Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento"

Transcripción

1 Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de Titulares Electrónicos Versión 2.0 Octubre de 2010

2 Modificaciones realizadas a los documentos Fecha Versión Descripción 1 de octubre de de octubre de Alinear el contenido con la nueva versión 1.2 de PCI DSS e implementar cambios menores notados desde la versión 1.1 original. Para alinear el contenido con los requisitos y procedimientos de prueba de PCI DSS v2.0 SAQ C de las PCI DSS, v2.0, Modificaciones realizadas a los documentos Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página i

3 Índice Modificaciones realizadas a los documentos... i Norma de seguridad de datos de la PCI: Documentos relacionados... iii Antes de comenzar... iv Respuestas del cuestionario de autoevaluación...iv Pasos para completar el cumplimiento de las PCI DSS...v Guía para la no aplicabilidad de ciertos requisitos específicos...v Declaración de cumplimiento, SAQ C... 1 Cuestionario de Autoevaluación C... 7 Desarrollar y mantener una red segura...7 Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos...7 Requisito 2: No utilizar los valores predeterminados por los proveedores para contraseñas de sistema y otros parámetros de seguridad...8 Proteger los datos del titular de la tarjeta...10 Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados...10 Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas...11 Mantener un programa de administración de vulnerabilidad...12 Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus...12 Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras...12 Implementar medidas sólidas de control de acceso...13 Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora13 Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta...13 Supervisar y evaluar las redes con regularidad...15 Requisito 11: Probar periódicamente los sistemas y procesos de seguridad...15 Mantener una política de seguridad de información...17 Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal...17 Anexo A: (no utilizado) Anexo B: Controles de compensación Anexo C: Hoja de trabajo de controles de compensación Hoja de trabajo de controles de compensación Ejemplo completado...23 Anexo D: Explicaciones de no aplicabilidad PCI DSS SAQ C, v2.0, Tabla de Contenido Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página ii

4 Norma de seguridad de datos de la PCI: Documentos relacionados Los documentos siguientes se crearon para asistir a los comerciantes y a los proveedores de servicios en la compresión de la Norma de seguridad de datos de la PCI (PCI DSS) y el SAQ de las PCI DSS. Documento Norma de seguridad de datos de la PCI: Requisitos y procedimientos de evaluación de seguridad Navegación de las PCI DSS: Comprensión del objetivo de los requisitos Norma de seguridad de datos de la PCI: Instrucciones y directrices de autoevaluación Norma de seguridad de datos de la PCI: Cuestionario A de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario de autoevaluación B y Declaración Norma de seguridad de datos de la PCI: Cuestionario de autoevaluación C-VT y Declaración Norma de seguridad de datos de la PCI: Cuestionario de autoevaluación C y Declaración Norma de seguridad de datos de la PCI: Cuestionario de autoevaluación D y Declaración Normas de seguridad de datos de la PCI y Normas de Seguridad de Datos para las Aplicaciones de Pago: Glosario de términos, abreviaturas y acrónimos Audiencia Todos los comerciantes y proveedores de servicio Todos los comerciantes y proveedores de servicio Todos los comerciantes y proveedores de servicio Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes y proveedores de servicio elegibles 1 Todos los comerciantes y proveedores de servicio 1 Para determinar el Cuestionario de autoevaluación correcto, véase Norma de seguridad de datos de la PCI: Instrucciones y directrices de autoevaluación, Selección del SAQ y de la Declaración que mejor se adapte a su organización. PCI DSS SAQ C, v2.0, Norma de Seguridad de PCI Data: Documentos relacionados Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página iii

5 Antes de comenzar Respuestas del cuestionario de autoevaluación El SAQ C ha sido desarrollado para abordar los requisitos aplicables a los comerciantes que procesan datos de los titulares de tarjeta a través de aplicaciones de pago (por ejemplo, sistemas de punto de venta) conectadas a Internet (por ejemplo, a través de DSL, módem de cable, etc), pero que no almacenan datos de titulares de tarjeta en ningún sistema de computadoras. Estas aplicaciones de pago están conectadas a Internet bien porque: 1. La aplicación de pago en una computadora personal conectada a la Internet, o 2. La aplicación de pago está conectada a la Internet para transmitir datos de los titulares de tarjeta. Los comerciantes correspondientes al SAQ C se are definen aquí y en las Instrucciones y directrices del cuestionario de autoevaluación de las PCI DSS. Los comerciantes correspondientes al SAQ C procesan los datos de los titulares de tarjeta a través de máquinas de punto de venta u otros sistemas de aplicaciones de pago conectados a Internet, no almacenan datos de los titulares de tarjeta en ningún sistema informático, y pueden ser comerciantes con instalaciones físicas (con la tarjeta presente) o comercio electrónico, o pedido por correo electrónico/teléfono (tarjeta no presente). Tales comerciantes validan el cumplimiento llenando el SAQ C y la Declaración de cumplimiento, con los cuales confirman que: Su empresa posee un Sistema de aplicaciones de pago y conexión a Internet en el mismo dispositivo y/o la misma red de área local (LAN); La aplicación de pago o dispositivo de Internet no está conectado a otros sistemas dentro de su entorno (esto se puede lograr a través de la segmentación de la red para aislar el sistema de aplicaciones de pago/dispositivo de Internet de todos los otros sistemas); La tienda de su compañía no está conectada a tiendas con otras ubicaciones, y ninguna LAN es para una sola tienda; Su empresa conserva solamente informes en papel o copias en papel de recibos; Su empresa no almacena datos de titulares de tarjeta en formato electrónico; y El proveedor de la aplicación de pagos de su empresa utiliza técnicas seguras para proporcionar soporte remoto a su sistema pago. Cada sección de este cuestionario se concentra en un área específica de la seguridad, con base en los requisitos de los Requisitos de las PCI DSS y procedimientos para la evaluación de la seguridad. Esta versión abreviada del SAQ incluye preguntas que se aplican a un tipo específico de entorno de pequeños comerciantes, tal como se define en los criterios de elegibilidad. Si hay requisitos de PCI DSS aplicables a su entorno que no están cubiertos en este SAQ, puede ser una indicación de que este SAQ no es adecuado para su entorno. Además, de cualquier modo debe cumplir todos los requisitos de las PCI DSS para poder ser caracterizado como empresa que cumple las PCI DSS. SAQ C de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página iv

6 Pasos para completar el cumplimiento de las PCI DSS 1. Evalúe su entorno de cumplimiento de las PCI DSS. 2. Complete el cuestionario de autoevaluación (SAQ C) de acuerdo a las instrucciones del Instrucciones y directrices del cuestionario de autoevaluación de las PCI DSS. 3. Asegúrese de que un Proveedor Aprobado de Escaneo (ASV) de las PCI SSC haya completado escaneos aprobados de vulnerabilidad y solicítele pruebas al ASV de los escaneos aprobados. 4. Complete la Declaración de cumplimiento en su totalidad. 5. Envíe el SAQ, la evidencia de un escaneo aprobado, y la Declaración de Cumplimiento, junto con cualquier otra documentación solicitada, a su adquirente. Guía para la no aplicabilidad de ciertos requisitos específicos Exclusión: Si usted está obligado a responder el SAQ C para validar su cumplimiento de las PCI DSS, la siguiente excepción puede ser considerada. Consulte "No aplicabilidad", abajo, para la la correspondiente respuesta de SAQ. Las preguntas específicas a la tecnología inalámbrica sólo deben ser contestadas si la tecnología inalámbrica está presente en cualquier parte de la red (por ejemplo, los requisitos 1.2.3, y 4.1.1). Tenga en cuenta que el Requisito 11.1 (uso de un proceso para identificar los puntos de acceso inalámbricos no autorizados) deben ser respondido de cualquier modo, incluso si en su red no hay tecnología inalámbrica, debido a que el proceso detecta cualesquiera accesos fraudulentos o dispositivos no autorizados que se hayan añadido sin su conocimiento. No Aplicabilidad: Este y cualquier otro requisito que no se consideren aplicables a su entorno deberá indicarse con N/A en la columna "Especial" del SAQ. En consecuencia, llene la hoja de trabajo Explicación de no aplicabilidad en el Apéndice D para cada entrada "N/A". SAQ C de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página v

