Industria de Tarjetas de Pago (PCI)

Cuestionario de Auto-evaluación de Seguridad

Administración de Riesgo
Región América Latina y el Caribe
Cómo Llenar el Cuestionario

El cuestionario está dividido en seis secciones. Cada sección se concentra en un área específica de
seguridad tomando como base los requisitos incluidos en la Norma de Seguridad de Datos de la
Industria de Tarjetas de Pago. En cualquier pregunta que se responda N/A (No Aplica) deberá adjuntarse
una explicación breve.

Presentación del Cuestionario

Lo siguiente se deberá incluir con el cuestionario de auto-evaluación y los resultados del escán
perimétrico del sistema:

Información de la Organización
NOMBRE DE LA NOMBRES
EMPRESA: BAJO LOS
CUALES
OPERA:

NOMBRE DEL CARGO:

CONTACTO:

TELÉFONO: CORREO
ELECTRÓNICO:

NÚMERO APROXIMADO DE TRANSACCIONES/CUENTAS MANEJADAS CADA AÑO:

Incluya una descripción breve de su negocio.

Explique el papel que desempeña su negocio en el flujo de pagos. ¿Cómo y en qué capacidad guarda,
procesa y/o transmite su negocio datos de los tarjetahabientes?

Liste todos los Terceros Proveedores de Servicio:

Procesador: Puente de
Conexión:
Hospedaje de Web: Cesta de
Compra:
Co-Ubicación: Otro:

Listar el software/hardware de Punto de Venta (POS) en uso:

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 1

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Clasificación de la Evaluación

Después de llenar cada sección de la evaluación, los usuarios deberán llenar los cuadros de clasificación
de la manera siguiente:

EN CADA SECCIÓN, SI … ENTONCES, LA CLASIFICACIÓN DE LA SECCIÓN ES …

A TODAS las preguntas se responde Verde – El comercio o proveedor de servicio cumple con la
“Sí” o “N/A” parte de auto-evaluación de la Norma de Seguridad de los
Datos de la Industria de Tarjetas de Pago (PCI)
Nota: Si la respuesta es “N/A”, adjunte una breve explicación.
A CUALQUIER pregunta se responde Roja – No se considera que el comercio o proveedor de
“no” servicio cumple. Para cumplir con las normas los riesgos deben
eliminarse y debe volverse a hacer la auto-evaluación para
demostrar el cumplimiento.

Sección 1: Verde Roja Sección 4: Verde Roja

Sección 2: Verde Roja Sección 5: Verde Roja
Sección 3: Verde Roja Sección 6: Verde Roja

Clasificación Total: Verde Roja

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 2

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Desarrollar y Mantener una Red Segura

Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los

datos.
DESCRIPCIÓN RESPUESTA

1.1 ¿Son todos los ruteadores, switches, puntos de acceso Sí No

inalámbricos y configuraciones de cortafuegos seguros y se
ajustan a las normas de seguridad documentadas?
1.2 Si se usa la tecnología inalámbrica, ¿está el acceso a la red Sí No N/A
limitado a los dispositivos autorizados?
1.3 ¿Se requiere autorización para los cambios a los cortafuegos y Sí No
se mantiene un registro de dichos cambios?
1.4 ¿Se usa un cortafuego para proteger la red y limitar el tráfico Sí No
solo a aquel requerido para la apropiada conducción de los
negocios?
1.5 ¿Se han instalado filtros de egreso e ingreso en todos los Sí No
ruteadores de frontera para prevenir que alguien use una
dirección de Internet para hacerse pasar por quien no es?
1.6 ¿Se mantiene la información de las cuentas de tarjetas de pago Sí No
en una base de datos en la red interna (y no en el DMZ) y
protegida por un cortafuego?
1.7 Si se usa la tecnología inalámbrica, ¿existen cortafuegos Sí No N/A
perimétricos entre las redes inalámbricas y el ambiente de datos
de tarjetas de pago?
1.8 ¿Tiene cada computador móvil con conectividad directa a Sí No N/A
Internet instalados un cortafuego personal y un software
antivirus?
1.9 ¿Están los servidores de Web ubicados en un segmento Sí No
públicamente accesible de la red separados de la red interna por
un cortafuego (DMZ)?
1.10 ¿Está configurado el cortafuego para traducir (ocultar) las Sí No
direcciones de Protocolo de Internet (IP) usando Network
Address Translation (NAT)?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 3

