Cuestionario de autoevaluación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Transcripción

1 Cuestionario de autoevaluación de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

2 Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de Alinear el contenido con las nuevas PCI DSS versión 1.2 e implementar cambios menores observados desde la versión 1.1. original. Copyright 2008 PCI Security Standards Council LLC Página ii

3 Índice Modificaciones realizadas a los documentos... ii Acerca de este documento... 1 Autoevaluación de las normas de seguridad de datos de la PCI: Integración de todas las partes... 2 Normas de seguridad de datos de la PCI: Documentos relacionados... 3 Descripción general del SAQ... 4 Por qué es importante cumplir con las normas PCI DSS?... 5 Consejos y estrategias generales para la preparación de la validación de cumplimiento... 6 Selección del SAC y de la declaración que mejor se adapta a su organización... 8 Tipo de validación de SAQ 1 / SAQ A: la tarjeta no es visible. Se tercerizan todas las funciones relativas a datos de titulares de tarjetas... 8 Tipo de validación de SAQ 2 / SAQ B: comerciantes que solamente imprimen los datos de los titulares de tarjetas, pero no los almacenan con medios electrónicos... 9 Tipo de validación de SAQ 3 / SAQ B: terminales independientes con discado externo sin almacenamiento electrónico de los datos de los titulares de tarjetas... 9 Tipo de validación de SQA 4 / SAQ C: comerciantes con sistemas de aplicaciones de pago conectados a Internet Tipo de validación de SAQ 5 / SAQ D: todo otro comerciante y todos los proveedores de servicios que una marca de pago considere que cumpla con los requisitos para completar un cuestionario SAQ Guía para la no aplicabilidad y exclusión de ciertos requisitos específicos Instrucciones para completar el Cuestionario de autoevaluación Instrucciones y directrices del Cuestionario de autoevaluación: qué tipo de validación me corresponde? Copyright 2008 PCI Security Standards Council LLC Página iii

4 Acerca de este documento Este documento tiene como objetivo ayudar a los comerciantes y proveedores de servicios a comprender el Cuestionario de autoevaluación (SAQ) de las normas de seguridad de datos de la PCI (PCI DSS). Lea los lineamientos y las instrucciones por completo para comprender por qué las normas PCI DSS son importantes para su empresa, qué estrategias puede utilizar su organización para simplificar la validación de cumplimiento, y para saber si cumple con los requisitos para responder una de las versiones abreviadas del SAQ. Las siguientes secciones describen lo que necesita saber acerca del cuestionario de autoevaluación de las normas PCI DSS. Autoevaluación de las normas de seguridad de datos de la PCI: Integración de todas las partes Normas de seguridad de datos de la PCI: Documentos relacionados Descripción general del SAQ Por qué es importante cumplir con las normas PCI DSS? Consejos y estrategias generales Selección del cuestionario SAQ más acorde a su empresa Guía para la no aplicabilidad y exclusión de ciertos requisitos específicos Cómo completar el cuestionario Copyright 2008 PCI Security Standards Council LLC Página 1

5 Autoevaluación de las normas de seguridad de datos de la PCI: Integración de todas las partes Las normas de seguridad de datos de la PCI y los documentos de respaldo representan un conjunto de herramientas y medidas comúnmente utilizado en la industria para garantizar el manejo seguro de la información confidencial. Estas normas proporcionan un marco práctico para desarrollar un proceso de cuentas de seguridad de datos robusto, que incluya la prevención, detención y reacción ante incidentes de seguridad. Con el fin de reducir los riesgos de incidentes y mitigar los impactos (en el caso de que ocurra un incidente), es importante que todas las entidades que almacenan, procesan o transmiten datos de los titulares de tarjetas cumplan con los requisitos. El cuadro que aparece a continuación describe las herramientas disponibles para ayudar a las organizaciones con el cumplimiento de las normas PCI DSS y la autoevaluación. Este documento y otros documentos relacionados pueden encontrarse en Copyright 2008 PCI Security Standards Council LLC Página 2