7 Declaración de cumplimiento, SAQ C Instrucciones para la presentación El comerciante debe completar esta Atestación de cumplimiento como una declaración de su estado de cumplimiento con los Requisitos de la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y procedimientos de evaluación de seguridad. Complete todas las secciones aplicables y consulte las instrucciones de presentación en Cumplimiento con la PCI DSS: Pasos para completar el proceso en este documento. Parte 1. Información sobre Comerciante y Asesor de Seguridad Certificado Parte a. Información de la organización del comerciante Nombre de la empresa: Nombre del contacto: Teléfono: Dirección comercial: DBA (S): Cargo: Correo electrónico: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 1b. Información de la empresa del evaluador de seguridad certificado (QSA) (si corresponde) Nombre de la empresa: Nombre del contacto del QSA principal: Teléfono: Dirección comercial: Cargo: Correo electrónico: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 2. Tipo de empresa comerciante (marque todo lo que corresponda): Comercio minorista Telecomunicaciones Tiendas de comestibles y supermercados Petróleo Comercio electrónico Pedidos por correo/teléfono Otros (especifique): Enumere las instalaciones y ubicaciones incluidas en la revisión de la PCI DSS: Parte 2a. Relaciones SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 1

8 Su empresa tiene relación con uno o más agentes externos (por ejemplo, empresas de puertas de enlace y web hosting, agentes de reservas aéreas, agentes de programas de lealtad, etc.)? Sí No Está relacionada su empresa con más de un adquiriente? Sí No SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 2

9 Parte 2b. Procesamiento de transacciones De qué forma y en qué capacidad almacena, procesa y/o transmite su empresa los datos de titulares de tarjetas? Por favor proporcione la siguiente información relativa a las aplicaciones de pago que su organización utiliza: Aplicación de pago en uso: Número de versión: Validado por última vez según PABP/PA- DSS Parte 2c. Elegibilidad para completar el SAQ C El comerciante certifica que es elegible para completar esta versión abreviada del Cuestionario de autoevaluación porque: El comerciante tiene un sistema de aplicaciones de pago y una conexión a Internet o conexión a red pública en el mismo dispositivo. y/o la misma red de área local (LAN); El sistema de aplicación de pago/dispositivo de Internet no está conectado a ningún otro sistema dentro del entorno del comerciante. La tienda del Comerciante no está conectada con otras ubicaciones de tiendas, y cualquier LAN es para una sola tienda; El comerciante no almacena datos del titular de la tarjeta en formato electrónico. Si el comerciante almacena datos del titular de la tarjeta, éstos sólo están en informes impresos o copias de recibos impresos y no se reciben electrónicamente. El proveedor del software de la aplicación de pago del comerciante utiliza técnicas seguras para proporcionar asistencia remota al sistema de aplicación de pago del comerciante. Parte 3. Validación de la PCI DSS Según los resultados observados en el SAQ C de fecha (fecha en que se completó), (nombre de la empresa comerciante) declara el siguiente estado de cumplimiento (marque uno): En cumplimiento: Se han completado todas las secciones del SAQ de las PCI y se ha respondido sí a todas las preguntas, lo que genera una calificación general de EN CUMPLIMIENTO, y se ha completado un escaneo de aprobación con un proveedor aprobado de escaneo de las PCI SSC (ASV) y, por lo tanto (Nombre de la empresa del comerciante) ha demostrado un cumplimiento total con las PCI DSS. SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 3

10 Falta de cumplimiento: No se han completado todas las secciones del SAQ de las PCI, o se ha respondido no a algunas preguntas, lo que genera una calificación general de FALTA DE CUMPLIMIENTO, y no se ha completado un escaneo de aprobación con un proveedor aprobado de escaneo de las PCI SSC (ASV), por lo tanto (nombre de la empresa comerciante) no ha demostrado un cumplimiento total con la PCI DSS. Fecha objetivo para el cumplimiento: Es posible que se exija a una entidad que presente este formulario con un estado de Falta de cumplimiento que complete el Plan de acción en la Parte 4 de este documento. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección. SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 4

11 Parte 3a. Confirmación del estado de cumplimiento El comerciante confirma que: El Cuestionario de autoevaluación C de la PCI DSS, Versión (versión del SAQ), se completó de acuerdo con las instrucciones correspondientes. Toda la información dentro del arriba citado SAQ y en esta atestación representa razonablemente los resultados de mi evaluación en todos los aspectos sustanciales. He confirmado con mi proveedor de la aplicación de pago que mi sistema de pago no almacena datos confidenciales de autenticación después de la autorización. He leído la PCI DSS y reconozco que debo mantener el pleno cumplimiento de dicha norma en todo momento. No hay evidencia de almacenamiento de datos de banda magnética (es decir, de pistas) 2 datos CAV2, CVC2, CID o CVV2 3 ni de datos de PIN 4 después de la autorización de la transacción en NINGÚN sistema revisado durante esta evaluación. Parte 3b. Acuse de recibo del comerciante Firma del director ejecutivo del comerciante Fecha Nombre del director ejecutivo del comerciante Cargo Empresa comerciante representada Datos codificados en la banda magnética, o su equivalente, utilizada para la autorización durante una transacción con tarjeta presente. Las entidades no pueden retener todos los datos de la banda magnética después de la autorización de la transacción. Los únicos elementos de los datos de pistas que pueden retenerse son el número de cuenta, la fecha de vencimiento y el nombre. El valor de tres o cuatro dígitos impreso sobre o a la derecha del panel de firma, o en el frente de una tarjeta de pago, que se utiliza para verificar las transacciones sin tarjeta presente. El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloque de PIN cifrado presente en el mensaje de la transacción. SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 5

12 Parte 4. Plan de acción para el estado Falta de cumplimiento Seleccione el Estado de cumplimiento correspondiente para cada requisito. Si responde NO a alguno de los requisitos, deberá indicar la fecha en que la empresa estará en cumplimiento con dicho requisito y una breve descripción de las medidas que se están tomando para tal fin. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección. Estado de cumplimiento (seleccione uno) Requisito de las PCI DSS Descripción del requisito SÍ NO 1 Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. Fecha y medidas de corrección (si el estado de cumplimiento es NO ) 2 3 No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Proteger los datos almacenados del titular de la tarjeta. 4 Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. 5 Utilice y actualice con regularidad los programas o software antivirus. 6 Desarrollar y mantener sistemas y aplicaciones seguros. 7 Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. 8 Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9 Restringir el acceso físico a los datos del titular de la tarjeta. 11 Probar periódicamente los sistemas y procesos de seguridad. 12 Mantener una política que aborde la seguridad de la información para todo el personal SAQ C de las PCI DSS, v2.0, Declaración de cumplimiento Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 6