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Desarrollar y Mantener una Red Segura

Requisito 2: No usar contraseñas de sistemas y otros parámetros de seguridad provistos

por los proveedores.
DESCRIPCIÓN RESPUESTA

2.1 ¿Se cambian las definiciones de seguridad por defecto provistas Sí No

por los proveedores en los sistemas de producción antes de
activarlos?
2.2 ¿Se desactivan o cambian las cuentas y contraseñas de por Sí No
defecto provistas por los proveedores en un sistema de
producción antes de habilitarlo para servicio?
2.3 Si se usa la tecnología inalámbrica, ¿se cambian las Sí No N/A
definiciones de seguridad por defecto provistas por los
proveedores (por ejemplo, claves WEP, SSID, contraseñas,
cadenas comunitarias SNMP, desactivación de transmisiones
SSID)?
2.4 Si se usa la tecnología inalámbrica, ¿se implementa la Sí No N/A
tecnología Wi-Fi Protected Access (WPA) para la encriptación y
autenticación cuando existe capacidad WPA?
2.5 ¿Se fortalecen todos los sistemas de producción (servidores y Sí No
componentes de red) mediante la eliminación de todos los
servicios y protocolos innecesarios instalados en la
configuración por defecto?
2.6 ¿Se usan comunicaciones seguras, encriptadas, para la Sí No N/A
administración remota de los sistemas de producción y
aplicaciones?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 4

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Proteger los Datos del Tarjetahabiente

Requisito 3: Proteger los datos almacenados.

DESCRIPCIÓN RESPUESTA

3.1 ¿Se elimina en forma segura de la información confidencial de Sí No

los tarjetahabientes cuando esta ya no se necesita?
3.2 ¿Se prohíbe guardar el contenido íntegro de cualquier pista de Sí No
la banda magnética (en el reverso de la tarjeta, en un lector de
chip, etc.) en la base de datos, archivos de bitácora o productos
de punto de venta?
3.73 ¿Está prohibido guardar el código de validación (tres dígitos, Sí No
impresos en el panel de firma de una tarjeta) en bases de datos,
archivos de bitácora y registros o productos de punto de venta?
3.4 ¿Se enmascaran todos los dígitos del número de cuenta, Sí No
excepto los últimos cuatro, al desplegar los datos de los
tarjetahabientes?
3.5 ¿Se guardan en forma segura los números de cuenta (en bases Sí No
de datos, registros, bitácoras, archivos, medios de respaldo,
etc.), por ejemplo, mediante encriptación o truncando los
números?
3.6 ¿Se sanean los números de cuenta antes de incluirlos en el Sí No
registro de auditoría?

Requisito 4: Encriptar los datos de los tarjetahabientes e información confidencial

transmitida a través de redes públicas.
DESCRIPCIÓN RESPUESTA

4.1 ¿Se encriptan las transmisiones de datos confidenciales de los Sí No

tarjetahabientes a través de redes públicas mediante el uso de
SSL u otros métodos aceptables de la industria?
4.2 Si se usa SSL para la transmisión de datos confidenciales de los Sí No N/A
tarjetahabientes, ¿se está usando la versión 3.0 con
encriptación de 128 bits?
4.3 Si se usa la tecnología inalámbrica, ¿se encripta la Sí No N/A
comunicación utilizando Wi-Fi Protected Access (WPA), VPN,
SSL de 128 bits, o WEP?
4.4 Si se usa la tecnología inalámbrica, ¿se usan tecnologías de Sí No N/A
encriptación adicionales como WEP de 128 bits y se rotan
trimestralmente las claves WEP compartidas?
4.5 ¿Se usa la encriptación en la transmisión de números de cuenta Sí No N/A
por correo electrónico?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 5

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Mantener un Programa de Manejo de Vulnerabilidad

Requisito 5: Usar y actualizar regularmente el software antivirus.

DESCRIPCIÓN RESPUESTA

5.1 ¿Se ha instalado un escaneador de virus en todos los servidores Sí No

y en todas las estaciones de trabajo y se actualiza regularmente
el mismo?

Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

DESCRIPCIÓN RESPUESTA

6.1 ¿Se actualizan los sistemas de desarrollo, prueba y producción Sí No

con los parches de seguridad más recientes que proporcionan
los proveedores?
6.2 ¿Está basado el proceso de desarrollo de software y Sí No N/A
aplicaciones en las mejores prácticas de la industria y se incluye
la seguridad de la información en todo el ciclo y proceso de
desarrollo de software (SDLC)?
6.3 Si se usan datos de producción para fines de prueba y Sí No N/A
desarrollo, ¿se sanea la información confidencial de los
tarjetahabientes antes de usarla?
6.4 ¿Se autorizan, planean y registran formalmente todos los Sí No
cambios en el ambiente de producción y las aplicaciones antes
de su implementación?
6.5 ¿Se toman en consideración las directrices comúnmente Sí No … N/A
aceptadas por el sector de seguridad (como el grupo Open Web
Application Security Project [www.owasp.org]) en el desarrollo
de las aplicaciones de Web?
6.6 Al autenticar a través de Internet, ¿está diseñada la aplicación Sí No N/A
para prevenir que usuarios con intenciones maliciosas traten de
identificar usuarios existentes?
6.7 ¿Se almacenan en cookies, de forma segura o encriptada, los Sí No N/A
datos confidenciales de los tarjetahabientes?
6.8 ¿Se implementan en el lado del servidor los controles Sí No N/A
necesarios para prevenir la inyección de SQL y que se obvien
otros controles de entrada del cliente?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 6

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Implementar Medidas Sólidas de Control de Acceso

Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del
funcionario de conocer la información.
DESCRIPCIÓN RESPUESTA

7.1 ¿Está restringido el acceso a los números de cuenta de las Sí No

tarjetas de pago estrictamente a los usuarios que necesitan
tenerlo?

Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un
computador.
DESCRIPCIÓN RESPUESTA

8.1 ¿Se requiere a todos los usuarios autenticar su identidad Sí No

utilizando, como mínimo, un nombre de usuario y una
contraseñas únicos?
8.2 Si los empleados, administradores o terceros tienen acceso Sí No N/A
remoto a la red, ¿se usa una configuración de software de
acceso remoto (como PCAnywhere, dial-in o VPN) con un
nombre de usuario y contraseña únicos y con encriptación y
otras funciones de seguridad activadas?
8.3 ¿Se encriptan todas las contraseñas en los dispositivos de red y Sí No
sistemas?
8.4 Cuando un empleado cesa en sus funciones en la empresa, ¿se Sí No
revocan inmediatamente las cuentas de usuario y contraseñas
de ese empleado?
8.5 ¿Se revisan regularmente todas las cuentas de los usuarios Sí No
para garantizar que no existen cuentas desconocidas, pasadas
de fecha o maliciosas?
8.6 ¿Se deshabilitan automáticamente en el sistema las cuentas de Sí No
usuarios que no se han utilizadas en mucho tiempo (cuentas
inactivas) después de transcurrido un determinado plazo?
8.7 ¿Se activan las cuentas utilizadas por los proveedores para Sí No N/A
fines de mantenimiento remoto solamente durante el tiempo
necesario?
8.8 ¿Están prohibidas las cuentas y contraseñas de grupo, Sí No
compartidas y genéricas para usuarios del sistema?
8.9 ¿Se requiere a los usuarios del sistema cambiar su contraseña Sí No
cada cierto tiempo, en forma predefinida?
8.10 ¿Existe una política de contraseña para los usuarios del sistema Sí No
mediante la cual se hace cumplir el uso de contraseñas de alta
seguridad y se evita que se vuelvan a activar contraseñas ya
utilizadas en el pasado?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 7

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Implementar Medidas Sólidas de Control de Acceso

8.11 ¿Existe un mecanismo de bloqueo de cuentas que bloquea al Sí No
usuario malicioso para que no pueda obtener acceso a una
cuenta probando múltiples contraseñas o empleando la fuerza
bruta?

