Manual

Industria de las Tarjetas de Pago (PCI)
Norma de Seguridad de Datos

Cuestionario de Autoevaluación
y Declaración de Cumplimiento
Aplicación de Pago Conectada a Internet,

Sin Almacenamiento de Datos de Titulares
Electrónicos
Versión 2.0
Octubre de 2010

Modificaciones realizadas a los documentos
Fecha Versión Descripción

1 de octubre de Alinear el contenido con la nueva versión 1.2 de PCI DSS e
1.2
2008 implementar cambios menores notados desde la versión 1.1 original.
28 de octubre de Para alinear el contenido con los requisitos y procedimientos de
2.0
2010 prueba de PCI DSS v2.0
SAQ C de las PCI DSS, v2.0, Modificaciones realizadas a los documentos Octubre de 2010
Copyright 2010, PCI Security Standards Council LLC Página i
Índice
Modificaciones realizadas a los documentos.............................................................. i
Norma de seguridad de datos de la PCI: Documentos relacionados ..................... iii
Antes de comenzar ...................................................................................................... iv
Respuestas del cuestionario de autoevaluación..................................................................iv
Pasos para completar el cumplimiento de las PCI DSS .......................................................v
Guía para la no aplicabilidad de ciertos requisitos específicos ..........................................v
Declaración de cumplimiento, SAQ C ......................................................................... 1
Cuestionario de Autoevaluación C .............................................................................. 7
Desarrollar y mantener una red segura..................................................................................7
Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos ..........7
Requisito 2: No utilizar los valores predeterminados por los proveedores para contraseñas
de sistema y otros parámetros de seguridad..............................................8
Proteger los datos del titular de la tarjeta ............................................................................10
Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados.....................10
Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas
abiertas .....................................................................................................11
Mantener un programa de administración de vulnerabilidad ............................................12
Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus...........12
Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras..................................12
Implementar medidas sólidas de control de acceso...........................................................13
Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de
saber que tenga la empresa. ....................................................................13
Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora13
Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta............................13
Supervisar y evaluar las redes con regularidad ..................................................................15
Requisito 11: Probar periódicamente los sistemas y procesos de seguridad .......................15
Mantener una política de seguridad de información...........................................................17
Requisito 12: Mantener una política que aborde la seguridad de la información para todo el
personal ....................................................................................................17
Anexo A: (no utilizado) ............................................................................................... 19
Anexo B: Controles de compensación...................................................................... 20
Anexo C: Hoja de trabajo de controles de compensación ...................................... 22
Hoja de trabajo de controles de compensación – Ejemplo completado...........................23
Anexo D: Explicaciones de no aplicabilidad ............................................................ 24
PCI DSS SAQ C, v2.0, Tabla de Contenido Octubre de 2010

Copyright 2010, PCI Security Standards Council LLC Página ii
Norma de seguridad de datos de la PCI: Documentos relacionados
Los documentos siguientes se crearon para asistir a los comerciantes y a los proveedores de servicios
en la compresión de la Norma de seguridad de datos de la PCI (PCI DSS) y el SAQ de las PCI DSS.
Documento Audiencia
Norma de seguridad de datos de la PCI: Todos los comerciantes y

Requisitos y procedimientos de evaluación de seguridad proveedores de servicio
Navegación de las PCI DSS: Todos los comerciantes y
Comprensión del objetivo de los requisitos proveedores de servicio
Norma de seguridad de datos de la PCI: Todos los comerciantes y
Instrucciones y directrices de autoevaluación proveedores de servicio
Norma de seguridad de datos de la PCI: Comerciantes elegibles1
Cuestionario A de autoevaluación y declaración
Cuestionario de autoevaluación B y Declaración
Cuestionario de autoevaluación C-VT y Declaración
Cuestionario de autoevaluación C y Declaración
Norma de seguridad de datos de la PCI: Comerciantes y proveedores
Cuestionario de autoevaluación D y Declaración de servicio elegibles1
Normas de seguridad de datos de la PCI y Normas de Todos los comerciantes y
Seguridad de Datos para las Aplicaciones de Pago: proveedores de servicio
Glosario de términos, abreviaturas y acrónimos

1
Para determinar el Cuestionario de autoevaluación correcto, véase Norma de seguridad de datos de la
PCI: Instrucciones y directrices de autoevaluación, “Selección del SAQ y de la Declaración que mejor
se adapte a su organización”.
PCI DSS SAQ C, v2.0, Norma de Seguridad de PCI Data: Documentos relacionados Octubre de 2010
Copyright 2010, PCI Security Standards Council LLC Página iii
Antes de comenzar
Respuestas del cuestionario de autoevaluación
El SAQ C ha sido desarrollado para abordar los requisitos aplicables a los comerciantes que procesan
datos de los titulares de tarjeta a través de aplicaciones de pago (por ejemplo, sistemas de punto de
venta) conectadas a Internet (por ejemplo, a través de DSL, módem de cable, etc), pero que no
almacenan datos de titulares de tarjeta en ningún sistema de computadoras. Estas aplicaciones de pago
están conectadas a Internet bien porque:
1. La aplicación de pago en una computadora personal conectada a la Internet, o
2. La aplicación de pago está conectada a la Internet para transmitir datos de los titulares de tarjeta.
Los comerciantes correspondientes al SAQ C se are definen aquí y en las Instrucciones y directrices del
cuestionario de autoevaluación de las PCI DSS. Los comerciantes correspondientes al SAQ C procesan
los datos de los titulares de tarjeta a través de máquinas de punto de venta u otros sistemas de
aplicaciones de pago conectados a Internet, no almacenan datos de los titulares de tarjeta en ningún
sistema informático, y pueden ser comerciantes con instalaciones físicas (con la tarjeta presente) o
comercio electrónico, o pedido por correo electrónico/teléfono (tarjeta no presente). Tales comerciantes
validan el cumplimiento llenando el SAQ C y la Declaración de cumplimiento, con los cuales confirman
que:
Su empresa posee un Sistema de aplicaciones de pago y conexión a Internet en el mismo
dispositivo y/o la misma red de área local (LAN);
La aplicación de pago o dispositivo de Internet no está conectado a otros sistemas dentro de su
entorno (esto se puede lograr a través de la segmentación de la red para aislar el sistema de
aplicaciones de pago/dispositivo de Internet de todos los otros sistemas);
La tienda de su compañía no está conectada a tiendas con otras ubicaciones, y ninguna LAN es
para una sola tienda;
Su empresa conserva solamente informes en papel o copias en papel de recibos;
Su empresa no almacena datos de titulares de tarjeta en formato electrónico; y
El proveedor de la aplicación de pagos de su empresa utiliza técnicas seguras para proporcionar
soporte remoto a su sistema pago.
Cada sección de este cuestionario se concentra en un área específica de la seguridad, con base en los
requisitos de los Requisitos de las PCI DSS y procedimientos para la evaluación de la seguridad. Esta
versión abreviada del SAQ incluye preguntas que se aplican a un tipo específico de entorno de pequeños
comerciantes, tal como se define en los criterios de elegibilidad. Si hay requisitos de PCI DSS aplicables
a su entorno que no están cubiertos en este SAQ, puede ser una indicación de que este SAQ no es
adecuado para su entorno. Además, de cualquier modo debe cumplir todos los requisitos de las PCI DSS
para poder ser caracterizado como empresa que cumple las PCI DSS.
SAQ C de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010

