9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS


(https://www.ceupe.com/)
(https://www.ceupe.com/blog/alcance-

Encuentra tu artículo de interés 

 Para buscar, escribe y presiona intro
del-cumplimiento-de-requisitos-de-

TECNOLOGÍA RRHH pci-dss.html#)

¡Contacta con nosotros!

(https://www.ceupe.com/images/easyblog_articles/1278/Nueva-imagen-para-blog.jpg)
E-mail
Braiyan Perafan
Asesor de Formación
ceupe.com
Te llamamos
TECNOLOGÍA (HTTPS://WWW.CEUPE.COM/BLOG/CATEGORIES/TECNOLOGIA.HTML)
RRHH (HTTPS://WWW.CEUPE.COM/BLOG/CATEGORIES/RECURSOS-HUMANOS.HTML)
Buenas tardes, le damos la bienvenida a
Llámame

Alcance de la evaluación del ceupe.com. ¿Puedo ayudarle a encontrar el

Máster que mejor encaje con su perfil y
Whatsapp

cumplimiento de los requisitos de las necesidades?

PCI DSS Escribe aquí (*)

Los requisitos de seguridad de las PCI DSS (https://www.ceupe.com/blog/las-pci-y-dss.html) se

aplican a todos los componentes del sistema. En el contexto de las PCI DSS, los “componentes del
sistema” se definen como cualquier componente de red, servidor o aplicación, físico o virtual que esté
incluida en el entorno de los datos del titular de la tarjeta o que tenga conectividad con dicho sistema.
Privacidad - Términos

usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 1/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

El entorno de los datos de los titulares de tarjetas consta de personas, procesos y tecnología que
almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación.

Los componentes de la red incluyen firewalls, interruptores, routers, puntos de acceso inalámbricos,
(https://www.ceupe.com/)
aplicaciones de la red y otras aplicaciones de seguridad.

Los tipos de servidores incluyen: web, aplicación, base de datos, autenticación, correo electrónico,
(https://www.ceupe.com/blog/alcance-
proxy, protocolo de tiempo de red (NTP) y servidor de nombre de dominio (DNS), entre otros. Las
aplicaciones incluyen todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones
internas y externas.
del-cumplimiento-de-requisitos-de-
El primer paso de una evaluación de las PCI DSS es determinar con exactitud el alcance de la
revisión. Por lo menos una vez al año y antes de la evaluación anual, la entidad evaluada debería
confirmar la exactitud del alcance de las PCI DSS al identificar todas las ubicaciones y flujos de datos
pci-dss.html#)
de titulares de tarjetas y al asegurar que se incluyan en el alcance de las PCI DSS.

Para que el alcance de las PCI DSS sea exacto e idóneo, se

recomienda seguir los siguientes pasos:
1. La entidad que va a ser evaluada debe identificar y documentar la existencia de todos los datos
de los titulares de tarjetas en su entorno, con la finalidad de verificar que no haya datos de
titulares de tarjetas fuera del entorno de los datos de los titulares de tarjetas (CDE) actualmente
definido.
2. Una vez que se hayan identificado y documentado todas las ubicaciones de los datos de los
titulares de tarjetas, la entidad utiliza los resultados para verificar que el alcance de las PCI DSS
sea apropiado. Una vez dado el visto bueno al alcance se pasa al siguiente punto.
3. La entidad considera que todos los datos de titulares de tarjetas encontrados están dentro del
alcance de la evaluación de las PCI DSS y forman parte del CDE, a menos que dichos datos se
eliminen o migren/consoliden en el CDE actualmente definido.
4. La entidad retiene la documentación que demuestre los resultados y cómo se confirmó el alcance
de las PCI DSS para la revisión por parte de los asesores y/o como referencia durante la
actividad anual de la siguiente confirmación de alcance de las PCI DSS.

Segmentación de red ¡Contacta con nosotros!

La segmentación de red, o separación del entorno de los datos del titular de la tarjeta del resto de
la red de una entidad, no constituye un requisito de las PCI DSS.
E-mail

Sin embargo, se recomienda ampliamente

Te llamamos como un método
que puede disminuir:
Llámame
1. El alcance de la evaluación de las PCI DSS.
2. El costo de la evaluación de las PCI DSS.
3. El costo y la dificultad de la implementación y delWhatsapp
mantenimiento de los controles de las PCI DSS.
4. El riesgo de las organizaciones (que, gracias a la consolidación de los datos del titular de la
tarjeta en menos y más controladas ubicaciones, se ve reducido).

