close
lumiform
Lumiform Auditorías e inspecciones móviles
Descargar Descargar

PCI DSS: Plantilla de verificación

Utilice esta plantilla checklist de cumplimiento de PCI para comprobar regularmente la calidad de sus sistemas de seguridad de datos internos y de los puntos de venta.
Calificado con 5/5 estrellas en Capterra

Dile adiós a las inspecciones a papel!

Lumiform te permite realizar inspecciones digitales a través de una app más fácil que nunca
  • Disminuye el tiempo de inspección un 50%
  • Descubre más problemas y resuélvelos 4 veces más rápido
  • Seleccione entre más de 5.000 plantillas probadas por expertos

Digitaliza tu lista de control en papel ahora

Regístrate de forma

  • Disminuye el tiempo de inspección un 50%
  • Descubre más problemas y resuélvelos 4 veces más rápido
  • Seleccionar entre más de 4.000 plantillas creadas por expertos.
Calificado con 5/5 estrellas en Capterra

PCI DSS: Plantilla de verificación

Almacenamiento de datos sensibles de autentificación (DAS)

¿Su sistema almacena estos datos? Si es así, ¿es usted consciente de ello?

¿Ha comprobado la existencia de controles de acceso inadecuados debidos a sistemas de punto de venta (TPV) mal instalados, que permiten la entrada de usuarios malintencionados a través de vías destinadas a los vendedores de los TPV?

¿Se cambiaron los ajustes y las contraseñas del sistema por defecto cuando se instaló el sistema?

¿Servicios innecesarios e inseguros eliminados o asegurados cuando se instaló el sistema?

¿Se ha comprobado la existencia de aplicaciones web mal codificadas que podrían dar lugar a inyecciones SQL y otras vulnerabilidades, que permiten acceder a la base de datos que almacena los datos de los titulares de las tarjetas directamente desde el sitio web?

¿Se ha comprobado si faltan parches de seguridad o están obsoletos?

¿Se han comprobado los protocolos de registro adecuados?

¿Se ha comprobado que la supervisión es adecuada? (mediante revisiones de registros, detección/prevención de intrusos, escaneos trimestrales de vulnerabilidad y sistemas de supervisión de la integridad de los archivos)?

Seguridad del sistema de TPV (Pregunte al proveedor de TPV)

¿Se han cambiado las configuraciones y contraseñas por defecto en los sistemas y bases de datos que forman parte del sistema POS?

¿Acceden a mi sistema de TPV a distancia?

¿Se han eliminado todos los servicios innecesarios e inseguros de los sistemas y bases de datos que forman parte del sistema POS?

¿Está mi software de TPV validado según la norma de seguridad de datos de aplicaciones de pago (PA-DSS)?

¿Mantiene mi software de TPV datos sensibles de autenticación, como datos de seguimiento o bloques de PIN?

¿Mantiene mi software de TPV los números de cuenta principales (PAN)?

¿Documentará la lista de archivos escritos por la aplicación con un resumen del contenido de cada archivo para verificar que no se almacenan los datos prohibidos mencionados anteriormente?

¿Mi software de TPV impone contraseñas complejas y únicas para todos los accesos de los usuarios?

¿Pueden confirmar que no utilizan contraseñas comunes o por defecto para acceder a mi sistema y a otros sistemas comerciales a los que prestan asistencia?

¿Todos los sistemas y bases de datos que forman parte del sistema POS han sido parcheados con todas las actualizaciones de seguridad aplicables?

¿Está activada la capacidad de registro para los sistemas y bases de datos que forman parte del sistema POS?

Si las versiones anteriores de mi software de TPV almacenaban datos sensibles de autenticación, ¿se ha eliminado esta función durante las actualizaciones actuales del software de TPV? ¿Se ha utilizado una utilidad de borrado seguro para eliminar estos datos?

Datos del titular de la tarjeta

Las reglas de la marca de pago permiten almacenar el número de cuenta principal (PAN), la fecha de caducidad, el nombre del titular de la tarjeta y el código de servicio.

¿Es el almacenamiento de estos datos absolutamente necesario para la empresa y su finalidad? Indique por qué deben almacenarse o eliminarse los datos.

¿Merece la pena almacenar los datos por el riesgo de que se vean comprometidos?

¿Merecen la pena los controles adicionales de PCI DSS que hay que aplicar para proteger los datos?

¿Merecen la pena los continuos esfuerzos de mantenimiento para seguir cumpliendo con la norma PCI DSS a lo largo del tiempo el almacenamiento continuo de estos datos?

Los datos de los titulares de las tarjetas que NECESITAN ser almacenados están debidamente consolidados y aislados mediante una adecuada segmentación de la red

Nombre completo y firma del responsable del cumplimiento de la normativa

Confirmación

Nombre completo y firma del responsable del cumplimiento de la normativa

Compartir esta plantilla: