Академический Документы
Профессиональный Документы
Культура Документы
Administración de Riesgo
Región América Latina y el Caribe
Cómo Llenar el Cuestionario
El cuestionario está dividido en seis secciones. Cada sección se concentra en un área específica de
seguridad tomando como base los requisitos incluidos en la Norma de Seguridad de Datos de la
Industria de Tarjetas de Pago. En cualquier pregunta que se responda N/A (No Aplica) deberá adjuntarse
una explicación breve.
Lo siguiente se deberá incluir con el cuestionario de auto-evaluación y los resultados del escán
perimétrico del sistema:
Información de la Organización
NOMBRE DE LA NOMBRES
EMPRESA: BAJO LOS
CUALES
OPERA:
TELÉFONO: CORREO
ELECTRÓNICO:
Clasificación de la Evaluación
Después de llenar cada sección de la evaluación, los usuarios deberán llenar los cuadros de clasificación
de la manera siguiente:
A TODAS las preguntas se responde Verde – El comercio o proveedor de servicio cumple con la
“Sí” o “N/A” parte de auto-evaluación de la Norma de Seguridad de los
Datos de la Industria de Tarjetas de Pago (PCI)
Nota: Si la respuesta es “N/A”, adjunte una breve explicación.
A CUALQUIER pregunta se responde Roja – No se considera que el comercio o proveedor de
“no” servicio cumple. Para cumplir con las normas los riesgos deben
eliminarse y debe volverse a hacer la auto-evaluación para
demostrar el cumplimiento.
Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del
funcionario de conocer la información.
DESCRIPCIÓN RESPUESTA
Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un
computador.
DESCRIPCIÓN RESPUESTA
Requisito 10: Rastrear y monitorear todo el acceso a los recursos de la red y datos de
los tarjetahabientes.
DESCRIPCIÓN RESPUESTA
Glosario
TÉRMINO DEFINICIÓN
Consola Una pantalla y un teclado que permiten obtener acceso al servidor / unidad
(Console) mainframe en un ambiente de red y controlarlos.
Glosario
TÉRMINO DEFINICIÓN
Control de Acceso Medidas que limitan el acceso a la información o a los recursos que procesan la
información a las personas y aplicaciones autorizadas.
(Access control)
Control dual Un método para preservar la integridad de un proceso requiriendo a varias
(Dual Control) personas que independientemente actúen de cierta manera antes que se
completen ciertas transacciones.
Cookies Una cadena de datos que intercambian un servidor de Web y un navegador de
Web para mantener una sesión. Pueden contener las preferencias del usuario e
información personal.
Cortafuego El hardware y/o software que protege los recursos de una red de los usuarios de
(Firewall) otras redes. Típicamente una empresa que tiene una intranet y permite a sus
empleados tener acceso a Internet debe tener un cortafuego para evitar que
personas ajenas a la empresa puedan acceder a los recursos y datos privados
de la misma.
Cosecha de cuentas Un método que se utiliza para averiguar los números de cuentas de usuarios
(Account harvesting) existentes probándolas múltiples veces para tratar de adivinar el número. Dar
demasiada información en un mensaje de error podría ser una forma de divulgar
información que ayude a un atacante a penetrar o comprometer la seguridad del
sistema.
Datos confidenciales Datos que, de ser divulgados en forma no autorizada, se podrían usar en una
del tarjetahabiente transacción fraudulenta. Incluyen el número de cuenta, los datos de la banda
magnética, los valores de verificación de tarjeta (CVC2/CVV2) y la fecha de
(Sensitive cardholder
vencimiento.
data)
Datos de la Pista o Los datos codificados en la banda magnética se utilizan para fines de
Banda Magnética autorización durante una transacción en un ambiente de tarjeta presente. Las
(Magnetic Stripe Data entidades tal vez no retengan todos los datos de la banda magnética después de
o rack Data) autorizarse la transacción. Específicamente, después de la autorización se
deben purgar los códigos de servicio, los datos discrecionales y del valor de
verificación de tarjeta, y los valores reservados para Visa. No obstante, es
posible extraer y retener el número de cuenta, la fecha de vencimiento y el
Glosario
TÉRMINO DEFINICIÓN
nombre de la cuenta.
Datos de los Todos los datos del tarjetahabiente y su relación con el Miembro que son
tarjetahabientes identificables en forma personal (número de cuenta, fecha de vencimiento de la
(Cardholder data) tarjeta, datos proporcionados por el Banco Miembro, otros datos electrónicos que
compila el comercio, etc.). Este término también se refiere a otros tipos de
información personal que se compilan acerca del tarjetahabiente, como
direcciones, números de teléfono, etc.).
Datos de transacción Datos relacionados con un pago electrónico.