6 Normas de seguridad de datos de la PCI: Documentos relacionados Los siguientes documentos han sido creados para ayudar a los comerciantes y proveedores de servicios a entender las normas de seguridad de la PCI y el cuestionario de autoevaluación de las normas PCI DSS. Documento Normas de seguridad de datos de la PCI: Requisitos y procedimientos de evaluación de seguridad Exploración de PCI DSS: Comprensión del objetivo de los requisitos Normas de seguridad de datos de la PCI: Instrucciones y directrices de autoevaluación Normas de seguridad de datos de la PCI: Declaración y cuestionario de autoevaluación A Normas de seguridad de datos de la PCI: Declaración y cuestionario de autoevaluación B Normas de seguridad de datos de la PCI: Declaración y cuestionario de autoevaluación C Normas de seguridad de datos de la PCI: Cuestionario de auto evaluación D y declaración Glosario de términos, abreviaturas y acrónimos de las normas de seguridad de datos de la PCI y normas de seguridad de datos para las aplicaciones de pago Destinatarios Todos los comerciantes y proveedores de servicios Todos los comerciantes y proveedores de servicios Todos los comerciantes y proveedores de servicios Comerciantes 1 Comerciantes 1 Comerciantes 1 Comerciantes 1 y todos los proveedores de servicios Todos los comerciantes y proveedores de servicios 1 Para determinar el cuestionario de autoevaluación apropiado, consulte las Normas de seguridad de datos de la PCI: Instrucciones y directrices del autoevaluación, Selección del cuestionario SAQ y de la declaración más acordes a su organización. Copyright 2008 PCI Security Standards Council LLC Página 3

7 Descripción general del SAQ El cuestionario de autoevaluación de las normas de seguridad de datos de la PCI es una herramienta de validación desarrollada para asistir a los comerciantes y proveedores de servicios en la autoevaluación del cumplimiento de las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Existen diferentes tipos de cuestionarios SAQ para las normas PCI DSS que se ajustan a diferentes situaciones. El objetivo del presente documento es ayudar a las organizaciones a determinar el tipo de SAQ más acorde a sus necesidades. El cuestionario SAQ para las normas PCI DSS es una herramienta de validación dirigida a comerciantes y proveedores de servicios que no deban someterse a una evaluación de seguridad en las instalaciones, según lo estipulado en los requisitos y procedimientos de evaluación de seguridad de las normas PCI DSS, y el mismo puede ser exigido por el adquiriente o la marca de pago. Consulte al adquiriente o a la marca de pago para obtener más información acerca de los requisitos de validación de las PCI DSS. El cuestionario SAQ para las normas PCI DSS consta de lo siguiente: 1. Preguntas relacionadas a los requisitos de las normas PCI DSS, apropiada para proveedores de servicios y comerciantes: Consulte Selección del SAC y de la declaración que mejor se adapta a su organización en este documento. 2. Declaración de cumplimiento: La declaración constituye el certificado de que usted cumple con los requisitos para realizar y que le realicen la autoevaluación adecuada. Copyright 2008 PCI Security Standards Council LLC Página 4

