Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Transcripción

1 Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para el SAQ Versión 2.0 Octubre de 2010

2 Modificaciones realizadas a los documentos Fecha Versión Descripción 1 de octubre de de octubre de Alinear el contenido con la nueva versión 1.2 de PCI DSS e implementar cambios menores notados desde la versión 1.1 original. Alinear el contenido con los nuevos requisitos y procedimientos de prueba de la v2.0 de las PCI DSS. SAQ D de las PCI DSS, v2.0, Modificaciones realizadas a los documentos Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página i

3 Índice Modificaciones realizadas a los documentos... i Norma de seguridad de datos de la PCI: Documentos relacionados... iii Antes de comenzar... iv Respuestas del cuestionario de autoevaluación...iv Pasos para completar el cumplimiento de las PCI DSS...iv Guía para la no aplicabilidad de ciertos requisitos específicos...vi Declaración de cumplimiento, SAQ D Versión para el comerciante... 1 Declaración de cumplimiento, SAQ D Versión para el proveedor de servicios... 1 Cuestionario de autoevaluación D... 1 Desarrollar y mantener una red segura...1 Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos...1 Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores...4 Proteger los datos del titular de la tarjeta...7 Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados...7 Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas...12 Mantener un programa de administración de vulnerabilidad...13 Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus...13 Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras...13 Implementar medidas sólidas de control de acceso...18 Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa...18 Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora19 Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta...22 Supervisar y evaluar las redes con regularidad...25 Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas...25 Requisito 11: Probar periódicamente los sistemas y procesos de seguridad...27 Mantener una política de seguridad de información...31 Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal...31 Anexo A: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido Requisito A.1: Los proveedores de hosting compartido deben proteger el entorno de datos de los titulares de tarjetas...35 Anexo B: Controles de compensación Anexo C: Hoja de trabajo de controles de compensación Hoja de trabajo de controles de compensación Ejemplo completado...40 Anexo D: Explicaciones de no aplicabilidad SAQ D de las PCI DSS, v2.0, Índice Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página ii

4 Norma de seguridad de datos de la PCI: Documentos relacionados Los documentos siguientes se crearon para asistir a los comerciantes y a los proveedores de servicio en la compresión de la Norma de seguridad de datos de la PCI (PCI DSS) y el SAQ de las PCI DSS. Documento Norma de seguridad de datos de la PCI: Requisitos y procedimientos de evaluación de seguridad Navegación de las PCI DSS: Comprensión del objetivo de los requisitos Norma de seguridad de datos de la PCI: Instrucciones y directrices de autoevaluación Norma de seguridad de datos de la PCI: Cuestionario A de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario B de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario C-VT de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario C de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario D de autoevaluación y declaración Normas de seguridad de datos de la PCI y Normas de Seguridad de Datos para las Aplicaciones de Pago: Glosario de términos, abreviaturas y acrónimos Audiencia Todos los comerciantes y proveedores de servicio Todos los comerciantes y proveedores de servicio Todos los comerciantes y proveedores de servicio Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes y proveedores de servicio elegibles 1 Todos los comerciantes y proveedores de servicio 1 Para determinar el Cuestionario de autoevaluación correcto, véase Norma de seguridad de datos de la PCI: Instrucciones y directrices de autoevaluación, Selección del SAQ y de la Declaración que mejor se adapte a su organización. SAQ D de las PCI DSS, v2.0, Normas de seguridad de datos de la PCI: Documentos relacionados Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página iii

