Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos
Cuestionario de Autoevaluación
Instrucciones y Lineamientos
Versión 1.1 Febrero 2008
Contenido
Acerca de este Documento ... 1 Autoevaluación de Normas de Seguridad de Datos de la Industria de Tarjetas de Pago: Cómo Encajan Todas las Piezas ... 2 Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI):
Documentos Relacionados ... 3 Descripción General del Cuestionario de Autoevaluación ... 4
¿Por Qué Es Importante Cumplir con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)? ... 5 Sugerencias Generales y Estrategias de Preparación para la Validación del
Cumplimiento ... 7 Cómo Seleccionar el Cuestionario de Autoevaluación y la Confirmación de
Cumplimiento que Mejor Se Aplica a Su Organización ... 10
Tipo 1 de Validación / Cuestionario A: Tarjeta Ausente, Todas las Funciones Relacionadas con los Datos de Tarjetahabientes Subcontratadas a Terceros .... Error!
Bookmark not defined.
Tipo de Validación 2 / Cuestionario B: Máquina Impresora Solamente, Sin Almacenaje Electrónico de Datos de Tarjetahabientes ... 11 Tipo de Validación 3 / Cuestionario B Terminales Independientes con Discado Externo, Sin
Almacenaje Electrónico de Datos de Tarjetahabientes ... 12 Tipo de Validación 4 / Cuestionario C:Comercios con Aplicaciones de Pago Conectadas a Internet.. 12 Tipo de Validación 5 / Cuestionario D: Todos los Demás Comercios y Todos los Proveedores de
Servicio Definidos por una Marca de Pago como Elegibles para Completar un Cuestionario de Autoevaluación ... 13
Instrucciones para Completar el Cuestionario de Autoevaluación ... 14
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago Febrero 2008
Acerca de este Documento
Este documento se ha desarrollado para ayudar a los comercios y proveedores de servicio a entender el Cuestionario de Autoevaluación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Lea completo este documento de Instrucciones y Lineamientos para entender por qué las normas de seguridad de datos de la industria de tarjetas de pago son importantes para su
organización, las estrategias que puede utilizar para facilitar la validación del cumplimiento con las mismas, y determinar si su organización es elegible para completar una de las versiones abreviadas del Cuestionario de Autoevaluación. Las siguientes secciones delinean lo que usted necesita saber acerca del Cuestionario de Autoevaluación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Autoevaluación de Normas de Seguridad de Datos de la Industria de Tarjetas de Pago: Cómo Encajan Todas las Piezas
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI): Documentos Relacionados
Descripción General del Cuestionario de Autoevaluación
¿Por Qué Es Importante Cumplir con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)?
Sugerencias Generales y Estrategias de Preparación para la Validación del Cumplimiento
Cómo Seleccionar el Cuestionario de Autoevaluación que Mejor Se Aplica a Su Organización
Guía para la Exclusión de Ciertos Requisitos Específicos
Cómo Llenar el Cuestionario
Autoevaluación de Normas de Seguridad de Datos de la Industria de Tarjetas de Pago: Cómo Encajan Todas las Piezas
Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago y los documentos de apoyo representan un conjunto de herramientas y medidas comunes que se utilizan en la industria con el fin de asegurar el manejo seguro de la información confidencial. Las normas proporcionan un marco de trabajo que se puede utilizar activamente para desarrollar un proceso robusto de seguridad de datos de
cuentas—incluyendo la prevención y detección de incidentes de seguridad y la respuesta a los mismos.
Con el fin de reducir el riesgo de que ocurra un compromiso de la seguridad y mitigar su impacto si el mismo llegara a ocurrir, es importante que todas las entidades que almacenan, procesan o transmiten datos de los tarjetahabientes cumplan con las normas. El diagrama que aparece a continuación delinea las herramientas ya establecidas para ayudar a las organizaciones a cumplir con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y la autoevaluación.
Puede consultar estos y otros documentos relacionados con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago en www.pcisecuritystandards.org.