8 Por qué es importante cumplir con las normas PCI DSS? Los miembros del PCI Security Standards Council (American Express, Discover, JCB, MasterCard, y Visa) supervisan continuamente casos donde existan riesgos de datos de cuentas. Los riesgos abarcan todo los ámbitos empresariales, desde los comerciantes y proveedores de servicios muy pequeños hasta los más importantes. Un fallo de seguridad, y el riesgo resultante que acarrea para los datos de tarjetas de pago, tiene consecuencias muy significativas para las organizaciones afectadas que incluyen: 1. Requisitos de notificaciones reglamentarias. 2. Pérdida de reputación. 3. Pérdida de clientes. 4. Responsabilidades financieras potenciales (por ejemplo, reglamentarias más otros cargos y multas). 5. Litigios. El análisis de riesgos postmortem ha evidenciado debilidades de seguridad comunes de las que se encargan las normas PCI DSS. Sin embargo, al momento en que sucedieron los riesgos, estas normas no estaban implementadas en las organizaciones. Ese es el motivo de ser de las normas PCI DSS y la razón por la cual incluyen requisitos detallados: reducir la posibilidad de la aparición de riesgos y, en caso de que ocurran, minimizar las consecuencias. Las investigaciones posteriores a la aparición de riesgos demuestran violaciones comunes de las PCI DSS, entre las cuales se encuentran: El almacenamiento de datos de banda magnética (Requisito 3.2). Es importante destacar que muchas entidades con riesgos no están enteradas de que sus sistemas están almacenando este tipo de datos. Los controles de acceso inadecuados debido a sistemas POS del comerciante mal instalados, lo que permite el ingreso de hackers mediante vías diseñadas para proveedores de POS (Requisitos 7.1, 7.2, 8.2 y 8.3). No se cambiaron las configuraciones y contraseñas predeterminadas del sistema al configurarlo (Requisito 2.1). No se eliminaron o repararon los servicios innecesarios e inseguros al configurar el sistema (Requisito 2.2.2). Las aplicaciones web mal codificadas, lo que produce errores de inyección SQL y otras vulnerabilidades que permiten acceder directamente desde el sitio web a la base de datos que almacena los datos de los titulares de tarjetas (Requisito 6.5). Los parches de seguridad obsoletos o faltantes (Requisito 6.1). La falta de registros (Requisito 10). La falta de supervisión (por medio de revisiones de registros, sistemas de detección y/o prevención de intrusiones, análisis trimestral de vulnerabilidades, y sistemas de supervisión de integridad de archivos) (Requisitos 10.6, 11.2, 11.4 y 11.5). La falta de segmentación de red, lo que permite acceder fácilmente a los datos de los titulares de tarjetas explotando debilidades de otras áreas de la red (por ejemplo, desde puntos de acceso inalámbrico, correo electrónico de empleados y navegación web (Requisitos 1.3 y 1.4). Copyright 2008 PCI Security Standards Council LLC Página 5

9 Consejos y estrategias generales para la preparación de la validación de cumplimiento A continuación, se enumeran consejos y estrategias generales para comenzar a preparar la validación del cumplimiento de las normas PCI DSS. Estos consejos lo ayudarán a eliminar los datos que no necesite, aislar aquellos que efectivamente necesite a áreas centralizadas que estén definidas y controladas, y le permitirá limitar el alcance de la preparación para la validación del cumplimiento de las normas PCI DSS. Por ejemplo, al eliminar los datos que no necesita y aislarlos en áreas definidas y controladas, podrá descartar del alcance de la autoevaluación los sistemas y redes que no almacenen, procesen o transfieran datos de los titulares de tarjetas. 1. Datos confidenciales de autenticación (incluido el contenido completo de bandas magnéticas, códigos y valores de validación de tarjetas y bloqueos de PIN): a. Asegúrese de nunca almacenar esta información b. Si no está seguro, pregúntele al proveedor de POS si la versión del software que usted utiliza almacena esta información. También es posible contratar un Asesor de Seguridad Certificado que lo ayude a determinar si se están almacenando, registrando o capturando datos de autenticación confidenciales en alguna parte del sistema. 2. Si usted es comerciante, pregúntele al proveedor de POS acerca de la seguridad del sistema. Le sugerimos utilizar las siguientes preguntas: a. Se encuentra el software POS que utilizo validado por las normas de seguridad de datos de las aplicaciones de pago (consulte la lista de aplicaciones de pago validadas del PCI SSC)? b. Almacena el software POS que utilizo datos de banda magnética (datos de pistas) o bloqueos de PIN? Si lo hace, su almacenamiento está prohibido. Qué tan rápido podemos eliminarlo? c. Piensa registrar la lista de archivos escritos por la aplicación con el resumen del contenido de cada archivo y así poder comprobar que los datos prohibidos ya mencionados no se estén almacenando? d. Su sistema POS requiere que instale un firewall para proteger los sistemas que utilizo del acceso no autorizado? e. Se requieren contraseñas complejas y únicas para acceder a los sistemas? Es capaz de garantizar que no utiliza contraseñas comunes o predeterminadas para los sistemas que utilizo y los de otros comerciantes a los que usted brinde asistencia? f. Se cambiaron las configuraciones y contraseñas de los sistemas y bases de datos que forman parte del sistema POS? g. Se eliminaron todos los servicios innecesarios e inseguros de los sistemas y bases de datos que forman parte del sistema POS? h. Tiene acceso remoto al sistema POS que utilizo? Si lo tiene, implementó controles adecuados para evitar que otras personas accedan al sistema POS que utilizo, como el uso de métodos de acceso remoto seguro y la eliminación de contraseñas comunes o predeterminadas? Qué tan a menudo accede al dispositivo POS que utilizo y por qué motivo? Quién tiene autorización para acceder remotamente al POS que utilizo? i. Se utilizaron parches con las actualizaciones de seguridad correspondientes en todos los sistemas y bases de datos que forman parte del POS que utilizo? j. Se encuentran activadas las capacidades de registros y bases de datos que forman parte del sistema POS que utilizo? k. Si las versiones anteriores del sistema POS que utilizo almacenaban datos de pistas, se ha eliminado esta función al instalar las nuevas actualizaciones del software POS? Se usó alguna utilidad de limpieza segura para eliminar estos datos? Copyright 2008 PCI Security Standards Council LLC Página 6

10 3. Datos de titulares de tarjetas: si no los necesita, no los almacene. a. Las reglamentaciones de las marcas de pago permiten el almacenamiento del número de cuenta personal (PAN), la fecha de vencimiento, el nombre del titular de la tarjeta y el código de servicio. b. Haga un inventario de todas las razones por las que almacena estos datos y los lugares donde realiza el almacenamiento. En caso de que los datos no tengan un fin comercial valioso, considere la posibilidad de eliminarlos. c. Piense si el almacenamiento de esos datos y los procesos comerciales a los que están dirigidos vale la pena: i. El peligro de arriesgar los datos. i.ii. El esfuerzo adicional necesario de las PCI DSS que se deben realizar para proteger esos datos. iii. El continuo trabajo de mantenimiento para seguir cumpliendo con las normas PCI DSS después de un tiempo. Formatted: Bullets and Numbering Formatted: Bullets and Numbering 4. Datos de titulares de tarjetas: si no los necesita, consolídelos y aíslelos. a. Es posible limitar el alcance de una evaluación de las normas PCI DSS mediante la consolidación del almacenamiento de datos en un entorno definido y el aislamiento de los datos por medio de segmentaciones de red apropiadas. Por ejemplo, si sus empleados navegan en Internet y reciben correos electrónicos en el mismo equipo o segmento de red que los datos de los titulares de tarjetas, considere segmentar (aislar) los datos en un equipo o segmento de red propio (mediante routers o firewalls). Si es capaz de aislar los datos de los titulares de tarjetas eficazmente, podrá concentrar sus esfuerzos de cumplimiento con las PCI DSS solo en la parte aislada, y no en todos los equipos. 5. Piense en controles de compensación a. Los controles de compensación son apropiados para la mayoría de los requisitos de las PCI DSS en el caso de que una organización no cumpla con las especificaciones técnicas de un requisito, pero ha mitigado lo suficiente el riesgo asociado con ello. Si su empresa no cuenta con el control exacto descrito en las PCI DSS, pero ha implementado otros que concuerdan con la definición de controles de compensación de las PCI DSS (Consulte Controles de compensación en el anexo del SAQ correspondiente y el Glosario de términos, abreviaturas y acrónimos de las normas DSS PCI y PA-DDS. en su empresa deberá: i. Responder al cuestionario SAQ con Sí. En la columna Especial aclare el uso de cada control específico que utiliza para cumplir con un requisito. ii. Consulte Controles de compensación en el Anexo e informe del uso de controles de compensación completando la Hoja de trabajo para controles de compensación. a) Complete una Hoja de trabajo para controles de compensación para cada requisito con el que cumpla un control de compensación. iii. Envíe todas las hojas de trabajo para controles de compensación completas junto con su cuestionario SAQ y/o su Declaración completa, según las instrucciones del adquiriente o la marca de pago. Formatted: Bullets and Numbering 6. Asistencia profesional a. También lo invitamos a que cuente con la asistencia de un profesional de seguridad para lograr el cumplimiento y completar el SAQ. Tenga en cuenta que, aun cuando puede contar con cualquier profesional de seguridad que elija, solo se reconoce como Asesores de Seguridad Certificados (QSA) a aquellos incluidos en la lista de QSA capacitados por el PCI SSC. Puede encontrar la lista en Copyright 2008 PCI Security Standards Council LLC Página 7