5 Antes de comenzar Respuestas del cuestionario de autoevaluación El SAQ D se desarrolló para todos los proveedores de servicio y comerciantes elegibles para el SAQ que no se ajustan a las descripciones de los tipos de SAQ de la A a la C, tal como se describe de manera sucinta en la tabla de abajo y completamente en Instrucciones y directrices del cuestionario de autoevaluación de las PCI DSS. SAQ A B C-VT C D Descripción Comerciantes con tarjetas ausentes (comercio electrónico, pedido por correo o pedido por teléfono); todas las funciones que impliquen el manejo de datos del titular de la tarjeta, tercerizadas. Esto nunca se aplicaría a comerciantes cara a cara. Comercios que usan solamente máquinas impresoras, sin almacenamiento electrónico de datos de titulares de tarjetas, o comerciantes que tienen terminales independientes con discado externo y no almacenan electrónicamente datos de titulares de tarjetas. Comerciantes que sólo utilizan terminales virtuales basados en la web sin almacenamiento electrónico de datos de titulares de tarjetas. Comerciantes con sistemas de aplicaciones de pago conectados a Internet, sin almacenamiento electrónico de datos de titulares de tarjetas. Todos los demás comerciantes (no incluidos en las descripciones de SAQ de la A a la C anteriores), y todos los proveedores de servicio definidos por una marca de pago como elegibles para completar un SAQ. El SAQ D se aplica a los comerciantes elegibles para el SAQ que no satisfacen los criterios correspondientes a los tipos de SAQ de la A a la C, descritos anteriormente, y a todos los proveedores de servicio definidos por una marca de pago como elegibles para el SAQ. Los proveedores de servicio y comerciantes elegibles para SAQ D validan su cumplimiento al completar el SAQ D y la Declaración de Cumplimiento asociada. Si bien muchas de las organizaciones que completan el SAQ D deberán validar su cumplimiento con todos los requisitos de las PCI DSS, es posible que algunas de las organizaciones con modelos de negocio muy específicos encuentren que algunos requisitos no son aplicables. Por ejemplo, no se esperaría de una compañía que no utiliza tecnología inalámbrica en modo alguno que valide el cumplimiento con las secciones de las PCI DSS relacionadas con el manejo de tecnología inalámbrica. Consulte la directriz de abajo para obtener información sobre la exclusión de tecnología inalámbrica y otros requisitos específicos. Cada sección de este cuestionario se enfoca en un área de seguridad específica, basada en los requisitos de las PCI DSS. Pasos para completar el cumplimiento de las PCI DSS 1. Evaluar el cumplimiento con las PCI DSS de su entorno. 2. Completar el Cuestionario de autoevaluación (SAQ D) de acuerdo con las instrucciones en las Instrucciones y directrices del cuestionario de autoevaluación. 3. Completar un escaneo de vulnerabilidades aprobado con un Proveedor aprobado de escaneo (ASV) y solicitar pruebas al ASV de un análisis aprobado. 4. Completar la Declaración de cumplimiento en su totalidad. SAQ D de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página iv

6 5. Presentar el SAQ, pruebas de un escaneo aprobado y la Declaración de cumplimiento, junto con cualquier documento solicitado al adquirente (en el caso de comerciantes), a la marca de pago o a cualquier solicitante (en el caso de proveedores de servicio). SAQ D de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página v

7 Guía para la no aplicabilidad de ciertos requisitos específicos Exclusión: Si se requiere que responda el SAQ D a fin de validar su cumplimiento con las PCI DSS, se deben considerar las siguientes expectativas. Consulte No aplicabilidad abajo para obtener la respuesta correcta al SAQ. Las preguntas específicas de la tecnología inalámbrica sólo se deben responder si está presente en cualquier parte de su red (por ejemplo, Requisitos 1.2.3, y 4.1.1). Observe que el Requisito 11.1 (uso de un proceso para identificar puntos de acceso inalámbrico no autorizados) se debe responder incluso si su red no utiliza tecnología inalámbrica, debido a que el proceso detecta cualesquiera dispositivos peligrosos no autorizados que se hayan podido agregar sin su consentimiento. Las preguntas específicas de las aplicaciones y el código (Requisitos 6.3 y 6.5) sólo se deben responder si su organización desarrolla sus propias aplicaciones personalizadas. Las preguntas del Requisito 9.1 al 9.4 sólo se deben responder si las instalaciones poseen áreas confidenciales, tal como se define aquí. Áreas confidenciales hace referencia a cualquier centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan procesos o transmitan datos de titulares de tarjetas. Esto excluye las áreas donde sólo hay terminales de punto de venta, tales como el área de cajas de un comercio; no obstante, sí incluye las salas de servidores trastienda que almacenan datos de titulares de tarjetas y las áreas de almacenamiento de grandes cantidades de datos de titulares de tarjetas. No aplicabilidad: Estos y otros requisitos que pudieran no ser aplicables a su entorno se deben indicar con N/A en la columna Especial del SAQ. Según corresponda, complete la hoja de trabajo titulada Explicación de no aplicabilidad del Apéndice D para cada entrada N/A. SAQ D de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página vi

