Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento"

Transcripción

1 Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para el SAQ Versión 2.0 Octubre de 2010

2 Modificaciones realizadas a los documentos Fecha Versión Descripción 1 de octubre de de octubre de Alinear el contenido con la nueva versión 1.2 de PCI DSS e implementar cambios menores notados desde la versión 1.1 original. Alinear el contenido con los nuevos requisitos y procedimientos de prueba de la v2.0 de las PCI DSS. SAQ D de las PCI DSS, v2.0, Modificaciones realizadas a los documentos Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página i

3 Índice Modificaciones realizadas a los documentos... i Norma de seguridad de datos de la PCI: Documentos relacionados... iii Antes de comenzar... iv Respuestas del cuestionario de autoevaluación...iv Pasos para completar el cumplimiento de las PCI DSS...iv Guía para la no aplicabilidad de ciertos requisitos específicos...vi Declaración de cumplimiento, SAQ D Versión para el comerciante... 1 Declaración de cumplimiento, SAQ D Versión para el proveedor de servicios... 1 Cuestionario de autoevaluación D... 1 Desarrollar y mantener una red segura...1 Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos...1 Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores...4 Proteger los datos del titular de la tarjeta...7 Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados...7 Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas...12 Mantener un programa de administración de vulnerabilidad...13 Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus...13 Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras...13 Implementar medidas sólidas de control de acceso...18 Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa...18 Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora19 Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta...22 Supervisar y evaluar las redes con regularidad...25 Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas...25 Requisito 11: Probar periódicamente los sistemas y procesos de seguridad...27 Mantener una política de seguridad de información...31 Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal...31 Anexo A: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido Requisito A.1: Los proveedores de hosting compartido deben proteger el entorno de datos de los titulares de tarjetas...35 Anexo B: Controles de compensación Anexo C: Hoja de trabajo de controles de compensación Hoja de trabajo de controles de compensación Ejemplo completado...40 Anexo D: Explicaciones de no aplicabilidad SAQ D de las PCI DSS, v2.0, Índice Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página ii

4 Norma de seguridad de datos de la PCI: Documentos relacionados Los documentos siguientes se crearon para asistir a los comerciantes y a los proveedores de servicio en la compresión de la Norma de seguridad de datos de la PCI (PCI DSS) y el SAQ de las PCI DSS. Documento Norma de seguridad de datos de la PCI: Requisitos y procedimientos de evaluación de seguridad Navegación de las PCI DSS: Comprensión del objetivo de los requisitos Norma de seguridad de datos de la PCI: Instrucciones y directrices de autoevaluación Norma de seguridad de datos de la PCI: Cuestionario A de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario B de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario C-VT de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario C de autoevaluación y declaración Norma de seguridad de datos de la PCI: Cuestionario D de autoevaluación y declaración Normas de seguridad de datos de la PCI y Normas de Seguridad de Datos para las Aplicaciones de Pago: Glosario de términos, abreviaturas y acrónimos Audiencia Todos los comerciantes y proveedores de servicio Todos los comerciantes y proveedores de servicio Todos los comerciantes y proveedores de servicio Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes elegibles 1 Comerciantes y proveedores de servicio elegibles 1 Todos los comerciantes y proveedores de servicio 1 Para determinar el Cuestionario de autoevaluación correcto, véase Norma de seguridad de datos de la PCI: Instrucciones y directrices de autoevaluación, Selección del SAQ y de la Declaración que mejor se adapte a su organización. SAQ D de las PCI DSS, v2.0, Normas de seguridad de datos de la PCI: Documentos relacionados Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página iii

5 Antes de comenzar Respuestas del cuestionario de autoevaluación El SAQ D se desarrolló para todos los proveedores de servicio y comerciantes elegibles para el SAQ que no se ajustan a las descripciones de los tipos de SAQ de la A a la C, tal como se describe de manera sucinta en la tabla de abajo y completamente en Instrucciones y directrices del cuestionario de autoevaluación de las PCI DSS. SAQ A B C-VT C D Descripción Comerciantes con tarjetas ausentes (comercio electrónico, pedido por correo o pedido por teléfono); todas las funciones que impliquen el manejo de datos del titular de la tarjeta, tercerizadas. Esto nunca se aplicaría a comerciantes cara a cara. Comercios que usan solamente máquinas impresoras, sin almacenamiento electrónico de datos de titulares de tarjetas, o comerciantes que tienen terminales independientes con discado externo y no almacenan electrónicamente datos de titulares de tarjetas. Comerciantes que sólo utilizan terminales virtuales basados en la web sin almacenamiento electrónico de datos de titulares de tarjetas. Comerciantes con sistemas de aplicaciones de pago conectados a Internet, sin almacenamiento electrónico de datos de titulares de tarjetas. Todos los demás comerciantes (no incluidos en las descripciones de SAQ de la A a la C anteriores), y todos los proveedores de servicio definidos por una marca de pago como elegibles para completar un SAQ. El SAQ D se aplica a los comerciantes elegibles para el SAQ que no satisfacen los criterios correspondientes a los tipos de SAQ de la A a la C, descritos anteriormente, y a todos los proveedores de servicio definidos por una marca de pago como elegibles para el SAQ. Los proveedores de servicio y comerciantes elegibles para SAQ D validan su cumplimiento al completar el SAQ D y la Declaración de Cumplimiento asociada. Si bien muchas de las organizaciones que completan el SAQ D deberán validar su cumplimiento con todos los requisitos de las PCI DSS, es posible que algunas de las organizaciones con modelos de negocio muy específicos encuentren que algunos requisitos no son aplicables. Por ejemplo, no se esperaría de una compañía que no utiliza tecnología inalámbrica en modo alguno que valide el cumplimiento con las secciones de las PCI DSS relacionadas con el manejo de tecnología inalámbrica. Consulte la directriz de abajo para obtener información sobre la exclusión de tecnología inalámbrica y otros requisitos específicos. Cada sección de este cuestionario se enfoca en un área de seguridad específica, basada en los requisitos de las PCI DSS. Pasos para completar el cumplimiento de las PCI DSS 1. Evaluar el cumplimiento con las PCI DSS de su entorno. 2. Completar el Cuestionario de autoevaluación (SAQ D) de acuerdo con las instrucciones en las Instrucciones y directrices del cuestionario de autoevaluación. 3. Completar un escaneo de vulnerabilidades aprobado con un Proveedor aprobado de escaneo (ASV) y solicitar pruebas al ASV de un análisis aprobado. 4. Completar la Declaración de cumplimiento en su totalidad. SAQ D de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página iv

6 5. Presentar el SAQ, pruebas de un escaneo aprobado y la Declaración de cumplimiento, junto con cualquier documento solicitado al adquirente (en el caso de comerciantes), a la marca de pago o a cualquier solicitante (en el caso de proveedores de servicio). SAQ D de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página v

7 Guía para la no aplicabilidad de ciertos requisitos específicos Exclusión: Si se requiere que responda el SAQ D a fin de validar su cumplimiento con las PCI DSS, se deben considerar las siguientes expectativas. Consulte No aplicabilidad abajo para obtener la respuesta correcta al SAQ. Las preguntas específicas de la tecnología inalámbrica sólo se deben responder si está presente en cualquier parte de su red (por ejemplo, Requisitos 1.2.3, y 4.1.1). Observe que el Requisito 11.1 (uso de un proceso para identificar puntos de acceso inalámbrico no autorizados) se debe responder incluso si su red no utiliza tecnología inalámbrica, debido a que el proceso detecta cualesquiera dispositivos peligrosos no autorizados que se hayan podido agregar sin su consentimiento. Las preguntas específicas de las aplicaciones y el código (Requisitos 6.3 y 6.5) sólo se deben responder si su organización desarrolla sus propias aplicaciones personalizadas. Las preguntas del Requisito 9.1 al 9.4 sólo se deben responder si las instalaciones poseen áreas confidenciales, tal como se define aquí. Áreas confidenciales hace referencia a cualquier centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan procesos o transmitan datos de titulares de tarjetas. Esto excluye las áreas donde sólo hay terminales de punto de venta, tales como el área de cajas de un comercio; no obstante, sí incluye las salas de servidores trastienda que almacenan datos de titulares de tarjetas y las áreas de almacenamiento de grandes cantidades de datos de titulares de tarjetas. No aplicabilidad: Estos y otros requisitos que pudieran no ser aplicables a su entorno se deben indicar con N/A en la columna Especial del SAQ. Según corresponda, complete la hoja de trabajo titulada Explicación de no aplicabilidad del Apéndice D para cada entrada N/A. SAQ D de las PCI DSS, v2.0, Antes de comenzar Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página vi

8 Declaración de cumplimiento, SAQ D Versión para el comerciante Instrucciones para la presentación El comerciante debe completar esta Atestación de cumplimiento como una declaración de su estado de cumplimiento con los Requisitos de la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y procedimientos de evaluación de seguridad. Complete todas las secciones aplicables y remítase a las instrucciones de presentación en Cumplimiento con las PCI DSS: Pasos para completar el proceso en este documento. Parte 1. Información sobre el comerciante y el asesor de seguridad calificado Parte 1a. Información de la organización del comerciante Nombre de la empresa: Nombre(s) comercial(es) (DBA): Nombre del contacto: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 1b. Información de la empresa del evaluador de seguridad certificado (QSA) (si corresponde) Nombre de la empresa: SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 1

9 Nombre del contacto del QSA principal: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 2 Tipo de negocio del comerciante (marque todo lo que corresponda): Comercio minorista Telecomunicaciones Tiendas de comestibles y supermercados Petróleo Comercio electrónico Pedidos por correo/teléfono Otros (especifique): Enumere las instalaciones y ubicaciones incluidas en la revisión de la PCI DSS: Parte 2a. Relaciones Su empresa tiene relación con uno o más agentes externos (por ejemplo, empresas de puertas de enlace y Web hosting, agentes de reservas aéreas, agentes de programas de lealtad, etc.)? Está relacionada su empresa con más de un adquiriente? Sí No Sí No Parte 2b. Procesamiento de transacciones De qué forma y en qué capacidad almacena, procesa y/o transmite su empresa los datos de titulares de tarjetas? Proporcione la siguiente información relacionada con las aplicaciones de pago que utiliza su organización: Aplicación de pago en uso Número de versión Última validación según las PABP/PA-DSS SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 2

10 Parte 3. Validación de la PCI DSS Según los resultados observados en el SAQ D de fecha (fecha en que se completó), (nombre de la empresa comerciante) declara el siguiente estado de cumplimiento (marque uno): En cumplimiento: Se completaron todas las secciones del SAQ de la PCI y se respondieron todas las preguntas afirmativamente, lo que da como resultado una calificación general EN CUMPLIMIENTO, y se ha completado un escaneo de aprobación con un proveedor aprobado de escaneo del PCI SSC, por lo tanto (nombre de la empresa del comerciante) ha demostrado un cumplimiento total con las PCI DSS. Falta de cumplimiento: No se completaron todas las secciones del SAQ de las PCI DSS ni se respondieron todas las preguntas con un sí, lo que da como resultado una calificación general de FALTA DE CUMPLIMIENTO, o no se completó un escaneo aprobado con un proveedor aprobado de escaneo (ASV) del PCI SSC, por lo tanto (nombre de la empresa comerciante) no ha demostrado un cumplimiento total con las PCI DSS. Fecha objetivo para el cumplimiento: Es posible que se exija a una entidad que presente este formulario con un estado de Falta de cumplimiento que complete el Plan de acción en la Parte 4 de este documento. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección. Parte 3a. Confirmación del estado de cumplimiento El comerciante confirma que: El Cuestionario de autoevaluación D de las PCI DSS, Versión (versión del SAQ), se completó de acuerdo con las instrucciones correspondientes. Toda la información dentro del arriba citado SAQ y en esta atestación representa razonablemente los resultados de mi evaluación en todos los aspectos sustanciales. He confirmado con mi proveedor de la aplicación de pago que mi sistema de pago no almacena datos confidenciales de autenticación después de la autorización. He leído la PCI DSS y reconozco que debo mantener el pleno cumplimiento de dicha norma en todo momento. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 3

11 No hay evidencia de almacenamiento de datos de banda magnética (es decir, de pistas) 2, datos de CAV2 (Valor de autenticación de la tarjeta 2), CVC2 (Código de validación de la tarjeta 2), CID (Número de identificación de la tarjeta) o CVV2 (Valor de verificación de la tarjeta 2) 3 ni de datos de PIN 4 después de la autorización de la transacción en NINGÚN sistema revisado durante esta evaluación. Parte 3b. Acuse de recibo del comerciante Firma del director ejecutivo del comerciante Fecha Nombre del director ejecutivo del comerciante Cargo Empresa comerciante representada Parte 4. Plan de acción para el estado Falta de cumplimiento Seleccione el Estado de cumplimiento correspondiente para cada requisito. Si responde NO a alguno de los requisitos, deberá indicar la fecha en que la empresa estará en cumplimiento con dicho requisito y una breve descripción de las medidas que se están tomando para tal fin. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección. Estado de cumplimiento (seleccione uno) Requisito de la PCI DSS Descripción del requisito SÍ NO 1 2 Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Fecha y medidas de corrección (si el estado de cumplimiento es NO ) 3 4 Proteger los datos almacenados del titular de la tarjeta. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Datos codificados en la banda magnética, o su equivalente, utilizada para la autorización durante una transacción con tarjeta presente. Las entidades no pueden retener todos los datos de la banda magnética después de la autorización de la transacción. Los únicos elementos de los datos de pistas que pueden retenerse son el número de cuenta, la fecha de vencimiento y el nombre. El valor de tres o cuatro dígitos impreso sobre o a la derecha del panel de firma, o en el frente de una tarjeta de pago, que se utiliza para verificar las transacciones sin tarjeta presente. El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloque de PIN cifrado presente en el mensaje de la transacción. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 4

12 Estado de cumplimiento (seleccione uno) 5 Utilice y actualice con regularidad los programas o software antivirus. 6 Desarrollar y mantener sistemas y aplicaciones seguros. 7 Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. 8 Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9 Restringir el acceso físico a los datos del titular de la tarjeta. 10 Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11 Probar periódicamente los sistemas y procesos de seguridad. 12 Mantener una política que aborde la seguridad de la información para todo el personal SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 5

