Pci Dss v3-2 Es-La

Industria de tarjetas de pago (PCI)
Norma de seguridad de datos
Requisitos y procedimientos de evaluacin de

seguridad
Versin 3.2
Abril de 2016
Modificaciones realizadas a los documentos
Fecha Versin Descripcin Pginas
Introducir la versin 1.2 de las PCI DSS (Normas de seguridad de datos de la industria de
tarjetas de pago) como requisitos de las PCI DSS y procedimientos de evaluacin de
seguridad para eliminar la redundancia entre documentos e implementar cambios generales y
Octubre de 2008 1.2
especficos de los procedimientos de auditora de seguridad de la versin 1.1 de las PCI DSS.
Para obtener la informacin completa, consulte el Resumen de cambios de la Normas de
seguridad de datos de la PCI de las PCI DSS, versin 1.1 a 1.2.
Agregar la oracin que se elimin incorrectamente entre las PCI DSS versin 1.1 y 1.2. 5
Corregir then por than en los procedimientos de prueba 6.3.7.a y 6.3.7.b. 32
Eliminar la marca gris para las columnas Implementado y No implementado en el
33
Julio de 2009 1.2.1 procedimiento de prueba 6.5.b.
Para la Hoja de trabajo de controles de compensacin - Ejemplo completo, corregir la redaccin
al principio de la pgina de modo que diga Utilizar esta hoja de trabajo para definir los controles
64
de compensacin para cualquier requisito indicado como implementado a travs de los
controles de compensacin.
Actualizar e implementar cambios de la versin 1.2.1. Consulte PCI DSS: Resumen de cambios
Octubre de 2010 2.0
de la versin 1.2.1 a 2.0 de las PCI DSS.
Noviembre de Actualizacin de la versin 2.0. Consulte PCI DSS: Resumen de cambios de la versin 2.0 a 3.0
3.0
2013 de las PCI DSS.
Actualizacin de la PCI DSS, versin 3.0. Para obtener los detalles, consulte PCI DSS -
Abril de 2015 3.1
Resumen de cambios de la PCI DSS versin 3.0 a 3.1
Actualizacin de la PCI DSS, versin 3.1. Para obtener los detalles, consulte PCI DSS -
Abril de 2016 3.2
Resumen de cambios de la PCI DSS versin 3.1 a 3.2
Norma de seguridad de datos de la industria de tarjetas de pago (PCI), versin 3.2 Pgina 2
2006-2016 Consejo sobre Normas de seguridad de la PCI, LLC. Todos los derechos reservados. Abril de 2016
ndice
Modificaciones realizadas a los documentos ..................................................................................................................................... 2
Introduccin y descripcin general de las normas de seguridad de datos de la PCI ..................................................................... 5
Recursos de las PCI DSS ........................................................................................................................................................................................... 6
Informacin sobre la aplicabilidad de las PCI DSS ............................................................................................................................ 7
Relacin entre PCI DSS y PA-DSS ....................................................................................................................................................... 9
Aplicabilidad de las PCI DSS a las aplicaciones de las PA-DSS................................................................................................................................ 9
Aplicabilidad de las PCI DSS a los proveedores de aplicaciones de pago ................................................................................................................ 9
Alcance de los requisitos de la PCI DSS ........................................................................................................................................... 10
Segmentacin de red ................................................................................................................................................................................................ 11
Medios inalmbricos .................................................................................................................................................................................................. 12
Uso de proveedores de servicios externos/tercerizacin.......................................................................................................................................... 12
Mejores prcticas para implementar las PCI DSS en los procesos habituales ............................................................................. 13
Para los asesores: Muestreo de instalaciones de la empresa/componentes del sistema ........................................................... 15
Controles de compensacin ............................................................................................................................................................... 16
Instrucciones y contenido del informe sobre cumplimiento ........................................................................................................... 17
Proceso de evaluacin de las PCI DSS ............................................................................................................................................. 17
Versiones de la PCI DSS ..................................................................................................................................................................... 18
Requisitos de las PCI DSS y procedimientos de evaluacin de seguridad detallados ................................................................ 19
Desarrolle y mantenga redes y sistemas seguros. ............................................................................................................................................... 20
Requisito 1: Instale y mantenga una configuracin de firewall para proteger los datos del titular de la tarjeta. ............................................ 20
Requisito 2: No usar los valores predeterminados suministrados por el proveedor para las contraseas del sistema y otros
parmetros de seguridad............................................................................................................................................................. 29
Proteger los datos del titular de la tarjeta.............................................................................................................................................................. 38
Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados. ............................................................................................ 38
Requisito 4: Cifrar la transmisin de los datos del titular de la tarjeta en las redes pblicas abiertas. .......................................................... 52
Mantener un programa de administracin de vulnerabilidad .............................................................................................................................. 55
Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente. ........................... 55
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros. .......................................................................................................... 58
Implementar medidas slidas de control de acceso ............................................................................................................................................ 74
Requisito 7: Restringir el acceso a los datos del titular de la tarjeta segn la necesidad de saber que tenga la empresa. .......................... 74
Requisito 8: Identificar y autenticar el acceso a los componentes del sistema. ............................................................................................. 77
Requisito 9: Restringir el acceso fsico a los datos del titular de la tarjeta. .................................................................................................... 88
Supervisar y evaluar las redes con regularidad.................................................................................................................................................... 99
Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta. .......................................... 99
Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad. ............................................................................................... 109
Mantener una poltica de seguridad de informacin .......................................................................................................................................... 119
Requisito 12: Mantenga una poltica que aborde la seguridad de la informacin para todo el personal. .............................................................. 119
Anexo A: Requisitos adicionales de la PCI DSS ................................................................................................................ 133
Anexo A1: Requisitos de la PCI DSS adicionales para proveedores de hosting compartido................................................................................. 134
Anexo A2: Requisitos de la PCI DSS adicionales para las entidades que utilizan SSL/TLS temprana ................................................................. 136
Anexo A3: Validacin suplementaria de las entidades designadas (DES) ............................................................................................................. 139
Anexo B: Controles de compensacin ............................................................................................................................... 156
Anexo C: Hoja de trabajo de controles de compensacin ................................................................................................ 158
Anexo D: Segmentacin y muestreo de instalaciones de negocios/Componentes de sistemas ................................. 161
Introduccin y descripcin general de las normas de seguridad de datos de la PCI
Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los
datos del titular de la tarjeta y facilitar la adopcin de medidas de seguridad uniformes a nivel mundial. La PCI DSS proporciona una referencia de
requisitos tcnicos y operativos desarrollados para proteger los datos de cuentas. La PCI DSS se aplica a todas las entidades que participan en
el procesamiento de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores
de servicios. La PCI DSS se aplica a todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD) y/o datos
confidenciales de autenticacin (SAD). "A continuacin, encontrar una descripcin general de los 12 requisitos de las DSS de la PCI."
Normas de seguridad de datos de la PCI: descripcin general de alto nivel

1. Instale y mantenga una configuracin de firewall para proteger los datos
Desarrolle y mantenga del titular de la tarjeta.
redes y sistemas seguros. 2. No usar los valores predeterminados suministrados por el proveedor
para las contraseas del sistema y otros parmetros de seguridad.
3. Proteja los datos del titular de la tarjeta que fueron almacenados
Proteger los datos del titular
de la tarjeta 4. Cifrar la transmisin de los datos del titular de la tarjeta en las redes
pblicas abiertas.
Mantener un programa de 5. Proteger todos los sistemas contra malware y actualizar los programas o
administracin de software antivirus regularmente.
vulnerabilidad 6. Desarrollar y mantener sistemas y aplicaciones seguros
7. Restringir el acceso a los datos del titular de la tarjeta segn la
Implementar medidas
necesidad de saber que tenga la empresa.
slidas de control de
8. Identificar y autenticar el acceso a los componentes del sistema.
acceso
9. Restringir el acceso fsico a los datos del titular de la tarjeta.
10. Rastree y supervise todos los accesos a los recursos de red y a los
Supervisar y evaluar las
datos del titular de la tarjeta
redes con regularidad
11. Probar peridicamente los sistemas y procesos de seguridad.
Mantener una poltica de 12. Mantener una poltica que aborde la seguridad de la informacin para
seguridad de informacin todo el personal
Este documento, Requisitos de normas de seguridad de datos de la PCI y procedimientos de evaluacin de seguridad, combina los 12 requisitos
de las PCI DSS y los procedimientos de prueba correspondientes en una herramienta de evaluacin de seguridad. Se desarroll para utilizarse
durante las evaluaciones de cumplimiento con las PCI DSS como parte del proceso de validacin de una entidad. Las siguientes secciones
proporcionan directrices detalladas y mejores prcticas para ayudar a las entidades a estar preparadas para realizar una evaluacin de las PCI
DSS y comunicar los resultados. Los requisitos de las PCI DSS y los procedimientos de pruebas comienzan en la pgina 15.
La PCI DSS comprende un conjunto mnimo de requisitos para proteger los datos de cuentas y se puede mejorar por medio de controles y
prcticas adicionales a fin de mitigar los riesgos, as como leyes y regulaciones locales, regionales y sectoriales. Adems, los requisitos de la
legislacin o las regulaciones pueden requerir la proteccin especfica de la informacin de identificacin personal u otros elementos de datos
(por ejemplo, el nombre del titular de tarjeta). Las PCI DSS no sustituyen las leyes locales ni regionales, las regulaciones gubernamentales ni
otros requisitos legales.
Recursos de las PCI DSS
El sitio web de PCI Security Standards Council (PCI SSC) (www.pcisecuritystandards.org) contiene algunos recursos adicionales para ayudar a
las organizaciones con las evaluaciones y validaciones de las PCI DSS, entre otros:
Biblioteca de documentos, que incluye lo siguiente:
Nota: Los suplementos informativos
o PCI DSS: Resumen de cambios de la versin 2.0 a 3.0 de las PCI DSS
complementan las PCI DSS e identifican
o Gua de referencia rpida de las PCI DSS las consideraciones y recomendaciones
adicionales para cumplir con los requisitos
o Glosario de trminos, abreviaturas y acrnimos de las PCI DSS y PA-DSS
de las PCI DSS las cuales no sustituyen,
o Suplementos informativos y directrices reemplazan ni extienden las PCI DSS ni
ninguno de sus requisitos.
o Enfoque priorizado para las PCI DSS
o ROC (Informe sobre cumplimiento), plantilla para crear informes e instrucciones para crear informes
o SAQ (Cuestionarios de autoevaluacin) e instrucciones y directrices del SAQ
o AOC (Atestacin de cumplimiento)
Preguntas frecuentes (FAQ)
PCI para los sitios web de pequeos comerciantes
Cursos de capacitacin y webinars informativos sobre PCI
Lista de QSA (asesores de seguridad certificados) y ASV (proveedores aprobados de escaneo).
Lista de dispositivos aprobados para la PTS (seguridad de la transaccin con PIN) y aplicaciones de pagos validadas segn las PA-DSS
(Normas de seguridad de datos para las aplicaciones de pago)
Consulte www.pcisecuritystandards.org para obtener ms informacin sobre estos y otros recursos.
Informacin sobre la aplicabilidad de las PCI DSS
La PCI DSS se aplica a todas las entidades que participan en el procesamiento de las tarjetas de pago, entre las que se incluyen comerciantes,
procesadores, adquirentes, entidades emisoras y proveedores de servicios. La PCI DSS se aplica a todas las entidades que almacenan,
procesan o transmiten datos del titular de la tarjeta y/o datos confidenciales de autenticacin.
Los datos del titular de la tarjeta y los datos de autenticacin confidenciales se definen de la siguiente manera:
Datos de cuentas
Los datos confidenciales de autenticacin
Los datos de titulares de tarjetas incluyen:
incluyen:
Nmero de cuenta principal (PAN) Contenido completo de la pista (datos

de la banda magntica o datos
Nombre del titular de la tarjeta equivalentes que estn en un chip)
Fecha de vencimiento CAV2/CVC2/CVV2/CID
Cdigo de servicio PIN/Bloqueos de PIN
El nmero de cuenta principal es el factor que define los datos del titular de la tarjeta. Si el nombre del titular de tarjeta, el cdigo de
servicio y/o la fecha de vencimiento se almacenan, procesan o transmiten con el PAN (nmero de cuenta principal) o se encuentran
presentes de algn otro modo en el entorno de datos del titular de la tarjeta, se deben proteger de conformidad con los requisitos aplicables
de la PCI DSS.
Los requisitos de la PCI DSS se aplican a las organizaciones y entornos en los que se almacenan, procesan o transmiten datos de cuentas
(datos del titular de la tarjeta y/o datos confidenciales de autenticacin). Algunos requisitos de las PCI DSS tambin se aplican a organizaciones
que han tercerizado las operaciones de pago o la gestin del CDE (entorno de los datos del titular de la tarjeta) 1. Adems, las organizaciones
que tercerizan el CDE (entorno de los datos del titular de la tarjeta) o las operaciones de pagos a terceros deben asegurarse de que estos
protejan los datos de cuenta de acuerdo con todos los requisitos correspondientes de las PCI DSS.
La tabla de la siguiente pgina ilustra los elementos de los datos de titulares de tarjetas y los datos de autenticacin confidenciales que
habitualmente se utilizan; independientemente de que est permitido o no almacenar dichos datos y de que esos datos deban estar protegidos.
Esta tabla no es exhaustiva, sino que tiene por objeto ilustrar distintos tipos de requisitos que se le aplican a cada elemento de datos.
1
Segn cada programa de cumplimiento de la marca de pago.
Almacenamiento Datos almacenados ilegibles segn el
Elemento de datos
permitido Requisito 3.4
Nmero de cuenta principal
S S
(PAN)
Datos del
Datos de cuentas
Nombre del titular de la tarjeta S No

titular de la
tarjeta Cdigo de servicio S No
Fecha de vencimiento S No
Datos Contenido completo de la pista 3 No No se pueden almacenar segn el Requisito 3.2

confidenciales
CAV2/CVC2/CVV2/CID 4 No No se pueden almacenar segn el Requisito 3.2
de
autenticacin 2 PIN/Bloqueo de PIN 5 No No se pueden almacenar segn el Requisito 3.2
Los Requisitos 3.3 y 3.4 de las PCI DSS slo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta,
nicamente el PAN debe ser ilegible de acuerdo con el Requisito 3.4 de las PCI DSS.
No se deben almacenar los datos confidenciales de autenticacin despus de la autorizacin, incluso si estn cifrados. Esto se implementa an
cuando no haya PAN en el entorno. Las organizaciones deben comunicarse con sus adquirientes o, directamente, con las marcas de pago para
saber si pueden almacenar los SAD (datos de autenticacin confidenciales) antes de la autorizacin, durante cunto tiempo y para conocer
cualquier requisito relacionado con la proteccin y el uso.
2
No se deben almacenar los datos de autenticacin confidenciales despus de la autorizacin (incluso si estn cifrados).
3
Contenido completo de la pista que se encuentra en la banda magntica, datos equivalentes que se encuentran en el chip o en cualquier otro dispositivo
4
La cifra de tres o cuatro dgitos en el anverso o reverso de la tarjeta de pago
5
El nmero de identificacin personal ingresado por el titular de la tarjeta durante una transaccin con tarjeta presente o el bloqueo de PIN cifrado presente en
el mensaje de la transaccin.
Relacin entre PCI DSS y PA-DSS
Aplicabilidad de las PCI DSS a las aplicaciones de las PA-DSS
El uso de una aplicacin que cumpla con las PA-DSS por s sola no implica que una entidad cumpla con las PCI DSS, dado que esa aplicacin se
debe implementar en un entorno que cumpla con las PCI DSS y de acuerdo con la Gua de implementacin de las PA-DSS proporcionada por el
proveedor de la aplicacin de pago.
Todas las aplicaciones que almacenan, procesan o transmiten datos de titulares de tarjetas se encuentran dentro del mbito de aplicacin para la
evaluacin de las PCI DSS de una entidad, incluidas las aplicaciones que hayan sido validadas segn las PA-DSS. La evaluacin de las PCI DSS
debe controlar que la aplicacin de pago validada que cumple con las PA-DSS est configurada correctamente e implementada de manera
segura de acuerdo con los requisitos de las PCI DSS. Si una aplicacin de pago ha sufrido cambios de personalizacin, requerir una revisin
ms exhaustiva durante la evaluacin de las PCI DSS, dado que la aplicacin puede haber dejado de representar la versin que fuera validada
por las PA-DSS.
Los requisitos de las PA-DSS se derivan de los Requisitos de las PCI DSS y de los Procedimientos de evaluacin de seguridad (se definen en
este documento). Las PA-DSS detallan los requisitos que debe cumplir una aplicacin de pago a fin de facilitar el cumplimiento de las PCI DSS
por parte del cliente. Como las amenazas de seguridad estn en constante evolucin, las aplicaciones que ya no reciben soporte del proveedor
(por ejemplo, identificadas por el proveedor como "descontinuadas") pueden no ofrecer el mismo nivel de seguridad que las versiones que s
reciben soporte.
Cuando se implementen en un entorno que cumpla con las PCI DSS, las aplicaciones de pago seguro minimizarn tanto la posibilidad de fallos
de seguridad que comprometan el PAN, el contenido completo de la pista, los cdigos y valores de validacin de la tarjeta (CAV2, CID, CVC2,
CVV2), los PIN y los bloqueos de PIN, como el fraude perjudicial derivado de tales fallos de seguridad.
Para determinar si las PA-DSS se aplican a una aplicacin de pago determinada, consulte la Gua del programa PA-DSS que se encuentra en
www.pcisecuritystandards.org.
Aplicabilidad de las PCI DSS a los proveedores de aplicaciones de pago

Es posible que las PCI DSS no se apliquen directamente a proveedores de aplicaciones de pago si el proveedor almacena, procesa o transmite
datos del titular de la tarjeta, o tiene acceso a los datos del titular de la tarjeta de sus clientes (por ejemplo, en la funcin de un proveedor de
servicios).
Alcance de los requisitos de la PCI DSS
Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluidos en el entorno de datos del titular de la
tarjeta o conectados a este. El CDE (entorno de datos del titular de la tarjeta) consta de personas, procesos y tecnologas que almacenan,
procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticacin. El trmino componentes del sistema incluye
dispositivos de red, servidores, dispositivos informticos y aplicaciones. Los componentes del sistema incluyen, a modo de ejemplo:
Sistemas que ofrecen servicios de seguridad (por ejemplo, servidores de autenticacin), que facilitan la segmentacin (por ejemplo,
firewalls internos) o que pueden afectar la seguridad del CDE (por ejemplo, servidores de resolucin de nombres o de
redireccionamiento web).
Componentes de virtualizacin, como mquinas virtuales, interruptores/routers virtuales, dispositivos virtuales, aplicaciones/escritorios
virtuales e hipervisores.
Los componentes de red incluyen, a modo de ejemplo, firewalls, interruptores, routers, puntos de acceso inalmbricos, aplicaciones de
red y otras aplicaciones de seguridad.
Los tipos de servidores incluyen, a modo de ejemplo: web, aplicacin, bases de datos, autenticacin, correo electrnico, proxy, NTP
(protocolo de tiempo de red) y DNS (servidor de nombre de dominio).
Aplicaciones, que abarcan todas las aplicaciones compradas y personalizadas, incluso las aplicaciones internas y externas (por ejemplo,
Internet).
Cualquier otro componente o dispositivo ubicado en el CDE o conectado a este.
El primer paso de una evaluacin de las PCI DSS es determinar con exactitud el alcance de la revisin. Por lo menos una vez al ao y antes de la
evaluacin anual, la entidad evaluada deber confirmar la exactitud del alcance de las PCI DSS al identificar todas las ubicaciones y los flujos de
datos del titular de la tarjeta, e identificar todos los sistemas a los que se conectan o, si estn en riesgo, podran afectar al CDE (por ejemplo, los
servidores de autenticacin) para garantizar que se incluyan en el alcance de las PCI DSS. Todos los tipos de sistemas y ubicaciones debern
considerarse como parte del proceso de alcance, incluidos los sitios de copia de seguridad/recuperacin y los sistemas de conmutacin por error.
Para confirmar la exactitud del CDE definido, realice lo siguiente:

La entidad evaluada identifica y documenta la existencia de todos los datos del titular de la tarjeta en su entorno, con la finalidad de
verificar que no haya datos del titular de la tarjeta fuera del CDE actualmente definido.
Una vez que se hayan identificado y documentado todas las ubicaciones de los datos de los titulares de tarjetas, la entidad utiliza los
resultados para verificar que el alcance de las PCI DSS sea apropiado (por ejemplo, los resultados pueden ser un diagrama o un
inventario de ubicaciones de datos de titulares de tarjetas).
La entidad considera que todos los datos del titular de la tarjeta encontrados estn dentro del alcance de la evaluacin de las PCI DSS y
forman parte del CDE. Si la entidad identifica los datos que no estn actualmente en el CDE, se debern eliminar de manera segura,
migrar al CDE actualmente definido o al CDE redefinido para incluir estos datos.
La entidad retiene la documentacin que muestra cmo se determin el alcance de las PCI DSS. La documentacin se conserva para la revisin
por parte de los asesores o como referencia durante la siguiente actividad anual de confirmacin del alcance de las PCI DSS.
En cada evaluacin de las PCI DSS, el asesor debe validar que el alcance de la evaluacin est correctamente definido y documentado.
Segmentacin de red
La segmentacin de red, o separacin (segmentacin), del entorno de los datos del titular de la tarjeta del resto de la red de una entidad no
constituye un requisito de las PCI DSS. Sin embargo, se recomienda enfticamente como un mtodo que puede disminuir lo siguiente:
El alcance de la evaluacin de las PCI DSS
El costo de la evaluacin de las PCI DSS
El costo y la dificultad de la implementacin y del mantenimiento de los controles de las PCI DSS
El riesgo de las organizaciones (que, gracias a la consolidacin de los datos del titular de la tarjeta en menos y ms controladas
ubicaciones, se ve reducido)
Sin la adecuada segmentacin de red (a veces denominada "red simple"), toda la red se encuentra dentro del alcance de la evaluacin de las PCI
DSS. La segmentacin de red se puede alcanzar mediante diversos medios fsicos o lgicos, tales como firewalls internos de red, routers con
slidas listas de control de acceso u otras tecnologas con la apropiada configuracin que restrinjan el acceso a un segmento particular de la red.
Para considerarlo fuera de alcance para las PCI DSS, el componente del sistema debe estar correctamente aislado (segmentado) del CDE de
manera tal que si el componente del sistema fuera de alcance est en riesgo no afecte la seguridad del CDE.
Un prerrequisito importante para reducir el alcance del entorno de los datos del titular de la tarjeta es la comprensin de las necesidades del
negocio y de los procesos relacionados con el almacenamiento, el procesamiento o la transmisin de los datos del titular de la tarjeta. Es posible
que la restriccin de los datos del titular de la tarjeta a la menor cantidad posible de ubicaciones mediante la eliminacin de datos innecesarios y
la consolidacin de datos necesarios necesite la reingeniera de prcticas de negocio de larga data.
La documentacin de los flujos de datos del titular de la tarjeta mediante un diagrama de flujo de datos ayuda a comprender completamente
todos los flujos de datos del titular de la tarjeta y a asegurar que toda segmentacin de red logre aislar el entorno de los datos del titular de la
tarjeta.
Si existe una segmentacin de red implementada que se utilizar para disminuir el alcance de la evaluacin de las PCI DSS, el asesor debe
verificar que la segmentacin sea adecuada para reducir el alcance de la evaluacin. De la manera ms detallada posible, la adecuada
segmentacin de red asla los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta de los sistemas que no realizan estas
operaciones. Sin embargo, la aptitud de la implementacin de una segmentacin de red en particular vara enormemente y depende de ciertos
factores como la configuracin de una red determinada, las tecnologas que se utilizan y otros controles que puedan implementarse.
Anexo D: La segmentacin y muestreo de instalaciones de la empresa/componentes del sistema proporciona ms informacin sobre el efecto
que la segmentacin y el muestreo de la red sobre el alcance de la evaluacin de las PCI DSS.
Medios inalmbricos
Si se utiliza tecnologa inalmbrica para almacenar, procesar o transmitir datos del titular de la tarjeta (por ejemplo, transacciones de puntos de
venta, line-busting), o si una WLAN (red de acceso local inalmbrica) forma parte del entorno de datos de los titulares de tarjetas o est
conectada a este, es necesario aplicar e implementar los requisitos de las PCI DSS y los procedimientos de pruebas para entornos inalmbricos
(por ejemplo, Requisitos 1.2.3, 2.1.1 y 4.1.1). Recomendamos que antes de implementar la tecnologa inalmbrica, una entidad debe evaluar
cuidadosamente la necesidad de contar con esta tecnologa tomando en cuenta el riesgo. Tenga en cuenta la implementacin de la tecnologa
inalmbrica solamente para las transmisiones de datos no confidenciales.
Uso de proveedores de servicios externos/tercerizacin

Los comerciantes o proveedores de servicio pueden utilizar un proveedor de servicios externo para almacenar, procesar o transmitir datos del
titular de la tarjeta en su nombre, o para administrar componentes como routers, firewalls, bases de datos, seguridad fsica y/o servidores. En ese
caso, la seguridad del entorno de los datos del titular de la tarjeta podra estar afectada.
Las partes deben identificar con claridad los servicios y los componentes del sistema que estn dentro del alcance de la evaluacin de las PCI
DSS del proveedor de servicios, los requisitos especficos de las PCI DSS cubiertos por el proveedor de servicios y cualquier otro requisito que
los clientes del proveedor de servicios deban incluir en las revisiones de las PCI DSS. Por ejemplo, un proveedor de hosting gestionado deber
definir, claramente, cules de las direcciones IP se analizarn como parte del proceso de anlisis trimestral de vulnerabilidades y cules son las
direcciones IP que el cliente debe incluir en sus propios anlisis trimestrales.
Los proveedores de servicios son responsables de demostrar el cumplimiento de la PCI DSS, y las marcas de pago pueden exigir que lo hagan.
Los proveedores de servicios debern contactar a su adquirente y/o marca de pago para determinar la validacin adecuada del cumplimiento.
Los terceros proveedores de servicios tienen dos formas de validar el cumplimiento:
1) Evaluacin anual: Los proveedores de servicios pueden realizar una o varias evaluaciones anuales de las PCI DSS por cuenta propia y
proporcionar evidencia a sus clientes a fin de demostrar el cumplimiento; o
2) Evaluaciones mltiples, bajo demanda: Si no se someten a sus propias evaluaciones anuales de la PCI DSS, los proveedores de
servicios deben someterse a evaluaciones a solicitud de sus clientes y/o participar en cada una de las revisiones de la PCI DSS de sus
clientes, proporcionando los resultados de cada revisin a sus respectivos clientes
Si el tercero lleva a cabo su propia evaluacin de las PCI DSS, debe proporcionarles a los cliente la evidencia necesaria que corrobore que el
alcance de la evaluacin de las PCI DSS del proveedor de servicios cubre los servicios correspondientes al cliente y que se examinaron e
implementaron los requisitos de las PCI DSS pertinentes. El tipo de evidencia especfica que el proveedor de servicios les proporcione a los
clientes depender de los acuerdos o contratos implementados entre dichas partes. Por ejemplo, proporcionar la AOC (atestacin de
cumplimiento) o las secciones relevantes del ROC (informe sobre cumplimiento) del proveedor de servicios (redactado para proteger la
informacin confidencial) puede ser til para proporcionar toda la informacin o parte de esta.
Asimismo, los comerciantes y los proveedores de servicios deben administrar y supervisar el cumplimiento de las PCI DSS de todos los terceros
proveedores de servicios con acceso a los datos del titular de la tarjeta. Consulte el Requisito 12.8 de este documento para obtener informacin
ms detallada.
Mejores prcticas para implementar las PCI DSS en los procesos habituales
A fin de garantizar que los controles de seguridad se sigan implementando correctamente, las PCI DSS debern implementarse en las
actividades BAU (habituales) como parte de la estrategia general de seguridad. Esto permite que la entidad supervise constantemente la eficacia
de los controles de seguridad y que mantenga el cumplimiento de las PCI DSS en el entorno entre las evaluaciones de las PCI DSS. Ejemplos de
cmo incorporar las PCI DSS en las actividades BAU incluyen pero no se limitan a:
1. Monitorear los controles de seguridad, tales como firewalls, IDS/IPS (sistemas de intrusin-deteccin o de intrusin-prevencin), FIM
(supervisin de la integridad de archivos), antivirus, controles de acceso, etc., para asegurarse de que funcionan correctamente y segn lo
previsto.
2. Garantizar la deteccin de todas las fallas en los controles de seguridad y solucionarlas oportunamente. Los procesos para responder en
caso de fallas en el control de seguridad son los siguientes:
Restaurar el control de seguridad.
Identificar la causa de la falla.
Identificar y abordar cualquier problema de seguridad que surja durante la falla del control de seguridad.
Implementar la mitigacin (como procesos o controles tcnicos) para evitar que la causa reaparezca.
Reanudar la supervisin del control de seguridad, quizs con una supervisin mejorada durante un tiempo a fin de verificar que el
control funcione correctamente.
3. Revisar los cambios implementados en el entorno (por ejemplo, incorporacin de nuevos sistemas, cambios en las configuraciones del
sistema o la red) antes de finalizar el cambio y realizar las siguientes actividades:
Determinar el posible impacto en el alcance de las PCI DSS (por ejemplo, una nueva regla para los firewalls que permita la
conectividad entre un sistema del CDE y otro sistema puede incorporar sistemas o redes adicionales al alcance de las PCI DSS).
Identificar los requisitos de las PCI DSS correspondientes a los sistemas y las redes afectados por los cambios (por ejemplo, si un
nuevo sistema est dentro del alcance de las PCI DSS, se deber configurar de acuerdo con las normas de configuracin de
sistemas, entre otros, FIM (supervisin de la integridad de archivos), AV (antivirus), parches, registros de auditoras, etc., y se
deber incorporar al programa trimestral de anlisis de vulnerabilidades).
Actualizar el alcance de las PCI DSS e implementar los controles de seguridad, segn sea necesario.
4. Si se implementan cambios en la estructura organizativa (por ejemplo, la adquisicin o fusin de una empresa), se debe realizar una
revisin formal del impacto en el alcance y en los requisitos de las PCI DSS.
5. Se deben realizar revisiones y comunicados peridicos para confirmar que los requisitos de las PCI DSS se siguen implementando y que
el personal cumple con los procesos de seguridad. Estas revisiones peridicas deben abarcar todas las instalaciones y ubicaciones, en las
que se incluyen tiendas minoristas, centros de datos, etc., e incluir la revisin de los componentes del sistema (o muestras de los
componentes del sistema) a fin de verificar que siguen implementados los requisitos de las PCI DSS, por ejemplo, normas de
configuracin implementadas, parches y AV (antivirus) actualizados, registros de auditoras revisados y as sucesivamente. La entidad
debe determinar la frecuencia de las revisiones peridicas en funcin del tamao y de la complejidad del entorno.
Estas revisiones tambin se pueden usar para verificar que se mantiene la evidencia correspondiente, por ejemplo, registros de auditoras,
informes de anlisis de vulnerabilidades, revisiones de firewall, etc., para ayudar a la entidad a prepararse para la siguiente evaluacin
sobre cumplimiento.
6. Revisar las tecnologas de hardware y software, al menos, una vez al ao para confirmar que el proveedor las sigue admitiendo y que
pueden satisfacer los requisitos de seguridad de la entidad, incluida la PCI DSS. Si se detecta que el proveedor ya no puede admitir las
tecnologas o que no pueden satisfacer las necesidades de seguridad de la entidad, la entidad debe preparar un plan de recuperacin que
incluya el reemplazo de la tecnologa si fuera necesario.
Adems de las prcticas anteriores, las organizaciones tambin deben considerar la opcin de separar las tareas de las funciones de seguridad
de modo que las funciones de seguridad y auditoras sean independientes de las funciones operativas. En entornos en los que una persona
desempea varias funciones (por ejemplo, operaciones de administracin y seguridad), las tareas se deben asignar de manera tal que ninguna
persona tenga control completo de un proceso sin un punto de verificacin independiente. Por ejemplo, las tareas de configuracin y de
aprobacin de cambios se pueden asignar a dos personas distintas.
Nota: Para algunas entidades, estas mejores prcticas tambin son requisitos para garantizar el
cumplimiento continuo de la PCI DSS. Por ejemplo, la PCI DSS incluye estos principios en algunos
requisitos, y la Validacin suplementaria de las entidades designadas (Anexo A3 de la PCI DSS) exige que
las entidades designadas validen estos principios.
Todas las organizaciones debern considerar la implementacin de estas mejores prcticas en su entorno,
aun cuando no se requiere que la organizacin las valide.
Para los asesores: Muestreo de instalaciones de la empresa/componentes del
sistema
El muestreo es una opcin con la que cuentan los asesores para simplificar los procesos de evaluacin que tienen una gran cantidad de
instalaciones de la empresa o de componentes del sistema.
Aunque un asesor puede obtener muestras de las instalaciones de la empresa/componentes del sistema como parte de la revisin de
cumplimiento de las PCI DSS de la entidad, la entidad no puede implementar los requisitos de las PCI DSS solamente a la muestra del entorno
(por ejemplo, los requisitos para los anlisis trimestrales de vulnerabilidades se implementan en todos los componentes del sistema). De igual
manera, no est permitido que el asesor solo revise el cumplimiento de los requisitos de las PCI DSS de una muestra.
Despus de analizar el alcance global y la complejidad del entorno que se est evaluando, el asesor puede seleccionar, de manera
independiente, muestras representativas de instalaciones de la empresa/componentes del sistema a fin de evaluar el cumplimiento de los
requisitos de las PCI DSS por parte de la entidad. Estas muestras se deben definir primero para instalaciones de negocios y luego para los
componentes del sistema dentro de cada instalacin del negocio seleccionada. Las muestras deben constituir una seleccin representativa de los
tipos y las ubicaciones de las instalaciones de la empresa, as como todos los tipos de componentes del sistema dentro de las instalaciones de la
empresa seleccionadas. Las muestras deben ser suficientemente grandes para proporcionar al asesor la seguridad de que los controles se
implementaron de la manera esperada.
Entre las instalaciones de negocios se incluyen, a modo de ejemplo: oficinas corporativas, tiendas, franquicias, instalaciones de procesamiento,
centros de datos y otros tipos de instalacin en diferentes ubicaciones. Las muestras deben incluir componentes de sistemas dentro de cada
instalacin del negocio seleccionada. Por ejemplo, por cada instalacin de la empresa seleccionada, incluya distintos sistemas operativos,
funciones y aplicaciones que correspondan al rea que se est evaluando.
En cada instalacin de la empresa, por ejemplo, el asesor podra definir una muestra para incluir los servidores Sun que operan con Apache, los
servidores Windows que operan con Oracle, los sistemas mainframe que operan con aplicaciones heredadas de procesamiento de tarjetas, los
servidores de transferencia de datos que operan con HP-UX y los servidores Linux que operan con MySQL. Si todas las aplicaciones operan con
la misma versin de un sistema operativo (por ejemplo, Windows 7 o Solaris 10), la muestra deber incluir una variedad de aplicaciones (por
ejemplo, servidores de base de datos, servidores web y servidores de transferencia de datos).
Al seleccionar muestras de las instalaciones del negocio/componentes del sistema, los asesores debern tener en cuenta lo siguiente:
Si se implementan procesos y controles estandarizados y centralizados de seguridad y operativos para las PCI DSS que garanticen
uniformidad y que debe seguir cada instalacin de la empresa/componente del sistema, la muestra puede ser menor de lo que sera
necesario si no existieran procesos o controles estndares implementados. La muestra debe ser suficientemente grande para
proporcionar al asesor la garanta razonable de que todas las instalaciones del negocio/componentes del sistema se configuraron segn
los procesos estndares. El asesor debe verificar que los controles estandarizados y centralizados estn implementados y que funcionen
correctamente.
Si no est implementado ms de un tipo de proceso operativo y/o de seguridad estndar (por ejemplo, para diferentes tipos de
instalaciones del negocio/componentes del sistema), la muestra debe ser suficientemente grande para incluir las instalaciones del
negocio/componentes del sistema asegurados con cada tipo de proceso.
Si no estn implementados procesos/controles de PCI DSS estndares y cada instalacin del negocio/componente del sistema se
administra a travs de procesos no estndares, la muestra debe ser ms grande para que el asesor pueda estar seguro de que cada
instalacin del negocio/componente del sistema implement los requisitos de las PCI DSS de manera apropiada.
Las muestras de los componentes del sistema deben incluir todos los tipos y las combinaciones que estn en uso. Por ejemplo, en el
caso de que se realicen muestras de aplicaciones, la muestra debe incluir todas las versiones y plataformas de cada tipo de aplicacin.
Para cada instancia donde se hayan utilizado muestras, el asesor debe:

Consulte: Anexo D:
Documente la justificacin de la tcnica de muestreo y el tamao de la muestra, Segmentacin y muestreo
de instalaciones de la
Documente y valide los procesos y controles de las PCI DSS estandarizados que se utilizan para
empresa/componentes del
determinar el tamao de la muestra y
sistema
Explique la manera como la muestra es apropiada y representativa de toda la poblacin.
Los asesores deben revalidar la justificacin del muestreo para cada evaluacin. Si se utiliza el muestreo, se deben seleccionar diferentes
muestras de instalaciones de la empresa y componentes del sistema para cada evaluacin.
Controles de compensacin
Anualmente, el asesor deber documentar, revisar y validar los controles de compensacin e incluirlos con el Informe de cumplimiento que
presente, segn se ilustra en el Anexo B: Controles de compensacin y Anexo C: Hoja de trabajo de controles de compensacin.
Por cada control de compensacin, se debe completar la Hoja de trabajo de controles de compensacin (Anexo C). Asimismo, los controles de
compensacin se deben documentar en el ROC en la seccin de los requisitos pertinentes de las PCI DSS.
Para obtener ms informacin sobre los controles de compensacin, consulte los Anexos B y C mencionados anteriormente.
Instrucciones y contenido del informe sobre cumplimiento
Las instrucciones y el contenido del ROC (informe sobre cumplimiento) se proporcionan en la Plantilla para crear informes ROC de la PCI DSS.
La Plantilla para crear informes ROC de las PCI DSS se debe usar como la plantilla para crear el informe sobre cumplimiento. La entidad que se
evale deber seguir los requisitos de informe de cada marca de pago para asegurar que cada marca de pago reconozca el estado de
cumplimiento de la entidad. Comunquese con cada marca de pago o con el adquiriente para establecer los requisitos y las instrucciones del
informe.
Proceso de evaluacin de las PCI DSS

El proceso de evaluacin de la PCI DSS incluye la finalizacin de los siguientes pasos:
1. Confirmar el alcance de la evaluacin de las PCI DSS.
2. Llevar a cabo la evaluacin de las PCI DSS del entorno segn los procedimientos de pruebas de cada requisito.
3. Complete el informe correspondiente de la evaluacin (es decir, el SAQ [cuestionario de autoevaluacin] o el ROC [informe sobre
cumplimiento]), que incluye la documentacin de todos los controles de compensacin, de acuerdo con la gua y las instrucciones de la
PCI correspondientes.
4. Complete la Declaracin de cumplimiento para Proveedores de servicios o Comerciantes, segn corresponda, en su totalidad. Las
Atestaciones de cumplimiento estn disponibles en el sitio web de PCI SSC.
5. Presente el SAQ o el ROC y la Atestacin de cumplimiento junto con cualquier otro documento solicitado, como los informes de anlisis
de ASV (proveedores aprobados de escaneo) al adquiriente (en el caso de comerciantes), a la marca de pago o a otro solicitante (en el
caso de proveedores de servicios).
6. Si es necesario, realice la remediacin para abordar los requisitos que no estn implementados, y presentar un informe actualizado.
Versiones de la PCI DSS
A partir de la fecha de publicacin del presente documento, la PCI DSS v3.1 es vlida hasta el 31 de octubre de 2016, despus de lo cual se
retira. Todas las validaciones de la PCI DSS despus de esta fecha deben ser a la PCI DSS v3.2 o posterior.
La siguiente tabla ofrece un resumen de las versiones de la PCI DSS y sus fechas de entrada en vigencia 6.
Versin Publicado: Retirado:

PCI DSS, versin 3.2 (Este
Abril de 2016 Por determinarse
documento)
PCI DSS, versin 3.1 Abril de 2015 31 de octubre de 2016
6
Sujeto a cambios despus del lanzamiento de una nueva versin de la PCI DSS.
Requisitos de las PCI DSS y procedimientos de evaluacin de seguridad detallados
A continuacin, se definen los encabezados de las columnas de la tabla para los requisitos de las PCI DSS y los procedimientos de evaluacin de
seguridad:
Requisitos de las PCI DSS: Esta columna define los requisitos de las normas de seguridad de datos; el cumplimiento de las PCI DSS se
validar en comparacin con estos requisitos.
Procedimientos de pruebas: Esta columna muestra los procesos que el asesor debe seguir a los efectos de validar que los requisitos
de las PCI DSS se hayan implementado y cumplido.
Gua: Esta columna describe la meta o el objetivo de seguridad de cada requisito de las PCI DSS. Esta columna es solo una gua y tiene
como objetivo ayudar a comprender el objetivo de cada requisito. La gua de esta columna no reemplaza ni extiende los requisitos de las
PCI DSS y los procedimientos de pruebas.
Nota: Los requisitos de las PCI DSS no se deben considerar implementados si los controles no se han implementado an o si estn
programados para completarse en el futuro. Despus de que la entidad haya corregido los puntos sujetos a control o no implementados, el
asesor volver a evaluarlos a los efectos de validar que se realiz la correccin y que se cumplieron todos los requisitos.
Consulte los siguientes recursos (disponibles en el sitio web de PCI SSC) para documentar la evaluacin de las PCI DSS:
Para obtener instrucciones sobre cmo completar el ROC, consulte la Plantilla para crear informes ROC de las PCI DSS.
Para obtener instrucciones sobre cmo completar el SAQ, consulte las Instrucciones y directrices del SAQ de las PCI DSS.
Para obtener instrucciones sobre cmo presentar los informes de validacin sobre cumplimiento de las PCI DSS, consulte las
Atestaciones de cumplimiento de las PCI DSS.
Desarrolle y mantenga redes y sistemas seguros.
Requisito 1: Instale y mantenga una configuracin de firewall para proteger los datos del titular de la tarjeta.
Los firewalls son dispositivos que controlan el trfico computarizado entre las redes (internas) y las redes no confiables (externas) de una entidad,
as como el trfico de entrada y salida a reas ms sensibles dentro de las redes internas confidenciales de una entidad. El entorno de datos de
los titulares de tarjetas es un ejemplo de un rea ms confidencial dentro de la red confiable de una entidad.
El firewall examina todo el trfico de la red y bloquea las transmisiones que no cumplen con los criterios de seguridad especificados.
Todos los sistemas debe estar protegidos contra el acceso no autorizado desde redes no confiables, ya sea que ingresen al sistema a travs de
Internet como comercio electrnico, del acceso a Internet desde las computadoras de mesa de los empleados, del acceso al correo electrnico
de los empleados, de conexiones dedicadas como conexiones entre negocios mediante redes inalmbricas o a travs de otras fuentes. Con
frecuencia, algunas vas de conexin hacia y desde redes no confiables aparentemente insignificantes pueden proporcionar un acceso sin
proteccin a sistemas clave. Los firewalls son un mecanismo de proteccin esencial para cualquier red de computadoras.
Otros componentes del sistema pueden funcionar como firewall, siempre que renan los requisitos mnimos correspondientes a firewalls, segn
se especifica en el Requisito 1. En las reas que se utilizan otros componentes del sistema dentro del entorno de datos de los titulares de tarjetas
para proporcionar la funcionalidad de firewall, es necesario incluir estos dispositivos dentro del alcance y de la evaluacin del Requisito 1.
Requisitos de las PCI DSS Procedimientos de prueba Gua

