Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(https://www.ceupe.com/)
(https://www.ceupe.com/blog/alcance-
(https://www.ceupe.com/images/easyblog_articles/1278/Nueva-imagen-para-blog.jpg)
E-mail
Braiyan Perafan
Asesor de Formación
ceupe.com
Te llamamos
TECNOLOGÍA (HTTPS://WWW.CEUPE.COM/BLOG/CATEGORIES/TECNOLOGIA.HTML)
RRHH (HTTPS://WWW.CEUPE.COM/BLOG/CATEGORIES/RECURSOS-HUMANOS.HTML)
Buenas tardes, le damos la bienvenida a
Llámame
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 1/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
El entorno de los datos de los titulares de tarjetas consta de personas, procesos y tecnología que
almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación.
Los componentes de la red incluyen firewalls, interruptores, routers, puntos de acceso inalámbricos,
(https://www.ceupe.com/)
aplicaciones de la red y otras aplicaciones de seguridad.
Los tipos de servidores incluyen: web, aplicación, base de datos, autenticación, correo electrónico,
(https://www.ceupe.com/blog/alcance-
proxy, protocolo de tiempo de red (NTP) y servidor de nombre de dominio (DNS), entre otros. Las
aplicaciones incluyen todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones
internas y externas.
del-cumplimiento-de-requisitos-de-
El primer paso de una evaluación de las PCI DSS es determinar con exactitud el alcance de la
revisión. Por lo menos una vez al año y antes de la evaluación anual, la entidad evaluada debería
confirmar la exactitud del alcance de las PCI DSS al identificar todas las ubicaciones y flujos de datos
pci-dss.html#)
de titulares de tarjetas y al asegurar que se incluyan en el alcance de las PCI DSS.
Sin la adecuada segmentación de red (a veces denominada “red simple”), toda la red se encuentra
dentro del alcance de la evaluación de las PCI DSS. La segmentación de red se puede alcanzar
mediante diversos medios físicos o lógicos, tales como firewalls internos de red, routers con sólidas
listas de control de acceso u otras tecnologías con la apropiada configuración que restrinjan el acceso a
un segmento particular de la red.
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 2/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
Un prerrequisito importante para reducir el alcance del entorno de los datos del titular de la tarjeta es la
comprensión de las necesidades del negocio y de los procesos relacionados con el almacenamiento,
el procesamiento o la transmisión de los datos del titular de la tarjeta.
(https://www.ceupe.com/)
La documentación de los flujos de datos del titular de la tarjeta mediante un diagrama de flujo de
datos ayuda a comprender completamente todos los flujos de datos del titular de la tarjeta y a asegurar
(https://www.ceupe.com/blog/alcance-
que toda segmentación de red logre aislar el entorno de los datos del titular de la tarjeta.
Una segmentación de red adecuada aísla los sistemas que almacenan, procesan o transmiten datos
del titular de la tarjeta de los sistemas que no realizan estas operaciones. Se debe de tener en cuenta
del-cumplimiento-de-requisitos-de-
que no todas las segmentaciones son iguales ni se realizan de la misma manera, ya que depende de
factores como la configuración de una red determinada, las tecnologías utilizadas y otros controles que
puedan implementarse.
pci-dss.html#)
Medios inalámbricos
Si se utiliza tecnología inalámbrica para almacenar, procesar o transmitir datos del titular de la tarjeta
o si hay una red de acceso local inalámbrica (WLAN) conectada al entorno de datos de los titulares
de la tarjeta o a una parte del mismo (por ejemplo, que no esté claramente separada por el firewall), se
aplican y se deben implementar los requisitos y procedimientos de prueba para entornos inalámbricos
de las PCI DSS (por ejemplo, requisitos 1.2.3, 2.1.1 y 4.1.1).
Niveles de comercios
Los comercios están clasificados de acuerdo al número de transacciones con tarjeta que procesan en
un período de 12 meses. Las siguientes tablas describen los niveles y requerimientos de cumplimiento
para ambos comercios y proveedores de servicios.
Niveles de comercios
¡Contacta con nosotros!
Definición del comercio Cumplimiento
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 3/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
Autovaloración anual y
Nivel 4* Todo el resto de comercios.
escaneos de red trimestrales.
(https://www.ceupe.com/)
** La PCI DSS requiere que todos los comercios realicen escaneos externos de red para
conseguir el cumplimiento. Los receptores pueden requerir la emisión de informes de
escaneos y/o cuestionarios de los comercios de nivel 4.