13 Declaración de cumplimiento, SAQ D Versión para el proveedor de servicios Instrucciones para la presentación El proveedor de servicios debe completar esta Declaración de cumplimiento como una declaración de su estado de cumplimiento con los Requisitos de la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y procedimientos de evaluación de seguridad. Complete todas las secciones aplicables y remítase a las instrucciones de presentación en Cumplimiento con la PCI DSS: Pasos para completar el proceso en este documento. Parte 1. Información sobre el proveedor de servicios y el asesor de seguridad calificado Parte 1a. Información sobre la organización del proveedor de servicios Nombre de la empresa: Nombre(s) comercial(es) (DBA): Nombre del contacto: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 1b. Información de la empresa del evaluador de seguridad certificado (QSA) (si corresponde) Nombre de la empresa: SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 1

14 Nombre del contacto del QSA principal: Cargo: Teléfono: Correo electrónico: Dirección comercial: Ciudad: Estado/Provincia: País: Código postal: URL: Parte 2. Información sobre la evaluación de las PCI DSS Parte 2a. Los servicios proporcionados que SE INCLUYERON en el Alcance de la evaluación de las PCI DSS (marque todas las opciones aplicables) Proveedor de hosting 3-D Secure Administración de cuentas Autorización Proveedor de hosting Hardware Proveedor de hosting Web Procesamiento del emisor Procesamiento de pago Cajero automático Procesamiento de pago MOTO Procesamiento de pago Internet Servicios administrativos Programas de lealtad Procesamiento de pago POS Administración de facturación Servicios administrados Servicios prepagados Compensación y liquidación Servicios de comerciantes Administración de registros Preparación de datos Proveedor/transmisor de red Pagos impuestos/gubernamentales de Servicios contra el fraude y para el reintegro de cobros Conmutador/Puerta de enlace de pagos Otros (especifique): Enumere las instalaciones y ubicaciones incluidas en la revisión de la PCI DSS: SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 2

15 Parte 2b. Si el proveedor de servicios proporciona cualesquiera de los servicios siguientes, pero NO SE INCLUYERON en el Alcance de la evaluación de las PCI DSS, márquelos a continuación: Proveedor de hosting 3-D Secure Administración de cuentas Autorización Proveedor de hosting Hardware Proveedor de hosting Web Procesamiento del emisor Procesamiento de pago Cajero automático Procesamiento de pago MOTO Procesamiento de pago Internet Servicios administrativos Programas de lealtad Procesamiento de pago POS Administración de facturación Servicios administrados Servicios prepagados Compensación y liquidación Servicios de comerciantes Administración de registros Preparación de datos Proveedor/transmisor de red Pagos impuestos/gubernamentales de Servicios contra el fraude y para el reintegro de cobros Conmutador/Puerta de enlace de pagos Otros (especifique): Parte 2c. Relaciones Su empresa tiene relación con uno o más proveedores de servicio externos (por ejemplo, empresas de puertas de enlace y Web hosting, agentes de reservas aéreas, agentes de programas de lealtad, etc.)? Sí No Parte 2d. Procesamiento de transacciones De qué forma y en qué capacidad almacena, procesa y/o transmite su empresa los datos de titulares de tarjetas? Aplicación de pago en uso: Número de versión: Validado por última vez según PABP/PA- DSS Por favor proporcione la siguiente información relativa a las aplicaciones de pago que su organización utiliza: Parte 3. Validación de la PCI DSS Según los resultados observados en el SAQ D de fecha (fecha en que se completó el SAQ), (nombre de la empresa que proveedora de servicio) declara el siguiente estado de cumplimiento (marque uno): SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 3

16 En cumplimiento: Se completaron todas las secciones del SAQ de la PCI y se respondieron todas las preguntas con un sí, lo que da como resultado una calificación general de EN CUMPLIMIENTO, y se completó un escaneo aprobado con un proveedor aprobado de escaneo (ASV) del PCI SSC, por lo tanto (Nombre de la empresa proveedora de servicio) demostró un cumplimiento total con las PCI DSS. Falta de cumplimiento: No se completaron todas las secciones del SAQ de la PCI, o algunas de las preguntas se respondieron con un no, lo que da como resultado una calificación general de FALTA DE CUMPLIMIENTO, o no se completó un escaneo aprobado con un proveedor aprobado de escaneo (ASV) del PCI SSC, por lo tanto (nombre de la empresa proveedora de servicio) no demostró un cumplimiento total con las PCI DSS. Fecha objetivo para el cumplimiento: Es posible que se exija a una entidad que presente este formulario con un estado de Falta de cumplimiento que complete el Plan de acción en la Parte 4 de este documento. Consulte con su adquiriente o la(s) marca(s) de pago antes de completar la Parte 4, ya que no todas las marcas de pago necesitan esta sección. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 4

