, «integridad del inventario de activos», no ha producido ningún hallazgo desde entonces.

Por qué este proyecto es el de referencia

Este proyecto es la referencia retail multi-sitio. La misma forma de evidencia por tienda en cientos de tiendas es lo que hace que la matemática del ciclo de auditoría PCI 4.0 funcione; el despliegue de 12 tiendas demostró el modelo antes de que el cliente lo ampliara.

Los números de brecha de registro de ~28% y los 9 componentes prohibidos por NDAA pertenecen a este proyecto. El patrón se generaliza en retailers multi-sitio: los inventarios a nivel de tienda se desvían más rápido de lo que la TI central puede seguir.

Lecturas recomendadas

• El registro de activos miente. Por qué la hoja de cálculo se desvía del cable el primer día y nunca cuadra.
• «Tiene buena pinta» no es evidencia de Capa 1. Lo que un panel ambiental te dice, lo que no.
• Cinco informes, una sola verdad. Mapeo de un único registro de Capa 1 a HIPAA, PCI, SOC 2, NIST CSF y CMMC.