11 Selección del SAC y de la declaración que mejor se adapta a su organización De conformidad con las reglamentaciones de las marcas de pago, se requiere que todos los comerciantes y proveedores de servicios cumplan con todas las normas de seguridad de datos de la PCI. Existen cinco categorías de validación de SAQ, descritas brevemente en la siguiente tabla y en más detalles más adelante. Utilice la tabla para determinar qué tipo de SAQ corresponde a su empresa y lea las descripciones detalladas para asegurarse de que cumpla con todos los requisitos de ese cuestionario. Tipo de validación de SAQ Descripción SAQ 1 Comerciantes en cuyas transacciones la tarjeta no está presente (comercio electrónico, órdenes por teléfono o correo electrónico). Se tercerizan todas las funciones relativas a los datos de los titulares de tarjetas. Esta clasificación no se aplica en ningún caso a comerciantes cuyas transacciones son personales. 2 Comerciantes que solamente imprimen los datos de los titulares de tarjetas, pero no los almacenan. 3 Comerciantes con terminales independientes con marcado externo. Sin almacenamiento de los datos de los titulares de tarjetas. 4 Comerciantes con sistemas de aplicación de pago conectados a Internet. Sin almacenamiento de los datos de los titulares de tarjetas. 5 Todo comerciante (no incluido en las descripciones correspondientes a los cuestionarios SAQ A, B y C descriptos anteriormente) y todo proveedor de servicios que una marca de pago considere que cumpla con los requisitos para completar un cuestionario de autoevaluación. A B B C D Tipo de validación de SAQ 1 / SAQ A: la tarjeta no es visible. Se tercerizan todas las funciones relativas a datos de titulares de tarjetas El cuestionario SAQ A se desarrolló para responder a los requerimientos de comerciantes que retienen solamente informes o recibos en papel donde constan los datos de los titulares de tarjetas, pero que no almacenan esos datos en formato electrónico ni procesan o transfieren ningún dato de los titulares de tarjetas en sus instalaciones. Los comerciantes del Tipo de validación 1 no almacenan datos de los titulares de tarjetas en formato electrónico ni procesan o transfieren ningún dato de los titulares de tarjetas en sus instalaciones, y deben validar el cumplimiento completando el cuestionario SAQ A y la Declaración de cumplimiento correspondiente, para confirmar que: Para obtener una guía gráfica para elegir el tipo de validación, consulte Instrucciones y directrices del Cuestionario de autoevaluación: qué tipo de validación me corresponde? en la página 12. Su empresa realiza solo transacciones donde la tarjeta no es visible (comercio electrónico u órdenes por mail o teléfono). Su empresa no almacena, procesa o transmite ningún tipo de dato de titulares de tarjetas en las instalaciones, sino que depende por completo de proveedores de servicios externos para ejercer estas funciones. Copyright 2008 PCI Security Standards Council LLC Página 8