17 Parte 3a. Confirmación del estado de cumplimiento El proveedor de servicios confirma que: El cuestionario de autoevaluación D, Versión (inserte el número de la versión), se completó de acuerdo con las instrucciones correspondientes. Toda la información dentro del anteriormente citado SAQ y en esta declaración representa razonablemente los resultados de mi evaluación en todos los aspectos sustanciales. He leído la PCI DSS y reconozco que debo mantener el pleno cumplimiento de dicha norma en todo momento. No hay evidencia de almacenamiento de datos de banda magnética (es decir, de pistas) 5, datos de CAV2 (Valor de autenticación de la tarjeta 2), CVC2 (Código de validación de la tarjeta 2), CID (Número de identificación de la tarjeta) o CVV2 (Valor de verificación de la tarjeta 2) 6 ni de datos de PIN 7 después de la autorización de la transacción en NINGÚN sistema revisado durante esta evaluación. Parte 3b. Reconocimiento del proveedor de servicios Firma del Oficial Ejecutivo del proveedor de servicios Fecha Nombre del Oficial Ejecutivo del proveedor de servicios Cargo Empresa proveedora de servicio representada Parte 4. Plan de acción para el estado Falta de cumplimiento Seleccione el Estado de cumplimiento correspondiente para cada requisito. Si responde NO a alguno de los requisitos, deberá indicar la fecha en que la empresa estará en cumplimiento con dicho requisito y una breve descripción de las medidas que se están tomando para tal fin. Verifique con su adquiriente o con las marcas de pago antes de completar la Parte 4, ya que no todas las marcas de pago requieren esta sección Datos codificados en la banda magnética, o su equivalente, utilizada para la autorización durante una transacción con tarjeta presente. Las entidades no pueden retener todos los datos de la banda magnética después de la autorización de la transacción. Los únicos elementos de los datos de pistas que pueden retenerse son el número de cuenta, la fecha de vencimiento y el nombre. El valor de tres o cuatro dígitos impreso sobre o a la derecha del panel de firma, o en el frente de una tarjeta de pago, que se utiliza para verificar las transacciones sin tarjeta presente. El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloque de PIN cifrado presente en el mensaje de la transacción. SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 5

18 Estado de cumplimiento (seleccione uno) Requisito de la PCI DSS Descripción del requisito SÍ NO Fecha y medidas de corrección (si el estado de cumplimiento es NO ) Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Proteger los datos almacenados del titular de la tarjeta. 4 5 Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Utilice y actualice con regularidad los programas o software antivirus. 6 Desarrollar y mantener sistemas y aplicaciones seguros. 7 Restrinja el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de conocer de la empresa 8 Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9 Restringir el acceso físico a los datos del titular de la tarjeta. 10 Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11 Probar periódicamente los sistemas y procesos de seguridad. 12 Mantener una política que aborde la seguridad de la información para todo el personal SAQ D de las PCI DSS, v2.0, Declaración de cumplimiento, Versión para el comerciante Octubre de 2010 Copyright 2010, PCI Security Standards Council LLC Página 6

19 Cuestionario de autoevaluación D Nota: Las siguientes preguntas están numeradas de acuerdo con los requisitos y procedimientos de prueba de las PCI DSS, tal como se definen en el documento de los Procedimientos de evaluación de seguridad y requisitos de las PCI DSS. Desarrollar y mantener una red segura Fecha en que se completó: Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos Respuesta a la Pregunta de PCI DSS: Sí No Especial * 1.1 Incluyen las normas de configuración del firewall y router establecidas lo siguiente? Existe un proceso formal para aprobar y probar todos los cambios y las conexiones externas de red en la configuración de los firewalls y los routers? (a) Existe un diagrama de red actualizado (por ejemplo, uno que muestre los flujos de los datos de los titulares de tarjetas en la red) que documente todas las conexiones a los datos de los titulares de tarjetas, incluidas todas las redes inalámbricas? (b) Se mantiene actualizado el diagrama? (a) Incluyen las normas de configuración requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de la red interna? (b) Se corresponde el diagrama actual de la red con las normas de configuración de firewalls? Incluyen las normas de configuración del firewall y router una descripción de grupos, funciones y responsabilidades para una administración lógica de los componentes de la red? (a) Incluyen las normas de configuración de firewalls y routers una lista documentada de los servicios, protocolos y puertos necesarios para el negocio (por ejemplo, el protocolo de transferencia de hipertexto (HTTP) y los protocolos Protocolo de Capa de Conexión Segura (SSL), Secure Shell (SSH) y Red Privada Virtual (VPN). (b) Son necesarios todos los servicios, protocolos y puertos no seguros; además, se documentaron e implementaron características de seguridad para cada uno de ellos? Nota: Entre los servicios, protocolos o puertos no seguros se incluyen, a modo de ejemplo, FTP, Telnet, POP3, IMAP y SNMP (a) Requieren las normas de configuración de firewalls y routers la revisión del conjunto de reglas de éstos, por lo menos, cada seis meses? Copyright 2010, PCI Security Standards Council LLC Página 1

