Lista de Verificación de Cumplimiento de PCI: Cómo Lograr el Cumplimiento en 2024

Lista de Verificación de Cumplimiento de PCI: Cómo Lograr el Cumplimiento en 2024

July 30, 2024

Un escaneo rápido de los más de 300 controles, 12 requisitos y seis objetivos de control del PCI DSS dejará algo muy claro: el cumplimiento de PCI no es un paseo por el parque.

Para hacer el proceso un poco más fácil, hemos creado una lista de verificación que repasa cada uno de los 12 requisitos y destaca los pasos clave de políticas, procesos e implementación.

Nuestra lista de verificación te ayudará a marcar la mayor cantidad posible de estas tareas antes de comenzar el proceso formal de cumplimiento de PCI DSS.

Vamos a profundizar.

Revisión rápida: ¿Qué es el cumplimiento de PCI?

PCI DSS, que significa Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago, es un mandato de las principales compañías de tarjetas de crédito para estandarizar la protección de los datos de la cuenta. PCI proporciona pautas claras sobre cómo capturar, procesar y almacenar estos datos sensibles.

El cumplimiento de PCI es obligatorio para cualquier empresa que procese, almacene, transmita o impacte la seguridad de los datos del titular de la tarjeta y/o los datos de autenticación sensibles.

Hay diferentes niveles de cumplimiento que corresponden con la cantidad de transacciones de tarjetas que manejas durante el curso de un año o simplemente basado en el riesgo. Cuantas más transacciones de tarjeta proceses o mayor sea tu nivel de riesgo, más riguroso será tu proceso de auditoría de cumplimiento de PCI.

El incumplimiento puede resultar en multas y sanciones, mayor probabilidad de violaciones de datos y pérdida de la licencia de comerciante o la capacidad para trabajar con procesadores de pago.

El Consejo de Normas de Seguridad de PCI (PCI SSC) crea y actualiza el estándar PCI DSS como parte de un esfuerzo continuo para fomentar y mejorar la seguridad de los datos de cuentas de pago y facilitar la adopción generalizada de medidas de seguridad de datos consistentes a nivel mundial. PCI v4.0.1 es la última versión del estándar.

La Guía Definitiva para PCI DSS

Aprende todo lo que necesitas saber sobre los requisitos, el proceso y los costos de obtener la certificación PCI.

4 pasos clave para adherirse a PCI DSS

El cumplimiento de PCI DSS es un proceso continuo que se puede desglosar en una serie de pasos continuos:

Evaluación de brechas - Usando la herramienta de enfoque prioritario PCI DSS, la plataforma Secureframe o un consultor, o una combinación de los tres, identifica el alcance de tu entorno y evaluación PCI DSS, inventaría todas las ubicaciones de almacenamiento de datos de cuentas, software e infraestructura y comienza a revisar tu implementación de los requisitos y objetivos de PCI DSS.
Auditoría — Si tu organización requiere una auditoría de terceros por parte de un QSA, programar y prepararse para una auditoría sería tu siguiente paso. Secureframe tiene una lista de socios calificados y puede ayudarte a presentarte a socios si tu organización no ha contratado con una firma QSA.
Remediar — Corrige cualquier vulnerabilidad identificada o no conformidades de la auditoría y la fase de evaluación de brechas. Esto puede implicar parchear software, actualizar reglas de firewall, eliminar de manera segura cualquier almacenamiento de datos de cuentas innecesarias o implementar procesos de negocio seguros.
Informar — El auditor luego redactará un informe sobre el cumplimiento o, si estás auto-certificando, utilizarás la plantilla en el sitio web de PCI SSC para atestiguar tu propio cumplimiento con PCI DSS. Luego puedes usar una declaración de cumplimiento para compartir tu cumplimiento de PCI DSS con clientes o agencias solicitantes.

Cumplir con los requisitos técnicos y operativos de PCI DSS puede ayudar a mitigar vulnerabilidades y proteger los datos del titular de la tarjeta y/o los datos de autenticación sensibles dondequiera que se procesen, almacenen o transmitan. Vamos a profundizar en estos requisitos a continuación.

Los 12 requisitos de PCI DSS

El estándar PCI DSS incluye 6 objetivos y 12 requisitos principales con sub-requisitos que indican específicamente qué controles deben estar en su lugar. Los requisitos son una combinación de controles técnicos y operativos diseñados para proteger los datos de la cuenta.