12 Su compañía ha confirmado que los proveedores de servicios externos responsables del almacenamiento, procesamiento y/o transferencia de los datos de los titulares de tarjetas cumplen con las normas PCI DSS. Su empresa conserva solamente informes o recibos en papel donde constan los datos de los titulares de tarjetas, y no recibe estos documentos por medios electrónicos. Su empresa no almacena ningún dato de los titulares de tarjetas en formato electrónico. Está opción no se aplica nunca a los comerciantes con entornos de punto de venta (POS) cara a cara. Tipo de validación de SAQ 2 / SAQ B: comerciantes que solamente imprimen los datos de los titulares de tarjetas, pero no los almacenan con medios electrónicos El cuestionario SAQ B ha sido desarrollado para responder a los requisitos de comerciantes que procesan datos de los titulares de tarjetas mediante máquinas de impresión o terminales independientes con discado externo. Los comerciantes del Tipo de validación 2 solo procesan los datos de los titulares de tarjetas mediante máquinas de impresión y deben validar el cumplimiento completando el cuestionario SAQ B y la declaración de cumplimiento correspondiente a fin de confirmar que: Su empresa utiliza solamente máquinas de impresión para tomar la información relativa a la tarjeta de pago del cliente. Su empresa no transfiere los datos de los titulares de tarjetas por teléfono o Internet. Su empresa conserva solamente copias de recibos en papel. Su empresa no almacena los datos de los titulares de tarjetas en formato electrónico. Para obtener una guía gráfica para elegir el tipo de validación, consulte Instrucciones y directrices del Cuestionario de autoevaluación: qué tipo de validación me corresponde? en la página 12. Tipo de validación de SAQ 3 / SAQ B: terminales independientes con discado externo sin almacenamiento electrónico de los datos de los titulares de tarjetas El cuestionario SAQ B ha sido desarrollado para responder a los requisitos de comerciantes que procesan datos de los titulares de tarjetas mediante máquinas de impresión o terminales independientes con discado externo. Los comerciantes del Tipo de validación 3 procesan los datos de los titulares de tarjetas mediante terminales independientes con discado externo y pueden ser comerciantes con instalaciones físicas, donde la tarjeta es visible, o comerciantes que toman pedidos mediante medios electrónicos (ecommerce) o por correo o teléfono, donde la tarjeta no es visible. Los comerciantes del Tipo de validación 3 deben validar el cumplimiento completando el SAQ B y la Declaración de cumplimiento correspondiente, para confirmar que: Su empresa utiliza solamente terminales independientes con discado externo (conectadas al procesador mediante la línea telefónica). Las terminales independientes con discado externo no están conectadas a ningún otro sistema dentro de su entorno. Copyright 2008 PCI Security Standards Council LLC Página 9

13 Las terminales independientes con discado externo no están conectadas a Internet. Su empresa conserva solamente informes en papel o copias en papel de recibos. Su empresa no almacena los datos de los titulares de tarjetas en formato electrónico. Tipo de validación de SQA 4 / SAQ C: comerciantes con sistemas de aplicaciones de pago conectados a Internet El SAQ C ha sido desarrollado para responder a los requerimientos de los comerciantes con sistemas de aplicaciones de pago (por ejemplo, sistemas de punto de venta y carrito de compras) conectados a Internet (mediante conexiones de alta velocidad, DSL, cable de módem, etc.) porque: 1. El sistema de aplicaciones de pago está alojado en un equipo personal conectado a Internet (por ejemplo, para servicios de correo electrónico y navegación web). 2. El sistema de aplicaciones de pago está conectado a Internet para transferir los datos de los titulares de tarjetas. Los comerciantes del Tipo de validación 4 procesan los datos de los titulares de tarjetas mediante sistemas de aplicaciones de pagos conectados a Internet, no almacenan esos datos en ningún sistema informático y pueden ser comerciantes con instalaciones físicas, donde la tarjeta es visible, o comerciantes que toman pedidos mediante medios electrónicos (e-commerce) o por correo o teléfono, donde la tarjeta no es visible. Los comerciantes del Tipo de validación 4 deben validar el cumplimiento completando el SAQ C y la Declaración de cumplimiento correspondiente, para confirmar que: Su empresa tiene un sistema de aplicaciones de pago y una conexión a Internet en el mismo dispositivo. El sistema de aplicaciones de pago o el dispositivo de Internet no están conectados a ningún otro sistema dentro del entorno. Su empresa conserva solamente informes en papel o copias en papel de recibos. Su empresa no almacena datos de los titulares de tarjetas en formato electrónico. El proveedor de software para aplicaciones de pago de su empresa utiliza técnicas seguras para proporcionar soporte remoto a la aplicación de pago. Para obtener una guía gráfica para elegir el tipo de validación, consulte Instrucciones y directrices del Cuestionario de autoevaluación: qué tipo de validación me corresponde? en la página 12. Tipo de validación de SAQ 5 / SAQ D: todo otro comerciante y todos los proveedores de servicios que una marca de pago considere que cumpla con los requisitos para completar un cuestionario SAQ El SAQ D ha sido desarrollado para responder a las necesidades de todos los proveedores de servicios que una marca de pago considere que cumpla con los requisitos para completar un cuestionario SAQ y para los comerciantes que no estén dentro de ninguno de los tipos de validación 1 a 4 descriptos anteriormente. Los proveedores de servicios y comerciantes del Tipo de validación 5 deberán validar el cumplimiento completando el cuestionario SAQ D y la Declaración de cumplimiento correspondiente. Si bien muchas de las organizaciones que completen cuestionarios SAQ D deberán validar el cumplimiento de todos los requisitos de las normas PCI DSS, es posible que algunos de estos requisitos no rijan para empresas con modelos comerciales muy específicos. Por ejemplo, una empresa que no utiliza tecnologías inalámbricas de ningún tipo, no deberá validar el cumplimiento de las secciones de las Copyright 2008 PCI Security Standards Council LLC Página 10