Copyright 2010, PCI Security Standards Council LLC Página iv
Pasos para completar el cumplimiento de las PCI DSS
1. Evalúe su entorno de cumplimiento de las PCI DSS.
2. Complete el cuestionario de autoevaluación (SAQ C) de acuerdo a las instrucciones del
Instrucciones y directrices del cuestionario de autoevaluación de las PCI DSS.
3. Asegúrese de que un Proveedor Aprobado de Escaneo (ASV) de las PCI SSC haya completado
escaneos aprobados de vulnerabilidad y solicítele pruebas al ASV de los escaneos aprobados.
4. Complete la Declaración de cumplimiento en su totalidad.
5. Envíe el SAQ, la evidencia de un escaneo aprobado, y la Declaración de Cumplimiento, junto
con cualquier otra documentación solicitada, a su adquirente.
Guía para la no aplicabilidad de ciertos requisitos específicos

Exclusión: Si usted está obligado a responder el SAQ C para validar su cumplimiento de las PCI DSS,
la siguiente excepción puede ser considerada. Consulte "No aplicabilidad", abajo, para la la
correspondiente respuesta de SAQ.
Las preguntas específicas a la tecnología inalámbrica sólo deben ser contestadas si la tecnología
inalámbrica está presente en cualquier parte de la red (por ejemplo, los requisitos 1.2.3, 2.1.1 y
4.1.1). Tenga en cuenta que el Requisito 11.1 (uso de un proceso para identificar los puntos de
acceso inalámbricos no autorizados) deben ser respondido de cualquier modo, incluso si en su red
no hay tecnología inalámbrica, debido a que el proceso detecta cualesquiera accesos fraudulentos o
dispositivos no autorizados que se hayan añadido sin su conocimiento.
No Aplicabilidad: Este y cualquier otro requisito que no se consideren aplicables a su entorno deberá
indicarse con “N/A” en la columna "Especial" del SAQ. En consecuencia, llene la hoja de trabajo
“Explicación de no aplicabilidad” en el Apéndice D para cada entrada "N/A".
SAQ C de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010

Copyright 2010, PCI Security Standards Council LLC Página v
Declaración de cumplimiento, SAQ C
Instrucciones para la presentación
El comerciante debe completar esta Atestación de cumplimiento como una declaración de su estado de
cumplimiento con los Requisitos de la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y
procedimientos de evaluación de seguridad. Complete todas las secciones aplicables y consulte las instrucciones de
presentación en “Cumplimiento con la PCI DSS: Pasos para completar el proceso” en este documento.
Parte 1. Información sobre Comerciante y Asesor de Seguridad Certificado

Parte a. Información de la organización del comerciante
Nombre de la DBA (S):
empresa:
Nombre del contacto: Cargo:
Teléfono: Correo
electrónico:
Dirección comercial: Ciudad:
Estado/Provincia: País: Código

postal:
URL:

Parte 1b. Información de la empresa del evaluador de seguridad certificado (QSA) (si
corresponde)
Nombre de la
empresa:
Nombre del contacto

Cargo:
del QSA principal:
Teléfono: Correo
electrónico:
Dirección comercial: Ciudad:
Estado/Provincia: País: Código

postal:
URL:

Parte 2. Tipo de empresa comerciante (marque todo lo que corresponda):
Comercio minorista Telecomunicaciones Tiendas de
comestibles y supermercados
Petróleo Comercio electrónico Pedidos por correo/teléfono Otros
(especifique):
Enumere las instalaciones y ubicaciones incluidas en la revisión de la PCI DSS:

Parte 2a. Relaciones
SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010

Copyright 2010, PCI Security Standards Council LLC Página 1
¿Su empresa tiene relación con uno o más agentes externos (por ejemplo, empresas de
puertas de enlace y web hosting, agentes de reservas aéreas, agentes de programas de Sí No
lealtad, etc.)?
¿Está relacionada su empresa con más de un adquiriente? Sí No



Parte 2b. Procesamiento de transacciones
¿De qué forma y en qué capacidad almacena, procesa y/o transmite su empresa los datos de titulares de
tarjetas?
Por favor proporcione la siguiente información relativa a las aplicaciones de pago que su organización
utiliza:
Aplicación de pago en uso: Número de Validado por última vez según PABP/PA-
versión: DSS

Parte 2c. Elegibilidad para completar el SAQ C
El comerciante certifica que es elegible para completar esta versión abreviada del Cuestionario de autoevaluación
porque:
El comerciante tiene un sistema de aplicaciones de pago y una conexión a Internet o conexión a red
pública en el mismo dispositivo. y/o la misma red de área local (LAN);
El sistema de aplicación de pago/dispositivo de Internet no está conectado a ningún otro sistema dentro del
entorno del comerciante.
La tienda del Comerciante no está conectada con otras ubicaciones de tiendas, y cualquier LAN es
para una sola tienda;
El comerciante no almacena datos del titular de la tarjeta en formato electrónico.
Si el comerciante almacena datos del titular de la tarjeta, éstos sólo están en informes impresos o copias
de recibos impresos y no se reciben electrónicamente.
El proveedor del software de la aplicación de pago del comerciante utiliza técnicas seguras para
proporcionar asistencia remota al sistema de aplicación de pago del comerciante.