Cada requisito de cumplimiento PCI se asigna a uno de los seis objetivos específicos, que son:

Cada requisito se asigna a uno de los seis objetivos específicos de PCI DSS, que son:

Construir y mantener una red segura
Proteger los datos del titular de la tarjeta
Mantener un programa de gestión de vulnerabilidades
Implementar medidas de control de acceso estrictas
Monitorear y probar regularmente las redes
Mantener una política de seguridad de la información

. Los objetivos y requisitos están enumerados en la imagen a continuación.

Cuando una empresa puede atestiguar que se cumplen todos los requisitos aplicables a su entorno, se considera que cumplen con PCI.

A continuación se presenta una breve descripción de cada requisito.

1 Instalar y mantener controles de seguridad de la red

Las organizaciones deben establecer y mantener los controles de seguridad de la red (NSC) para controlar el tráfico dentro de su red, especialmente en el entorno de datos del titular de la tarjeta (CDE), y para proteger sus sistemas y datos de la exposición a redes no confiables como Internet. Anteriormente, las organizaciones dependían principalmente de cortafuegos físicos para evitar el acceso no autorizado. Ahora, usan dispositivos virtuales, controles de acceso en la nube, sistemas de virtualización/contenedores, routers configurados con listas de control de acceso y otras tecnologías de redes definidas por software además de cortafuegos.

2 Aplicar configuraciones seguras a todos los componentes del sistema

Dado que los individuos malintencionados a menudo utilizan contraseñas predeterminadas y otros ajustes predeterminados del proveedor para comprometer los sistemas, las organizaciones deben aplicar configuraciones seguras a todos los componentes del sistema para reducir el riesgo que estos individuos suponen. Esto significa:

cambiar contraseñas predeterminadas
eliminar software, funciones y cuentas innecesarias
deshabilitar o eliminar servicios innecesarios

3 Proteger los datos de la cuenta almacenados

Las organizaciones deben proteger los datos de la cuenta almacenados implementando métodos de protección robustos como encriptación, truncamiento, enmascaramiento y hashing. También deben estar en su lugar políticas de retención y disposición de datos para minimizar la duración del almacenamiento y eliminar de manera segura los datos que ya no son necesarios.

4. Proteger los datos del titular de la tarjeta con una criptografía sólida durante la transmisión por redes abiertas y públicas

Las redes inalámbricas mal configuradas y las vulnerabilidades en los protocolos de cifrado y autenticación heredados continúan siendo objetivo de individuos malintencionados para obtener acceso privilegiado a los entornos de datos del titular de la tarjeta. Para protegerse contra el compromiso, las organizaciones deben utilizar protocolos de cifrado sólidos durante la transmisión de datos del titular de la tarjeta por redes abiertas y públicas.

5. Proteger todos los sistemas y redes contra software malicioso

Es fundamental que las organizaciones utilicen soluciones antimalware para proteger los sistemas de todo tipo de malware, como:

virus
gusanos
Troyanos
spyware
ransomware
registradores de teclas
rootkits
código malicioso, scripts y enlaces

Se deben realizar actualizaciones y análisis regulares para garantizar que los sistemas permanezcan protegidos contra amenazas actuales y emergentes.

6. Desarrollar y mantener sistemas y software seguros

Individuos malintencionados también pueden aprovechar vulnerabilidades de seguridad para obtener acceso privilegiado a los sistemas.

Para reducir este riesgo, las organizaciones deben desarrollar y mantener sistemas y software seguros siguiendo las pautas de codificación segura y realizando revisiones de seguridad periódicas. Esto incluye aplicar parches de seguridad proporcionados por los proveedores de manera oportuna para abordar las vulnerabilidades.

7. Restringir el acceso a los componentes del sistema y datos de los titulares de tarjetas según la necesidad de conocimiento del negocio

Los hackers pueden explotar reglas y definiciones de control de acceso ineficaces para obtener acceso no autorizado a datos o sistemas críticos.

Las organizaciones deben establecer sistemas y procesos para limitar el acceso a sistemas, aplicaciones y datos basados en los principios de privilegio mínimo y necesidad de conocimiento. Esto significa que los individuos deben tener el nivel mínimo de privilegios y acceso a la menor cantidad de datos necesaria para realizar su trabajo.