1.1 Establezca e implemente normas de 1.1 Inspeccione las normas de configuracin de firewalls y Los firewalls y los routers son componentes clave
configuracin para firewalls y routers routers y otros documentos especificados a continuacin para de la arquitectura que controla la entrada a y la
que incluyan lo siguiente: verificar el cumplimiento e implementacin de las normas. salida de la red. Estos dispositivos son unidades
de software o hardware que bloquean el acceso
no deseado y administran el acceso autorizado
hacia dentro y fuera de la red.
Las normas y los procedimientos de configuracin
ayudarn a garantizar que la primera lnea de
defensa de la organizacin en la proteccin de
sus datos mantenga su solidez.
1.1.1 Un proceso formal para aprobar 1.1.1.a Revise los procedimientos documentados para La implementacin y la documentacin de un
y probar todos los cambios y las corroborar que existe un proceso formal para aprobar y probar proceso para aprobar y probar todas las
conexiones de red en la configuracin lo siguiente: conexiones y cambios de los firewalls y los
de los firewalls y los routers routers ayudarn a prevenir problemas de
Conexiones de red
seguridad causados por una configuracin
Cambios en las configuraciones de firewalls y routers errnea de la red, del router o del firewall.
1.1.1.b Para obtener una muestra de las conexiones de red, Sin las pruebas y la aprobacin formal de los
entreviste al personal responsable y revise los registros para cambios, es posible que no se actualicen los
verificar que se hayan aprobado y probado las conexiones de registros de los cambios, lo que podra generar
red. discrepancias entre los documentos de la red y la
configuracin real.
1.1.1.c Identifique una muestra de los cambios reales
realizados en las configuraciones de firewalls y routers,
comprela con los registros de cambio y entreviste al personal
responsable para verificar que los cambios se hayan probado
y aprobado.
1.1.2 Diagrama de red actual que 1.1.2.a Revise los diagramas y observe las configuraciones Los diagramas de red describen cmo estn
identifica todas las conexiones entre el de red para verificar que exista un diagrama de red actual que configuradas las redes e identifican la ubicacin
entorno de datos de titulares de documente todas las conexiones con los datos de los titulares de todos los dispositivos de la red.
tarjetas y otras redes, incluso de tarjetas, incluso las redes inalmbricas. Sin los diagramas de red actuales, es posible que
cualquier red inalmbrica. se omitan los dispositivos y se excluyan de
1.1.2.b Entreviste al personal responsable para verificar que
el diagrama est actualizado. manera accidental de los controles de seguridad
implementados para las PCI DSS, por lo tanto,
quedan vulnerables.
1.1.3 El diagrama actual que muestra 1.1.3 Revise el diagrama de flujo de datos y entreviste al El diagrama de flujo de los datos de titulares de
todos los flujos de datos de titulares de personal para verificar lo siguiente en el diagrama: tarjetas identifica la ubicacin de todos los datos
tarjetas entre los sistemas y las redes. de titulares de tarjetas que se almacenan,
Muestra los flujos de datos de titulares de tarjetas entre
procesan o transmiten dentro de la red.
los sistemas y las redes.
Se mantiene al da y est actualizado segn los cambios Los diagramas de flujo de datos de la red y de los
implementados en el entorno. titulares de tarjetas ayudan a la organizacin a
entender y llevar un registro del alcance de su
entorno al mostrar cmo circulan los datos de
titulares de tarjetas entre las redes y entre los
sistemas y dispositivos individuales.
1.1.4 Requisitos para tener un firewall 1.1.4.a Revise las normas de configuracin de firewalls y El uso de un firewall en cada conexin de Internet
en cada conexin a Internet y entre controle que incluyan los requisitos para tener un firewall en entrante (y saliente) de la red y entre cualquier
cualquier DMZ (zona desmilitarizada) cada conexin a Internet y entre cualquier DMZ (zona DMZ (zona desmilitarizada) y la red interna le
y la zona de la red interna. desmilitarizada) y la zona de la red interna. permite a la organizacin supervisar, controlar el
acceso y minimizar las posibilidades de que una
1.1.4.b Verifique que el diagrama de red actual concuerde con persona malintencionada acceda a la red interna
las normas de configuracin de firewalls. mediante una conexin sin proteccin.
1.1.4.c Revise las configuraciones de red para verificar que
haya un firewall en cada conexin a Internet y entre cualquier
DMZ (zona desmilitarizada) y la zona de la red interna, de
acuerdo con las normas de configuracin documentadas y los
diagramas de red.
1.1.5 Descripcin de grupos, funciones 1.1.5.a Verifique que las normas de configuracin de firewalls Mediante la descripcin de las funciones y la
y responsabilidades para la y routers incluyan la descripcin de los grupos, las funciones asignacin de responsabilidades, el personal
administracin de los componentes de y las responsabilidades para la administracin de los sabe quin est a cargo de la seguridad de todos
la red. componentes de la red. los componentes de la red y aquellas personas
encargadas de administrar los componentes
1.1.5.b Entreviste al personal responsable de administrar saben cul es su responsabilidad. Si no se
los componentes de la red para confirmar que las funciones asignan formalmente las funciones y las
y las responsabilidades se hayan asignado segn lo responsabilidades, es posible que los dispositivos
documentando. queden sin supervisin.
1.1.6 Documentacin y justificacin de 1.1.6.a Verifique que las normas de configuracin de firewalls Con frecuencia se producen exposiciones debido
negocio para el uso de todos los y routers incluyan una lista documentada de todos los a que los servicios y puertos no se utilizan o a
servicios, protocolos y puertos servicios, protocolos y puertos, incluida la justificacin que no son seguros, ya que estos, por lo general,
permitidos, incluida la documentacin comercial y la aprobacin para cada una. tienen vulnerabilidades conocidas y muchas
de las funciones de seguridad organizaciones no implementan parches para las
implementadas en aquellos protocolos 1.1.6.b Identifique los servicios, protocolos y puertos vulnerabilidades de los servicios, protocolos y
que se consideran inseguros. inseguros permitidos y verifique que se hayan documentado puertos que no se utilizan (incluso estando
las funciones de seguridad de cada servicio. presentes las vulnerabilidades). Mediante la
1.1.6.c Revise las configuraciones de firewalls y routers para definicin y la documentacin precisas de los
verificar que se hayan implementado las funciones de servicios, protocolos y puertos necesarios para la
seguridad para cada servicio, protocolo y puerto inseguros. empresa, las organizaciones pueden asegurarse
de que se inhabiliten o eliminen el resto de los
servicios, protocolos y puertos.
Las aprobaciones debern ser concedidas por
personal independiente del personal que maneja
la configuracin.
Si los servicios, protocolos o puertos inseguros
son necesarios para la empresa, la organizacin
debe entender y aceptar el riesgo que supone el
uso de estos protocolos, adems, se debe
justificar el uso del protocolo y documentar e
implementar las funciones de seguridad que
permiten utilizar estos protocolos de manera
segura. Si estos servicios, protocolos o puertos
inseguros no son necesarios para la empresa, se
deben inhabilitar o eliminar.
Para obtener una gua sobre los servicios,
protocolos o puertos que se consideran
inseguros, consulte las normas y la gua de la
industria (por ejemplo, NIST, ENISA, OWASP,
etc.)
1.1.7 Requisito de la revisin de las 1.1.7.a Verifique que las normas de configuracin de firewalls Esta revisin le brinda a la organizacin la
normas de firewalls y routers, al y routers soliciten la revisin de las reglas, al menos, cada oportunidad de eliminar todas las reglas
menos, cada seis meses. seis meses. innecesarias, desactualizadas o incorrectas, al
menos, cada seis meses y de garantizar que
1.1.7.b Examine la documentacin relacionada con las todos los conjuntos de reglas otorguen permiso
revisiones de las reglas y entreviste al personal responsable solo a los servicios y puertos autorizados que
para verificar si las reglas se revisan, al menos, cada seis coincidan con las justificaciones de negocio
meses. documentadas.
Las organizaciones que implementan numerosos
cambios en las reglas de firewalls y routers deben
considerar la opcin de realizar revisiones ms
frecuentes a fin de asegurarse de que las reglas
satisfagan las necesidades de la empresa.
1.2 Desarrolle configuraciones para 1.2 Revise las configuraciones de firewalls y routers y realice Es fundamental instalar proteccin para la red
firewalls y routers que restrinjan las las siguientes acciones para verificar que se restringen las entre la red interna confiable y cualquier red no
conexiones entre redes no confiables y conexiones entre redes no confiables y todo componente del confiable que sea externa o est fuera de la
cualquier componente del sistema en el sistema en el entorno de datos de titulares de tarjetas: capacidad de control y administracin de la
entorno de los datos de titulares de entidad. No implementar esta medida
tarjetas. correctamente deja a la entidad expuesta al
acceso no autorizado por parte de personas
Nota: Una red no confiable es toda red
malintencionadas o un software malintencionado.
externa a las redes que pertenecen a la
entidad en evaluacin o que excede la Para que la funcionalidad del firewall sea eficaz,
capacidad de control o administracin debe estar correctamente configurado para
de la entidad. controlar o limitar el trfico desde y hacia la red
de la entidad.
1.2.1 Restrinja el trfico entrante y 1.2.1.a Revise las normas de configuracin de firewalls y La evaluacin de todas las conexiones entrantes
saliente a la cantidad necesaria para routers para verificar que identifican el trfico entrante y y salientes brinda la oportunidad de inspeccionar
el entorno de datos de los titulares de saliente necesario para el entorno de datos de titulares de y limitar el trfico segn las direcciones de
tarjetas y niegue especficamente el tarjetas. origen/destino, previniendo as el acceso no
trfico restante. filtrado entre entornos confiables y no confiables.
1.2.1.b Revise las configuraciones de firewalls y routers para Este requisito busca impedir que personas
verificar que el trfico entrante y saliente est restringido a la malintencionadas accedan a la red de la entidad a
cantidad necesaria para el entorno de datos de titulares de travs de direcciones IP no autorizadas o que se
tarjetas. utilicen servicios, protocolos o puertos sin
1.2.1.c Revise las configuraciones de firewalls y routers para autorizacin (por ejemplo, para enviar datos que
verificar que todo trfico entrante y saliente se niegue de hayan obtenido desde dentro de la red de la
manera especfica, por ejemplo, mediante una declaracin entidad hacia un servidor no confiable).
explcita negar todos o una negacin implcita despus de Implementar una regla que niegue todo el trfico
una declaracin de permiso. entrante y saliente que no sea especficamente
necesario ayuda a evitar agujeros inadvertidos
que permitirn la entrada y salida de trfico
fortuito y potencialmente peligroso.
1.2.2 Asegure y sincronice los 1.2.2.a Revise los archivos de configuracin del router para Si bien los archivos de configuracin del router en
archivos de configuracin de routers. verificar que estn protegidos contra el acceso no autorizado. ejecucin (o activo) incluyen los parmetros
actuales de configuracin seguros, los archivos
1.2.2.b Revise las configuraciones del router y verifique que de inicio (que se usan cuando el router realiza un
estn sincronizadas, por ejemplo, que la configuracin en reinicio) se deben actualizar con los mismos
ejecucin (o activa) coincida con la configuracin de inicio parmetros de configuracin segura para
(que se usa cuando la mquina se reinicia). garantizar que estos parmetros se aplicarn
cuando se ejecute la configuracin de inicio.
Debido a que los archivos de configuracin de
inicio solo se ejecutan ocasionalmente, muchas
veces quedan en el olvido y no se actualizan.
Cuando un router realiza un reinicio y carga una
configuracin de inicio que no se actualiz con los
mismos parmetros de configuracin segura que
los de la configuracin en ejecucin, se pueden
producir reglas ms dbiles que permitan que
personas malintencionadas accedan a la red.
1.2.3 Instale firewalls de permetro 1.2.3.a Revise las configuraciones de firewalls y routers, y La implementacin y explotacin conocida (o
entre las redes inalmbricas y el verifique que se hayan instalado firewalls de permetro entre desconocida) de tecnologa inalmbrica dentro de
entorno de datos del titular de la las redes inalmbricas y el entorno de datos del titular de la una red constituyen una ruta comn para que
tarjeta y configure estos firewalls para tarjeta. personas malintencionadas obtengan acceso a la
negar o, si el trfico es necesario para 1.2.3.b Verifique que los firewalls nieguen o, si el trfico es red y a datos de titulares de tarjetas. Si una red o
fines comerciales, permitir solo el necesario para fines comerciales, permitan solo el trfico un dispositivo inalmbrico se instala sin el
trfico autorizado entre el entorno autorizado entre el entorno inalmbrico y el entorno de datos conocimiento de la entidad, una persona
inalmbrico y el entorno de datos del del titular de la tarjeta. malintencionada podra ingresar en la red
titular de la tarjeta. fcilmente y sin ser vista. Si los firewalls no
restringen el acceso de las redes inalmbricas al
CDE (entorno de datos del titular de la tarjeta), las
personas malintencionadas que obtengan acceso
no autorizado a la red inalmbrica se pueden
conectar fcilmente al CDE (entorno de datos del
titular de la tarjeta) y poner en riesgo la
informacin de las cuentas.
Se deben instalar firewalls entre las redes
inalmbricas y el CDE, independientemente del
propsito del entorno al que est conectada la red
inalmbrica. Esto puede incluir, a modo de
ejemplo, redes corporativas, tiendas minoristas,
redes de huspedes, almacenes, etc.
1.3 Prohba el acceso directo pblico 1.3 Revise las configuraciones de firewalls y routers, que Si bien puede haber razones legtimas para
entre Internet y todo componente del incluye, entro otros, el router de estrangulamiento de Internet, el permitir conexiones que no son de confianza en
sistema en el entorno de datos de los router DMZ y el firewall, el segmento de titulares de tarjetas de los sistemas de la DMZ (por ejemplo, permitir el
titulares de tarjetas. DMZ, el router de permetro y el segmento de la red interna del acceso del pblico a un servidor web), dichas
titular de la tarjeta, y realice lo siguiente a fin de determinar que conexiones nunca deben concederse a los
no exista un acceso directo entre la Internet y los componentes sistemas de la red interna. El objetivo de un
del sistema en el segmento de red interna de los titulares de firewall es administrar y controlar todas las
tarjeta: conexiones entre los sistemas pblicos y los
sistemas internos, especialmente aquellos que
almacenan, procesan o transmiten datos del
titular de la tarjeta. Si se permite el acceso directo
entre los sistemas pblicos y el CDE, se burlan
las protecciones que ofrece el firewall y se
pueden poner en riesgo los componentes del
sistema que almacenan los datos del titular de la
tarjeta.
1.3.1 Implemente una DMZ (zona 1.3.1 Revise las configuraciones de firewalls y routers, y La DMZ se refiere a la parte de la red que
desmilitarizada) para limitar el trfico verifique que se haya implementado una DMZ (zona administra las conexiones entre la Internet (u
entrante solo a aquellos componentes desmilitarizada) para limitar el trfico entrante solo a aquellos otras redes no confiables) y los servicios que una
del sistema que proporcionan componentes del sistema que proporcionan servicios, organizacin necesita poner a disposicin del
servicios, protocolos y puertos con protocolos y puertos con acceso pblico autorizado. pblico (como un servidor web).
acceso pblico autorizado. El objetivo de esta funcionalidad es impedir el
1.3.2 Restrinja el trfico entrante de 1.3.2 Revise las configuraciones de firewalls y routers, y acceso de personas malintencionadas a la red
Internet a las direcciones IP dentro de verifique que se restrinja el trfico entrante de Internet a las interna de la organizacin a travs de Internet o
la DMZ. direcciones IP dentro de la DMZ. que se utilicen servicios, protocolos o puertos sin
autorizacin.
1.3.3 Implementar medidas 1.3.3 Revise las configuraciones de firewalls y routers, y Generalmente, un paquete contiene la direccin
antisuplantacin para detectar y verifique que se hayan implementado medidas contra la IP de la computadora desde la cual se envi
bloquear direcciones IP manipuladas a suplantacin, por ejemplo, las direcciones internas no se originalmente, por lo tanto, las otras
fin de que no ingresen en la red. pueden transferir de Internet a la DMZ. computadoras de la red saben de dnde proviene
(Por ejemplo, bloquear el trfico el paquete. Las personas malintencionadas
proveniente de Internet con una intentarn suplantar (o imitar) la direccin IP de
direccin de fuente interna). destino para que el sistema de destino crea que
el paquete proviene de una fuente confiable.
Filtrar los paquetes provenientes de la red ayuda,
entre otras cosas, a evitar la suplantacin de los
paquetes para que parezcan que provienen de la
red interna de la organizacin.
1.3.4 No permita que el trfico saliente 1.3.4 Revise las configuraciones de firewalls y routers, y Todo el trfico saliente del entorno de datos del
no autorizado proveniente del entorno verifique que el trfico saliente proveniente del entorno de titular de la tarjeta se debe evaluar para
de datos del titular de la tarjeta ingrese datos del titular de la tarjeta a Internet est explcitamente garantizar que respete las reglas establecidas y
en Internet. autorizado. autorizadas. Las conexiones se deben
inspeccionar a fin de limitar el trfico slo a las
comunicaciones autorizadas (por ejemplo, al
limitar direcciones/puertos de origen/destino y/o
bloquear contenido).
1.3.5 Solo permita conexiones 1.3.5 Revise las configuraciones de firewalls y routers para Un firewall que mantiene el estado de cada
"establecidas" en la red. verificar que los firewalls permiten solo conexiones conexin que pasa por el firewall conoce si una
establecidas en la red interna y que niegan cualquier conexin aparente respuesta a una conexin anterior es,
entrante que no est asociada con una sesin previamente en realidad, una respuesta vlida autorizada (ya
establecida. que conserva el estado de cada conexin) o si es
trfico malintencionado que intenta engaar al
firewall para que permita la conexin.
1.3.6 Coloque los componentes del 1.3.6 Revise las configuraciones de firewalls y routers, y Si los datos del titular de la tarjeta se encuentran
sistema que almacenan datos del verifique que los componentes del sistema que almacenan en la DMZ (zona desmilitarizada), un atacante
titular de la tarjeta (como una base de datos del titular de la tarjeta (como una base de datos) se externo puede acceder a esta informacin con
datos) en una zona de red interna encuentren en una zona de red interna segregada desde una ms facilidad porque hay menos capas que
segregada desde una DMZ (zona DMZ (zona desmilitarizada) y otras redes no confiables. penetrar. Proteger con un firewall los
desmilitarizada) y otras redes no componentes del sistema que almacenan los
confiables. datos del titular de la tarjeta en una zona de red
interna que est segregada desde la DMZ (zona
desmilitarizada) y otras redes no confiables puede
evitar que el trfico de red no autorizado llegue a
los componentes del sistema.
Nota: El objetivo de este requisito no es aplicarlo
al almacenamiento temporal de los datos del
titular de la tarjeta en una memoria voltil.
1.3.7 No divulgue direcciones IP 1.3.7.a Revise las configuraciones de firewalls y routers, y Restringir la divulgacin de direcciones IP
privadas ni informacin de verifique que se hayan implementado mtodos para prevenir internas o privadas resulta fundamental para
enrutamiento a partes no autorizadas. la divulgacin de direcciones IP privadas e informacin de evitar que un hacker adquiera las direcciones IP
enrutamiento desde redes internas a Internet. de la red interna y utilice esa informacin para
Nota: Entre los mtodos para ocultar
acceder a la red.
direcciones IP, se pueden incluir, a
modo de ejemplo, los siguientes: Los mtodos utilizados para cumplir con el
Traduccin de Direccin de Red objetivo de este requisito pueden variar segn la
(NAT) 1.3.7.b Entreviste al personal, revise la documentacin y tecnologa de red utilizada. Por ejemplo, los
verifique que no se autorice la divulgacin de ninguna controles utilizados para cumplir con este
Ubicacin de los servidores que
contengan datos del titular de la direccin IP privada ni de informacin de enrutamiento a requisito en las redes IPv4 difieren de los de las
tarjeta detrs de los servidores entidades externas. redes IPv6.
proxy/firewalls.
Eliminacin o filtrado de anuncios
de enrutamiento para redes
privadas que emplean direcciones
registradas,
Uso interno del espacio de
direcciones RFC1918 en lugar de
direcciones registradas.
1.4 Instale software de firewall personal 1.4.a Revise las polticas y las normas de configuracin para Los dispositivos informticos porttiles
o una funcionalidad equivalente en verificar lo siguiente: autorizados para conectarse a Internet desde
todos los dispositivos mviles (de afuera del firewall corporativo son ms
Se debe incluir software de firewall personal o una
propiedad de la compaa y/o de los funcionalidad equivalente en todos los dispositivos mviles vulnerables a las amenazas basadas en Internet.
trabajadores) que tengan conexin a (de propiedad de la compaa y/o de los trabajadores) que El uso de una funcionalidad firewall (por ejemplo,
Internet cuando estn fuera de la red tengan conexin a Internet cuando estn fuera de la red hardware o software de firewall personal ) ayuda
(por ejemplo, computadoras porttiles (por ejemplo, computadoras porttiles que usan los a proteger los dispositivos contra ataques
que usan los trabajadores), y que trabajadores), y que tambin se usen para acceder al CDE. basados en Internet, los cuales pueden usar el
tambin se usan para acceder al CDE. Los parmetros especficos de configuracin se definen dispositivo para obtener acceso a los datos y a
Las configuraciones de firewall (o para cada software de firewall personal (o funcionalidad los sistemas de la organizacin cuando el
equivalente) incluyen: equivalente). dispositivo se conecta nuevamente a la red.
Se definen los ajustes especficos El firewall personal (o una funcionalidad equivalente) est La organizacin determina los parmetros de
de configuracin. configurado para ejecutarse de forma activa. configuracin especficos del firewall.
El firewall personal (o funcionalidad El firewall personal (o una funcionalidad equivalente) est Nota: El objetivo de este requisito es aplicarlo a
equivalente) est en ejecucin configurado para no ser alterado por los usuarios de los las computadoras de los trabajadores y de la
activa. dispositivos informticos porttiles. empresa. Los sistemas que la poltica corporativa
El firewall personal (o una 1.4.b Inspeccione una muestra de dispositivos mviles de no puede administrar introducen debilidades en el
funcionalidad equivalente) no es propiedad de la empresa y/o de los trabajadores para permetro y brindan oportunidades que las
alterable por los usuarios de los verificar que: personas malintencionadas pueden explotar.
dispositivos informticos porttiles. Permitir que sistemas no confiables se conecten
El firewall personal (o funcionalidad equivalente) est
instalado y configurado de conformidad con los parmetros al CDE de la organizacin puede generar el
de configuracin especficos de la empresa. acceso de atacantes y otros usuarios
malintencionados.
El firewall personal (o funcionalidad equivalente) est en
ejecucin activa.
El firewall personal (o una funcionalidad equivalente) no es
alterable por los usuarios de los dispositivos informticos
porttiles.
1.5 Asegrese de que las polticas de 1.5 Revise la documentacin y entreviste al personal para El personal debe conocer y respetar las polticas
seguridad y los procedimientos verificar que las polticas de seguridad y los procedimientos de seguridad y los procedimientos operativos
operativos para administrar los firewalls operativos para administrar los firewalls cumplan con lo para garantizar la continua administracin de los
estn documentados, implementados y siguiente: firewalls y routers con el objetivo de evitar el
que sean de conocimiento para todas acceso no autorizado a la red.
Estn documentados,
las partes afectadas.
Estn en uso, y
Sean de conocimiento para todas las partes afectadas.
Requisito 2: No usar los valores predeterminados suministrados por el proveedor para las contraseas del sistema y
otros parmetros de seguridad.
Las personas malintencionadas (externas e internas a una entidad), por lo general, utilizan las contraseas predeterminadas por los proveedores
y otros parmetros que el proveedor predetermine para comprometer los sistemas. Estas contraseas y parmetros son conocidos entre las
comunidades de hackers y se establecen fcilmente por medio de informacin pblica.

2.1 Siempre cambie los valores 2.1.a Escoja una muestra de los componentes del sistema e Las personas malintencionadas (externas e internas
predeterminados por el proveedor y intente acceder a los dispositivos y aplicaciones (con la a la organizacin), por lo general, utilizan
elimine o deshabilite las cuentas ayuda del administrador del sistema) con las cuentas y configuraciones predeterminadas por los
predeterminadas innecesarias antes de contraseas predeterminadas por el proveedor y verifique proveedores, nombres de cuentas y contraseas
instalar un sistema en la red. que se hayan cambiado TODAS las contraseas para poner en riesgo el software del sistema
Esto rige para TODAS las contraseas predeterminadas (incluso las de los sistemas operativos, los operativo, las aplicaciones y los sistemas donde
predeterminadas, por ejemplo, entre software que prestan servicios de seguridad, las cuentas de estn instalados. Debido a que estos parmetros
otras, las utilizadas por los sistemas aplicaciones y sistemas, los terminales de POS [puntos de predeterminados suelen publicarse y son conocidos
operativos, los software que prestan ventas], las cadenas comunitarias de SNMP [protocolo en las comunidades de hackers, cambiar estas
servicios de seguridad, las cuentas de simple de administracin de red]). (Utilice los manuales y configuraciones contribuir a que el sistema sea
aplicaciones y sistemas, los terminales las fuentes de los proveedores que se encuentran en menos vulnerable a los ataques.
de POS (puntos de venta), las aplicacin Internet para encontrar las cuentas y las contraseas Incluso si una cuenta predeterminada no se cre
de pago, las cadenas comunitarias de proporcionadas por estos). para usarse, cambiar la contrasea predeterminada
SNMP (protocolo simple de 2.1.b Para la muestra de los componentes del sistema, por una contrasea nica y slida y, despus,
administracin de red), etc. verifique que todas las cuentas predeterminadas deshabilitar la cuenta, evitar que personas
innecesarias (incluso las cuentas que usan los sistemas maliciosas vuelvan a habilitar la cuenta y accedan
operativos, los software de seguridad, las aplicaciones, los con la contrasea predeterminada.
sistemas, los terminales de POS [puntos de ventas], SNMP
[protocolo simple de administracin de red], etc.) se hayan
eliminado o estn deshabilitadas.
2.1.c Entreviste al personal, revise la documentacin de
respaldo y verifique lo siguiente:
Se cambien todos los valores predeterminados
proporcionados por los proveedores (incluso las
contraseas predeterminadas de sistemas operativos,
software que prestan servicios de seguridad, cuentas
de aplicaciones y sistemas, terminales de POS [puntos
de ventas], cadenas comunitarias de SNMP [protocolo
simple de administracin de red], etc.). antes de instalar
un sistema en la red.
Las cuentas predeterminadas innecesarias (incluso las
cuentas que usan los sistemas operativos, los software
de seguridad, las aplicaciones, los sistemas, los
terminales de POS [puntos de ventas], SNMP
[protocolo simple de administracin de red], etc.) se
cambien o inhabiliten antes de instalar un sistema en la
red.
2.1.1 En el caso de entornos 2.1.1.a Entreviste al personal y revise la documentacin Si las redes inalmbricas no se implementan con
inalmbricos que estn conectados al de respaldo para verificar lo siguiente: suficientes configuraciones de seguridad (incluido el
entorno de datos del titular de la tarjeta cambio de los parmetros predeterminados), los
Las claves de cifrado predeterminadas se cambiaron
o que transmiten datos del titular de la sniffers inalmbricos pueden espiar el trfico,
al momento de la instalacin.
tarjeta, cambie TODOS los valores capturar datos y contraseas de manera sencilla e
predeterminados proporcionados por Las claves de cifrado se cambian cada vez que una ingresar en la red y atacarla fcilmente.
los proveedores de tecnologa persona que tenga conocimiento de estas cesa en
sus funciones o se traslada a otro cargo en la Adems, el protocolo de intercambio de claves de
inalmbrica al momento de la versiones anteriores de cifrado 802.11x (privacidad
instalacin, incluidas, a modo de empresa.
equivalente por cable o WEP) ha sido transgredido y
ejemplo, las claves de cifrado 2.1.1.b Entreviste al personal, revise las polticas y puede inutilizar el cifrado. El firmware de los
inalmbricas predeterminadas, las procedimientos y verifique lo siguiente: dispositivos se debe actualizar para admitir
contraseas y las cadenas
Las cadenas comunitarias SNMP (protocolo simple protocolos ms seguros.
comunitarias SNMP (protocolo simple
de administracin de red) predeterminadas se
de administracin de red).
cambian al momento de la instalacin.
Las frases/contraseas predeterminadas de los
puntos de accesos se cambian al momento de la
instalacin.
2.1.1.c Revise la documentacin proporcionada por el
proveedor, inicie sesin en los dispositivos inalmbricos
con la ayuda del administrador del sistema y verifique lo
siguiente:
No se usan las cadenas comunitarias SNMP
(protocolo simple de administracin de red)
predeterminadas.
No se usan las contraseas/frases predeterminadas
de los puntos de acceso.
2.1.1.d Revise la documentacin proporcionada por el
proveedor, observe los parmetros de la configuracin
inalmbrica y verifique que el firmware de los dispositivos
inalmbricos se actualice a fin de admitir el cifrado slido
para lo siguiente:
Autenticacin en redes inalmbricas.
Transmisin en redes inalmbricas.
2.1.1.e Revise la documentacin proporcionada por el
proveedor, observe los parmetros de la configuracin
inalmbrica y verifique que se hayan cambiado los otros
valores predeterminados proporcionados por los
proveedores relacionados con la seguridad de los
sistemas inalmbricos, segn corresponda.
2.2 Desarrolle normas de configuracin 2.2.a Examine las normas de configuracin de sistemas de Existen debilidades conocidas en muchos sistemas
para todos los componentes de la organizacin correspondientes a todos los tipos de operativos, bases de datos y aplicaciones de
sistemas. Asegrese de que estas componentes de sistemas y verifique que las normas de empresas, as como tambin existen maneras de
normas contemplen todas las configuracin de sistemas concuerden con las normas de configurar estos sistemas a fin de corregir las
vulnerabilidades de seguridad conocidas alta seguridad aceptadas en la industria. vulnerabilidades de seguridad. A fin de ayudar a
y que concuerden con las normas de alta quienes no son expertos en seguridad, algunas
seguridad de sistema aceptadas en la 2.2.b Revise las polticas, entreviste al personal y verifique organizaciones especializadas han establecido
industria. que las normas de configuracin de sistemas se actualicen recomendaciones y directrices para reforzar los
a medida que se identifiquen nuevas vulnerabilidades, tal sistemas, las cuales proporcionan consejos para
Entre las fuentes de normas de alta como se define en el Requisito 6.1.
seguridad aceptadas en la industria, se corregir estas debilidades.
pueden incluir, a modo de ejemplo: 2.2.c Revise las polticas, entreviste al personal y verifique Algunas fuentes para obtener informacin sobre las
que se apliquen las normas de configuracin de sistemas al normas de configuracin son las siguientes:
Center for Internet Security (CIS)
configurar y comprobar que se instalaron nuevos sistemas www.nist.gov, www.sans.org, www.cisecurity.org,
International Organization for
antes de instalar un sistema en la red. www.iso.org y proveedores de productos.
Standardization (ISO)
SysAdmin Audit Network Security 2.2.d Verifique que las normas de configuracin de Las normas de configuracin de sistemas deben
(SANS) Institute sistemas incluyan los siguientes procedimientos para todos estar actualizadas a fin de asegurar que las
debilidades recientemente identificadas se corrijan
National Institute of Standards los tipos de componentes del sistema:
Technology (NIST). antes de instalar un sistema en la red.
Cambiar los valores predeterminados de los
proveedores y eliminar las cuentas predeterminadas
innecesarias.
Implementar solo una funcin principal por servidor a fin
de evitar que coexistan funciones que requieran
diferentes niveles de seguridad en el mismo servidor.
Habilitar solo los servicios, protocolos, daemons, etc.,
necesarios, segn lo requiera la funcin del sistema.
Implementar funciones de seguridad adicionales para
los servicios, protocolos o daemons requeridos que no
se consideren seguros.
Configurar los parmetros de seguridad del sistema
para evitar el uso indebido.
Eliminar todas las funcionalidades innecesarias, como
secuencias de comandos, drivers, funciones,
subsistemas, sistemas de archivos y servidores web
innecesarios.
2.2.1 Implemente slo una funcin 2.2.1.a Seleccione una muestra de los componentes del Si las funciones de servidores que necesitan
principal por servidor a fin de evitar sistema, inspeccione las configuraciones del sistema y diferentes niveles de seguridad se encuentran en el
que coexistan funciones que requieren verifique que se haya implementado solo una funcin mismo servidor, se reducir el nivel de seguridad de
diferentes niveles de seguridad en el principal en cada servidor. las funciones que necesitan ms seguridad debido a
mismo servidor. (Por ejemplo, los la presencia de funciones de menor seguridad.
servidores web, servidores de base de 2.2.1.b Si se utilizan tecnologas de virtualizacin, Adems, las funciones del servidor que tengan un
datos y DNS se deben implementar en inspeccione las configuraciones del sistema y verifique nivel de seguridad menor pueden introducir
servidores separados). que se haya implementado una sola funcin principal por debilidades en otras funciones del mismo servidor. Al
componente de sistema o dispositivo virtual. analizar las necesidades de seguridad de las
Nota: Cuando se utilicen tecnologas de
diferentes funciones del servidor como parte de las
virtualizacin, implemente solo una
normas de configuracin de sistemas y de los
funcin principal por componente de
procesos asociados, las organizaciones pueden
sistema virtual.
garantizar que las funciones que necesitan diferentes
niveles de seguridad no coexistan en el mismo
servidor.
2.2.2 Habilite solo los servicios, 2.2.2.a Seleccione una muestra de los componentes del Tal como lo especifica el Requisito 1.1.6, existen
protocolos y daemons, etc., sistema, inspeccione los servicios del sistema, daemons y numerosos protocolos que puede necesitar un
necesarios, segn lo requiera la protocolos habilitados y verifique que solo se habiliten los negocio (o tener habilitados por opcin
funcin del sistema. servicios o protocolos necesarios. predeterminada) que, habitualmente, utilizan
personas malintencionadas para poner en riesgo una
2.2.2.b Identifique los servicios, daemons o protocolos red. Incluir este requisito como parte de las normas
habilitados que no sean seguros, entreviste al personal y de configuracin y procesos relacionados de la
verifique que estn configurados de conformidad con las organizacin garantiza que solo se habiliten los
normas de configuracin documentadas. servicios o protocolos necesarios.
2.2.3 Implementar funciones de 2.2.3.a Inspeccione los parmetros de configuracin Habilitar las funciones de seguridad antes de
seguridad adicionales para los y verifique que las funciones de seguridad se hayan implementar los nuevos servidores evitar que se
servicios, protocolos o daemons documentado e implementado en todos los servicios, instalen servidores con configuraciones inseguras en
requeridos que no se consideren daemons o protocolos no seguros. el entorno.
seguros. Asegurarse de que todos los servicios, protocolos y
2.2.3.b Si se utiliza la SSL/TLS temprana, realice los
Nota: Cuando se utiliza la SSL/TLS procedimientos de prueba en el Anexo A2: Requisitos daemons inseguros se protejan correctamente con
temprana, se debe completar los adicionales de la PCI DSS para las entidades que utilizan las funciones de seguridad correspondientes dificulta
requisitos establecidos en el Anexo A2. SSL/TLS temprana. ms la tarea de las personas malintencionadas de
aprovecharse de los puntos comunes de riesgo de
la red.
Consulte las normas de la industria y las mejores
prcticas para obtener informacin sobre la
criptografa slida y los protocolos seguros
(por ejemplo, NIST SP 800-52 y SP 800-57,
OWASP, etc.)
2.2.4 Configure los parmetros de 2.2.4.a Entreviste a los administradores del sistema o a Las normas de configuracin del sistema y los
seguridad del sistema para evitar el los gerentes de seguridad para verificar que conocen las procesos relacionados deben abordar,
uso indebido. configuraciones comunes de parmetros de seguridad de especficamente, los valores de configuracin y los
los componentes del sistema. parmetros de seguridad que tienen implicaciones de
seguridad conocidas en cada sistema en uso.
2.2.4.b Revise las normas de configuracin de sistemas y
verifique que incluyan los valores comunes de los Para configurar los sistemas de manera segura, el
parmetros de seguridad. personal responsable de la configuracin o
administracin de sistemas debe conocer los
2.2.4.c Seleccione una muestra de los componentes del parmetros y los valores especficos de seguridad
sistema e inspeccione los parmetros de seguridad del sistema.
comunes para verificar que se hayan configurado
correctamente, segn las normas de configuracin.
2.2.5 Elimine todas las funcionalidades 2.2.5.a Seleccione una muestra de los componentes del Las funciones innecesarias pueden ofrecer
innecesarias, como secuencias de sistema, inspeccione las configuraciones y verifique que oportunidades adicionales para que personas
comandos, drivers, funciones, se hayan eliminado todas las funcionalidades malintencionadas accedan al sistema. Al eliminar las
subsistemas, sistemas de archivos y innecesarias (por ejemplo, secuencias de comandos, funciones innecesarias, las organizaciones pueden
servidores web innecesarios. drivers, funciones, subsistemas, sistemas de archivos, centrarse en proteger las funciones necesarias y
etc.) . eliminar el riesgo de que se exploten funciones
desconocidas.
2.2.5.b. Revise la documentacin y los parmetros de
seguridad, y verifique que las funciones habilitadas estn Incluir esto en los procesos y en las normas para
documentadas y admitan la configuracin segura. reforzar servidores aborda las implicaciones de
seguridad especficas relacionadas con las funciones
2.2.5.c. Revise la documentacin y los parmetros de innecesarias (por ejemplo, eliminar/inhabilitar FTP o
seguridad, y verifique que solo la funcionalidad el servidor web si el servidor no realizar estas
documentada est presente en la muestra de funciones).
componentes del sistema.
2.3 Cifre todo el acceso administrativo 2.3 Seleccione una muestra de los componentes del Si la administracin que no es de consola (incluso la
que no sea de consola utilizando un sistema y verifique que el acceso administrativo que no sea remota) no usa autenticacin segura ni
cifrado slido. de consola se cifre al realizar lo siguiente: comunicaciones cifradas, la informacin confidencial
Nota: Cuando se utiliza la SSL/TLS a nivel administrativo u operativo (como contraseas
2.3.a Observe a un administrador mientras inicia sesin en o ID del administrador) se puede revelar a un espa.
temprana, se debe completar los cada sistema y revise las configuraciones de los sistemas a
requisitos establecidos en el Anexo A2. Una persona malintencionada podra utilizar esta
fin de controlar que se invoca un mtodo slido de cifrado informacin para acceder a la red, hacerse pasar por
antes de que se solicite la contrasea del administrador. administrador y hurtar datos.
2.3.b Revise los servicios y los archivos de parmetros en Los protocolos de texto claro (como HTTP, telnet,
los sistemas a fin de determinar que Telnet y otros etc.) no cifran el trfico ni los detalles de inicio de
comandos de inicio de sesin remotos inseguros no estn sesin, por lo que un espa puede interceptar esta
disponibles para acceso sin consola. informacin fcilmente.
2.3.c Observe a un administrador mientras inicia sesin en Para que sea considerada una criptografa slida,
cada sistema y verifique que el acceso del administrador a se deben implementar los protocolos reconocidos por
cualquier interfaz de administracin basada en la Web est la industria con el nivel de clave y la administracin
cifrado mediante una criptografa slida. de claves adecuados segn el tipo de tecnologa
utilizada. (Consulte la "criptografa slida" en el
2.3.d Revise la documentacin del proveedor y entreviste al Glosario de trminos, abreviaturas y acrnimos de la
personal a fin de controlar que se implemente una PCI DSS y PA-DSS, y las normas y las mejores
criptografa slida para la tecnologa usada de acuerdo con prcticas de la industria como NIST SP 800-52 y SP
las mejores prcticas de la industria y las recomendaciones 800-57, OWASP, etc.)
del proveedor.
2.3.e Si se utiliza la SSL/TLS temprana, realice los

procedimientos de prueba en el Anexo A2: Requisitos
adicionales de la PCI DSS para las entidades que utilizan
SSL/TLS temprana.
2.4 Lleve un inventario de los 2.4.a Revise el inventario del sistema para verificar que Tener una lista actualizada de todos los
componentes del sistema que estn haya una lista de componentes del hardware y del software componentes del sistema permitir que la
dentro del alcance de las PCI DSS. con una descripcin de la funcin/uso de cada componente. organizacin defina, de manera precisa y eficaz, el
alcance de su entorno para implementar los controles
2.4.b Entreviste al personal y verifique que el inventario est de las PCI DSS. Sin un inventario, es posible que
actualizado. algunos de los componentes del sistema queden en
el olvido y se excluyan, accidentalmente, de las
normas de configuracin de la organizacin.
2.5 Asegrese de que las polticas de 2.5 Revise la documentacin, entreviste al personal y El personal debe conocer y respetar las polticas de
seguridad y los procedimientos verifique que las polticas de seguridad y los procedimientos seguridad y los procedimientos operativos diarios
operativos para administrar los operativos para administrar los parmetros predeterminados para garantizar la continua administracin de los
parmetros predeterminados del del proveedor y otros parmetros de seguridad cumplen con parmetros predeterminados del proveedor y otros
proveedor y otros parmetros de lo siguiente: parmetros de seguridad a fin de evitar
seguridad estn documentados, configuraciones inseguras.
Estn documentados,
implementados y que sean de
Estn en uso, y
conocimiento para todas las partes
afectadas. Sean de conocimiento para todas las partes
afectadas.
2.6 Los proveedores de hosting 2.6 Lleve a cabo los procedimientos de pruebas desde Se concibi pensando en los proveedores de servicio
compartido deben proteger el entorno y A.1.1 hasta A.1.4 que se describen en el Anexo A1: de hosting que proporcionan entornos de hosting
los datos del titular de la tarjeta que aloja Requisitos adicionales de las PCI DSS para los compartidos para mltiples clientes en el mismo
la entidad. Estos proveedores deben proveedores de hosting compartido en lo que respecta a la servidor. Cuando todos los datos se encuentran en el
cumplir requisitos especficos detallados evaluacin de las PCI DSS de los proveedores de hosting mismo servidor y bajo el control de un nico entorno,
en el Anexo A1: Requisitos adicionales compartido para verificar que estos proveedores protejan el con frecuencia, los parmetros de configuracin de
de las DSS de la PCI para los entorno y los datos que alojan las entidades (comerciantes estos servidores compartidos no pueden ser
proveedores de servicios de hosting. y proveedores de servicios). administrados por clientes individuales. Esto permite
que los clientes agreguen funciones y secuencias de
comandos no seguros que afectan la seguridad de
todos los dems entornos y, en consecuencia, facilita
que personas malintencionadas pongan en riesgo los
datos de un cliente y obtengan acceso a los datos de
los dems clientes. Consulte el Anexo A1 para
obtener detalles de los requisitos.
Proteger los datos del titular de la tarjeta
Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados.
Los mtodos de proteccin como el cifrado, el truncamiento, el ocultamiento y la funcin de hash son importantes componentes para proteger los
datos de los titulares de tarjetas. Si un intruso viola otros controles de seguridad y obtiene acceso a los datos cifrados, sin las claves de cifrado
adecuadas, no podr leer ni utilizar esos datos. Tambin se deberan considerar otros mtodos eficaces para proteger los datos almacenados
oportunidades para mitigar posibles riesgos. Por ejemplo, los mtodos para minimizar el riesgo incluyen no almacenar datos del titular de la
tarjeta, salvo que sea absolutamente necesario; truncar los datos del titular de la tarjeta si no se necesita el PAN (nmero de cuenta principal)
completo y no enviar el PAN (nmero de cuenta principal) utilizando tecnologas de mensajera de usuario final, como correo electrnico y
mensajera instantnea.
Consulte el Glosario de trminos, abreviaturas y acrnimos de las PCI DSS y de las PA-DSS para obtener definiciones de criptografa slida y
otros trminos de las PCI DSS.