13 Cuestionario de Autoevaluación C Nota: Las siguientes preguntas están numeradas de acuerdo con los requisitos y procedimientos de prueba de las PCI DSS, tal como se definen en el documento de Procedimientos de evaluación de seguridad y requisitos de las PCI DSS. Desarrollar y mantener una red segura Fecha en que se completó: Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 1.2 Restringen las configuraciones para firewalls y routers las conexiones entre redes no confiables y cualquier sistema en el entorno de los datos de titulares de tarjeta de la manera siguiente:? Nota: Una red no confiable es toda red que es externa a las redes que pertenecen a la entidad bajo evaluación y/o que escapa al control o administración por parte de la entidad (a) Está el tránsito entrante y saliente restringido a la cantidad que sea necesaria en el entorno de datos del titular de la tarjeta y se documentan las restricciones? (b) Se niega todo el resto del tránsito entrante o saliente (por ejemplo, mediante la utilización de una declaración explícita "negar todos" o una negación implícita después de una declaración de permiso)? Están instalados firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta? y, están estos firewalls configurados para negar y controlar (en caso de que ese tránsito fuera necesario para fines comerciales) todo tránsito desde el entorno inalámbrico hacia el entorno del titular de la tarjeta? 1.3 Prohíbe la configuración de firewall el acceso directo público entre Internet y cualquier componente del sistema en el entorno de datos de los titulares de tarjetas de la manera siguiente:? Están permitidas las conexiones directas para el tráfico saliente o entrante entre Internet y el entorno del titular de la tarjeta? Está expresamente autorizado el tráfico saliente desde el entorno de datos del titular de la tarjeta a la Internet? Está implementada la inspección completa, también conocida como filtrado dinámico de paquetes, (es decir, sólo se permiten conexiones establecidas en red)? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 7

14 Requisito 2: No utilizar los valores predeterminados por los proveedores para contraseñas de sistema y otros parámetros de seguridad Respuesta a la Pregunta sobre las PCI DSS: Sí No Especia l * 2.1 Se cambian siempre los valores predeterminados por el proveedor antes de instalar un sistema en la red? Entre los valores predeterminados por los proveedores figuran, sin sentido limitativo, contraseñas, cadenas comunitarias de protocolo simple de administración de red (SNMP) y la eliminación de cuentas innecesarias Para entornos con tecnología inalámbrica conectados al entorno de datos del titular de la tarjeta o la transmisión de datos de los titulares de tarjeta, se cambian los valores predeterminados de la siguiente manera: (a) Se cambian las claves de cifrado predeterminadas al momento de la instalación, y se cambian cada vez que una persona que tenga conocimiento de éstas cesa en sus funciones o se traslada a otro cargo en la empresa? (b) Se cambian las cadenas comunitarias SNMP predeterminadas en los dispositivos inalámbricos? (c) Se cambian las contraseñas/frases de contraseña predeterminadas en los puntos de acceso? (d) Se actualiza el firmware de los dispositivos inalámbricos a los efectos de admitir el cifrado sólido para la autenticación y la transmisión en redes inalámbricas? (e) Se cambian otros valores de seguridad de sistemas inalámbricos predeterminados por los proveedores, si corresponde? (a) Se habilitan sólo los servicios necesarios, protocolos, daemons, etc según lo exija la función del sistema (inhabilitan servicios y protocolos que no sean directamente necesarios para desempeñar la función especificada del dispositivo)? La totalidad del acceso administrativo que no es de consola se cifra de la siguiente manera:? Utilice tecnologías como SSH, VPN o SSL/TLS para la administración basada en la web y otros tipos de acceso administrativo que no sea de consola. (a) La totalidad del acceso administrativo que no es de consola se cifra con criptografía sólida, y se invoca un método de cifrado sólido antes de que se solicite una contraseña de administrador? (b) Lo servicios del sistema y archivos de parámetros son configurados de modo que impidan el uso de Telnet y otros comandos de inicio de sesión remotos inseguros? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 8

15 Respuesta a la Pregunta sobre las PCI DSS: Sí No Especia l * (c) El acceso de administradores a la interfaz de administración basada en la web está cifrado mediante una sólida criptografía? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 9

16 Proteger los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 3.2 (b) Si se reciben y borran datos de autenticación confidenciales, se ponen en práctica procesos de eliminación de datos, a fin de comprobar que los datos sean irrecuperables? (c) Todos los sistemas se adhieren a los siguientes requisitos de no almacenamiento de datos de autenticación confidenciales después de la autorización (incluso si son cifrados)? Bajo ninguna circunstancia se almacena el contenido completo de pista de la banda magnética (ubicada en el reverso de la tarjeta, datos equivalentes que están en un chip o en cualquier otro dispositivo)? Estos datos se denominan alternativamente, pista completa, pista, pista 1, pista 2 y datos de banda magnética. En el transcurso normal de los negocios, es posible que se deban retener los siguientes elementos de datos de la banda magnética: El nombre del titular de la tarjeta. Número de cuenta principal (PAN). Fecha de vencimiento. Código de servicio Para minimizar el riesgo, almacene solamente los elementos de datos que sean necesarios para el negocio Bajo ninguna circunstancia se almacena el código o valor de verificación de la tarjeta (número de tres o cuatro dígitos impresos en el anverso o el reverso de una tarjeta de pago)? Bajo ninguna circunstancia se almacena el número de identificación personal (PIN) o el bloqueo del PIN cifrado? 3.3 Se oculta el PAN cuando aparece (los primeros seis y los últimos cuatro dígitos es la cantidad máxima de dígitos se muestran)? Notas: Este requisito no se aplica a trabajadores y a otras personas o compañías con una necesidad comercial legítima de conocer el PAN completo; Este requisito no reemplaza los requisitos más estrictos que fueron implementados para la presentación de datos de titulares de tarjeta (por ejemplo, los recibos de puntos de venta (POS). PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 10

17 Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 4.1 (a) Se utiliza criptografía y protocolos de seguridad sólidos como SSL/TLS o IPSEC para salvaguardar datos confidenciales de titulares de tarjetas durante su transmisión a través de redes públicas abiertas? Como ejemplos de redes públicas abiertas que se encuentran dentro del ámbito de aplicación de las PCI DSS se pueden mencionar, sin sentido limitativo, Internet, las tecnologías inalámbricas, el sistema global de comunicaciones móviles (GSM) y el servicio general de paquetes vía radio (GPRS). (b) Sólo se aceptan claves/certificados de confianza? (c) Se implementan protocolos de seguridad para utilizar sólo configuraciones seguras, y no admitir versiones o configuraciones inseguras? (d) Se implementa el nivel de cifrado adecuado para la metodología de cifrado que se utiliza (ver recomendaciones de proveedores/mejores prácticas)? (e) Para implementaciones de SSL/TLS: HTTPS aparece como parte del URL (Universal Record Locator) del navegador? Los datos de los titulares de tarjeta se exigen únicamente si HTTPS aparece en la URL? Se aplican las mejores prácticas de la industria (por ejemplo, IEEE i) para implementar el cifrado sólido para la autenticación y transmisión para redes inalámbricas de transmisión de datos de los titulares de tarjeta conectados con el entorno de datos del titular de la tarjeta? Nota: La utilización de WEP como control de seguridad se prohibió a partir del 30 de junio de (b) Se han puesto en práctica políticas que especifiquen que no se deben enviar números PAN sin protección a través de las tecnologías de mensajería del usuario final? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 11

18 Mantener un programa de administración de vulnerabilidad Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 5.1 Se instala software anti-virus en todos los sistemas comúnmente afectados por software malicioso? Todos los programas antivirus son capaces de detectar, eliminar y proteger contra todos los tipos conocidos de software malicioso (por ejemplo, virus, troyanos, gusanos, spyware, adware y rootkit)? 5.2 Está actualizado todo el software anti-virus, funcionando activamente, y generando registros de auditoría, de la siguiente manera: (a) La política anti-virus requiere la actualización del software anti-virus y sus definiciones? (b) Está la instalación maestra del software habilitada para actualización automática y escaneos periódicos? (c) Están habilitadas las actualizaciones automáticas y los escaneos periódicos? (d) Están todos los mecanismos anti-virus generando registros de auditoría?, y son conservados los registros de conformidad con el Requisito 10.7 de las PCI DSS? Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 6.1 (a) Todos los componentes de sistemas y software cuentan con los parches de seguridad más recientes proporcionados por los proveedores para protección contra vulnerabilidades conocidas? (b) Se instalan parches de seguridad crítica en un lapso de un mes contado a partir de su fecha de lanzamiento? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 12