Sin la adecuada segmentación de red (a veces denominada “red simple”), toda la red se encuentra
dentro del alcance de la evaluación de las PCI DSS. La segmentación de red se puede alcanzar
mediante diversos medios físicos o lógicos, tales como firewalls internos de red, routers con sólidas
listas de control de acceso u otras tecnologías con la apropiada configuración que restrinjan el acceso a
un segmento particular de la red.

usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 2/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

Un prerrequisito importante para reducir el alcance del entorno de los datos del titular de la tarjeta es la
comprensión de las necesidades del negocio y de los procesos relacionados con el almacenamiento,

el procesamiento o la transmisión de los datos del titular de la tarjeta.
(https://www.ceupe.com/)
La documentación de los flujos de datos del titular de la tarjeta mediante un diagrama de flujo de
datos ayuda a comprender completamente todos los flujos de datos del titular de la tarjeta y a asegurar
(https://www.ceupe.com/blog/alcance-
que toda segmentación de red logre aislar el entorno de los datos del titular de la tarjeta.

Una segmentación de red adecuada aísla los sistemas que almacenan, procesan o transmiten datos
del titular de la tarjeta de los sistemas que no realizan estas operaciones. Se debe de tener en cuenta
del-cumplimiento-de-requisitos-de-
que no todas las segmentaciones son iguales ni se realizan de la misma manera, ya que depende de
factores como la configuración de una red determinada, las tecnologías utilizadas y otros controles que
puedan implementarse.
pci-dss.html#)
Medios inalámbricos
Si se utiliza tecnología inalámbrica para almacenar, procesar o transmitir datos del titular de la tarjeta
o si hay una red de acceso local inalámbrica (WLAN) conectada al entorno de datos de los titulares
de la tarjeta o a una parte del mismo (por ejemplo, que no esté claramente separada por el firewall), se
aplican y se deben implementar los requisitos y procedimientos de prueba para entornos inalámbricos
de las PCI DSS (por ejemplo, requisitos 1.2.3, 2.1.1 y 4.1.1).

Se recomienda encarecidamente que antes de implementar la tecnología inalámbrica, la entidad debe

evaluar cuidadosamente la necesidad de contar con esta tecnología tomando en cuenta el riesgo. Tenga
en cuenta la implementación de la tecnología inalámbrica solamente para las transmisiones de datos no
confidenciales.

Niveles de comercios
Los comercios están clasificados de acuerdo al número de transacciones con tarjeta que procesan en
un período de 12 meses. Las siguientes tablas describen los niveles y requerimientos de cumplimiento
para ambos comercios y proveedores de servicios.

Niveles de comercios
¡Contacta con nosotros!
Definición del comercio Cumplimiento

Comercios cuya informaciónE-mail

de
titulares de tarjetas ha estado
comprometida.
Te llamamos
Valoración anual in situ de la
Nivel 1 Comercios con más de seis millones seguridad de información PCI y
de transacciones con tarjeta de Llámame
crédito escaneos de red trimestrales.
anualmente a través de todos los
canales, incluyendo comercio
Whatsapp
electrónico.

Comercios con entre 1 y 6 millones de

Autovaloración anual y
Nivel 2 transacciones con tarjeta de crédito
escaneos de red trimestrales.
anualmente.

Comercios con entre 20.000 y

Autovaloración anual y
Nivel 3 1.000.000 de transacciones con tarjeta
escaneos de red trimestrales.
de crédito anualmente.

usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 3/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

Autovaloración anual y
Nivel 4* Todo el resto de comercios.
escaneos de red trimestrales.

(https://www.ceupe.com/)
** La PCI DSS requiere que todos los comercios realicen escaneos externos de red para
conseguir el cumplimiento. Los receptores pueden requerir la emisión de informes de
escaneos y/o cuestionarios de los comercios de nivel 4.
(https://www.ceupe.com/blog/alcance-

Terceros
del-cumplimiento-de-requisitos-de-
En el caso de proveedores de servicios que deben realizar una evaluación anual en el sitio, la
validación de cumplimiento se deberá realizar siempre en todos los componentes del sistema del
entorno de datos del titular de la tarjeta.
pci-dss.html#)
Los comerciantes o proveedores de servicio pueden utilizar un proveedor de servicios externo para
almacenar, procesar o transmitir datos del titular de la tarjeta en su nombre, o para administrar
componentes como routers, firewalls, bases de datos, seguridad física y/o servidores. En ese caso, la
seguridad del entorno de los datos del titular de la tarjeta podría estar afectada.