Requisito 9: Restringir el acceso físico a los datos de los tarjetahabientes.

DESCRIPCIÓN RESPUESTA

9.1 ¿Existen múltiples controles de seguridad física (como gafetes, Sí No

escolta o doble puerta de entrada) para prevenir que las
personas no autorizadas puedan obtener acceso a las
instalaciones?
9.2 Si se usa la tecnología inalámbrica, ¿se restringe el acceso a los Sí No N/A
puntos de acceso inalámbricos, puentes de conexión
inalámbricos y dispositivos inalámbricos de mano (handheld)?
9.3 ¿Están los equipos (tales como servidores, estaciones de Sí No
trabajo, laptops y discos duros) y medios que contienen datos
de los tarjetahabientes físicamente protegidos contra el acceso
no autorizado?
9.4 ¿Se protegen los datos de los tarjetahabientes impresos en Sí No
papel o recibidos por telefacsímil contra el uso no autorizado?
9.5 ¿Existen procedimientos establecidos para manejar la Sí No
distribución y disposición segura de los medios de respaldo y
otros medios que contienen datos confidenciales de los
tarjetahabientes cuando estos se desechan?
9.6 ¿Se hace un inventario apropiado y se guardan en forma segura Sí No
todos los dispositivos y medios que guardan datos de los
tarjetahabientes?
9.7 ¿Se eliminan o destruyen los datos de los tarjetahabientes antes Sí No
de disponer físicamente de ellos (por ejemplo, pasando los
papeles por una trituradora o haciendo un borrado electrónico
de los medios de respaldo?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 8

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Monitorear y Probar Regularmente las Redes

Requisito 10: Rastrear y monitorear todo el acceso a los recursos de la red y datos de
los tarjetahabientes.
DESCRIPCIÓN RESPUESTA

10.1 ¿Se registra todo acceso a los datos de los tarjetahabientes, Sí No

incluyendo usuarios administradores (root)?
10.2 ¿Contienen los registros de control de acceso el número de Sí No
intentos de conexión y accesos a los registros de auditoría que
tuvieron éxito y los que no tuvieron éxito?
10.3 ¿Están los relojes de los sistemas y las horas de los mismos Sí No
sincronizados en todo momento e incluyen los mismos el sello
de fecha y hora?
10.4 ¿Se revisan regularmente los cortafuegos, ruteadores, puntos Sí No
de acceso inalámbricos y bitácoras de servidores de
autenticación para detectar el tráfico no autorizado?
10.5 ¿Se respaldan regularmente los registros de auditoría, se Sí No
guardan en forma segura y se retienen durante al menos tres
meses en línea y un año fuera de línea en todos los sistemas
críticos?

Requisito 11: Probar regularmente los sistemas y procesos de seguridad.

DESCRIPCIÓN RESPUESTA

11.1 Si se usa la tecnología inalámbrica, ¿se usa periódicamente un Sí No N/A

analizador inalámbrico para identificar todos los dispositivos
inalámbricos?
11.2 ¿Se hace un escán de vulnerabilidad o prueba de penetración Sí No
en todas las aplicaciones y sistemas conectados a Internet
antes de activarlos para producción?
11.3 ¿Se usa un sistema de detección o prevención de intrusiones en Sí No
la red?
11.4 ¿Se supervisan continuamente los alertas de seguridad del Sí No
sistema de prevención o detección de intrusiones (IDS/IPS) y se
han instalado las más recientes firmas IDS/IPS?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 9

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Mantener una Política de Seguridad de la Información

Requisito 12: Mantener una política que contemple la seguridad de la información.