8 Declaración de cumplimiento, SAQ D Versión para el comerciante Instrucciones para la presentación El comerciante debe completar esta Atestación de cumplimiento como una declaración de su estado de cumplimiento con los Requisitos de la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y procedimientos de evaluación de seguridad. Complete todas las secciones aplicables y remítase a las instrucciones de presentación en Cumplimiento con las PCI DSS: Pasos para completar el proceso en este documento. Parte 1. Información sobre el comerciante y el asesor de seguridad calificado Parte 1a. Información de la organización del comerciante Nombre de la empresa: Nombre(s) comercial(es) (DBA): Nombre del contacto: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 1b. Información de la empresa del evaluador de seguridad certificado (QSA) (si corresponde) Nombre de la empresa: SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 1

9 Nombre del contacto del QSA principal: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 2 Tipo de negocio del comerciante (marque todo lo que corresponda): Comercio minorista Telecomunicaciones Tiendas de comestibles y supermercados Petróleo Comercio electrónico Pedidos por correo/teléfono Otros (especifique): Enumere las instalaciones y ubicaciones incluidas en la revisión de la PCI DSS: Parte 2a. Relaciones Su empresa tiene relación con uno o más agentes externos (por ejemplo, empresas de puertas de enlace y Web hosting, agentes de reservas aéreas, agentes de programas de lealtad, etc.)? Está relacionada su empresa con más de un adquiriente? Sí No Sí No Parte 2b. Procesamiento de transacciones De qué forma y en qué capacidad almacena, procesa y/o transmite su empresa los datos de titulares de tarjetas? Proporcione la siguiente información relacionada con las aplicaciones de pago que utiliza su organización: Aplicación de pago en uso Número de versión Última validación según las PABP/PA-DSS SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 2

10 Parte 3. Validación de la PCI DSS Según los resultados observados en el SAQ D de fecha (fecha en que se completó), (nombre de la empresa comerciante) declara el siguiente estado de cumplimiento (marque uno): En cumplimiento: Se completaron todas las secciones del SAQ de la PCI y se respondieron todas las preguntas afirmativamente, lo que da como resultado una calificación general EN CUMPLIMIENTO, y se ha completado un escaneo de aprobación con un proveedor aprobado de escaneo del PCI SSC, por lo tanto (nombre de la empresa del comerciante) ha demostrado un cumplimiento total con las PCI DSS. Falta de cumplimiento: No se completaron todas las secciones del SAQ de las PCI DSS ni se respondieron todas las preguntas con un sí, lo que da como resultado una calificación general de FALTA DE CUMPLIMIENTO, o no se completó un escaneo aprobado con un proveedor aprobado de escaneo (ASV) del PCI SSC, por lo tanto (nombre de la empresa comerciante) no ha demostrado un cumplimiento total con las PCI DSS. Fecha objetivo para el cumplimiento: Es posible que se exija a una entidad que presente este formulario con un estado de Falta de cumplimiento que complete el Plan de acción en la Parte 4 de este documento. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección. Parte 3a. Confirmación del estado de cumplimiento El comerciante confirma que: El Cuestionario de autoevaluación D de las PCI DSS, Versión (versión del SAQ), se completó de acuerdo con las instrucciones correspondientes. Toda la información dentro del arriba citado SAQ y en esta atestación representa razonablemente los resultados de mi evaluación en todos los aspectos sustanciales. He confirmado con mi proveedor de la aplicación de pago que mi sistema de pago no almacena datos confidenciales de autenticación después de la autorización. He leído la PCI DSS y reconozco que debo mantener el pleno cumplimiento de dicha norma en todo momento. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 3