20 Respuesta a la Pregunta de PCI DSS: Sí No Especial * (b) Se revisan los conjuntos de reglas del firewall y router, por lo menos, cada seis meses? 1.2 Restringen las configuraciones para firewalls y routers las conexiones entre redes no confiables y cualquier sistema en el entorno de los datos de titulares de tarjeta de la manera siguiente? Nota: Una red no confiable es toda red que es externa a las redes que pertenecen a la entidad en evaluación y/o que excede la capacidad de control o administración de la entidad (a) Está restringido el tránsito entrante y saliente a la cantidad necesaria para el entorno de los datos de titulares de tarjetas y se documentan las restricciones? (b) Se niega todo el resto del tránsito entrante o saliente (por ejemplo, mediante la utilización de una declaración explícita "negar todos" o una negación implícita después de una declaración de permiso)? Están asegurados y sincronizados los archivos de configuración del router? Están instalados firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y, estos firewalls están configurados para negar y controlar (en caso de que ese tránsito fuera necesario para fines comerciales) todo tránsito desde el entorno inalámbrico hacia el entorno del titular de la tarjeta? 1.3 Prohíbe la configuración de firewall el acceso directo público entre Internet y cualquier componente del sistema en el entorno de datos de los titulares de tarjetas de la manera siguiente? Se implementó un DMZ para limitar el tráfico entrante sólo a aquellos componentes del sistema que proporcionan servicios, protocolos y puertos con acceso público autorizado? Está restringido el tránsito entrante de Internet a las direcciones IP dentro del DMZ? Están permitidas las conexiones directas para el tráfico saliente o entrante entre Internet y el entorno del titular de la tarjeta? Se prohibió que las direcciones internas pasen de Internet al DMZ? Está el tráfico saliente desde el entorno de datos del titular de la tarjeta a Internet expresamente autorizado? Está implementada la inspección completa, también conocida como filtrado dinámico de paquetes, (es decir, sólo se permiten conexiones establecidas en red)? Copyright 2010, PCI Security Standards Council LLC Página 2

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Comerciantes con tarjetas ausentes, todas las funciones que impliquen

Más detalles

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Comerciantes con sistemas de aplicaciones de pago conectados a Internet.

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Terminales de pago de hardware en una solución únicamente P2PE

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de 2008 1.2 Alinear

Más detalles

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Comprensión del objetivo de los requisitos

Comprensión del objetivo de los requisitos Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Navegación de las PCI DSS Comprensión del objetivo de los requisitos Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A

Más detalles

Información sobre seguridad

Información sobre seguridad Información sobre seguridad SMART kapp incluye características de protección de datos diseñadas para mantener el contenido controlador de forma predecible. En esta página se explican las características

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Información sobre seguridad

Información sobre seguridad Información sobre seguridad SMART kapp iq incluye características de seguridad de datos diseñadas para mantener su contenido de controlado de forma predecible. En esta página se explican las características

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian Guía de Instalación Página 1 Índice ESCUDO MOVISTAR.... 3 1. INSTALACIÓN DEL SERVICIO ESCUDO MOVISTAR... 3 1.1. VERSIONES SOPORTADAS... 3

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Industria de Tarjetas de Pago (PCI) rma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Versión Descripción

Más detalles

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

DECLARACIÓN DE PRIVACIDAD DE FONOWEB DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones

Más detalles

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales

Más detalles

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Lo que usted necesita saber sobre routers y switches. Conceptos generales. Lo que usted necesita saber Conceptos generales. Qué es Routing y Switching? Una red empresarial permite a todos los integrantes de su compañía conectarse entre sí, a clientes, Socio de Negocioss empresariales,

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

iphone en la empresa Administración de dispositivos móviles

iphone en la empresa Administración de dispositivos móviles iphone en la empresa Administración de dispositivos móviles iphone es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones a escala

Más detalles

Bóveda. Fiscal. www.bovedafiscal.mx

Bóveda. Fiscal. www.bovedafiscal.mx www.bovedafiscal.mx Qué es la? La es un dispositivo electrónico digital con respaldo automático y capacidad de auto regeneración, donde los Certificados es Digitales (CFDIs) recibidos de los proveedores

Más detalles

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.

Más detalles

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,

Más detalles

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012 Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012 Seguridad en el manejo de la información Introducción El sistema de información que utilicemos

Más detalles

Autenticación Centralizada

Autenticación Centralizada Autenticación Centralizada Ing. Carlos Rojas Castro Herramientas de Gestión de Redes Introducción En el mundo actual, pero en especial las organizaciones actuales, los usuarios deben dar pruebas de quiénes

Más detalles

Enkarga.com LLC. Política de privacidad

Enkarga.com LLC. Política de privacidad Enkarga.com LLC. Política de privacidad Esta declaración de privacidad explica qué información recopilamos de usted se utiliza al ordenar productos Enkarga.com LLC y cuando usted visita nuestros sitios.