3.1 Almacene la menor cantidad posible de 3.1.a Revise las polticas, los procedimientos y los procesos de Una poltica formal para la retencin de datos
datos del titular de la tarjeta retencin y eliminacin de datos y verifique que incluyen lo identifica los datos que se deben conservar, as
implementando polticas, procedimientos y siguiente para todo el almacenamiento de los datos del titular como el lugar donde residen los datos, de modo
procesos de retencin y eliminacin de de la tarjeta (CHD): que se puedan destruir o eliminar de manera
datos que incluyan, al menos, las segura cuando ya no sean necesarios.
Limitacin del almacenamiento de datos y del tiempo de
siguientes opciones para el Los nicos datos del titular de la tarjeta que se
retencin a la cantidad exigida por los requisitos legales,
almacenamiento de CHD (datos del titular pueden almacenar despus de la autorizacin
reglamentarios y del negocio.
de la tarjeta): son el nmero de cuenta principal o PAN (que
Requisitos especficos para la retencin de datos del titular
Limitacin del almacenamiento de debe ser ilegible), la fecha de vencimiento, el
de la tarjeta (por ejemplo, los datos del titular de la tarjeta
datos y del tiempo de retencin a la nombre del titular de la tarjeta y el cdigo de
se debe mantener durante X tiempo por Y razones de la
cantidad exigida por los requisitos servicio.
empresa).
legales, reglamentarios y del negocio
Es necesario saber dnde se encuentran los
Requisitos de retencin especficos Eliminacin segura de los datos del titular de la tarjeta
datos del titular de la tarjeta para poder
para datos de titulares de tarjetas cuando ya no son necesarios por motivos legales,
conservarlos o eliminarlos correctamente cuando
Procesos para eliminar datos de reglamentarios o empresariales.
ya no sean necesarios. A fin de definir los
manera cuando ya no se necesiten Un proceso trimestral para identificar y eliminar, de manera requisitos de retencin apropiados, una entidad
Un proceso trimestral para identificar y segura, los datos del titular de la tarjeta almacenados que primero debe entender las necesidades de su
eliminar, de manera segura, los datos excedan los requisitos de retencin definidos. negocio, as como cualesquiera obligaciones
del titular de la tarjeta almacenados 3.1.b Entreviste al personal y verifique lo siguiente: legales y regulatorias que se apliquen a su
que excedan la retencin definida. industria, y/o que se apliquen al tipo de dato que
Todos los lugares donde se almacenan los datos del titular se retiene.
de la tarjeta estn incluidos en los procesos de retencin y
eliminacin de datos.
Se implementa un proceso trimestral automtico o manual
para identificar y eliminar, de manera segura, los datos del
titular de la tarjeta almacenados.
El proceso trimestral automtico o manual se lleva a cabo
en todas las ubicaciones de datos del titular de la tarjeta.
3.1.c Para obtener una muestra de los componentes del Identificar y eliminar los datos almacenados que
sistema que almacenan datos del titular de la tarjeta: hayan excedido el perodo de retencin
especificado evita la retencin de datos
Revise los archivos y los registros del sistema para
verificar que los datos almacenados no superen los innecesarios. Este proceso puede ser automtico
requisitos definidos en la poltica de retencin de datos. o manual, o una combinacin de las dos
opciones. Por ejemplo, se podra implementar un
Observe el mecanismo de eliminacin y verifique que los
procedimiento programtico (automtico o
datos se eliminen de manera segura.
manual) para encontrar y eliminar datos, o una
revisin manual de las reas de almacenamiento
de datos.
La implementacin de mtodos de eliminacin
seguros asegura que los datos no se puedan
recuperar cuando ya no sean necesarios.
Recuerde, si no los necesita, no los
almacene!
3.2 No almacene datos confidenciales de 3.2.a En el caso de los emisores de tarjetas o las empresas Los datos de autenticacin confidenciales
autenticacin despus de recibir la que respaldan servicios de emisin y almacenan datos de consisten en el contenido completo de la pista, los
autorizacin (aun cuando estn cifrados). autenticacin confidenciales, revise las polticas y entreviste al cdigos o valores de validacin de la tarjeta y los
Si se reciben datos de autenticacin personal para verificar que existe una justificacin de negocio datos de PIN. Se prohbe el almacenamiento de
confidenciales, convierta todos los datos en documentada para almacenar datos de autenticacin datos confidenciales de autenticacin despus de
irrecuperables al finalizar el proceso de confidenciales. la autorizacin! Estos datos son muy valiosos
autorizacin. para las personas malintencionadas, ya que les
permiten generar tarjetas de pago falsas y crear
transacciones fraudulentas.
Es posible que los emisores de tarjetas y 3.2.b En el caso de los emisores de tarjetas o las empresas Las entidades que emiten tarjetas de pago, que
las empresas que respaldan los servicios que respaldan servicios de emisin y almacenan datos de prestan o respaldan servicios de emisin crearn
de emisin almacenen datos de autenticacin confidenciales, revise los almacenamientos de y controlarn, con frecuencia, los datos de
autenticacin confidenciales en los datos y la configuracin del sistema para verificar que los datos autenticacin confidenciales como parte de su
siguientes casos: de autenticacin confidenciales estn protegidos. tarea de emisin. A las compaas que realizan,
Si existe una justificacin de negocio. facilitan o respaldan servicios de emisin se les
3.2.c En el caso de otras entidades, si se reciben datos de permite almacenar datos confidenciales de
Si los datos se almacenan de forma
autenticacin confidenciales, revise las polticas y los autenticacin SLO SI tienen una necesidad de
segura.
procedimientos, y revise la configuracin del sistema a fin de negocio legtima de almacenar dichos datos.
Los datos confidenciales de autenticacin verificar que los datos no se conservan despus de la Cabe sealar que todos los requisitos de las PCI
incluyen los datos mencionados en los autorizacin. DSS rigen para los emisores, y que la nica
requisitos 3.2.1 a 3.2.3, establecidos a excepcin para los emisores y procesadores
continuacin: emisores es que pueden retener datos si existe
una razn legtima para hacerlo. Una razn
legtima es aquella necesaria para el desempeo
de la funcin proporcionada por el emisor y no,
por conveniencia. Dichos datos se deben
almacenar de manera segura y de conformidad
con las PCI DSS y los requisitos especficos de
las marcas de pago.
3.2.d En el caso de otras entidades, si se reciben datos de Las entidades no emisoras no pueden retener
autenticacin confidenciales, revise los procedimientos y datos confidenciales de autenticacin despus de
analice los procesos de eliminacin segura de datos a fin de la autorizacin.
verificar que los datos sean irrecuperables.
3.2.1 No almacene contenido completo 3.2.1 En el caso de la muestra de componentes del sistema, Si se almacena el contenido completo de la pista,
de ninguna pista (de la banda magntica revise las fuentes de datos, incluido, a modo de ejemplo, lo las personas malintencionadas que obtengan
ubicada en el reverso de la tarjeta, datos siguiente y verifique que el contenido completo de cualquier esos datos pueden reproducir tarjetas de pago y
equivalentes que estn en un chip o en pista de la banda magntica en el reverso de la tarjeta o efectuar transacciones fraudulentas.
cualquier otro dispositivo) despus de la cualesquiera datos almacenados en un chip no se almacenen
autorizacin. Estos datos se denominan despus de la autorizacin:
alternativamente, pista completa, pista,
Datos de transacciones entrantes
pista 1, pista 2 y datos de banda
magntica. Todos los registros (por ejemplo, transacciones,
historiales, depuracin, error)
Nota: En el transcurso normal de los Archivos de historial
negocios, es posible que se deban retener
Archivos de seguimiento
los siguientes elementos de datos de la
banda magntica: Esquemas de bases de datos
El nombre del titular de la tarjeta Contenidos de bases de datos
Nmero de cuenta principal (PAN)
Fecha de vencimiento
Cdigo de servicio
Para minimizar el riesgo, almacene
solamente los elementos de datos que
sean necesarios para el negocio.
3.2.2 No almacene el valor o cdigo de 3.2.2 En el caso de la muestra de componentes del sistema, El propsito del cdigo de validacin de las
validacin de tarjetas (nmero de tres o revise las fuentes de datos, incluido, a modo de ejemplo, lo tarjetas es proteger las transacciones que se
cuatro dgitos impreso en el anverso o siguiente y verifique que el cdigo o el valor de verificacin de efectan de manera no presencial, ya sean
reverso de una tarjeta de pago que se la tarjeta de tres o de cuatro dgitos impreso en el anverso de transacciones por Internet o MO/TO (correo o
utiliza para verificar las transacciones de la tarjeta o en el panel de firma (datos CVV2, CVC2, CID, telfono), en las que ni el consumidor ni la tarjeta
tarjetas ausentes) despus de la CAV2) no se almacene despus de la autorizacin: estn presentes.
autorizacin.
Datos de transacciones entrantes Si se hurtan estos datos, las personas
Todos los registros (por ejemplo, transacciones, malintencionadas pueden efectuar transacciones
historiales, depuracin, error) fraudulentas por Internet y transacciones MO/TO
(correo o telfono).
Archivos de historial
Esquemas de bases de datos
Contenidos de bases de datos
3.2.3 Despus de la autorizacin, no 3.2.3 En el caso de la muestra de los componentes del Slo el propietario de la tarjeta o el banco emisor
almacene el PIN (nmero de sistema, revise las fuentes de datos, incluido, a modo de de la tarjeta deben conocer estos valores. Si se
identificacin personal) ni el bloqueo de ejemplo, lo siguiente y verifique que los PIN y los bloqueos de hurtan estos datos, personas malintencionadas
PIN cifrado. PIN cifrados no se almacenen despus de la autorizacin: pueden efectuar transacciones de dbito basadas
en PIN fraudulentas (por ejemplo, retiros de
Datos de transacciones entrantes
cajeros automticos).
Todos los registros (por ejemplo, transacciones,
historiales, depuracin, error)
Archivos de historial
Esquemas de bases de datos
Contenidos de bases de datos
3.3 Enmascare el PAN (nmero de cuenta 3.3.a Revise las polticas y los procedimientos escritos para La presentacin de un PAN completo en pantallas
principal) cuando aparezca (los primeros ocultar las vistas de PAN (nmero de cuenta principal) para de computadoras, recibos de tarjetas de pago,
seis o los ltimos cuatro dgitos es la verificar lo siguiente: faxes o informes impresos puede facilitar la
cantidad mxima de dgitos que obtencin y uso fraudulento de estos datos por
aparecer), de modo que solo el personal Se documenta una lista de las funciones que necesitan
acceso a ms que los primeros seis o los ltimos cuatro parte de personas malintencionadas. Asegurarse
con una necesidad comercial legtima de que solo aquellas personas que tengan una
pueda ver ms que los primeros seis o los dgitos (incluye el PAN completo), junto con la necesidad
empresarial legtima que justifique dicho acceso. necesidad comercial legtima puedan ver el PAN
ltimos cuatro dgitos del PAN. (nmero de cuenta principal) completo minimiza
Se debe ocultar el PAN cuando aparezca para que solo el
el riesgo de que personas no autorizadas tengan
personal con una necesidad comercial legtima pueda ver
ms que los primeros seis y los ltimos cuatro dgitos del acceso a los datos del PAN (nmero de cuenta
Nota: Este requisito no reemplaza los principal).
PAN.
requisitos ms estrictos implementados
para la presentacin de los datos del titular Todas las dems funciones que no estn especficamente El enfoque de ocultamiento siempre deber
autorizadas para ver el PAN completo, solo deben ver el garantizar que solo se muestre el nmero mnimo
de la tarjeta (por ejemplo, requisitos legales
PAN oculto. de dgitos necesario para realizar una funcin
o de las marcas de las tarjetas de pago
comercial especfica. Por ejemplo, si solo se
para los recibos de POS [puntos de venta]). 3.3.b Revise las configuraciones del sistema y verifique que las
necesitan los ltimos cuatro dgitos para realizar
vistas del PAN (nmero de cuenta principal) estn disponibles
una funcin comercial, enmascare el PAN para
solo para aquellos usuarios/funciones que tengan una
que las personas que realizan esa funcin solo
necesidad comercial legtima y que el PAN (nmero de cuenta
puedan ver los ltimos cuatro dgitos. A manera
principal) est oculto para el resto de las solicitudes.
3.3.c Revise las vistas del PAN (por ejemplo, en la pantalla o de otro ejemplo, si una funcin necesita tener
en recibos en papel) a fin de controlar que los PAN se oculten acceso al nmero de identificacin bancaria (BIN)
cuando muestren los datos del titular de la tarjeta, y que solo para fines de enrutamiento, quite el ocultamiento
aquellos con una necesidad empresarial legtima puedan ver solo de los dgitos del BIN (tradicionalmente los
ms que los primeros seis o los ltimos cuatro dgitos del PAN. primeros seis dgitos) durante esa funcin.
Este requisito se relaciona con la proteccin del
PAN (nmero de cuenta principal) que se muestra
en pantallas, recibos impresos, impresiones, etc.,
y no se debe confundir con el Requisito 3.4 para
la proteccin del PAN (nmero de cuenta
principal) cuando se almacena en archivos, bases
de datos, etc.
3.4Convierta el PAN (nmero de cuenta 3.4.a Revise la documentacin sobre el sistema utilizado para Todos los PAN guardados en un almacenamiento
principal) en ilegible en cualquier lugar proteger el PAN (nmero de cuenta principal), que incluye el principal (bases de datos o archivos planos como
donde se almacene (incluidos los datos que proveedor, el tipo de sistema/proceso y los algoritmos de archivos de texto y hojas de clculo) y en
se almacenen en medios digitales cifrado (si corresponde), y verifique que el PAN (nmero de almacenamiento secundario (copia de seguridad,
porttiles, en medios de copia de seguridad cuenta principal) quede ilegible usando uno de los siguientes registros de auditora, registros de excepciones o
y en registros) utilizando cualquiera de los mtodos: soluciones de problemas) deben estar protegidos.
siguientes mtodos:
Valores hash de una va en criptografa slida Las funciones hash de una va basadas en
Valores hash de una va basados en Truncamiento criptografa slida se pueden utilizar para
criptografa slida (el hash debe ser del Token y ensambladores de ndices (los ensambladores se convertir los datos del titular de la tarjeta en
PAN completo) deben almacenar de manera segura). ilegibles. Las funciones hash son apropiadas
Truncamiento (los valores hash no se Criptografa slida con procesos y procedimientos de
cuando no existe necesidad de recuperar el
pueden usar para reemplazar el nmero original (las funciones hash de una va
administracin de claves asociados.
segmento truncado del PAN) son irreversibles). Se recomienda, aunque no es
3.4.b Evale varias tablas o archivos de la muestra de
Tokens y ensambladores de ndices un requisito actual, agregar un valor de entrada
(los ensambladores se deben repositorios de datos para controlar que el PAN (nmero de aleatorio adicional a los datos del titular de la
almacenar de manera segura). cuenta principal) sea ilegible (es decir, no est almacenado en tarjeta antes de usar el hash para reducir la
formato de texto claro). posibilidad de que un atacante compare los datos
Criptografa slida con procesos y
procedimientos asociados para la (y obtenga el PAN de estos) con las tablas de los
3.4.c Evale una muestra de medios extrables (como copias
administracin de claves. valores hash computados previamente.
de seguridad en cintas) para confirmar que el PAN (nmero de
Nota: Para una persona malintencionada cuenta principal) sea ilegible. El objetivo del truncamiento es eliminar
sera relativamente fcil reconstruir el PAN permanentemente un segmento de los datos del
3.4.d Revise una muestra de los registros de auditora, PAN de modo que solo se almacene una parte
original si tiene acceso tanto a la versin
incluidos los registros de la aplicacin de pago, para confirmar (sin exceder los primeros seis y los ltimos cuatro
truncada como a la versin en valores hash
que el PAN es ilegible o que no est presente en los registros. dgitos) del PAN.
de un PAN. Si el entorno de una entidad
tiene versiones en valores hash y 3.4.e Si el entorno de una entidad tiene versiones en valores Un token de ndice es un token criptogrfico que
truncadas del mismo PAN, se deben hash y truncadas del mismo PAN, se deben implementar reemplaza el PAN (nmero de cuenta principal)
implementar controles adicionales para controles adicionales para asegurar que las versiones en basndose en un ndice determinado por un valor
asegurar que las versiones en valores hash valores hash y truncadas no se puedan correlacionar para impredecible. Un ensamblador nico es un
y truncadas no se puedan correlacionar reconstruir el PAN original. sistema en el que una clave privada generada
para reconstruir el PAN original. aleatoriamente solo se utiliza una nica vez para
cifrar un mensaje, que luego se descifra utilizando
un ensamblador y una clave nicos que
coincidan.
El objetivo de una criptografa slida (segn se
define en el Glosario de trminos, abreviaturas y
acrnimos de las PCI DSS y PA-DSS) es que el
cifrado se base en un algoritmo probado y
aceptado por la industria (no, en un algoritmo de
propiedad exclusiva ni desarrollado
internamente), con claves criptogrficas slidas.
Al correlacionar las versiones en valores hash o
truncadas de un PAN determinado, una persona
malintencionada puede derivar fcilmente el valor
original del PAN. La aplicacin de controles que
ayuden a prevenir la correlacin de estos datos
ayudar a asegurar que el PAN original
permanezca ilegible.
3.4.1 Si se utiliza el cifrado de disco (en 3.4.1.a Si se utiliza el cifrado de disco, inspeccione la El objetivo de este requisito es abordar la
lugar de un cifrado de base de datos por configuracin y observe el proceso de autenticacin a fin de aceptabilidad del cifrado de disco para lograr que
archivo o columna), se debe administrar verificar que el acceso lgico a los sistemas de archivos los datos del titular de la tarjeta sean ilegibles. El
un acceso lgico independiente y por cifrados se implemente por medio de un mecanismo cifrado de disco cifra todo el disco o todas las
separado de los mecanismos de separado del mecanismo de autenticacin del sistema particiones que se encuentran en una
autenticacin y control de acceso del operativo nativo (por ejemplo, sin utilizar bases de datos de computadora y descifra, automticamente, la
sistema operativo nativo (por ejemplo, no cuentas de usuarios locales ni credenciales generales de informacin cuando la solicita un usuario
se deben utilizar bases de datos de inicio de sesin de la red). autorizado. Muchas soluciones de cifrado de
cuentas de usuarios locales ni discos interceptan las operaciones de lectura y
credenciales generales de inicio de 3.4.1.b Observe los procesos y entreviste al personal para escritura del sistema operativo y efectan las
sesin de la red). Las claves de verificar que las claves criptogrficas se almacenen de forma transformaciones de cifrado apropiadas sin que el
descifrado no deben estar asociadas con segura (por ejemplo, se almacenan en medios extrables usuario realice una accin especial, salvo
las cuentas de usuarios. protegidos adecuadamente con controles de acceso suministrar una contrasea al inicio de la sesin o
seguros). del sistema. Segn estas caractersticas de
Nota: Este requisito se aplica
adicionalmente a todos los dems 3.4.1.c Revise las configuraciones y observe los procesos a cifrado de discos, a fin de cumplir con este
requisitos de cifrado y de gestin de fin de verificar que los datos del titular de la tarjeta requisito, el mtodo no puede realizar lo
claves de la PCI DSS. almacenados en medios extrables se cifren en cualquier siguiente:
lugar donde se almacenen. 1) Usar el mismo autenticador de cuentas de
usuarios como sistema operativo.
Nota: Si no se utiliza el cifrado de disco para cifrar medios
extrables, los datos almacenados en estos medios debern 2) Usar una clave de descifrado que est
quedar ilegibles mediante algn otro mtodo. asociada a las bases de datos de cuentas de
usuarios locales del sistema ni a credenciales
generales de inicio de sesin de la red o que
derive de estas.
El cifrado de disco completo ayuda a proteger los
datos en caso de la prdida fsica del disco y, por
lo tanto, debe ser compatible con dispositivos
porttiles que almacenan los datos del titular de la
tarjeta.
3.5 Documente e implemente 3.5 Revise las polticas y los procedimientos de administracin Las claves de cifrado deben tener una slida
procedimientos que protejan las claves de claves y verifique que se hayan especificado los procesos proteccin debido a que aquellos que obtiene
utilizadas para proteger los datos del titular que protegen las claves utilizadas para cifrar los datos del acceso podrn descifrar datos. Las claves
de la tarjeta almacenados contra su posible titular de la tarjeta contra su divulgacin o uso indebido y deben criptogrficas, si se utilizan, deben ser, al menos,
divulgacin o uso indebido: incluir, al menos, lo siguiente: tan slidas como las claves de cifrado de datos a
fin de brindar la proteccin adecuada de la clave
Nota: Este requisito tambin se aplica a las El acceso a las claves se restringe a la menor cantidad de
custodios necesarios. que cifra los datos as como de los datos cifrados
claves utilizadas para cifrar los datos del
con esa clave.
titular de la tarjeta almacenados y para las Las claves de cifrado de claves deben ser, al menos, tan
claves de cifrado de claves utilizadas para slidas como las claves de cifrado de datos que protegen. El requisito de proteger las claves de divulgacin
proteger las claves de cifrado de datos; Las claves de cifrado de claves se almacenan separadas y uso indebido se aplica tanto a claves de cifrado
dichas claves de cifrado de claves deben de las claves de cifrado de datos. de datos como a claves de cifrado de claves.
ser, al menos, tan seguras como las claves Las claves se almacenan de forma segura en la menor Debido a una clave de cifrado de claves puede
de cifrado de datos. cantidad de ubicaciones y formas posibles. otorgar acceso a muchas claves de cifrado de
datos, las claves de cifrado de claves requieren
medidas de proteccin slidas.
3.5.1 Requisitos adicionales solo para 3.5.1 Entreviste al personal responsable y revise la Nota: Este requisito rige solo cuando la entidad
los proveedores de servicios: documentacin para verificar que existe un documento para evaluada es un proveedor de servicios.
Mantenga una descripcin documentada describir la arquitectura criptogrfica, que incluye:
de la arquitectura criptogrfica que Mantener la documentacin actual de la
Detalles de todos los algoritmos, protocolos y claves arquitectura criptogrfica permite a una entidad
incluye:
utilizados para la proteccin de los datos del titular de la entender los algoritmos, los protocolos, y las
Detalles de todos los algoritmos, tarjeta, incluidas la complejidad de la clave y la fecha de claves criptogrficas utilizadas para proteger los
protocolos y claves utilizados para la caducidad datos del titular de la tarjeta, as como los
proteccin de los datos del titular de Descripcin del uso de la clave para cada tecla dispositivos que generan, utilizan y protegen las
la tarjeta, incluidas la complejidad de
Inventario de un HSM SMS y otros SCD utilizados para claves. Esto permite a una entidad seguir el ritmo
la clave y la fecha de caducidad de las amenazas en evolucin a su arquitectura,
la gestin de claves
Descripcin del uso de la clave para lo que las habilita para planificar actualizaciones a
cada tecla medida que cambian los niveles de seguridad
Inventario de un HSM SMS y otros proporcionados por los diferentes
SCD utilizados para la gestin de algoritmos/complejidad de las claves. El
claves mantenimiento de dicha documentacin tambin
permite a una entidad detectar las claves o los
dispositivos de gestin de claves perdidos o
Nota: Este requisito se considerar la
faltantes, e identificar las adiciones no
mejor prctica hasta el 31 de enero de
autorizadas a su arquitectura criptogrfica.
2018 y, a partir de ese momento, se
convertir en requisito.
3.5.2 Restrinja el acceso a las claves 3.5.2 Revise las listas de acceso de usuarios para controlar Muy pocas personas deben tener acceso a las
criptogrficas a la menor cantidad de que el acceso a las claves se restrinja a la menor cantidad de claves criptogrficas, usualmente solo aquellos
custodios necesarios. custodios necesarios. con responsabilidades de custodios de claves
(esto reduce la posibilidad de que los datos del
titular de la tarjeta queden visible para personas
no autorizadas).
3.5.3 Siempre guarde las claves secretas 3.5.3.a Revise los procedimientos documentados para Las claves criptogrficas se deben almacenar de
y privadas utilizadas para cifrar/descifrar verificar que las claves criptogrficas utilizadas para manera segura para evitar el acceso no
los datos del titular de la tarjeta en una (o cifrar/descifrar los datos del titular de la tarjeta estn siempre autorizado o innecesario que pueda dejar
ms) de las siguientes formas: en una (o ms) de las siguientes formas en todo momento: expuestos los datos del titular de la tarjeta.
Cifradas con una clave de cifrado de Cifradas con una clave de cifrado de claves que sea, al El objetivo no es cifrar las claves de cifrado de
claves que sea, al menos, tan slida menos, tan slida como la clave de cifrado de datos y claves; sin embargo, esas claves deben estar
como la clave de cifrado de datos y que se almacene separada de la clave de cifrado de protegidas contra la divulgacin y el uso indebido,
que se almacene separada de la datos. segn lo definido en el Requisito 3.5. Si se usan
clave de cifrado de datos. Dentro de un dispositivo seguro criptogrfico (como un claves de cifrado de claves, almacenarlas en
Dentro de un dispositivo seguro HSM [mdulo de seguridad de host] o un dispositivo de ubicaciones fsicas o lgicamente separadas de
criptogrfico (como un HSM [mdulo punto de interaccin aprobado para la PTS). las claves de cifrado de datos reduce el riesgo de
de seguridad de host] o un acceso no autorizado a ambas claves.
Como claves o componentes de la clave de acuerdo con
dispositivo de punto de interaccin los mtodos aceptados por la industria.
aprobado para la PTS).
3.5.3.b Revise las configuraciones del sistema y las
Como, al menos, dos claves o
ubicaciones de almacenamiento de claves para verificar que
componentes de la clave completos
las claves criptogrficas utilizadas para cifrar/descifrar los
de acuerdo con los mtodos
datos del titular de la tarjeta estn siempre en una (o ms) de
aceptados por la industria.
las siguientes formas en todo momento:
Nota: No es necesario guardar las claves Cifradas con una clave de cifrado de claves.
pblicas de esta manera.
Dentro de un dispositivo seguro criptogrfico (como un
HSM [mdulo de seguridad de host] o un dispositivo de
punto de interaccin aprobado para la PTS).
Como claves o componentes de la clave de acuerdo con
los mtodos aceptados por la industria.
3.5.3.c Siempre que se usen claves de cifrado de claves,
revise las configuraciones del sistema y las ubicaciones de
almacenamiento de claves para verificar lo siguiente:
Las claves de cifrado de claves son, al menos, tan
slidas como las claves de cifrado de datos que
protegen.
Las claves de cifrado de claves se almacenan separadas
de las claves de cifrado de datos.
3.5.4 Guarde las claves criptogrficas en 3.5.4 Revise las ubicaciones de almacenamiento de claves y Almacenar las claves criptogrficas en la menor
la menor cantidad de ubicaciones observe los procesos para verificar que las claves estn cantidad de ubicaciones posibles ayuda a la
posibles. almacenadas en la menor cantidad de ubicaciones posibles. organizacin a llevar un registro y a controlar
todas las ubicaciones de claves; y minimiza la
posibilidad de que las claves queden expuestas a
personas no autorizadas.
3.6 Documente por completo e implemente 3.6.a Procedimientos de pruebas adicionales solo para las La manera en la cual se administran las claves de
todos los procesos y procedimientos de evaluaciones de los proveedores de servicios: Si el cifrado es una parte crtica de la continuidad de
administracin de claves de las claves proveedor de servicios comparte claves con sus clientes para seguridad de la solucin de cifrado. Un buen
criptogrficas que se utilizan para el cifrado la transmisin o el almacenamiento de datos del titular de la proceso de administracin de claves, ya sea
de datos del titular de la tarjeta, incluso lo tarjeta, revise la documentacin que el proveedor de servicios manual o automtico, como parte del producto de
siguiente: le proporciona a los clientes y verifique que incluya cifrado, se basa en las normas de la industria y
lineamientos sobre la manera de transmitir, almacenar y abarca todos los elementos clave en 3.6.1
Nota: Varias normas de la industria
actualizar, de manera segura, sus claves, de conformidad con hasta 3.6.8.
relativas a la administracin de claves
los Requisitos 3.6.1 a 3.6.8 que siguen a continuacin. Instruir a los clientes sobre cmo transmitir,
estn disponibles en distintos recursos
incluido NIST, que puede encontrar en 3.6.b Revise los procesos y procedimientos de administracin almacenar y actualizar claves criptogrficas de
http://csrc.nist.gov. de claves utilizados para cifrar los datos del titular de la tarjeta manera segura ayuda a evitar la divulgacin o el
y realice lo siguiente: uso indebido de las claves a entidades no
autorizadas.
Este requisito rige para las claves utilizadas para
cifrar los datos del titular de la tarjeta
almacenados y cualquier clave de cifrado de
claves respectiva.
Nota: Se aclar que el Procedimiento de prueba
3.6.a solo aplica si la entidad que se evala es un
proveedor de servicios.
3.6.1 Generacin de claves de cifrado 3.6.1.a Verifique que los procedimientos de administracin de La solucin de cifrado debe generar claves
slido claves especifiquen cmo generar claves slidas. slidas, de acuerdo con lo definido en el Glosario
de trminos, abreviaturas y acrnimos de las PCI
3.6.1.b Observe los procedimientos de generacin de claves DSS y de las PA-DSS en Generacin de claves
para verificar que se hayan generado claves slidas. criptogrficas. Usar claves criptogrficas slidas
aumenta el nivel de seguridad de los datos del
titular de la tarjeta cifrados.
3.6.2 Distribucin segura de claves de 3.6.2.a Verifique que los procedimientos de administracin de La solucin de cifrado debe distribuir las claves
cifrado claves especifiquen cmo distribuir las claves de manera de forma segura, lo que significa que las claves
segura. solo se entregan a los custodios identificados en
el punto 3.5.1 y nunca se distribuyen en texto
3.6.2.b Observe el mtodo de distribucin de claves para claro.
verificar que se distribuyan de manera segura.
3.6.3 Almacenamiento seguro de claves 3.6.3.a Verifique que los procedimientos de administracin de La solucin de cifrado debe almacenar claves de
de cifrado claves especifiquen cmo almacenar claves de manera forma segura, por ejemplo, cifrarlas con una clave
segura. de cifrado de claves. Almacenar claves sin la
proteccin correcta puede provocar el acceso de
3.6.3.b Observe el mtodo de almacenamiento de claves y atacantes, que descifrarn y visualizarn los
verifique que se almacenen de manera segura. datos del titular de la tarjeta.
3.6.4 La clave criptogrfica cambia en el 3.6.4.a Verifique que los procedimientos de administracin Un perodo de cifrado es el intervalo durante el
caso de las claves que han llegado al de claves incluyan un perodo de cifrado definido para cada cual una clave criptogrfica particular se puede
final de su perodo de cifrado (por tipo de clave utilizada y que definan un proceso para los utilizar para su propsito definido. Las
ejemplo, despus que haya transcurrido cambios de clave al finalizar el perodo de cifrado consideraciones para definir el perodo de cifrado
un perodo definido y/o despus que especificado. incluyen, pero sin limitarse a, la solidez del
cierta cantidad de texto cifrado haya sido algoritmo subyacente, tamao o longitud de la
producido por una clave dada), segn lo 3.6.4.b Entreviste al personal para verificar que se hayan clave, peligro de riesgo de la clave y la
defina el proveedor de la aplicacin cambiado las claves al finalizar el perodo de cifrado. confidencialidad de los datos cifrados.
relacionada o el responsable de las Es imperativo cambiar peridicamente las claves
claves, y basndose en las mejores de cifrado cuando han llegado al final de su
prcticas y recomendaciones de la perodo de cifrado a fin de minimizar el riesgo de
industria (por ejemplo, NIST Special que alguien obtenga las claves de cifrado y las
Publication 800-57). use para descifrar datos.
3.6.5 Retiro o reemplazo de claves (por 3.6.5.a Verifique que los procedimientos de administracin de Las claves que ya no se utilicen o necesiten, o las
ejemplo, mediante archivo, destruccin o claves especifiquen procesos para realizar lo siguiente: claves que se sepa o se sospeche que estn en
revocacin) segn se considere riesgo, se deben anular o destruir para
Retiro o reemplazo de claves cuando se haya debilitado
necesario cuando se haya debilitado la asegurarse de que ya no se puedan utilizar. Si es
la integridad de la clave.
integridad de la clave (por ejemplo, salida necesario guardar esas claves (por ejemplo, para
de la empresa de un empleado con Reemplazo de claves que se sepa o se sospeche que respaldar datos cifrados archivados), deben tener
conocimiento de una clave en texto claro, estn en riesgo. una proteccin segura.
etc.) o cuando se sospeche que las Las claves que se conservan despus de retirarlas o
La solucin de cifrado debe proporcionar y
claves estn en riesgo. reemplazarlas no se usan para operaciones de cifrado.
facilitar un proceso para reemplazar las claves
Nota: Si es necesario retener las claves de 3.6.5.b Entreviste al personal y verifique que hayan que deben ser reemplazadas o aquellas que se
cifrado retiradas o reemplazadas, stas se implementado los siguientes procesos: sepa o se sospeche que estn en riesgo.
deben archivar de forma segura (por Las claves se retiran o reemplazan cuando se ha
ejemplo, utilizando una clave de cifrado de debilitado la integridad de la clave, incluso cuando
claves). Las claves criptogrficas alguien que conoce la clave deja de trabajar en la
archivadas se deben utilizar solo con fines empresa.
de descrifrado o verificacin.
Las claves se reemplazan si se sabe o se sospecha que
estn en riesgo.
Las claves que se guardan despus de retirarlas o
reemplazarlas no se usan para operaciones de cifrado.
3.6.6 Si se usan operaciones manuales 3.6.6.a Verifique que los procedimientos manuales de El conocimiento dividido y control doble de claves
de administracin de claves criptogrficas administracin de claves de texto claro especifiquen procesos se utiliza para eliminar la posibilidad de que una
de texto claro, se deben realizar con para realizar lo siguiente: persona tenga acceso a toda la clave. Este
control doble y conocimiento dividido. control se implementa en las operaciones
Conocimiento dividido de claves, de manera tal que los
manuales de administracin de claves o donde la
Nota: Los ejemplos de operaciones componentes de las claves queden bajo control de, al
administracin de claves no haya sido
manuales de administracin de claves menos, dos personas que solo tengan conocimiento de
implementada por el producto de cifrado.
incluyen, entre otros, generacin, su propio componente de la clave.
transmisin, carga, almacenamiento y Control doble de claves, de manera tal que se necesiten, El conocimiento parcial es un mtodo en el que
destruccin de claves. al menos, dos personas para realizar las operaciones de dos o ms personas tienen componentes
administracin de claves y que ninguna tenga acceso al individuales de la clave y cada persona conoce su
material de autenticacin del otro (por ejemplo, propio componente, pero individualmente no
contraseas o claves). pueden cifrar la clave criptogrfica original.
El control doble requiere de dos o ms personas
3.6.6 b Entreviste al personal y observe los procesos para
para realizar una funcin, y ninguna de las
verificar que las claves manuales de texto claro se
personas puede usar el material de autenticacin
administran con lo siguiente:
de otra ni acceder a este.
Conocimiento dividido.
Control doble.
3.6.7 Prevencin de sustitucin no 3.6.7.a Verifique que los procedimientos de administracin de La solucin de cifrado no debe permitir ni aceptar
autorizada de claves criptogrficas. claves especifiquen los procesos para evitar la sustitucin no la sustitucin de claves por parte de fuentes no
autorizada de claves. autorizadas o procesos inesperados.
3.6.7.b Entreviste al personal y observe los procesos para

verificar que se evita la sustitucin no autorizada de claves.
3.6.8 Requisito para que los custodios de 3.6.8.a Verifique que los procedimientos de administracin de Este proceso garantizar que los individuos que
claves criptogrficas declaren, claves especifiquen los procesos para solicitar que los actan como custodios de claves se
formalmente, que comprenden y aceptan custodios de claves declaren (por escrito o electrnicamente) comprometan con el rol de custodios de claves y
su responsabilidad como custodios de que comprenden y aceptan sus responsabilidades como que comprenden y aceptan las responsabilidades.
claves. custodios de claves.
3.6.8.b Observe la documentacin y otra evidencia que

demuestre que los custodios de claves declararon, por escrito
o electrnicamente, que comprenden y aceptan sus
responsabilidades como custodios de claves.
3.7 Asegrese de que las polticas de 3.7 Revise la documentacin y entreviste al personal para El personal debe conocer y respetar siempre las
seguridad y los procedimientos operativos verificar que las polticas de seguridad y los procedimientos polticas de seguridad y los procedimientos
para proteger los datos del titular de la operativos para proteger los datos del titular de la tarjeta operativos documentados para administrar, de
tarjeta almacenados estn documentados, cumplan con lo siguiente: manera segura, el almacenamiento continuo de
implementados y que sean de los datos del titular de la tarjeta.
Estn documentados,
Estn en uso, y
afectadas.
Requisito 4: Cifrar la transmisin de los datos del titular de la tarjeta en las redes pblicas abiertas.
La informacin confidencial se debe cifrar durante su transmisin a travs de redes a las que delincuentes puedan acceder fcilmente. Las redes
inalmbricas mal configuradas y las vulnerabilidades en cifrados herederos y protocolos de autenticacin siguen siendo los objetivos de
delincuentes que explotan estas vulnerabilidades a los efectos de acceder a los entornos de datos de los titulares de las tarjetas.

4.1 Utilizar criptografa slida y protocolos de 4.1.a Identifique todas las ubicaciones donde se transmiten La informacin confidencial debe estar cifrada
seguridad para proteger los datos del titular o reciben datos del titular de la tarjeta en redes pblicas durante la transmisin en redes pblicas,
de la tarjeta confidenciales durante la abiertas. Revise las normas documentadas y comprelas porque es fcil y comn para una persona
transmisin por redes pblicas abiertas, con las configuraciones del sistema para verificar que se malintencionada interceptar y/o desviar datos
como por ejemplo, las siguientes: usen protocolos de seguridad y criptografa segura en todas mientras estn en trnsito.
las ubicaciones.
Solo se aceptan claves y certificados de Para transmitir los datos del titular de la tarjeta
confianza. 4.1.b Revise las polticas y los procedimientos de manera segura, es necesario usar
El protocolo implementado solo admite documentados para verificar que se hayan especificado los claves/certificados de confianza, protocolos de
configuraciones o versiones seguras. procesos para las siguientes opciones: transmisin seguros y una solidez de cifrado
La solidez del cifrado es la adecuada correcta para cifrar estos datos. No se deben
Para aceptar solo claves o certificados de confianza. aceptar solicitudes de conexin de sistemas que
para la metodologa de cifrado que se
utiliza. Para que el protocolo en uso solo acepte versiones y no admiten la solidez de cifrado necesaria y que
configuraciones seguras (que no se admitan versiones pueden generar una conexin insegura.
ni configuraciones inseguras).
Tenga en cuenta que algunas implementaciones
Nota: Cuando se utiliza la SSL/TLS Para implementar la solidez de cifrado correcta para la
temprana, se debe completar los requisitos de protocolos (como SSL, y SSH versin 1.0 y
metodologa de cifrado que se utiliza.
establecidos en el Anexo A2. TLS temprana) tienen vulnerabilidades conocidas
4.1.c Seleccione y observe una muestra de las que un atacante puede utilizar para controlar el
transmisiones de entrada y salida a medida que ocurren sistema afectado. Sea cual sea el protocolo de
Ejemplos de redes pblicas abiertas incluyen, (por ejemplo, observar los procesos del sistema o el trfico seguridad que se utiliza, asegrese de que est
entre otras, las siguientes: de la red) para verificar que todos los datos del titular de la configurado para utilizar solo versiones y
La Internet tarjeta se cifran con un mtodo de criptografa slida configuraciones seguras para evitar el uso de una
durante la transmisin. conexin insegura, por ejemplo, al utilizar solo
Tecnologas inalmbricas, incluso 802.11
certificados de confianza nica y soportar solo el
y Bluetooth 4.1.d Revise las claves y los certificados para verificar que
cifrado slido (no soportar protocolos o mtodos
Tecnologa celular, por ejemplo, GSM solo se acepten claves o certificados de confianza.
ms dbiles e inseguros).
(sistema global de comunicacin
mviles), CDMA (acceso mltiple por Verificar que los certificados sean de confianza
divisin de cdigo) 4.1.c Evale las configuraciones del sistema y verifique que (por ejemplo, que no se hayan vencido o que los
el protocolo implementado solo use configuraciones haya emitido una fuente de confianza) contribuye
Servicio de radio paquete general
seguras y que no admita versiones ni configuraciones a garantizar la integridad de una conexin segura.
(GPRS)
inseguras.
Comunicaciones satelitales 4.1.f Evale las configuraciones del sistema y verifique que
se implemente la solidez de cifrado correcta para la
metodologa de cifrado en uso. (Consulte las
recomendaciones/mejores prcticas de los proveedores).
4.1.g Para las implementaciones de TLS, revise las Generalmente, el URL de la pgina web debera
configuraciones del sistema y verifique que se habilite TLS empezar con HTTPS o el explorador web
al transmitir o recibir los datos del titular de la tarjeta. debera mostrar el icono de un candado en algn
Por ejemplo, para implementaciones basadas en lugar de la ventana del explorador. Muchos
explorador: proveedores de certificados TLS tambin
proporcionan un sello de verificacin muy notorio,
HTTPS aparece como el protocolo URL (Universal que suele denominarse sello de seguridad,
Record Locator). sello de sitio seguro o sello de confianza; en
Los datos del titular de la tarjeta solo se solicitan si este sello, se puede hacer clic para visualizar la
HTTPS aparece como parte del URL. informacin del sitio web.
4.1.h Si se utiliza SSL/TLS temprana, lleve a cabo los Consulte los estndares de la industria y las
procedimientos de prueba en el Anexo A2: Requisitos mejores prcticas para obtener informacin
adicionales de la PCI DSS para las entidades que utilizan acerca de la criptografa slida y los protocolos
SSL/TLS temprana. seguros (por ejemplo, NIST SP 800-52 y SP 800-
57, OWASP, etc.)
4.1.1 Asegrese de que las redes 4.1.1 Identifique todas las redes inalmbricas que Usuarios maliciosos pueden utilizar herramientas
inalmbricas que transmiten los datos del transmitan datos del titular de la tarjeta o que estn gratis y disponibles a gran escala para espiar
titular de la tarjeta o que estn conectadas conectados al entorno de datos del titular de la tarjeta. comunicaciones inalmbricas. El uso de
al entorno de datos del titular de la tarjeta Revise las normas documentadas y comprelas con los criptografa slida ayuda a limitar la divulgacin
utilicen las mejores prcticas de la industria parmetros de configuracin del sistema para verificar las de informacin confidencial en las redes
a fin de implementar un cifrado slido para siguientes opciones en todas las redes inalmbricas inalmbricas.
la transmisin y la autenticacin. identificadas: La criptografa slida es necesaria para la
Se usan las mejores prcticas de la industria para autenticacin y la transmisin de los datos del
implementar un cifrado slido para la autenticacin y titular de la tarjeta a efectos de impedir que
la transmisin. usuarios malintencionados accedan a la red
No se usa el cifrado dbil (por ej., WEP, SSL) como inalmbrica o que utilicen las redes inalmbricas
control de seguridad para la autenticacin o la para acceder a otras redes internas o a otros
transmisin. datos.
4.2 Nunca debe enviar PAN no cifrados por 4.2.a Si se utilizan tecnologas de mensajera de usuario El correo electrnico, la mensajera instantnea,
medio de tecnologas de mensajera de final para enviar los datos del titular de la tarjeta, evale los SMS y el chat se pueden interceptar fcilmente
usuario final (por ejemplo, el correo procesos de envo del PAN (nmero de cuenta principal), con detectores de paquetes durante la entrega en
electrnico, la mensajera instantnea, SMS, revise la muestra de las transmisiones salientes a medida redes internas y pblicas. No utilice estas
el chat, etc.) que ocurren y verifique que el PAN (nmero de cuenta herramientas de mensajera para enviar el PAN
principal) quede ilegible o que est protegido mediante (nmero de cuenta principal), a menos que estn
criptografa slida cuando se lo enva a travs de configurados con un cifrado slido.
tecnologas de mensajera de usuario final. Adems, si una entidad solicita PAN a travs de
4.2.b Revise las polticas escritas y verifique que exista una tecnologas de mensajera de usuario final, la
poltica que establezca que los PNA (nmero de cuenta entidad deber proporcionar una herramienta o
principal) no protegidos no se deben enviar por medio de mtodo para proteger estos PAN utilizando
tecnologas de mensajera de usuario final. criptografa slida o convierta los PAN en ilegibles
antes de la transmisin.
4.3 Asegrese de que las polticas de 4.3 Revise la documentacin, entreviste al personal y El personal debe conocer y respetar siempre las
seguridad y los procedimientos operativos verifique que las polticas de seguridad y los procedimientos polticas de seguridad y los procedimientos
para cifrar las transmisiones de los datos del operativos para cifrar las transmisiones de los datos del operativos para administrar, de manera segura, la
titular de la tarjeta estn documentados, titular de la tarjeta cumplen con lo siguiente: transmisin continua de los datos del titular de la
implementados y que sean de conocimiento tarjeta.
Estn documentados,
para todas las partes afectadas.
Estn en uso, y
Sean de conocimiento para todas las partes
afectadas.
Mantener un programa de administracin de vulnerabilidad
Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.
El software malicioso, llamado "malware", incluidos los virus, los gusanos (worm) y los troyanos (Trojan), ingresa a la red durante muchas
actividades de negocio aprobadas incluidos los correos electrnicos de los trabajadores y la utilizacin de Internet, de computadoras porttiles y
de dispositivos de almacenamiento y explota las vulnerabilidades del sistema. El software antivirus deber utilizarse en todos los sistemas que el
malware, por lo general, afecta para proteger los sistemas contra las amenazas de software maliciosos actuales o que eventualmente se
desarrollen. Se puede considerar la opcin de incluir otras soluciones antimalware como complemento del software antivirus; no obstante, estas
soluciones adicionales no reemplazan la implementacin del software antivirus.

5.1 Implemente un software antivirus en 5.1 En el caso de la muestra de componentes del sistema que Los ataques que usan vulnerabilidades
todos los sistemas que, generalmente, incluya todos los tipos de sistemas operativos comnmente ampliamente publicadas se los denomina
se ven afectados por software malicioso afectados por software malicioso, verifique que se haya comnmente da cero (un ataque que se
(en especial, computadoras personales y implementado software antivirus si existe la correspondiente aprovecha de las vulnerabilidades previamente
servidores). tecnologa antivirus. desconocidas) y atacan a sistemas que, de lo
contrario, seran seguros. Sin una solucin de
antivirus que se actualice regularmente, estas
nuevas formas de software malicioso pueden
atacar sistemas, inhabilitar una red o poner en
riesgo los datos.
5.1.1 Asegrese de que los programas 5.1.1 Revise la documentacin del proveedor y examine las Es importante proveer proteccin contra TODOS
de antivirus puedan detectar y eliminar configuraciones del antivirus para verificar que los programas los tipos y formas de software malicioso.
todos los tipos de software malicioso de antivirus realicen lo siguiente:
conocidos y proteger a los sistemas
Detecten todos los tipos conocidos de software
contra estos.
maliciosos.
Eliminen todos los tipos de software maliciosos
conocidos.
Protejan el sistema contra todos los tipos de software
maliciosos conocidos.
Entre los ejemplos de tipos de software maliciosos, se pueden
incluir virus, troyanos, gusanos, spyware, adware y rootkits.
5.1.2 Para aquellos sistemas que no 5.1.2 Entreviste al personal para verificar que se supervisan y Generalmente, los sistemas mainframe, las
suelen verse afectados por software evalan las amenazas de malware en aquellos sistemas que computadoras de alcance medio (como las
maliciosos, lleve a cabo evaluaciones no suelen verse afectados por software maliciosos a fin de AS/400) y sistemas similares no suelen verse
peridicas para identificar y evaluar las determinar si es necesario o no implementar un software afectados por malware. Sin embargo, las
amenazas de malware que pueden antivirus en dichos sistemas. tendencias de la industria de los software
aparecer a fin de determinar si es maliciosos cambia rpidamente; por esta razn,
necesario o no implementar un es importante que las organizaciones conozcan
software antivirus en dichos sistemas. cules son los nuevos malwares que podran
atacar sus sistemas, por ejemplo, mediante una
supervisin de los avisos de seguridad y de los
nuevos grupos de antivirus del proveedor para
determinar si los sistemas podran estar en riesgo
debido a malware nuevos o futuros.
Las tendencias en software maliciosos se deben
incluir en la identificacin de nuevas
vulnerabilidades de seguridad, y los mtodos para
tratar nuevas tendencias se deben incorporar en
las normas de configuracin y los mecanismos de
proteccin de la empresa, segn sea necesario.
5.2 Asegrese de que los mecanismos 5.2.a Revise las polticas y los procedimientos para verificar Incluso las mejores soluciones de antivirus no son
de antivirus cumplan con lo siguiente: que las definiciones y el software antivirus exijan tan eficaces si no se realiza un mantenimiento o
Estn actualizados. actualizaciones. si no estn al da con las ltimas actualizaciones
Ejecuten anlisis peridicos. de seguridad, archivos de firmas o proteccin
5.2.b Revise las configuraciones de antivirus, incluso la
contra malware.
Generen registros de auditora que instalacin maestra del software, para verificar lo siguiente en
se guarden de conformidad con el los mecanismos de antivirus: Los registros de auditora proporcionan la
Requisito 10.7 de las PCI DSS. capacidad de supervisar actividad de virus y
Estn configurados para realizar actualizaciones
reacciones antimalware. Por lo tanto, es
automticas.
imprescindible configurar las soluciones
Estn configurados para realizar anlisis peridicos.
antimalware de manera tal que generen registros
5.2.c Revise una muestra de los componentes del sistema, de auditora y que esos registros se administren
incluso todos los tipos de sistemas operativos comnmente de conformidad con el Requisito 10.
afectados por software malicioso, a fin de controlar lo siguiente:
Las definiciones y el software antivirus estn
actualizados.
Se realicen anlisis peridicos.
5.2.d Revise las configuraciones de antivirus, incluso la
instalacin maestra del software y una muestra de los
componentes del sistema, para verificar lo siguiente:
La generacin de registro de software antivirus est
habilitada.
Los registros se conserven de acuerdo con el
Requisito 10.7 de las PCI DSS.
5.3 Asegrese de que los mecanismos 5.3.a Revise las configuraciones de antivirus, incluso la Los antivirus que funcionan constantemente y que
de antivirus funcionen activamente y que instalacin maestra del software y una muestra de los no se pueden modificar protegen de manera
los usuarios no puedan deshabilitarlos ni componentes del sistema, para verificar que el software continua contra malware.
alterarlos, salvo que estn antivirus funcione activamente. Implementar controles basados en polticas en
especficamente autorizados por la todos los sistemas para evitar que se pueda
gerencia en casos particulares y durante 5.3.b Revise las configuraciones de antivirus, incluso la
instalacin maestra del software y una muestra de los modificar o deshabilitar la proteccin contra
un perodo limitado. malware ayuda a evitar que los software
componentes del sistema, para verificar que los usuarios no
Nota: Las soluciones de antivirus se puedan deshabilitar ni modificar el software antivirus. maliciosos saquen provecho de las debilidades
pueden desactivar temporalmente, pero del sistema.
solo si existe una necesidad tcnica 5.3.c Entreviste al personal responsable y evale los procesos Es posible que sea necesario implementar
legtima como en el caso de la para verificar que los usuarios no puedan deshabilitar ni medidas de seguridad adicionales en el perodo
autorizacin de la gerencia en casos modificar el software antivirus, salvo que estn especficamente en que no est activa la proteccin de antivirus,
particulares. Si es necesario desactivar autorizados por la gerencia en casos particulares y durante un por ejemplo, desconectar de Internet el sistema
la proteccin de antivirus por un motivo perodo limitado. sin proteccin mientras no haya proteccin de
especfico, se debe contar con una antivirus y realizar un anlisis completo despus
autorizacin formal. Es posible que sea de habilitarla nuevamente.
necesario implementar medidas de
seguridad adicionales en el perodo en
que no est activa la proteccin de
antivirus.
seguridad y los procedimientos verificar que las polticas de seguridad y los procedimientos polticas de seguridad y los procedimientos
operativos que protegen los sistemas operativos que protegen el sistema contra malware cumplen operativos para asegurarse de que los sistemas
estn documentados, implementados y con lo siguiente: estn protegidos contra malware de manera
que sean de conocimiento para todas las continua.
Estn documentados,
partes afectadas.
Estn en uso, y
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros.
Las personas sin escrpulos utilizan las vulnerabilidades de seguridad para obtener acceso privilegiado a los sistemas. Muchas de estas
vulnerabilidades se pueden subsanar mediante parches de seguridad proporcionados por los proveedores. Las entidades que administran los
sistemas deben instalar estos parches. Todos los sistemas deben contar con los parches de software correctos para evitar que personas
malintencionadas o software maliciosos usen, de manera indebida, o pongan en riesgo los datos del titular de la tarjeta.
Nota: Los parches de software adecuados son aqullos que se evaluaron y probaron para confirmar que no crean conflicto con las
configuraciones de seguridad existentes. En el caso de las aplicaciones desarrolladas internamente por la institucin, es posible evitar numerosas
vulnerabilidades mediante la utilizacin de procesos estndares de desarrollo de sistemas y tcnicas de codificacin segura.