Parte 3. Validación de la PCI DSS
Según los resultados observados en el SAQ C de fecha (fecha en que se completó), (nombre de la empresa
comerciante) declara el siguiente estado de cumplimiento (marque uno):
En cumplimiento: Se han completado todas las secciones del SAQ de las PCI y se ha respondido “sí” a
todas las preguntas, lo que genera una calificación general de EN CUMPLIMIENTO, y se ha completado un
escaneo de aprobación con un proveedor aprobado de escaneo de las PCI SSC (ASV) y, por lo tanto
(Nombre de la empresa del comerciante) ha demostrado un cumplimiento total con las PCI DSS.

Falta de cumplimiento: No se han completado todas las secciones del SAQ de las PCI, o se ha
respondido “no” a algunas preguntas, lo que genera una calificación general de FALTA DE
CUMPLIMIENTO, y no se ha completado un escaneo de aprobación con un proveedor aprobado de
escaneo de las PCI SSC (ASV), por lo tanto (nombre de la empresa comerciante) no ha demostrado un
cumplimiento total con la PCI DSS.
Fecha objetivo para el cumplimiento:
Es posible que se exija a una entidad que presente este formulario con un estado de Falta de cumplimiento
que complete el Plan de acción en la Parte 4 de este documento. Verifique con su adquiriente o con las
marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección.



Parte 3a. Confirmación del estado de cumplimiento
El comerciante confirma que:
El Cuestionario de autoevaluación C de la PCI DSS, Versión (versión del SAQ), se completó de acuerdo
con las instrucciones correspondientes.
Toda la información dentro del arriba citado SAQ y en esta atestación representa razonablemente los
resultados de mi evaluación en todos los aspectos sustanciales.
He confirmado con mi proveedor de la aplicación de pago que mi sistema de pago no almacena datos
confidenciales de autenticación después de la autorización.
He leído la PCI DSS y reconozco que debo mantener el pleno cumplimiento de dicha norma en todo
momento.
No hay evidencia de almacenamiento de datos de banda magnética (es decir, de pistas)2datos CAV2,
3 4
CVC2, CID o CVV2 ni de datos de PIN después de la autorización de la transacción en NINGÚN sistema
revisado durante esta evaluación.

Parte 3b. Acuse de recibo del comerciante
Firma del director ejecutivo del comerciante Ç Fecha Ç
Nombre del director ejecutivo del comerciante Ç Cargo Ç

Empresa comerciante representada Ç

2
Datos codificados en la banda magnética, o su equivalente, utilizada para la autorización durante una transacción con tarjeta
presente. Las entidades no pueden retener todos los datos de la banda magnética después de la autorización de la transacción.
Los únicos elementos de los datos de pistas que pueden retenerse son el número de cuenta, la fecha de vencimiento y el
nombre.
3
El valor de tres o cuatro dígitos impreso sobre o a la derecha del panel de firma, o en el frente de una tarjeta de pago, que se
utiliza para verificar las transacciones sin tarjeta presente.
4
El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente y/o el
bloque de PIN cifrado presente en el mensaje de la transacción.

Parte 4. Plan de acción para el estado “Falta de cumplimiento”

Seleccione el “Estado de cumplimiento” correspondiente para cada requisito. Si responde “NO” a alguno de los
requisitos, deberá indicar la fecha en que la empresa estará en cumplimiento con dicho requisito y una breve
descripción de las medidas que se están tomando para tal fin. Verifique con su adquiriente o con las marcas de
pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección.
Estado de
cumplimiento Fecha y medidas de
(seleccione uno) corrección
Requisito de (si el estado de
las PCI DSS Descripción del requisito SÍ NO cumplimiento es “NO”)
1 Instalar y mantener una configuración de

firewall para proteger los datos del titular
de la tarjeta.
No usar los valores predeterminados

2 suministrados por el proveedor para las
contraseñas del sistema y otros

parámetros de seguridad.
Proteger los datos almacenados del

3
titular de la tarjeta.

Cifrar la transmisión de los datos del

4 titular de la tarjeta en las redes públicas
abiertas.
Utilice y actualice con regularidad los

5
programas o software antivirus.

Desarrollar y mantener sistemas y

6
aplicaciones seguros.

Restringir el acceso a los datos del titular

7 de la tarjeta según la necesidad de
saber que tenga la empresa.
Asignar una ID exclusiva a cada persona

8
que tenga acceso por computadora.

Restringir el acceso físico a los datos del

9
titular de la tarjeta.

Probar periódicamente los sistemas y

11
procesos de seguridad.

Mantener una política que aborde la

12 seguridad de la información para todo el
personal

Cuestionario de Autoevaluación C
Nota: Las siguientes preguntas están numeradas de acuerdo con los requisitos y procedimientos de
prueba de las PCI DSS, tal como se definen en el documento de Procedimientos de evaluación de
seguridad y requisitos de las PCI DSS.
Fecha en que se completó:

Desarrollar y mantener una red segura
Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos
Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial*
1.2 ¿Restringen las configuraciones para firewalls y routers las
conexiones entre redes no confiables y cualquier sistema en el
entorno de los datos de titulares de tarjeta de la manera siguiente:?
Nota: Una “red no confiable” es toda red que es externa a las redes
que pertenecen a la entidad bajo evaluación y/o que escapa al control
o administración por parte de la entidad.
1.2.1 (a) ¿Está el tránsito entrante y saliente restringido a la
cantidad que sea necesaria en el entorno de datos del
titular de la tarjeta y se documentan las restricciones?
(b) ¿Se niega todo el resto del tránsito entrante o saliente (por
ejemplo, mediante la utilización de una declaración
explícita "negar todos" o una negación implícita después
de una declaración de permiso)?.
1.2.3 ¿Están instalados firewalls de perímetro entre las redes
inalámbricas y el entorno de datos del titular de la tarjeta? y,
¿están estos firewalls configurados para negar y controlar (en
caso de que ese tránsito fuera necesario para fines
comerciales) todo tránsito desde el entorno inalámbrico hacia
el entorno del titular de la tarjeta?
1.3 ¿Prohíbe la configuración de firewall el acceso directo público entre
Internet y cualquier componente del sistema en el entorno de datos de
los titulares de tarjetas de la manera siguiente:?
1.3.3 ¿Están permitidas las conexiones directas para el tráfico
saliente o entrante entre Internet y el entorno del titular de la
tarjeta?
1.3.5 ¿Está expresamente autorizado el tráfico saliente desde el
entorno de datos del titular de la tarjeta a la Internet?
1.3.6 ¿Está implementada la inspección completa, también
conocida como filtrado dinámico de paquetes, (es decir,
sólo se permiten conexiones establecidas en red)?

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

Requisito 2: No utilizar los valores predeterminados por los proveedores para
contraseñas de sistema y otros parámetros de seguridad
Respuesta a la Pregunta sobre las PCI DSS: Sí No Especia
l*
2.1 ¿Se cambian siempre los valores predeterminados por el proveedor
antes de instalar un sistema en la red?
Entre los valores predeterminados por los proveedores figuran, sin
sentido limitativo, contraseñas, cadenas comunitarias de protocolo
simple de administración de red (SNMP) y la eliminación de
cuentas innecesarias.
2.1.1 Para entornos con tecnología inalámbrica conectados al
entorno de datos del titular de la tarjeta o la transmisión de
datos de los titulares de tarjeta, ¿se cambian los valores
predeterminados de la siguiente manera:
(a) ¿Se cambian las claves de cifrado predeterminadas al
momento de la instalación, y se cambian cada vez que
una persona que tenga conocimiento de éstas cesa en
sus funciones o se traslada a otro cargo en la empresa?
(b) ¿Se cambian las cadenas comunitarias SNMP
predeterminadas en los dispositivos inalámbricos?
(c) ¿Se cambian las contraseñas/frases de contraseña
predeterminadas en los puntos de acceso?
(d) ¿Se actualiza el firmware de los dispositivos inalámbricos
a los efectos de admitir el cifrado sólido para la
autenticación y la transmisión en redes inalámbricas?
(e) ¿Se cambian otros valores de seguridad de sistemas
inalámbricos predeterminados por los proveedores, si
corresponde?
2.2.2 (a) ¿Se habilitan sólo los servicios necesarios, protocolos,
daemons, etc según lo exija la función del sistema
(inhabilitan servicios y protocolos que no sean
directamente necesarios para desempeñar la función
especificada del dispositivo)?
2.3 ¿La totalidad del acceso administrativo que no es de consola se
cifra de la siguiente manera:?
Utilice tecnologías como SSH, VPN o SSL/TLS para la
administración basada en la web y otros tipos de acceso
administrativo que no sea de consola.
(a) ¿La totalidad del acceso administrativo que no es de consola
se cifra con criptografía sólida, y se invoca un método de
cifrado sólido antes de que se solicite una contraseña de
administrador?
(b) ¿Lo servicios del sistema y archivos de parámetros son
configurados de modo que impidan el uso de Telnet y otros
comandos de inicio de sesión remotos inseguros?

l*
(c) ¿El acceso de administradores a la interfaz de administración
basada en la web está cifrado mediante una sólida
criptografía?

Proteger los datos del titular de la tarjeta
Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados
3.2 (b) Si se reciben y borran datos de autenticación confidenciales, ¿se
ponen en práctica procesos de eliminación de datos, a fin de
comprobar que los datos sean irrecuperables?
(c) ¿Todos los sistemas se adhieren a los siguientes requisitos de no
almacenamiento de datos de autenticación confidenciales después de
la autorización (incluso si son cifrados)?
3.2.1 ¿Bajo ninguna circunstancia se almacena el contenido completo
de pista de la banda magnética (ubicada en el reverso de la
tarjeta, datos equivalentes que están en un chip o en cualquier
otro dispositivo)?
Estos datos se denominan alternativamente, pista completa,
pista, pista 1, pista 2 y datos de banda magnética.
En el transcurso normal de los negocios, es posible que se
deban retener los siguientes elementos de datos de la banda
magnética:
El nombre del titular de la tarjeta.
Número de cuenta principal (PAN).
Fecha de vencimiento.
Código de servicio
Para minimizar el riesgo, almacene solamente los elementos de
datos que sean necesarios para el negocio.
3.2.2 ¿Bajo ninguna circunstancia se almacena el código o valor de
verificación de la tarjeta (número de tres o cuatro dígitos
impresos en el anverso o el reverso de una tarjeta de pago)?
3.2.3 ¿Bajo ninguna circunstancia se almacena el número de
identificación personal (PIN) o el bloqueo del PIN cifrado?
3.3 ¿Se oculta el PAN cuando aparece (los primeros seis y los últimos
cuatro dígitos es la cantidad máxima de dígitos se muestran)?
Notas:
Este requisito no se aplica a trabajadores y a otras personas o
compañías con una necesidad comercial legítima de conocer el
PAN completo;
Este requisito no reemplaza los requisitos más estrictos que
fueron implementados para la presentación de datos de titulares
de tarjeta (por ejemplo, los recibos de puntos de venta (POS) .

Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes
públicas abiertas
4.1 (a) ¿Se utiliza criptografía y protocolos de seguridad sólidos como
SSL/TLS o IPSEC para salvaguardar datos confidenciales de
titulares de tarjetas durante su transmisión a través de redes
públicas abiertas?
Como ejemplos de redes públicas abiertas que se encuentran dentro
del ámbito de aplicación de las PCI DSS se pueden mencionar, sin
sentido limitativo, Internet, las tecnologías inalámbricas, el sistema
global de comunicaciones móviles (GSM) y el servicio general de
paquetes vía radio (GPRS).
(b) ¿Sólo se aceptan claves/certificados de confianza?
(c) ¿Se implementan protocolos de seguridad para utilizar sólo
configuraciones seguras, y no admitir versiones o
configuraciones inseguras?
(d) ¿Se implementa el nivel de cifrado adecuado para la
metodología de cifrado que se utiliza (ver recomendaciones de
proveedores/mejores prácticas)?
(e) Para implementaciones de SSL/TLS:
• ¿HTTPS aparece como parte del URL (Universal Record
Locator) del navegador?
• ¿Los datos de los titulares de tarjeta se exigen únicamente si
HTTPS aparece en la URL?
4.1.1 ¿Se aplican las mejores prácticas de la industria (por
ejemplo, IEEE 802.11i) para implementar el cifrado sólido
para la autenticación y transmisión para redes inalámbricas
de transmisión de datos de los titulares de tarjeta
conectados con el entorno de datos del titular de la tarjeta?
Nota: La utilización de WEP como control de seguridad se
prohibió a partir del 30 de junio de 2010.
4.2 (b) ¿Se han puesto en práctica políticas que especifiquen que no se
deben enviar números PAN sin protección a través de las
tecnologías de mensajería del usuario final?

Mantener un programa de administración de vulnerabilidad
Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus
5.1 ¿Se instala software anti-virus en todos los sistemas comúnmente
afectados por software malicioso?
5.1.1 ¿Todos los programas antivirus son capaces de detectar,

eliminar y proteger contra todos los tipos conocidos de software
malicioso (por ejemplo, virus, troyanos, gusanos, spyware,
adware y rootkit)?
5.2 ¿Está actualizado todo el software anti-virus, funcionando
activamente, y generando registros de auditoría, de la siguiente
manera:
(a) ¿La política anti-virus requiere la actualización del software
anti-virus y sus definiciones?
(b) ¿Está la instalación maestra del software habilitada para
actualización automática y escaneos periódicos?
(c) ¿Están habilitadas las actualizaciones automáticas y los
escaneos periódicos ?
(d) ¿Están todos los mecanismos anti-virus generando registros de
auditoría?, y ¿son conservados los registros de conformidad
con el Requisito 10.7 de las PCI DSS?
Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras

Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial
*
6.1 (a) ¿Todos los componentes de sistemas y software cuentan con los
parches de seguridad más recientes proporcionados por los
proveedores para protección contra vulnerabilidades conocidas?
(b) ¿Se instalan parches de seguridad crítica en un lapso de un mes
contado a partir de su fecha de lanzamiento?


Implementar medidas sólidas de control de acceso
Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de
saber que tenga la empresa.
7.1 (a) ¿Se limita el acceso a los componentes del sistema y a los datos
de titulares de tarjeta a aquellos individuos cuyas tareas
necesitan de ese acceso, de la manera siguiente?:
7.1.1 ¿Los derechos de acceso para usuarios con ID privilegiados
están restringidos a los privilegios mínimos necesarios para
llevar a cabo las responsabilidades del trabajo?
7.1.2 ¿Los privilegios se asignan a personas de acuerdo con su
clasificación y función de su cargo (también denominados
"control de acceso por funciones" o RBAC).?
Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por
computadora
*
8.3 ¿Está la autenticación de dos factores incorporada a la red de
empleados, administradores y terceros para el acceso remoto (acceso
en el nivel de la red desde fuera de la red) ?
(Por ejemplo, autenticación remota y servicio dial-in (RADIUS) con
tokens; o sistema de control de acceso mediante control del acceso
desde terminales (TACACS) con tokens; u otras tecnologías que
faciliten la autenticación de dos factores)
Nota: La autenticación de dos factores exige utilizar dos de los tres
métodos de autenticación (consulte el Requisito 8.2 de las PCI DSS
para obtener una descripción de los métodos de autenticación). El uso
de un mismo factor dos veces (por ejemplo, utilizar dos contraseñas
individuales) no se considera una autenticación de dos factores.
8.5.6 (a) ¿Las cuentas utilizadas por los proveedores para el acceso
remoto, el mantenimiento o soporte están habilitadas sólo
durante el período de tiempo necesario?
(b) ¿Las cuentas de acceso remoto de los proveedores son
supervisadas sólo cuando están utilizándose?

Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta

*


*

9.6 ¿Todos los medios de almacenamiento cuentan con medidas de
seguridad físicas (incluyendo, sin sentido limitativo, a computadoras,
medios extraíbles electrónicos, recibos en papel, informes de papel y
faxes)?
A los efectos del Requisito 9 “medios” se refiere a todos los medios
en papel y electrónicos que contienen datos de titulares de tarjetas.
9.7 (a) ¿Se lleva un control estricto sobre la distribución interna o externa
de cualquier tipo de medios?
(b) ¿Incluyen los controles lo siguiente:
9.7.1 ¿Están clasificados los medios de manera que se pueda

determinar la confidencialidad de los datos?
9.7.2 ¿Los medios se envían por correo seguro u otro método de
envío que se pueda rastrear con precisión?
9.8 ¿Se mantienen registros para el seguimiento de todos los medios que
se trasladan desde una zona restringida, y se obtiene aprobación de
la gerencia antes de trasladar los medios (especialmente cuando se
distribuyen a personas)?
9.9 ¿Se lleva un control estricto sobre el almacenamiento y accesibilidad
de los medios?
9.10 ¿Se destruyen todos los medios cuando ya no son necesarios por
razones comerciales o legales?
La destrucción debe realizarse de la siguiente manera:
9.10.1 (a) ¿Se cortan en tiras, incineran o se transforman en pasta
los materiales de copias en papel para que no se puedan
reconstruir los datos de titulares de tarjetas?
(b) ¿Se aplican medidas de seguridad los contenedores que
almacenan información que será destruida, a fin de
impedir acceso al contenido? (Por ejemplo, un contenedor
para corte en tiras cuenta con una traba para impedir el
acceso a su contenido).