DESCRIPCIÓN RESPUESTA

12.1 ¿Están formalmente documentadas las políticas de seguridad Sí No

de la información, incluyendo las políticas de control de acceso,
desarrollo de aplicaciones y sistemas, de seguridad operativa,
de redes y física?
12.2 ¿Se diseminan a todos los usuarios del sistema las políticas y Sí No
otros tipos de información de seguridad relevantes (incluidos los
proveedores, contratistas y socios comerciales)?
12.3 ¿Se revisan y actualizan al menos una vez al año las políticas Sí No
de seguridad de la información, según sea necesario?
12.4 ¿Se han definido claramente las responsabilidades y el papel Sí No
que cada persona desempeña en la seguridad de la información
dentro de la empresa?
12.5 ¿Existe un programa de seguridad de la información actualizado Sí No
y hay un programa de capacitación para todos los usuarios del
sistema?
12.6 ¿Se requiere a los empleados firmar un convenio donde hacen Sí No
constar que han leído y comprendido las políticas y los
procedimientos de seguridad?
12.7 ¿Se realiza una investigación de antecedentes (como Sí No
antecedentes de crédito y antecedentes penales, dentro de los
límites de las leyes locales) para todos los empleados que
tengan acceso a los números de cuenta?
12.8 ¿Están los terceros que tienen acceso a los datos confidenciales Sí No
obligados por contrato a cumplir con las normas de seguridad de
la asociación de tarjetas?
12.9 ¿Existe un plan de respuesta a incidentes de seguridad Sí No
formalmente documentado y se ha diseminado el mismo a las
personas responsables apropiadas?
12.10 ¿Se reportan los incidentes de seguridad a la persona Sí No
responsable de investigarlos?
12.11 ¿Existe un equipo de respuesta a incidentes listo para ocupar Sí No
los puestos necesarios y actuar en caso de un compromiso de la
seguridad de los datos de los tarjetahabientes?

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 10

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Glosario

TÉRMINO DEFINICIÓN

Activo Información o recursos de procesamiento de información de una organización.

(Asset)
Adquirente Un miembro de la asociación de tarjetas de pago que inicia y mantiene
(Acquirer) relaciones con los comercios que aceptan tarjetas Visa o MasterCard.

Amenaza Un problema que puede causar que la información o los recursos de

(Threat) procesamiento de información intencional o accidentalmente se pierdan,
modifiquen, queden expuestos a riesgos o inaccesibles, o se vean de otra
manera afectados para perjuicio de la organización.
Análisis de riesgo También conocido como evaluación de riesgo, un proceso que sistemáticamente
(Risk Analysis) identifica los recursos valiosos de un sistema y las amenazas contra esos
recursos, cuantifica la exposición al riesgo (por ejemplo, potencial de pérdidas)
tomando como base la frecuencia y los costos estimados de un incidente y
(opcionalmente) recomienda cómo se deben asignar recursos para las medidas
de prevención de forma que se minimice la exposición total al riesgo.
Autenticación El proceso de verificar la identidad de una persona o un proceso.
(Authentication)
Autenticación de dos La autenticación que requiere a los usuarios presentar dos credenciales—algo
factores que tienen (por ejemplo, una tarjeta inteligente o token de hardware) y algo que
(Two-factor saben (por ejemplo, una contraseña). Para poder acceder al sistema los usuarios
authentication) deben presentar ambos factores.

Autorización Otorgar acceso u otros derechos a un usuario, programa o proceso.

(Authorization)
Base de datos Un formato estructurado para organizar y mantener información que fácilmente
(Database) se puede obtener del sistema. Un ejemplo sencillo de una base de datos es una
tabla u hoja de cálculo.
Clave En la criptografía, una clave es un valor aplicado mediante el uso de un algoritmo
(Key) a un texto sin encriptar (o sea, sin cifrar), para producir un texto encriptado (o
sea, cifrado). La longitud de la clave generalmente determina cuán difícil será de
decriptar el texto de un determinado mensaje.
Código de validación El valor de tres dígitos impreso en el panel de firma de una tarjeta de pago, el
de tarjeta cual se usa para verificar las transacciones en ambientes de tarjeta ausente. En
(Card-validation code) el caso de la tarjeta de pago MasterCard, se le llama CVC2. En el caso de una
tarjeta de pago Visa, se le llama CVV2.
Compromiso de Una intrusión en un sistema de computación durante la cual puede haber
seguridad ocurrido una modificación o destrucción no autorizada de datos de los
(Compromise) tarjetahabientes.

Consola Una pantalla y un teclado que permiten obtener acceso al servidor / unidad
(Console) mainframe en un ambiente de red y controlarlos.