6.1 Establezca un proceso para identificar las 6.1.a Revise las polticas y los procedimientos y verifique El objetivo de este requisito consiste en que las
vulnerabilidades de seguridad por medio de que los procesos estn definidos para realizar lo siguiente: organizaciones conozcan cules son las nuevas
fuentes externas conocidas para obtener vulnerabilidades que pueden afectar su entorno.
Identificar nuevas vulnerabilidades de seguridad.
informacin sobre las vulnerabilidades de
Asignar una clasificacin de riesgo a las Las fuentes de informacin de vulnerabilidades
seguridad, y asigne una clasificacin de deben ser confiables y, generalmente, incluir sitios
vulnerabilidades en la que se identifiquen todas las
riesgo (por ejemplo, alto, medio o bajo) a web de proveedores, nuevos grupos industriales,
vulnerabilidades de alto riesgo y crticas.
las vulnerabilidades de seguridad listas de correos o fuentes RSS.
recientemente descubiertas. Usar fuentes externas conocidas para obtener
informacin sobre las vulnerabilidades de seguridad. Despus de que una organizacin identifique una
Nota: Las clasificaciones de riesgo se deben vulnerabilidad que pueda afectar su entorno, deber
6.1.b Entreviste al personal y observe el proceso para
basar en las mejores prcticas de la industria evaluar y clasificar el riesgo que esa vulnerabilidad
verificar lo siguiente:
y en el posible impacto. Por ejemplo, en los supone. Por lo tanto, la organizacin debe tener
criterios para clasificar las vulnerabilidades, Se identifiquen nuevas vulnerabilidades de seguridad. implementado un mtodo para evaluar las
se puede tener en cuenta la puntuacin base Se asigne una clasificacin de riesgo a las vulnerabilidades constantemente y asignar la
CVSS, la clasificacin del proveedor o el tipo vulnerabilidades que identifique todas las clasificacin de riesgo a esas vulnerabilidades. Esto
de sistema afectado. vulnerabilidades de alto riesgo y crticas. no se puede realizar por medio de un anlisis de
Los mtodos para evaluar las Los procesos que identifican las nuevas ASV (proveedores aprobados de escaneo) ni con un
vulnerabilidades y asignar las clasificaciones vulnerabilidades de seguridad incluyen usar fuentes anlisis de vulnerabilidades internas; se requiere un
de riesgo varan segn el entorno y la externas conocidas para obtener informacin sobre proceso que controle activamente las fuentes de la
estrategia de evaluacin de riesgos de la vulnerabilidades de seguridad. industria para obtener informacin sobre las
organizacin. Las clasificaciones de riesgo vulnerabilidades.
deben identificar, mnimamente, todas las Clasificar los riesgos (por ejemplo, como alto,
vulnerabilidades que se consideren de alto medio o bajo) les permite a las organizaciones
riesgo para el entorno. Adems de la identificar, priorizar y abordar con mayor rapidez los
clasificacin de riesgos, las vulnerabilidades puntos de mayor riesgo y reducir la probabilidad del
se pueden considerar crticas si suponen aprovechamiento de las vulnerabilidades que
una amenaza inminente para el entorno, si suponen el mayor riesgo.
afectan los sistemas o si generan un posible
riesgo si no se contemplan. Algunos
ejemplos de sistemas crticos son los
sistemas de seguridad, los dispositivos y
sistemas pblicos, las bases de datos y otros
sistemas que almacenan, procesan o
transmiten datos del titular de la tarjeta.
6.2 Asegrese de que todos los software y 6.2.a Revise las polticas y los procedimientos de Los ataques que usan vulnerabilidades
componentes del sistema tengan instalados instalacin de parches de seguridad a fin de verificar que ampliamente publicadas se los denomina
parches de seguridad proporcionados por los los procesos estn definidos para realizar lo siguiente: comnmente da cero (un ataque que se
proveedores que ofrecen proteccin contra aprovecha de las vulnerabilidades previamente
Instalacin de parches de seguridad crticos
vulnerabilidades conocidas. Instale los proporcionados por el proveedor dentro del mes del desconocidas) y atacan a sistemas que, de lo
parches importantes de seguridad dentro de lanzamiento. contrario, seran seguros. Si los parches ms
un plazo de un mes de su lanzamiento. recientes no se implementan en los sistemas
Instalacin de todos los parches de seguridad
crticos rpidamente, una persona malintencionada
Nota: Los parches de seguridad crticos se proporcionados por el proveedor en un perodo
puede aprovechar estas vulnerabilidades para
deben identificar de conformidad con el coherente (por ejemplo, en un perodo de tres meses).
atacar o inhabilitar el sistema o acceder a datos
proceso de clasificacin de riesgos definido 6.2.b En el caso de una muestra de los componentes del confidenciales.
en el Requisito 6.1. sistema y del software relacionado, compare la lista de
Al priorizar los parches para las infraestructuras
parches de seguridad instalados en cada sistema con la
crticas, se garantiza que los sistemas y los
ltima lista de parches de seguridad proporcionados por el
dispositivos de alta prioridad estn rpidamente
proveedor para verificar lo siguiente:
protegidos contra las vulnerabilidades despus del
Los parches de seguridad crticos correspondientes lanzamiento del parche. Considere priorizar la
proporcionados por el proveedor se instalen dentro del instalacin de parches de manera tal que los
mes del lanzamiento. parches de seguridad de los sistemas crticos o en
Todos los parches de seguridad correspondientes riesgo se instalen en un plazo de 30 das y que los
proporcionados por el proveedor se instalen en un parches de menor riesgo se instalen en un plazo de
perodo especfico (por ejemplo, en un plazo de tres 2 a 3 meses.
meses).
Este requisito se aplica a los parches aplicables
para todo el software instalado, incluidas las
aplicaciones de pago (tanto para las que estn
validadas por la PA-DSS como las que no).
6.3 Desarrolle aplicaciones de software 6.3.a Revise los procesos de desarrollo de software escritos Si no se incluye la seguridad durante la definicin
internas y externas (incluso acceso para verificar que se basen en las normas o en las mejores de requisitos, el diseo, el anlisis y las fases de
administrativo a aplicaciones basado en web) prcticas de la industria. prueba de desarrollo del software, se pueden
de manera segura y de la siguiente manera: introducir vulnerabilidades de seguridad en el
6.3.b Revise los procesos de desarrollo de software escritos entorno de produccin de forma inadvertida o
De acuerdo con las PCI DSS (por y verifique que se incluya la seguridad de la informacin
ejemplo, autenticacin y registros malintencionada.
durante todo el ciclo de vida.
seguros). 6.3.c Evale los procesos de desarrollo de software escritos Entender cmo se administran los datos
Basadas en las normas o en las mejores y verifique que las aplicaciones de software se desarrollen confidenciales en la aplicacin, incluso cundo se
prcticas de la industria. de conformidad con las PCI DSS. almacenan y transmiten y cundo estn en la
Incorporacin de seguridad de la memoria, ayuda a identificar qu reas de datos
informacin durante todo el ciclo de vida 6.3.d Entreviste a los desarrolladores de software para necesitan proteccin.
del desarrollo del software. verificar que se implementen los procesos de desarrollo de
software escritos.
Nota: Esto rige para todos los software
desarrollados internamente y para todos los
software personalizados desarrollados
externamente.
6.3.1 Elimine las cuentas de desarrollo, de 6.3.1 Revise los procedimientos de desarrollo de software Las cuentas de desarrollo, de prueba y de
prueba y de aplicaciones personalizadas, escritos y entreviste al personal responsable a fin de aplicaciones personalizadas, las ID de usuario y las
las ID de usuario y las contraseas antes verificar que la produccin previa y las cuentas de contraseas se deben eliminar del cdigo de
de que las aplicaciones se activen o se aplicaciones personalizadas, las ID de usuarios y las produccin antes de que la aplicacin se active o se
pongan a disposicin de los clientes. contraseas se eliminen antes de enviar la aplicacin a ponga a disposicin de los clientes, ya que estos
produccin o ponerla a disposicin de los clientes. elementos pueden revelar informacin sobre el
funcionamiento de la aplicacin. La posesin de esa
informacin podra facilitar que se ponga en riesgo
la aplicacin y los datos relacionados del titular de la
tarjeta.
6.3.2 Revise el cdigo personalizado antes 6.3.2.a Revise los procedimientos de desarrollo de Las vulnerabilidades de personalidad en cdigos
de enviarlo a produccin o de ponerlo a software escritos y entreviste al personal responsable personalizados suelen ser blanco de personas
disposicin de los clientes a fin de para verificar que todos los cambios de cdigo de las malintencionadas para obtener acceso a una red y
identificar posibles vulnerabilidades en la aplicaciones personalizadas (ya sea mediante procesos poner en riesgo los datos de titulares de tarjetas.
codificacin (mediante procesos manuales manuales o automticos) se revisen de la siguiente Aquellas personas que tengan conocimientos en
o automticos) y que incluya, al menos, lo manera: tcnicas de revisin de cdigo y en prcticas de
siguiente:
Individuos que no sean el autor que origin el cdigo codificacin segura deben participar en el proceso
La revisin de los cambios en los e individuos con conocimiento en tcnicas de revisin de revisin. La revisin de los cdigos debe estar a
cdigos est a cargo de personas que de cdigo y prcticas de codificacin segura revisan cargo de personas que no hayan creado el cdigo
no hayan creado el cdigo y que los cambios en los cdigos. para que se realice de forma objetiva e
tengan conocimiento de tcnicas de Las revisiones de los cdigos aseguran que estos se independiente. Tambin se pueden usar procesos o
revisin de cdigo y prcticas de desarrollan de acuerdo con las directrices de herramientas automticos en lugar de realizar
codificacin segura. codificacin segura (consulte el requisito 6.5 de las revisiones manuales, pero recuerde que puede ser
Las revisiones de los cdigos deben PCI DSS). difcil, o incluso imposible, que la herramienta
automtica identifique algunos problemas de
garantizar que el cdigo se desarrolle Las correcciones pertinentes se implementan antes
de acuerdo con las directrices de codificacin.
del lanzamiento.
codificacin segura. Corregir los errores de codificacin antes de
La gerencia revisa y aprueba los resultados de la
Las correcciones pertinentes se revisin de cdigos antes del lanzamiento. implementar el cdigo en el entorno de produccin o
implementan antes del lanzamiento. antes de que se les enve a los clientes impide que
La gerencia revisa y aprueba los el cdigo exponga los entornos a un posible uso
resultados de la revisin de cdigos indebido. Es mucho ms difcil y costoso corregir un
antes del lanzamiento. cdigo defectuoso despus de implementarlo o si se
envi a los entornos de produccin.
Incluir la revisin formal y la aprobacin final de la
gerencia antes del envo garantiza que el cdigo
est aprobado y que se ha desarrollado de acuerdo
(contina en la pgina siguiente) con las polticas y los procedimientos.
Nota: Este requisito de revisin de cdigos 6.3.2.b Seleccione una muestra de los cambios recientes
se aplica a todos los cdigos personalizados de las aplicaciones personalizadas y verifique que los
(tanto internos como pblicos) como parte del cdigos de aplicaciones personalizadas se revisen de
ciclo de vida de desarrollo del sistema. acuerdo con el punto 6.3.2.a mencionado anteriormente.
Las revisiones de los cdigos pueden ser
realizadas por terceros o por personal interno
con conocimiento. Las aplicaciones web
tambin estn sujetas a controles adicionales
a los efectos de tratar las amenazas
continuas y vulnerabilidades despus de la
implementacin, conforme al Requisito 6.6 de
las PCI DSS.
6.4 Siga los procesos y procedimientos de 6.4 Revise las polticas y los procedimientos y verifique que Si los controles de cambio no se documentan ni
control de todos los cambios en los se define lo siguiente: implementan correctamente, las funciones de
componentes del sistema. Los procesos seguridad se pueden omitir o dejar inoperables por
Los entornos de prueba/desarrollo estn separados del
deben incluir lo siguiente: entorno de produccin y se implementa un control de error o deliberadamente, pueden ocurrir
acceso para reforzar la separacin. irregularidades de procesamiento o se puede
introducir un cdigo malicioso.
Existe una separacin de funciones entre el personal
asignado a los entornos de desarrollo/prueba y el
personal asignado al entorno de produccin.
Los datos de produccin (PAN activos) no se usan en
las pruebas ni en el desarrollo.
Los datos y las cuentas de prueba se eliminan antes de
que se active el sistema de produccin.
Se documentan los procedimientos de control de
cambios relacionados con la implementacin de
parches de seguridad y las modificaciones del software.
6.4.1 Separe los entornos de 6.4.1.a Revise la documentacin de la red y la Debido al estado constantemente cambiante de los
desarrollo/prueba de los entornos de configuracin de los dispositivos de red a fin de verificar entornos de desarrollo y prueba, estos tienden a ser
produccin y refuerce la separacin con que los entornos de desarrollo/prueba estn separados de menos seguros que el entorno de produccin. Sin
controles de acceso. los entornos de produccin. una separacin correcta entre los entornos, es
posible que el entorno de produccin y los datos del
6.4.1.b Revise la configuracin de los controles de acceso titular de la tarjeta queden en riesgo debido a la
y verifique que se implementen estos controles para configuracin de seguridad menos estricta y a las
reforzar la separacin entre los entornos de vulnerabilidades en un entorno de prueba o
desarrollo/prueba y los entornos de produccin. desarrollo.
6.4.2 Separacin de funciones entre 6.4.2 Observe los procesos y entreviste al personal Reducir el nmero de personal con acceso al
desarrollo/prueba y entornos de produccin asignado a los entornos de desarrollo/prueba y al entorno de produccin y a los datos de titulares de
personal asignado al entorno de produccin para verificar tarjeta minimiza el riesgo y ayuda a asegurar que
que se implementen las tareas de separacin entre los ese acceso se limite a aquellos individuos con una
entornos de desarrollo/prueba y el de produccin. necesidad de conocimiento de la empresa.
El objetivo de este requisito consiste en separar las
funciones de desarrollo y prueba de las funciones
de produccin. Por ejemplo, un desarrollador puede
utilizar una cuenta a nivel del administrador con
privilegios elevados en el entorno de desarrollo, y
tener una cuenta separada con acceso a nivel de
usuario al entorno de produccin.
6.4.3 Los datos de produccin (PAN 6.4.3.a Observe los procesos de pruebas y entreviste al Los controles de seguridad no suelen ser tan
activos) no se utilizan para las pruebas ni personal para verificar que se implementen los estrictos en el entorno de prueba o desarrollo. El
para el desarrollo procedimientos a fin de garantizar que los datos de uso de datos de produccin proporciona a personas
produccin (PAN activos) no se usen en las pruebas ni en malintencionadas la oportunidad de obtener acceso
el desarrollo. no autorizado a estos datos (datos de los titulares
de tarjetas).
6.4.3.b Revise una muestra de datos de pruebas para
verificar que los datos de produccin (PAN activos) no se
utilicen en las pruebas ni en el desarrollo.
6.4.4 Eliminacin de datos y cuentas de los 6.4.4.a Observe los procesos de pruebas y entreviste al Los datos y las cuentas de prueba se deben
componentes del sistema antes de que se personal para verificar que las cuentas y los datos de eliminar del cdigo de produccin antes de activar
activen los sistemas de produccin pruebas se eliminen antes de activar el sistema de los componentes del sistema, ya que estos
produccin. elementos pueden revelar informacin sobre el
funcionamiento de la aplicacin o del sistema.
6.4.4.b Revise una muestra de los datos y las cuentas del Contar con dicha informacin podra dar lugar a que
sistema de produccin recientemente instalado o se ponga en riesgo el sistema y los datos del titular
actualizado para verificar que los datos y las cuentas se de la tarjeta relacionados.
eliminen antes de activar el sistema.
6.4.5 Los procedimientos de control de 6.4.5.a Revise los procedimientos de control de cambios Si no se administra adecuadamente, es posible que
cambios deben incluir lo siguiente: documentados y verifique que los procedimientos estn el impacto de las actualizaciones del software y de
definidos segn lo siguiente: los parches de seguridad no se perciba
completamente y podra ocasionar consecuencias
Documentacin de incidencia
inesperadas.
Aprobacin de cambio documentada por las partes
autorizadas.
Pruebas de funcionalidad a fin de verificar que el
cambio no impacta negativamente en la seguridad del
sistema.
Procedimientos de desinstalacin
6.4.5.b En el caso de una muestra de componentes del
sistema, entreviste al personal responsable para
determinar los cambios recientes. Realice un seguimiento
de los cambios relacionados con la documentacin del
control de cambios. Por cada cambio que evale, realice
lo siguiente:
6.4.5.1 Documentacin de incidencia. 6.4.5.1 Verifique que la documentacin de incidencia se Se debe documentar el impacto del cambio para
incluya en la documentacin del control de cambios de que todas las partes afectadas puedan programar,
cada muestra de cambio. de manera apropiada, cualquier cambio de
procesamiento.
6.4.5.2 Aprobacin de cambio 6.4.5.2 Verifique que la aprobacin documentada por las La aprobacin de las partes autorizadas indica que
documentada por las partes autorizadas. partes autorizadas est presente para cada muestra de el cambio es legtimo y est autorizado por la
cambio. organizacin.
6.4.5.3 Verifique que se hayan realizado 6.4.5.3.a En el caso de las muestras de cambio, revise Se deben realizar pruebas rigurosas para verificar
las pruebas de funcionalidad y que el que las pruebas de funcionalidad se hayan realizado que la seguridad del entorno no se reduce al
cambio no impacte negativamente en la para verificar que el cambio no impacte negativamente implementar un cambio. Las pruebas deben validar
seguridad del sistema. en la seguridad del sistema. que todos los controles de seguridad existentes
permanecen implementados, que se reemplacen
6.4.5.3.b En el caso de los cambios del cdigo
por controles igualmente slidos o que se refuercen
personalizado, verifique que se hayan realizado las
despus de realizar un cambio en el entorno.
pruebas a todas las actualizaciones de conformidad con
el Requisito 6.5 de las PCI DSS antes de la
implementacin en produccin.
6.4.5.4 Procedimientos de desinstalacin. 6.4.5.4 Verifique que se preparen los procedimientos de Para cada cambio, se deben documentar los
desinstalacin para cada muestra de cambio. procedimientos de desinstalacin en caso de que el
cambio falle o afecte negativamente la seguridad de
la aplicacin o del sistema y para permitir que el
sistema vuelva al estado previo.
6.4.6 Al trmino de un cambio significativo, 6.4.6 Para una muestra de los cambios significativos, revise Tener procesos para analizar cambios significativos
deben implementarse todos los requisitos los registros de cambios, entreviste al personal, y observe ayuda a garantizar que todos los controles
pertinentes de la PCI DSS en todos los los sistemas/redes afectados para verificar que se apropiados de la PCI DSS se aplican a cualquier
sistemas y redes nuevos o modificados, y la implementaron los requisitos aplicables de la PCI DSS y sistema o red agregado o modificado dentro del
documentacin actualizada segn sea el que se actualiz la documentacin como parte del cambio. entorno en el alcance.
caso. La construccin de esta validacin en los procesos
de gestin de cambio ayuda a garantizar que los
Nota: Este requisito se considerar la mejor inventarios de los dispositivos y las normas de
prctica hasta el 31 de enero de 2018 y, a configuracin se mantienen actualizados y los
partir de ese momento, se convertir en controles de seguridad se aplican donde sea
requisito. necesario.
Un proceso de gestin de cambio deber incluir
evidencia de apoyo que los requisitos de la PCI
DSS se implementan o preservan mediante el
proceso iterativo. Ejemplos de los requisitos de la
PCI DSS que se veran afectados incluyen, pero no
se limitan a:
El Diagrama de una red se actualiza para
reflejar los cambios.
Los sistemas estn configurados segn las
normas de configuracin, con todas las
contraseas predeterminadas cambiadas y los
servicios innecesarios deshabilitados.
Los sistemas estn protegidos con los controles
requeridos, por ejemplo, la supervisin de la
integridad de archivos (FIM), los antivirus, los
parches, y el registro de auditora.
Los datos confidenciales de autenticacin
(SAD) no se almacenan y todo el
almacenamiento de los datos del titular de la
tarjeta (CHD) se documenta e incorpora en las
polticas y procedimientos de retencin de
datos
Los nuevos sistemas se incluyen en el proceso
trimestral de anlisis de vulnerabilidad.
6.5 Aborde las vulnerabilidades de 6.5.a Revise las polticas y los procedimientos de desarrollo La capa de aplicacin es de alto riesgo y puede ser
codificacin comunes en los procesos de de software y verifique que a los desarrolladores se les exija el blanco de amenazas internas y externas.
desarrollo de software de la siguiente una capacitacin actualizada en tcnicas de codificacin Los Requisitos 6.5.1 al 6.5.10 hacen referencia a los
manera: segura, segn las guas y las mejores prcticas de la controles mnimos que se deben implementar, y las
industria.
Capacite a los desarrolladores, por lo organizaciones deben incorporar prcticas de
menos anualmente, en las tcnicas 6.5.b Revise los registros de capacitacin para verificar que codificacin segura relevantes que correspondan a
actualizadas de codificacin segura, los desarrolladores de software hayan sido capacitados en la tecnologa particular de su entorno.
incluida la forma de evitar las tcnicas de codificacin segura por lo menos anualmente, Los desarrolladores de la aplicacin deben estar
vulnerabilidades de codificacin en las que se incluya cmo evitar las vulnerabilidades de debidamente capacitados para identificar y
comunes.
codificacin comunes. solucionar los problemas relacionados con estas (y
Desarrolle aplicaciones basadas en otras) vulnerabilidades de codificacin comunes.
directrices de codificacin seguras. 6.5.c Verifique que los procesos implementados protejan las Contar con personal que tenga conocimientos en
aplicaciones, al menos, contra las siguientes directrices de codificacin segura minimizar la
Nota: Las vulnerabilidades que se enumeran
vulnerabilidades: cantidad de vulnerabilidades de seguridad
desde el punto 6.5.1 hasta el 6.5.10 eran
congruentes con las mejores prcticas de la introducidas mediante prcticas de codificacin
industria al momento de la publicacin de poco seguras. La capacitacin de los
esta versin de las PCI DSS. Sin embargo, desarrolladores puede estar a cargo de personal de
debido a que las mejores prcticas de la la empresa o de terceros y debe ser pertinente a la
industria para la gestin de vulnerabilidades tecnologa utilizada.
se actualizan (por ejemplo, OWASP Guide, A medida que cambian las prcticas de codificacin
SANS CWE Top 25, CERT Secure Coding, segura aceptadas por la industria, las prcticas de
etc.), se deben utilizar las mejores prcticas codificacin de las organizaciones y la capacitacin
actuales para estos requisitos. de los desarrolladores se deben actualizar para
abordar nuevas amenazas, por ejemplo, ataques
para extraer la memoria.
Las vulnerabilidades identificadas en los
Requisitos 6.5.1 al 6.5.10 proporcionan un punto de
partida mnimo. Es responsabilidad de la
organizacin informarse sobre las ltimas
tendencias en vulnerabilidades e incorporar las
medidas apropiadas en cuanto a las prcticas de
codificacin segura.
Nota: Los Requisitos 6.5.1 al 6.5.6, que se describen a continuacin, rigen para todas las aplicaciones de
pago (internas o externas).
6.5.1 Errores de inyeccin, en especial, 6.5.1 Evale las polticas y los procedimientos de Los errores de inyeccin, en especial, los errores de
errores de inyeccin SQL. Tambin desarrollo de software y entreviste al personal inyeccin SQL, son mtodos comnmente utilizados
considere los errores de inyeccin de responsable a fin de verificar que las tcnicas de para poner en riesgo aplicaciones. La inyeccin se
comandos de OS, LDAP y Xpath, as como codificacin aborden los errores de inyeccin y realicen lo produce cuando se envan datos suministrados por
otros errores de inyeccin. siguiente: el usuario a un intrprete como parte de un
comando o una consulta. Los datos hostiles del
Validacin de la entrada para comprobar que los
atacante engaan al intrprete para que ejecute
datos de los usuarios no puedan modificar el
comandos accidentales o cambie datos, y le
significado de los comandos ni de las consultas.
permiten atacar los componentes que hay dentro de
Uso de consultas basadas en parmetros. la red a travs de la aplicacin para iniciar ataques,
como desbordamientos de buffer, o para revelar
informacin confidencial y la funcionalidad de la
aplicacin del servidor.
La informacin se debe validar antes de enviarse a
la aplicacin; por ejemplo, mediante la verificacin
de todos los caracteres alfabticos, la combinacin
de caracteres numricos y alfabticos, etc.
6.5.2 Desbordamiento de buffer 6.5.2 Revise las polticas y los procedimientos de Los desbordamientos de buffer ocurren cuando una
desarrollo de software y entreviste al personal aplicacin no tiene los lmites necesarios para
responsable a fin de verificar que las tcnicas de verificar su espacio de buffer. Esto puede ocasionar
codificacin aborden los desbordamientos de buffer y la informacin en el buffer se expulse del espacio de
realicen lo siguiente: memoria del buffer y que entre en el espacio de
memoria ejecutable. Cuando esto ocurre, el
Validacin de los lmites del buffer.
atacante puede insertar cdigo malicioso al final del
Truncamiento de cadenas de entrada. buffer y luego introducir ese cdigo en espacio de
memoria ejecutable desbordando el buffer. Luego,
el cdigo malicioso se ejecuta y, con frecuencia,
permite que el atacante acceda, de manera remota,
a la aplicacin o al sistema infectado.
6.5.3 Almacenamiento cifrado inseguro 6.5.3 Revise las polticas y los procedimientos de Las aplicaciones que no utilizan correctamente las
desarrollo de software y entreviste al personal funciones criptogrficas slidas para almacenar
responsable a fin de verificar que las tcnicas de datos tienen ms posibilidades de estar en riesgo y
codificacin aborden el almacenamiento criptogrfico de dejar expuestas las credenciales de
inseguro y realicen lo siguiente: autenticacin o los datos del titular de la tarjeta. Si
un atacante puede sacar provecho de los procesos
Prevenga errores de cifrado.
criptogrficos dbiles, tambin puede obtener
Utilice claves y algoritmos criptogrficos slidos. acceso en texto claro a los datos cifrados.
6.5.4 Comunicaciones inseguras 6.5.4 Revise las polticas y los procedimientos de Las aplicaciones que no cifran correctamente el
desarrollo de software y entreviste al personal trfico de red con una criptografa slida tienen ms
responsable a fin de verificar que se aborden las posibilidades de estar en riesgo y de dejar
comunicaciones inseguras mediante tcnicas de expuestos los datos del titular de la tarjeta. Si un
codificacin que autentique y cifren correctamente todas atacante puede sacar provecho de los procesos
las comunicaciones confidenciales: criptogrficos dbiles, tambin puede tener el
control de la aplicacin o, incluso, obtener acceso
en texto claro a los datos cifrados.
6.5.5 Manejo inadecuado de errores 6.5.5 Revise las polticas y los procedimientos de Las aplicaciones pueden filtrar, por equivocacin,
desarrollo de software y entreviste al personal informacin sobre su configuracin o sobre los
responsable a fin de verificar que el manejo inadecuado trabajos internos, o pueden exponer informacin
de errores se corrige mediante tcnicas de codificacin privilegiada mediante mtodos de manejo
que no filtran informacin por medio de mensajes de error inadecuado de errores. Los atacantes utilizan estas
(por ejemplo, enviando detalles genricos del error, en debilidades para hurtar datos confidenciales o para
lugar de enviar detalles especficos). poner en riesgo todo el sistema. Si una persona
malintencionada puede crear errores que una
aplicacin web no puede manejar correctamente,
puede obtener informacin detallada del sistema,
puede crear interrupciones por negacin de
servicios, puede hacer que la seguridad falle o
puede bloquear el servidor. Por ejemplo, el mensaje
la contrasea suministrada es incorrecta le indica
al atacante que la ID de usuario suministrada es
correcta y que debe centrar sus esfuerzos solo en la
contrasea. Utilice mensajes de error ms
genricos, como no se pueden verificar los datos.
6.5.6 Todas las vulnerabilidades de alto 6.5.6 Revise las polticas y los procedimientos de Todas las vulnerabilidades identificadas en el
riesgo detectadas en el proceso de desarrollo de software y entreviste al personal proceso de clasificacin de riesgos de
identificacin de vulnerabilidades (segn lo responsable para verificar que las tcnicas de codificacin vulnerabilidades de la organizacin (definido en el
definido en el Requisito 6.1 de las PCI aborden las vulnerabilidades de alto riesgo que puedan Requisito 6.1) que sean de alto riesgo y que
DSS). afectar la aplicacin, segn lo especificado en el puedan afectar la aplicacin se deben identificar y
Requisito 6.1 de las PCI DSS. corregir durante el desarrollo de la aplicacin.
Las aplicaciones web (pblicas), tanto internas
Nota: Los Requisitos 6.5.7 al 6.5.10, que siguen a continuacin, rigen para las aplicaciones web y las como externas, tienen riesgos de seguridad nicos
interfaces de las aplicaciones (internas o externas): segn su arquitectura, su facilidad relativa y la
ocurrencia de riesgos.
6.5.7 Lenguaje de comandos entre 6.5.7 Revise las polticas y los procedimientos de Los errores de XSS (lenguaje de comandos entre
distintos sitios (XSS) desarrollo de software y entreviste al personal distintos sitios) se producen cuando una aplicacin
responsable a fin de verificar que el XSS (lenguaje de toma datos suministrados por el usuario y los enva
comandos entre distintos sitios) se aborde con las a un explorador web sin primero validar ni codificar
tcnicas de codificacin que incluyen lo siguiente: ese contenido. El XSS (lenguaje de comandos entre
distintos sitios) permite a los atacantes ejecutar
Validacin de todos los parmetros antes de la
secuencias en el explorador de la vctima, el cual
inclusin.
puede apropiarse de las sesiones del usuario,
Uso de tcnicas de escape sensibles al contexto. destruir sitios web y posiblemente introducir
gusanos, etc.
6.5.8Control de acceso inapropiado (como 6.5.8 Evale las polticas y los procedimientos de Una referencia a un objeto directo ocurre cuando un
referencias no seguras a objetos directos, desarrollo de software y entreviste al personal desarrollador expone una referencia a un objeto de
no restriccin de acceso a URL y responsable para verificar que el control de acceso implementacin interna, como un archivo, directorio,
exposicin completa de los directorios, y la inapropiado, como las referencias no seguras a objetos registro de base de datos o clave, como un
no restriccin de acceso a las funciones por directos, la no restriccin de acceso a URL y la exposicin parmetro de URL o formulario. Los atacantes
parte de los usuarios). completa de los directorios, se aborde mediante tcnicas pueden manipular esas referencias para acceder a
de codificacin que incluyan lo siguiente: otros objetos sin autorizacin.
Autenticacin correcta de usuarios. Refuerce constantemente el control de acceso en la
Desinfeccin de entradas. capa de presentacin y la lgica de negocios para
todas las URL. Con frecuencia, la nica manera en
No exposicin de referencias a objetos internos a
que una aplicacin protege funciones confidenciales
usuarios.
es evitando que se muestren vnculos o URL a
Interfaces de usuarios que no permitan el acceso a usuarios no autorizados. Los atacantes pueden usar
funciones no autorizadas. esta debilidad para tener acceso y realizar
operaciones no autorizadas mediante el acceso a
esos URL directamente.
Es posible que un atacante enumere y explore la
estructura del directorio de un sitio web (exposicin
completa de los directorios) y as obtener acceso a
informacin no autorizada, as como un mayor
conocimiento de los trabajos del sitio para posterior
explotacin.
Si las interfaces de usuarios permitan el acceso a
funciones no autorizadas, es posible que personas
no autorizadas accedan a credenciales con
privilegios o a los datos del titular de la tarjeta. Solo
aquellos usuarios autorizados deberan tener
permiso para acceder a referencias de objetos
directos desde recursos confidenciales. Limitar el
acceso a los recursos de datos ayudar a evitar que
recursos no autorizados accedan a los datos del
titular de la tarjeta.
6.5.9 Falsificacin de solicitudes entre 6.5.9 Revise las polticas y los procedimientos de Ante un ataque de CSRF (falsificacin de solicitudes
distintos sitios (CSRF) desarrollo de software y entreviste al personal entre distintos sitios), el explorador de la vctima que
responsable para verificar que, para corregir la CSRF inici sesin debe enviar una solicitud previamente
(falsificacin de solicitudes entre distintos sitios), se autenticada a una aplicacin web vulnerable, lo que
utilicen tcnicas de codificacin que aseguren que las le permite al atacante realizar operaciones de
aplicaciones no confan en las credenciales de cambio de estado que la vctima est autorizada a
autorizacin ni en los tokens que los exploradores realizar (por ejemplo, actualizar los detalles de la
presentan automticamente. cuenta, realizar compras o, incluso, autenticar la
aplicacin).
6.5.10Autenticacin y administracin de 6.5.10 Revise las polticas y los procedimientos de La autenticacin y la administracin de sesin
sesin interrumpidas desarrollo de software y entreviste al personal seguras impiden que personas malintencionadas
responsable a fin de verificar que la autenticacin y la pongan en riesgo credenciales, claves o tokens de
administracin de sesin interrumpidas se aborden con sesin de cuentas legtimas que, de lo contrario,
tcnicas de codificacin que, generalmente, incluyen lo podran permitir que un intruso adopte la identidad
siguiente: de un usuario autorizado.
Marcas de tokens de sesin (por ejemplo, cookies)
como seguros.
No exposicin de las ID de la sesin en el URL.
Incorporacin de tiempos de espera apropiados y
rotacin de las ID de la sesin despus de iniciar
sesin satisfactoriamente.
6.6 En el caso de aplicaciones web pblicas, 6.6 En el caso de aplicaciones web pblicas, asegrese de Las aplicaciones web pblicas son los principales
trate las nuevas amenazas y vulnerabilidades que se haya implementado alguno de los siguientes blancos de los atacantes y las aplicaciones web con
continuamente y asegrese de que estas mtodos: cdigos deficientes permiten que los atacantes
aplicaciones se protejan contra ataques accedan, fcilmente, a los datos confidenciales y a
Evale los procesos documentados, entreviste al
conocidos con alguno de los siguientes personal y examine los registros de las evaluaciones los sistemas. El objetivo del requisito de revisar las
mtodos: de seguridad de las aplicaciones para verificar que se aplicaciones o de instalar firewalls en las
aplicaciones web es reducir la cantidad de riesgos
Controlar las aplicaciones web pblicas hayan revisado las aplicaciones web pblicas,
mediante herramientas o mtodos de mediante herramientas o mtodos manuales o que enfrentan las aplicaciones web pblicas debido
evaluacin de seguridad de automticos para la evaluacin de la seguridad de a las prcticas de administracin de aplicaciones o
vulnerabilidad de aplicacin vulnerabilidades, de la siguiente manera: de codificacin deficientes.
automticas o manuales, por lo menos, - Por lo menos, anualmente Se utilizan herramientas o mtodos de
anualmente y despus de cada cambio - Despus de cualquier cambio evaluacin de seguridad de vulnerabilidad,
Nota: Esta evaluacin no es la misma que el - Por una organizacin que se especialice en tanto manuales como automticos, para
anlisis de vulnerabilidades realizado en el seguridad de aplicaciones revisar o probar las aplicaciones a fin de
determinar si existen vulnerabilidades.
Requisito 11.2. - Al menos, todas las vulnerabilidades del
Requisito 6.5 se incluyan en la evaluacin Los firewalls de aplicacin web filtran y
Instalacin de una solucin tcnica bloquean el trnsito no esencial en la capa de
automtica que detecte y prevenga - Que se corrijan todas las vulnerabilidades
aplicacin. Junto con un firewall de red, un
ataques web (por ejemplo, firewall de - La aplicacin se vuelva a analizar despus de las firewall de aplicacin web correctamente
aplicacin web) delante de aplicaciones correcciones configurado previene ataques a la capa de
web pblicas a fin de controlar el trfico Revise los parmetros de la configuracin del sistema aplicacin si las aplicaciones estn codificadas
continuamente. y entreviste al personal responsable para verificar que o configuradas incorrectamente. Esto se
se haya implementado una solucin tcnica puede lograr a travs de una combinacin de
automtica que detecte y prevenga ataques web (por tecnologa y proceso. Las soluciones basadas
ejemplo, un firewall de aplicacin web) de la siguiente en procesos deben tener mecanismos que
manera: faciliten respuestas oportunas a las alertas con
- Se encuentre delante de las aplicaciones web el fin de cumplir con la intencin de este
pblicas para detectar y prevenir ataques web. requisito, que es prevenir los ataques.
- Funcione activamente y est actualizada, segn Nota: "La organizacin que se especializa en
corresponda. seguridad de aplicacin" puede ser una tercera
- Genere registros de auditora. empresa o una organizacin interna, siempre que
- Est configurada para bloquear ataques web o los revisores se especialicen en seguridad de
para generar una alerta que se investiga de aplicaciones y puedan demostrar independencia
inmediato. respecto del equipo de desarrollo.
6.7 Asegrese de que las polticas de 6.7 Revise la documentacin y entreviste al personal para El personal debe conocer y respetar las polticas de
seguridad y los procedimientos operativos verificar que las polticas de seguridad y los procedimientos seguridad y los procedimientos operativos para
para desarrollar y mantener seguros los operativos para desarrollar y mantener seguros los sistemas asegurarse de que los sistemas se desarrollen de
sistemas y las aplicaciones estn y las aplicaciones cumplen con lo siguiente: manera segura y que estn protegidos contra
documentados, implementados y que sean vulnerabilidades de manera continua.
Estn documentados,
de conocimiento para todas las partes
Estn en uso, y
afectadas.
Sean de conocimiento para todas las partes
afectadas.
Implementar medidas slidas de control de acceso
Requisito 7: Restringir el acceso a los datos del titular de la tarjeta segn la necesidad de saber que tenga la empresa.
A los efectos de asegurar que el personal autorizado sea el nico que pueda acceder a los datos importantes, se deben implementar sistemas y
procesos que limiten el acceso conforme a la necesidad de conocer y conforme a la responsabilidad del cargo.
"La necesidad de saber" es la situacin en que se otorgan derechos a la menor cantidad de datos y privilegios necesarios para realizar una tarea.

7.1 Limite el acceso a los 7.1 Revise las polticas escritas para el control de acceso y Mientras ms gente tenga acceso a los datos de
componentes del sistema y a los verifique que incorporen los Requisitos 7.1.1 al 7.1.4 de la titulares de tarjetas, ms riesgo hay de que una
datos del titular de la tarjeta a siguiente manera: cuenta de usuario se use maliciosamente. Limitar el
aquellos individuos cuyas tareas acceso a quienes tienen una razn de negocios
Definicin de las necesidades de acceso y asignacin de
necesitan de ese acceso. legtima para tener acceso ayuda a la organizacin
privilegios de cada funcin.
a prevenir el manejo incorrecto de los datos del
Restriccin de acceso de usuarios con ID privilegiadas a la titular de la tarjeta por falta de experiencia o por
menor cantidad de privilegios necesarios para llevar a cabo maldad.
las responsabilidades del trabajo.
Asignacin de acceso segn la tarea, la clasificacin y la
funcin de cada persona.
Aprobacin documentada (por escrito o electrnicamente) de
las partes autorizadas para todos los accesos, que incluye la
lista de los privilegios especficos aprobados.
7.1.1 Defina las necesidades de 7.1.1 Seleccione una muestra de funciones y verifique que las A fin de limitar el acceso a los datos del titular de la
acceso de cada funcin, incluso lo necesidades de acceso de cada funcin estn definidas e tarjeta exclusivamente a las personas que necesiten
siguiente: incluyan lo siguiente: acceder, primero se deben definir las necesidades
de acceso de cada funcin (por ejemplo,
Los componentes del sistema Los componentes del sistema y los recursos de datos que
administrador del sistema, personal del centro de
y los recursos de datos que necesita cada funcin para acceder a fin de realizar su
llamados, empleado de la tienda), los
necesita cada funcin para trabajo.
sistemas/dispositivos/datos de acceso que necesita
acceder a fin de realizar su Identificacin de los privilegios necesarios de cada funcin cada funcin y el nivel de privilegio necesario para
trabajo. para que puedan desempear sus funciones. que las funciones puedan realizar las tareas
Nivel de privilegio necesario asignadas. Despus de definir las funciones y las
(por ejemplo, usuario, necesidades de acceso correspondientes, se podr
administrador, etc.) para otorgar el permiso de acceso correspondiente a
acceder a los recursos. cada funcin.
7.1.2 Limite el acceso de usuarios 7.1.2.a Entreviste al personal responsable de asignar los Cuando se asignan ID privilegiadas, es importante
con ID privilegiadas a la menor accesos para verificar que el acceso de usuarios con ID asignar solo los privilegios necesarios para realizar
cantidad de privilegios necesarios privilegiadas cumple con lo siguiente: el trabajo (la menor cantidad de privilegios). Por
para llevar a cabo las ejemplo, el administrador de la base de datos o el
Se asigna solamente a las funciones que especficamente
responsabilidades del trabajo. administrador de copias de seguridad no deben
necesitan acceso privilegiado.
tener los mismos privilegios asignados como
Estn restringidos a la menor cantidad de privilegios administrador general del sistema.
necesarios para llevar a cabo las responsabilidades del
trabajo.
7.1.2.b Seleccione una muestra de las ID de usuarios con Asignar la menor cantidad de privilegios evita que
acceso privilegiado y entreviste al personal de administracin los usuarios que no tengan el conocimiento
responsable a fin de verificar que los privilegios asignados suficiente de la aplicacin cambien, de manera
respeten lo siguiente: incorrecta o por accidente, la configuracin de la
aplicacin o alteren los parmetros de seguridad.
Sean necesarios para el trabajo de la persona.
Asignar la menor cantidad de privilegios tambin
Estn restringidos a la menor cantidad de privilegios ayuda a reducir el alcance del dao si una persona
necesarios para llevar a cabo las responsabilidades del no autorizada accede a la ID del usuario.
trabajo.
7.1.3 Asigne el acceso segn la 7.1.3 Seleccione una muestra de las ID de usuarios y entreviste Despus de definir los roles del usuario (de
tarea, la clasificacin y la funcin al personal de administracin responsable para verificar que los conformidad con el Requisito 7.1.1 de las PCI DSS),
del personal. privilegios se asignen segn la clasificacin y la funcin laboral resulta sencillo otorgar acceso a los usuarios segn
de la persona. su clasificacin y funcin laboral con los roles ya
creados.
7.1.4 Solicite la aprobacin 7.1.4 Seleccione una muestra de las ID de usuario y comprelas La aprobacin documentada (por ejemplo, por
documentada de las partes con la aprobacin documentada para verificar lo siguiente: escrito o electrnicamente) garantiza que la
autorizadas en la que se gerencia conoce y autoriza a aquellas personas a
Exista una aprobacin documentada para los privilegios
especifiquen los privilegios quienes se les otorgaron accesos y privilegios, y
asignados.
necesarios. que necesitan el acceso para realizar su trabajo.
Las partes autorizadas realizaron la aprobacin.
Los privilegios especificados coinciden con los roles
asignados a la persona.
7.2 Establezca un sistema de control 7.2 Evale los parmetros del sistema y la documentacin del Sin un mecanismo para restringir el acceso en base
de acceso para los componentes del proveedor para verificar que el sistema de control de acceso se a la necesidad de conocer que tiene el usuario, es
sistema que restrinja el acceso implemente de la siguiente manera: posible que sin saberlo se le otorgue acceso a los
segn la necesidad del usuario de datos de titulares de tarjetas a un usuario. El
conocer y que se configure para sistema de control de acceso automatiza el proceso
negar todo, salvo que se permita para restringir accesos y asignar privilegios.
especficamente. Adems, una configuracin predeterminada de
Este sistema de control de acceso negar todos garantiza que no se le otorgar el
debe incluir lo siguiente: acceso a nadie, salvo que se establezca una regla
que otorgue dicho acceso. Las entidades pueden
7.2.1 Cobertura de todos los 7.2.1 Confirme que los sistemas de control de acceso se tener uno o ms sistemas de control de acceso para
componentes del sistema implementen en todos los componentes del sistema. gestionar el acceso de los usuarios.
7.2.2 La asignacin de privilegios 7.2.2 Confirme que los sistemas de control de acceso estn Nota: Algunos sistemas de control de acceso se
a una persona se basa en la configurados de manera tal que los privilegios asignados a una establecen de forma predeterminada para "permitir
clasificacin del trabajo y su persona se realicen segn la clasificacin del trabajo y la todos", y as permite acceso salvo que, o hasta que,
funcin. funcin. se escriba una regla que niegue ese acceso en
particular.
7.2.3 Configuracin 7.2.3 Confirme que los sistemas de control de acceso cuenten
predeterminada de negar todos. con la configuracin predeterminada de negar todos.
7.3 Asegrese de que las polticas 7.3 Revise la documentacin, entreviste al personal y verifique El personal debe conocer y respetar siempre las
de seguridad y los procedimientos que las polticas de seguridad y los procedimientos operativos polticas de seguridad y los procedimientos
operativos para restringir el acceso para restringir el acceso a los datos del titular de la tarjeta operativos para asegurarse de que el acceso est
a los datos del titular de la tarjeta cumplan con lo siguiente: controlado, que se limita siempre en funcin de la
estn documentados, necesidad de saber y de la menor cantidad de
Estn documentados,
implementados y que sean de privilegios.
Estn en uso, y
afectadas. Sean de conocimiento para todas las partes afectadas.
Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
Al asignar una ID (identificacin) exclusiva a cada persona que tenga acceso garantiza que cada una se har responsable de sus actos. Cuando
se ejerce dicha responsabilidad, las medidas implementadas en datos y sistemas crticos estn a cargo de procesos y usuarios conocidos y
autorizados y, adems, se puede realizar un seguimiento.
La eficacia de una contrasea se determina, en gran medida, por el diseo y la implementacin del sistema de autenticacin, especialmente, la
frecuencia con la que el atacante intenta obtener la contrasea y los mtodos de seguridad para proteger las contraseas de usuarios en los
puntos de acceso durante la transmisin y el almacenamiento.
Nota: Estos requisitos se aplican a todas las cuentas, incluidas las cuentas de puntos de venta, con capacidades administrativas y todas las
cuentas utilizadas para ver o acceder a datos de titulares de tarjetas o para acceder a sistemas con datos de titulares de tarjetas. Esto incluye las
cuentas que usan los proveedores y terceros (por ejemplo, para respaldo o mantenimiento). Estos requisitos no se aplican a las cuentas
utilizadas por los consumidores (por ejemplo, los titulares de tarjetas).
Sin embargo, los Requisitos del 8.1.1, 8.2, 8.5, 8.2.3 al 8.2.5, y del 8.1.6 al 8.1.8 no rigen para las cuentas de usuarios dentro de una aplicacin
de pago de un punto de venta que solo tenga acceso a un nmero de tarjeta por vez a fin de facilitar una transaccin nica (como las cuentas en
efectivo).

8.1 Defina e implemente polticas y 8.1.a Revise los procedimientos y confirme que definen Si una organizacin se asegura que cada usuario
procedimientos para garantizar la procesos para cada uno de los siguientes puntos, desde el 8.1.1 tiene una identificacin nica (en vez de usar una
correcta administracin de la hasta el 8.1.8. misma ID para varios empleados), puede mantener
identificacin de usuarios para usuarios la responsabilidad individual de las acciones y una
no consumidores y administradores en 8.1.b Verifique que se implementen los procedimientos para la pista de auditoras efectiva por empleado. Esto
todos los componentes del sistema de la administracin de identificacin de usuarios mediante las resulta til para acelerar la resolucin de problemas
siguiente manera: siguientes acciones: y la contencin cuando se producen usos indebidos
o acciones malintencionadas.
8.1.1 Asigne a todos los usuarios una 8.1.1 Entreviste al personal administrativo y confirme que
ID exclusiva antes de permitirles todos los usuarios tengan asignada una ID exclusiva para
acceder a los componentes del tener acceso a los componentes del sistema o los datos del
sistema o a los datos del titular de la titular de la tarjeta.
tarjeta.
8.1.2 Controle la incorporacin, la 8.1.2 En el caso de una muestra de ID de usuarios Para asegurarse de que las cuentas de usuarios
eliminacin y la modificacin de las ID privilegiados e ID de usuarios generales, evale las que tengan acceso a los sistemas sean usuarios
de usuario, las credenciales y otros autorizaciones asociadas y observe los parmetros del vlidos y reconocidos, los procesos slidos deben
objetos de identificacin. sistema a fin de verificar que todas las ID de usuarios y las ID administrar todos los cambios de las ID de usuarios
de usuarios privilegiados se hayan implementado solamente y otras credenciales de autenticacin, incluso, la
con los privilegios especificados en la aprobacin incorporacin de credenciales nuevas y la
documentada. modificacin o eliminacin de credenciales
existentes.
8.1.3 Cancele de inmediato el acceso 8.1.3.a Seleccione una muestra de los usuarios cesantes en Si un empleado se va de la empresa y an tiene
a cualquier usuario cesante. los ltimos seis meses y revise las listas de acceso de acceso a la red con su cuenta de usuario, se puede
usuarios actuales, tanto para acceso local como remoto, para producir un acceso innecesario o malintencionado a
verificar que sus ID se hayan desactivado o eliminado de las los datos del titular de la tarjeta, ya sea por parte del
listas de acceso. exempleado o por parte de un usuario
malintencionado que saque ventaja de la cuenta
8.1.3.b Verifique que todos los mtodos de autenticacin anterior y sin uso. Para prevenir el acceso no
fsicos, como tarjetas inteligentes, tokens, etc., se hayan autorizado, se deben cancelar rpidamente (lo
devuelto o desactivado. antes posible) las credenciales del usuario y otros
mtodos de autenticacin cuando el empleado deja
la empresa.
8.1.4 Elimine o inhabilite las cuentas 8.1.4 Observe las cuentas de usuarios y verifique que se Generalmente, las cuentas que no se usan
de usuario inactivas, al menos, cada eliminen o inhabiliten las que lleven ms de 90 das inactivas. regularmente son blancos de ataques, ya que es
90 das. poco probable que se note algn cambio (como el
cambio de la contrasea). Por lo tanto, es ms fcil
que se aprovechen de estas cuentas y las utilicen
para acceder a los datos del titular de la tarjeta.
8.1.5 Administre las ID que usan los 8.1.5.a Entreviste al personal y observe los procesos de Si permite que los proveedores tengan acceso a su
terceros para acceder, respaldar o administracin de cuentas que usan los proveedores para red las 24 horas del da, los 7 das de la semana en
mantener los componentes del sistema acceder, respaldar o mantener los componentes del sistema a caso de que necesiten realizar el mantenimiento de
de manera remota de la siguiente fin de verificar que las cuentas que usan los proveedores para sus sistemas, aumentarn las posibilidades de
manera: acceder de manera remota cumplen con lo siguiente: acceso no autorizado, ya sea por parte de un
usuario del entorno del proveedor o de una persona
Se deben habilitar solamente Se inhabilitan cuando no se usan.
malintencionada que encuentra y usa este punto de
durante el tiempo que se Se habilitan solo cuando el proveedor las necesita y se acceso externo a la red siempre disponible. Habilitar
necesitan e inhabilitar cuando no deshabilitan cuando no se usan. el acceso solamente durante el perodo que sea
se usan.
8.1.5.b Entreviste al personal y observe los procesos para necesario y deshabilitarlo cuando ya no sea
Se deben monitorear mientras se necesario previene el uso indebido de estas
verificar que se monitoreen las cuentas de acceso remoto de
usan. conexiones.
los terceros mientras se utilizan.
Monitorear el acceso del proveedor sirve para
garantizar que los proveedores acceden solo a los
sistemas necesarios y en los momentos
autorizados.
8.1.6 Limite los intentos de acceso 8.1.6.a En el caso de una muestra de componentes del Sin la implementacin de mecanismos de bloqueo
repetidos mediante el bloqueo de la ID sistema, inspeccione los parmetros de configuracin del de cuentas, un atacante puede intentar adivinar
de usuario despus de ms de seis sistema para verificar que los parmetros de autenticacin se continuamente una contrasea a travs de
intentos. encuentren configurados de manera que se solicite que se herramientas manuales o automatizadas (por
bloquee la cuenta del usuario despus de realizar, como ejemplo, el craqueo de contraseas), hasta lograr
mximo, seis intentos de inicio de sesin no vlidos. su objetivo y obtener acceso a la cuenta de un
usuario.
8.1.6.b Procedimientos de pruebas adicionales para los
proveedores de servicios: Revise los procesos internos y la Nota: Se aclar que el Procedimiento de prueba
documentacin del cliente/usuario y observe los procesos 8.1.6.b solo aplica si la entidad que se evala es un
implementados a fin de verificar que las cuentas de usuarios proveedor de servicios.
no consumidores se bloqueen de forma temporal despus de
realizar, como mximo, seis intentos no vlidos de acceso.
8.1.7 Establezca la duracin del 8.1.7 En el caso de una muestra de componentes del sistema, Si se bloquea una cuenta debido a que una persona
bloqueo a un mnimo de 30 minutos o inspeccione los parmetros de configuracin del sistema para ha estado intentando adivinar una contrasea de
hasta que el administrador habilite la verificar que los parmetros de las contraseas se encuentren manera insistente, los controles para retrasar la
ID del usuario. configurados de manera que solicite que, al bloquear la cuenta reactivacin de estas cuentas bloqueadas evitan
de un usuario, esta permanezca bloqueada un mnimo de que la persona malintencionada siga adivinando la
30 minutos o hasta que el administrador del sistema la contrasea (tendr que detenerse durante un
restablezca. mnimo de 30 minutos hasta que se reactive la
contrasea). Adems, si es necesario solicitar la
reactivacin, el administrador o la mesa de ayuda
pueden validar que es el propietario de la cuenta
quien solicita la reactivacin.
8.1.8 Si alguna sesin estuvo inactiva 8.1.8 En el caso de una muestra de componentes del sistema, Cuando los usuarios se alejan de una mquina
durante ms de 15 minutos, solicite al inspeccione los parmetros de configuracin del sistema para abierta que tiene acceso a componentes crticos del
usuario que vuelva a escribir la verificar que las funciones de tiempo mximo de inactividad sistema o a los datos del titular de la tarjeta, es
contrasea para activar la terminal o la del sistema/sesin se encuentren establecidos en 15 minutos posible que otras personas utilicen la mquina
sesin nuevamente. o menos. durante la ausencia del usuario, lo que generara el
acceso no autorizado a la cuenta o un uso indebido.
La reautenticacin se puede aplicar en el nivel de
sistema para proteger todas las sesiones que estn
en ejecucin en la mquina o en el nivel de la
aplicacin.
8.2 Adems de asignar una ID exclusiva, 8.2 Para verificar que los usuarios se autentiquen con una ID Estos mtodos de autenticacin, cuando se usan
asegrese de que haya una correcta exclusiva y una autenticacin adicional (por ejemplo, una adems de las ID exclusivas, ayudan a impedir que
administracin de autenticacin de contrasea/frase) para acceder a los datos del titular de la las ID de los usuarios corran riesgos, ya que quien
usuarios para usuarios no consumidores tarjeta, realice lo siguiente: intenta poner en peligro la cuenta necesita saber la
y administradores en todos los ID exclusiva y la contrasea (u otro elemento de
Revise la documentacin que describe los mtodos de
componentes del sistema y que se use, autenticacin utilizados. autenticacin). Tenga en cuenta que un certificado
al menos, uno de los siguientes mtodos digital es una opcin vlida para algo que el
Para cada tipo de mtodo de autenticacin utilizado y para
para autenticar todos los usuarios: usuario tenga siempre que sea exclusivo para ese
cada tipo de componente del sistema, observe una
usuario en particular.
Algo que el usuario sepa, como una autenticacin para verificar que funcione de forma
contrasea o frase de seguridad coherente con los mtodos de autenticacin documentado. Uno de los primeros pasos que realizar una
Algo que el usuario tenga, como un persona malintencionada para poner en riesgo un
dispositivo token o una tarjeta sistema es aprovechar las contraseas dbiles o no
inteligente existentes; por eso, es importante implementar
Algo que el usuario sea, como un buenos procesos para la administracin de la
rasgo biomtrico. autenticacin.
8.2.1 Deje ilegibles todas las 8.2.1.a Evale la documentacin del proveedor y los Muchos de los dispositivos y aplicaciones de la red
credenciales de autenticacin (como parmetros de configuracin del sistema para verificar que las transmiten contraseas legibles y sin cifrar a travs
contraseas/frases) durante la contraseas se protegen durante la transmisin y el de la red o almacenan contraseas sin cifrado. Una
transmisin y el almacenamiento en almacenamiento mediante una criptografa slida. persona malintencionada puede interceptar,
todos los componentes del sistema fcilmente, contraseas no cifradas durante la
mediante una criptografa slida. 8.2.1.b En el caso de una muestra de componentes del transmisin utilizando un sniffer, o puede acceder
sistema, revise los archivos de las contraseas para verificar directamente a las contraseas no cifradas en los
que sean ilegibles durante el almacenamiento. archivos en que estn almacenadas y utilizar estos
8.2.1.c En el caso de una muestra de los componentes del datos para obtener acceso no autorizado.
sistema, revise la transmisin de datos para verificar que las Nota: Los procedimientos de pruebas 8.2.1.d y
contraseas sean ilegibles durante la transmisin. 8.2.1.e son procedimientos adicionales que solo se
aplican si la entidad que se est evaluando es un
8.2.1.d Procedimientos de pruebas adicionales para los
proveedores de servicios: Observe los archivos de
contraseas y verifique que las contraseas de los clientes
sean ilegibles durante el almacenamiento.
8.2.1.e Procedimientos de pruebas adicionales solo para