Supervisar y evaluar las redes con regularidad
Requisito 11: Probar periódicamente los sistemas y procesos de seguridad
l*
11.1 (a) ¿Se documenta con frecuencia trimestral el proceso
implementado para detectar e identificar puntos de acceso
inalámbricos?
Nota: Los métodos que se pueden utilizar en el proceso incluyen, pero
no se limitan a, escaneos de redes inalámbricas, inspecciones
físicas/lógicas de componentes del sistema e infraestructura, control
de acceso a la red (NAC) o IDS/IPS inalámbrico.
Independientemente de los métodos que se utilicen, éstos deben ser
suficientes para detectar e identificar cualquier dispositivo no
autorizado.
(b) ¿La metodología es capaz de detectar e identificar cualquier punto
de acceso, incluyendo por lo menos lo siguiente:?
• Tarjetas WLAN insertadas en los componentes del sistema;
• Dispositivos inalámbricos portátiles conectados al sistema
(por ejemplo, USB, etc.)
• Dispositivos inalámbricos conectados a un puerto de red o a
un dispositivo de red?
(c) ¿Se realiza por lo menos trimestralmente un proceso para
identificar puntos de acceso inalámbrico no autorizados?
(d) Si se utiliza supervisión automatizada (por ejemplo, IDS/IPS
inalámbrico, NAC, etc.), ¿se configura la supervisión para que
genere alertas al personal?
(e) ¿El Plan de respuesta a incidentes (Requisito 12.9) incluye una
respuesta en caso de que se detecten dispositivos inalámbricos
no autorizados?
11.2 ¿Se realizan escaneos internos y externos de vulnerabilidades en la
red al menos trimestralmente, y después de cada cambio significativo
en la red (tales como instalaciones de nuevos componentes del
sistema, cambios en la topología de la red, modificaciones en las
normas de firewall, actualizaciones de productos) de la manera
siguiente?:
Nota: No se requiere que se completen cuatro escaneos trimestrales
aprobados para el cumplimiento inicial de PCI DSS si el asesor
verifica que 1) el resultado del último escaneo fue un análisis
aprobado, 2) la entidad ha documentado políticas y procedimientos
que exigen escaneos trimestrales y 3) las vulnerabilidades detectadas
en los resultados del escaneo se han corregido tal como se muestra
en el nuevo escaneo. Durante los años posteriores a la revisión inicial
de las PCI DSS, se deben haber realizado escaneos trimestrales
aprobados.
11.2.1 (a) ¿Se realizan escaneos internos trimestrales de
vulnerabilidades?

l*
(b) ¿El proceso de análisis interno incluye nuevos escaneos
hasta que se obtienen resultados aprobados, o hasta que
se resuelven todas las vulnerabilidades “Altas”, de
conformidad con lo definido en el Requisito 6.2 de las PCI
DSS?
(c) ¿Los escaneos trimestrales son realizados por recurso(s)
internos calificados o por terceros calificados y, si
corresponde, la empresa que realiza las pruebas
garantiza la independencia? (no es necesario que sea un
QSA o ASV).
11.2.2 (a) ¿Se realizan escaneos externos trimestrales de
vulnerabilidades?
(b) ¿Los resultados de cada escaneo trimestral satisfacen los
requisitos de la Guía del programa ASV? (por ejemplo,
ausencia de vulnerabilidades con calificación mayor que
4.0 por la CVSS y ausencia de fallas automáticas).
(c) ¿Los escaneos trimestrales de vulnerabilidades externas
son realizados por Proveedores aprobados de escaneos
(ASV), aprobados por el Consejo de Normas de
Seguridad de la Industria de Tarjetas de Pago (PCI SSC)?
11.2.3 (a) ¿Se realizan escaneos internos y externos de las
vulnerabilidades en la red después de cada cambio
significativo en la red (tales como instalaciones de nuevos
componentes del sistema, cambios en la topología de la
red, modificaciones en las normas de firewall,
actualizaciones de productos) de la manera siguiente?:
Nota: Los escaneos realizados después de cambios en la red
puede realizarlos el personal interno.
(b) ¿El proceso de escaneo incluye nuevos análiasis hasta
que:
• Para escaneos externos, no se hayan registrado
vulnerabilidades con puntuaciones mayores que 4.0,
según la CVSS.
• Para escaneos internos, se haya obtenido un
resultado de aprobación o todas las vulnerabilidades
“Alta”, como las define el Requisito 6.2 de las PCI
DSS, hayan sido resueltas.
(c) ¿Los escaneos son realizados por recurso(s) internos
calificados o por terceros calificados y, si corresponde, la
empresa que realiza las pruebas garantiza la
independencia? (no es necesario que sea un QSA o
ASV).

Mantener una política de seguridad de información
Requisito 12: Mantener una política que aborde la seguridad de la información para todo
el personal

l*
12.1 ¿Existe una política de seguridad establecida, publicada, mantenida y
divulgada al todo el personal pertinente?
A los fines del Requisito 12, “personal” se refiere a personal de tiempo
completo y parcial, personal temporal, y contratistas y consultores que
“residan” en las instalaciones de la entidad o que tengan acceso al
entorno de datos de los titulares de tarjetas en la empresa.
12.1.3 ¿Se revisa la política de seguridad de la información al menos
una vez al año y se actualiza según sea necesario de manera
que refleje los cambios en los objetivos de la empresa o el
entorno de riesgos?
12.3 (a) ¿Se desarrollan políticas de utilización para tecnologías críticas
(por ejemplo, tecnologías de acceso remoto, tecnologías
inalámbricas, dispositivos electrónicos extraíbles, computadoras
portátiles, tabletas, asistentes digitales/para datos personales
[PDA], utilización del correo electrónico e Internet) para definir el
uso adecuado de dichas tecnologías por parte de todo el personal
que requieran los siguientes?
12.3.1 ¿Aprobación explícita de las partes autorizadas para utilizar
las tecnologías?
12.3.2 ¿Autenticación para el uso de la tecnología?
12.3.3 ¿Una lista de todos los dispositivos y el personal que tenga
acceso?
12.3.5 ¿Usos aceptables de la tecnología?
12.3.6 Ubicaciones aceptables para las tecnologías en la red?
12.3.8 Desconexión automática de sesiones para tecnologías de
acceso remoto después de un período específico de
inactividad
12.3.9 Activación de las tecnologías de acceso remoto para
proveedores y socios de negocio sólo cuando sea necesario,
con desactivación inmediata después de su uso?
12.4 ¿Las políticas y los procedimientos de seguridad definen claramente
las responsabilidades de seguridad de la información de todo el
personal?
12.5 ¿Las siguientes responsabilidades de administración de seguridad de
la información están asignadas a una persona o equipo?