Normas de Seguridad de Datos de la Industria
de Tarjetas de Pago
Cuestionario de Autoevaluación de Normas de Seguridad de
Datos
Cuestionarios de Autoevaluación
A a D
Confirmación de Cumplimiento
Documentos Relacionados
Cómo Navegar a Través de las Normas de Seguridad
de Datos
Glosario, Abreviaturas y Acrónimos
Procedimientos de Auditoría de Seguridad de las
Normas de Seguridad de Datos
de la Industria de Tarjetas de Pago
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI):
Documentos Relacionados
Los siguientes documentos fueron creados para ayudar a los comercios y proveedores de servicio a entender las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago y el Cuestionario de Autoevaluación.
Documento: Dirigido a:
PCI Data Security Standard
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago
Todos los comercios y proveedores de servicio
Navigating PCI DSS: Understanding the Intent of the Requirements Cómo Navegar a través de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago: Entendiendo la Intención de los Requisitos
Todos los comercios y proveedores de servicio
PCI Data Security Standard: Self-Assessment Guidelines and Instructions
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago:
Lineamientos e Instrucciones
Todos los comercios y proveedores de servicio
PCI Data Security Standard: Self-Assessment Questionnaire A and Attestation
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago:
Cuestionario de Autoevaluación A y Confirmación de Cumplimiento
Comercios1
PCI Data Security Standard: Self-Assessment Questionnaire B and Attestation
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago:
Cuestionario de Autoevaluación B y Confirmación de Cumplimiento
Comercios1
PCI Data Security Standard: Self-Assessment Questionnaire C and Attestation
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago:
Cuestionario de Autoevaluación C y Confirmación de Cumplimiento
Comercios1
PCI Data Security Standard: Self-Assessment Questionnaire D and Attestation
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago:
Cuestionario de Autoevaluación D y Confirmación de Cumplimiento
Proveedores de servicio y todos los demás comercios1
PCI DSS Glossary, Abbreviations, and Acronyms
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago:
Todos los comercios y proveedores de servicio
1 A fin de determinar cuál es el Cuestionario de Autoevaluación apropiado, vea Normas de Seguridad de Datos de la Industria de Tarjetas de Pago: Lineamientos e Instrucciones para Completar el
Cuestionario de Autoevaluación, “Para Seleccionar el Cuestionario de Autoevaluación y Confirmación de Cumplimiento Que Mejor Se Aplican a Su Organización”.
Glosario, Abreviaturas y Acrónimos
Descripción General del Cuestionario de Autoevaluación
El Cuestionario de Autoevaluación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago es una herramienta de validación cuya intención es asistir a los comercios y proveedores de servicio en el proceso de evaluar su cumplimiento con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Hay varias versiones del Cuestionario de Autoevaluación que
corresponden a diversos escenarios y situaciones. Este documento se ha desarrollado para ayudar a las organizaciones a determinar cuál Cuestionario de Autoevaluación se aplica mejor a su caso.
El Cuestionario de Autoevaluación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago es una herramienta de validación para los comercios y proveedores de servicio a los cuales no se les requiere pasar una evaluación de seguridad in situ según los Procedimientos de Auditoría de Seguridad de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, y puede ser requerido por su adquirente o marca de pago. Consulte con su banco adquirente o marca de pago para obtener información más detallada referente a los requisitos de validación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago.
El Cuestionario de Autoevaluación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago consiste en los siguientes componentes:
1. Preguntas que se correlacionan con los requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, apropiadas para los proveedores de servicio y comercios: Vea
“Cómo Seleccionar el Cuestionario de Autoevaluación que Mejor Se Aplica a Su Organización”
en este documento.
2. Confirmación de Cumplimiento: La Confirmación es su certificación de que es elegible para realizar la Autoevaluación apropiada y ya la ha realizado.
¿Por Qué Es Importante Cumplir con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)?
Los miembros del PCI Security Standards Council (American Express, Discover, JCB, MasterCard y Visa) continuamente supervisan los casos en que se compromete la seguridad de los datos de las cuentas. Estos compromisos de la seguridad ocurren en todo tipo de organizaciones, desde las más pequeñas hasta las más grandes empresas y proveedores de servicio.