los proveedores de servicios: Observe los archivos de
contraseas y verifique que las contraseas de los clientes
sean ilegibles durante la transmisin.
8.2.2 Verifique la identidad del usuario 8.2.2 Revise los procedimientos de autenticacin para Muchas personas malintencionadas usan la
antes de modificar alguna credencial modificar las credenciales de autenticacin y observe al ingeniera social (por ejemplo, llaman a una mesa
de autenticacin, por ejemplo, personal de seguridad a fin de verificar que, si un usuario de ayuda y se hacen pasar por usuarios legtimos)
restablezca la contrasea, entregue solicita el restablecimiento de una credencial de autenticacin para cambiar la contrasea y poder utilizar una ID
nuevos tokens o genere nuevas por telfono, correo electrnico, Internet u otro mtodo no de usuario. Considere usar una pregunta secreta
claves. personal, la identidad del usuario se verificar antes de que solo el usuario correcto pueda responder para
modificar la credencial de autenticacin. ayudar a los administradores a identificar el usuario
antes de restablecer o modificar las credenciales de
autenticacin.
8.2.3 Las contraseas/frases deben 8.2.3a En el caso de una muestra de los componentes del Las contraseas/frases slidas constituyen la
tener lo siguiente: sistema, inspeccione los parmetros de configuracin del primera lnea de defensa de una red, ya que
sistema para verificar que los parmetros de la contrasea del personas malintencionadas con frecuencia
Una longitud mnima de siete
usuario se encuentren configurados de manera que soliciten, intentarn buscar cuentas sin contraseas o cuyas
caracteres.
al menos, la siguiente solidez o complejidad: contraseas sean dbiles. Si las contraseas son
Combinacin de caracteres cortas o fciles de adivinar, ser relativamente fcil
numricos y alfabticos. Una longitud mnima de siete caracteres.
para una persona malintencionada encontrar estas
De manera alternativa, la Combinacin de caracteres numricos y alfabticos. cuentas dbiles y poner en riesgo una red utilizando
contrasea/frase debe tener una 8.2.3.b Procedimientos de pruebas adicionales para los una ID de usuario vlida.
complejidad y una solidez, al menos, proveedores de servicios: Revise los procesos internos y la Este requisito especifica que las contraseas/frases
equivalente a los parmetros que se documentacin del cliente/usuario para verificar que se solicite deben tener un mnimo de siete caracteres
especifican anteriormente. que las contraseas de usuarios no consumidores cumplan, al numricos y alfabticos. Si no puede alcanzar la
menos, con la siguiente solidez o complejidad: longitud mnima de caracteres debido a limitaciones
Una longitud mnima de siete caracteres. tcnicas, las entidades pueden utilizar parmetros
de solidez equivalente para evaluar sus
Combinacin de caracteres numricos y alfabticos.
alternativas. Para obtener informacin sobre la
variabilidad y la complejidad de la contrasea
(tambin conocida como entropa) para las
contraseas/frases de seguridad de diferentes
formatos, consulte los estndares de la industria
(por ejemplo, la versin actual de NIST SP 800-63.)
8.2.3.b solo aplica si la entidad que se evala es un
8.2.4 Cambie la contrasea/frase de 8.2.4.a En el caso de una muestra de componentes del Las contraseas/frases que se mantienen vigentes
usuario, al menos, cada 90 das. sistema, inspeccione los parmetros de configuracin del durante largos perodos sin cambiarlas
sistema para verificar que los parmetros de las contraseas proporcionan a las personas malintencionadas ms
de usuario se encuentren configurados de manera que se le tiempo para descubrirlas.
solicite al usuario cambiar su contrasea, al menos, cada
90 das.
8.2.4.b solo aplica si la entidad que se evala es un
8.2.4.b Procedimientos de pruebas adicionales solo para proveedor de servicios.
los proveedores de servicios: Revise los procesos internos y
la documentacin del cliente/usuario y verifique lo siguiente:
Las contraseas de usuarios no consumidores se deben
cambiar peridicamente; y
Se debe orientar a los usuarios no consumidores sobre
cundo y en qu situaciones deben cambiar las
contraseas.
8.2.5 No permita que una persona 8.2.5.a Para una muestra de componentes del sistema, Si no se conserva el historial de contraseas, la
enve una contrasea/frase nueva que obtenga e inspeccione los parmetros de configuracin del efectividad del cambio de contraseas es menor,
sea igual a cualquiera de las ltimas sistema para verificar que los parmetros de las contraseas dado que se puede volver a utilizar una contrasea
cuatro contraseas/frases utilizadas. se encuentren configurados para que soliciten que las nuevas anterior una y otra vez. Esta medida de no volver a
contraseas no sean iguales a las ltimas cuatro contraseas utilizar las contraseas durante cierto perodo
utilizadas. reduce la posibilidad de que, en el futuro, se utilicen
contraseas que ya hayan sido descifradas o
8.2.5.b Procedimientos de pruebas adicionales para los forzadas.
proveedores de servicios: Revise los procesos internos y la
documentacin del cliente/usuario para verificar que las Nota: Se aclar que el Procedimiento de prueba
nuevas contraseas de usuarios no consumidores no puedan 8.2.5.b solo aplica si la entidad que se evala es un
ser iguales a las ltimas cuatro contraseas utilizadas proveedor de servicios.
anteriormente.
8.2.6 Configure la primera 8.2.6 Revise los procedimientos de contrasea y observe al Si se usa la misma contrasea para cada usuario
contrasea/frase y las restablecidas en personal de seguridad para verificar que las primeras nuevo, un usuario interno, un exempleado o una
un valor nico para cada usuario y contraseas para nuevos usuarios, y las contraseas persona malintencionada pueden saber o descubrir
cmbiela de inmediato despus del restablecidas para usuarios existentes, se configuren en un fcilmente esta contrasea y usarla para obtener
primer uso. valor nico para cada usuario y se cambien despus del acceso a cuentas.
primer uso.
8.3 Asegure todo el acceso La autenticacin de mltiples factores exige que una
administrativo individual que no sea de persona presente un mnimo de dos formas
consola y todo el acceso remoto al CDE separadas de autenticacin (como se describe en el
mediante la autenticacin de mltiples Requisito 8.2), antes de conceder el acceso.
factores.
La autenticacin de mltiples factores proporciona
la certeza adicional de que la persona que intenta
Nota: La autenticacin de mltiples acceder es quien dice ser. Con la autenticacin de
factores requiere que se utilicen dos de mltiples factores, un atacante tendra que
los tres mtodos de autenticacin comprometer al menos dos mecanismos de
(consulte el Requisito 8.2 para obtener autenticacin diferentes, lo que aumenta la dificultad
una descripcin de los mtodos de de riesgo, y de esa manera reducirlo.
autenticacin). El uso de un mismo
La autenticacin de mltiples factores no se
factor dos veces (por ejemplo, utilizar
requiere, tanto en el nivel de sistema y en el nivel de
dos contraseas individuales) no se
aplicacin para un componente del sistema en
considera una autenticacin de mltiples
particular. La autenticacin de mltiples factores
factores.
puede realizarse, ya sea tras la autenticacin para
la red en particular o para el componente del
sistema.
Los ejemplos de tecnologas de dos factores
incluyen, entre otros, autenticacin remota y
RADIUS (servicio dial-in) con tokens; TACACS
(sistema de control de acceso mediante control del
acceso desde terminales) con tokens y otras
tecnologas que faciliten la autenticacin de
mltiples factores.
8.3.1 Incorporar la autenticacin de 8.3.1.a Revise las configuraciones de la red y/o sistema, segn Este requisito est destinado a aplicarse a todo el
mltiples factores para todo acceso que sea el caso, para verificar que la autenticacin de mltiples personal con acceso administrativo al CDE. Este
no sea de consola en el CDE para el factores se requiere para todo el acceso administrativo que no requisito se aplica solo al personal con acceso
personal con acceso administrativo. es de consola en el CDE. administrativo y solo para el acceso que no sea de
consola para el CDE; no se aplica a las cuentas de
8.3.1.b Observe un grupo de empleados (por ejemplo, usuarios la aplicacin o de los sistemas que realizan
y administradores) que se conectan de manera remota al CDE y funciones automatizadas.
mejor prctica hasta el 31 de enero de verifique que se usen, al menos, dos de los tres mtodos de Si la entidad no utiliza la segmentacin para separar
2018 y, a partir de ese momento, se autenticacin. el CDE del resto de su red, un administrador podra
convertir en requisito. utilizar la autenticacin de mltiples factores, ya sea
al iniciar sesin en la red del CDE o al iniciar sesin
en un sistema.
Si el CDE est segmentado del resto de la red de la
entidad, un administrador tendra que utilizar la
autenticacin de mltiples factores al conectarse a
un sistema de CDE desde una red que no es del
CDE. La autenticacin de mltiples factores puede
ser implementada a nivel de red o a nivel de
sistema/aplicacin; no tiene que ser ambos. Si el
administrador utiliza MFA al iniciar sesin en la red
del CDE, tampoco necesitan utilizar la MFA para
iniciar sesin en un sistema o aplicacin en
particular en el CDE.
8.3.2 Incorpore la autenticacin de 8.3.2.a Revise la configuracin del sistema para los servidores y El objetivo de este requisito es aplicarlo a todo el
mltiples factores para todo acceso sistemas de acceso remoto, y verifique que se exija la personal, incluso usuarios generales,
remoto que se origine desde fuera de la autenticacin de mltiples factores en los siguientes casos: administradores y proveedores (para soporte o
red de la entidad (tanto para usuarios mantenimiento) que tengan acceso remoto a la red,
Todo el acceso remoto por parte del personal, tanto del
como administradores, e incluso para en los casos en que dicho acceso remoto podra
usuario como del administrador, y
todos los terceros involucrados en el otorgar acceso al CDE. Si el acceso remoto se
Acceso remoto de todos los terceros/proveedores (incluye realiza en la red de una entidad que tiene una
soporte o mantenimiento).
el acceso a aplicaciones y componentes del sistema para segmentacin apropiada, de modo tal que los
soporte o mantenimiento). usuarios remotos no pueden acceder al entorno de
datos del titular de la tarjeta ni afectarlo, no es
8.3.2.b Observe una muestra de empleados (por ejemplo,
necesaria la autenticacin de mltiples factores para
usuarios y administradores) que se conectan de manera remota
el acceso remoto a esa red. Sin embargo, la
a la red y verifique que se usen, al menos, dos de los tres
autenticacin de mltiples factores se requiere para
mtodos de autenticacin.
cualquier acceso remoto a redes con acceso al
entorno de datos del titular de la tarjeta, y se
recomienda para todos los accesos remotos a las
redes de una entidad.
8.4 Documente y comunique los 8.4.a Revise los procedimientos y entreviste al personal para Comunicarles a todos los usuarios los
procedimientos y las polticas de verificar que los procedimientos y las polticas de autenticacin procedimientos relacionados con las contraseas y
autenticacin a todos los usuarios, que se distribuyen a todos los usuarios. la autenticacin ayuda a entender y cumplir las
incluye lo siguiente: polticas.
Lineamientos sobre cmo 8.4.b Revise los procedimientos y las polticas de autenticacin Por ejemplo, entre los lineamientos para seleccionar
seleccionar credenciales de que se le entregan a los usuarios y verifique que incluyan lo contraseas slidas, se pueden incluir sugerencias
autenticacin slidas. siguiente: para ayudar al personal a seleccionar contraseas
Lineamientos sobre cmo los Lineamientos sobre cmo seleccionar credenciales de difciles de adivinar y que no tengan palabras del
usuarios deben proteger las autenticacin slidas. diccionario ni informacin del usuario (por ejemplo,
credenciales de autenticacin. Lineamientos sobre cmo los usuarios deben proteger las la ID del usuario, nombre de familiares, fechas de
Instrucciones para no seleccionar credenciales de autenticacin. nacimiento, etc.). Entre los lineamientos para
contraseas utilizadas Instrucciones para los usuarios para que no seleccionen proteger las credenciales de autenticacin, se
anteriormente. contraseas utilizadas anteriormente. puede incluir no escribir las contraseas ni
guardarlas en archivos no seguros y estar atentos a
Instrucciones para cambiar Instrucciones para cambiar contraseas si se sospecha que
contraseas si se sospecha que la personas malintencionadas que intenten hurtar sus
la contrasea corre riesgos.
contrasea corre riesgos. contraseas (por ejemplo, llamar a un empleado y
8.4.c Entreviste a un grupo de usuarios y verifique que conozcan solicitar su contrasea para poder solucionar el
los procedimientos y las polticas de autenticacin. problema).
Instruir a los usuarios para que cambien la
contrasea si existe la posibilidad de que esta deje
de ser segura puede prevenir que usuarios
malintencionados utilicen una contrasea legtima
para obtener acceso no autorizado.
8.5 No use ID ni contraseas de grupo, 8.5.a En el caso de una muestra de los componentes del Si varios usuarios comparten las mismas
compartidas ni genricas, ni otros sistema, revise las listas de ID de usuarios y verifique lo credenciales de autenticacin (por ejemplo, cuenta
mtodos de autenticacin de la siguiente siguiente: de usuario y contrasea), resulta imposible realizar
manera: un seguimiento del acceso al sistema y de las
Las ID de usuario genricas se deben desactivar o eliminar.
actividades de cada persona. Esto, a su vez, evita
Las ID de usuario genricas se deben No existen ID de usuario compartidas para realizar
desactivar o eliminar. que una entidad se responsabilice por las acciones
actividades de administracin del sistema y dems funciones
de una persona o que tenga un inicio de sesin
No existen ID de usuario compartidas crticas.
eficaz, ya que cualquier persona del grupo que
para realizar actividades de Las ID de usuario compartidas y genricas no se utilizan para conozca las credenciales de autenticacin puede
administracin del sistema y dems administrar componentes del sistema.
haber realizado la accin.
funciones crticas.
8.5.b Revise las polticas y los procedimientos de autenticacin
Las ID de usuario compartidas y
y verifique que el uso de ID y/o contraseas u otros mtodos de
genricas no se utilizan para
autenticacin grupales y compartidos estn explcitamente
administrar componentes del sistema.
prohibidos.
8.5.c Entreviste a los administradores del sistema y verifique
que las contraseas de grupo y compartidas u otros mtodos de
autenticacin no se distribuyan, incluso si se solicitan.
8.5.1 Requisitos adicionales solo 8.5.1 Procedimientos de pruebas adicionales solo para los Nota: Este requisito rige solo cuando la entidad
para los proveedores de servicios: proveedores de servicios: Revise las polticas y los evaluada es un proveedor de servicios.
Los proveedores de servicios que procedimientos de autenticacin y entreviste al personal para
tengan acceso a las instalaciones del verificar que se utilicen diferentes credenciales de Para evitar poner riesgo a varios clientes mediante
cliente (por ejemplo, para tareas de autenticacin para acceder a cada cliente. el uso de un solo conjunto de credenciales, los
soporte de los sistemas de POS o de proveedores que tienen cuentas con acceso remoto
los servidores) deben usar una a los entornos de clientes deben utilizar una
credencial de autenticacin exclusiva credencial de autenticacin diferente para cada
(como una contrasea/frase) para cliente.
cada cliente. Las tecnologas, como los mecanismos de dos
Nota: El objetivo de este requisito no es factores, que proporcionan una credencial exclusiva
aplicarlo a los proveedores de servicios para cada conexin (por ejemplo, mediante una
de hosting compartido que acceden a su contrasea de un solo uso) tambin pueden cumplir
propio entorno de hosting, donde se con el objetivo de este requisito.
alojan numerosos entornos de clientes.
8.6 Si se utilizan otros mecanismos de 8.6.a Revise las polticas y los procedimientos de autenticacin Si varias cuentas pueden usar mecanismos de
autenticacin (por ejemplo, tokens de para verificar que los procedimientos que usan mecanismos de autenticacin de usuarios, como tokens, tarjetas
seguridad fsicos o lgicos, tarjetas autenticacin, como tokens de seguridad fsicos, tarjetas inteligentes y certificados, no ser posible identificar
inteligentes, certificados, etc.), el uso de inteligentes y certificados, estn definidos e incluyan lo quin usa el mecanismo de autenticacin. Al tener
estos mecanismos se debe asignar de la siguiente: controles fsicos y lgicos (por ejemplo, un PIN,
siguiente manera: datos biomtricos o una contrasea) para identificar,
Los mecanismos de autenticacin se asignan a una sola
especficamente, al usuario de la cuenta se evita
Los mecanismos de autenticacin se cuenta y no se comparten entre varias.
que usuarios no autorizados accedan usando un
deben asignar a una sola cuenta y Los controles fsicos y lgicos se definen para garantizar
no compartirlos entre varias. mecanismo de autenticacin compartido.
que solo la cuenta deseada usa esos mecanismos para
Se deben implementar controles acceder.
fsicos y lgicos para garantizar que
solo la cuenta deseada usa esos
mecanismos para acceder.
8.6.b Entreviste al personal de seguridad y verifique que se
asignen mecanismos de autenticacin a una sola cuenta y que
no se compartan entre varias.
8.6.c Examine los parmetros de configuracin del sistema y los

controles fsicos, segn corresponda, para verificar que se
implementen controles a fin de garantizar que solo la cuenta
deseada usa esos mecanismos para acceder.
8.7 Se restringen todos los accesos a 8.7.a Revise los parmetros de configuracin de la aplicacin y Sin autenticacin de usuario para obtener acceso a
cualquier base de datos que contenga de la base de datos, y verifique que todos los usuarios estn bases de datos y aplicaciones, se incrementa el
datos del titular de la tarjeta (que incluye autenticados antes de acceder. potencial de acceso no autorizado o
acceso por parte de aplicaciones, malintencionado, el cual no se puede registrar
administradores y todos los otros 8.7.b Revise los parmetros de configuracin de la base de porque el usuario no se someti a un proceso de
usuarios) de la siguiente manera: datos y de la aplicacin para verificar que el acceso de todos los autenticacin y, por lo tanto, el sistema no puede
usuarios, las consultas del usuario y las acciones del usuario reconocerlo. Adems, solo se debe otorgar acceso
Todo acceso, consultas y acciones (por ejemplo, mover, copiar, eliminar) en la base de datos se
de usuario en las bases de datos se a la base de datos a travs de mtodos
realicen nicamente mediante mtodos programticos (por programticos (por ejemplo, a travs de
realizan, nicamente, mediante ejemplo, a travs de procedimientos almacenados).
mtodos programticos. procedimientos almacenados) y no, a travs del
acceso directo a la base de datos por parte de
Solo los administradores de la base 8.7.c Evale los parmetros de control de acceso de la base de
datos y los parmetros de configuracin de la aplicacin de la usuarios finales (a excepcin de los DBA, que
de datos pueden acceder
directamente a las bases de datos o base de datos y verifique que el acceso directo del usuario a la pueden necesitar acceso directo a la base de datos
realizar consultas en estas. base de datos, o las consultas a esta, est limitado a los debido a sus tareas administrativas).
Solo las aplicaciones pueden usar administradores de la base de datos.
las ID de aplicaciones para las
8.7.d Revise los parmetros de control de acceso de la base de
aplicaciones de base de datos (no
datos, los parmetros de configuracin de la aplicacin de la
las pueden usar los usuarios ni otros
procesos que no pertenezcan a la base de datos y las ID de aplicaciones relacionadas para
aplicacin). verificar que solo las aplicaciones pueden usar las ID de la
aplicacin (y no los usuarios u otros procesos).
seguridad y los procedimientos verificar que las polticas de seguridad y los procedimientos polticas de seguridad y los procedimientos
operativos de identificacin y operativos de identificacin y autenticacin cumplen con lo operativos para administrar la identificacin y
autenticacin estn documentados, siguiente: autorizacin.
implementados y que sean de
Estn documentados,
Estn en uso, y
afectadas.
Requisito 9: Restringir el acceso fsico a los datos del titular de la tarjeta.
Cualquier acceso fsico a datos o sistemas que alojen datos de titulares de tarjetas permite el acceso a dispositivos y datos, as como tambin
permite la eliminacin de sistemas o copias en papel, y se debe restringir correctamente. A los fines del Requisito 9, empleados se refiere a
personal de tiempo completo y parcial, personal temporal, y contratistas y consultores que estn fsicamente presentes en las instalaciones de la
entidad. "Visitante se define como proveedor, invitado de algn empleado, personal de servicio o cualquier persona que necesite ingresar a las
instalaciones durante un tiempo no prolongado, generalmente no ms de un da. Medios hace referencia a todos los medios en papel y
electrnicos que contienen datos del titular de la tarjeta.

9.1 Utilice controles de entrada a la 9.1 Verifique la existencia de controles de seguridad fsica para Sin controles de acceso fsico, como sistemas de
empresa apropiados para limitar y cada sala de informtica, centro de datos y otras reas fsicas placas y controles en las puertas, personas no
supervisar el acceso fsico a los con sistemas en el entorno de datos del titular de la tarjeta. autorizadas podran obtener acceso a la
sistemas en el entorno de datos del instalacin para robar, inhabilitar, interrumpir o
Verifique que se controle el acceso con lectores de placas de
titular de la tarjeta. identificacin u otros dispositivos, incluidas placas destruir sistemas crticos y datos del titular de la
autorizadas y llave y candado. tarjeta.
Observe un intento de algn administrador del sistema para Bloquear las ventanas de inicio de sesin de la
iniciar sesin en las consolas de sistemas seleccionados de consola evita que personas no autorizadas
forma aleatoria en un entorno de datos del titular de la tarjeta accedan a informacin confidencial, alteren la
y verifique que estn aseguradas y se impida el uso no configuracin del sistema, introduzcan
autorizado. vulnerabilidades en la red o destruyan registros.
9.1.1 Utilice cmaras de video u otros 9.1.1.a Verifique que las cmaras de video u otros mecanismos Al investigar violaciones fsicas, estos controles
mecanismos de control de acceso (o de control de acceso (o ambos) se usen para supervisar los pueden ayudar a identificar quines y cundo
ambos) para supervisar el acceso puntos de entrada y salida de reas confidenciales. accedieron, fsicamente, a las reas confidenciales
fsico de personas a reas y cundo salieron.
confidenciales. Revise los datos 9.1.1.b Verifique que las cmaras de video u otros mecanismos
de control de acceso (o ambos) estn protegidos contra Los delincuentes que intentan acceder fsicamente
recopilados y correlacinelos con otras a las reas confidenciales, con frecuencia, intentan
entradas. Gurdelos durante al menos alteraciones o desactivaciones.
inhabilitar o sortear los controles de supervisin.
tres meses, a menos que la ley Para evitar que se alteren estos controles, se
estipule lo contrario. deben colocar cmaras de video en un lugar que
Nota: reas confidenciales hace sea inalcanzable y que, al mismo tiempo, detecten
referencia a cualquier centro de datos, acciones de alteracin. De igual manera, se deben
sala de servidores o cualquier rea que supervisar los mecanismos de control de acceso o
aloje sistemas que almacenan procesos o instalar mecanismos de proteccin fsicos para
transmitan datos de titulares de tarjetas. evitar que personas malintencionadas los daen o
No se incluyen las reas pblicas en las deshabiliten.
que se encuentran presentes terminales
de punto de venta, tales como el rea de
cajas en un comercio.
9.1.1.c Verifique que se controlen las cmaras de video u otros Entre los ejemplos de reas confidenciales, se
mecanismos de control de acceso, y que los datos de dichas incluyen las salas de servidores de la base de
cmaras o mecanismos se almacenen, al menos, durante tres datos corporativa, los centros de gestin operativa
meses. en comercios minoristas que almacenan datos del
titular de la tarjeta y las reas de almacenamiento
de grandes cantidades de datos del titular de la
tarjeta. Cada organizacin debe identificar las
reas confidenciales para asegurarse de
implementar los controles de supervisin fsicos
necesarios.
9.1.2 Implemente controles fsicos o 9.1.2 Entreviste al personal responsable y observe las Restringir el acceso a las conexiones de red (o a
lgicos para restringir el acceso a ubicaciones de las conexiones de red de acceso pblico para los puertos de red) impedir que personas
conexiones de red de acceso pblico. verificar que se implementen controles fsicos o lgicos a fin de malintencionadas se conecten a los puertos de red
restringir el acceso a las conexiones de red de acceso pblico. disponibles y accedan a los recursos internos de la
Por ejemplo, las conexiones de red en
red.
reas pblicas y en las que pueden
acceder los visitantes se pueden Independientemente de que usen controles lgicos
inhabilitar y habilitar solo cuando el o fsicos, o ambos, debe haber la cantidad correcta
acceso a la red se autoriza para evitar que una persona o dispositivo que no
explcitamente. De forma alternativa, se est explcitamente autorizado se conecte a la red.
pueden implementar procesos para
asegurarse de que los visitantes estn
acompaados en todo momento en
reas con conexiones de red activas.
9.1.3 Limite el acceso fsico a los 9.1.3 Verifique que se restrinja correctamente el acceso fsico a Sin mecanismos de seguridad para el acceso a
puntos de acceso inalmbricos, los puntos de acceso inalmbricos, gateways, dispositivos componentes y dispositivos inalmbricos, usuarios
gateways, dispositivos manuales, manuales, hardware de redes o comunicaciones y lneas de malintencionados podran utilizar los dispositivos
hardware de redes o comunicaciones y telecomunicaciones. inalmbricos desprovistos de seguridad de una
lneas de telecomunicaciones. organizacin para acceder a los recursos de la red
o, incluso, conectar sus propios dispositivos a la
red inalmbrica a fin de obtener acceso no
autorizado. Adems, proteger el hardware de la
red y las comunicaciones evita que usuarios
malintencionados intercepten el trfico de la red o
que conecten, de manera fsica, sus propios
dispositivos a los recursos de la red con cable.
9.2 Desarrolle procedimientos que 9.2.a Revise los procesos documentados para verificar que los Identificar a los visitantes autorizados de modo que
permitan distinguir, fcilmente, a los procedimientos se definan de manera tal que se pueda realizar se puedan distinguir fcilmente del personal
empleados y a los visitantes, de la una identificacin y distincin entre empleados y visitantes. interno evita que visitantes no autorizados
siguiente manera: obtengan acceso a reas que contienen datos de
Verifique que los procesos incluyan lo siguiente:
titulares de tarjetas.
Identificar empleados o visitantes
Identificar empleados o visitantes nuevos (por ejemplo,
nuevos (por ejemplo, mediante la
mediante la asignacin de placas).
asignacin de placas).
Cambiar los requisitos de acceso.
Cambios en los requisitos de
acceso. Revocar las identificaciones de empleados cesantes y las
identificaciones vencidas de visitantes (p. ej., placas de
Revocar las identificaciones de
identificacin).
empleados cesantes y las
identificaciones vencidas de 9.2.b Observe los procesos para identificar y distinguir entre
visitantes (p. ej., placas de empleados y visitantes, y verifique lo siguiente:
identificacin). Los visitantes estn claramente identificados.
Es fcil distinguir entre empleados y visitantes.
9.2.c Verifique que el acceso al proceso de identificacin (como
el sistema de placas) est limitado solo al personal autorizado.
9.3 Controle el acceso fsico de los 9.3.a En el caso de un grupo de empleados con acceso fsico a Controlar el acceso fsico a un rea confidencial,
empleados a las reas confidenciales de un rea confidencial, entreviste al personal responsable y sirve para garantizar que solo acceder el personal
la siguiente manera: observe las listas de control de acceso para verificar lo siguiente: autorizado que tenga una necesidad empresarial
legtima.
El acceso se debe autorizar y basar El acceso al rea confidencial est autorizado.
en el trabajo de cada persona. La persona necesita acceder para realizar su trabajo. Si un empleado deja de trabajar en la empresa,
El acceso se debe cancelar todos los mecanismos de acceso fsico se deben
9.3.b Observe el acceso del personal a un rea confidencial, para devolver o inhabilitar rpidamente (lo antes
inmediatamente despus de finalizar
verificar que todo el personal tenga autorizacin antes de que posible) para garantizar que el empleado no podr
el trabajo, y todos los mecanismos
accedan. acceder, fsicamente, a un rea confidencial,
de acceso fsico, como claves,
tarjetas de acceso, se deben 9.3.c Seleccione una muestra de empleados que hayan dejado cuando ya no trabaje ms en la empresa.
devolver o desactivar. de trabajar recientemente y revise las listas de control de acceso
para verificar que no tenga acceso fsico a un rea confidencial.
9.4 Implemente procedimientos para 9.4 Verifique que los controles de acceso y las autorizaciones de Los controles de los visitantes son importantes
identificar y autorizar a los visitantes. los visitantes se implementen de la siguiente manera: para reducir la posibilidad de que personas no
Los procedimientos deben incluir lo autorizadas y malintencionadas obtengan acceso a
siguiente: las instalaciones (y, posiblemente, a los datos del
titular de la tarjeta).
9.4.1 Los visitantes reciben 9.4.1.a Observe los procedimientos y entreviste al personal Los controles de los visitantes son tiles para
autorizacin antes de ingresar en las para verificar que los visitantes reciben autorizacin antes de garantizar que estos se identifiquen como
reas de procesamiento o acceder a reas de procesamiento o almacenamiento de los visitantes para que el personal pueda supervisar
almacenamiento de los datos del titular datos del titular de la tarjeta y que estn siempre acompaados. sus actividades; y que su acceso se restrinja solo a
de la tarjeta y estarn acompaados la duracin de su visita legtima.
en todo momento. 9.4.1.b Observe el uso de las placas para visitantes u otro tipo
de identificacin a fin de verificar que las placas de Controlar la devolucin de las placas de visitantes
identificacin fsica no permitan el acceso sin acompaantes a al finalizar la visita evita que personas
reas fsicas donde se procesan o conservan datos del titular malintencionadas usen un pase previamente
de la tarjeta. autorizado para acceder, fsicamente, al edificio
despus de finalizada la visita.
9.4.2 Se identifican los visitantes y se 9.4.2.a Observe las personas dentro de las instalaciones para
Llevar un registro de visitantes que contenga un
les entrega una placa u otro elemento verificar que se usen placas para visitantes u otro tipo de
mnimo de informacin sobre el visitante es
de identificacin con fecha de identificacin, y que los visitantes se puedan distinguir
sencillo y econmico y, adems, ayuda a
vencimiento y que permite diferenciar fcilmente de los empleados que trabajan en la empresa.
identificar el acceso fsico a un edificio o sala y el
claramente entre empleados y
9.4.2.b Verifique que las placas para visitantes y otro tipo de posible acceso a los datos del titular de la tarjeta.
visitantes.
identificacin tengan vencimiento.
9.4.3Los visitantes deben entregar la 9.4.3Observe la salida de los visitantes de las instalaciones
placa o la identificacin antes de salir para verificar que se solicite la entrega de su placa o de otro
de las instalaciones o al momento del tipo de identificacin al partir o al momento del vencimiento.
vencimiento.
9.4.4Se usa un registro de visitantes 9.4.4.a Verifique que se implemente un registro de visitantes
para llevar una pista de auditora fsica para registrar el acceso fsico a las instalaciones, as como
de la actividad de los visitantes en las tambin a las salas de informtica y a los centros de datos
instalaciones, en las salas de donde se almacenan o transmiten los datos del titular de la
informtica y en los centros de datos tarjeta.
donde se almacenan o se transmiten
los datos del titular de la tarjeta. 9.4.4.b Verifique que el registro incluya lo siguiente:
Documente el nombre del visitante, la Nombre del visitante

empresa a la que representa y el Empresa representada
empleado que autoriza el acceso fsico Empleado que autoriza el acceso fsico
en el registro.
9.4.4.c Verifique que el registro se conserve durante, al menos,
Conserve este registro durante tres tres meses.
meses como mnimo, a menos que la
ley estipule lo contrario.
9.5 Proteja fsicamente todos los medios. 9.5 Verifique que los procedimientos para proteger los datos del El objetivo de los controles para el resguardo
titular de la tarjeta incluyan controles para el resguardo seguro de seguro de todos los medios es evitar que personas
todos los medios (entre otros, computadoras, dispositivos no autorizadas accedan a los datos del titular de la
electrnicos extrables, recibos e informes en papel y faxes). tarjeta que se encuentren en cualquier medio. Los
datos de titulares de tarjetas son susceptibles de
revisiones, copias o anlisis no autorizados si no
se protegen mientras estn en medios extrables o
porttiles, si se imprimen o se dejan sobre el
escritorio de alguien.
9.5.1Almacene los medios de copias 9.5.1 Verifique que el lugar de almacenamiento se revise una Si el almacenamiento se realiza en un lugar no
de seguridad en un lugar seguro, vez al ao al menos para determinar que el almacenamiento de seguro, las copias de seguridad que contienen los
preferentemente, en un lugar externo a medios de copia de seguridad sea seguro. datos del titular de la tarjeta se pueden perder,
la empresa, como un centro alternativo hurtar o copiar fcilmente con fines
o para copias de seguridad, o en un malintencionados.
centro de almacenamiento comercial. Revisar el lugar de almacenamiento
Revise la seguridad de dicho lugar una peridicamente le permite a la organizacin
vez al ao como mnimo. abordar los problemas de seguridad identificados
de manera oportuna y minimizar los posibles
riesgos.
9.6Lleve un control estricto de la 9.6 Verifique que exista una poltica para controlar la distribucin Los procedimientos y los procesos ayudan a
distribucin interna o externa de todos de medios y que dicha poltica abarque todos los medios proteger los datos de titulares de tarjetas
los tipos de medios y realice lo siguiente: distribuidos, incluso los que se distribuyen a personas. almacenados en medios que se distribuyen a
usuarios internos y/o externos. Sin dichos
procedimientos, los datos se pueden perder, robar
y utilizarse con fines fraudulentos.
9.6.1 Clasifique los medios para poder 9.6.1 Verifique que todos los medios se hayan clasificado para Es importante que se identifiquen los medios para
determinar la confidencialidad de los poder determinar la confidencialidad de los datos. poder distinguir el estado de clasificacin
datos. fcilmente. Los medios no identificados como
confidenciales no se pueden proteger
correctamente o se pueden perder o hurtar.
Nota: Esto no significa que los medios deban tener
una etiqueta con la inscripcin confidencial; el
objetivo es que la organizacin identifique los
medios que contienen datos confidenciales para
poder protegerlos.
9.6.2 Enve los medios por correo 9.6.2.a Entreviste al personal y revise los registros para verificar Los medios son susceptibles de prdida o hurto si
seguro u otro mtodo de envo que se que todos los medios enviados fuera de la empresa estn se envan a travs de un mtodo al que no se
pueda rastrear con precisin. registrados y se enven por correo seguro u otro mtodo de pueda hacer seguimiento, tal como un correo
envo que se pueda rastrear. postal regular. Usar un servicio de correo seguro
para entregar los medios que contienen datos del
9.6.2.b Seleccione una muestra actual de varios das de titular de la tarjeta les permite a las organizaciones
registros de seguimiento externos de todos los medios y usar su propio servicio de rastreo a fin de llevar un
verifique que se documenten los detalles de seguimiento. inventario y conocer la ubicacin de los envos.
9.6.3 Asegrese de que la gerencia 9.6.3 Seleccione una muestra actual de varios das de registros Sin un proceso firme que garantice que todos los
apruebe todos y cada uno de los de seguimiento externos de todos los medios. Mediante la traslados de medios estn aprobados antes de
medios que se trasladen desde un evaluacin de los registros y las entrevistas al personal retirarlos de las reas seguras, no se podr
rea segura (incluso, cuando se responsable, verifique que se cuente con la debida autorizacin realizar un correcto seguimiento de los medios, ni
distribuyen los medios a personas). de la gerencia cuando sea necesario trasladar los medios protegerlos adecuadamente, y se desconocer su
desde un rea segura (incluso, cuando los medios se ubicacin, lo que puede generar la prdida o robo
distribuyen a personas). de los medios.
9.7 Lleve un control estricto del 9.7Obtenga y revise la poltica para controlar el almacenamiento Sin mtodos de inventario ni controles de
almacenamiento y la accesibilidad de los y el mantenimiento de todos los medios y verifique que la poltica almacenamiento rigurosos, el hurto o la prdida de
medios. requiera inventarios peridicos de medios. medios podra pasar desapercibida durante una
cantidad indefinida de tiempo.
9.7.1 Lleve un registro detallado del 9.7.1 Revise los registros de inventarios de los medios para
inventario de todos los medios y lleve a verificar que se conserven los registros y que se lleven a cabo Si los medios no se incluyen en un inventario, el
cabo inventarios de los medios, al inventarios de medios, al menos, una vez al ao. hurto o prdida de los mismos pudiera pasar
menos, una vez al ao. desapercibida durante un largo perodo de tiempo
o para siempre.
9.8 Destruya los medios cuando ya no 9.8 Revise peridicamente la poltica de destruccin de medios y Si no se realiza un procedimiento para destruir la
sea necesario guardarlos por motivos verifique que abarque todos los medios y que defina requisitos informacin contenida en discos duros, unidades
comerciales o legales de la siguiente para lo siguiente: porttiles, discos de CD/DVD o que se haya
manera: imprimido antes de desecharla, es posible que
Los materiales de copias en papel se deben cortar en tiras,
incinerarse o convertirse en pulpa para tener la certeza de personas malintencionadas recuperen la
que no podrn reconstruirse. informacin a partir de medios desechados, lo que
podra crear una situacin de riesgo para los
Los contenedores de almacenamiento que se usan para los
datos. Por ejemplo, personas malintencionadas
materiales que se destruirn deben estar protegidos.
pueden utilizar una tcnica conocida como
Los datos del titular de la tarjeta en los medios electrnicos
recoleccin urbana, en la que se registran
deben quedar irrecuperables (por ejemplo, a travs de un
contenedores de basura y papeleras de reciclaje
programa con la funcin de borrado seguro segn las normas
para buscar informacin que se pueda utilizar para
aceptadas en la industria para lograr una eliminacin segura
perpetrar un ataque.
o mediante la destruccin fsica de los medios).
Proteger los contenedores de almacenamiento
9.8.1 Corte en tiras, incinere o 9.8.1.a Entreviste al personal y revise los procedimientos para
utilizados para los materiales que se destruirn
convierta en pulpa los materiales de verificar que los materiales de copias en papel se corten en
evita que se capture informacin confidencial
copias en papel para que no se tiras, se incineren o se conviertan en pulpa para tener la certeza
mientras se recolectan los materiales. Por ejemplo,
puedan reconstruir los datos del titular de que no podrn reconstruirse.
los contenedores para los cortes en tiras pueden
de la tarjeta. Proteja los contenedores
9.8.1.b Revise los contenedores de almacenamiento utilizados tener una traba para impedir el acceso a su
de almacenamiento destinados a los
para los materiales que se destruirn y verifique que dichos contenido o impedir el acceso fsico dentro del
materiales que se destruirn.
contenedores estn asegurados. contenedor.
Entre los ejemplos de mtodos para destruir
9.8.2 Controle que los datos del titular 9.8.2 Verifique que los datos del titular de la tarjeta guardados medios electrnicos de manera segura, se
de la tarjeta guardados en medios en dispositivos electrnicos sean irrecuperables (por ejemplo, a incluyen borrado seguro, desmagnetizacin o
electrnicos sean irrecuperables para travs de un programa con la funcin de borrado seguro segn destruccin fsica (como desbastar o triturar discos
que no se puedan reconstruir. las normas aceptadas en la industria para lograr una duros).
eliminacin segura o mediante la destruccin fsica de los
medios).
9.9 Proteja los dispositivos que capturan 9.9 Revise las polticas y los procedimientos documentados para Los delincuentes intentan robar los datos del titular
datos de tarjetas de pago mediante la verificar que se realice lo siguiente: de la tarjeta mediante el hurto o la manipulacin de
interaccin fsica directa con la tarjeta terminales y dispositivos de lectura de tarjetas. Por
Conservar una lista de los dispositivos.
para proporcionar proteccin contra ejemplo, intentan robar dispositivos para aprender
Inspeccionar los dispositivos peridicamente para buscar
alteraciones y sustituciones. cmo ingresar ilcitamente; con frecuencia, intentar
intentos de alteracin o sustitucin.
reemplazar dispositivos legtimos con dispositivos
Nota: Estos requisitos rigen para los Capacitar al personal para que detecten comportamientos fraudulentos que les envan informacin de la
dispositivos de lectura de tarjetas que se sospechosos e informen la alteracin o sustitucin de tarjeta de pago cada vez que se ingresa una
usan en transacciones (es decir, al pasar dispositivos.
tarjeta. Los delincuentes tambin intentan agregar
o deslizar la tarjeta) en los puntos de
componentes de duplicado fuera de los
venta. El objetivo de este requisito no es
dispositivos; estos componentes estn diseados
aplicarlo a los componentes de ingreso
para capturar detalles de la tarjeta de pago,
de claves, como teclados de
incluso, antes de que la tarjeta ingrese en el
computadoras y teclados numricos de
dispositivo. Por ejemplo, agregan un lector de
POS (puntos de ventas).
tarjetas adicional en la parte superior del lector
original, de esta manera, la informacin de la
tarjeta de pago se captura dos veces: una con el
componente del delincuente y otra con el
componente legtimo del dispositivo. De esta
manera, las transacciones se realizarn sin
interrupciones mientras el delincuente duplica la
informacin de la tarjeta de pago durante el
proceso.
Este requisito se recomienda para los
componentes de ingreso de claves manuales,
como los teclados de computadoras y teclados
numricos de POS (puntos de ventas), pero no es
obligatorio.
En el sitio web del PCI SSC, se encuentran
disponibles otras mejores prcticas para prevenir
la duplicacin de datos.
9.9.1 Lleve una lista actualizada de los 9.9.1.a Revise la lista de los dispositivos y verifique que incluya Llevar una lista actualizada de los dispositivos le
dispositivos. La lista debe incluir lo lo siguiente: ayuda a la organizacin a llevar un registro de la
siguiente: supuesta ubicacin de los dispositivos y a
Marca y modelo del dispositivo
identificar, rpidamente, la falta o prdida de un
Marca y modelo del dispositivo Ubicacin del dispositivo (por ejemplo, la direccin de la dispositivo.
Ubicacin del dispositivo (por empresa o de la instalacin donde se encuentra el
ejemplo, la direccin de la dispositivo) Para llevar una lista de los dispositivos, se puede
empresa o de la instalacin donde utilizar un mtodo automtico (por ejemplo, un
Nmero de serie del dispositivo u otro mtodo de
se encuentra el dispositivo) sistema de administracin de dispositivos) o
identificacin nica
manual (por ejemplo, documentarlos en registros
Nmero de serie del dispositivo u
9.9.1.b Seleccione una muestra de dispositivos de la lista y electrnicos o de papel). En el caso de los
otro mtodo de identificacin nica
observe la ubicacin del dispositivo para verificar que la lista dispositivos externos, la ubicacin puede incluir el
sea exacta y est actualizada. nombre del empleado a quien se le asigna el
dispositivo.
9.9.1.c Entreviste al personal para verificar que la lista de
dispositivos se actualice cuando se agreguen, reubiquen,
desactiven, etc., dispositivos.
9.9.2 Inspeccione peridicamente la 9.9.2.a Revise los procedimientos documentados para verificar Inspeccionar los dispositivos regularmente ayuda a
superficie de los dispositivos para que estn definidos para incluir lo siguiente: las organizaciones a detectar con mayor rapidez la
detectar alteraciones (por ejemplo, alteracin o sustitucin de un dispositivo y, por lo
Procedimientos para inspeccionar los dispositivos
incorporacin de componentes de tanto, minimizar el posible impacto del uso de
duplicacin de datos en el dispositivo) Frecuencia de las inspecciones dispositivos fraudulentos.
o sustituciones (por ejemplo, controle 9.9.2.b Entreviste al personal responsable y observe los El tipo de inspeccin depender del dispositivo,
el nmero de serie u otras procesos de inspeccin para verificar lo siguiente: por ejemplo, se pueden usar fotografas de
caractersticas del dispositivo para dispositivos conocidos por su seguridad y
El personal conoce los procedimientos para inspeccionar
verificar que no se haya cambiado por comparar la apariencia actual del dispositivo con la
los dispositivos.
un dispositivo fraudulento). apariencia original para corroborar que no lo hayan
Todos los dispositivos se inspeccionan peridicamente
Nota: Entre los ejemplos de indicios de cambiado. Otra opcin puede ser usar un
para buscar indicios de alteraciones y sustitucin.
que un dispositivo puede haber sido marcador seguro, como un marcador ultravioleta,
alterado o sustituido, se pueden para marcar la superficie y las ranuras del
mencionar accesorios inesperados o dispositivo para poder detectar, fcilmente,
cables conectados al dispositivo, cualquier alteracin o sustitucin. Generalmente,
etiquetas de seguridad faltantes o los delincuentes reemplazan la carcasa externa del
cambiadas, carcasas rotas o con un dispositivo para ocultar la alteracin, y estos
color diferente o cambios en el nmero mtodos ayudan a detectar estas actividades.
de serie u otras marcas externas. Los proveedores de dispositivos tambin pueden
brindar orientacin sobre seguridad y consejos
prcticos para determinar si el dispositivo ha sido
alterado.
La frecuencia de las inspecciones depender de
factores, como la ubicacin del dispositivo y si el
dispositivo est o no bajo supervisin. Por ejemplo,
los dispositivos que el personal de la organizacin
deja en un rea pblica sin supervisin pueden
tener ms inspecciones que los que se encuentran
en reas seguras o que se supervisan cuando el
pblico tiene acceso a ellos. El tipo y la frecuencia
de las inspecciones las determina el comerciante,
segn lo estipulado en el proceso anual de
evaluacin de riesgos.
9.9.3 Capacite al personal para que 9.9.3.a Revise el material de capacitacin para el personal que Generalmente, los delincuentes fingirn ser
detecten indicios de alteracin o trabaja en los puntos de venta para verificar que, en la personal de mantenimiento autorizado para poder
sustitucin en los dispositivos. La capacitacin, se incluya lo siguiente: acceder a los dispositivos de los POS (puntos de
capacitacin debe abarcar lo siguiente: Verificar la identidad de personas externas que dicen ser venta). Siempre se debe realizar una verificacin
personal tcnico o de mantenimiento antes de otorgarles de todas las personas externas que soliciten
Verificar la identidad de personas
autorizacin para acceder y modificar un dispositivo o acceder a dispositivos antes de otorgarles la
externas que dicen ser personal
solucionar algn problema. autorizacin, por ejemplo, corroborar con la
tcnico o de mantenimiento antes
de autorizarlos a acceder y No instalar, cambiar ni devolver dispositivos sin gerencia o llamar por telfono a la empresa de
verificacin. mantenimiento de POS (como el proveedor o
modificar un dispositivo o
Estar atentos a comportamientos sospechosos cerca del adquiriente) para verificar. Muchos delincuentes
solucionar algn problema.
dispositivo (por ejemplo, personas desconocidas que intentarn engaar al personal y se vestirn para
No instalar, cambiar ni devolver la ocasin (por ejemplo, pueden llevar una caja de
dispositivos sin verificacin. intentan desconectar o abrir el dispositivo).
herramientas y usar ropa de trabajo); tambin
Estar atentos a comportamientos Informar al personal correspondiente sobre
pueden tener informacin sobre la ubicacin de los
sospechosos cerca del dispositivo comportamientos sospechosos e indicios de alteracin o
dispositivos; por eso, es importante que el
(por ejemplo, personas sustitucin de dispositivos (por ejemplo, a un gerente o
personal est capacitado para respetar los
encargado de seguridad).
desconocidas que intentan 9.9.3.b Entreviste a un grupo del personal del punto de venta procedimientos en todo momento.
desconectar o abrir el dispositivo). para verificar que hayan recibido capacitacin y que conozcan Otro truco que usan los delincuentes es enviar un
Informar al personal los procedimientos para realizar lo siguiente: sistema de POS nuevo con instrucciones para
correspondiente sobre cambiarlo por el sistema legtimo y enviar el
Verificar la identidad de personas externas que dicen ser
comportamientos sospechosos e sistema legtimo a la direccin especificada. Los
personal tcnico o de mantenimiento antes de otorgarles
indicios de alteracin o sustitucin delincuentes pueden llegar a proporcionar un
autorizacin para acceder y modificar un dispositivo o
de dispositivos (por ejemplo, a un franqueo pago, ya que estn interesados en
solucionar algn problema.
gerente o encargado de obtener estos dispositivos. El personal siempre
seguridad). No instalar, cambiar ni devolver dispositivos sin debe verificar con el gerente o proveedor que el
verificacin. dispositivo sea legtimo y que provenga de una
Estar atentos a comportamientos sospechosos cerca del fuente confiable antes de instalarlo o usarlo en el
dispositivo (por ejemplo, personas desconocidas que negocio.
intentan desconectar o abrir el dispositivo).
Informar al personal correspondiente sobre
comportamientos sospechosos e indicios de alteracin o
sustitucin de dispositivos (por ejemplo, a un gerente o
encargado de seguridad).
9.10 Asegrese de que las polticas de 9.10 Revise la documentacin, entreviste al personal y verifique El personal debe conocer y respetar siempre las
seguridad y los procedimientos que las polticas de seguridad y los procedimientos operativos polticas de seguridad y los procedimientos
operativos para restringir el acceso fsico para restringir el acceso fsico a los datos del titular de la tarjeta operativos para restringir el acceso fsico a los
a los datos del titular de la tarjeta estn cumplan con lo siguiente: datos del titular de la tarjeta y a los sistemas del
documentados, implementados y que CDE (entorno de datos del titular de la tarjeta).
Estn documentados,
sean de conocimiento para todas las
Estn en uso, y
partes afectadas.
Supervisar y evaluar las redes con regularidad
Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
Los mecanismos de registro y la posibilidad de rastrear las actividades del usuario son crticos para la prevencin, deteccin o minimizacin del
impacto de los riesgos de datos. La presencia de los registros en todos los entornos permite el rastreo, alertas y anlisis cuando algo no funciona
bien. Determinar la causa de un riesgo es muy difcil, si no imposible, sin los registros de la actividad del sistema.