En el caso de que las entidades deleguen el almacenamiento a un tercero, o el procesamiento o la

transmisión de datos del titular de la tarjeta a terceros proveedores de servicios, el Informe de
cumplimiento (ROC) debe documentar el rol que desempeña cada proveedor de servicios e identificar
claramente los requisitos que se aplican a la entidad evaluada y los que se aplican al proveedor de
servicios.

Los terceros proveedores de servicios tienen dos opciones

para validar el cumplimiento:
1. Pueden realizar una evaluación de las PCI DSS por cuenta propia y proporcionar evidencia a sus
clientes a fin de demostrar el cumplimiento.
2. Si no realizan la evaluación de las PCI DSS por cuenta propia, deberán solicitar la revisión de sus
servicios durante el curso de cada una de las evaluaciones de las PCI DSS de sus clientes.

Asimismo, los comerciantes y los proveedores de servicios deben administrar y supervisar el

cumplimiento de las PCI DSS de todos los terceros proveedores de servicios con acceso a los datos
¡Contacta con nosotros!
del titular de la tarjeta.

Niveles de comercios
E-mail
Definición del comercio Cumplimiento
Te llamamos
Todos los procesadores (miembros y Valoración anual in situ de la
Nivel 1 no miembros) y todas las pasarelas de seguridad de información PCI y
pago. Llámameescaneos de red trimestrales.

Cualquier proveedor de servicios que

Whatsapp
no está en el Nivel 1 y almacena, Valoración anual in situ de la
Nivel 2 procesa o transmite más de 1 millón de seguridad de información PCI y
cuentas/transacciones de tarjeta de escaneos de red trimestrales.
crédito anualmente.

Cualquier proveedor de servicios que

no está en el Nivel 1 y almacena,
Nivel 3 procesa o transmite menos de 1 millón
de cuentas/ transacciones de tarjeta de
crédito anualmente.
Cuestionario de autovaloración
anual y escaneos de red
trimestrales.
usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 4/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

Muestreo de instalaciones de

negocios/componentes
(https://www.ceupe.com/) de sistemas
El muestreo no es un requisito de las PCI DSS. Sin embargo, después de considerar el alcance global
(https://www.ceupe.com/blog/alcance-
y la complejidad del entorno que se está evaluando, el asesor puede seleccionar de manera
independiente muestras de instalaciones de negocios/componentes del sistema a fin de evaluar los
requisitos de las PCI DSS.

Las muestras se deben definir primero para instalaciones de negocios y luego para los componentes
del-cumplimiento-de-requisitos-de-
del sistema dentro de cada instalación del negocio seleccionada. Además, deben constituir una
selección representativa de todos los tipos y las ubicaciones de las instalaciones del negocio, así como
de los tipos de componentes del sistema dentro de las instalaciones del negocio seleccionadas.
pci-dss.html#)
Las muestras deben ser suficientemente grandes para proporcionar al asesor la seguridad de que los
controles se implementaron de la manera esperada. El muestreo de las instalaciones del
negocio/componentes del sistema para una evaluación no reduce el alcance del entorno de los datos
de los titulares de tarjetas o la aplicabilidad de los requisitos de las PCI DSS.

Independientemente de si se utiliza o no el muestreo, los requisitos de las PCI DSS se aplican al

entorno de datos de los titulares de tarjetas en su totalidad. Si se utiliza muestreo, cada muestra se
debe evaluar en función de todos los requisitos de las PCI DSS aplicables, teniendo en cuenta que
el muestreo de los requisitos de las PCI DSS en sí no está permitido.

Al seleccionar muestras de las instalaciones del

negocio/componentes del sistema, los asesores deberán
tener en cuenta lo siguiente:
1. Si están implementados procesos y controles estándares y centralizados de seguridad y
operativos para las PCI DSS que garanticen uniformidad y que debe seguir cada instalación del
negocio/componente del sistema, la muestra puede ser más pequeña que si no hubiera
procesos/controles estándares implementados. La muestra debe ser suficientemente grande para
proporcionar al asesor la garantía razonable de que todas las instalaciones del
negocio/componentes del sistema se configuraron según los procesos estándares.
¡Contacta con nosotros!
2. Si no está implementado más de un tipo de proceso operativo y/o de seguridad estándar (por
ejemplo, para diferentes tipos de instalaciones del negocio/componentes del sistema), la muestra
debe ser suficientemente grande para incluir E-mail
las instalaciones del negocio/componentes del
sistema asegurados con cada tipo de proceso.
3. Si no están implementados procesos/controles Te dellamamos
PCI DSS estándares y cada instalación del
negocio/componente del sistema se administra a través de procesos no estándares, la muestra
debe ser más grande para que el asesor pueda estar seguro de que cada instalación del
Llámame
negocio/componente del sistema implementó los requisitos de las PCI DSS de manera apropiada.

Whatsapp
Para cada instancia donde se hayan utilizado muestras, el
asesor debe:
1. Documente la justificación de la técnica de muestreo y el tamaño de la muestra.
2. Documente y valide los procesos y controles de las PCI DSS estandarizados que se utilizan para
determinar el tamaño de la muestra.
3. Explique la manera como la muestra es apropiada y representativa de toda la población.

Los asesores deben revalidar la justificación del muestreo para cada evaluación. Si se utiliza
muestreo, se deben seleccionar diferentes muestras de instalaciones del negocio y componentes del
sistema para cada evaluación. usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 5/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS


(https://www.ceupe.com/)
(https://www.ceupe.com/programas/master-ciberseguridad.html)
(https://www.ceupe.com/blog/alcance-
(https://www.ceupe.com/programas/master-ciberseguridad.html)

Artículo Anterior Artículo Siguiente

del-cumplimiento-de-requisitos-de-
 Glosario de término… Turismo Rural en B… 

pci-dss.html#)
Compártelo
    

Blog de CEUPE

Comentarios
 No hay comentarios por el momento. Se el primero en enviar un comentario.

¡Contacta con nosotros!

Invitado E-mail
Jueves, 11 Mayo 2023

Te llamamos

Nombre
Llámame

E-mail Whatsapp

Envía tu comentario

SÍGUENOS

usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 6/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

(https://www.linkedin.com/school/ceupe-centro-europeo-de-postgrado/)

(https://www.ceupe.com/)
(https://www.youtube.com/user/CEUPE)

(https://twitter.com/CEUPEcommunity) (https://www.instagram.com/ceupe/)
(https://www.ceupe.com/blog/alcance-
(https://www.facebook.com/pages/CEUPE-Centro-Europeo-de-Postgrado-y-

Empresa/210033025759161)
del-cumplimiento-de-requisitos-de-

pci-dss.html#)

Suscríbete a nuestro Magazine
Recibe Artículos, Conferencias
y Master Class

Correo electrónico (*)

MASTERCLASS TECNOLOGÍA

 ¡Contacta con nosotros!

E-mail

Te llamamos

Llámame

Whatsapp

TECNOLOGÍA

usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 7/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

SHODAN

(https://www.ceupe.com/)


(https://www.ceupe.com/blog/alcance-

del-cumplimiento-de-requisitos-de-

pci-dss.html#)

TECNOLOGÍA

WAF

 ¡Contacta con nosotros!

E-mail

Te llamamos

Llámame

TECNOLOGÍA Whatsapp

Objetivos de la inteligencia artificial

usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 8/9
9/4/24, 17:11 Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS

(https://www.facebook.com/pages/CEUPE-Centro-Europeo-de-Postgrado-y-

(https://www.ceupe.com/)
Empresa/210033025759161) (https://twitter.com/CEUPEcommunity)

(https://www.ceupe.com/blog/alcance-
(https://www.linkedin.com/school/ceupe-centro-europeo-de-postgrado/)

(https://www.youtube.com/user/CEUPE) (https://www.instagram.com/ceupe/)
del-cumplimiento-de-requisitos-de-

Conoce la Oferta Académica de Nuestra Escuela: Masters y MBA online, Programas de Postgrado y
pci-dss.html#)
Cursos de Especialización

¡Contacta con nosotros!

E-mail

Te llamamos

Llámame

Whatsapp

usamos Livebeep (https://www.livebeep.com/)

file:///D:/99. Robert Documentos/Assesment de Ciberseguridad/Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS.html 9/9