11 No hay evidencia de almacenamiento de datos de banda magnética (es decir, de pistas) 2, datos de CAV2 (Valor de autenticación de la tarjeta 2), CVC2 (Código de validación de la tarjeta 2), CID (Número de identificación de la tarjeta) o CVV2 (Valor de verificación de la tarjeta 2) 3 ni de datos de PIN 4 después de la autorización de la transacción en NINGÚN sistema revisado durante esta evaluación. Parte 3b. Acuse de recibo del comerciante Firma del director ejecutivo del comerciante Fecha Nombre del director ejecutivo del comerciante Cargo Empresa comerciante representada Parte 4. Plan de acción para el estado Falta de cumplimiento Seleccione el Estado de cumplimiento correspondiente para cada requisito. Si responde NO a alguno de los requisitos, deberá indicar la fecha en que la empresa estará en cumplimiento con dicho requisito y una breve descripción de las medidas que se están tomando para tal fin. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección. Estado de cumplimiento (seleccione uno) Requisito de la PCI DSS Descripción del requisito SÍ NO 1 2 Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Fecha y medidas de corrección (si el estado de cumplimiento es NO ) 3 4 Proteger los datos almacenados del titular de la tarjeta. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Datos codificados en la banda magnética, o su equivalente, utilizada para la autorización durante una transacción con tarjeta presente. Las entidades no pueden retener todos los datos de la banda magnética después de la autorización de la transacción. Los únicos elementos de los datos de pistas que pueden retenerse son el número de cuenta, la fecha de vencimiento y el nombre. El valor de tres o cuatro dígitos impreso sobre o a la derecha del panel de firma, o en el frente de una tarjeta de pago, que se utiliza para verificar las transacciones sin tarjeta presente. El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloque de PIN cifrado presente en el mensaje de la transacción. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 4

12 Estado de cumplimiento (seleccione uno) 5 Utilice y actualice con regularidad los programas o software antivirus. 6 Desarrollar y mantener sistemas y aplicaciones seguros. 7 Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. 8 Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9 Restringir el acceso físico a los datos del titular de la tarjeta. 10 Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11 Probar periódicamente los sistemas y procesos de seguridad. 12 Mantener una política que aborde la seguridad de la información para todo el personal SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 5

13 Declaración de cumplimiento, SAQ D Versión para el proveedor de servicios Instrucciones para la presentación El proveedor de servicios debe completar esta Declaración de cumplimiento como una declaración de su estado de cumplimiento con los Requisitos de la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y procedimientos de evaluación de seguridad. Complete todas las secciones aplicables y remítase a las instrucciones de presentación en Cumplimiento con la PCI DSS: Pasos para completar el proceso en este documento. Parte 1. Información sobre el proveedor de servicios y el asesor de seguridad calificado Parte 1a. Información sobre la organización del proveedor de servicios Nombre de la empresa: Nombre(s) comercial(es) (DBA): Nombre del contacto: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 1b. Información de la empresa del evaluador de seguridad certificado (QSA) (si corresponde) Nombre de la empresa: SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 1

14 Nombre del contacto del QSA principal: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 2. Información sobre la evaluación de las PCI DSS Parte 2a. Los servicios proporcionados que SE INCLUYERON en el Alcance de la evaluación de las PCI DSS (marque todas las opciones aplicables) Proveedor de hosting 3-D Secure Administración de cuentas Autorización Proveedor de hosting Hardware Proveedor de hosting Web Procesamiento del emisor Procesamiento de pago Cajero automático Procesamiento de pago MOTO Procesamiento de pago Internet Servicios administrativos Programas de lealtad Procesamiento de pago POS Administración de facturación Servicios administrados Servicios prepagados Compensación y liquidación Servicios de comerciantes Administración de registros Preparación de datos Proveedor/transmisor de red Pagos impuestos/gubernamentales de Servicios contra el fraude y para el reintegro de cobros Conmutador/Puerta de enlace de pagos Otros (especifique): Enumere las instalaciones y ubicaciones incluidas en la revisión de la PCI DSS: SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 2

15 Parte 2b. Si el proveedor de servicios proporciona cualesquiera de los servicios siguientes, pero NO SE INCLUYERON en el Alcance de la evaluación de las PCI DSS, márquelos a continuación: Proveedor de hosting 3-D Secure Administración de cuentas Autorización Proveedor de hosting Hardware Proveedor de hosting Web Procesamiento del emisor Procesamiento de pago Cajero automático Procesamiento de pago MOTO Procesamiento de pago Internet Servicios administrativos Programas de lealtad Procesamiento de pago POS Administración de facturación Servicios administrados Servicios prepagados Compensación y liquidación Servicios de comerciantes Administración de registros Preparación de datos Proveedor/transmisor de red Pagos impuestos/gubernamentales de Servicios contra el fraude y para el reintegro de cobros Conmutador/Puerta de enlace de pagos Otros (especifique): Parte 2c. Relaciones Su empresa tiene relación con uno o más proveedores de servicio externos (por ejemplo, empresas de puertas de enlace y Web hosting, agentes de reservas aéreas, agentes de programas de lealtad, etc.)? Sí No Parte 2d. Procesamiento de transacciones De qué forma y en qué capacidad almacena, procesa y/o transmite su empresa los datos de titulares de tarjetas? Aplicación de pago en uso: Número de versión: Validado por última vez según PABP/PA- DSS Por favor proporcione la siguiente información relativa a las aplicaciones de pago que su organización utiliza: Parte 3. Validación de la PCI DSS Según los resultados observados en el SAQ D de fecha (fecha en que se completó el SAQ), (nombre de la empresa que proveedora de servicio) declara el siguiente estado de cumplimiento (marque uno): SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 3

16 En cumplimiento: Se completaron todas las secciones del SAQ de la PCI y se respondieron todas las preguntas con un sí, lo que da como resultado una calificación general de EN CUMPLIMIENTO, y se completó un escaneo aprobado con un proveedor aprobado de escaneo (ASV) del PCI SSC, por lo tanto (Nombre de la empresa proveedora de servicio) demostró un cumplimiento total con las PCI DSS. Falta de cumplimiento: No se completaron todas las secciones del SAQ de la PCI, o algunas de las preguntas se respondieron con un no, lo que da como resultado una calificación general de FALTA DE CUMPLIMIENTO, o no se completó un escaneo aprobado con un proveedor aprobado de escaneo (ASV) del PCI SSC, por lo tanto (nombre de la empresa proveedora de servicio) no demostró un cumplimiento total con las PCI DSS. Fecha objetivo para el cumplimiento: Es posible que se exija a una entidad que presente este formulario con un estado de Falta de cumplimiento que complete el Plan de acción en la Parte 4 de este documento. Consulte con su adquiriente o la(s) marca(s) de pago antes de completar la Parte 4, ya que no todas las marcas de pago necesitan esta sección. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 4

17 Parte 3a. Confirmación del estado de cumplimiento El proveedor de servicios confirma que: El cuestionario de autoevaluación D, Versión (inserte el número de la versión), se completó de acuerdo con las instrucciones correspondientes. Toda la información dentro del anteriormente citado SAQ y en esta declaración representa razonablemente los resultados de mi evaluación en todos los aspectos sustanciales. He leído la PCI DSS y reconozco que debo mantener el pleno cumplimiento de dicha norma en todo momento. No hay evidencia de almacenamiento de datos de banda magnética (es decir, de pistas) 5, datos de CAV2 (Valor de autenticación de la tarjeta 2), CVC2 (Código de validación de la tarjeta 2), CID (Número de identificación de la tarjeta) o CVV2 (Valor de verificación de la tarjeta 2) 6 ni de datos de PIN 7 después de la autorización de la transacción en NINGÚN sistema revisado durante esta evaluación. Parte 3b. Reconocimiento del proveedor de servicios Firma del Oficial Ejecutivo del proveedor de servicios Fecha Nombre del Oficial Ejecutivo del proveedor de servicios Cargo Empresa proveedora de servicio representada Parte 4. Plan de acción para el estado Falta de cumplimiento Seleccione el Estado de cumplimiento correspondiente para cada requisito. Si responde NO a alguno de los requisitos, deberá indicar la fecha en que la empresa estará en cumplimiento con dicho requisito y una breve descripción de las medidas que se están tomando para tal fin. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección Datos codificados en la banda magnética, o su equivalente, utilizada para la autorización durante una transacción con tarjeta presente. Las entidades no pueden retener todos los datos de la banda magnética después de la autorización de la transacción. Los únicos elementos de los datos de pistas que pueden retenerse son el número de cuenta, la fecha de vencimiento y el nombre. El valor de tres o cuatro dígitos impreso sobre o a la derecha del panel de firma, o en el frente de una tarjeta de pago, que se utiliza para verificar las transacciones sin tarjeta presente. El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloque de PIN cifrado presente en el mensaje de la transacción. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 5

18 Estado de cumplimiento (seleccione uno) Requisito de la PCI DSS Descripción del requisito SÍ NO Fecha y medidas de corrección (si el estado de cumplimiento es NO ) Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Proteger los datos almacenados del titular de la tarjeta. 4 5 Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Utilice y actualice con regularidad los programas o software antivirus. 6 Desarrollar y mantener sistemas y aplicaciones seguros. 7 Restrinja el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de conocer de la empresa 8 Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9 Restringir el acceso físico a los datos del titular de la tarjeta. 10 Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11 Probar periódicamente los sistemas y procesos de seguridad. 12 Mantener una política que aborde la seguridad de la información para todo el personal SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 6