10.1 Implemente pistas de auditora para 10.1 Verifique, mediante la observacin y entrevistas al Es indispensable disponer de un proceso o
vincular todo acceso a componentes del administrador del sistema, que se realice lo siguiente: sistema que vincule el acceso del usuario a los
sistema con usuarios especficos. componentes del sistema a los que tuvieron
Las pistas de auditora deben estar habilitadas y activas para
los componentes del sistema. acceso. El sistema genera registros de auditora y
proporciona la capacidad de rastrear actividades
El acceso a los componentes del sistema debe estar
sospechosas hasta un usuario especfico.
vinculado a usuarios especficos.
10.2 Implemente pistas de auditora 10.2 Entreviste al personal responsable, observe los registros de La generacin de pistas de auditora de
automticas en todos los componentes auditora, revise la configuracin de los registros de auditora y actividades sospechosas alerta al administrador
del sistema a fin de reconstruir los realice lo siguiente: del sistema, enva datos a otros mecanismos de
siguientes eventos: supervisin (como los sistemas de deteccin de
intrusos) y proporciona una pista del historial para
hacer seguimiento post-incidente. El registro de
los siguientes eventos le permite a una
organizacin identificar y rastrear actividades
posiblemente malintencionadas.
10.2.1 Todo acceso por parte de 10.2.1 Verifique que se registre todo acceso de los usuarios a los Los individuos malintencionados podran tener
usuarios a los datos del titular de la datos del titular de la tarjeta. conocimiento sobre el uso de una cuenta de
tarjeta. usuario con acceso a sistemas del CDE (entorno
de datos del titular de la tarjeta) o podran crear
una cuenta nueva, no autorizada, para obtener
acceso a los datos de los titulares de tarjetas. Un
registro de todos los accesos individuales a los
datos de los titulares de tarjetas puede identificar
las cuentas que estn en riesgo o que han sido
mal utilizadas.
10.2.2 Todas las acciones realizadas 10.2.2 Verifique que se registren todas las acciones que realizan Las cuentas que tienen privilegios aumentados,
por personas con privilegios de raz o personas con privilegios administrativos o de raz. como la cuenta administrador o raz, tienen el
administrativos potencial de afectar de manera relevante la
seguridad o funcionalidad operacional de un
sistema. Sin un registro de las actividades
realizadas, la organizacin no puede rastrear los
problemas que surjan por errores administrativos
o por el uso fraudulento de privilegios hasta
encontrar la accin y persona especficas.
10.2.3 Acceso a todas las pistas de 10.2.3 Verifique que se registre el acceso a todas las pistas de Con frecuencia, las personas malintencionadas
auditora auditora. intentan modificar los registros de auditora para
ocultar sus acciones, por lo que llevar un registro
de acceso le permite a una organizacin realizar
un seguimiento de cualquier discrepancia o
posible alteracin de los registros de una cuenta
individual. Tener acceso a los registros que
identifican cambios, incorporaciones y
eliminaciones puede ayudar a rastrear los pasos
realizados por personal no autorizado.
10.2.4Intentos de acceso lgico no 10.2.4Verifique que se registren los intentos de acceso lgico no Los individuos maliciosos frecuentemente
vlidos vlidos. realizarn mltiples intentos de acceso a los
sistemas que sean su objetivo. Numerosos
intentos de inicio de sesin no vlidos pueden ser
indicios de que un usuario no autorizado intenta
utilizar fuerza bruta o adivinar una contrasea.
10.2.5 Uso y cambios de los 10.2.5.a Verifique que se registre el uso de los mecanismos de Sin conocer quin tena una sesin activa al
mecanismos de identificacin y identificacin y autenticacin. momento de un incidente, es imposible identificar
autenticacin, incluidos, entre otros, la qu cuentas puedan haber sido utilizadas.
creacin de nuevas cuentas y el 10.2.5.b Verifique que se registre todo aumento de privilegios. Adicionalmente, los usuarios maliciosos pueden
aumento de privilegios, y de todos los intentar manipular los controles de autenticacin
cambios, incorporaciones y 10.2.5.c Verifique que se registren todos los cambios, con el propsito de evitarlos o de suplantar la
eliminaciones de las cuentas con incorporaciones y eliminaciones de cualquier cuenta con identidad de una cuenta vlida.
privilegios administrativos o de raz. privilegios administrativos o de raz.
10.2.6 Inicializacin, detencin o pausa 10.2.6 Verifique que se registre lo siguiente: Desactivar los registros de auditora (o pausarlos)
de los registros de auditora antes de que se realicen actividades ilcitas es
Inicializacin de los registros de auditora.
una prctica comn de los usuarios
Detencin o pausa de los registros de auditora. malintencionados que desean evitar ser
detectados. La inicializacin de registros de
auditora podra indicar que la funcin del registro
fue inhabilitada por un usuario para ocultar sus
acciones.
10.2.7Creacin y eliminacin de 10.2.7Verifique que estn registradas la creacin y la eliminacin El software malicioso, tal como el malware, a
objetos en el nivel del sistema de objetos en el nivel del sistema. menudo crea o reemplaza objetos en el nivel de
sistema en el sistema objetivo para controlar una
funcin u operacin particular en ese sistema. Si
se registran los objetos en el nivel de sistema,
como tablas de bases de datos o procedimientos
almacenados, cuando se crean o se eliminan,
ser ms fcil determinar si dichas modificaciones
fueron autorizadas.
10.3Registre, al menos, las siguientes 10.3 Mediante entrevistas y la observacin de los registros de Mediante el registro de estos detalles para los
entradas de pistas de auditora de los auditora, realice lo siguiente para cada evento auditable (del punto eventos auditables que contiene el punto 10.2, es
componentes del sistema para cada 10.2): posible identificar rpidamente un riesgo potencial
evento: y, con suficiente detalle conocer quin, qu,
dnde, cundo y cmo.
10.3.1 Identificacin de usuarios 10.3.1 Verifique que la identificacin de usuario se incluya en las
entradas del registro.
10.3.2 Tipo de evento 10.3.2 Verifique que el tipo de evento se incluya en las entradas
del registro.
10.3.3 Fecha y hora 10.3.3 Verifique que el sello de fecha y hora se incluya en las
10.3.4 Indicacin de xito o fallo 10.3.4 Verifique que la indicacin de xito o fallo se incluya en
las entradas del registro.
10.3.5 Origen del evento 10.3.5 Verifique que el origen del evento se incluya en las
10.3.6 Identidad o nombre de los 10.3.6 Verifique que la identidad o el nombre de los datos, de los
datos, componentes del sistema o componentes del sistema o de los recursos afectados se
recursos afectados. incluyan en las entradas del registro.
10.4 Utilizando tecnologa de 10.4 Revise las normas de configuracin y los procesos para La tecnologa de sincronizacin de tiempo se
sincronizacin, sincronice todos tiempos verificar que la tecnologa de sincronizacin se implemente y utiliza para sincronizar los relojes de mltiples
y relojes crticos y asegrese de que lo mantenga actualizada, segn los Requisitos 6.1 y 6.2 de las PCI sistemas. Cuando los relojes no estn
siguiente sea implementado para DSS. sincronizados correctamente, puede ser difcil, si
adquirir, distribuir y almacenar tiempos. no imposible, comparar archivos de registro de
diferentes sistemas y establecer una secuencia
Nota: Un ejemplo de tecnologa de
de eventos exacta (indispensable para el anlisis
sincronizacin es el NTP (protocolo de
forense en el caso de una falla de seguridad).
tiempo de red).
Para los equipos de investigaciones forenses
10.4.1 Los sistemas crticos tienen un 10.4.1.a Revise el proceso para adquirir, distribuir y guardar el posteriores al incidente, la exactitud y la
horario uniforme y correcto. horario correcto en la organizacin para verificar lo siguiente: uniformidad del tiempo en todos los sistemas y el
tiempo de cada actividad resulta fundamental
Solo los servidores de horario central designados deben para determinar el grado en el que los sistemas
recibir seales de tiempo de fuentes externas, y las seales estuvieron en riesgo.
de tiempo de fuentes externas se deben basar en la hora
atmica internacional o UTC.
Si hubiera ms de un servidor de horario designado, estos
se emparejan para mantener la hora exacta.
Los sistemas reciben informacin horaria solo de los
servidores de horario central designados.
10.4.1.b Observe la configuracin de los parmetros del sistema

relacionados con la hora para obtener una muestra de los
componentes del sistema y verificar lo siguiente:
Solo los servidores de horario central designados deben
recibir seales de tiempo de fuentes externas, y las seales
de tiempo de fuentes externas se deben basar en la hora
atmica internacional o UTC.
Si hubiera ms de un servidor de horario designado, estos
se emparejan para mantener la hora exacta.
Los sistemas reciben informacin horaria solo de los
servidores de horario central designados.
10.4.2 Los datos de tiempo estn 10.4.2.a Revise la configuracin del sistema y los parmetros de
protegidos. configuracin de sincronizacin para verificar que el acceso a los
datos de la hora est limitado solo al personal que tenga una
necesidad comercial para acceder a los datos de la hora.
10.4.2.b Revise la configuracin del sistema, los registros y
parmetros de configuracin de sincronizacin y los procesos
para verificar que todos los cambios en la configuracin de la
hora en los sistemas crticos se registren, supervisen y revisen.
10.4.3 Los parmetros de la hora se 10.4.3 Revise la configuracin del sistema para verificar que los
reciben de fuentes aceptadas por la servidores de horario acepten actualizaciones de hora de fuentes
industria. externas especficas aceptadas por la industria (para evitar que
personas malintencionadas cambien el reloj). De forma opcional,
se pueden cifrar estas actualizaciones con una clave simtrica, y
se pueden crear listas de control de acceso que especifiquen las
direcciones IP de equipos cliente a los que se proporcionarn las
actualizaciones de tiempo (para evitar el uso no autorizado de
servidores de hora internos).
10.5Proteja las pistas de auditora para 10.5Entreviste a los administradores del sistema y revise los A menudo, los individuos malintencionados que
que no se puedan modificar. permisos y la configuracin del sistema para verificar que las han ingresado a la red intentarn editar los
pistas de auditora sean seguras y que no se puedan modificar de registros de auditora para ocultar su actividad.
la siguiente manera: Sin la proteccin adecuada de los registros de
auditora, su integridad y exactitud no se pueden
garantizar y los registros de auditora se pueden
considerar intiles como herramienta de
investigacin despus de una situacin de riesgo.
10.5.1Limite la visualizacin de las 10.5.1Solo aquellas personas que lo necesiten por motivos Una proteccin adecuada de los registros de
pistas de auditora a quienes lo laborales pueden visualizar los archivos de las pistas de auditora incluye el control de acceso slido
necesiten por motivos laborales. auditora. (limitar el acceso a los registros solo a quienes
necesitan saber) y el uso de segregacin fsica
10.5.2 Proteja los archivos de las 10.5.2 Verifique que los archivos actuales de las pistas de o de red para que sea ms difcil encontrar y
pistas de auditora contra auditora estn protegidos contra modificaciones no autorizadas modificar el registro.
modificaciones no autorizadas. a travs de mecanismos de control de acceso y la segregacin
fsica o de redes. Realizar, rpidamente, una copia de seguridad de
los registros en medios o servidores de registros
10.5.3 Realice copias de seguridad de 10.5.3Se realiza, oportunamente, una copia de seguridad de los centralizados que sean difciles de alterar protege
los archivos de las pistas de auditora archivos actuales de las pistas de auditora en medios o los registros, incluso si el sistema que genera los
de manera oportuna en medios o servidores de registros centralizados que son difciles de registros est en riesgo.
servidores de registros centralizados modificar.
que sean difciles de modificar.
10.5.4 Elabore registros para 10.5.4Los registros para tecnologas externas (por ejemplo, Mediante la creacin de registros de tecnologas
tecnologas externas en un dispositivo tecnologas inalmbricas, firewalls, DNS, correo) se copian en externas, como tecnologas inalmbricas,
de medios o un servidor de registros medios o servidores de registros centralizados, internos y firewalls, DNS y servidores de correo, el riesgo de
interno, seguro y centralizado. seguros. que dichos registros se pierdan o modifiquen es
menor, ya que estn ms seguros en la red
interna.
Los registros se pueden crear directamente en el
medio o sistema interno seguro, o se pueden
descargar o copiar desde sistemas externos.
10.5.5Utilice el software de supervisin 10.5.5 Revise la configuracin del sistema, los archivos Los sistemas de supervisin de integridad de
de integridad de archivos o de monitoreados y los resultados de las actividades de supervisin archivos o de deteccin de cambios verifican los
deteccin de cambios en registros para para corroborar el uso del software de supervisin de integridad cambios realizados en los archivos crticos y
asegurarse de que los datos de los de archivos o de deteccin de cambios en los registros. notifican se detectan cuando dichos cambios.
registros existentes no se puedan Para efectos de supervisin de la integridad de
cambiar sin que se generen alertas archivos, una entidad generalmente supervisa los
(aunque el hecho de agregar nuevos archivos que no cambian regularmente pero
datos no deba generar una alerta). cuando cambian indican un riesgo potencial.
10.6 Revise los registros y los eventos 10.6 Realice lo siguiente: Muchas violaciones a la seguridad ocurren varios
de seguridad en todos los componentes das o meses antes de ser detectadas. Las
del sistema para identificar anomalas o revisiones regulares de registros realizadas con
actividades sospechosas. medios automticos o por el personal sirven para
identificar y abordar de manera proactiva el
Nota: Para cumplir con este requisito, se
acceso no autorizado al entorno de datos del
pueden usar herramientas de
titular de la tarjeta.
recoleccin, anlisis y alerta de registros.
El proceso de revisin del registro no debe ser
manual. Usar herramientas de recoleccin,
anlisis y alerta de registros facilita el proceso, ya
que identifican cules son los eventos de
registros que se deben revisar.
10.6.1 Revise las siguientes opciones, 10.6.1.a Revise las polticas y los procedimientos de seguridad La verificacin de los registros diariamente
al menos, una vez al da: para verificar que los procedimientos se definen para revisar lo minimiza la cantidad de tiempo y exposicin a una
siguiente, al menos, una vez al da, ya sea manualmente o con violacin potencial de seguridad.
Todos los eventos de seguridad.
herramientas de registro: Para identificar posibles problemas, es
Registros de todos los
componentes del sistema que Todos los eventos de seguridad. indispensable llevar a cabo una revisin diaria de
almacenan, procesan o transmiten Registros de todos los componentes del sistema que los eventos de seguridad, por ejemplo,
CHD y/o SAD almacenan, procesan o transmiten CHD y/o SAD notificaciones o alertas que identifican actividades
Registros de todos los Registros de todos los componentes crticos del sistema. sospechosas o poco comunes, como de los
componentes crticos del sistema. Registros de todos los servidores y componentes del sistema registros de los componentes crticos del sistema,
Registros de todos los servidores y que realizan funciones de seguridad (por ejemplo, firewalls, de los registros de sistemas que realizan
componentes del sistema que IDS/IPS [sistemas de intrusin-deteccin y sistemas de funciones de seguridad, como firewalls, IDS/IPS
realizan funciones de seguridad intrusin-prevencin], servidores de autenticacin, servidores (sistemas de intrusin-deteccin y sistemas de
(por ejemplo, firewalls, IDS/IPS de redireccionamiento de comercio electrnico, etc.). intrusin-prevencin), sistemas FIM (de
[sistemas de intrusin-deteccin y supervisin de integridad de archivos), etc. Tenga
10.6.1.b Observe los procesos y entreviste al personal para en cuenta que la determinacin de evento de
sistemas de intrusin-prevencin],
verificar que los siguientes puntos se controlen, al menos, una seguridad vara de una organizacin a otra y
servidores de autenticacin,
vez al da: puede incluir el tipo de tecnologa, el lugar y la
servidores de redireccionamiento
de comercio electrnico, etc.). Todos los eventos de seguridad. funcin del dispositivo. Es posible que las
organizaciones deseen tener una referencia de
Registros de todos los componentes del sistema que
trfico normal para identificar conductas
almacenan, procesan o transmiten CHD y/o SAD
irregulares.
Registros de todos los componentes crticos del sistema.
Registros de todos los servidores y componentes del sistema
que realizan funciones de seguridad (por ejemplo, firewalls,
IDS/IPS [sistemas de intrusin-deteccin y sistemas de
intrusin-prevencin], servidores de autenticacin, servidores
de redireccionamiento de comercio electrnico, etc.).
10.6.2 Revise los registros de todos los 10.6.2.a Revise las polticas y los procedimientos de seguridad Los registros de todos los dems componentes
dems componentes del sistema para verificar que estn definidos para realizar una revisin del sistema tambin se deben revisar
peridicamente, de conformidad con la peridica de los registros de todos los dems componentes del peridicamente para identificar indicios de
poltica y la estrategia de gestin de sistema, ya sea de forma manual o con herramientas de posibles problemas o intentos de acceder a
riesgos de la organizacin y segn lo registros, segn la poltica y estrategia de gestin de riesgos de sistemas confidenciales a travs de sistemas
especificado en la evaluacin anual de la organizacin. menos confidenciales. La frecuencia de las
riesgos de la organizacin. revisiones se determina de acuerdo con la
10.6.2.b Revise la documentacin de evaluacin de riesgos de la evaluacin anual de riesgos de la entidad.
organizacin y entreviste al personal para verificar que las
revisiones se realicen en conformidad con las polticas y la
estrategia de gestin de riesgos de la organizacin.
10.6.3 Realice un seguimiento de las 10.6.3.a Revise las polticas y los procedimientos de seguridad Si no se investigan las excepciones y anomalas
excepciones y anomalas detectadas para verificar que los procesos se definen para realizar un detectadas en el proceso de revisin de registros,
en el proceso de revisin. seguimiento de las excepciones y anomalas detectadas en el es posible que la entidad no tenga conocimiento
proceso de revisin. de las actividades no autorizadas y posiblemente
malintencionadas presentes en su propia red.
10.6.3.b Observe los procesos y entreviste al personal para
verificar que se realice un seguimiento de las excepciones y
anomalas.
10.7 Conserve el historial de pistas de 10.7.a Revise las polticas y los procedimientos de seguridad y La retencin de registros por lo menos un ao
auditoras durante, al menos, un ao, verifique que definan lo siguiente: permite conservar informacin importante si se
con un mnimo de disponibilidad para tiene en cuenta que a menudo toma cierto tiempo
Polticas de retencin de registros de auditora
anlisis de tres meses (por ejemplo, en detectar que ha ocurrido una situacin de riesgo y
Procedimientos para conservar los registros de auditora
lnea, archivados o recuperables para la permite a los investigadores disponer de historial
durante, al menos, un ao, con un mnimo de disponibilidad
realizacin de copias de seguridad). de registro suficiente para determinar mejor la
en lnea de tres meses.
duracin de una violacin potencial a la seguridad
10.7.b Entreviste al personal y revise los registros de auditora y los sistemas que hayan sido potencialmente
para verificar que estn disponible durante, al menos, un ao. afectados. Al tener tres meses de registros
disponibles de manera inmediata, una entidad
10.7.c Entreviste al personal y observe los procesos para verificar
puede identificar y minimizar rpidamente el
que se puedan recuperar, al menos, los registros de los ltimos
impacto de una violacin de seguridad de los
tres meses para analizarlos.
datos. Almacenar los registros en lugares
externos evita que estn directamente
disponibles; esto genera una demora al momento
de recuperar datos de registros, realizar anlisis e
identificar sistemas o datos afectados.
10.8 Requisitos adicionales solo para los 10.8.a Revise las polticas y los procedimientos documentados Nota: Este requisito rige solo cuando la entidad
proveedores de servicios: Implementar para verificar que estn definidos los procesos de deteccin evaluada es un proveedor de servicios.
un proceso para la deteccin oportuna y oportuna y presentacin de informes de las fallas de los sistemas
la presentacin de informes de fallas de crticos de control de seguridad, que incluyan entre otros fallas por: Sin procesos formales para la deteccin y alerta
los sistemas crticos de control de cuando fallan los controles de seguridad crticos,
Firewalls las fallas pueden pasar desapercibidas durante
seguridad, incluido pero no limitado a la
IDS/IPS perodos prolongados y proporcionar a los
falla de:
FIM atacantes tiempo suficiente para poner en riesgo
Firewalls
Antivirus a los sistemas y robar datos sensibles del entorno
IDS/IPS
Controles de acceso fsicos de los datos del titular de la tarjeta.
FIM
Controles de acceso lgico Los tipos especficos de fallas pueden variar
Antivirus
Mecanismos de registro de auditora dependiendo de la funcin del dispositivo y la
Controles de acceso fsicos tecnologa en uso. Las fallas tpicas incluyen a un
Controles de segmentacin (si se utilizan)
Controles de acceso lgico sistema que deja de realizar su funcin de
Mecanismos de registro de 10.8.b Revise los procesos de deteccin y de alerta y entreviste al seguridad o que no funciona como debe ser; por
auditora personal para verificar que los procesos se implementan para ejemplo, un firewall que borra todas sus reglas o
Controles de segmentacin (si se todos los controles de seguridad crticos, y que la falla de un que sale fuera de lnea.
utilizan) control de seguridad crticos da lugar a la generacin de una
alerta.
10.8.1 Requisitos adicionales solo 10.8.1.a Revise las polticas y procedimientos documentados y
entreviste al personal para verificar que los procesos estn Nota: Este requisito rige solo cuando la entidad
para los proveedores de servicios: evaluada es un proveedor de servicios.
definidos e implementados para responder a una falla del control
Responder a las fallas de los controles
de seguridad, e incluya: Si no se responde a las alertas de las fallas
de seguridad crticos en el momento
oportuno. Los procesos para responder Restaurar las funciones de seguridad crticas del control de seguridad de manera rpida
en caso de fallas en el control de Identificar y documentar la duracin (fecha y hora de inicio a y efectiva, los atacantes pueden utilizar este
seguridad son los siguientes: fin) de la falla de seguridad tiempo para insertar software malicioso, tomar
Identificar y documentar las causas de la falla, incluida la control de un sistema, o robar datos del entorno
Restaurar las funciones de de la entidad.
causa raz, y documentar la remediacin requerida para
seguridad
abordar la causa raz La evidencia documentada (por ejemplo, registros
Identificar y documentar la duracin
Identificar y abordar cualquier problema de seguridad que dentro de un sistema de gestin de problemas)
(fecha y hora de inicio a fin) de la
surja durante la falla. deber apoyar que los procesos y procedimientos
falla de seguridad
Realizar una evaluacin de riesgos para determinar si se estn implementados para responder a las fallas
Identificar y documentar las causas
requieren ms acciones como resultado de la falla de de seguridad. Adems, el personal deber ser
de la falla, incluida la causa raz,
seguridad consciente de sus responsabilidades en el caso
y documentar la remediacin
requerida para abordar la Implementar controles para prevenir que se vuelva a producir de una falla. Las medidas y las respuestas a la
causa raz la causa de la falla falla debern ser capturadas en la evidencia
Reanudar la supervisin de los controles de seguridad documentada.
Identificar y abordar cualquier 10.8.1.b Revise los registros para verificar que se documentan las
problema de seguridad que surja fallas del control de seguridad para incluir:
durante la falla del control de Identificacin de las causas de la falla, incluida la causa raz
seguridad. Duracin (fecha y hora de inicio y fin) de la falla de seguridad
Realizar una evaluacin de riesgos Detalles de la remediacin necesaria para abordar la
para determinar si se requieren causa raz
ms acciones como resultado de la
falla de seguridad
Implementar controles para
prevenir que se vuelva a producir la
causa de la falla
Reanudar la supervisin de los
controles de seguridad

10.9 Asegrese de que las polticas de 10.9 Revise la documentacin, entreviste al personal y verifique El personal debe conocer y respetar siempre las
seguridad y los procedimientos que las polticas de seguridad y los procedimientos operativos para polticas de seguridad y los procedimientos
operativos para monitorear todos los monitorear todos los accesos a los recursos de la red y a los datos operativos diarios para monitorear todo acceso a
accesos a los recursos de la red y a los del titular de la tarjeta cumplan con lo siguiente: los recursos de la red y a los datos del titular de la
datos del titular de la tarjeta estn tarjeta.
Estn documentados,
documentados, implementados y que
Estn en uso, y
sean de conocimiento para todas las
partes afectadas. Sean de conocimiento para todas las partes afectadas.
Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad.
Las vulnerabilidades son descubiertas continuamente por personas malintencionadas e investigadores y son introducidas mediante software
nuevo. Los componentes, procesos y software personalizado del sistema se deben probar con frecuencia para garantizar que los controles de
seguridad continen reflejando un entorno dinmico.
11.1 Implemente procesos para determinar 11.1.a Revise las polticas y los procedimientos para verificar La implementacin o el uso indebido de tecnologa
la presencia de puntos de acceso que los procesos estn definidos para detectar e identificar, inalmbrica dentro de una red es uno de los
inalmbrico (802.11), detecte e identifique, trimestralmente, puntos de acceso inalmbricos autorizados y medios ms comunes que usan las personas
trimestralmente, todos los puntos de no autorizados. malintencionadas para acceder a la red y a los
acceso inalmbricos autorizados y no datos del titular de la tarjeta. Si un dispositivo
autorizados. 11.1.b Verifique que la metodologa sea la adecuada para inalmbrico o una red inalmbrica se instala sin el
detectar e identificar cualquier punto de acceso inalmbrico conocimiento de la empresa, un atacante podra
Nota: Los mtodos que se pueden utilizar
no autorizado, que incluya, al menos, lo siguiente: ingresar fcilmente y sin ser vista a la red. Los
en este proceso incluyen, entre otros,
dispositivos inalmbricos no autorizados se
anlisis de redes inalmbricas, Tarjetas WLAN insertadas en los componentes del
pueden ocultar en una computadora o en otro
inspecciones lgicas/fsicas de los sistema
componente del sistema, o conectarlos a estos;
componentes y de la infraestructura del Dispositivos porttiles o mviles conectados a los tambin se pueden conectar directamente a un
sistema, NAC (control de acceso a la red) o componentes del sistema para crear puntos de acceso puerto o dispositivo de red, como un interruptor o
IDS/IPS (sistemas de intrusin-deteccin y inalmbricos (por ejemplo, mediante USB, etc.). router. Cualquier dispositivo no autorizado podra
sistemas de intrusin-prevencin)
Dispositivos inalmbricos conectados a un puerto o a un generar un punto de acceso no autorizado en el
inalmbricos.
dispositivo de red. entorno.
Independientemente de los mtodos
Conocer cules son los dispositivos inalmbricos
utilizados, deben ser suficientes para 11.1.c Si se realiza un anlisis inalmbrico, revise el autorizados ayuda a los administradores a
detectar e identificar tanto los dispositivos resultado de los ltimos anlisis inalmbricos para verificar lo identificar, rpidamente, los dispositivos no
no autorizados como los autorizados. siguiente: autorizados; y actuar ante la identificacin de
Se identifican los puntos de acceso inalmbricos puntos de acceso inalmbricos no autorizados
autorizados y no autorizados. ayuda a minimizar de manera proactiva la
El anlisis se realiza, al menos, trimestralmente en todos exposicin del CDE (entorno de datos del titular de
los componentes del sistema y en todas las instalaciones. la tarjeta) a personas malintencionadas.
Debido a la facilidad con la que un punto de
11.1.d Si se utiliza la supervisin automatizada (por ejemplo, acceso inalmbrico puede conectarse a una red, la
IDS/IPS [sistemas de intrusin-deteccin y sistemas de dificultad para detectar su presencia y el gran
intrusin-prevencin] inalmbricos, NAC [control de acceso a riesgo que presentan los dispositivos inalmbricos
la red], etc.), verifique que la configuracin genere alertas no autorizados, estos anlisis deben realizarse
para notificar al personal. incluso cuando existe una poltica que prohbe el
uso de tecnologa inalmbrica.
El tamao y la complejidad de un entorno
particular determinar las herramientas y los
procesos apropiados que se utilizarn para
proporcionar suficiente seguridad de que no se ha
instalado un punto de acceso inalmbrico
peligroso en el entorno.
11.1.1 Lleve un inventario de los puntos 11.1.1 Revise los registros documentados para verificar que Por ejemplo: En caso de un quiosco minorista
de acceso inalmbricos autorizados que se conserve un inventario de los puntos de acceso independiente en un centro comercial, donde
incluyan una justificacin comercial inalmbricos autorizados y que se documente una todos los componentes de comunicacin se
documentada. justificacin comercial para todos los puntos de acceso encuentran en envolturas a prueba de
inalmbricos autorizados. manipulaciones, realizar una inspeccin fsica
detallada del quiosco en s puede bastar para
11.1.2 Implemente procedimientos de 11.1.2.a Revise el plan de respuesta a incidentes de la asegurarse de que no se haya conectado o
respuesta a incidentes en caso de que se organizacin (Requisito 12.10) para verificar que defina y instalado un punto de acceso inalmbrico
detecten puntos de acceso inalmbricos solicite una respuesta en caso de detectar puntos de peligroso. Sin embargo, en un entorno con
no autorizados. acceso inalmbricos no autorizados. numerosos nodos (como en el caso de grandes
tiendas minoristas, centros de llamadas, salas de
11.1.2.b Entreviste al personal responsable e inspeccione servidores o centros de datos), es ms difcil
los anlisis inalmbricos recientes y las respuestas realizar una inspeccin fsica minuciosa. En este
correspondientes para verificar que se tomen medidas caso, se pueden combinar mltiples mtodos para
cuando se encuentren puntos de acceso inalmbricos no cumplir con el requisito, como realizar
autorizados. inspecciones del sistema fsico en conjunto con los
resultados de un analizado inalmbrico.
11.2 Realice anlisis internos y externos de 11.2 Revise los informes de anlisis y la documentacin de Un anlisis de vulnerabilidades es una
las vulnerabilidades de la red, al menos, respaldo para verificar que se realicen anlisis de las combinacin de herramientas, tcnicas y/o
trimestralmente y despus de cada cambio vulnerabilidades internas y externas de la siguiente manera: mtodos manuales o automticos que se ejecuta
significativo en la red (como por ejemplo, la en servidores y dispositivos de red internos y
instalacin de nuevos componentes del externos, y est diseado para exponer posibles
sistema, cambios en la topologa de la red, vulnerabilidades que pueden encontrar y
modificaciones en las normas de firewall, aprovechar personas malintencionadas.
actualizaciones de productos). Existen tres tipos de anlisis de vulnerabilidades
Nota: Se pueden combinar varios informes que disponen las PCI DSS:
de anlisis para el proceso de anlisis
Anlisis trimestral de vulnerabilidades internas
trimestral a fin de demostrar que se
realizado por personal calificado (no es
analizaron todos los sistemas y que se
necesario usar un ASV [proveedor aprobado
abordaron todas las vulnerabilidades. Es
de escaneo] certificado por el PCI SSC).
posible que se solicite documentacin
adicional para verificar que las Anlisis trimestral de vulnerabilidades
vulnerabilidades no resueltas estn en externas realizado por un ASV (proveedor
proceso de resolverse. aprobado de escaneo).
Anlisis externo e interno, segn sea
Para el cumplimiento inicial de las PCI
necesario, despus de cambios significativos.
DSS, no es necesario tener cuatro anlisis
trimestrales aprobados si el asesor verifica Despus de identificar estas debilidades, la
que 1) el resultado del ltimo anlisis fue entidad las corrige y repite el anlisis hasta
aprobado, 2) la entidad ha documentado corregir todas las vulnerabilidades.
las polticas y los procedimientos que La identificacin y el tratamiento de
disponen la realizacin de anlisis vulnerabilidades oportunamente reducen la
trimestrales y 3) las vulnerabilidades probabilidad de explotacin de una vulnerabilidad
detectadas en los resultados del anlisis se y la posible exposicin a riesgo de un componente
han corregido tal como se muestra en el del sistema o de datos de titulares de tarjetas.
nuevo anlisis. En los aos posteriores a la
revisin inicial de las PCI DSS, debe haber
cuatro anlisis trimestrales aprobados.
11.2.1 Realice anlisis interno de 11.2.1.a Revise los informes de anlisis y verifique que se Un proceso establecido para identificar
vulnerabilidades trimestralmente. Aborde hayan realizado cuatro anlisis trimestrales internos en los vulnerabilidades en sistemas internos requiere que
las vulnerabilidades y realice ltimos 12 meses. los anlisis de vulnerabilidades se realicen
redigitalizaciones para verificar que todas trimestralmente. Las vulnerabilidades que suponen
las vulnerabilidades de "alto riesgo" se 11.2.1.b Revise los informes de los anlisis y verifique que el mayor riesgo para el entorno (por ejemplo, las
resuelven de acuerdo con la clasificacin el proceso incluya la repeticin de los anlisis hasta que se clasificadas como altas segn el Requisito 6.1)
de la vulnerabilidad de la entidad (segn corrijan todas las vulnerabilidades de alto riesgo, segn son las que tienen ms prioridad para corregirse.
el Requisito 6.1). Los anlisis deben las disposiciones del Requisito 6.1 de las PCI DSS. Los anlisis de vulnerabilidades internas pueden
estar a cargo de personal calificado. estar a cargo de personal interno calificado que
11.2.1.c Entreviste al personal para verificar que el anlisis sea razonablemente independiente de los
lo haya realizado un recurso interno calificado o personal componentes del sistema analizados (por ejemplo,
externo capacitado, y si corresponde, que la persona que un administrador de firewall no puede analizar el
realice la prueba sea independiente de la empresa (no es firewall), o una entidad puede elegir que una
necesario que sea un QSA o ASV). empresa especializada en anlisis realice los
anlisis de vulnerabilidades internas.
11.2.2 Los anlisis trimestrales de 11.2.2.a Revise los resultados de los ltimos cuatro anlisis Debido a que las redes externas son la mayor
vulnerabilidades externas deben estar a trimestrales de vulnerabilidades externas y verifique que se probabilidad de riesgo, el anlisis externo de
cargo de un ASV (proveedor aprobado hayan realizado cuatro anlisis trimestrales de vulnerabilidades trimestral debe ser realizado por
de escaneo) que est certificado por el vulnerabilidades externas en los ltimos 12 meses. un Proveedor aprobado de anlisis (ASV) de las
PCI SSC (PCI Security Standards PCI SSC.
Council). Vuelva a realizar los anlisis Un programa de deteccin robusta garantiza que
11.2.2.b Revise los resultados de cada anlisis trimestral y
cuantas veces sea necesario hasta que las detecciones se realizan y que las
repita los anlisis para verificar que se hayan cumplido los
todos los anlisis estn aprobados. vulnerabilidades se abordan de manera oportuna.
requisitos de la Gua del programa de ASV (proveedor
Nota: Los anlisis trimestrales de aprobado de escaneo) para obtener un anlisis aprobado
vulnerabilidades externas debe realizarlos (por ejemplo, que no haya vulnerabilidades con una
un Proveedor aprobado de anlisis (ASV) puntuacin CVSS de 4.0 o superior y que no haya fallas
certificado por el Consejo de Normas de automticas).
Seguridad de la Industria de Tarjetas de
Pago (PCI SSC). 11.2.2.c Revise los informes de anlisis para verificar que
Consulte la Gua del programa de ASV los haya realizado un ASV (proveedor aprobado de
(proveedor aprobado de escaneo) escaneo) que est certificado por el PCI SSC.
publicada en el sitio web del PCI SSC para
obtener informacin sobre las
responsabilidades de anlisis del cliente,
sobre la preparacin del anlisis, etc.
11.2.3 Lleve a cabo anlisis internos y 11.2.3.a Inspeccione y coteje la documentacin del control La determinacin de qu constituye un cambio
externos, y reptalos, segn sea de cambios y los informes de anlisis para verificar que se significativo depende totalmente de la
necesario, despus de realizar un cambio hayan analizado los componentes del sistema que hayan configuracin de cada entorno. Si una
significativo. Los anlisis deben estar a tenido cambios significativos. actualizacin o modificacin llegara a permitir el
cargo de personal calificado. acceso a los datos del titular de la tarjeta o afectar
11.2.3.b Revise los informes de los anlisis y verifique que la seguridad del entorno de datos del titular de la
el proceso de anlisis incluye la repeticin de los anlisis tarjeta, se la puede considerar un cambio
hasta que: significativo.
No se hayan registrado vulnerabilidades con Analizar un entorno despus de realizar cambios
puntuaciones CSVV de 4.0 o superior en anlisis significativos asegura que esos cambios se
externos. realizaron apropiadamente de tal manera que la
seguridad del entorno no se haya puesto en riesgo
Se hayan corregido todas las vulnerabilidades de alto
como resultado del cambio. Se deben analizar
riesgo, segn lo estipulado en el Requisito 6.1 de las
todos los componentes del sistema afectados por
PCI DSS, en los anlisis internos.
el cambio.
11.2.3.c Verifique que el anlisis lo haya realizado un

recurso interno calificado o personal externo capacitado, y
si corresponde, que la persona que realiza la prueba sea
independiente de la empresa (no es necesario que sea un
QSA o ASV).
11.3 Implemente una metodologa para las 11.3 Revise la metodologa de pruebas de penetracin y El objetivo de una prueba de penetracin es
pruebas de penetracin que incluya lo entreviste al personal responsable para verificar que se simular una situacin de ataque real con el fin de
siguiente: implemente la metodologa e incluya lo siguiente: identificar qu tan lejos podra llegar el atacante al
penetrar un entorno. Esto le permite a la entidad
Est basada en los enfoques de Est basada en los enfoques de pruebas de penetracin
comprender mejor su posible exposicin y
pruebas de penetracin aceptados por aceptados por la industria (por ejemplo, NIST SP800-
desarrollar una estrategia para protegerse contra
la industria (por ejemplo, NIST SP800- 115).
los ataques.
115). Incluya cobertura de todo el permetro del CDE (entorno
Incluya cobertura de todo el permetro de datos del titular de la tarjeta) y de los sistemas crticos. Una prueba de penetracin difiere de un anlisis
del CDE (entorno de datos del titular de vulnerabilidades; ya que es un proceso activo
Incluya pruebas del entorno interno y externo de la red.
de la tarjeta) y de los sistemas crticos. que puede incluir aprovechar las vulnerabilidades
Incluya pruebas para validar cualquier segmentacin y identificadas. Uno de los primeros pasos que
Incluya pruebas del entorno interno y controles de reduccin del alcance. tomar quien realiza la prueba de penetracin es
externo de la red.
Defina las pruebas de penetracin de la capa de la llevar a cabo un anlisis de vulnerabilidades a fin
Incluya pruebas para validar cualquier aplicacin para que incluyan, al menos, las de organizar una estrategia de pruebas, aunque
segmentacin y controles de reduccin vulnerabilidades enumeradas en el Requisito 6.5. no ser el nico paso. Incluso si un anlisis de
del alcance. vulnerabilidades no detecta vulnerabilidades
Defina las pruebas de penetracin de la capa de la red
Defina las pruebas de penetracin de para que incluyan los componentes que admiten las conocidas, con frecuencia, el encargado de la
la capa de la aplicacin para que funciones de red y los sistemas operativos. prueba de penetracin adquiere los conocimientos
incluyan, al menos, las Incluya la revisin y evaluacin de las amenazas y necesarios sobre el sistema para identificar
vulnerabilidades enumeradas en el vulnerabilidades ocurridas en los ltimos 12 meses. posibles deficiencias en la seguridad.
Requisito 6.5.
Especifique la retencin de los resultados de las pruebas La prueba de penetracin suele ser un proceso
Defina las pruebas de penetracin de de penetracin y los resultados de las actividades de sumamente manual. Si bien se pueden utilizar
la capa de la red para que incluyan los correccin. algunas herramientas automatizadas, el
componentes que admiten las encargado de la prueba utilizar sus
funciones de red y los sistemas conocimientos sobre sistemas para penetrar en un
operativos. entorno. Comnmente, el encargado de la prueba
Incluya la revisin y evaluacin de las encadena varios tipos de ataques con el objetivo
amenazas y vulnerabilidades ocurridas de penetrar a travs de capas de defensas. Por
en los ltimos 12 meses. ejemplo, si el encargado de la prueba encuentra
un medio para obtener acceso a un servidor de
Especifique la retencin de los
aplicaciones, entonces usarn el servidor en
resultados de las pruebas de
riesgo como punto para escenificar un nuevo
penetracin y los resultados de las
ataque basndose en los recursos a los que el
actividades de correccin.
servidor tiene acceso. De esta manera, el
encargado de la prueba puede simular los
mtodos implementados por un atacante con el fin
de identificar reas posiblemente dbiles en el
entorno.
Las tcnicas de las pruebas de penetracin son
diferentes en cada organizacin, y el tipo, la
profundidad y la complejidad de las pruebas
dependern del entorno especfico y de la
evaluacin de riesgos de la organizacin.
11.3.1 Lleve a cabo pruebas de 11.3.1.a Revise el alcance del trabajo y los resultados de la Llevar a cabo pruebas de penetracin
penetracin externas, al menos, una vez ltima prueba de penetracin externa para verificar que se regularmente y despus de implementar cambios
al ao y despus de implementar una realice de la siguiente manera: significativos en el entorno es una medida de
actualizacin o modificacin significativa Segn la metodologa definida. seguridad preventiva que ayuda a minimizar el
en las infraestructuras o aplicaciones posible acceso al CDE (entorno de datos del titular
Por lo menos, anualmente
(como por ejemplo, actualizar el sistema de la tarjeta) por parte de personas
operativo, agregar una subred o un Despus de cualquier cambio significativo en el malintencionadas.
servidor web al entorno). entorno.
11.3.1.b Verifique que la prueba la haya realizado un La determinacin de qu constituye una

recurso interno calificado o un empleado externo actualizacin o modificacin significativa depende
capacitado, y si corresponde, que la persona que realiza la totalmente de la configuracin de cada entorno. Si
prueba sea independiente de la empresa (no es necesario una actualizacin o modificacin llegara a permitir
que sea un QSA o ASV). el acceso a los datos del titular de la tarjeta o
afectar la seguridad del entorno de datos del titular
11.3.2 Lleve a cabo pruebas de 11.3.2.a Revise el alcance del trabajo y los resultados de la de la tarjeta, se la puede considerar un cambio
penetracin internas, al menos, una vez ltima prueba de penetracin interna para verificar que se significativo. Llevar a cabo pruebas de penetracin
al ao y despus de implementar una realice de la siguiente manera: despus de una actualizacin o modificacin en la
actualizacin o modificacin significativa Segn la metodologa definida. red garantiza que los controles existentes seguirn
en las infraestructuras o aplicaciones funcionando correctamente despus de
Por lo menos, anualmente
(como por ejemplo, actualizar el sistema implementar la actualizacin o modificacin.
operativo, agregar una subred o un Despus de cualquier cambio significativo en el
servidor web al entorno). entorno.
11.3.2.b Verifique que la prueba la haya realizado un

recurso interno calificado o un empleado externo
capacitado, y si corresponde, que la persona que realiza la
prueba sea independiente de la empresa (no es necesario
que sea un QSA o ASV).
11.3.3 Las vulnerabilidades de seguridad 11.3.3 Revise los resultados de las pruebas de penetracin
detectadas en las pruebas de para verificar que se hayan corregido las vulnerabilidades
penetracin se corrigen, y las pruebas se de seguridad detectadas y que la repeticin de las pruebas
repiten para verificar las correcciones. confirme que las vulnerabilidades se corrigieron.
11.3.4 Si se usa la segmentacin para 11.3.4.a Revise los controles de segmentacin y revise la Las pruebas de penetracin son una herramienta
aislar el CDE (entorno de datos del titular metodologa de las pruebas de penetracin para verificar importante que sirve para confirmar la eficacia de
de la tarjeta) de otras redes, realice que los procedimientos estn definidos para comprobar las segmentaciones implementadas para aislar el
pruebas de penetracin, al menos, una todos los mtodos de segmentacin y confirmar que son CDE (entorno de datos del titular de la tarjeta) de
vez al ao y despus de implementar operativos y eficaces, y que, adems, aslan todos los otras redes. Las pruebas de penetracin se deben
cambios en los mtodos o controles de sistemas fuera de alcance de los sistemas en el CDE. centrar en los controles de segmentacin, tanto de
t i ifi l l d t d l tid d d l i t
11.3.4.b Examinar los resultados de la prueba de

penetracin ms reciente para verificar que:
La prueba de penetracin para verificar los controles de
segmentacin se realiza, al menos, una vez al ao y
despus de cualquier cambio en los controles o
mtodos de segmentacin.
La prueba de penetracin abarca todos los controles o
mtodos de segmentacin implementados.
La prueba de penetracin verifica que los mtodos de
segmentacin sean operativos y eficaces, y que aslan
todos los sistemas fuera de alcance de los sistemas
dentro del CDE.
11.3.4.c Verifique que la prueba la haya realizado un

recurso interno capacitado o un empleado externo
cualificado, y si corresponde, que la persona que realiza la
11.3.4.1 Requisitos adicionales solo 11.3.4.1.a Revise los resultados de la prueba de
penetracin ms reciente para verificar que: Nota: Este requisito rige solo cuando la entidad
para los proveedores de servicios: Si
evaluada es un proveedor de servicios.
se utiliza la segmentacin, confirme el La prueba de penetracin se realiza para verificar los
alcance de la PCI DSS al realizar pruebas controles de segmentacin por lo menos cada seis Para los proveedores de servicios, la validacin
de penetracin en los controles de meses y despus de cualquier cambio a los del alcance de la PCI DSS deber llevarse a cabo
segmentacin al menos cada seis meses, controles/mtodos de segmentacin. con tanta frecuencia como sea posible para
y despus de cualquier cambio a los La prueba de penetracin abarca todos los controles o garantizar que el alcance de la PCI DSS se
controles/mtodos de segmentacin. mtodos de segmentacin implementados. mantenga actualizado y alineado con los objetivos
comerciales cambiantes.
Nota: Este requisito se considerar la La prueba de penetracin verifica que los mtodos de
mejor prctica hasta el 31 de enero de segmentacin sean operativos y eficaces, y que aslan
2018 y, a partir de ese momento, se todos los sistemas fuera de alcance de los sistemas
convertir en requisito. dentro del CDE.
11.3.4.1.b Verifique que la prueba la haya realizado un

recurso interno capacitado o un empleado externo
cualificado, y si corresponde, que la persona que realiza la
11.4 Use tcnicas de intrusin-deteccin y 11.4.a Revise la configuracin del sistema y los diagramas de Las tcnicas de intrusin-deteccin y de intrusin-
de intrusin-prevencin para detectar o red para verificar que se implementen tcnicas (como los prevencin (como las IDS/IPS [sistemas de
prevenir intrusiones en la red. Monitoree sistemas de intrusin-deteccin y de intrusin-prevencin) intrusin-deteccin y sistemas de intrusin-
todo el trfico presente en el permetro del para monitorear todo el trfico en los siguientes lugares: prevencin]) comparan el trfico que proviene de
entorno de datos del titular de la tarjeta y la red con firmas conocidas o conductas de miles
En el permetro del entorno de datos del titular de la
en los puntos crticos del entorno de datos de tipos de exposiciones (herramientas de
tarjeta.
del titular de la tarjeta, y alerte al personal hackers, troyanos y otros software maliciosos) y
ante la sospecha de riesgos. En los puntos crticos del entorno de datos del titular de envan alertas o detienen el intento cuando ocurre.
la tarjeta. Sin un enfoque proactivo que detecte las
Mantenga actualizados todos los motores
de intrusin-deteccin y de prevencin, las actividades no autorizadas, los ataques a recursos
11.4.b Revise la configuracin del sistema y entreviste al
bases y firmas. informticos (o el uso indebido) pueden pasar
personal responsable para confirmar que las tcnicas de
inadvertidos en tiempo real. Las alertas de
intrusin-deteccin y de intrusin-prevencin alerten al
seguridad que generan estas tcnicas se deben
personal de posibles riesgos.
monitorear para poder detener los intentos de
intrusiones.
11.4.c Revise la configuracin de las IDS/IPS (sistemas de
intrusin-deteccin y sistemas de intrusin-prevencin) y la
documentacin del proveedor para verificar que las tcnicas
de intrusin-deteccin y de intrusin-prevencin se
configuren, conserven y actualicen segn las instrucciones
del proveedor para garantizar una proteccin ptima.
11.5 Implemente un mecanismo de 11.5.a Verifique que se implemente el uso de un mecanismo Las soluciones de deteccin de cambios, como la
deteccin de cambios (por ejemplo, de deteccin de cambios mediante la observacin de la FIM (supervisin de integridad de archivos),
herramientas de supervisin de integridad configuracin del sistema y los archivos monitoreados, as verifican los cambios, adiciones y eliminaciones en
de archivos) para alertar al personal sobre como la revisin de los resultados de las actividades de los archivos crticos y notifican cuando detectan
modificaciones (incluyendo cambios, supervisin. dichos cambios. Si la solucin de deteccin de
adiciones y eliminaciones) no autorizadas Ejemplos de archivos que se deben supervisar: cambios no se implementa correctamente y no se
de archivos crticos del sistema, de controlan sus resultados, una persona
Ejecutables del sistema
archivos de configuracin o de contenido, y malintencionada podra alterar, aadir o eliminar el
configure el software para realizar Ejecutables de aplicaciones contenido de los archivos de configuracin, los
comparaciones de archivos crticos, al Archivos de configuracin y parmetros programas del sistema operativo o los ejecutables
menos, una vez por semana. Archivos de almacenamiento central, histricos o de la aplicacin. Si no se detectan los cambios no
archivados, de registro y auditora autorizados, es posible que los controles de
Archivos crticos adicionales que determine la entidad seguridad existentes se tornen ineficientes o que
Nota: A los fines de la deteccin de (por ejemplo, a travs de la evaluacin de riesgos u se produzca el robo de los datos del titular de la
cambios, generalmente, los archivos otros medios) tarjeta sin un impacto perceptible en el
crticos son aquellos que no se modifican procesamiento normal.
con regularidad, pero cuya modificacin
podra implicar un riesgo o peligro para el 11.5.b Verifique que el mecanismo est configurado para
sistema. Generalmente, los mecanismos alertar al personal sobre modificaciones (incluyendo cambios,
de deteccin de cambios, como los adiciones y eliminaciones) no autorizadas de archivos
productos de supervisin de integridad de crticos, y para realizar comparaciones de archivos crticos, al
archivos, vienen preconfigurados con menos, semanalmente.
archivos crticos para el sistema operativo
relacionado. La entidad (es decir el
comerciante o el proveedor de servicios)
debe evaluar y definir otros archivos
crticos, tales como los archivos para
aplicaciones personalizadas.
11.5.1 Implemente un proceso para 11.5.1 Entreviste al personal para verificar que todas las
responder a las alertas que genera la alertas se investiguen y resuelvan.
solucin de deteccin de cambios.
seguridad y los procedimientos operativos verificar que las polticas de seguridad y los procedimientos polticas de seguridad y los procedimientos
para monitorear y comprobar la seguridad operativos para monitorear y comprobar la seguridad operativos para monitorear y comprobar la
estn documentados, implementados y que cumplen con lo siguiente: seguridad.
sean de conocimiento para todas las partes
Estn documentados,
afectadas.
Estn en uso, y
Mantener una poltica de seguridad de informacin
Requisito 12: Mantenga una poltica que aborde la seguridad de la informacin para todo el personal.
Una poltica de seguridad slida establece el grado de seguridad para toda la entidad e informa al personal lo que se espera de ellos. Todo el
personal debe estar al tanto de la confidencialidad de los datos y de su responsabilidad para protegerlos. A los fines del Requisito 12, el trmino
personal hace referencia a los empleados de tiempo completo y parcial, a los empleados temporales, a los contratistas y consultores que
residen en las instalaciones de la entidad o que tienen acceso al entorno de datos del titular de la tarjeta.