14 normas PCI DSS específicas para tecnologías inalámbricas. Consulte la guía que aparece a continuación para obtener información acerca de la exclusión de tecnologías inalámbricas y algunos otros requisitos específicos. Guía para la no aplicabilidad y exclusión de ciertos requisitos específicos Exclusión: En caso de que deba responder el cuestionario SAQ C o D para validar el cumplimiento con las normas PCI DSS, es posible que se consideren las siguientes excepciones. Consulte No aplicabilidad, a continuación, para determinar la respuesta correcta. Requisitos (SAQ D), (SAQs C y D) y (SAQ D): Las respuestas referidas a tecnologías inalámbricas deben responderse solo en caso de que cuente con dispositivos inalámbricos en alguna parte de la red. Tenga en cuenta que el Requisito 11.1 (utilización de un analizador inalámbrico) debe responderse aun si no cuenta con tecnologías inalámbricas en la red, ya que el analizador detecta todo dispositivo sin control o autorización que se haya añadido sin su conocimiento. Requisitos 6.3 a 6.5 (SAQ D): Las preguntas relativas a las aplicaciones del cliente y los códigos deben responderse solo si su empresa desarrolla aplicaciones web propias. Requisitos 9.1 a 9.4 (SAQ D): Solo las instalaciones con áreas confidenciales, según la siguiente definición, deben responder a estas preguntas. Áreas confidenciales hace referencia a cualquier centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan procesos o transfieran datos de los titulares de tarjetas. No se incluyen las áreas en las que se encuentran presentes terminales de punto de venta, tales como el área de cajas en un comercio. No aplicabilidad: En relación a todos los cuestionarios SAQ, estos y cualquier otro requisito que se considere no aplicable a su entorno deben indicarse escribiendo N/A en la columna Especial del SAQ. Asimismo, sírvase completar la hoja de trabajo para Explicaciones de no aplicabilidad' que se encuentra en el anexo de cada entrada. Copyright 2008 PCI Security Standards Council LLC Página 11

15 Instrucciones para completar el Cuestionario de autoevaluación 1. Utilice las directrices del presente documento para determinar cuál es el cuestionario SAQ adecuado para su empresa. 2. Utilice Exploración de las normas PCI DSS: Comprensión del objeto de los requisitos para comprender cómo y por que estos requisitos son importantes para su organización. 3. Utilice el Cuestionario de autoevaluación adecuado como una herramienta para validar el cumplimiento de las normas PCI DSS. 4. Siga las instrucciones del Cuestionario de autoevaluación adecuado en Cumplimiento con las normas PCI DSS: pasos para completar el proceso. Por último, proporciones a su adquiriente o marca de pago, según corresponda, toda la documentación solicitada. Copyright 2008 PCI Security Standards Council LLC Página 12

16 Instrucciones y directrices del Cuestionario de autoevaluación: qué tipo de validación me corresponde? Instrucciones y directrices para completar el cuestionario de autoevaluación, Octubre de 2008 Copyright 2008 PCI Security Standards Council LLC Página 13