19 Implementar medidas sólidas de control de acceso Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 7.1 (a) Se limita el acceso a los componentes del sistema y a los datos de titulares de tarjeta a aquellos individuos cuyas tareas necesitan de ese acceso, de la manera siguiente?: Los derechos de acceso para usuarios con ID privilegiados están restringidos a los privilegios mínimos necesarios para llevar a cabo las responsabilidades del trabajo? Los privilegios se asignan a personas de acuerdo con su clasificación y función de su cargo (también denominados "control de acceso por funciones" o RBAC).? Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 8.3 Está la autenticación de dos factores incorporada a la red de empleados, administradores y terceros para el acceso remoto (acceso en el nivel de la red desde fuera de la red)? (Por ejemplo, autenticación remota y servicio dial-in (RADIUS) con tokens; o sistema de control de acceso mediante control del acceso desde terminales (TACACS) con tokens; u otras tecnologías que faciliten la autenticación de dos factores) Nota: La autenticación de dos factores exige utilizar dos de los tres métodos de autenticación (consulte el Requisito 8.2 de las PCI DSS para obtener una descripción de los métodos de autenticación). El uso de un mismo factor dos veces (por ejemplo, utilizar dos contraseñas individuales) no se considera una autenticación de dos factores (a) Las cuentas utilizadas por los proveedores para el acceso remoto, el mantenimiento o soporte están habilitadas sólo durante el período de tiempo necesario? (b) Las cuentas de acceso remoto de los proveedores son supervisadas sólo cuando están utilizándose? Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 13

20 Respuesta a la Pregunta sobre las PCI DSS: Sí No Especial * 9.6 Todos los medios de almacenamiento cuentan con medidas de seguridad físicas (incluyendo, sin sentido limitativo, a computadoras, medios extraíbles electrónicos, recibos en papel, informes de papel y faxes)? A los efectos del Requisito 9 medios se refiere a todos los medios en papel y electrónicos que contienen datos de titulares de tarjetas. 9.7 (a) Se lleva un control estricto sobre la distribución interna o externa de cualquier tipo de medios? (b) Incluyen los controles lo siguiente: Están clasificados los medios de manera que se pueda determinar la confidencialidad de los datos? Los medios se envían por correo seguro u otro método de envío que se pueda rastrear con precisión? 9.8 Se mantienen registros para el seguimiento de todos los medios que se trasladan desde una zona restringida, y se obtiene aprobación de la gerencia antes de trasladar los medios (especialmente cuando se distribuyen a personas)? 9.9 Se lleva un control estricto sobre el almacenamiento y accesibilidad de los medios? 9.10 Se destruyen todos los medios cuando ya no son necesarios por razones comerciales o legales? La destrucción debe realizarse de la siguiente manera: (a) Se cortan en tiras, incineran o se transforman en pasta los materiales de copias en papel para que no se puedan reconstruir los datos de titulares de tarjetas? (b) Se aplican medidas de seguridad los contenedores que almacenan información que será destruida, a fin de impedir acceso al contenido? (Por ejemplo, un contenedor para corte en tiras cuenta con una traba para impedir el acceso a su contenido). PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 14

21 Supervisar y evaluar las redes con regularidad Requisito 11: Probar periódicamente los sistemas y procesos de seguridad Respuesta a la Pregunta sobre las PCI DSS: Sí No Especia l * 11.1 (a) Se documenta con frecuencia trimestral el proceso implementado para detectar e identificar puntos de acceso inalámbricos? Nota: Los métodos que se pueden utilizar en el proceso incluyen, pero no se limitan a, escaneos de redes inalámbricas, inspecciones físicas/lógicas de componentes del sistema e infraestructura, control de acceso a la red (NAC) o IDS/IPS inalámbrico. Independientemente de los métodos que se utilicen, éstos deben ser suficientes para detectar e identificar cualquier dispositivo no autorizado. (b) La metodología es capaz de detectar e identificar cualquier punto de acceso, incluyendo por lo menos lo siguiente:? Tarjetas WLAN insertadas en los componentes del sistema; Dispositivos inalámbricos portátiles conectados al sistema (por ejemplo, USB, etc.) Dispositivos inalámbricos conectados a un puerto de red o a un dispositivo de red? (c) Se realiza por lo menos trimestralmente un proceso para identificar puntos de acceso inalámbrico no autorizados? (d) Si se utiliza supervisión automatizada (por ejemplo, IDS/IPS inalámbrico, NAC, etc.), se configura la supervisión para que genere alertas al personal? (e) El Plan de respuesta a incidentes (Requisito 12.9) incluye una respuesta en caso de que se detecten dispositivos inalámbricos no autorizados? 11.2 Se realizan escaneos internos y externos de vulnerabilidades en la red al menos trimestralmente, y después de cada cambio significativo en la red (tales como instalaciones de nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las normas de firewall, actualizaciones de productos) de la manera siguiente?: Nota: No se requiere que se completen cuatro escaneos trimestrales aprobados para el cumplimiento inicial de PCI DSS si el asesor verifica que 1) el resultado del último escaneo fue un análisis aprobado, 2) la entidad ha documentado políticas y procedimientos que exigen escaneos trimestrales y 3) las vulnerabilidades detectadas en los resultados del escaneo se han corregido tal como se muestra en el nuevo escaneo. Durante los años posteriores a la revisión inicial de las PCI DSS, se deben haber realizado escaneos trimestrales aprobados (a) Se realizan escaneos internos trimestrales de vulnerabilidades? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 15

22 Respuesta a la Pregunta sobre las PCI DSS: Sí No Especia l * (b) El proceso de análisis interno incluye nuevos escaneos hasta que se obtienen resultados aprobados, o hasta que se resuelven todas las vulnerabilidades Altas, de conformidad con lo definido en el Requisito 6.2 de las PCI DSS? (c) Los escaneos trimestrales son realizados por recurso(s) internos calificados o por terceros calificados y, si corresponde, la empresa que realiza las pruebas garantiza la independencia? (no es necesario que sea un QSA o ASV) (a) Se realizan escaneos externos trimestrales de vulnerabilidades? (b) Los resultados de cada escaneo trimestral satisfacen los requisitos de la Guía del programa ASV? (por ejemplo, ausencia de vulnerabilidades con calificación mayor que 4.0 por la CVSS y ausencia de fallas automáticas). (c) Los escaneos trimestrales de vulnerabilidades externas son realizados por Proveedores aprobados de escaneos (ASV), aprobados por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC)? (a) Se realizan escaneos internos y externos de las vulnerabilidades en la red después de cada cambio significativo en la red (tales como instalaciones de nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las normas de firewall, actualizaciones de productos) de la manera siguiente?: Nota: Los escaneos realizados después de cambios en la red puede realizarlos el personal interno. (b) El proceso de escaneo incluye nuevos análiasis hasta que: Para escaneos externos, no se hayan registrado vulnerabilidades con puntuaciones mayores que 4.0, según la CVSS. Para escaneos internos, se haya obtenido un resultado de aprobación o todas las vulnerabilidades Alta, como las define el Requisito 6.2 de las PCI DSS, hayan sido resueltas. (c) Los escaneos son realizados por recurso(s) internos calificados o por terceros calificados y, si corresponde, la empresa que realiza las pruebas garantiza la independencia? (no es necesario que sea un QSA o ASV). PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 16