12.1 Establezca, publique, mantenga y 12.1 Examine la poltica de seguridad de la informacin y La poltica de seguridad de la informacin de
distribuya una poltica de seguridad. verifique que la poltica se publique y se distribuya a los una empresa crea un plan de accin para
usuarios del sistema que corresponda (incluidos implementar medidas de seguridad para
proveedores, contratistas y socios de negocios). proteger su activo ms valioso. Todo el
personal debe estar al tanto de la
confidencialidad de los datos y de su
responsabilidad para protegerlos.
12.1.1 Revise la poltica de seguridad, al 12.1.1 Verifique que la poltica de seguridad de la Las amenazas a la seguridad y los mtodos
menos, una vez al ao y actualcela cuando informacin se revise, al menos, una vez al ao y se de proteccin evolucionan rpidamente. Si la
se realicen cambios en el entorno. actualice cuando sea necesario, de manera que refleje los poltica de seguridad no se actualiza para
cambios en los objetivos del negocio o en el entorno de reflejar estos cambios importantes, no se
riesgos. implementarn nuevas medidas de proteccin
para luchar contra estas amenazas.
12.2 Implemente un proceso de evaluacin de 12.2.a Verifique que se documenta un proceso anual de Una evaluacin de riesgos le permite a la
riesgos que cumpla con lo siguiente: evaluacin de riesgos que: organizacin identificar las amenazas y las
vulnerabilidades asociadas que pueden tener
Se realiza, al menos, una vez al ao y Identifica activos crticos, amenazas y vulnerabilidades.
un impacto negativo en el negocio. Ejemplos
despus de implementar cambios Resultados en un anlisis formal y documentado de
significativos en el entorno (por ejemplo, de diferentes consideraciones de riesgo
riesgo
adquisiciones, fusiones o reubicaciones, incluyen a los delitos informticos, los ataques
etc.). 12.2.b Revise la documentacin de la evaluacin de riesgos web, y el malware de POS. Los recursos se
para verificar que el proceso de evaluacin de riesgos se pueden asignar de forma efectiva a fin de
Identifica activos crticos, amenazas y
ejecute, al menos, una vez al ao y despus de cambios implementar controles que reduzcan la
vulnerabilidades.
significativos en el entorno. probabilidad o el posible impacto de la
Los resultados en un anlisis formal y
amenaza detectada.
documentado de riesgo.
Llevar a cabo evaluaciones de riesgos, al
Los ejemplos de metodologas de evaluacin
menos, anualmente y despus de cambios
de riesgos incluyen, entre otros, OCTAVE, ISO
significativos le permite a la organizacin estar
27005 y NIST SP 800-30.
actualizada en lo que respecta a cambios
organizativos y a las cambiantes amenazas,
tendencias y tecnologas.
12.3 Desarrolle polticas de uso para las 12.3 Revise las polticas de uso de las tecnologas crticas y Las polticas de uso por parte del personal
tecnologas crticas y defina cmo usarlas entreviste al personal responsable para verificar que se pueden prohibir el uso de ciertos dispositivos y
correctamente. implementen las siguientes polticas y de la siguiente otras tecnologas si es la poltica de la
manera: empresa, o proporcionar una gua para el
Nota: Entre los ejemplos de tecnologas
personal a propsito de la utilizacin e
crticas, se incluyen las tecnologas
implementacin correctas. Si las polticas de
inalmbricas y de acceso remoto, las
uso no estn implementadas, el personal
computadoras porttiles, las tabletas, los
puede utilizar las tecnologas para transgredir
dispositivos electrnicos extrables, el uso del
la poltica de la empresa, lo que permitira que
correo electrnico y de Internet.
personas malintencionadas obtengan acceso
Asegrese de que estas polticas de uso a sistemas y datos de titulares de sistemas
requieran lo siguiente: crticos.
12.3.1 Aprobacin explcita de las partes 12.3.1 Verifique que las polticas de uso incluyan procesos Sin una solicitud de aprobacin apropiada
autorizadas para la aprobacin explcita de partes autorizadas para para la implementacin de estas tecnologas,
utilizar las tecnologas. un miembro del personal puede
inocentemente implementar una solucin a
una necesidad de negocio percibida, pero al
mismo tiempo abrir un enorme agujero que
exponga los sistemas y datos crticos a
personas malintencionadas.
12.3.2 Autenticacin para el uso de la 12.3.2 Verifique que las polticas de uso incluyan procesos Si se implementan tecnologas sin la debida
tecnologa que autentiquen el uso de todas las tecnologas con ID de autenticacin (ID de usuarios y contraseas,
usuario y contrasea u otro elemento de autenticacin (por tokens, VPN, etc.), personas malintencionadas
ejemplo, token). pueden fcilmente utilizar estas tecnologas
desprotegidas para acceder a sistemas
crticos y datos de titulares de tarjetas.
12.3.3 Lista de todos los dispositivos y el 12.3.3 Verifique que las polticas de uso definen: Las personas malintencionadas pueden violar
personal que tenga acceso la seguridad fsica y colocar sus propios
Una lista de todos los dispositivos crticos, y
dispositivos en la red como una puerta
Una lista del personal autorizado para utilizar los trasera. El personal tambin puede evadir
dispositivos. procedimientos e instalar dispositivos. Un
inventario fiable con el debido etiquetado de
dispositivos permite identificar rpidamente las
instalaciones no aprobadas.
12.3.4 Mtodo para determinar, con 12.3.4 Verifique que las polticas de uso definan un mtodo Las personas malintencionadas pueden violar
exactitud y rapidez, el propietario, la para determinar, con exactitud y rapidez, el propietario, la la seguridad fsica y colocar sus propios
informacin de contacto y el objetivo (por informacin de contacto y el objetivo (por ejemplo, dispositivos en la red como una puerta
ejemplo, etiquetado, codificacin o inventario etiquetados, codificacin o inventario de dispositivos). trasera. El personal tambin puede evadir
de dispositivos). procedimientos e instalar dispositivos. Un
inventario fiable con el debido etiquetado de
dispositivos permite identificar rpidamente las
instalaciones no aprobadas. Evale la
posibilidad de establecer una convencin
oficial para designar los dispositivos, y registre
todos los dispositivos de acuerdo con los
controles de inventario establecidos. Se debe
emplear un etiquetado lgico que contenga
informacin, como cdigos que correlacionen
el dispositivo con su propietario, informacin
de contrato y objetivo.
12.3.5 Usos aceptables de la tecnologa 12.3.5 Verifique que las polticas de uso definan los usos Al definir el uso dentro del negocio y la
aceptables de la tecnologa. ubicacin aceptables de los dispositivos y la
tecnologa aprobados por la empresa, sta se
12.3.6 Ubicaciones aceptables de las 12.3.6 Verifique que las polticas de uso definan las encuentra en mejor posicin para administrar
tecnologas en la red ubicaciones aceptables de la tecnologa en la red. y controlar brechas de configuraciones y
12.3.7 Lista de productos aprobados por la 12.3.7 Verifique que las polticas de uso incluyan una lista controles operativos, a fin de asegurar que no
empresa de los productos aprobados por la empresa. se abra una puerta trasera para que una
persona malintencionada obtenga acceso a
sistemas crticos y datos de titulares de
tarjetas.
12.3.8 Desconexin automtica de sesiones 12.3.8 Verifique que las polticas de uso requieran la Las tecnologas de acceso remoto son
para tecnologas de acceso remoto despus desconexin automtica de sesiones en las tecnologas de "puertas traseras" frecuentes para recursos
de un perodo especfico de inactividad acceso remoto despus de un perodo especfico de crticos y datos de titulares de tarjetas. Al
inactividad. desconectar las tecnologas de acceso remoto
cuando no se utilizan (por ejemplo, las que
12.3.8.b Revise la configuracin de las tecnologas de usa su proveedor de punto de venta, otros
acceso remoto para verificar que las sesiones de acceso proveedores o socios comerciales para
remoto se desconecten automticamente despus de un respaldar sus sistemas), se minimizan los
perodo especfico de inactividad. riesgos y el acceso a las redes.
12.3.9 Activacin de las tecnologas de 12.3.9 Verifique que las polticas de uso requieran la
acceso remoto para proveedores y socios de activacin de las tecnologas de acceso remoto que usan
negocio slo cuando sea necesario, con los proveedores y socios comerciales solo cuando se
desactivacin inmediata despus de su uso necesiten y que se desactiven automticamente despus
de usarlas.
12.3.10 En el caso del personal que tiene 12.3.10.a Verifique que las polticas de uso prohban Para asegurarse de que todo el personal sepa
acceso a los datos del titular de la tarjeta copiar, mover o almacenar datos del titular de la tarjeta en que no debe almacenar ni copiar datos del
mediante tecnologas de acceso remoto, unidades de disco locales y en dispositivos electrnicos titular de la tarjeta en sus computadoras
prohba copiar, mover y almacenar los datos extrables al acceder a dichos datos a travs de personales locales ni otros medios, la poltica
del titular de la tarjeta en unidades de disco tecnologas de acceso remoto. debe prohibir, claramente, dichas actividades,
locales y en dispositivos electrnicos a excepcin del personal autorizado
extrables, a menos que sea autorizado 12.3.10.b En el caso del personal que cuenta con la explcitamente para hacerlo. El
explcitamente para una necesidad autorizacin correcta, verifique que las polticas de uso almacenamiento o las copias de los datos del
comercial definida. dispongan que los datos del titular de la tarjeta se protejan titular de la tarjeta en unidades de disco local o
de conformidad con los requisitos de las PCI DSS. en otros medios se debe realizar de
Si existe una necesidad comercial
autorizada, las polticas de uso deben conformidad con los requisitos
disponer la proteccin de los datos de correspondientes de las PCI DSS.
conformidad con los requisitos
correspondientes de las PCI DSS.
12.4 Asegrese de que las polticas y los 12.4Verifique que las polticas de seguridad de la Sin la asignacin de roles de seguridad ni
procedimientos de seguridad definan, informacin definan, con claridad, las responsabilidades de responsabilidades claramente definidas,
claramente, las responsabilidades de seguridad de la informacin de todo el personal. podra haber una interaccin que no
seguridad de la informacin de todo el concuerde con el grupo de seguridad, lo que
personal. 12.4.b Entreviste a un grupo de empleados responsables y podra tener como resultado la implementacin
verifique que comprendan las polticas de seguridad. no segura de tecnologas o el uso
desactualizado o no seguro de tecnologas.
12.4.1 Requisitos adicionales solo para 12.4.1.a Revise la documentacin para verificar que la Nota: Este requisito rige solo cuando la
los proveedores de servicios: La gerencia gerencia ejecutiva ha asignado la responsabilidad general entidad evaluada es un proveedor de
ejecutiva deber establecer la de mantener el cumplimiento de la PCI DSS de la entidad. servicios.
responsabilidad de la proteccin de los
datos del titular de la tarjeta y un programa 12.4.1.b Revise el estatuto de la PCI DSS de la empresa La asignacin de la gerencia ejecutiva de las
de cumplimiento de la PCI DSS para incluir: para verificar que se describen las condiciones en las que responsabilidades de cumplimiento de la PCI
se organiza y se comunica a la gerencia ejecutiva el DSS garantiza la visibilidad a nivel ejecutivo
Responsabilidad general de mantener
programa de cumplimiento de la PCI DSS. en el programa de cumplimiento de la PCI
el cumplimiento de la PCI DSS
DSS y permite la oportunidad de hacer
Definir un estatuto para el programa de preguntas adecuadas para determinar la
cumplimiento de la PCI DSS y la eficacia del programa e influir en las
comunicacin a la gerencia ejecutiva prioridades estratgicas. La responsabilidad
general del programa de cumplimiento de la
Nota: Este requisito se considerar la mejor PCI DSS puede ser asignada a los roles
prctica hasta el 31 de enero de 2018 y, a individuales y/o a las unidades de negocio
partir de ese momento, se convertir en dentro de la organizacin.
requisito. La gerencia ejecutiva puede incluir puestos de
nivel C, junta directiva, o equivalente. Los
ttulos especficos dependern de la estructura
de la organizacin en particular. El nivel de
detalle proporcionado a la gerencia ejecutiva
deber ser apropiado para la organizacin y el
pblico objetivo en particular.
12.5 Asigne a una persona o a un equipo las 12.5 Revise los procedimientos y las polticas de seguridad Cada persona o equipo con responsabilidades
siguientes responsabilidades de de la informacin para verificar lo siguiente: sobre la administracin de seguridad de la
administracin de seguridad de la informacin: informacin debe ser claramente consciente
La asignacin formal de la seguridad de la informacin
de sus responsabilidades y tareas
a un Jefe de seguridad u a otro miembro de la gerencia
relacionadas a travs de una poltica
relacionado con la seguridad.
especfica. Sin esta responsabilidad, las
Las siguientes responsabilidades de seguridad de la brechas de los procesos pueden abrir accesos
informacin se asignan de manera formal y especfica: a recursos crticos y a los datos del titular de la
tarjeta.
12.5.1 Establezca, documente y distribuya 12.5.1Verifique que la responsabilidad de establecer,
las polticas y los procedimientos de documentar y distribuir las polticas y los procedimientos Las entidades tambin debern tener en
seguridad. de seguridad se asigne formalmente. cuenta los planes de transicin y/o sucesin
para el personal clave para evitar posibles
12.5.2 Monitoree y analice las alertas y la 12.5.2 Verifique que la responsabilidad de monitorear y brechas en las tareas de seguridad, lo que
informacin de seguridad y comunquelas al analizar las alertas de seguridad y de distribuir la podra dar lugar a responsabilidades que no
personal correspondiente. informacin al personal de las unidades comerciales y de estn asignadas y por lo tanto no realizadas.
seguridad se haya asignado formalmente.
12.5.3 Establezca, documente y distribuya 12.5.3 Verifique que la responsabilidad de establecer,
los procedimientos de escalamiento y documentar y distribuir los procedimientos de escalamiento
respuesta ante incidentes de seguridad para y de respuesta ante incidentes de seguridad se asigne
garantizar un manejo oportuno y efectivo de formalmente.
todas las situaciones.
12.5.4 Administre las cuentas de usuario, 12.5.4 Verifique que la responsabilidad de administrar
incluso las incorporaciones, eliminaciones y (agregar, eliminar y modificar) las cuentas de usuario y la
modificaciones. administracin de la autenticacin est asignada
formalmente.
12.5.5 Monitoree y controle todo acceso a 12.5.5 Verifique que la responsabilidad de monitorear y
los datos. controlar todo acceso a los datos est formalmente
asignada.
12.6 Implemente un programa formal de 12.6.a Revise el programa de concienciacin sobre Si el personal no conoce sus
concienciacin sobre seguridad para que todo seguridad para verificar que ayuda a que todo el personal responsabilidades de seguridad, las defensas
el personal tome conciencia de la importancia tome conciencia sobre la poltica y los procedimientos de y los procesos de seguridad que se han
de la seguridad de los datos del titular de la seguridad de los datos del titular de la tarjeta. implementado pueden volverse ineficaces a
tarjeta. causa de errores o acciones intencionales.
12.6.b Revise los procedimientos y la documentacin del
programa de concienciacin sobre seguridad y realice lo
siguiente:
12.6.1 Capacite al personal inmediatamente 12.6.1.a Verifique que el programa de concienciacin Si el programa de concienciacin sobre
despus de contratarlo y, al menos, una vez sobre seguridad proporcione diversos mtodos para seguridad no incluye sesiones de repaso
al ao. informar y educar a los empleados en lo que respecta a la peridicas, es posible los procesos y
concienciacin (por ejemplo, carteles, cartas, notas, procedimientos de seguridad clave no se
Nota: Los mtodos pueden variar segn el rol
capacitacin en lnea, reuniones y promociones). tengan en cuenta o se omitan, por lo que los
del personal y del nivel de acceso a los datos
recursos crticos y los datos del titular de la
del titular de la tarjeta. 12.6.1.b Verifique que el personal concurra a la tarjeta podran quedar expuestos.
capacitacin de la concienciacin sobre seguridad al ser
contratados y, al menos, una vez al ao.
12.6.1.c Entreviste a un grupo de empleados para verificar

que hayan realizado la capacitacin de concienciacin y
que conozcan la importancia de la seguridad de los datos
del titular de la tarjeta.
12.6.2 Exija al personal que realice, al 12.6.2 Verifique que el programa de concienciacin sobre Requerir un reconocimiento de los empleados
menos, una vez al ao, una declaracin de seguridad les exija a los empleados realizar, al menos, una por escrito o electrnico ayuda a asegurar que
que leyeron y entendieron la poltica y los vez al ao, una declaracin escrita o electrnica de que han ledo y comprendido las polticas y los
procedimientos de seguridad de la empresa. leyeron y entendieron la poltica de seguridad de la procesos de seguridad, y que estn y estarn
informacin de la empresa. comprometidos con el cumplimiento de dichas
polticas.
12.7 Examine al personal potencial antes de 12.7Consulte con la gerencia del departamento de Recursos Investigar exhaustivamente los antecedentes
contratarlo a fin de minimizar el riesgo de Humanos y verifique que se realiza un control de los de los posibles empleados que tendrn acceso
ataques desde fuentes internas. (Entre los antecedentes de los posibles empleados (dentro de los a los datos del titular de la tarjeta antes de
ejemplos de verificaciones de antecedentes se lmites de las leyes locales) antes de contratar a los posibles contratarlos reduce el riesgo del uso no
incluyen el historial de empleo, registro de empleados que tendrn acceso a los datos del titular de la autorizado de los PAN (nmeros de cuenta
antecedentes penales, historial crediticio y tarjeta o al entorno de los datos del titular de la tarjeta. principal) y de otros datos del titular de la
verificacin de referencias). tarjeta por parte de personas con
antecedentes cuestionables o delictivos.
Nota: En el caso de los posibles candidatos
para ser contratados, como cajeros de un
comercio, que solo tienen acceso a un nmero
de tarjeta a la vez al realizar una transaccin,
este requisito es solo una recomendacin.
12.8 Mantenga e implemente polticas y 12.8 A travs de la observacin, la revisin de polticas y Si un comerciante o proveedor de servicios
procedimientos para administrar los procedimientos y el anlisis de documentos de apoyo, comparte datos del titular de la tarjeta con un
proveedores de servicios con quienes se verifique que se implementen los procesos para administrar proveedor de servicios, se aplican ciertos
compartirn datos del titular de la tarjeta, o a los proveedores de servicios con quienes se compartirn requisitos para garantizar que dichos
que podran afectar la seguridad de los datos datos del titular de la tarjeta, o que podran afectar la proveedores de servicios protegern siempre
del titular de la tarjeta de la siguiente manera: seguridad de los datos del titular de la tarjeta de la siguiente los datos.
manera: Algunos ejemplos de los diferentes tipos de
proveedores de servicios incluyen a las
instalaciones de almacenamiento en cinta de
copia de seguridad, los proveedores de
servicios gestionados, como las empresas de
alojamiento web o los proveedores de
servicios de seguridad, las entidades que
reciben datos con fines de modelado de
fraude, etc.
12.8.1 Mantener una lista de proveedores de 12.8.1 Verifique que se mantiene una lista de proveedores Rastrear a todos los proveedores de servicios
servicios, incluida una descripcin del de servicios y que incluya una descripcin del servicio identifica dnde se extiende el riesgo potencial
servicio prestado. prestado. hacia fuera de la organizacin.
12.8.2 Mantenga un acuerdo por escrito en 12.8.2 Observe los acuerdos escritos y confirme que los El reconocimiento por parte de los
el que los proveedores de servicios aceptan proveedores de servicios aceptan responsabilizarse de la proveedores de servicios deja constancia de
responsabilizarse de la seguridad de los seguridad de los datos del titular de la tarjeta que ellos su compromiso por mantener la debida
datos del titular de la tarjeta que ellos poseen, almacenan, procesan o transmiten en nombre del seguridad de los datos del titular de la tarjeta
poseen, almacenan, procesan o transmiten cliente, o en la medida en que puedan afectar la seguridad que obtienen de sus clientes. La medida en
en nombre del cliente, o en la medida en que del entorno de datos del titular de la tarjeta del cliente. que el proveedor de servicios es responsable
puedan afectar la seguridad del entorno de de la seguridad de los datos del titular de la
datos del titular de la tarjeta del cliente. tarjeta depender del servicio en particular y
del acuerdo entre el proveedor y la entidad
Nota: La redaccin exacta del reconocimiento
evaluada.
depender del acuerdo existente entre las dos
partes, los detalles del servicio prestado y las Junto con el Requisito 12.9, el objetivo de este
responsabilidades asignadas a cada parte. No requisito es procurar un nivel de entendimiento
es necesario que el reconocimiento incluya el uniforme entre las partes con respecto a sus
texto exacto de este requisito. responsabilidades de las PCI DSS aplicables.
Por ejemplo, el acuerdo puede incluir que se
cumplan los requisitos correspondientes de las
PCI DSS como parte del servicio prestado.
12.8.3 Asegrese de que exista un proceso 12.8.3 Verifique que las polticas y los procedimientos El proceso asegura que una organizacin
establecido para comprometer a los estn documentados e implementados, que incluyan una examine de manera exhaustiva e interna
proveedores de servicios, que incluya una auditora adecuada previa al compromiso con cualquier cualquier contratacin de un proveedor de
auditora adecuada previa al compromiso. proveedor de servicios. servicios. Dicho proceso debe incluir un
anlisis de riesgos previo al establecimiento
de una relacin formal con el proveedor de
servicios.
Los objetivos y los procesos especficos de la
auditora varan segn la organizacin.
Algunos ejemplos de consideraciones son las
prcticas de presentacin de informes del
proveedor, la notificacin de violaciones y los
procedimientos de respuesta ante incidentes,
detalles sobre cmo se asignan las
responsabilidades de las PCI DSS entre cada
parte, de qu manera el proveedor valida el
cumplimiento de las PCI DSS y qu evidencia
presentarn, etc.
12.8.4 Mantenga un programa para 12.8.4 Verifique que la entidad tenga un programa para Conocer el estado de cumplimiento de las PCI
monitorear el estado de cumplimiento de las monitorear el estado de cumplimiento de las PCI DSS por DSS por parte del proveedor de servicios es
PCI DSS por parte del proveedor de parte del proveedor de servicios. til para saber y asegurarse de que este
servicios. cumple con los mismos requisitos a los que
est sujeta su organizacin. Si el proveedor de
12.8.5 Conserve informacin sobre cules 12.8.5 Verifique que la entidad conserve informacin sobre servicios ofrece diversos servicios, este
son los requisitos de las PCI DSS que cules son los requisitos de las PCI DSS que administra requisito se aplicar a los servicios prestados
administra cada proveedor de servicios y cada proveedor de servicios y cules administra la entidad. al cliente y a los servicios que se encuentren
cules administra la entidad. dentro del alcance de la evaluacin de las PCI
DSS del cliente.
La informacin especfica que mantiene una
entidad depender del acuerdo en particular
con sus proveedores, el tipo de servicio, etc.
La intencin es que la entidad evaluada
entienda los requisitos de la PCI DSS que sus
proveedores han acordado cumplir.
12.9Requisitos adicionales solo para los 12.9 Procedimientos de pruebas adicionales para los Nota: Este requisito rige solo cuando la
proveedores de servicios: Los proveedores proveedores de servicios: Revise las polticas y los entidad evaluada es un proveedor de
de servicios aceptan, por escrito y ante los procedimientos del proveedor de servicio y observe las servicios.
clientes, responsabilizarse de la seguridad de plantillas de los acuerdos escritos para verificar que el
los datos del titular de la tarjeta que ellos proveedor de servicios acepta, por escrito y ante el cliente, Junto con el Requisito 12.8.2, el objetivo de
poseen, almacenan, procesan o transmiten en mantener los requisitos correspondientes de las PCI DSS en este requisito es procurar un nivel de
nombre del cliente, o en la medida en que la medida en que el proveedor de servicios posea o, de otra entendimiento uniforme entre los proveedores
puedan afectar la seguridad del entorno de manera, manipule, almacene, procese o transmita datos del de servicios y los clientes respecto de las
datos del titular de la tarjeta del cliente. titular de la tarjeta en nombre del cliente, o datos de responsabilidades correspondientes de las
autenticacin confidenciales, o en la medida en que puedan PCI DSS. El reconocimiento por parte de los
Nota: La redaccin exacta del reconocimiento proveedores de servicios deja constancia de
afectar la seguridad del entorno de datos del titular de la
depender del acuerdo existente entre las dos su compromiso por mantener la debida
tarjeta del cliente.
partes, los detalles del servicio prestado y las seguridad de los datos del titular de la tarjeta
responsabilidades asignadas a cada parte. No que obtienen de sus clientes.
es necesario que el reconocimiento incluya el
Las polticas internas y los procedimientos del
texto exacto de este requisito.
proveedor de servicios relacionados con su
proceso de compromiso con el cliente y las
plantillas utilizadas para los acuerdos por
escrito debern incluir el establecimiento de un
reconocimiento de la PCI DSS aplicable a sus
clientes. El mtodo mediante el cual el
proveedor de servicios proporciona el
reconocimiento escrito se debe establecer
entre el proveedor y los clientes.
12.10 Implemente un plan de respuesta ante 12.10 Revise el plan de respuesta ante incidentes y los Sin un riguroso plan de respuesta a incidentes
incidentes. Preprese para responder de procedimientos relacionados para verificar que la entidad de seguridad debidamente diseminado, ledo y
inmediato ante un fallo en el sistema. est preparada para responder inmediatamente ante una comprendido por las partes responsables, la
falla del sistema mediante lo siguiente: confusin y la falta de una respuesta unificada
podran crear perodos de inactividad ms
prolongados para el negocio, la exposicin
innecesaria de medios al pblico y nuevas
responsabilidades legales.
12.10.1 Desarrolle el plan de respuesta ante 12.10.1.a Verifique que el plan de respuesta ante El plan de respuesta a incidentes debe ser
incidentes que se implementar en caso de incidentes incluya lo siguiente: exhaustivo y contener todos los elementos
que ocurra una falla del sistema. Asegrese clave para permitir que su empresa responda
Las funciones, responsabilidades y estrategias de
de que el plan aborde, como mnimo, lo de manera efectiva en caso de un fallo en el
comunicacin en caso de un riesgo que incluya como
siguiente: sistema que pueda afectar los datos de
mnimo la notificacin de las marcas de pago;
titulares de tarjetas.
Roles, responsabilidades y estrategias Procedimientos especficos de respuesta a incidentes.
de comunicacin y contacto en caso de
Procedimientos de recuperacin y continuidad
un riesgo que incluya, como mnimo, la
comercial.
notificacin de las marcas de pago.
Procesos de copia de seguridad de datos.
Procedimientos especficos de
respuesta a incidentes. Anlisis de requisitos legales para el informe de
riesgos (por ejemplo, la ley 1386 del Senado de
Procedimientos de recuperacin y
California que exige la notificacin de los
continuidad comercial.
consumidores afectados en caso de un riesgo real o
Procesos de copia de seguridad de supuesto por operaciones comerciales con residentes
datos. de California en su base de datos).
Anlisis de los requisitos legales para el La cobertura y respuestas de todos los componentes
informe de riesgos. crticos del sistema;
Cobertura y respuestas de todos los Referencia o inclusin de procedimientos de respuesta
componentes crticos del sistema. ante incidentes de las marcas de pago.
Referencia o inclusin de
12.10.1.b I Entreviste al personal y revise la
procedimientos de respuesta ante
documentacin de la muestra de un incidente o una alerta
incidentes de las marcas de pago.
anteriormente informados para verificar que se hayan
respetado los procedimientos y el plan de respuesta ante
incidentes documentados.
12.10.2 Revise y pruebe el plan, incluidos 12.10.2 Entreviste al personal y revise la documentacin Sin las pruebas apropiadas, es posible que se
todos los elementos enumerados en el de las pruebas para verificar que el plan se prueba al omitan pasos fundamentales, lo que podra
Requisito 12.10.1, al menos anualmente. menos anualmente, y que la prueba incluye todos los generar una mayor exposicin durante un
elementos enumerados en el Requisito 12.10.1. incidente.
12.10.3 Designe a personal especfico para 12.10.3 Mediante la observacin, revise las polticas y Sin un equipo de respuesta a incidentes
que est disponible las 24 horas al da, los 7 entreviste al personal responsable para verificar que el capacitado y fcilmente disponible, podra
das de la semana para responder a las personal designado est siempre disponible (24 horas del producirse mayor dao para la red, adems,
alertas. da, los 7 das de la semana) para responder ante los datos y sistemas crticos se pueden
incidentes y que monitoreen la cobertura de cualquier contaminar si los sistemas objetivo se
evidencia de actividad no autorizada, deteccin de puntos manipulan indebidamente. Esto puede
de acceso inalmbricos no autorizados, alertas crticas de entorpecer el xito de una investigacin
IDS (sistemas de intrusin-deteccin) o informes de posterior al incidente.
cambios no autorizados en archivos de contenido o de
sistemas crticos.
12.10.4 Capacite adecuadamente al 12.10.4 Mediante la observacin, la revisin de las

personal sobre las responsabilidades de polticas y las entrevistas al personal responsable, verifique
respuesta ante fallas de seguridad. que el personal se capacite peridicamente en las
responsabilidades ante fallas de seguridad.
12.10.5 Incluya alertas de los sistemas de 12.10.5 Mediante la observacin y revisin de los Estos sistemas de supervisin estn
supervisin de seguridad, que incluye, entre procesos, verifique que, en el plan de respuesta ante diseados para centrarse en el riesgo
otros, sistemas de intrusin-deteccin y de incidentes, se incluya la supervisin y respuesta a las potencial para los datos, son crticos a la hora
intrusin-prevencin, firewalls y sistemas de alertas de los sistemas de seguridad. de ejecutar una accin para prevenir un fallo y
supervisin de integridad de archivos. se deben incluir en los procesos de respuesta
a incidentes.
12.10.6 Elabore un proceso para modificar y 12.10.6 Mediante la observacin, la revisin de las Incorporar las lecciones aprendidas en el
desarrollar el plan de respuesta ante polticas y las entrevistas al personal responsable, verifique plan de respuesta a incidentes ayuda a
incidentes segn las lecciones aprendidas e que exista un proceso para modificar y desarrollar el plan mantener el plan actualizado y a ser capaz de
incorporar los desarrollos de la industria. de respuesta ante incidentes segn las lecciones reaccionar ante las amenazas emergentes y
aprendidas e incorporar los desarrollos de la industria. las tendencias de seguridad.
12.11Requisitos adicionales solo para los 12.11.a Revise las polticas y los procedimientos para Nota: Este requisito rige solo cuando la
proveedores de servicios: Realizar verificar que los procesos se definen para revisar y confirmar entidad evaluada es un proveedor de
revisiones al menos trimestralmente para que el personal sigue las polticas de seguridad y los servicios.
confirmar que el personal sigue las polticas procedimientos operativos, y que las revisiones cubren:
de seguridad y los procedimientos Revisiones del registro diario Confirmar regularmente que se siguen las
operativos. Las revisiones deben cubrir los polticas y procedimientos de seguridad
Revisiones del conjunto de reglas de firewall proporciona una certeza de que los controles
siguientes procesos:
La aplicacin de las normas de configuracin a los previstos estn activos y que funcionan
Revisiones del registro diario
nuevos sistemas segn lo previsto. El objetivo de estas
Revisiones del conjunto de reglas de
Respuesta a las alertas de seguridad revisiones es no volver a realizar otros
firewall
Procesos de gestin del cambio requisitos de la PCI DSS, sino confirmar si
La aplicacin de las normas de los procedimientos se siguen como se
configuracin a los nuevos sistemas esperaba.
Respuesta a las alertas de seguridad 12.11.b Entreviste al personal responsable y revise los
Procesos de gestin del cambio registros de las revisiones para verificar que las revisiones
se realizan por lo menos trimestralmente.
Nota: Este requisito se considerar la mejor

prctica hasta el 31 de enero de 2018 y, a
partir de ese momento, se convertir en
requisito.
12.11.1 Requisitos adicionales solo 12.11.1 Revise la documentacin de las revisiones Nota: Este requisito rige solo cuando la
para los proveedores de servicios: trimestrales para verificar que incluyen: entidad evaluada es un proveedor de
Mantener la documentacin del proceso Documentar los resultados de las revisiones servicios.
de revisin trimestral para incluir:
Revisin y cierre de los resultados por el personal La intencin de estos controles
Documentar los resultados de las asignado a la responsabilidad del programa de
revisiones independientes es confirmar si las
cumplimiento de la PCI DSS actividades de seguridad se realizan de
Revisin y cierre de los resultados por el
manera continua. Estas revisiones tambin
personal asignado a la responsabilidad
se pueden usar para verificar que se
del programa de cumplimiento de la PCI
mantiene la evidencia correspondiente, por
DSS
ejemplo, registros de auditoras, informes de
anlisis de vulnerabilidades, revisiones de
Nota: Este requisito se considerar la mejor firewall, etc., para ayudar a la entidad a
prctica hasta el 31 de enero de 2018 y, a prepararse para la siguiente evaluacin de la
partir de ese momento, se convertir en PCI DSS.
requisito.
Anexo A: Requisitos adicionales de la PCI DSS
Este anexo contiene los requisitos adicionales de la PCI DSS para los diferentes tipos de entidades. Las secciones de este Anexo incluyen:
Anexo A1: Requisitos de la PCI DSS adicionales para proveedores de hosting compartido
Anexo A2: Requisitos de la PCI DSS adicionales para las entidades que utilizan SSL/TLS temprana
Anexo A3: Validacin suplementaria de las entidades designadas
Se proporciona gua e informacin de aplicabilidad en cada seccin.
Anexo A1: Requisitos de la PCI DSS adicionales para proveedores de hosting compartido
Tal como se menciona en los Requisitos 12.8 y 12.9, todos los proveedores de servicios con acceso a los datos del titular de la tarjeta (incluidos
los proveedores de hosting compartido) deben respetar las PCI DSS. Adems, el Requisito 2.6 establece que los proveedores de hosting
compartido deben proteger el entorno y los datos alojados de cada entidad. Por lo tanto, los proveedores de hosting compartido deben cumplir
adems con los requisitos de este Anexo.
Requisitos A1 Procedimientos de prueba Gua

A.1 Proteger el entorno y los datos A.1En el caso especfico de la evaluacin de las PCI DSS de un El Anexo A de las PCI DSS est dirigido a
alojados de cada entidad (es decir proveedor de hosting compartido, verifique que los proveedores de los proveedores de hosting compartido que
comerciante, proveedor de servicios u hosting compartido protejan los datos y el entorno alojado de las deseen ofrecerles a sus clientes
otra entidad), segn los puntos A.1.1 a entidades (comerciantes y proveedores de servicios), seleccione una comerciantes o proveedores de servicios un
A.1.4: muestra de servidores (Microsoft Windows y Unix/Linux) a travs de entorno de hosting que cumpla con las
Un proveedor de hosting debe cumplir una muestra representativa de comerciantes y proveedores de PCI DSS.
con estos requisitos, as como tambin servicios alojados, y realice de los puntos de A.1.1 a A.1.4 a
con las dems secciones continuacin:
correspondientes de PCI DSS.
Nota: Aunque posiblemente el
proveedor de hosting cumpla con estos
requisitos, no se garantiza el
cumplimiento de la entidad que utiliza al
proveedor de hosting. Cada entidad
debe cumplir con las PCI DSS y validar
el cumplimiento, segn corresponda.
A.1.1Asegrese de que cada entidad A.1.1 Si un proveedor de hosting compartido permite a las Si se permite a un comerciante o
solo implemente procesos que tengan entidades (por ejemplo, comerciantes o proveedores de servicios) proveedor de servicios ejecutar sus
acceso al entorno de datos del titular ejecutar sus propias aplicaciones, verifique que estos procesos de propias aplicaciones en el servidor
de la tarjeta de la entidad. aplicacin se ejecuten utilizando la ID nica de la entidad. Por compartido, se debern ejecutar con la
ejemplo: ID de usuario del comerciante o del
proveedor de servicios y no, como un
Ninguna entidad del sistema puede utilizar una ID de usuario
usuario con privilegios.
de servidor Web compartida.
Todas las secuencias de comandos CGI utilizadas por una
entidad se deben crear y ejecutar como ID de usuario nica de
la entidad.
A.1.2 Limite el acceso y los privilegios A.1.2.a Verifique que la ID de usuario de cualquier proceso de Para garantizar la restriccin de los
de cada entidad solo al entorno de sus aplicacin no sea un usuario con privilegios (raz/admin). privilegios y accesos para que cada
propios datos del titular de la tarjeta. comerciante o proveedor de servicios
A.1.2.b Verifique que cada entidad (comerciante, proveedor de acceda solo a su propio entorno, considere
servicios) haya ledo, escrito o ejecute permisos slo para los lo siguiente:
archivos y directorios que tiene o para los archivos necesarios para
el sistema (restringidos mediante permisos de sistema de archivos, 1. Privilegios de la ID de usuario de
listas de control de acceso, chroot, jailshell, etc.) servidor web del comerciante o
Importante: Los archivos de una entidad no deben compartirse de
forma grupal. 2. Privilegios otorgados para leer, escribir
y ejecutar archivos.
A.1.2.c Verifique que los usuarios de la entidad no tengan acceso 3. Permisos otorgados para escribir en
de escritura a los archivos binarios compartidos del sistema. los archivos binarios del sistema.
A.1.2.d Verifique que la visualizacin de las entradas del registro 4. Permisos otorgados a los archivos de
se restrinja a la entidad propietaria. registros del comerciante y del
A.1.2.e Para asegurarse de que ninguna entidad monopoliza los
recursos del servidor y se aproveche de las vulnerabilidades (por 5. Controles para evitar que solo un
ejemplo, error, carrera y condiciones de reinicio que tienen como comerciante o proveedor de servicios
consecuencia, por ejemplo, desbordamientos de buffer), verifique monopolice los recursos del sistema.
que se apliquen las restricciones para el uso de estos recursos del
sistema:
Espacio en disco
Ancho de banda
Memoria
CPU
A.1.3 Asegrese de que los registros y A1.3 Verifique que el proveedor de hosting compartido haya Los registros deben estar disponibles en
las pistas de auditora estn habilitado los registros de la siguiente manera para cada un entorno de hosting compartido de
habilitados y sean exclusivos para el comerciante y entorno de proveedor de servicios: manera tal que los comerciantes y los
entorno de datos del titular de la tarjeta proveedores de servicio tengan acceso a
Los registros se habilitan para aplicaciones comunes de
de cada entidad y que cumplan con el registros especficos del entorno de datos
terceros.
Requisito 10 de las PCI DSS. de sus titulares de tarjetas y puedan
Los registros estn activos de forma predeterminada. revisarlos.
Los registros estn disponibles para la revisin de la entidad
propietaria.
La ubicacin de los registros se comunica con claridad a la
entidad propietaria.
A1.4 Habilite los procesos para que se A1.4 Verifique que el proveedor de hosting compartido cuente con Los proveedores de alojamiento
realice una investigacin forense polticas escritas que especifiquen la realizacin de una compartido deben tener procesos que
oportuna en caso de que un investigacin forense oportuna de los servidores relacionados en proporcionen respuestas rpidas y
comerciante o proveedor de servicios caso de riesgo. sencillas en caso de que sea necesaria
alojado corra riesgos. una investigacin la existencia de riesgos,
hasta el nivel de detalle que sea necesario
de manera que los detalles de un
proveedor de servicios o de un
comerciante individual.
Anexo A2: Requisitos de la PCI DSS adicionales para las entidades que utilizan SSL/TLS temprana
Las entidades que usan SSL y TLS temprana deben trabajar para actualizarse a un protocolo de criptografa slida lo antes posible. Adems, la SSL y/o TLS
temprana no deben ser introducidas en entornos en los que dichos protocolos no existen. En el momento de la publicacin, las vulnerabilidades conocidas son
difciles de explotar en los entornos de pagos POS POI. Sin embargo, las nuevas vulnerabilidades podran surgir en cualquier momento, y corresponde a la
organizacin mantenerse actualizada con las tendencias de la vulnerabilidad y determinar si son o no son susceptibles a los ataques conocidos.
Los requisitos de la PCI DSS directamente afectados son:
Requisito 2.2.3 Implementar funciones de seguridad adicionales para los servicios, protocolos o daemons requeridos
que no se consideren seguros.
Requisito 2.3 Cifre todo el acceso administrativo que no sea de consola utilizando una criptografa slida.
Requisito 4.1 Utilice criptografa y protocolos de seguridad slidos para salvaguardar los datos confidenciales de los
titulares de las tarjetas durante su transmisin a travs de redes pblicas abiertas.
SSL y TLS temprana no debern utilizarse como un control de seguridad para cumplir estos requisitos. Para apoyar a las entidades que trabajan para migrar de
SSL/TLS temprana, se incluyen las siguientes disposiciones:
Las nuevas implementaciones no deben utilizar SSL o TLS temprana como un control de seguridad.
Todos los proveedores de servicios deben ofrecer una oferta de servicios segura al 30 de junio de 2016.
Despus del 30 de junio de 2018, todas las entidades debern haber dejado de usar la SSL/TLS temprana como un control de seguridad, y usar solo las
versiones seguras del protocolo (se describe una asignacin para determinados terminales POS POI en la ltima vieta a continuacin).
Antes del 30 de junio de 2018, las implementaciones que utilizan SSL y/o TLS temprana deben tener un Plan de migracin y de mitigacin de riesgo
formal implementados.
Las terminales POS POI (y los puntos de terminacin SSL/TLS a los que se conectan) que pueden ser verificadas por no ser susceptibles a cualquier
ataque conocido para SSL y TLS temprana, pueden seguir utilizando estos como un control de seguridad despus del 30 de junio de 2018.
Este Anexo se aplica a las entidades que utilizan SSL/TLS temprana como un control de seguridad para proteger el CDE y/o CHD (por ejemplo, SSL/TLS
temprana utilizadas para cumplir con el Requisito 2.2.3, 2.3, o 4.1 de la PCI DSS), Consulte el Suplemento de informacin de la PCI SSC que migra de la SSL y
TLS temprana para obtener una mayor gua sobre el uso de la SSL/TLS temprana.