(Transaction data)
Dirección de Internet Una dirección de Internet (o Protocolo de Internet) es un código numérico que
(IP) identifica en forma única a un computador particular en la Internet.
(IP address)
DMZ (abreviatura de Una red que se agrega entre una red privada y una red pública para proporcionar
zona eesmilitarizada, una capa adicional de seguridad al sistema.
de-militarized zone)
Egreso El tráfico que sale de la red.
(Egress)
Encriptación El proceso de convertir la información a un formato ininteligible para toda
(Encryption) persona, excepto la que tenga una clave criptográfica específica. El uso de la
encriptación protege la información contra la divulgación no autorizada hasta que
se realiza el proceso de decriptación (lo inverso de encriptación) para descifrar la
misma.
Escán de Una herramienta automatizada que verifica los sistemas de un comercio o
vulnerabilidad proveedor de servicio para detectar vulnerabilidades. Los escanes identifican las
(Vulnerability Scan) vulnerabilidades en los sistemas operativos, servicios y dispositivos que podrían
utilizar los delincuentes que roban datos de los computadores para penetrar la
red privada de la empresa.
Escán Perimétrico de Una herramienta automatizada que remotamente verifica los sistemas de un
Sistema comercio o de un proveedor de servicio para detectar vulnerabilidades. Esta
(System Perimeter prueba de carácter no intrusivo implica un sondeo de los sistemas con
Scan) direcciones de conexión externa con Internet y reportar los servicios disponibles
hacia la red externa (por ejemplo, servicios disponibles en Internet). Los escanes
identifican las vulnerabilidades de los sistemas operativos, servicios y
dispositivos que podrían utilizar los delincuentes para penetrar la red privada de
la empresa.
Funcionario de La persona que asume la responsabilidad primaria por los asuntos relacionados
Seguridad con la seguridad de la organización.
(Security Officer)
Host El hardware principal donde reside el software.
ID de Usuario Una cadena de caracteres que se usa para identificar en forma única a cada
Glosario
TÉRMINO DEFINICIÓN
(UserID) usuario de un sistema.
Ingreso El tráfico que entra en la red.
(Ingress)
Inyección de SQL Una forma de ataque a un sitio Web accionado por base de datos, en la cual el
(SQL injection) atacante ejecuta comandos SQL no autorizados, aprovechando como ventaja un
código no seguro en un sistema conectado a Internet. Los ataques por inyección
de SQL se usan para robar información de una base de datos, donde los datos
normalmente no estarían disponibles y/o para obtener acceso a los
computadores host de una organización a través del computador que hospeda la
base de datos.
ISO 8583 Una norma establecida para las comunicaciones entre sistemas financieros.
Network Address La traducción de una dirección de Protocolo de Internet (IP) utilizada dentro de
Translation (NAT) una red a otra dirección de Protocolo de Internet diferente conocida dentro de
otra red.
Nombre bajo el cual DBA significa “Doing Business As”, el nombre bajo el cual opera una empresa.
opera Los niveles de validación de cumplimiento están basados en el volumen de
(DBA) transacciones de una empresa que opera bajo otro nombre (DBA) o una cadena
de tiendas (no de una corporación que sea propietaria de varias cadenas).
Número de cuenta El número de la tarjeta de pago (de crédito o débito) que identifica al Emisor y el
(Account number) número particular de cuenta del tarjetahabiente.
Glosario
TÉRMINO DEFINICIÓN
penetración pruebas implican un intento de penetrar el sistema para que el que lo prueba
(Penetration Test) pueda reportar las vulnerabilidades halladas y sugerir medidas que mejorarán la
seguridad.
Red Una red consiste en dos o más computadores conectados entre sí para poder
compartir los recursos.
(Network)
Registro de auditoría Un registro cronológico de actividades del sistema que permite reconstruir,
(Audit Log) revisar y examinar la secuencia de los ambientes y las actividades realizadas
para llevar a cabo una operación, un procedimiento o un evento en una
transacción desde que esta comienza hasta su resultado final, o que conducen a
este. Algunas veces se le llama específicamente pista de auditoría de seguridad.
Resistente a Se dice que un sistema es resistente a alteraciones si resulta difícil modificarlo o
alteraciones subvertirlo, aun en el caso de un atacante que tenga acceso físico al sistema.
(Tamper-resistance)
Respaldo Una copia duplicada de los datos que se hace para fines de archivo o para
(Backup) proteger contra daños o pérdidas.
Glosario
TÉRMINO DEFINICIÓN
encripta el canal entre el navegador y el servidor de Web para garantizar la
privacidad y confiabilidad de los datos transmitidos a través de ese canal.
Supervisión o Ver la actividad de una red.
monitoreo
(Monitoring)
Tarjetahabiente El cliente a quien se ha emitido una tarjeta o la persona autorizada para usar la
(Cardholder) tarjeta.