l*
12.5.3 ¿Establecimiento, documentación y distribución de los
procedimientos de respuesta ante incidentes de seguridad y
escalación para garantizar un manejo oportuno y efectivo de
todas las situaciones?
12.6 (a) ¿Se ha implementado un programa formal de concienciación sobre
seguridad para que todo el personal tome conciencia de la importancia
de la seguridad de los datos de los titulares de tarjetas?
12.8 Si los datos de titulares de tarjeta se comparten con proveedores de
servicios, ¿se mantienen e implementan políticas y procedimientos
para administrarlos y controlarlos de la siguiente manera?
12.8.1 ¿Se mantiene una lista de proveedores de servicios?
12.8.2 ¿Se mantiene un acuerdo escrito que incluya un
reconocimiento en el sentido de que los proveedores de
servicios son responsables de la seguridad de los datos de
titulares de tarjetas que ellos tienen en su poder?
12.8.3 ¿Existe un proceso establecido para comprometer a los
proveedores de servicios que incluya una auditoría de compra
adecuada previa al compromiso?
12.8.4 ¿Se mantiene un programa para supervisar el estado de
cumplimiento con las PCI DSS del proveedor de servicios con
una frecuencia anual, como mínimo?

Anexo A: (no utilizado)

Esta página se dejó en blanco de manera intencional
SAQ C de las PCI DSS, v2.0, Anexo A: (no utilizado) Octubre de 2010
Copyright 2010 PCI Security Standards Council LLC Página 19
Anexo B: Controles de compensación
Los controles de compensación se pueden tener en cuenta para la mayoría de los requisitos de las PCI
DSS cuando una entidad no puede cumplir con un requisito explícitamente establecido, debido a los
límites comerciales legítimos técnicos o documentados, pero pudo mitigar el riesgo asociado con el
requisito de forma suficiente, mediante la implementación de otros controles, o controles de
compensación.
Los controles de compensación deben cumplir con los siguientes criterios:
1. Cumplir con el propósito y el rigor del requisito original de las PCI DSS.
2. Proporcionar un nivel similar de defensa, tal como el requisito original de PCI DSS, de manera que el
control de compensación compense el riesgo para el cual se diseñó el requisito original de las PCI
DSS. (Consulte Exploración de las PCI DSS para obtener el propósito de cada requisito de PCI
DSS.)
3. Conozca en profundidad otros requisitos de las PCI DSS. (El simple cumplimiento con otros
requisitos de las PCI DSS no constituye un control de compensación).
Al evaluar exhaustivamente los controles de compensación, considere lo siguiente:
Nota: Los puntos a) a c) que aparecen a continuación son sólo ejemplos. El asesor que realiza
la revisión de las PCI DSS debe revisar y validar si los controles de compensación son
suficientes. La eficacia de un control de compensación depende de los aspectos específicos
del entorno en el que se implementa el control, los controles de seguridad circundantes y la
configuración del control. Las empresas deben saber que un control de compensación en
particular no resulta eficaz en todos los entornos.
a) Los requisitos de las PCI DSS NO SE PUEDEN considerar controles de compensación si ya
fueron requisito para el elemento en revisión. Por ejemplo, las contraseñas para el acceso
administrativo sin consola se deben enviar cifradas para mitigar el riesgo de que se intercepten
contraseñas administrativas de texto claro. Una entidad no puede utilizar otros requisitos de
contraseña de las PCI DSS (bloqueo de intrusos, contraseñas complejas, etc.) para compensar
la falta de contraseñas cifradas, puesto que esos otros requisitos de contraseña no mitigan el
riesgo de que se intercepten las contraseñas de texto claro. Además, los demás controles de
contraseña ya son requisitos de las PCI DSS para el elemento en revisión (contraseñas).
b) Los requisitos de las PCI DSS SE PUEDEN considerar controles de compensación si se
requieren para otra área, pero no son requisito para el elemento en revisión. Por ejemplo, la
autenticación de dos factores es un requisito de las PCI DSS para el acceso remoto. La
autenticación de dos factores desde la red interna también se puede considerar un control de
compensación para el acceso administrativo sin consola cuando no se puede admitir la
transmisión de contraseñas cifradas. La autenticación de dos factores posiblemente sea un
control de compensación aceptable si; (1) cumple con el propósito del requisito original al
abordar el riesgo de que se intercepten las contraseñas administrativa de texto claro y (2) está
adecuadamente configurada y en un entorno seguro.
c) Los requisitos existentes de las PCI DSS se pueden combinar con nuevos controles para
convertirse en un control de compensación. Por ejemplo, si una empresa no puede dejar
ilegibles los datos de los titulares de tarjetas según el requisito 3.4 (por ejemplo, mediante
cifrado), un control de compensación podría constar de un dispositivo o combinación de
dispositivos, aplicaciones y controles que aborden lo siguiente: (1) segmentación interna de la
red; (2) filtrado de dirección IP o MAC y (3) autenticación de dos factores desde la red interna.
4. Ser cuidadoso con el riesgo adicional que impone la no adhesión al requisito de las PCI DSS.
El asesor debe evaluar por completo los controles de compensación durante cada evaluación anual de
PCI DSS para validar que cada control de compensación aborde de forma correcta el riesgo para el cual
se diseñó el requisito original de PCI DSS, según los puntos 1 a 4 anteriores. Para mantener el
SAQ C de las PCI DSS, v2.0, Anexo B: Controles de compensación Octubre de 2010
cumplimiento, se deben aplicar procesos y controles para garantizar que los controles de compensación
permanezcan vigentes después de completarse la evaluación.
SAQ C de las PCI DSS, v2.0, Anexo B: Controles de compensación Octubre de 2010
Anexo C: Hoja de trabajo de controles de compensación
Utilice esta hoja de trabajo para definir los controles de compensación para cualquier requisito en el que
se marcó “SÍ” y se mencionaron controles de compensación en la columna “Especial”.
Nota: Sólo las empresas que han llevado a cabo un análisis de riesgos y que tienen limitaciones
legítimas tecnológicas o documentadas pueden considerar el uso de controles de compensación para
lograr el cumplimiento.
Número de requisito y definición:
Información requerida Explicación

1. Limitaciones Enumere las limitaciones que impiden
el cumplimiento con el requisito original.
2. Objetivo Defina el objetivo del control original;
identifique el objetivo con el que cumple
el control de compensación.
3. Riesgo Identifique cualquier riesgo adicional
identificado que imponga la falta del control original.
4. Definición de Defina controles de compensación y
controles de explique de qué manera identifican los
compensación objetivos del control original y el riesgo
elevado, si es que existe alguno.
5. Validación de Defina de qué forma se validaron y se
controles de probaron los controles de
compensación compensación.
6. Mantenimiento Defina los procesos y controles que se
aplican para mantener los controles de
compensación.
SAQ C de las PCI DSS, v2.0, Anexo C: Hoja de trabajo de controles de compensación Octubre de 2010
Hoja de trabajo de controles de compensación – Ejemplo completado
Utilice esta hoja de trabajo para definir los controles de compensación para cualquier requisito en el que
se marcó “SÍ” y se mencionaron controles de compensación en la columna “Especial”.
Número de requisito: 8.1¿Todos los usuarios se identifican con un nombre de usuario único antes de
permitirles tener acceso a componentes del sistema y a datos de titulares de tarjetas?
Información requerida Explicación

1. Limitaciones Enumere las limitaciones La empresa XYZ emplea servidores Unix
que impiden el cumplimiento independientes sin LDAP. Como tales,
con el requisito original. requieren un inicio de sesión “raíz”. Para la
empresa XYZ no es posible gestionar el inicio
de sesión “raíz” ni es factible registrar toda la
actividad “raíz” de cada usuario.
2. Objetivo Defina el objetivo del control El objetivo del requisito de inicios de sesión
original; identifique el únicos es doble. En primer lugar, desde el
objetivo con el que cumple punto de vista de la seguridad, no se
el control de compensación. considera aceptable compartir las
credenciales de inicio de sesión. En segundo
lugar, el tener inicios de sesión compartidos
hace imposible establecer de forma definitiva
a la persona responsable de una acción en
particular.
3. Riesgo Identifique cualquier riesgo Al no garantizar que todos los usuarios
identificado adicional que imponga la cuenten con una ID única y se puedan
falta del control original. rastrear, se introduce un riesgo adicional en el
acceso al sistema de control.
4. Definición de Defina controles de La empresa XYZ requerirá que todos los
controles de compensación y explique de usuarios inicien sesión en servidores desde
compensación qué manera identifican los sus escritorios mediante el comando SU. SU
objetivos del control original permite que el usuario obtenga acceso a la
y el riesgo elevado, si es cuenta “raíz” y realice acciones dentro de la
que existe alguno. cuenta “raíz”, aunque puede iniciar sesión en
el directorio de registros SU. De esta forma,
las acciones de cada usuario se pueden
rastrear mediante la cuenta SU..
5. Validación de Defina de qué forma se La empresa XYZ demuestra al asesor que el
controles de validaron y se probaron los comando SU que se ejecuta y las personas
compensación controles de compensación. que utilizan el comando se encuentran
conectados e identifica que la persona realiza
acciones con privilegios raíz.
6. Mantenimiento Defina los procesos y La empresa XYZ documenta procesos y
controles que se aplican procedimientos, y garantiza que no se
para mantener los controles cambie, se modifique, ni se elimine la
de compensación. configuración de SU y se permita que
usuarios ejecuten comandos raíz sin que se
los pueda rastrear o registrar.
SAQ C de las PCI DSS, v2.0, Anexo C: Hoja de trabajo de controles de compensación Octubre de 2010
Anexo D: Explicaciones de no aplicabilidad
Si ingresó “N/A” o “No aplicable” en la columna “Especial”, utilice esta hoja de trabajo para explicar por
qué el requisito relacionado no se aplica a su organización.
Requisito Razón por la cual el requisito no es aplicable

Ejemplo: Los datos de los titulares de tarjetas nunca se comparten con los proveedores de
12.8 servicios.
SAQ C de las PCI DSS, v2.0, Anexo D: Explicaciones de no aplicabilidad Octubre de 2010

Manual

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual

Cargado por

Copyright:

Formatos disponibles

Industria de las Tarjetas de Pago (PCI)

Norma de Seguridad de Datos

Aplicación de Pago Conectada a Internet,

Modificaciones realizadas a los documentos

Fecha Versión Descripción

PCI DSS SAQ C, v2.0, Tabla de Contenido Octubre de 2010

Norma de seguridad de datos de la PCI: Todos los comerciantes y

SAQ C de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010

Guía para la no aplicabilidad de ciertos requisitos específicos

SAQ C de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010

Parte 1. Información sobre Comerciante y Asesor de Seguridad Certificado

Nombre del contacto: Cargo:

Dirección comercial: Ciudad:

Estado/Provincia: País: Código

Nombre del contacto

Dirección comercial: Ciudad:

Estado/Provincia: País: Código

SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010

SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010

SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010

SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010

Firma del director ejecutivo del comerciante Ç Fecha Ç

Nombre del director ejecutivo del comerciante Ç Cargo Ç

Parte 4. Plan de acción para el estado “Falta de cumplimiento”

1 Instalar y mantener una configuración de

No usar los valores predeterminados

Proteger los datos almacenados del

Cifrar la transmisión de los datos del

Utilice y actualice con regularidad los

Desarrollar y mantener sistemas y

Restringir el acceso a los datos del titular

Asignar una ID exclusiva a cada persona

Restringir el acceso físico a los datos del

Probar periódicamente los sistemas y

Mantener una política que aborde la

SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010

Fecha en que se completó:

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

5.1.1 ¿Todos los programas antivirus son capaces de detectar,

Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

9.7.1 ¿Están clasificados los medios de manera que se pueda

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010

Número de requisito y definición:

Información requerida Explicación

Información requerida Explicación

Requisito Razón por la cual el requisito no es aplicable

También podría gustarte