A2.1 Donde las terminales POS POI (y A2.1 Para las terminales POS POI (los puntos de terminacin de Los POI puede seguir usando SSL/TLS
los puntos de terminacin de SSL/TLS a SSL/TLS para los que se conectan) el uso de SSL y/o TLS temprana, cuando se puede mostrar que el POI
los que se conectan) utilizan SSL y/o temprana: no es susceptible al ataque conocido
TLS temprana, la entidad debe: actualmente. Sin embargo, SSL es una
Confirmar que la entidad cuenta con la documentacin (por
tecnologa obsoleta y puede estar sujeta a las
Confirmar que los dispositivos no son ejemplo, documentacin del proveedor, detalles de
vulnerabilidades de seguridad adicionales en el
susceptibles a los ataques conocidos configuracin de la red/sistema, etc.) que verifica que los
futuro; por lo tanto, se recomienda
para aquellos protocolos. dispositivos no son susceptibles a los ataques conocidos
encarecidamente que los entornos de POI se
O: para SSL/TLS temprana.
actualicen a un protocolo seguro lo antes
O:
Tener un Plan de migracin y de posible. Si SSL/TLS temprana no es necesaria
mitigacin de riesgo formal Complete A2.2 a continuacin. en el entorno, se debe desactivar el uso y el
implementado. repliegue de estas versiones.
Si el entorno de POS POI es susceptible a
ataques conocidos, entonces debe comenzar la
planificacin de la migracin a una alternativa
segura de inmediato.
Nota: La provisin para POS POI que
actualmente no son susceptibles al ataque se
basa en los riesgos actuales, conocidos. Si se
introducen nuevos ataques para los que los
entornos de POI son susceptibles, tendrn que
actualizarse los entornos de POI.
A2.2 Las entidades con las A2.2 Revise el Plan de Migracin y de mitigacin del riesgo El Plan de Mitigacin y Migracin de riesgos es
implementaciones existentes (excepto documentado para verificar que incluya: un documento preparado por la entidad que
segn lo permitido en A2.1) que utilizan detalla sus planes para migrar a un protocolo
Descripcin del uso, incluidos los datos que se estn
SSL y/o TLS temprana deben tener un seguro, y tambin describe los controles que la
transmitiendo, los tipos y el nmero de sistemas que utilizan
Plan de Migracin y de mitigacin del entidad ha implementado para reducir el riesgo
y/o dan soporte a SSL/TLS temprana, el tipo de entorno;
riesgo implementados. asociado con SSL/TLS temprana hasta que
Resultados de la evaluacin de riesgos y controles de finalice la migracin.
reduccin de riesgos implementados;
Consulte el Suplemento de informacin de la
Descripcin de los procesos a monitorear para las nuevas PCI SSC que migra de SSL y TLS temprana
vulnerabilidades asociadas con SSL/TLS temprana; para obtener una mayor gua sobre los Planes
Descripcin de los procesos de control de cambios que se de Migracin y de mitigacin de riesgos.
implementan para garantizar que SSL/TLS temprana no se
implementa en los nuevos entornos;
Descripcin general del plan de proyecto de migracin que
incluye la fecha de finalizacin de la migracin objetivo no
ms tarde del 30 de junio de 2018.
A2.3 Requisitos adicionales solo para A2.3 Revise las configuraciones del sistema y la documentacin Consulte la seccin "Proveedores de Servicios"
los proveedores de servicios: Todos de apoyo para verificar que el proveedor de servicios ofrece una en el Glosario de trminos, abreviaturas y
los proveedores de servicios deben opcin de protocolo seguro para su servicio. acrnimos de PCI DSS y PA-DSS para obtener
ofrecer una oferta de servicios segura al mayor gua.
30 de junio de 2016.
Nota: Con anterioridad al 30 de junio de

2016, el proveedor de servicios debe
tener una opcin de protocolo seguro
incluida en su oferta de servicios, o tener
un Plan de migracin y mitigacin de
riesgos documentado (segn A2.2) que
incluya una fecha lmite para la provisin
de una opcin de protocolo seguro no
ms tarde del 30 de junio de 2016.
Despus de esta fecha, todos los
proveedores de servicios deben ofrecer
una opcin de protocolo seguro para su
servicio.
Anexo A3: Validacin suplementaria de las entidades designadas (DES)
Este Anexo se aplica nicamente a las entidades designadas por una marca de pago o adquirente que exige una validacin adicional de los
requisitos de la PCI DSS existentes. Ejemplos de las entidades a las que se podra aplicar este Anexo pueden incluir:
Aquellas que almacenan, procesan y/o transmiten grandes volmenes de datos del titular de la tarjeta,
Las que proporcionan puntos de agregacin a los datos del titular de la tarjeta, o
Las que han sufrido brechas significativas o reiteradas de los datos del titular de la tarjeta.
Estos pasos de la validacin suplementaria estn destinados a proporcionar mayor certeza de que los controles de la PCI DSS se mantienen
eficazmente y de manera continua a travs de los procesos de validacin habituales (BAU), y el aumento de la validacin y la consideracin del
alcance.
Los pasos de validacin adicionales en este documento estn organizados en las siguientes reas de control:
A3.1 Implementar un programa de cumplimiento de la PCI DSS.
A3.2 Documentar y validar el alcance de la PCI DSS.
A3.3 Validar la PCI DSS se incorpora en las actividades habituales (BAU).
A3.4 Controlar y gestionar el acceso lgico al entorno de los datos del titular de la tarjeta.
A3.5 Identificar y responder a eventos sospechosos.
Nota: Algunos de los requisitos han definido marcos de tiempo (por ejemplo, al menos trimestralmente o cada seis meses) en
el que se realizarn ciertas actividades. Para la evaluacin inicial para este documento, no se requiere que una actividad se
haya realizado para cada plazo durante el ao anterior, si el asesor verifica:
1) La actividad se llev a cabo de acuerdo con el requisito aplicable dentro del marco de tiempo ms reciente (es decir, el
trimestre ms reciente o seis meses), y
2) La entidad cuenta con polticas y procedimientos documentados para seguir realizando la actividad dentro del marco de
tiempo definido.
Para los aos siguientes despus de la evaluacin inicial, una actividad debe haber sido realizada para cada perodo de
tiempo que se requiere (por ejemplo, una actividad trimestral debe haber sido realizada para cada uno de los cuatro trimestres
del ao anterior).
Nota: La entidad estar obligada a someterse a una evaluacin conforme a este Anexo SOLO si as lo indica un
adquirente o una marca de pago.
A3.1 Implementar un programa de cumplimiento de la PCI DSS
A3.1.1 La gerencia ejecutiva deber A3.1.1.a Revise la documentacin para verificar que la La asignacin de la gerencia ejecutiva de las
establecer la responsabilidad de la gerencia ejecutiva ha asignado la responsabilidad responsabilidades de cumplimiento de la PCI
proteccin de los datos del titular de la general de mantener el cumplimiento de la PCI DSS DSS garantiza la visibilidad a nivel ejecutivo en
tarjeta y un programa de cumplimiento de la de la entidad. el programa de cumplimiento de la PCI DSS y
PCI DSS para incluir: permite la oportunidad de hacer preguntas
A3.1.1.b Revise el estatuto de la PCI DSS de la adecuadas para determinar la eficacia del
Responsabilidad general de mantener el empresa para verificar que se describen las
cumplimiento de la PCI DSS programa e influir en las prioridades
condiciones en las que se organiza el programa de estratgicas. La responsabilidad general del
La definicin de un estatuto para el cumplimiento de la PCI DSS. programa de cumplimiento de la PCI DSS
programa de cumplimiento de la PCI
A3.1.1.c Revise las actas de reuniones y/o puede ser asignada a los roles individuales y/o
DSS
presentaciones de la gerencia ejecutiva y la junta a las unidades de negocio dentro de la
Proporcionar actualizaciones a la organizacin.
directiva para garantizar que las iniciativas de
gerencia ejecutiva y a la junta directiva
cumplimiento de la PCI DSS y las actividades de
sobre las iniciativas y los problemas de
remediacin se comunican al menos anualmente.
cumplimiento de la PCI DSS, incluidas
las actividades de remediacin, al
menos anualmente
Referencia de la PCI DSS: Requisito 12
A3.1.2 Un programa formal de cumplimiento A3.1.2.a Revise las polticas y los procedimientos de Un programa de cumplimiento formal permite a
de la PCI DSS debe estar implementado seguridad de la informacin para verificar que los una organizacin supervisar la salud de sus
para incluir: procesos estn definidos para realizar lo siguiente: controles de seguridad, ser proactivo en el caso
Definicin de las actividades para Mantener y supervisar el cumplimiento general de de que falle un control, y comunicar las
mantener y supervisar el cumplimiento la PCI DSS, incluidas las actividades habituales actividades efectivamente y la situacin de
cumplimiento en toda la organizacin.
general de la PCI DSS, incluidas las Evaluaciones anuales de la PCI DSS
actividades habituales El programa de cumplimiento de la PCI DSS
Validacin continua de los requisitos de la PCI
Procesos anuales de evaluacin de la puede ser un programa dedicado o parte de un
DSS
PCI DSS programa de cumplimiento global y/o de
Anlisis del impacto comercial para determinar los gobierno, y deber incluir una metodologa bien
Los procesos para la validacin continua posibles impactos de la PCI DSS para las definida que demuestra la evaluacin coherente
de los requisitos de la PCI DSS (por decisiones comerciales estratgicas y eficaz. Ejemplo de las metodologas incluye:
ejemplo: diarios, semanales,
Deming Circle of Plan-Do-Check-Act (PDCA),
trimestrales, etc. segn sea aplicable de
ISO 27001, COBIT, DMAIC, y Six Sigma.
acuerdo al requisito)
Un proceso para realizar el anlisis del
impacto comercial para determinar los
posibles impactos de la PCI DSS para
las decisiones estratgicas comerciales
Referencia de la PCI DSS:
Requisitos 1-12
A3.1.2.b Entreviste al personal y observe las Mantener y supervisar el cumplimiento general
actividades de cumplimiento para verificar que los de la PCI DSS de una organizacin incluye
procesos definidos son implementados para lo identificar las actividades que se realizarn a
siguiente: diario, semanal, mensual, trimestral o anual, y
Mantener y supervisar el cumplimiento general de garantizar que estas actividades se llevan a
la PCI DSS, incluidas las actividades habituales cabo en consecuencia (por ejemplo, utilizar una
autoevaluacin de seguridad o metodologa de
Evaluaciones anuales de la PCI DSS PDCA).
Validacin continua de los requisitos de la
Los ejemplos de las decisiones comerciales
PCI DSS
estratgicas que se debern analizar para los
Anlisis del impacto comercial para determinar los posibles impactos de la PCI DSS pueden incluir
posibles impactos de la PCI DSS para las fusiones y adquisiciones, nuevas compras de
decisiones comerciales estratgicas tecnologa, o nuevos canales de aceptacin
de pago.
A3.1.3 Los roles y las responsabilidades de A3.1.3.a Revise las polticas y procedimientos de la La definicin formal de los roles y
cumplimiento de la PCI DSS deben definirse seguridad de la informacin y entreviste al personal responsabilidades especficas de cumplimiento
especficamente y asignarse formalmente a para verificar que los roles y las responsabilidades de la PCI DSS ayuda a asegurar la rendicin de
uno o ms miembros del personal, incluido al estn claramente definidos y que las tareas se cuentas y la supervisin de los esfuerzos
menos lo siguiente: asignan para incluir al menos lo siguiente: continuos de cumplimiento de la PCI DSS.
Gestionar las actividades habituales de Gestionar las actividades habituales de la PCI Estas funciones se pueden asignar a un solo
la PCI DSS DSS propietario o a varios propietarios de diferentes
aspectos. La propiedad deber ser asignada a
Gestionar las evaluaciones anuales de Gestionar las evaluaciones anuales de la PCI
las personas con la autoridad para tomar
la PCI DSS DSS
decisiones basadas en el riesgo y sobre las
Gestionar la validacin continua de los Gestionar la validacin continua de los requisitos cuales descansa la responsabilidad para la
requisitos de la PCI DSS (por ejemplo: de la PCI DSS (por ejemplo: diarios, semanales, funcin especfica. Las tareas debern definirse
diarios, semanales, trimestrales, etc. trimestrales, etc. segn sea aplicable de acuerdo formalmente y los propietarios debern ser
segn sea aplicable de acuerdo al al requisito) capaces de demostrar una comprensin de sus
requisito) Gestionar el anlisis del impacto comercial para responsabilidades y de la rendicin de cuentas.
Gestionar el anlisis del impacto determinar los posibles impactos de la PCI DSS
comercial para determinar los posibles para las decisiones comerciales estratgicas
impactos de la PCI DSS para las
A3.1.3.b Entreviste al personal responsable y verifique
decisiones comerciales estratgicas
que estn familiarizados con el desempeo designado
de sus responsabilidades y de cumplimiento de la
Referencia de la PCI DSS: Requisito 12 PCI DSS.
A3.1.4 Proporcione capacitacin sobre la A3.1.4.a Revise las polticas y procedimientos de El personal responsable del cumplimiento de la
seguridad de la informacin y/o la PCI DSS seguridad de la informacin para verificar que la PCI DSS tiene necesidades especficas de
actualizada al menos anualmente para el capacitacin sobre la seguridad de la informacin y/o capacitacin que superan lo que normalmente
personal con responsabilidades de la PCI DSS se requiere por lo menos anualmente para se proporciona como capacitacin de
cumplimiento de la PCI DSS (como se cada rol con las responsabilidades de cumplimiento de concienciacin de seguridad general. Las
identifica en A3.1.3). la PCI DSS. personas con responsabilidades de
cumplimiento de la PCI DSS debern recibir
Referencia de la PCI DSS: Requisito 12 A3.1.4.b Entreviste al personal y revise los certificados capacitacin especializada que, adems de la
de asistencia u otros registros para verificar que el concienciacin general de seguridad de la
personal con responsabilidad de cumplimiento de la informacin, se enfoque en los temas
PCI DSS recibe capacitacin de seguridad de la especficos de seguridad, las habilidades, los
informacin similar y/o de la PCI DSS actualizada al procesos o las metodologas que se deben
menos anualmente. seguir para que esas personas realicen sus
responsabilidades de cumplimiento de manera
efectiva.
Los terceros pueden ofrecer capacitacin, por
ejemplo, SANS o PCI SSC (Concienciacin de
PCI, PCIP, e ISA), las marcas de pago, y los
adquirentes o la capacitacin puede ser interna.
El contenido de la capacitacin deber ser
aplicable para la funcin de trabajo en particular
y ser actual para incluir las ltimas amenazas
de seguridad y/o la versin de la PCI DSS.
Para obtener una gua adicional sobre el
desarrollo del contenido de capacitacin de
seguridad adecuada para los roles
especializados, consulte el Suplemento de
informacin de la PCI SSC sobre las Mejores
prcticas para la implementacin de un
Programa de concienciacin de seguridad.
A3.2 Documentar y validar el alcance de la PCI DSS
A3.2.1 Documentar y confirmar la precisin A3.2.1.aRevise los resultados documentados de las La validacin del alcance de la PCI DSS deber
del alcance de la PCI DSS al menos revisiones del alcance y entreviste al personal para realizarse con tanta frecuencia como sea
trimestralmente y tras cambios significativos verificar que se realizan las revisiones: posible para garantizar que el alcance de la PCI
en el entorno del estudio. Como mnimo, la Al menos trimestralmente DSS se mantiene actualizado y alineado con los
validacin trimestral de alcance deber objetivos comerciales cambiantes.
incluir: Despus de cualquier cambio significativo en el
entorno
Identificar todas las redes en el alcance
y los componentes del sistema A3.2.1.b Revise los resultados documentados de las
revisiones de alcance trimestralmente para verificar
Identificar todas las redes en el alcance
que se realiza lo siguiente:
y la justificacin para las redes que
estn fuera del alcance, incluidas las Identificacin de todas las redes en el alcance y
descripciones de todos los controles de los componentes del sistema
segmentacin implementados Identificacin de todas las redes fuera del alcance
La identificacin de todas las entidades y la justificacin de las redes por estar fuera del
conectadas, por ejemplo, las entidades alcance, incluidas las descripciones de todos los
de terceros relacionadas con el acceso controles de segmentacin implementados
al entorno de los datos del titular de la Identificacin de todas las entidades conectadas,
tarjeta (CDE) por ejemplo, entidades de terceros con acceso
al CDE
Referencia de la PCI DSS: Alcance de los
requisitos de la PCI DSS
A3.2.2 Determine el impacto del alcance de A3.2.2 Revise la documentacin de cambio y Los cambios en los sistemas o redes pueden
la PCI DSS para todos los cambios en los entreviste al personal para verificarlo para cada tener un impacto significativo en el alcance de
sistemas o redes, incluidas las adiciones de cambio en los sistemas o redes: la PCI DSS. Por ejemplo, los cambios en las
nuevos sistemas y nuevas conexiones de Se realiz una evaluacin formal del impacto de la reglas de firewall pueden poner a los
red. Los procesos deben incluir: PCI DSS. segmentos en el alcance, o los nuevos sistemas
pueden ser agregados al CDE que tiene que ser
La realizacin de una evaluacin formal Se identificaron los requisitos de la PCI DSS
de impacto de la PCI DSS protegido adecuadamente.
aplicables a los cambios en la red o en los
La identificacin de los requisitos de la sistemas. Se pueden realizar los procesos para
determinar el impacto potencial que los cambios
PCI DSS aplicables al sistema o red Se actualiza el alcance de la PCI DSS segn sea
en los sistemas y redes pueden tener sobre el
Actualizacin del alcance de la PCI DSS apropiado para el cambio.
alcance de la PCI DSS de una entidad como
en su caso Se obtuvo y document el cierre por parte del parte de un programa de cumplimiento de la
Cierre documentado de los resultados personal responsable (como se define en A3.1.3). PCI DSS dedicado, o pueden caer bajo el
de la evaluacin de impacto por parte programa de cumplimiento global y/o de
del personal responsable (como se gobierno de una entidad.
define en A3.1.3)

requisitos de la PCI DSS; Requisitos 1-12
A3.2.2.1 Al trmino de un cambio, se A3.2.2.1 Para una muestra de los cambios en los Es importante contar con procesos para
deben verificar todos los requisitos de la sistemas y en la red, revise los registros de cambios, analizar todos los cambios realizados para
PCI DSS pertinente en todos los sistemas entreviste al personal y observe los sistemas/redes garantizar que todos los controles apropiados
y redes nuevos o modificados y se debe afectados para verificar que se implementaron los de la PCI DSS se aplican a cualquier sistema o
actualizar la documentacin, segn sea el requisitos aplicables de la PCI DSS y que se red agregados al entorno del alcance debido a
caso. Ejemplos de requisitos de la PCI actualiz la documentacin como parte del cambio. un cambio.
DSS que deben ser verificados incluyen, La construccin de esta validacin en los
pero no se limitan a: procesos de gestin de cambio ayuda a
El Diagrama de una red se actualiza garantizar que los inventarios de los dispositivos
para reflejar los cambios. y las normas de configuracin se mantienen
Los sistemas estn configurados segn actualizados y los controles de seguridad se
aplican donde sea necesario.
las normas de configuracin, con todas
las contraseas predeterminadas Un proceso de gestin de cambio deber incluir
cambiadas y los servicios innecesarios evidencia de apoyo que los requisitos de la PCI
deshabilitados. DSS se implementan o preservan mediante el
proceso iterativo.
Los sistemas estn protegidos con los
controles requeridos, por ejemplo, la
supervisin de la integridad de archivos
(FIM), los antivirus, los parches, y el
registro de auditora.
Verifique que los datos confidenciales
de autenticacin (SAD) no se
almacenan y que el almacenamiento de
todos los datos del titular de la tarjeta
(CHD) se documenta e incorpora en la
poltica y los procedimientos de
retencin de datos
Los nuevos sistemas se incluyen en el
proceso trimestral de anlisis de
vulnerabilidad.

requisitos de la PCI DSS; Requisito 1-12
A3.2.3 Los cambios en la estructura A3.2.3 Examinar las polticas y procedimientos para La estructura y la gestin de una organizacin
organizativa, por ejemplo, la fusin o la verificar que un cambio en la estructura organizativa definen los requisitos y protocolos para las
adquisicin de empresas, el cambio o da lugar a la revisin formal del impacto del alcance operaciones eficaces y seguras. Los cambios
reasignacin del personal encargado de los de la PCI DSS y la aplicabilidad de los controles. en esta estructura podran tener efectos
controles de seguridad, da lugar a una negativos en los controles y en los marcos
revisin formal (interna) del impacto del existentes mediante la reasignacin o la
alcance de la PCI DSS y la aplicabilidad de eliminacin de los recursos que una vez
los controles. apoyaron los controles de la PCI DSS o heredar
nuevas responsabilidades que pueden no haber
Referencia de la PCI DSS: Requisito 12 establecido controles implementados. Por lo
tanto, es importante revisar nuevamente el
alcance y los controles de la PCI DSS cuando
hay cambios para garantizar que los controles
estn implementados y activos.
A3.2.4 Si se utiliza la segmentacin, A3.2.4 Examinar los resultados de la prueba de Si la segmentacin se utiliza para aislar las
confirme el alcance de la PCI DSS al realizar penetracin ms reciente para verificar que: redes en el alcance de las redes fuera del
pruebas de penetracin en los controles de La prueba de penetracin se realiza para verificar alcance, los controles de segmentacin deben
segmentacin, al menos cada seis meses y los controles de segmentacin, por lo menos cada verificarse mediante la prueba de penetracin
despus de cualquier cambio a los seis meses y despus de cualquier cambio a los para confirmar que siguen funcionando segn lo
controles/mtodos de segmentacin. previsto y con eficacia. Las tcnicas de las
controles/mtodos de segmentacin.
pruebas de penetracin debern seguir la
La prueba de penetracin abarca todos los
Referencia de la PCI DSS: Requisito 11 metodologa de penetracin existente como se
controles o mtodos de segmentacin
especifica en el Requisito 11 de la norma de la
implementados. PCI DSS.
La prueba de penetracin verifica que los
Para obtener informacin adicional sobre la
mtodos de segmentacin sean operativos y
prueba de penetracin efectiva, consulte el
eficaces, y que aslan todos los sistemas fuera de
Suplemento de informacin de la PCI SSC
alcance de los sistemas dentro del CDE.
sobre la Gua de la prueba de penetracin.
A3.2.5 Implemente una metodologa de A3.2.5.a Revise la metodologa de descubrimiento de La PCI DSS exige que, como parte del ejercicio
descubrimiento de datos para confirmar el datos documentada para verificar lo siguiente: de alcance, las entidades evaluadas deben
alcance de la PCI DSS y para localizar todas La metodologa de descubrimiento de datos identificar y documentar la existencia de todo el
las fuentes y ubicaciones de PAN en texto incluye procesos para identificar todas las fuentes PAN en texto claro en sus entornos. La
claro al menos trimestralmente y tras y ubicaciones del PAN en texto claro. implementacin de una metodologa de
cambios significativos en el entorno o en los descubrimiento de datos que identifica todas las
procesos del titular de tarjeta. La metodologa toma en consideracin el
fuentes y lugares de PAN en texto claro, y que
potencial del PAN en texto claro para residir en los
La metodologa de descubrimiento de datos tiene en cuenta la posibilidad de que el PAN en
sistemas y en las redes fuera del CDE
debe tomar en consideracin el potencial del texto claro resida en los sistemas y en las redes
actualmente definido.
PAN en texto claro para residir en los fuera del CDE actualmente definido o en
sistemas y en las redes fuera del CDE A3.2.5.b Revise los resultados de los recientes lugares inesperados dentro del CDE, por
actualmente definido. esfuerzos de descubrimiento de datos, y entreviste al ejemplo, en un registro de errores o en un
personal responsable para verificar que el archivo de volcado de memoria, ayuda a
Referencia de la PCI DSS: Alcance de los descubrimiento de datos se lleva a cabo por lo menos garantizar que las ubicaciones previamente
trimestralmente y tras cambios significativos en el desconocidas del PAN en texto claro se
requisitos de la PCI DSS
entorno o en los procesos del titular de tarjeta. detectan y se aseguran adecuadamente.
Se puede realizar un proceso de
descubrimiento de datos a travs de una
variedad de mtodos, incluido, pero no limitado
a: (1) software de descubrimiento de datos
disponible en el mercado, (2) un programa
interno de descubrimiento de datos, o (3) una
bsqueda manual. Independientemente del
mtodo utilizado, el objetivo del esfuerzo es
encontrar todas las fuentes y las ubicaciones
del PAN en texto claro (no solo en el CDE
definido).
A3.2.5.1 Garantice la eficacia de los A3.2.5.1.a Entreviste al personal y revise la Un proceso para poner a prueba la eficacia de
mtodos utilizados para el descubrimiento documentacin para verificar que: los mtodos utilizados para el descubrimiento
de los datospor ejemplo, los mtodos La entidad tiene un proceso implementado para de datos garantiza la integridad y la exactitud de
deben ser capaces de descubrir el PAN en probar la eficacia de los mtodos utilizados la deteccin de los datos del titular de la tarjeta.
texto claro en todos los tipos de para el descubrimiento de datos. Para la finalizacin, se deber incluir al menos
componentes del sistema (por ejemplo, en una muestra de los componentes del sistema,
El proceso incluye la verificacin de los
cada sistema operativo o plataforma) y tanto en las redes dentro y fuera de alcance en
mtodos que son capaces de descubrir el PAN
formatos de archivo en uso. el proceso de descubrimiento de datos. La
en texto claro sobre todos los tipos de
Se debe confirmar la eficacia de los precisin puede ser probada al colocar los PAN
componentes del sistema y los formatos de
mtodos de descubrimiento de datos por lo de prueba sobre una muestra de componentes
archivo en uso.
menos anualmente. del sistema y formatos de archivo en uso y
A3.2.5.1.b Revise los resultados de las pruebas de confirmar que el mtodo de descubrimiento de
Referencia de la PCI DSS: Alcance de los efectividad recientes para verificar que se confirma datos detect el PAN de prueba.
requisitos de la PCI DSS la eficacia de los mtodos utilizados para el
descubrimiento de datos, por lo menos anualmente.
A3.2.5.2 Implemente procedimientos de A3.2.5.2.a Revise los procedimientos de respuesta Despus de documentar los procedimientos de
respuesta a iniciar tras la deteccin del documentados para verificar que se definen e respuesta que se siguen en el caso de que el
PAN en texto claro fuera del CDE para incluyen los procedimientos para responder a la PAN en texto claro se encuentre fuera del CDE
incluir: deteccin del PAN en texto claro fuera del CDE: ayuda a identificar las medidas de remediacin
Procedimientos para determinar qu Procedimientos para determinar qu hacer si el necesarias y evitar fugas en el futuro. Por
hacer si el PAN en texto claro se PAN en texto claro se descubre fuera del CDE, ejemplo, si el PAN fue encontrado fuera del
descubre fuera del CDE, incluidas su incluidas su recuperacin, eliminacin segura CDE, el anlisis se deber realizar para (1)
recuperacin, eliminacin segura y/o y/o migracin en el CDE definido actualmente, determinar si se ha guardado de forma
migracin en el CDE definido segn sea el caso independiente de otros datos (o si era parte de
actualmente, segn sea el caso una pista completa?), (2) identificar el origen de
Procedimientos para determinar cmo los datos
los datos, y (3) identificar las brechas de control
Procedimientos para determinar cmo terminaron fuera del CDE
que dieron lugar a que los datos estn fuera del
los datos terminaron fuera del CDE Procedimientos para remediar las fugas de CDE.
Procedimientos para remediar las datos o las brechas de procesos que dieron
fugas de datos o las brechas de lugar a que los datos queden fuera del CDE
procesos que dieron lugar a que los Procedimientos para identificar la fuente de los
datos queden fuera del CDE datos
Procedimientos para identificar la Procedimientos para identificar si datos de la
fuente de los datos pista se almacenan con el PAN
Procedimientos para identificar si
datos de la pista se almacenan con
el PAN
A3.2.5.2.b Entreviste al personal y examine los
registros de las medidas de respuesta para que las
actividades de remediacin se realicen cuando se
detecta el PAN en texto claro fuera del CDE.
A3.2.6 Implemente mecanismos para A3.2.6.a Revise la documentacin y observe los Mecanismos para detectar y prevenir la prdida
detectar y prevenir que el PAN en texto claro mecanismos implementados para verificar que los no autorizada del PAN en texto claro pueden
salga del CDE a travs de un canal, mtodo mecanismos estn: incluir a las herramientas apropiadas, como las
o proceso no autorizado, incluida la Implementados y funcionando activamente soluciones de prevencin de prdida de datos
generacin de registros de auditora y (DLP) y/o los procesos y procedimientos
Configurados para detectar y prevenir que el PAN
alertas. manuales adecuados. La cobertura de los
en texto claro sale del CDE a travs de un canal,
mecanismos deber incluir, pero no se limita a,
mtodo o proceso no autorizado
Referencia de la PCI DSS: Alcance de los correos electrnicos, descargas a medios
requisitos de la PCI DSS Generando registros y alertas tras la deteccin del extrables, y salida a las impresoras. El uso de
PAN en texto claro que sale del CDE a travs de estos mecanismos permite a una organizacin
un canal, mtodo o proceso no autorizado detectar y prevenir situaciones que pueden dar
A3.2.6.b Revise los registros de auditora y las alertas, lugar a la prdida de datos.
y entreviste al personal responsable para verificar que
las alertas se investigan.
A3.2.6.1 Implemente los procedimientos de A3.2.6.1.a Revise los procedimientos documentados Los intentos de eliminar el PAN en texto claro a
respuesta a iniciar tras la deteccin de de respuesta para verificar que los procedimientos travs de un canal, mtodo o proceso no
intentos de eliminar el PAN en texto claro para responder al intento de eliminacin del PAN en autorizado pueden indicar la mala intencin de
del CDE a travs de un canal, mtodo o texto claro del CDE a travs de un canal, mtodo o robar datos, o pueden ser las acciones de un
proceso no autorizado. Los procedimientos proceso no autorizado incluyen: empleado autorizado que no est consciente de
de respuesta deben incluir: Procedimientos para la investigacin oportuna o, simplemente, no sigue los mtodos
Procedimientos para la investigacin de alertas por parte del personal responsable apropiados. La investigacin oportuna de estos
oportuna de alertas por parte del sucesos puede identificar dnde se necesita
Procedimientos para remediar las fugas de
personal responsable aplicar la remediacin y ofrece informacin
datos o las brechas del proceso, segn sea
valiosa para ayudar a entender de dnde
Procedimientos para remediar las necesario, para evitar cualquier prdida de
provienen las amenazas.
fugas de datos o las brechas del datos
proceso, segn sea necesario, para
A3.2.6.1.b Entreviste al personal y revise los
evitar cualquier prdida de datos
registros de las medidas tomadas cuando se detecta
que el PAN en texto claro sale del CDE a travs de
un canal, mtodo o proceso no autorizado y verifique
que se realizaron las actividades de remediacin.
A3.3 Validar la PCI DSS se incorpora en las actividades habituales (BAU)
A3.3.1 Implemente un proceso para detectar A3.3.1.a Revise las polticas y los procedimientos Sin procesos formales para la pronta deteccin
y alertar de inmediato las fallas de control de documentados para verificar que los procesos estn (lo antes posible) y la alerta de las fallas de
seguridad crticas. Ejemplos de controles de definidos para detectar y alertar de inmediato sobre control de seguridad crticas, las fallas pueden
seguridad crticos incluyen, pero no se las fallas crticas de control de seguridad. pasar desapercibidas durante perodos
limitan a: prolongados y proporcionar a los atacantes
A3.3.1.b Revise los procesos de deteccin y de alerta tiempo suficiente para poner en riesgo los
Firewalls y entreviste al personal para verificar que los procesos sistemas y robar datos sensibles del entorno de
IDS/IPS se implementan para todos los controles de seguridad datos del titular de la tarjeta.
FIM crticos, y que la falla de un control de seguridad
crtico da lugar a la generacin de una alerta.
Antivirus
Controles de acceso fsicos
Controles de acceso lgico
Mecanismos de registro de auditora
Controles de segmentacin (si se
utilizan)
Referencia de la PCI DSS: Requisitos

1-12
A3.3.1.1 Responda a las fallas de los A3.3.1.1.a Revise las polticas y los procedimientos La evidencia documentada (por ejemplo, los
controles de seguridad crticos de manera documentados y entreviste al personal para verificar registros dentro de un sistema de gestin de
oportuna. Los procesos para responder en que los procesos se definen e implementan para problemas) deber apoyar los procesos y
caso de fallas en el control de seguridad responder a una falla en el control de seguridad, e procedimientos implementados para responder
son los siguientes: incluya: a las fallas de seguridad. Adems, el personal
Restaurar las funciones de seguridad Restaurar las funciones de seguridad deber ser consciente de sus responsabilidades
en el caso de una falla. Las medidas y las
Identificar y documentar la duracin Identificar y documentar la duracin (fecha y
respuestas a la falla debern ser capturadas en
(fecha y hora de inicio a fin) de la falla hora de inicio a fin) de la falla de seguridad
la evidencia documentada.
de seguridad Identificar y documentar las causas de la falla,
Identificar y documentar las causas incluida la causa raz, y documentar la
de la falla, incluida la causa raz, y remediacin requerida para abordar la causa
documentar la remediacin requerida raz
para abordar la causa raz Identificar y abordar cualquier problema de
Identificar y abordar cualquier seguridad que surja durante la falla del control
problema de seguridad que surja de seguridad
durante la falla del control de Realizar una evaluacin de riesgos para
seguridad determinar si se requieren ms acciones como
Realizar una evaluacin de riesgos resultado de la falla de seguridad
para determinar si se requieren ms Implementar controles para prevenir que se
acciones como resultado de la falla de vuelva a producir la causa de la falla
seguridad Reanudar la supervisin de los controles de
Implementar controles para prevenir seguridad
que se vuelva a producir la causa de
la falla A3.3.1.1.b Revise los registros para verificar que se
documentan las fallas de control de seguridad para
Reanudar la supervisin de los
incluir:
controles de seguridad
Identificacin de las causas de la falla, incluida
Referencia de la PCI DSS: Requisitos 1-12 la causa raz
Duracin (fecha y hora de inicio y fin) de la falla
de seguridad
Detalles de la remediacin necesaria para
abordar la causa raz
A3.3.2 Revise las tecnologas de hardware y A3.3.2.a Revise las polticas y los procedimientos Las tecnologas de hardware y software estn
software por lo menos anualmente para documentados y entreviste al personal para verificar en constante evolucin, y las organizaciones
confirmar si siguen cumpliendo los requisitos que los procesos se definen e implementan para deben ser conscientes de los cambios en las
de la PCI DSS de la organizacin. (Por revisar las tecnologas de hardware y software y tecnologas que utilizan, as como las
ejemplo, una revisin de las tecnologas que confirmar si siguen cumpliendo con los requisitos de la amenazas en evolucin a esas tecnologas. Las
ya no reciben soporte del proveedor y y/o PCI DSS de la organizacin. organizaciones tambin deben ser conscientes
que ya no cumplen con las necesidades de de los cambios realizados por los proveedores
seguridad de la organizacin.) A3.3.2.b Revise los resultados de las recientes de tecnologa a sus productos o procesos de
revisiones para verificar que las revisiones se realizan apoyo, para entender cmo estos cambios
El proceso incluye un plan para remediar las por lo menos anualmente.
tecnologas que ya no cumplen con los pueden afectar el uso de la organizacin de la
requisitos de la PCI DSS de la organizacin, A3.3.2.c Para cualquier tecnologa que se ha tecnologa.
hasta e incluido el reemplazo de la determinado que ya no cumple con los requisitos de la Las revisiones peridicas de las tecnologas
tecnologa, segn sea el caso. PCI DSS de la organizacin, verifique que un plan que tienen un impacto o influencia en los
est implementado para remediar la tecnologa. controles de la PCI DSS pueden ayudar con la
Referencia de la PCI DSS: Requisitos 2, 6 compra, el uso y las estrategias de
implementacin, y garantizar que los controles
que dependen de esas tecnologas siguen
siendo eficaces.
A3.3.3 Realizar revisiones por lo menos A3.3.3.a Revise las polticas y los procedimientos para La implementacin de los controles de la PCI
trimestralmente para verificar que se verificar que los procesos se definen para la revisin y DSS en las actividades habituales es un mtodo
siguen las actividades de BAU. Las verificacin de las actividades BAU. Verifique que los eficaz para garantizar que la seguridad se
revisiones deben ser realizadas por el procesos incluyan: incluye como parte de las operaciones
personal asignado al programa de Confirmar que todas las actividades BAU (por comerciales normales de manera continua. Por
cumplimiento de la PCI DSS (como se ejemplo, A3.2.2, A3.2.6 y A3.3.1) se realizan lo tanto, es importante que se realicen los
identifica en A3.1.3), e incluyen lo controles independientes para garantizar que
siguiente: Confirmar que el personal siga las polticas de
los controles BAU estn activos y trabajando
seguridad y los procedimientos operativos (por como se espera.
Confirmacin de que se realizan todas ejemplo, las revisiones del registro diario, las
las actividades de BAU (por ejemplo, revisiones del conjunto de reglas de firewall, las La intencin de estos controles independientes
A3.2.2, A3.2.6 y A3.3.1) normas de configuracin para nuevos sistemas, es revisar la evidencia que confirma que se
Confirmacin de que el personal sigue etc.) realizan las actividades habituales.
las polticas de seguridad y los Documentar cmo se completaron las revisiones, Estas revisiones tambin se pueden usar para
procedimientos operativos (por ejemplo, incluido cmo se verificaron todas las actividades verificar que se mantiene la evidencia
las revisiones del registro diario, las BAU como implementadas correspondiente, por ejemplo, registros de
revisiones del conjunto de reglas de Recopilar la evidencia documentada segn se auditoras, informes de anlisis de
firewall, las normas de configuracin requiera para la evaluacin anual de la PCI DSS vulnerabilidades, revisiones de firewall, etc.,
para nuevos sistemas, etc.) para ayudar a la entidad a prepararse para la
La revisin y cierre de los resultados por parte de
Documentar cmo se completaron las la gerencia ejecutiva con la responsabilidad
siguiente evaluacin de la PCI DSS.
revisiones, incluido cmo se verificaron asignada del gobierno de la PCI DSS
todas las actividades BAU como
Mantener los registros y la documentacin durante
implementadas.
al menos 12 meses, que cubra todas las
Se requiere la recopilacin de la actividades BAU
evidencia documentada para la
evaluacin anual de la PCI DSS A3.3.3.b Entreviste al personal responsable y examine
Revisin y cierre de los resultados por el los registros de las revisiones para verificar que:
personal asignado con la Las revisiones las realiza el personal asignado al
responsabilidad del programa de programa de cumplimiento de la PCI DSS
cumplimiento de la PCI DSS (como se Las revisiones se realizan por lo menos
identifica en A3.1.3) trimestralmente
Retencin de registros y la
documentacin durante al menos 12
meses, que abarcan todas las
actividades BAU
Referencia de la PCI DSS: Requisitos 1-12
A3.4 Controlar y gestionar el acceso lgico al entorno de los datos del titular de la tarjeta
A3.4.1 Revise las cuentas de usuario y los A3.4.1 Entreviste al personal y revise la Los requisitos de acceso evolucionan con el
privilegios de acceso a los componentes del documentacin de respaldo para verificar lo siguiente: tiempo a medida que las personas cambian
sistema en el alcance por lo menos cada Las cuentas de usuario y los privilegios de acceso roles o dejan la empresa, y a medida que
seis meses para garantizar que las cuentas y se revisan por lo menos cada seis meses. cambian las funciones de trabajo. La gerencia
el acceso de usuario siguen siendo debe revisar peridicamente, revalidar, y
adecuados en funcin al trabajo, y a lo Las revisiones confirman que el acceso es
actualizar el acceso de los usuarios, segn sea
autorizado. adecuado en funcin al trabajo, y que todo acceso
necesario, para reflejar los cambios en el
est autorizado.
personal, incluidas las funciones laborales de
Referencia de la PCI DSS: Requisito 7 los terceros y de los usuarios.
A3.5 Identificar y responder a eventos sospechosos

A3.5.1Implementar una metodologa para la A3.5.1.a Revise la documentacin y entreviste al La capacidad de identificar patrones de ataque
identificacin oportuna de los patrones de personal para verificar que se define y se implementa y un comportamiento no deseado en todos los
ataque y el comportamiento no deseado en una metodologa para identificar los patrones de sistemas es fundamental en la prevencin,
todos los sistemas, por ejemplo, utilizar ataque y un comportamiento no deseado en todos los deteccin, o minimizar el impacto de los riesgos
revisiones manuales coordinadas y/o sistemas de manera oportuna, y que incluya lo para los datos. La presencia de los registros en
herramientas de correlacin de registro siguiente: todos los entornos permite el rastreo, alertas y
automatizadas que incluyan al menos lo Identificacin de anomalas o actividades anlisis cuando algo no funciona bien.
siguiente: sospechosas, a medida que se producen Determinar la causa de un riesgo es muy difcil,
si no imposible, sin un proceso para corroborar
Identificacin de anomalas o Emisin de alertas oportunas para el personal
actividades sospechosas, a medida que la informacin de los componentes del sistema
responsable
se producen crticos, y los sistemas que realizan funciones
Respuesta a las alertas de acuerdo con los de seguridad, como firewalls, IDS/IPS, y los
La emisin de alertas oportunas tras la procedimientos documentados de respuesta sistemas de supervisin de integridad de
deteccin de actividades sospechosas o
A3.5.1.b Revise los procedimientos de respuesta a archivos (FIM). Por lo tanto, se deber recoger,
anomalas para el personal responsable correlacionar y mantener los registros de todos
incidentes y entreviste al personal responsable para
Respuesta a las alertas de acuerdo con los componentes del sistema crticos que
verificar que:
los procedimientos documentados de realizan funciones de seguridad. Esto podra
respuesta El personal de turno recibe alertas oportunas. incluir el uso de productos de software y
Se responde a las alertas segn los metodologas de servicios para proporcionar
Referencia de la PCI DSS: procedimientos de respuesta documentados. anlisis, alertas y presentacin de informes en
Requisitos 10, 12 tiempo real, como la informacin de seguridad y
la gestin de eventos (SIEM), la supervisin de
la integridad de archivos (FIM), o la deteccin
de cambios.
Anexo B: Controles de compensacin
Los controles de compensacin se pueden tener en cuenta para la mayora de los requisitos de las PCI
DSS cuando una entidad no puede cumplir con un requisito explcitamente establecido, debido a los
lmites comerciales legtimos tcnicos o documentados, pero pudo mitigar el riesgo asociado con el
requisito de forma suficiente, mediante la implementacin de otros controles, o controles de
compensacin."
Los controles de compensacin deben cumplir con los siguientes criterios:
1. Cumplir con el propsito y el rigor del requisito original de las PCI DSS.
2. Proporcionar un nivel similar de defensa, tal como el requisito original de PCI DSS, de manera que
el control de compensacin compense el riesgo para el cual se dise el requisito original de las
PCI DSS. (Consulte Exploracin de las PCI DSS para obtener el propsito de cada requisito de
PCI DSS.)
3. Conozca en profundidad otros requisitos de las PCI DSS. (El simple cumplimiento con otros
requisitos de las PCI DSS no constituye un control de compensacin).
Al evaluar exhaustivamente los controles de compensacin, considere lo siguiente:
Nota: Los puntos a) a c) que aparecen a continuacin son slo ejemplos. El asesor que realiza la
revisin de las PCI DSS debe revisar y validar si los controles de compensacin son suficientes.
La eficacia de un control de compensacin depende de los aspectos especficos del entorno en el que
se implementa el control, los controles de seguridad circundantes y la configuracin del control.
Las empresas deben saber que un control de compensacin en particular no resulta eficaz en todos
los entornos.
a) Los requisitos de las PCI DSS NO SE PUEDEN considerar controles de compensacin si ya
fueron requisito para el elemento en revisin. Por ejemplo, las contraseas para el acceso
administrativo sin consola se deben enviar cifradas para mitigar el riesgo de que se intercepten
contraseas administrativas de texto claro. Una entidad no puede utilizar otros requisitos de
contrasea de las PCI DSS (bloqueo de intrusos, contraseas complejas, etc.) para compensar
la falta de contraseas cifradas, puesto que esos otros requisitos de contrasea no mitigan el
riesgo de que se intercepten las contraseas de texto claro. Adems, los dems controles de
contrasea ya son requisitos de las PCI DSS para el elemento en revisin (contraseas).
b) Los requisitos de las PCI DSS SE PUEDEN considerar controles de compensacin si se
requieren para otra rea, pero no son requisito para el elemento en revisin. Por ejemplo, la
autenticacin de mltiples factores es un requisito de las PCI DSS para el acceso remoto.
La autenticacin de mltiples factores desde la red interna tambin se puede considerar un
control de compensacin para el acceso administrativo sin consola cuando no se puede admitir
la transmisin de contraseas cifradas. La autenticacin de mltiples factores posiblemente sea
un control de compensacin aceptable si; (1) cumple con el objetivo del requisito original al
abordar el riesgo de que se intercepten contraseas administrativas de texto claro y (2) est
adecuadamente configurada y en un entorno seguro.
c) Los requisitos existentes de las PCI DSS se pueden combinar con nuevos controles para
convertirse en un control de compensacin. Por ejemplo, si una empresa no puede dejar ilegibles
los datos de los titulares de tarjetas segn el requisito 3.4 (por ejemplo, mediante cifrado), un
control de compensacin podra constar de un dispositivo o combinacin de dispositivos,
aplicaciones y controles que aborden todo lo siguiente: (1) segmentacin de red interna;
(2) filtrado de direccin IP o direccin MAC y (3) autenticacin de mltiples factores desde la
red interna.
2006-2016 Consejo sobre Normas de Seguridad de la PCI, LLC. Todos los derechos reservados. Abril de 2016
4. Sea cuidadoso con el riesgo adicional que impone la no adhesin al requisito de las PCI DSS
El asesor debe evaluar por completo los controles de compensacin durante cada evaluacin anual de
PCI DSS para validar que cada control de compensacin aborde de forma correcta el riesgo para el cual
se dise el requisito original de PCI DSS, segn los puntos 1 a 4 anteriores. Para mantener el
cumplimiento, se deben aplicar procesos y controles para garantizar que los controles de compensacin
permanezcan vigentes despus de completarse la evaluacin.
Anexo C: Hoja de trabajo de controles de compensacin
Utilice esta hoja de trabajo para definir los controles de compensacin para cualquier requisito en el cual
se utilicen controles de compensacin para cumplir con un requisito de PCI DSS. Tenga en cuenta que
los controles de compensacin tambin se deben documentar en el Informe sobre cumplimiento en la
seccin de requisitos de PCI DSS correspondiente.
Nota: Slo las empresas que han llevado a cabo un anlisis de riesgos y que tienen limitaciones
legtimas tecnolgicas o documentadas pueden considerar el uso de controles de compensacin para
lograr el cumplimiento.
Definicin y nmero de requisito:
Informacin requerida Explicacin

1. Limitaciones Enumere las limitaciones que impiden
el cumplimiento con el requisito original.
2. Objetivo Defina el objetivo del control original;
identifique el objetivo con el que cumple
el control de compensacin.
3. Riesgo Identifique cualquier riesgo adicional
identificado que imponga la falta del control original.
4. Definicin de Defina controles de compensacin y
controles de explique de qu manera identifican los
compensacin objetivos del control original y el riesgo
elevado, si es que existe alguno.
5. Validacin de Defina de qu forma se validaron y se
controles de probaron los controles de
compensacin compensacin.
6. Mantenimiento Defina los procesos y controles que se
aplican para mantener los controles de
compensacin.
Hoja de trabajo de controles de compensacin Ejemplo
completo
Utilice esta hoja de trabajo para definir los controles de compensacin para cualquier requisito indicado
como implementado a travs de los controles de compensacin.
Nmero de requisito: 8.1.1 Se identifican todos los usuarios con una ID de usuario exclusiva antes de
permitirles el acceso a los componentes del sistema y a los datos del titular de la tarjeta?
Informacin requerida Explicacin

1. Limitaciones Enumere las limitaciones La empresa XYZ emplea servidores Unix
que impiden el cumplimiento independientes sin LDAP. Como tales,
con el requisito original. requieren un inicio de sesin raz. Para la
empresa XYZ no es posible gestionar el inicio
de sesin raz ni es factible registrar toda la
actividad raz de cada usuario.
2. Objetivo Defina el objetivo del control El objetivo del requisito de inicios de sesin
original; identifique el nicos es doble. En primer lugar, desde el
objetivo con el que cumple punto de vista de la seguridad, no se
el control de compensacin. considera aceptable compartir las
credenciales de inicio de sesin. En segundo
lugar, el tener inicios de sesin compartidos
hace imposible establecer de forma definitiva
a la persona responsable de una accin en
particular.
3. Riesgo Identifique cualquier riesgo Al no garantizar que todos los usuarios
identificado adicional que imponga la cuenten con una ID nica y se puedan
falta del control original. rastrear, se introduce un riesgo adicional en el
acceso al sistema de control.
4. Definicin de Defina controles de La empresa XYZ va a requerir que todos los
controles de compensacin y explique de usuarios inicien sesin en los servidores
compensacin qu manera identifican los utilizando sus cuentas de usuario normales, y
objetivos del control original luego utilizar el comando "sudo" para ejecutar
y el riesgo elevado, si es cualquier comando administrativo. Esto
que existe alguno. permite el uso de los privilegios de la cuenta
"raz" para ejecutar los comandos
predefinidos que sudo registra en el registro
de seguridad. De esta manera, se puede
realizar un seguimiento de las acciones de
cada usuario mediante la cuenta SU, sin
necesidad de compartir con los usuarios la
contrasea raz.
5. Validacin de Defina de qu forma se La empresa XYZ demuestra al asesor que el
controles de validaron y se probaron los comando sudo est configurado
compensacin controles de compensacin. correctamente utilizando un archivo "sudoers",
que solo los comandos predefinidos pueden
ser ejecutados por los usuarios especificados,
y que todas las actividades realizadas por
esas personas que usan sudo estn
conectadas para identificar a la persona que
realiza las acciones utilizando los privilegios
de "raz".
6. Mantenimiento Defina los procesos y La empresa XYZ documenta los procesos y
controles que se aplican procedimientos para asegurarse de que la
para mantener los controles configuracin SU no se cambie, modifique ni
de compensacin. elimine para que los usuarios ejecuten
comandos raz sin que se los pueda
identificar, rastrear o registrar.
Anexo D: Segmentacin y muestreo de instalaciones de negocios/Componentes
de sistemas

Pci Dss v3-2 Es-La

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Pci Dss v3-2 Es-La

Enviado por

Direitos autorais:

Formatos disponíveis

Industria de tarjetas de pago (PCI)

Norma de seguridad de datos

Requisitos y procedimientos de evaluacin de

Normas de seguridad de datos de la PCI: descripcin general de alto nivel

Recursos de las PCI DSS

Consulte www.pcisecuritystandards.org para obtener ms informacin sobre estos y otros recursos.

Nmero de cuenta principal (PAN) Contenido completo de la pista (datos

Nombre del titular de la tarjeta S No

Datos Contenido completo de la pista 3 No No se pueden almacenar segn el Requisito 3.2

Aplicabilidad de las PCI DSS a los proveedores de aplicaciones de pago

Para confirmar la exactitud del CDE definido, realice lo siguiente:

Uso de proveedores de servicios externos/tercerizacin

Para cada instancia donde se hayan utilizado muestras, el asesor debe:

Proceso de evaluacin de las PCI DSS

Versin Publicado: Retirado:

Requisitos de las PCI DSS Procedimientos de prueba Gua

Requisitos de las PCI DSS Procedimientos de prueba Gua

2.3.e Si se utiliza la SSL/TLS temprana, realice los

Requisitos de las PCI DSS Procedimientos de prueba Gua

3.6.7.b Entreviste al personal y observe los procesos para

3.6.8.b Observe la documentacin y otra evidencia que

Requisitos de las PCI DSS Procedimientos de prueba Gua

Requisitos de las PCI DSS Procedimientos de prueba Gua

Requisitos de las PCI DSS Procedimientos de prueba Gua

Requisitos de las PCI DSS Procedimientos de prueba Gua

Requisitos de las PCI DSS Procedimientos de prueba Gua

8.2.1.e Procedimientos de pruebas adicionales solo para

8.6.c Examine los parmetros de configuracin del sistema y los

Requisitos de las PCI DSS Procedimientos de prueba Gua

Documente el nombre del visitante, la Nombre del visitante

Requisitos de las PCI DSS Procedimientos de prueba Gua

10.4.1.b Observe la configuracin de los parmetros del sistema

Nota: Este requisito se considerar la

Requisitos de las PCI DSS Procedimientos de prueba Gua

11.2.3.c Verifique que el anlisis lo haya realizado un

11.3.1.b Verifique que la prueba la haya realizado un La determinacin de qu constituye una

11.3.2.b Verifique que la prueba la haya realizado un

11.3.4.b Examinar los resultados de la prueba de

11.3.4.c Verifique que la prueba la haya realizado un

11.3.4.1.b Verifique que la prueba la haya realizado un

Requisitos de las PCI DSS Procedimientos de prueba Gua

12.6.1.c Entreviste a un grupo de empleados para verificar

12.10.4 Capacite adecuadamente al 12.10.4 Mediante la observacin, la revisin de las

Nota: Este requisito se considerar la mejor

Se proporciona gua e informacin de aplicabilidad en cada seccin.

Requisitos A1 Procedimientos de prueba Gua

Requisitos A2 Procedimientos de prueba Gua

Nota: Con anterioridad al 30 de junio de

A3.2 Documentar y validar el alcance de la PCI DSS

Referencia de la PCI DSS: Alcance de los

Referencia de la PCI DSS: Alcance de los

Referencia de la PCI DSS: Requisitos

Referencia de la PCI DSS: Requisitos 1-12

A3.5 Identificar y responder a eventos sospechosos

Definicin y nmero de requisito:

Informacin requerida Explicacin

Informacin requerida Explicacin

Você também pode gostar