23 Mantener una política de seguridad de información Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal Respuesta a la Pregunta sobre las PCI DSS: Sí No Especia l * 12.1 Existe una política de seguridad establecida, publicada, mantenida y divulgada al todo el personal pertinente? A los fines del Requisito 12, personal se refiere a personal de tiempo completo y parcial, personal temporal, y contratistas y consultores que residan en las instalaciones de la entidad o que tengan acceso al entorno de datos de los titulares de tarjetas en la empresa Se revisa la política de seguridad de la información al menos una vez al año y se actualiza según sea necesario de manera que refleje los cambios en los objetivos de la empresa o el entorno de riesgos? 12.3 (a) Se desarrollan políticas de utilización para tecnologías críticas (por ejemplo, tecnologías de acceso remoto, tecnologías inalámbricas, dispositivos electrónicos extraíbles, computadoras portátiles, tabletas, asistentes digitales/para datos personales [PDA], utilización del correo electrónico e Internet) para definir el uso adecuado de dichas tecnologías por parte de todo el personal que requieran los siguientes? Aprobación explícita de las partes autorizadas para utilizar las tecnologías? Autenticación para el uso de la tecnología? Una lista de todos los dispositivos y el personal que tenga acceso? Usos aceptables de la tecnología? Ubicaciones aceptables para las tecnologías en la red? Desconexión automática de sesiones para tecnologías de acceso remoto después de un período específico de inactividad Activación de las tecnologías de acceso remoto para proveedores y socios de negocio sólo cuando sea necesario, con desactivación inmediata después de su uso? 12.4 Las políticas y los procedimientos de seguridad definen claramente las responsabilidades de seguridad de la información de todo el personal? 12.5 Las siguientes responsabilidades de administración de seguridad de la información están asignadas a una persona o equipo? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 17

24 Respuesta a la Pregunta sobre las PCI DSS: Sí No Especia l * Establecimiento, documentación y distribución de los procedimientos de respuesta ante incidentes de seguridad y escalación para garantizar un manejo oportuno y efectivo de todas las situaciones? 12.6 (a) Se ha implementado un programa formal de concienciación sobre seguridad para que todo el personal tome conciencia de la importancia de la seguridad de los datos de los titulares de tarjetas? 12.8 Si los datos de titulares de tarjeta se comparten con proveedores de servicios, se mantienen e implementan políticas y procedimientos para administrarlos y controlarlos de la siguiente manera? Se mantiene una lista de proveedores de servicios? Se mantiene un acuerdo escrito que incluya un reconocimiento en el sentido de que los proveedores de servicios son responsables de la seguridad de los datos de titulares de tarjetas que ellos tienen en su poder? Existe un proceso establecido para comprometer a los proveedores de servicios que incluya una auditoría de compra adecuada previa al compromiso? Se mantiene un programa para supervisar el estado de cumplimiento con las PCI DSS del proveedor de servicios con una frecuencia anual, como mínimo? PCI DSS SAQ C, v2.0, Cuestionario de Autoevaluación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 18

25 Anexo A: (no utilizado) Esta página se dejó en blanco de manera intencional SAQ C de las PCI DSS, v2.0, Anexo A: (no utilizado) Octubre de 2010 Copyright 2010 PCI Security Standards Council LLC Página 19

26 Anexo B: Controles de compensación Los controles de compensación se pueden tener en cuenta para la mayoría de los requisitos de las PCI DSS cuando una entidad no puede cumplir con un requisito explícitamente establecido, debido a los límites comerciales legítimos técnicos o documentados, pero pudo mitigar el riesgo asociado con el requisito de forma suficiente, mediante la implementación de otros controles, o controles de compensación. Los controles de compensación deben cumplir con los siguientes criterios: 1. Cumplir con el propósito y el rigor del requisito original de las PCI DSS. 2. Proporcionar un nivel similar de defensa, tal como el requisito original de PCI DSS, de manera que el control de compensación compense el riesgo para el cual se diseñó el requisito original de las PCI DSS. (Consulte Exploración de las PCI DSS para obtener el propósito de cada requisito de PCI DSS.) 3. Conozca en profundidad otros requisitos de las PCI DSS. (El simple cumplimiento con otros requisitos de las PCI DSS no constituye un control de compensación). Al evaluar exhaustivamente los controles de compensación, considere lo siguiente: Nota: Los puntos a) a c) que aparecen a continuación son sólo ejemplos. El asesor que realiza la revisión de las PCI DSS debe revisar y validar si los controles de compensación son suficientes. La eficacia de un control de compensación depende de los aspectos específicos del entorno en el que se implementa el control, los controles de seguridad circundantes y la configuración del control. Las empresas deben saber que un control de compensación en particular no resulta eficaz en todos los entornos. a) Los requisitos de las PCI DSS NO SE PUEDEN considerar controles de compensación si ya fueron requisito para el elemento en revisión. Por ejemplo, las contraseñas para el acceso administrativo sin consola se deben enviar cifradas para mitigar el riesgo de que se intercepten contraseñas administrativas de texto claro. Una entidad no puede utilizar otros requisitos de contraseña de las PCI DSS (bloqueo de intrusos, contraseñas complejas, etc.) para compensar la falta de contraseñas cifradas, puesto que esos otros requisitos de contraseña no mitigan el riesgo de que se intercepten las contraseñas de texto claro. Además, los demás controles de contraseña ya son requisitos de las PCI DSS para el elemento en revisión (contraseñas). b) Los requisitos de las PCI DSS SE PUEDEN considerar controles de compensación si se requieren para otra área, pero no son requisito para el elemento en revisión. Por ejemplo, la autenticación de dos factores es un requisito de las PCI DSS para el acceso remoto. La autenticación de dos factores desde la red interna también se puede considerar un control de compensación para el acceso administrativo sin consola cuando no se puede admitir la transmisión de contraseñas cifradas. La autenticación de dos factores posiblemente sea un control de compensación aceptable si; (1) cumple con el propósito del requisito original al abordar el riesgo de que se intercepten las contraseñas administrativa de texto claro y (2) está adecuadamente configurada y en un entorno seguro. c) Los requisitos existentes de las PCI DSS se pueden combinar con nuevos controles para convertirse en un control de compensación. Por ejemplo, si una empresa no puede dejar ilegibles los datos de los titulares de tarjetas según el requisito 3.4 (por ejemplo, mediante cifrado), un control de compensación podría constar de un dispositivo o combinación de dispositivos, aplicaciones y controles que aborden lo siguiente: (1) segmentación interna de la red; (2) filtrado de dirección IP o MAC y (3) autenticación de dos factores desde la red interna. 4. Ser cuidadoso con el riesgo adicional que impone la no adhesión al requisito de las PCI DSS. El asesor debe evaluar por completo los controles de compensación durante cada evaluación anual de PCI DSS para validar que cada control de compensación aborde de forma correcta el riesgo para el cual se diseñó el requisito original de PCI DSS, según los puntos 1 a 4 anteriores. Para mantener el SAQ C de las PCI DSS, v2.0, Anexo B: Controles de compensación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 20

27 cumplimiento, se deben aplicar procesos y controles para garantizar que los controles de compensación permanezcan vigentes después de completarse la evaluación. SAQ C de las PCI DSS, v2.0, Anexo B: Controles de compensación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 21