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 11

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Glosario

TÉRMINO DEFINICIÓN

Consumidor La persona que compra bienes y/o servicios.

(Consumer)
Contraseña Una cadena de caracteres que sirve como autenticador del usuario.
(Password)
Contraseña de La contraseña de las cuentas de administración o servicio del sistema cuando el
selección automática fabricante envía dicho sistema. Normalmente se asocia con la cuenta de
(Default password) selección automática. Las cuentas y contraseñas de selección automática se
publican y son bien conocidas.

Control de Acceso Medidas que limitan el acceso a la información o a los recursos que procesan la
información a las personas y aplicaciones autorizadas.
(Access control)
Control dual Un método para preservar la integridad de un proceso requiriendo a varias
(Dual Control) personas que independientemente actúen de cierta manera antes que se
completen ciertas transacciones.
Cookies Una cadena de datos que intercambian un servidor de Web y un navegador de
Web para mantener una sesión. Pueden contener las preferencias del usuario e
información personal.
Cortafuego El hardware y/o software que protege los recursos de una red de los usuarios de
(Firewall) otras redes. Típicamente una empresa que tiene una intranet y permite a sus
empleados tener acceso a Internet debe tener un cortafuego para evitar que
personas ajenas a la empresa puedan acceder a los recursos y datos privados
de la misma.
Cosecha de cuentas Un método que se utiliza para averiguar los números de cuentas de usuarios
(Account harvesting) existentes probándolas múltiples veces para tratar de adivinar el número. Dar
demasiada información en un mensaje de error podría ser una forma de divulgar
información que ayude a un atacante a penetrar o comprometer la seguridad del
sistema.

Cuentas de selección Una cuenta de conexión que se ha predefinido en el proceso de fabricación de

automática un sistema para permitir el acceso inicial cuando se instala por primera vez el
sistema para habilitarlo en el servicio.
(Default accounts)

Datos confidenciales
del tarjetahabiente
(Sensitive cardholder
data)
Datos de la Pista o
Banda Magnética
(Magnetic Stripe Data
o rack Data)
Datos que, de ser divulgados en forma no autorizada, se podrían usar en una
transacción fraudulenta. Incluyen el número de cuenta, los datos de la banda
magnética, los valores de verificación de tarjeta (CVC2/CVV2) y la fecha de
vencimiento.
Los datos codificados en la banda magnética se utilizan para fines de
autorización durante una transacción en un ambiente de tarjeta presente. Las
entidades tal vez no retengan todos los datos de la banda magnética después de
autorizarse la transacción. Específicamente, después de la autorización se
deben purgar los códigos de servicio, los datos discrecionales y del valor de
verificación de tarjeta, y los valores reservados para Visa. No obstante, es
posible extraer y retener el número de cuenta, la fecha de vencimiento y el

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 12

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Glosario

TÉRMINO DEFINICIÓN
nombre de la cuenta.