Una violación de la seguridad y el compromiso de la seguridad de los datos de las tarjetas de pago que la misma conlleva tienen consecuencias de muy largo alcance para las organizaciones afectadas, incluyendo:
1. Requisitos de notificaciones regulatorias 2. Pérdida de la buena reputación comercial 3. Pérdida de clientes
4. Posibles obligaciones económicas (por ejemplo, cuotas regulatorias, multas, etc.) 5. Litigios
El análisis forense de diversos tipos de compromisos de Información han revelado debilidades comunes que las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago contemplan, pero que las organizaciones afectadas no habían implementado cuando ocurrieron los incidentes. Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago fueron diseñadas precisamente por esta razón e incluyen requisitos detallados para minimizar las probabilidades de que ocurra un compromiso de la seguridad, así como el efecto del mismo, en caso de que ocurriera.
Las investigaciones realizadas después de ocurridos los incidentes de seguridad muestran en casi todos los casos violaciones comunes de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, incluyendo, sin limitación:
Almacenaje de datos de la banda magnética (Requisito 3.2). Es importante tener presente que muchas de las entidades que han visto comprometida la seguridad de sus datos no están conscientes de que sus sistemas están almacenando estos datos.
Controles de acceso inadecuados debido a sistemas de punto de venta instalados en forma inapropiada en los comercios, los cuales permiten a los delincuentes cibernéticos penetrarlos a través de vías de conexión reservadas para los proveedores de los equipos (Requisitos 7.1, 7.2, 8.2 y 8.3).
Valores y contraseñas por defecto que no se cambiaron cuando se instaló el sistema (Requisito 2.1).
Servicios innecesarios y vulnerables que no se eliminaron o reprogramaron cuando se instaló el sistema (Requisito 2.2.2).
Aplicaciones de Web con códigos deficientes que han permitido la inyección de códigos (SQL) y otras vulnerabilidades que permiten el acceso a la base de datos donde se guardan los datos de los tarjetahabientes directamente desde el sitio Web (Requisito 6.5).
Parches de seguridad que no se han instalado o están obsoletos (Requisito 6.1).
Falta de registros y bitácoras (Requisito 10).
Falta de monitoreo (por medio de revisiones de bitácoras y registros,
intrusión/detección/prevención, escanes trimestrales de vulnerabilidad y sistemas de monitoreo de la integridad de los archivos (Requisitos 10.6, 11.2, 11.4 y 11.5).
Falta de segmentación en una red que hace fácilmente accesibles los datos de los
tarjetahabientes debido a vulnerabilidades en otros lugares de la red (por ejemplo, desde puntos de acceso inalámbricos, correo electrónico de los empleados y exploradores de redes)
(Requisitos 1.3 y 1.4).
Sugerencias Generales y Estrategias de Preparación para la Validación del Cumplimiento
A continuación se delinean algunas sugerencias generales y estrategias para comenzar sus esfuerzos con vistas a la validación del cumplimiento con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago. Estas sugerencias podrían ayudarle a eliminar los datos que no necesita, a aislar los datos que sí necesita en áreas centralizadas, definidas y controladas, así como a limitar el alcance de sus esfuerzos para validar el cumplimiento con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago. Por ejemplo, al eliminar los datos que no necesita y/o aislar los datos que sí necesita en áreas centralizadas, definidas y controladas, puede eliminar los sistemas y redes que ya no
almacenan, procesan o transmiten datos de los tarjetahabientes de su proceso de autoevaluación.
1. Datos Confidenciales de Autenticación (incluyen el contenido íntegro de la banda magnética, los códigos de validación de tarjeta y los bloques de PIN):
a. Asegúrese de nunca almacenar estos datos.
b. Si no está seguro o no sabe, pregúntele al proveedor de su equipo de punto de venta si la versión de software y el producto que usted usa guarda estos datos. Como alternativa, considere contratar a un Evaluador de Seguridad Calificado (QSA) que le ayude a
determinar si su sistema está guardando, registrando o capturando en algún lugar los datos confidenciales de autenticación.