19 Cuestionario de autoevaluación D Nota: Las siguientes preguntas están numeradas de acuerdo con los requisitos y procedimientos de prueba de las PCI DSS, tal como se definen en el documento de los Procedimientos de evaluación de seguridad y requisitos de las PCI DSS. Desarrollar y mantener una red segura Fecha en que se completó: Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos Respuesta a la Pregunta de PCI DSS: Sí No Especial * 1.1 Incluyen las normas de configuración del firewall y router establecidas lo siguiente? Existe un proceso formal para aprobar y probar todos los cambios y las conexiones externas de red en la configuración de los firewalls y los routers? (a) Existe un diagrama de red actualizado (por ejemplo, uno que muestre los flujos de los datos de los titulares de tarjetas en la red) que documente todas las conexiones a los datos de los titulares de tarjetas, incluidas todas las redes inalámbricas? (b) Se mantiene actualizado el diagrama? (a) Incluyen las normas de configuración requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de la red interna? (b) Se corresponde el diagrama actual de la red con las normas de configuración de firewalls? Incluyen las normas de configuración del firewall y router una descripción de grupos, funciones y responsabilidades para una administración lógica de los componentes de la red? (a) Incluyen las normas de configuración de firewalls y routers una lista documentada de los servicios, protocolos y puertos necesarios para el negocio (por ejemplo, el protocolo de transferencia de hipertexto (HTTP) y los protocolos Protocolo de Capa de Conexión Segura (SSL), Secure Shell (SSH) y Red Privada Virtual (VPN). (b) Son necesarios todos los servicios, protocolos y puertos no seguros; además, se documentaron e implementaron características de seguridad para cada uno de ellos? Nota: Entre los servicios, protocolos o puertos no seguros se incluyen, a modo de ejemplo, FTP, Telnet, POP3, IMAP y SNMP (a) Requieren las normas de configuración de firewalls y routers la revisión del conjunto de reglas de éstos, por lo menos, cada seis meses? Copyright 2010, PCI Security Standards Council LLC Página 1

20 Respuesta a la Pregunta de PCI DSS: Sí No Especial * (b) Se revisan los conjuntos de reglas del firewall y router, por lo menos, cada seis meses? 1.2 Restringen las configuraciones para firewalls y routers las conexiones entre redes no confiables y cualquier sistema en el entorno de los datos de titulares de tarjeta de la manera siguiente? Nota: Una red no confiable es toda red que es externa a las redes que pertenecen a la entidad en evaluación y/o que excede la capacidad de control o administración de la entidad (a) Está restringido el tránsito entrante y saliente a la cantidad necesaria para el entorno de los datos de titulares de tarjetas y se documentan las restricciones? (b) Se niega todo el resto del tránsito entrante o saliente (por ejemplo, mediante la utilización de una declaración explícita "negar todos" o una negación implícita después de una declaración de permiso)? Están asegurados y sincronizados los archivos de configuración del router? Están instalados firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y, estos firewalls están configurados para negar y controlar (en caso de que ese tránsito fuera necesario para fines comerciales) todo tránsito desde el entorno inalámbrico hacia el entorno del titular de la tarjeta? 1.3 Prohíbe la configuración de firewall el acceso directo público entre Internet y cualquier componente del sistema en el entorno de datos de los titulares de tarjetas de la manera siguiente? Se implementó un DMZ para limitar el tráfico entrante sólo a aquellos componentes del sistema que proporcionan servicios, protocolos y puertos con acceso público autorizado? Está restringido el tránsito entrante de Internet a las direcciones IP dentro del DMZ? Están permitidas las conexiones directas para el tráfico saliente o entrante entre Internet y el entorno del titular de la tarjeta? Se prohibió que las direcciones internas pasen de Internet al DMZ? Está el tráfico saliente desde el entorno de datos del titular de la tarjeta a Internet expresamente autorizado? Está implementada la inspección completa, también conocida como filtrado dinámico de paquetes, (es decir, sólo se permiten conexiones establecidas en red)? Copyright 2010, PCI Security Standards Council LLC Página 2