Datos de los Todos los datos del tarjetahabiente y su relación con el Miembro que son
tarjetahabientes identificables en forma personal (número de cuenta, fecha de vencimiento de la
(Cardholder data) tarjeta, datos proporcionados por el Banco Miembro, otros datos electrónicos que
compila el comercio, etc.). Este término también se refiere a otros tipos de
información personal que se compilan acerca del tarjetahabiente, como
direcciones, números de teléfono, etc.).
Datos de transacción Datos relacionados con un pago electrónico.
(Transaction data)
Dirección de Internet Una dirección de Internet (o Protocolo de Internet) es un código numérico que
(IP) identifica en forma única a un computador particular en la Internet.
(IP address)
DMZ (abreviatura de Una red que se agrega entre una red privada y una red pública para proporcionar
zona eesmilitarizada, una capa adicional de seguridad al sistema.
de-militarized zone)
Egreso El tráfico que sale de la red.
(Egress)
Encriptación El proceso de convertir la información a un formato ininteligible para toda
(Encryption) persona, excepto la que tenga una clave criptográfica específica. El uso de la
encriptación protege la información contra la divulgación no autorizada hasta que
se realiza el proceso de decriptación (lo inverso de encriptación) para descifrar la
misma.
Escán de Una herramienta automatizada que verifica los sistemas de un comercio o
vulnerabilidad proveedor de servicio para detectar vulnerabilidades. Los escanes identifican las
(Vulnerability Scan) vulnerabilidades en los sistemas operativos, servicios y dispositivos que podrían
utilizar los delincuentes que roban datos de los computadores para penetrar la
red privada de la empresa.
Escán Perimétrico de Una herramienta automatizada que remotamente verifica los sistemas de un
Sistema comercio o de un proveedor de servicio para detectar vulnerabilidades. Esta
(System Perimeter prueba de carácter no intrusivo implica un sondeo de los sistemas con
Scan) direcciones de conexión externa con Internet y reportar los servicios disponibles
hacia la red externa (por ejemplo, servicios disponibles en Internet). Los escanes
identifican las vulnerabilidades de los sistemas operativos, servicios y
dispositivos que podrían utilizar los delincuentes para penetrar la red privada de
la empresa.
Funcionario de La persona que asume la responsabilidad primaria por los asuntos relacionados
Seguridad con la seguridad de la organización.
(Security Officer)
Host El hardware principal donde reside el software.
ID de Usuario Una cadena de caracteres que se usa para identificar en forma única a cada

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 13

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Glosario

TÉRMINO DEFINICIÓN
(UserID) usuario de un sistema.
Ingreso El tráfico que entra en la red.
(Ingress)
Inyección de SQL Una forma de ataque a un sitio Web accionado por base de datos, en la cual el
(SQL injection) atacante ejecuta comandos SQL no autorizados, aprovechando como ventaja un
código no seguro en un sistema conectado a Internet. Los ataques por inyección
de SQL se usan para robar información de una base de datos, donde los datos
normalmente no estarían disponibles y/o para obtener acceso a los
computadores host de una organización a través del computador que hospeda la
base de datos.
ISO 8583 Una norma establecida para las comunicaciones entre sistemas financieros.
Network Address La traducción de una dirección de Protocolo de Internet (IP) utilizada dentro de
Translation (NAT) una red a otra dirección de Protocolo de Internet diferente conocida dentro de
otra red.

Nombre bajo el cual DBA significa “Doing Business As”, el nombre bajo el cual opera una empresa.
opera Los niveles de validación de cumplimiento están basados en el volumen de
(DBA) transacciones de una empresa que opera bajo otro nombre (DBA) o una cadena
de tiendas (no de una corporación que sea propietaria de varias cadenas).
Número de cuenta El número de la tarjeta de pago (de crédito o débito) que identifica al Emisor y el
(Account number) número particular de cuenta del tarjetahabiente.

Parche Una reparación rápida de una parte de la programación. Durante el período de

(Patch) distribución y prueba beta o prueba en el mercado de un producto de software y
después que el producto se introduce formalmente en el mercado, casi
invariablemente se encuentra algún problema. Un parche es una solución
inmediata que se proporciona al usuario.
Penetración Cuando se logra el éxito al obviar los mecanismos de seguridad de un sistema.
(Penetration)
Política Reglas que establece la organización para regir el uso aceptable de los recursos
(Policy) de computación y prácticas de seguridad, y que guían el desarrollo de los
procedimientos operativos.
Política de seguridad El conjunto de leyes, reglas y prácticas que regula la forma en que una
(Security policy) organización administra, protege y distribuye la información confidencial.

Procedimiento Un procedimiento proporciona una descripción sobre la política a la cual se

(Procedure) aplica. Es el “cómo se hace” de la política. El procedimiento dice a la
organización la forma en que se llevará a cabo o implementará una política.
Protocolo Un método de comunicación convenido que se usa entre redes. Una
(Protocol) especificación que describe las reglas y los procedimientos que deben seguir los
productos para realizar las actividades en una red.
Prueba de El sondeo de un sistema o red de computación orientado a la seguridad cuya
finalidad es detectar las vulnerabilidades que podría explotar un atacante. Estas
Payment Card Industry Self-Assessment Questionnaire, Version 1.0 14
© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Glosario

TÉRMINO DEFINICIÓN
penetración pruebas implican un intento de penetrar el sistema para que el que lo prueba
(Penetration Test) pueda reportar las vulnerabilidades halladas y sugerir medidas que mejorarán la
seguridad.

Red Una red consiste en dos o más computadores conectados entre sí para poder
compartir los recursos.
(Network)
Registro de auditoría Un registro cronológico de actividades del sistema que permite reconstruir,
(Audit Log) revisar y examinar la secuencia de los ambientes y las actividades realizadas
para llevar a cabo una operación, un procedimiento o un evento en una
transacción desde que esta comienza hasta su resultado final, o que conducen a
este. Algunas veces se le llama específicamente pista de auditoría de seguridad.
Resistente a Se dice que un sistema es resistente a alteraciones si resulta difícil modificarlo o
alteraciones subvertirlo, aun en el caso de un atacante que tenga acceso físico al sistema.
(Tamper-resistance)
Respaldo Una copia duplicada de los datos que se hace para fines de archivo o para
(Backup) proteger contra daños o pérdidas.

Ruteador Un ruteador es un dispositivo de hardware o un software que conecta dos o más

(Router) redes. El ruteador funciona como clasificador e intérprete al examinar las
direcciones y dirige los bits de información a su destino según sea apropiado.
Los ruteadores de software a veces se llaman puentes de conexión o
“gateways”.
Sanear Borrar datos confidenciales de un archivo, dispositivo o sistema, o modificar los
(Sanitization) datos para que no se puedan usar para lanzar un ataque.

Seguridad de la La protección de la información para salvaguardar su carácter confidencial,

información integridad y disponibilidad.
(Information Security)
Separación de La práctica que consiste en dividir los pasos de una función entre diferentes
responsabilidades personas para evitar que una sola persona pueda subvertir el proceso.
(Separation of duties)
Servidor Un computador que actúa como proveedor de un servicio a otros computadores,
(Server) tales como procesamiento de comunicaciones, almacenaje de archivos o función
de impresión.
Sistemas de Un sistema de detección de intrusiones (IDS) inspecciona toda la actividad de
detección de entrada y salida de una red e identifica patrones sospechosos que podrían ser
intrusiones señal de un ataque a la red o sistema por parte de alguien que intenta penetrar
(Intrusion detection el sistema o comprometer su seguridad.
systems--IDS)
Spoofing de Una técnica utilizada para obtener acceso no autorizado a los computadores,
direcciones mediante la cual el intruso envía mensajes a un computador con una dirección
de Protocolo de Internet indicando que el mensaje viene de un host confiable.
SSL Abreviatura de Secure Socket Layer. Una norma establecida de la industria que

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 15

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01
 Cuestionario de Auto-evaluación de la Industria de Tarjetas de Pago

Glosario

TÉRMINO DEFINICIÓN
encripta el canal entre el navegador y el servidor de Web para garantizar la
privacidad y confiabilidad de los datos transmitidos a través de ese canal.
Supervisión o Ver la actividad de una red.
monitoreo
(Monitoring)
Tarjetahabiente El cliente a quien se ha emitido una tarjeta o la persona autorizada para usar la
(Cardholder) tarjeta.

Token Un dispositivo que realiza la autenticación dinámica.

Truncar La práctica que consiste en eliminar un segmento de datos. Comúnmente,
(Truncation) cuando los números de cuenta están truncados se eliminan los primeros 12
dígitos y se dejan visibles solamente los últimos cuatro.
Usuarios que no son Cualquier usuario, excluidos los clientes que sean consumidores, que acceda a
consumidores los sistemas, incluyendo, sin limitación, empleados, administradores y terceros.
(Non consumer users)
Virus Un programa o cadena de códigos que se puede replicar a sí misma y causar la
modificación o destrucción del software o de los datos.
Vulnerabilidad Una debilidad en los procedimientos de seguridad de sistema, el diseño del
(Vulnerability) sistema, la implementación o los controles internos que podría explotar un
delincuente para violar la seguridad del sistema.

Payment Card Industry Self-Assessment Questionnaire, Version 1.0 16

© 2005 Visa. All Rights Reserved.
Visa Public 51004-01