2. Si es un comercio, pregúntele al proveedor de su equipo de punto de venta sobre la seguridad de su sistema. Le sugerimos las siguientes preguntas:
a. ¿Guarda mi software de punto de venta datos de la banda magnética (datos de la pista) o bloques de PIN? Si es así, está prohibido almacenar estos datos. ¿Cuán rápidamente me puede ayudar a eliminarlos?
b. ¿Me puede documentar la lista de archivos escritos por la aplicación con un resumen del contenido de cada archivo, a fin de verificar que los datos mencionados anteriormente, cuyo almacenaje está prohibido, no se guardan?
c. ¿Requiere su sistema de punto de venta que yo instale un cortafuego para proteger el sistema del acceso no autorizado?
d. ¿Se requieren contraseñas complejas y únicas para obtener acceso a mi sistema? ¿Puede confirmar que no usa contraseñas comunes o por defecto para mi sistema y para otros sistemas de comercios a los cuales brinda soporte?
e. ¿Se han cambiado las programaciones y contraseñas en los sistemas y bases de datos que forman parte del sistema de punto de venta?
f. ¿Se han eliminado todos los servicios innecesarios y no seguros de los sistemas y bases de datos que forman parte del sistema de punto de venta?
g. ¿Puede acceder a mi sistema remotamente? Si es así, ¿ha implementado controles
apropiados para evitar que otros accedan a mi sistema de punto de venta, tales como el uso de métodos de acceso remoto seguros y no usar contraseñas comunes o por defecto? ¿Con cuánta frecuencia accede a mi dispositivo de punto de venta remotamente y por qué?
¿Quién está autorizado para acceder remotamente a mi equipo de punto de venta?
h. ¿Se han instalado los parches de seguridad aplicables en todos los sistemas y bases de datos que forman parte del punto de venta?
i. ¿Está activada la capacidad de registro en bitácoras de los sistemas y bases de datos que forman parte del sistema de punto de venta?
j. Si las versiones previas de mi software de punto de venta almacenaban los datos de la pista,
¿se ha eliminado esta función en las actualizaciones al software de punto de venta? ¿Se usó una utilidad segura para destrucción de estos datos?
3. Datos de tarjetahabientes—Si no los necesita, ¡no los guarde!
a. Los reglamentos de las marcas de pago permiten guardar el Número de Cuenta Personal o Primario (PAN), la fecha de vencimiento, el nombre del tarjetahabiente y el código de servicio.
b. Haga una lista de las razones y un inventario de los lugares donde guarda estos datos. Si los datos no cumplen un propósito valioso para el negocio, considere eliminarlos.
c. Considere si el almacenaje de estos datos y el proceso comercial que los mismos apoyan amerita lo siguiente:
i. El riesgo de que la seguridad de los datos se vea comprometida
ii. El esfuerzo adicional que requieren las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago y que usted debe implementar para proteger esos datos.
iii. Los continuos esfuerzos que se requieren para mantener el cumplimiento con dichas Normas de Seguridad de Datos de la Industria de Tarjetas de Pago a través del tiempo.
4. Datos de tarjetahabientes—Si los necesita, consolídelos y aíslelos.
a. Usted puede limitar el alcance de la auditoría de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago consolidando el almacenaje de los datos en un ambiente definido y aislando los datos por medio de la segmentación apropiada de su red. Por ejemplo, si sus empleados navegan por Internet y reciben correo electrónico en la misma máquina o en el mismo segmento de la red donde se encuentran los datos de los
tarjetahabientes, considere segmentar (aislar) los datos de los tarjetahabientes guardándolos en una máquina o segmento de red que esté dedicado únicamente a almacenar esos datos (por medio de ruteadores o cortafuegos). Si puede aislar bien los datos de los
tarjetahabientes, podrá entonces concentrar sus esfuerzos para cumplir con las normas de seguridad de datos en esa máquina o segmento, en lugar de incluir todos sus equipos.
5. Considere los Controles Compensatorios (aplicables al Cuestionario de Autoevaluación D solamente)
a. Se podrían considerar controles compensatorios para la mayoría de los requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago cuando una organización no puede cumplir con la especificación técnica de un requisito, pero ha mitigado en forma suficiente el riesgo asociado con dicho requisito. Si su empresa no tiene el control exacto especificado en las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, pero
a) Complete una Hoja de Trabajo de Controles Compensatorios para cada requisito que se llene mediante un control compensatorio.
iii. Presente todas las Hojas de Trabajo de Controles Compensatorios, debidamente llenadas, junto con su Cuestionario de Autoevaluación y/o Confirmación de
Cumplimiento, debidamente completados, de acuerdo con las instrucciones que reciba de su adquirente o marca de pago.