(https://www.ceupe.com/blog/alcance-
Terceros
del-cumplimiento-de-requisitos-de-
En el caso de proveedores de servicios que deben realizar una evaluación anual en el sitio, la
validación de cumplimiento se deberá realizar siempre en todos los componentes del sistema del
entorno de datos del titular de la tarjeta.
pci-dss.html#)
Los comerciantes o proveedores de servicio pueden utilizar un proveedor de servicios externo para
almacenar, procesar o transmitir datos del titular de la tarjeta en su nombre, o para administrar
componentes como routers, firewalls, bases de datos, seguridad física y/o servidores. En ese caso, la
seguridad del entorno de los datos del titular de la tarjeta podría estar afectada.
Niveles de comercios
E-mail
Definición del comercio Cumplimiento
Te llamamos
Todos los procesadores (miembros y Valoración anual in situ de la
Nivel 1 no miembros) y todas las pasarelas de seguridad de información PCI y
pago. Llámameescaneos de red trimestrales.
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 4/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
Muestreo de instalaciones de
negocios/componentes
(https://www.ceupe.com/) de sistemas
El muestreo no es un requisito de las PCI DSS. Sin embargo, después de considerar el alcance global
(https://www.ceupe.com/blog/alcance-
y la complejidad del entorno que se está evaluando, el asesor puede seleccionar de manera
independiente muestras de instalaciones de negocios/componentes del sistema a fin de evaluar los
requisitos de las PCI DSS.
Las muestras se deben definir primero para instalaciones de negocios y luego para los componentes
del-cumplimiento-de-requisitos-de-
del sistema dentro de cada instalación del negocio seleccionada. Además, deben constituir una
selección representativa de todos los tipos y las ubicaciones de las instalaciones del negocio, así como
de los tipos de componentes del sistema dentro de las instalaciones del negocio seleccionadas.
pci-dss.html#)
Las muestras deben ser suficientemente grandes para proporcionar al asesor la seguridad de que los
controles se implementaron de la manera esperada. El muestreo de las instalaciones del
negocio/componentes del sistema para una evaluación no reduce el alcance del entorno de los datos
de los titulares de tarjetas o la aplicabilidad de los requisitos de las PCI DSS.
Whatsapp
Para cada instancia donde se hayan utilizado muestras, el
asesor debe:
1. Documente la justificación de la técnica de muestreo y el tamaño de la muestra.
2. Documente y valide los procesos y controles de las PCI DSS estandarizados que se utilizan para
determinar el tamaño de la muestra.
3. Explique la manera como la muestra es apropiada y representativa de toda la población.
Los asesores deben revalidar la justificación del muestreo para cada evaluación. Si se utiliza
muestreo, se deben seleccionar diferentes muestras de instalaciones del negocio y componentes del
sistema para cada evaluación. usamos Livebeep (https://www.livebeep.com/)
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 5/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
(https://www.ceupe.com/)
(https://www.ceupe.com/programas/master-ciberseguridad.html)
(https://www.ceupe.com/blog/alcance-
(https://www.ceupe.com/programas/master-ciberseguridad.html)
pci-dss.html#)
Compártelo
Blog de CEUPE
Comentarios
No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado E-mail
Jueves, 11 Mayo 2023
Te llamamos
Nombre
Llámame
E-mail Whatsapp
Envía tu comentario
SÍGUENOS
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 6/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
(https://www.linkedin.com/school/ceupe-centro-europeo-de-postgrado/)
(https://www.ceupe.com/)
(https://www.youtube.com/user/CEUPE)
(https://twitter.com/CEUPEcommunity) (https://www.instagram.com/ceupe/)
(https://www.ceupe.com/blog/alcance-
(https://www.facebook.com/pages/CEUPE-Centro-Europeo-de-Postgrado-y-
Empresa/210033025759161)
del-cumplimiento-de-requisitos-de-
pci-dss.html#)
Suscríbete a nuestro Magazine
Recibe Artículos, Conferencias
y Master Class
MASTERCLASS TECNOLOGÍA
Te llamamos
Llámame
TECNOLOGÍA
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 7/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
SHODAN
(https://www.ceupe.com/)
(https://www.ceupe.com/blog/alcance-
del-cumplimiento-de-requisitos-de-
pci-dss.html#)
TECNOLOGÍA
WAF
Te llamamos
Llámame
TECNOLOGÍA Whatsapp
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 8/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS
(https://www.facebook.com/pages/CEUPE-Centro-Europeo-de-Postgrado-y-
(https://www.ceupe.com/)
Empresa/210033025759161) (https://twitter.com/CEUPEcommunity)
(https://www.ceupe.com/blog/alcance-
(https://www.linkedin.com/school/ceupe-centro-europeo-de-postgrado/)
(https://www.youtube.com/user/CEUPE) (https://www.instagram.com/ceupe/)
del-cumplimiento-de-requisitos-de-
Conoce la Oferta Académica de Nuestra Escuela: Masters y MBA online, Programas de Postgrado y
pci-dss.html#)
Cursos de Especialización
Te llamamos
Llámame
file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 9/9