28 Anexo C: Hoja de trabajo de controles de compensación Utilice esta hoja de trabajo para definir los controles de compensación para cualquier requisito en el que se marcó SÍ y se mencionaron controles de compensación en la columna Especial. Nota: Sólo las empresas que han llevado a cabo un análisis de riesgos y que tienen limitaciones legítimas tecnológicas o documentadas pueden considerar el uso de controles de compensación para lograr el cumplimiento. Número de requisito y definición: Información requerida 1. Limitaciones Enumere las limitaciones que impiden el cumplimiento con el requisito original. 2. Objetivo Defina el objetivo del control original; identifique el objetivo con el que cumple el control de compensación. 3. Riesgo identificado 4. Definición de controles de compensación 5. Validación de controles de compensación Identifique cualquier riesgo adicional que imponga la falta del control original. Defina controles de compensación y explique de qué manera identifican los objetivos del control original y el riesgo elevado, si es que existe alguno. Defina de qué forma se validaron y se probaron los controles de compensación. 6. Mantenimiento Defina los procesos y controles que se aplican para mantener los controles de compensación. Explicación SAQ C de las PCI DSS, v2.0, Anexo C: Hoja de trabajo de controles de compensación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 22

29 Hoja de trabajo de controles de compensación Ejemplo completado Utilice esta hoja de trabajo para definir los controles de compensación para cualquier requisito en el que se marcó SÍ y se mencionaron controles de compensación en la columna Especial. Número de requisito: 8.1 Todos los usuarios se identifican con un nombre de usuario único antes de permitirles tener acceso a componentes del sistema y a datos de titulares de tarjetas? Información requerida 1. Limitaciones Enumere las limitaciones que impiden el cumplimiento con el requisito original. 2. Objetivo Defina el objetivo del control original; identifique el objetivo con el que cumple el control de compensación. 3. Riesgo identificado 4. Definición de controles de compensación 5. Validación de controles de compensación Identifique cualquier riesgo adicional que imponga la falta del control original. Defina controles de compensación y explique de qué manera identifican los objetivos del control original y el riesgo elevado, si es que existe alguno. Defina de qué forma se validaron y se probaron los controles de compensación. 6. Mantenimiento Defina los procesos y controles que se aplican para mantener los controles de compensación. Explicación La empresa XYZ emplea servidores Unix independientes sin LDAP. Como tales, requieren un inicio de sesión raíz. Para la empresa XYZ no es posible gestionar el inicio de sesión raíz ni es factible registrar toda la actividad raíz de cada usuario. El objetivo del requisito de inicios de sesión únicos es doble. En primer lugar, desde el punto de vista de la seguridad, no se considera aceptable compartir las credenciales de inicio de sesión. En segundo lugar, el tener inicios de sesión compartidos hace imposible establecer de forma definitiva a la persona responsable de una acción en particular. Al no garantizar que todos los usuarios cuenten con una ID única y se puedan rastrear, se introduce un riesgo adicional en el acceso al sistema de control. La empresa XYZ requerirá que todos los usuarios inicien sesión en servidores desde sus escritorios mediante el comando SU. SU permite que el usuario obtenga acceso a la cuenta raíz y realice acciones dentro de la cuenta raíz, aunque puede iniciar sesión en el directorio de registros SU. De esta forma, las acciones de cada usuario se pueden rastrear mediante la cuenta SU.. La empresa XYZ demuestra al asesor que el comando SU que se ejecuta y las personas que utilizan el comando se encuentran conectados e identifica que la persona realiza acciones con privilegios raíz. La empresa XYZ documenta procesos y procedimientos, y garantiza que no se cambie, se modifique, ni se elimine la configuración de SU y se permita que usuarios ejecuten comandos raíz sin que se los pueda rastrear o registrar. SAQ C de las PCI DSS, v2.0, Anexo C: Hoja de trabajo de controles de compensación Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 23

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Comerciantes con tarjetas ausentes, todas las funciones que impliquen

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Comerciantes con sistemas de aplicaciones de pago conectados a Internet.

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Terminales de pago de hardware en una solución únicamente P2PE

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

Cardio. smile. Política de Privacidad

Cardio. smile. Política de Privacidad Política de Privacidad Esta Política de Privacidad describe los tipos de información recolectados por Smile en este sitio web y cómo los usamos y protegemos. Esta Política de Privacidad solo se aplica

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas

Más detalles

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones

Más detalles

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 Este documento proporciona información sobre la función de soporte remoto seguro de

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Aero Owen, S. A. de C. V. (OWEN) se compromete a ofrecer el mejor servicio posible a sus clientes y proteger la privacidad de los datos e información que proporcionan los clientes

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guía de inicio rápido Haga un clic aquí para descargar la versión más reciente de este documento. ESET Smart Security es un software

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008 CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de 2008 1.2 Alinear

Más detalles

PRÁCTICAS DE CONFIDENCIALIDAD RELACIONADAS CON ESTE SITIO WEB

PRÁCTICAS DE CONFIDENCIALIDAD RELACIONADAS CON ESTE SITIO WEB PRÁCTICAS DE CONFIDENCIALIDAD RELACIONADAS CON ESTE SITIO WEB Su confidencialidad es importante para MAPEI S.p.A. y sus subsidiarias y afiliados a nivel mundial (en conjunto, "MAPEI"). Esta declaración

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted:

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted: POLÍTICA DE PRIVACIDAD Última actualización 29 de abril de 2014 Smartkidi permite a sus usuarios, a través del Sitio web Smartkidi (http://smartkidi.com), o el Sitio web, poder encontrar, ver y enviar

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

Contenido NO EXPONGA SU INFORMACIÓN PERSONAL.

Contenido NO EXPONGA SU INFORMACIÓN PERSONAL. FUNCIONALIDADES DE LOS DISPOSITIVOS MÓVILES Contenido NO EXPONGA SU INFORMACIÓN PERSONAL. 1. COMO ESTABLECER PROTECCIÓN EN SUS DISPOSITIVOS MÓVILES... 2 2. PERFILES DE USO Y BLOQUEO DE LLAMADAS.... 7 Establezca

Más detalles

TÉRMINOS Y CONDICIONES

TÉRMINOS Y CONDICIONES TÉRMINOS Y CONDICIONES Titular de la web y datos de contacto www.coin-app.net es un dominio en Internet de la titularidad de Coin App inscrita en la cámara de comercio de Bucaramanga con NIT 1020740844-8

Más detalles

Guía Rápida de Instalación

Guía Rápida de Instalación Microsoft Windows Vista / XP / 2000 / 2003 Guía Rápida de Instalación Protegemos su Mundo Digital ESET Smart Security ESET Smart Security ofrece protección de última generación para su equipo contra códigos

Más detalles

Manual de buenas prácticas Política de Seguridad de la Información

Manual de buenas prácticas Política de Seguridad de la Información Manual de buenas prácticas Política de Seguridad de la Información 1 Introducción La información que es elaborada y generada por los procesos de la institución es un activo, que como otros bienes de nuestra

Más detalles

Protección de datos en la Fundación Progreso y Salud CÓDIGO DE BUENAS PRÁCTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES. Versión 1.

Protección de datos en la Fundación Progreso y Salud CÓDIGO DE BUENAS PRÁCTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES. Versión 1. Protección de datos en la Fundación Progreso y Salud CÓDIGO DE BUENAS PRÁCTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES Versión 1.0 1. INTRODUCCIÓN La Fundación Pública Andaluza Progreso y Salud está comprometida

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

CONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación

CONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación CONTROL DE CAMBIOS FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación 01 02/07/07 Primera versión del Anexo Requerimientos Para La Elaboración Del Plan De Calidad Elaboró: Revisó: Aprobó:

Más detalles

AVISO DE PRIVACIDAD DE ÁCIDO DE MÉXICO S.A. DE C.V.