6. Asistencia Profesional
a. Si desea contar con orientación profesional para poder cumplir con las normas y completar el Cuestionario de Autoevaluación, le recomendamos que la obtenga. Reconozca que, si bien es libre de contratar a cualquier profesional de seguridad de su elección, solamente los que están incluidos en la lista de Evaluadores de Seguridad Calificados (QSA) están reconocidos como tales y capacitados por el PCI Security Standards Council. La lista está a su
disposición en https://www.pcisecuritystandards.org/resources/qualified_security_
assessors.htm.
Cómo Seleccionar el Cuestionario de Autoevaluación y la Confirmación de Cumplimiento que Mejor Se Aplican a Su Organización
De conformidad con los reglamentos de la marca de pago, se requiere a todos los comercios y proveedores de servicio cumplir con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago en su totalidad. Existen cinco categorías de validación para llenar el Cuestionario de
Autoevaluación, las cuales se describen brevemente en la tabla que aparece a continuación y en mayor detalle en los párrafos que siguen. Use la tabla para determinar cuál Cuestionario de Autoevaluación se aplica a su organización y revise después las descripciones detalladas para asegurar que cumple todos los requisitos para llenar dicho Cuestionario de Autoevaluación.
Tipo de Validación
para el
Cuestionario Descripción
Cuestionario de Autoevaluación 1 Comercios que procesan transacciones con tarjeta ausente (comercio
electrónico u órdenes por correo/teléfono) y subcontratan todas las funciones relacionadas con los datos de los tarjetahabientes a empresas externas. Esto nunca se aplicaría a los comercios que procesan transacciones cara a cara.
A
2 Comercios que usan solamente máquinas impresoras y no almacenan electrónicamente datos de los tarjetahabientes.
B
3 Comercios que tienen terminales independientes con discado externo y no almacenan electrónicamente datos de los tarjetahabientes.
B
4 Comercios que tienen sistemas de punto de venta (POS) conectados a Internet y no almacenan electrónicamente datos de los
tarjetahabientes.
C
5 Todos los demás comercios (no incluidos en las descripciones correspondientes a las versiones A, B y C del Cuestionario de Autoevaluación según se expone anteriormente) y todos los proveedores de servicio definidos por una marca de pago como elegibles para completar un Cuestionario de Autoevaluación.
D
Tipo 1 de Validación / Cuestionario de Autoevaluación A:
Tarjeta Ausente; Todas las Funciones Relacionadas con los Datos de Tarjetahabientes Se Subcontratan a Terceros
El Cuestionario de Autoevaluación A se ha desarrollado para contemplar los requisitos aplicables a los comercios que retienen solamente reportes o recibos en papel con datos de los tarjetahabientes, no guardan los datos de los
tarjetahabientes en formato electrónico y no procesan ni transmiten ningún tipo de información de los tarjetahabientes en sus locales.
Estos comercios, definidos como Tipo 1 para fines de Validación del Cuestionario de Autoevaluación, no almacenan datos de los tarjetahabientes en formato electrónico y no procesan ni transmiten datos de los tarjetahabientes en sus locales. Dichos comercios deben validar el cumplimiento completando el
Cuestionario de Autoevaluación A y la Confirmación de Cumplimiento relacionada con dicho cuestionario, a fin de confirmar que:
Para consultar una guía gráfica que lo ayude a determinar su Tipo para fines de Validación, vea
“Instrucciones y Lineamientos del Cuestionario de Autoevaluación—
¿Cuál es el Tipo de Validación que Corresponde a Mi Empresa?” en la página 15.
La compañía maneja solamente transacciones con tarjeta ausente (comercio electrónico y órdenes por correo/teléfono);
La compañía no almacena, procesa ni transmite datos de los tarjetahabientes en sus locales, sino depende completamente de un proveedor o varios proveedores de servicio que como tercero(s) realiza(n) estas funciones.
