Compruebe con esta plantilla de controles PCI DSS las medidas de seguridad y calidad de su sistema de pago con tarjeta.
PCI DSS: Plantilla de Control
PCI DSS: Plantilla de Control
Compruebe con esta plantilla de controles PCI DSS las medidas de seguridad y calidad de su sistema de pago con tarjeta.
PCI DSS: Plantilla de Control
Compruebe con esta plantilla de controles PCI DSS las medidas de seguridad y calidad de su sistema de pago con tarjeta.
Vista previa de la plantilla
Autoevaluación del cumplimiento de PCI
Almacenamiento de datos sensibles de autentificación (DAS)
¿Su sistema almacena estos datos? Si es así, ¿es usted consciente de ello?
¿Ha comprobado la existencia de controles de acceso inadecuados debidos a sistemas de punto de venta (TPV) mal instalados, que permiten la entrada de usuarios malintencionados a través de vías destinadas a los vendedores de los TPV?
¿Se cambiaron los ajustes y las contraseñas del sistema por defecto cuando se instaló el sistema?
¿Servicios innecesarios e inseguros eliminados o asegurados cuando se instaló el sistema?
¿Se ha comprobado la existencia de aplicaciones web mal codificadas que podrían dar lugar a inyecciones SQL y otras vulnerabilidades, que permiten acceder a la base de datos que almacena los datos de los titulares de las tarjetas directamente desde el sitio web?
¿Se ha comprobado si faltan parches de seguridad o están obsoletos?
¿Se han comprobado los protocolos de registro adecuados?
¿Se ha comprobado que la supervisión es adecuada? (mediante revisiones de registros, detección/prevención de intrusos, escaneos trimestrales de vulnerabilidad y sistemas de supervisión de la integridad de los archivos)?
Seguridad del sistema de TPV (Pregunte al proveedor de TPV)
¿Se han cambiado las configuraciones y contraseñas por defecto en los sistemas y bases de datos que forman parte del sistema POS?
¿Acceden a mi sistema de TPV a distancia?
¿Se han eliminado todos los servicios innecesarios e inseguros de los sistemas y bases de datos que forman parte del sistema POS?
¿Está mi software de TPV validado según la norma de seguridad de datos de aplicaciones de pago (PA-DSS)?
¿Mantiene mi software de TPV datos sensibles de autenticación, como datos de seguimiento o bloques de PIN?
¿Mantiene mi software de TPV los números de cuenta principales (PAN)?
¿Documentará la lista de archivos escritos por la aplicación con un resumen del contenido de cada archivo para verificar que no se almacenan los datos prohibidos mencionados anteriormente?
¿Mi software de TPV impone contraseñas complejas y únicas para todos los accesos de los usuarios?
¿Pueden confirmar que no utilizan contraseñas comunes o por defecto para acceder a mi sistema y a otros sistemas comerciales a los que prestan asistencia?
¿Todos los sistemas y bases de datos que forman parte del sistema POS han sido parcheados con todas las actualizaciones de seguridad aplicables?
¿Está activada la capacidad de registro para los sistemas y bases de datos que forman parte del sistema POS?
Si las versiones anteriores de mi software de TPV almacenaban datos sensibles de autenticación, ¿se ha eliminado esta función durante las actualizaciones actuales del software de TPV? ¿Se ha utilizado una utilidad de borrado seguro para eliminar estos datos?
Datos del titular de la tarjeta
Las reglas de la marca de pago permiten almacenar el número de cuenta principal (PAN), la fecha de caducidad, el nombre del titular de la tarjeta y el código de servicio.
¿Es el almacenamiento de estos datos absolutamente necesario para la empresa y su finalidad? Indique por qué deben almacenarse o eliminarse los datos.
¿Merece la pena almacenar los datos por el riesgo de que se vean comprometidos?
¿Merecen la pena los controles adicionales de PCI DSS que hay que aplicar para proteger los datos?
¿Merecen la pena los continuos esfuerzos de mantenimiento para seguir cumpliendo con la norma PCI DSS a lo largo del tiempo el almacenamiento continuo de estos datos?
Los datos de los titulares de las tarjetas que NECESITAN ser almacenados están debidamente consolidados y aislados mediante una adecuada segmentación de la red
Nombre completo y firma del responsable del cumplimiento de la normativa
Confirmación
Nombre completo y firma del responsable del cumplimiento de la normativa
Esta plantilla se descargó 25 veces
Esta plantilla, proporcionada por Lumiform, sirve como un ejemplo hipotético y un punto de partida para las empresas que utilizan nuestra plataforma. No es un sustituto del asesoramiento profesional. Las empresas deben consultar a profesionales cualificados para asegurar la adecuación y legalidad de esta plantilla en su contexto específico. Lumiform no se hace responsable de los errores, omisiones o acciones tomadas basadas en esta plantilla.