Home
ICT
Cumplimiento de PCI DSS
Cumplimiento de PCI DSS
JORGE MACARIO

Cumplimiento de PCI DSS

Evaluar el cumplimiento de PCI DSS mediante una serie de preguntas orientadas a verificar que los sistemas de la organización que procesan, almacenan o transmiten datos de tarjetas de pago están alineados con las prácticas recomendadas de seguridad.

Use this Template
Print as PDF
graphic of a hand making an okay sign ×

Free Cumplimiento de PCI DSS Checklist

Use this Template

Title Page

  • Fecha

  • Realizado por:

  • Ubicación

Inspección

Fallas comunes de control de PCI DSS

  • Almacenamiento de datos de autenticación confidenciales (SAD), como datos de seguimiento, después de la autorización. <br><br>¿Su sistema almacena estos datos? Si es así, ¿está al tanto de ello?

  • ¿Se cambiaron las configuraciones y contraseñas predeterminadas del sistema cuando se instaló el sistema?

  • ¿Se eliminaron o aseguraron servicios innecesarios e inseguros cuando se instaló el sistema?

  • ¿Se han comprobado aplicaciones web mal codificadas que podrían provocar inyecciones de SQL y otras vulnerabilidades que permitan el acceso a la base de datos que almacena los datos del titular de la tarjeta directamente desde el sitio web?

  • ¿Ha comprobado si hay parches de seguridad faltantes o desactualizados?

  • ¿Se han comprobado los protocolos de registro adecuados?

  • ¿Se verificó que la supervisión sea adecuada (a través de revisiones de registros, detección/prevención de intrusiones, análisis de vulnerabilidad trimestrales y sistemas de supervisión de integridad de archivos)?

Seguridad del sistema de punto de venta (Ask POS Vendor)

  • ¿Se han cambiado las configuraciones y contraseñas predeterminadas en los sistemas y bases de datos que forman parte del sistema POS?

  • ¿Accede a mi sistema POS de forma remota?

  • Si es así, ¿ha implementado controles adecuados para evitar que otros accedan a mi sistema POS, como utilizar métodos de acceso remoto seguros y no utilizar contraseñas comunes o predeterminadas?

  • ¿Con qué frecuencia accede a mi dispositivo POS de forma remota y por qué?

  • ¿Quién está autorizado a acceder a mi POS de forma remota?

  • ¿Se han eliminado todos los servicios innecesarios e inseguros de los sistemas y bases de datos que forman parte del sistema POS?

  • ¿Mi software POS está validado según el Estándar de Seguridad de Datos de Aplicaciones de Pago (PA-DSS)?

  • ¿Mi software POS almacena datos de autenticación confidenciales, como datos de seguimiento o bloqueos de PIN?

  • Si es así, este almacenamiento está prohibido: ¿con qué rapidez pueden ayudarme a eliminarlo?

  • ¿Mi software POS almacena números de cuenta principales (PANs)?

  • Si es así, es necesario proteger este almacenamiento: ¿cómo protege el POS estos datos?

  • ¿Documentarías la lista de archivos escritos por la aplicación con un resumen del contenido de cada archivo para verificar que los datos prohibidos mencionados anteriormente no se almacenen?

  • ¿Mi software POS aplica contraseñas complejas y únicas para el acceso de todos los usuarios?

  • ¿Puede confirmar que no utiliza contraseñas comunes o predeterminadas para acceder a mi sistema y a otros sistemas comerciales que admite?

  • ¿Todos los sistemas y bases de datos que forman parte del sistema POS han sido parcheados con todas las actualizaciones de seguridad aplicables?

  • ¿Está activada la capacidad de registro para los sistemas y bases de datos que forman parte del sistema POS?

  • Si las versiones anteriores de mi software de punto de venta almacenaban datos de autenticación confidenciales, ¿se ha eliminado esta función durante las actualizaciones actuales del software de punto de venta? ¿Se utilizó una utilidad de borrado seguro para eliminar estos datos?

Datos del titular de la tarjeta

  • Las reglas de marca de pago permiten el almacenamiento del número de cuenta principal (PAN), la fecha de vencimiento, el nombre del titular de la tarjeta y el código de servicio.

  • ¿Es absolutamente necesario el almacenamiento de estos datos para la empresa y su finalidad? Indique por qué se deben almacenar o eliminar los datos.

  • ¿Vale la pena el riesgo de que los datos se vean comprometidos y el esfuerzo de almacenarlos?

  • ¿Valen la pena los controles PCI DSS adicionales que deben aplicarse para proteger los datos a fin de continuar almacenándolos?

  • ¿Valen la pena los esfuerzos de mantenimiento continuos para seguir cumpliendo con PCI DSS a lo largo del tiempo el almacenamiento continuo de estos datos?

  • Los datos del titular de la tarjeta que NECESITAN almacenarse se consolidan y aíslan adecuadamente mediante una segmentación de red adecuada.

Aprobación del oficial de cumplimiento

  • Nombre completo y firma del Oficial de Cumplimiento a cargo

Cumplimiento de PCI DSS
JORGE MACARIO

Cumplimiento de PCI DSS

Evaluar el cumplimiento de PCI DSS mediante una serie de preguntas orientadas a verificar que los sistemas de la organización que procesan, almacenan o transmiten datos de tarjetas de pago están alineados con las prácticas recomendadas de seguridad.

Use this Template
The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.

Related checklists

back arrow for carousel
back arrow for carousel
iAuditor Logo Icon ©SafetyCulture 2022