AVISO DE PRIVACIDAD DE ÁCIDO DE MÉXICO S.A. DE C.V. AVISO DE PRIVACIDAD DE ÁCIDO DE MÉXICO S.A. DE C.V. Con el fin de dar cumplimiento al artículo 17 de la Ley Federal de Protección de datos Personales en Posesión de los Particulares, y consientes de la

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red... Guía de Instalación Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...5 3.Proceso de instalación...7 Paso

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Consulte la parte posterior para obtener información sobre la instalación rápida.

Consulte la parte posterior para obtener información sobre la instalación rápida. TM Norton AntiVirus Online Guía del usuario Consulte la parte posterior para obtener información sobre la instalación rápida. Cuida el medio ambiente: "Es lo que hay que hacer". Symantec ha quitado la

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

SISTEMA ETAP en línea Estándares Tecnológicos para la Administración Pública

SISTEMA ETAP en línea Estándares Tecnológicos para la Administración Pública JEFATURA DE GABINETE DE MINISTROS SISTEMA ETAP en línea Estándares Tecnológicos para la Administración Pública Manual para los Organismos Índice Índice... 2 Descripción... 3 Cómo solicitar la intervención

Más detalles

REQUERIMIENTOS NO FUNCIONALES

REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES A continuación se describen las principales características no funcionales que debe contener el sistema de información. Interfaces de usuario.

Más detalles

Comprensión del objetivo de los requisitos

Comprensión del objetivo de los requisitos Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Navegación de las PCI DSS Comprensión del objetivo de los requisitos Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos

Más detalles

Política de Privacidad por Internet

Política de Privacidad por Internet Política de Privacidad por Internet Última actualización: 17 de noviembre de 2013 Su privacidad es importante para nosotros. Esta Política de Privacidad por Internet explica cómo recopilamos, compartimos,

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

Internet Explorer proporciona diversas características que le ayudan a proteger su privacidad y

Internet Explorer proporciona diversas características que le ayudan a proteger su privacidad y INTERNET NIVEL MEDIO DE INTERNET MÁS SOBRE INTERNET OPCIONES DE SEGURIDAD Internet Explorer proporciona diversas características que le ayudan a proteger su privacidad y aumentan la seguridad de su equipo

Más detalles

CAPÍTULO 14 COMERCIO ELECTRÓNICO

CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones Para los efectos del presente Capítulo: CAPÍTULO 14 COMERCIO ELECTRÓNICO instalaciones informáticas significa servidores y dispositivos de almacenamiento para el procesamiento

Más detalles

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema Objetivo El presente procedimiento tiene como objetivo establecer y describir las tareas a desarrollar para efectuar

Más detalles

CAPÍTULO 14 COMERCIO ELECTRÓNICO

CAPÍTULO 14 COMERCIO ELECTRÓNICO CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones Para los efectos del presente Capítulo: autenticación electrónica significa el proceso o acción de verificar la identidad de una parte en una

Más detalles

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Industria de Tarjetas de Pago (PCI) rma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Versión Descripción

Más detalles

Capítulo 2 Solución de problemas

Capítulo 2 Solución de problemas Capítulo 2 Solución de problemas En este capítulo encontrará información sobre cómo resolver los problemas que surjan con el wireless ADSL modem router. Junto a la descripción de cada problema aparecen

Más detalles

Aspectos relevantes relacionados con la seguridad

Aspectos relevantes relacionados con la seguridad Aspectos relevantes relacionados con la seguridad En BBVA, somos conscientes de la necesidad de garantizar la seguridad durante la transferencia de datos entre el banco y sus clientes. Por ello, disponemos

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) rmas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas

Más detalles

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR VICERRECTORADO OFICINA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DETALLADA DE USUARIO FINAL PARA LA SEGURIDAD DE LA INFORMACIÓN OSI-PDUF VERSIÓN: 1.0: Aprobada

Más detalles

GARANTÍA DE CALIDAD Y BUENAS PRÁCTICAS DE LABORATORIO

GARANTÍA DE CALIDAD Y BUENAS PRÁCTICAS DE LABORATORIO MINISTERIO DE SANIDAD Y CONSUMO GARANTÍA DE CALIDAD Y BUENAS PRÁCTICAS DE LABORATORIO DOCUMENTO Nº 2 2ª Versión Noviembre 2001 AGENCIA ESPAÑOLA DEL MEDICAMENTO SUMARIO 1.- Introducción. 2.- Funciones del

Más detalles

ESPECIFICACIONES TÉCNICAS PARA LA ADQUISICIÓN DE UN SISTEMA ANTIVIRUS

ESPECIFICACIONES TÉCNICAS PARA LA ADQUISICIÓN DE UN SISTEMA ANTIVIRUS ESPECIFICACIONES TÉCNICAS PARA LA ADQUISICIÓN DE UN SISTEMA ANTIVIRUS LOTE DESCRIPCION Nº LICENCIAS /UNIDAD 1 Renovación de licencias 25.000 5,00 (Sin IVA) Para llevar a cabo el proyecto de instalación

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

Servicio Colaboración CISCO ADIS.

Servicio Colaboración CISCO ADIS. Servicio Colaboración CISCO ADIS. ADIS pone a disposición de nuestros clientes la solución de Cisco Smart Care Service cual es una plataforma única de servicios colaborativos con la que solo socios certificados

Más detalles

TÉRMINOS Y CONDICIONES

TÉRMINOS Y CONDICIONES TÉRMINOS Y CONDICIONES La venta de nuestra Tienda online está basada en los siguientes Términos y Condiciones, los cuales deberán ser leídos y aceptados por el cliente antes de realizar un pedido. Realizar

Más detalles

Miami Lakes Surgery Center AVISO SOBRE LAS PRACTICAS DE PRIVACIDAD

Miami Lakes Surgery Center AVISO SOBRE LAS PRACTICAS DE PRIVACIDAD Miami Lakes Surgery Center AVISO SOBRE LAS PRACTICAS DE PRIVACIDAD Fecha de inicio de vigencia: 17 de febrero 2010 ESTE AVISO DESCRIBE LA FORMA EN QUE PUEDE UTILIZARSE Y REVELARSE LA INFORMACIÓN SOBRE

Más detalles

Network Client Guía de Resolución de problemas

Network Client Guía de Resolución de problemas Network Client Guía de Resolución de problemas La primera sección de esta guía responde a algunas preguntas frecuentes sobre el funcionamiento de Intellex y del software Network Client. También trata problemas

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Descripción general brinda protección de alto rendimiento contra el tiempo fuera

Más detalles

ANEXO 6 FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A DATOS DE CARÁCTER PERSONAL

ANEXO 6 FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A DATOS DE CARÁCTER PERSONAL FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A DATOS DE CARÁCTER PERSONAL Responsable del Fichero Responsable de Seguridad HOSPITALINTERMUTUAL DE LEVANTE D. Federico Beltrán Carbonell El propósito

Más detalles

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET NOD32

Más detalles

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las

Más detalles

Sophos Enterprise Console Ayuda

Sophos Enterprise Console Ayuda Sophos Enterprise Console Ayuda Versión: 5.4 Edición: abril de 2016 Contenido 1 Acerca de Sophos Enterprise Console 5.4...6 2 Descripción de la ventana de Enterprise Console...7 2.1 Ventana principal...7

Más detalles

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS 5 ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS Contenido: 5.1 Conceptos Generales Administración de Bases de Datos Distribuidas 5.1.1 Administración la Estructura de la Base de Datos 5.1.2 Administración

Más detalles

Attachments: Archivos adjuntos a los mensajes de correo electrónico.

Attachments: Archivos adjuntos a los mensajes de correo electrónico. 10/12/2014 Página 1 de 8 1. OBJETIVO Describir el uso adecuado de los servicios, software, equipos de computación y redes de datos en La Entidad. Estas políticas buscan proteger la información, las personas

Más detalles

POLÍTICAS DE USO DEL SERVICIO DE INTERNET ANEXO H

POLÍTICAS DE USO DEL SERVICIO DE INTERNET ANEXO H ANEXO H El acceso a Internet, es un medio importante de comunicación para la Universidad, puesto que provee un medio eficiente para potenciar las tareas de investigación y estudio por parte de docentes

Más detalles

TÉRMINOS Y CONDICIONES DEL PLAN DE SERVICIOS DE ASISTENCIA AL CLIENTE GRATUITO PARA EL SMARTPHONE PORSCHE DESIGN DE BLACKBERRY

TÉRMINOS Y CONDICIONES DEL PLAN DE SERVICIOS DE ASISTENCIA AL CLIENTE GRATUITO PARA EL SMARTPHONE PORSCHE DESIGN DE BLACKBERRY LEA ATENTAMENTE ESTE DOCUMENTO ANTES DE ACEPTAR. BlackBerry (como se define a continuación) se complace en poner a disposición de Usted (como se define a continuación) el Plan de servicios de asistencia

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

MANUAL DE USUARIO DE OFICINA CONECTADA

MANUAL DE USUARIO DE OFICINA CONECTADA MANUAL DE USUARIO DE OFICINA CONECTADA 1 OFICINA CONECTADA INDICE 1 INTRODUCCIÓN...3 2 USO DEL SERVICIO...4 2.1 CONFIGURACIÓN EQUIPO CLIENTE...4 2.2 ADMINISTRACIÓN AVANZADA...5 2.2.1 Gestión de usuarios...7

Más detalles

8 Conjunto de protocolos TCP/IP y direccionamiento IP

8 Conjunto de protocolos TCP/IP y direccionamiento IP 8 Conjunto de protocolos TCP/IP y direccionamiento IP 8.1 Introducción a TCP/IP 8.1.1 Historia de TCP/IP El Departamento de Defensa de EE.UU. (DoD) creó el modelo de referencia TCP/IP porque necesitaba

Más detalles

mantiene la productividad de los empleados y protege Confidence in a connected world. Page 1 of 5

mantiene la productividad de los empleados y protege Confidence in a connected world. Page 1 of 5 Seguridad galardonada de los sistemas de mensajería que protege los mensajes entrantes y controla los mensajes salientes. Descripción general ofrece seguridad de la mensajería entrante y saliente para

Más detalles

Política de privacidad. FECHA DE VIGENCIA : 22 de Abril del 2014

Política de privacidad. FECHA DE VIGENCIA : 22 de Abril del 2014 Política de privacidad FECHA DE VIGENCIA : 22 de Abril del 2014 Esta política de privacidad describe las prácticas de la empresa en relación con la información personal que obtenemos acerca de usted. Mediante

Más detalles

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS EN MATERIA DE PROTECCION DE DATOS PERSONALES

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS EN MATERIA DE PROTECCION DE DATOS PERSONALES PAGINA: 1 de 1 MANUAL DE POLÍTICAS Y PROCEDIMIENTOS EN MATERIA DE PROTECCION DE DATOS ELABORO: REVISO: APROBO: Jaime David Rojas Tabares Analista de Procesos Liliana Maria Montoya Flores Gerente Administrativa

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD Diciembre de 2005 INDICE DEL CONTENIDO 1. OBJETO... 1 2. AMBITO DE APLICACIÓN... 2 2.1 Ambito jurídico... 2 2.2 Ambito personal... 2 2.3 Ambito material... 2 3. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD. MEDIDAS

Más detalles

http://www.trendmicro.com/download/emea/?lng=es

http://www.trendmicro.com/download/emea/?lng=es Manual del usuario Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar y empezar a utilizar

Más detalles

2.1.1.2 Explicación usuario y contraseña para entidades nuevas no inscritas a la CNG

2.1.1.2 Explicación usuario y contraseña para entidades nuevas no inscritas a la CNG Para la instalación y operación del CHIP-Local en una Entidad Reportante se tienen dos instrumentos básicos: La página Web www.chip.gov.co y la ayuda del CHIP-Local. En la guía para la Instalación y operación

Más detalles

Guía de configuración de red

Guía de configuración de red Guía de configuración de red 2015 Seiko Epson Corporation. Reservados todos los derechos. Contenido Antes de realizar los ajustes 5 Configuración de los ajustes de red... 5 Conexión LAN inalámbrica...6

Más detalles

Sophos Enterprise Console Ayuda

Sophos Enterprise Console Ayuda Sophos Enterprise Console Ayuda Versión: 5.2 Edición: enero de 2013 Contenido 1 Acerca de Enterprise Console...3 2 Descripción de la ventana de Enterprise Console...4 3 Empezar a usar Sophos Enterprise

Más detalles

Es un software instalado en los equipos asignados a los Centros de Consulta con el objetivo de:

Es un software instalado en los equipos asignados a los Centros de Consulta con el objetivo de: OBJETIVOS Es un software instalado en los equipos asignados a los Centros de Consulta con el objetivo de: Brindar asistencia técnica y realizar mantenimiento de los equipos en forma remota, desde la sede

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Profesor Santiago Roberto Zunino. Página 1

Profesor Santiago Roberto Zunino. Página 1 Profesor Santiago Roberto Zunino. Página 1 Diseño de una red LAN. Uno de los pasos más importantes para garantizar el desarrollo de una red rápida y estable es el diseño de la red. Si una red no está diseñada

Más detalles

IBM Managed Security Services para Redespliegue y Reactivación del Agente

IBM Managed Security Services para Redespliegue y Reactivación del Agente Descripción de los Servicios IBM Managed Security Services para Redespliegue y Reactivación del Agente EN ADICIÓN A LOS TÉRMINOS Y CONDICIONES ESPECIFICADOS ABAJO, ESTA DESCRIPCIÓN DE SERVICIOS INCLUYE

Más detalles

Descripción general printeract, Servicios remotos de Xerox

Descripción general printeract, Servicios remotos de Xerox Descripción general de printeract, Servicios remotos de Xerox 701P28670 Descripción general printeract, Servicios remotos de Xerox Un paso en la dirección correcta Diagnostica problemas Evalúa datos de

Más detalles

NETWORK VULNERABILITY & ACCESS CONTROL

NETWORK VULNERABILITY & ACCESS CONTROL Control de Acceso a Redes (NAC) Se encuentra a un clic del desastre? Refuerce su red y proteja sus activos con un control férreo de acceso a la red y gestión de vulnerabilidad. Conozca los hechos y obtenga

Más detalles

Dossier i-card Access y LOPD

Dossier i-card Access y LOPD I-CARD SOFTWARE Dossier i-card Access y LOPD Aplicaciones sobre el Reglamento de Medidas de Seguridad 02/01/2007 1. Reglamento de Medidas de Seguridad y Aplicaciones de i-card Access (pág. 3) 2. Configuraciones

Más detalles

PREGUNTAS FRECUENTES LECTOR DIGITAL PERSONA (DP)

PREGUNTAS FRECUENTES LECTOR DIGITAL PERSONA (DP) PREGUNTAS FRECUENTES LECTOR DIGITAL PERSONA (DP) 1. Cómo actualizar a la nueva versión del sistema On The Minute? 2. Cómo instalar una revisión del sistema On The Minute 4.0? 3. Que sucede si intento instalar

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Novedades de Avaya IQ

Novedades de Avaya IQ Novedades de Avaya IQ Versión 5.0 Junio de 2009 2009 Avaya Inc. Todos los derechos reservados. Aviso Aunque se hizo todo lo posible por garantizar que la información en este documento esté completa y sea

Más detalles