Más detalles

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: Cloud Security Alliance Política de Privacidad Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: La información

Más detalles

Móvil Seguro. Guía de Usuario Terminales Android

Móvil Seguro. Guía de Usuario Terminales Android Móvil Seguro Guía de Usuario Terminales Android Índice 1 Introducción...2 2 Descarga e instalación de Móvil Seguro...3 3 Registro del producto...5 4 Funciones de Móvil Seguro...7 4.1 Antivirus... 7 4.1

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Capítulo 1: Empezando...3

Capítulo 1: Empezando...3 F-Secure Anti-Virus for Mac 2014 Contenido 2 Contenido Capítulo 1: Empezando...3 1.1 Qué hacer después de la instalación?...4 1.1.1 Administrar la suscripción...4 1.1.2 Abrir el producto...4 1.2 Cómo asegurarme

Más detalles

Acerca de Symantec Encryption Desktop

Acerca de Symantec Encryption Desktop Notas de la versión de Symantec Encryption Desktop, versión 10.2 para Mac OS X Gracias por utilizar este producto de Symantec Corporation. Estas notas de la versión contienen información importante sobre

Más detalles

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000 1 INTRODUCCIÓN Dos de los objetivos más importantes en la revisión de la serie de normas ISO 9000 han sido: desarrollar un grupo simple de normas que sean igualmente aplicables a las pequeñas, a las medianas

Más detalles

Política de Control de Hojas de Cálculo. Prorrectoría

Política de Control de Hojas de Cálculo. Prorrectoría Política de Control de Hojas de Cálculo Prorrectoría ÍNDICE O CONTENIDO 1. PROPOSITO DE LA POLÍTICA... 3 2. ALCANCE... 3 3. GLOSARIO... 3 4. DESCRIPCIÓN DE LA POLÍTICA... 5 Control de cambios... 5 Control

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM

Autorizan ejecución de la Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del

Más detalles

Soporte Técnico de Software HP

Soporte Técnico de Software HP Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de

Más detalles

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA Nuestra política de privacidad se aplica al uso de las aplicaciones informáticas de los siguientes medios de comunicación: LaTercera, LaCuarta,

Más detalles

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica 2007 Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Introducción a la Firma Electrónica en MIDAS

Introducción a la Firma Electrónica en MIDAS Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento

Más detalles

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Contenido F-Secure Anti-Virus for Mac 2015 Contenido Capítulo 1: Empezando...3 1.1 Administrar la suscripción...4 1.2 Cómo asegurarme de que mi equipo está protegido...4

Más detalles

Windows Server 2003. Windows Server 2003

Windows Server 2003. Windows Server 2003 Windows Server 2003 Windows Server 2003 Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año 2003. Está basada en tecnología NT y su versión

Más detalles

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008 CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO Página 1 de 10 TABLA DE CONTENIDO 1. OBJETIVO... 2 2. ALCANCE... 2 3. DEFINICIONES Y ABREVIATURAS... 2 4. DOCUMENTOS APLICABLES... 3 5. DESCRIPCION DE ACTIVIDADES... 4 6. ANEXOS... 8 7. CONTROL DE CAMBIOS...

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Políticas: Servicio de Computo de Alto Rendimiento

Políticas: Servicio de Computo de Alto Rendimiento Políticas: Servicio de Computo de Alto Rendimiento La Coordinación General de Tecnologías de Información a través de la Unidad de Apoyo a la Academia y la Investigación, ha definido políticas para el servicio

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

www.spensiones.cl/tea Transferencia Electrónica de Archivos (TEA) Normas Técnicas

www.spensiones.cl/tea Transferencia Electrónica de Archivos (TEA) Normas Técnicas Transferencia Electrónica de Archivos (TEA) Normas Técnicas Fecha de actualización: 15 de abril de 2015 1. Características de los enlaces de comunicaciones La comunicación con la Superintendencia de Pensiones

Más detalles

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta Configuración de una red con Windows Aunque existen múltiples sistemas operativos, el más utilizado en todo el mundo sigue siendo Windows de Microsoft. Por este motivo, vamos a aprender los pasos para

Más detalles

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. Listas de control de acceso o ACL. Listas de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Auditoría de Seguridad Versión 1.1 Publicada: Septiembre 2006 Contenido Introducción... 3 Información sobre Aplicabilidad

Más detalles

Introducción a Spamina

Introducción a Spamina Spamina Introducción a Spamina El servicio de seguridad que se le ofrece al contratar el servicio de Exchange con Alestra es conocido como Spamina Cloud Email Firewall que protege de Spam, Virus y Phishing

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos Infraestructura Tecnológica Sesión 2: Mejoras adicionales al servidor de archivos Contextualización Los servidores como cualquier equipo de cómputo pueden contar con varias mejoras con las que se pueden

Más detalles

Presentación de BlackBerry Collaboration Service

Presentación de BlackBerry Collaboration Service Presentación de Collaboration Service Presentación de Collaboration Service Remitente Servidor de mensajería instantánea Collaboration Service Dispositivo con 10 Destinatario 1 de 13 Presentación de Collaboration

Más detalles

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Proteja la información y los usuarios de una manera fácil y asequible Cuando su mayor prioridad son los negocios, no queda tiempo para corregir los problemas de seguridad ni

Más detalles

INTRANET M2M. Manual de Instalación y Configuración: Conector Intranet M2M

INTRANET M2M. Manual de Instalación y Configuración: Conector Intranet M2M INTRANET M2M Manual de Instalación y Configuración: Conector Intranet M2M ÍNDICE 1. Introducción... 2 2. Instalación del servicio... 3 2.1. Requisitos... 3 2.2. Pasos previos al proceso de instalación...

Más detalles

Firewall Firestarter. Establece perímetros confiables.

Firewall Firestarter. Establece perímetros confiables. Firewall Firestarter Qué es un Firewall? Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo

Más detalles

Modelo de Política de Privacidad

Modelo de Política de Privacidad Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo

Más detalles

Pack Seguridad Autónomos Consola de gestión del programa agente

Pack Seguridad Autónomos Consola de gestión del programa agente Manual de Usuario Consola de gestión del programa agente Índice 1 Introducción... 2 2 Acceso al agente instalado... 3 3 La consola de gestión... 4 4 Estado de los componentes instalados... 5 5 Barra de

Más detalles

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Instalación de Management Reporter for Microsoft Dynamics ERP Fecha: mayo de 2010 Tabla de contenido Introducción... 3 Información general... 3 Requisitos del sistema... 3 Instalación

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

Universidad Autónoma De Guadalajara

Universidad Autónoma De Guadalajara Política de Uso del Servicio de Internet 1. Antecedentes Una política de uso de la Red es un acuerdo escrito entre la empresa y sus empleados, y lo que intenta es identificar el uso permitido y el uso

Más detalles

Requerimientos de tecnología para operar con Tica. Proyecto TICA

Requerimientos de tecnología para operar con Tica. Proyecto TICA Requerimientos de tecnología para operar con Tica Proyecto TICA Costa Rica, Agosto de 2005 Tabla de Contenido Requerimientos Técnicos para Operar con Tica 3 1. Acceso a Internet 3 2. Escaneo de imágenes

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Esta política de privacidad (la Política de privacidad ) podría cambiar periódicamente. Los cambios no tienen por qué anunciarse necesariamente, por lo que conviene que vuelva a

Más detalles

Introducción a las redes de computadores

Introducción a las redes de computadores Introducción a las redes de computadores Contenido Descripción general 1 Beneficios de las redes 2 Papel de los equipos en una red 3 Tipos de redes 5 Sistemas operativos de red 7 Introducción a las redes

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Transport Layer Security (TLS) Acerca de TLS

Transport Layer Security (TLS) Acerca de TLS Transport Layer Security (TLS) Acerca de TLS Contenido Correo electrónico seguro en HSBC... 2 Acerca de Transport Layer Security..... 2 Para establecer una conexión Forced TLS con HSBC... 4 Glosario...

Más detalles

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

Q-expeditive Publicación vía Internet

Q-expeditive Publicación vía Internet How to Q-expeditive Publicación vía Internet Versión: 2.0 Fecha de publicación 11-04-2011 Aplica a: Q-expeditive 3 Índice Introducción... 3 Publicación de servicios... 3 Ciudadanos... 3 Terminales de auto

Más detalles

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE SISTEMAS DE ÍNDICE PÁGINA INTRODUCCIÓN OBJETIVO 3 FUNDAMENTO LEGAL 4 DEFINICIONES 5 POLÍTICAS 6 De la base de datos Del acceso a los sistemas De los sistemas Web Ambientes de Desarrollo, Calidad o Pruebas,

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Solicitud de conexión de servidores físicos y virtuales departamentales

Solicitud de conexión de servidores físicos y virtuales departamentales Solicitud de conexión de servidores físicos y virtuales departamentales en la red corporativa de la UR Este documento contiene el procedimiento y la normativa general por la que los usuarios de la Universidad

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

Políticas para Asistencia Remota a Usuarios

Políticas para Asistencia Remota a Usuarios Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta

Más detalles

POLÍTICAS PARA EL USO DE INTERNET Y CORREO ELECTRÓNICO

POLÍTICAS PARA EL USO DE INTERNET Y CORREO ELECTRÓNICO POLÍTICAS PARA EL USO DE INTERNET Y CORREO ELECTRÓNICO PROPÓSITO El propósito de esta política es establecer normas que aseguren el buen funcionamiento del Internet, para facilitar sus labores en el Ministerio.

Más detalles