La compañía ha confirmado que el proveedor o los proveedores de servicio que maneja(n) el almacenaje, procesamiento y/o transmisión de los datos de los tarjetahabientes cumple(n) con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago.
La compañía retiene solamente reportes o recibos en papel con datos de los tarjetahabientes, y estos documentos no se reciben por medios electrónicos; y
La compañía no guarda ningún tipo de información de los tarjetahabientes en formato electrónico.
Esta opción no se aplicaría en ningún caso a comercios con ambientes de procesamiento cara a cara en el punto de venta.
Tipo de Validación 2 / Cuestionario de Autoevaluación B:
Máquina Impresora Solamente, Sin Almacenaje Electrónico de Datos de Tarjetahabientes El Cuestionario de Autoevaluación B se ha desarrollado para contemplar los
requisitos aplicables a los comercios que procesan datos de los tarjetahabientes solamente por medio de máquinas impresoras o terminales independientes con discado externo.
Los comercios que caen dentro del Tipo de Validación 2 procesan datos de los tarjetahabientes solamente por medio de máquinas impresoras y deben validar el cumplimiento completando el Cuestionario de Autoevaluación B y la Confirmación de Cumplimiento relacionada con dicho cuestionario, a fin de confirmar que:
La compañía usa solamente máquinas impresoras para registrar la
Para consultar una guía gráfica que lo ayude a determinar su Tipo para fines de Validación, vea
“Instrucciones y Lineamientos del Cuestionario de Autoevaluación—
¿Cuál es el Tipo de Validación que
información de la tarjeta de pago de sus clientes;
La compañía no transmite datos de los tarjetahabientes por vía telefónica ni a través de Internet.
La compañía retiene solamente reportes o copias de recibos en papel, y
La compañía no guarda ningún tipo de información de los tarjetahabientes en formato electrónico.
Corresponde a Mi Empresa?” en la página 15.
Tipo de Validación 3 / Cuestionario de Autoevaluación B:
Terminales Independientes con Discado Externo, Sin Almacenaje Electrónico de Datos de Tarjetahabientes
El Cuestionario de Autoevaluación B se ha desarrollado para contemplar los requisitos aplicables a los comercios que procesan datos de los tarjetahabientes solamente por medio de máquinas impresoras o terminales independientes con discado externo.
Los comercios con Validación Tipo 3 procesan datos de los tarjetahabientes solamente por medio de terminales independientes con discado externo y pueden ser establecimientos físicos (tarjeta presente) o comercios en línea (comercio electrónico) o que procesan órdenes por correo/teléfono (tarjeta ausente).
Estos comercios deben validar el cumplimiento completando el Cuestionario de Autoevaluación B y la Confirmación de Cumplimiento relacionada con dicho cuestionario, a fin de confirmar que:
La compañía usa solamente terminales independientes con discado externo (conectadas a su procesador a través de una línea telefónica);
Los terminales independientes con discado externo no están conectados a ningún otro sistema dentro de su ambiente.
Los terminales independientes con discado externo no están conectados a Internet.
La compañía retiene solamente reportes o copias de recibos en papel; y
La compañía no guarda ningún tipo de información de los tarjetahabientes en formato electrónico.
Tipo de Validación 4 / Cuestionario de Autoevaluación C:
establecimientos físicos (tarjeta presente) o comercios en línea (comercio electrónico) o que procesan órdenes por correo/teléfono (tarjeta ausente). Estos comercios deben validar el cumplimiento
completando el Cuestionario de Autoevaluación C y la Confirmación de Cumplimiento relacionada con dicho cuestionario, a fin de confirmar que:
La compañía tiene un sistema de aplicación de pago y una conexión a Internet en el mismo dispositivo;
La aplicación de pago y/o el dispositivo de Internet no están conectados a ningún otro sistema dentro de su ambiente.
La compañía retiene solamente reportes o copias de recibos en papel; y
La compañía no guarda ningún tipo de información de los tarjetahabientes en formato electrónico; y
El vendedor de la aplicación de pago que usa la compañía utiliza técnicas seguras para proporcionar soporte técnico remoto a su sistema de pago.
Para consultar una guía gráfica que lo ayude a determinar su Tipo para fines de Validación, vea
“Instrucciones y Lineamientos del Cuestionario de Autoevaluación—
¿Cuál es el Tipo de Validación que Corresponde a Mi Empresa?” en la página 15.
Tipo de Validación 5 / Cuestionario de Autoevaluación D:
Todos los Demás Comercios y Todos los Proveedores de Servicio Definidos por una Marca de Pago como Elegibles para Completar un Cuestionario de Autoevaluación El Cuestionario de Autoevaluación D se ha desarrollado para contemplar los requisitos aplicables a todos los proveedores de servicio elegibles para completar el mismo según lo definido por la marca de pago, así como para los comercios que no caen dentro de los Tipos 1 a 4 para fines de validación según lo descrito anteriormente.
Los proveedores de servicio y comercios que se clasifican dentro del Tipo 5 para fines de validación deben validar su cumplimiento completando el Cuestionario de Autoevaluación D y la Confirmación de Cumplimiento relacionada.
Si bien muchas de las organizaciones que completen el Cuestionario de Autoevaluación D tendrán que validar su cumplimiento con todos los requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, tal vez algunos requisitos no se apliquen a algunas organizaciones con modelos de negocio muy específicos. Por ejemplo, no se esperaría que una compañía que no utiliza la tecnología inalámbrica en ninguna capacidad valide el cumplimiento con las secciones de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago que se aplican específicamente a esa tecnología. Consulte la guía a continuación para obtener información acerca de la exclusión de la tecnología inalámbrica y otros requisitos específicos.
Guía para la Exclusión de Ciertos Requisitos Específicos
Si se le requiere completar el Cuestionario de Autoevaluación D para validar su cumplimiento con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, se podrían considerar las siguientes excepciones (puede marcar N/A en el caso de estos requisitos si no son aplicables a su ambiente):
Sólo es necesario responder las preguntas específicas relativas al ambiente inalámbrico (Requisitos 1.3.8, 2.1.1, y 4.1.1) si hay alguna conexión o dispositivo inalámbrico en algún lugar de su red. Tenga presente que aún es necesario responder al Requisito 11.1 (uso de analizadores inalámbricos) aunque no haya ningún dispositivo inalámbrico en su red, ya que
el analizador detecta cualquier dispositivo no autorizado o con fines de intrusión que haya sido introducido en la red sin su conocimiento.
Sólo es necesario responder las preguntas específicas sobre las aplicaciones individuales y códigos especializados (Requisitos 6.3-6.5) si la organización escribe sus propias
aplicaciones personalizadas de red.
Sólo es necesario responder las preguntas específicas sobre los centros de datos
(Requisitos 9.1-9.4) si la empresa tiene un centro de datos o sala de servidores. Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago definen el centro de datos como una sala o estructura dedicada y físicamente segura que alberga en forma centralizada la infraestructura de tecnología de información (servidores de aplicaciones, servidores de base de datos, servidores de Web y/o dispositivos de red), y cuyo propósito principal es
almacenar, procesar o transmitir datos de los tarjetahabientes. “Centro de datos” podría ser sinónimo de sala de servidores, centro de operaciones de red (NOC) e instalaciones co- locales para un proveedor de servicio de conexión a Internet o de hospedaje Web.
Instrucciones para Completar el Cuestionario de Autoevaluación
1. Use los lineamientos que le damos en este documento para determinar cuál Cuestionario de Autoevaluación es el apropiado para su empresa.
2. Use el documento Cómo Navegar a través de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago: Entendiendo la Intención de los Requisitos (Navigating PCI DSS:
Understanding the Intent of the Requirements) para entender cómo y por qué los requisitos son relevantes para su organización.
3. Use el Cuestionario de Autoevaluación apropiado como herramienta para validar su
cumplimiento con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
4. Siga las instrucciones dadas en la sección “Cumplimiento con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) – Pasos para Completar el Proceso” del Cuestionario de Autoevaluación apropiado y proporcione toda la documentación requerida a su adquirente o marca de pago, según sea apropiado.
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago Febrero 2008
Instrucciones y Lineamientos del Cuestionario de Autoevaluación—¿Cuál es el Tipo de Validación que Corresponde a Mi Empresa?