8. Identificar a los usuarios y autenticar el acceso a los componentes del sistema

Las organizaciones deben implementar medidas de control de acceso sólidas para garantizar que solo las personas autorizadas puedan acceder a los componentes del sistema. Esto incluye el uso de autenticación multifactor y identificadores únicos para todos los usuarios, eliminar o desactivar las cuentas de usuario inactivas y establecer requisitos de contraseña.

9. Restringir el acceso físico a los datos del titular de la tarjeta

El acceso físico a los datos del titular de la tarjeta o a los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta debe restringirse para evitar el acceso no autorizado. Esto implica asegurar los lugares físicos donde se almacenan los datos y garantizar que el acceso se otorgue solo al personal autorizado.

10. Registrar y monitorear todo acceso a los componentes del sistema y datos del titular de la tarjeta

Debe haber un registro y monitoreo completo de todo acceso a los componentes del sistema y los datos del titular de la tarjeta para prevenir, detectar o minimizar el impacto de un compromiso de datos. Los registros deben revisarse periódicamente para detectar y responder a accesos no autorizados o anomalías.

11. Probar regularmente la seguridad de los sistemas y redes

Las vulnerabilidades son constantemente descubiertas por individuos malintencionados e introducidas por nuevo software. Las organizaciones deben probar regularmente los sistemas de seguridad, procesos y software a través de evaluaciones de vulnerabilidades, pruebas de penetración y otros métodos de pruebas de seguridad para garantizar que los controles de seguridad sean efectivos en un entorno cambiante y para identificar y abordar cualquier nueva vulnerabilidad.

12. Apoyar la seguridad de la información con políticas y programas organizativos

Un programa sólido de seguridad de la información apoyado por políticas organizativas es crucial para garantizar que todo el personal esté consciente de la sensibilidad de los datos del titular de la tarjeta y de sus responsabilidades para protegerlos. Esto requiere que las organizaciones:

mantengan políticas de seguridad de la información y de uso aceptable
identifiquen, evalúen y gestionen riesgos para el entorno de datos del titular de la tarjeta
lleven a cabo programas regulares de formación y concienciación para empleados
gestionen riesgos de terceros

Lista de verificación de cumplimiento PCI DSS

Hemos creado una lista de verificación interactiva para ayudarte a comenzar tu camino hacia el cumplimiento. Si bien nuestra lista de verificación no es exhaustiva, proporciona un punto de partida fundamental al prepararse para el cumplimiento de PCI DSS.

PCI DSS compliance checklist

Requirement 1

Install and maintain network security controls

Goal: Build and maintain a secure network and systems

Policy and process requirements:

Document the testing and approval of network changes

Develop and maintain configuration standards for network security controls (NSCs)

Document the review of configurations of NSCs every six months

Document ports, portals, and services justification for every inbound and outbound rule

Implementation requirements:

Configure and implement secure NSC settings and rules

Configure network segmentation and network subnets to restrict connections between trusted networks and any external untrusted network

Prevent public direct access between the internet and any system component in the internal cardholder data environment (CDE)

Install NSCs on all internet-connected portable devices that are also used to access the cardholder data environment

Implement security features for any insecure services utilized within the cardholder data environment

Install NSCs, such as perimeter firewalls, between all wireless networks and the cardholder data environment

Requirement 2

Apply secure configurations to all system components

Goal: Build and maintain a secure network and systems

Policy and process requirements:

Document security policies and processes to manage vendor default settings and vendor security best practice documentation

Develop and maintain configuration standards for all system components

Create and maintain a wireless network security policy

Implementation requirements:

Change all vendor-supplied defaults and remove or disable unnecessary default accounts before installing a system on your network

Remove or disable any unnecessary functionality that is enabled by default, such as scripts, drivers, features, subsystems, file systems, interfaces, and unnecessary web servers

Change all wireless vendor defaults at installation for wireless environments that connect to the cardholder data environment or that transmit cardholder data

Implement all systems utilizing documented configuration standards and vendor best practice

Encrypt all non-console administrative access utilizing strong cryptography

Requirement 3

Protect stored account data

Goal: Protect account data

Policy and process requirements:

Document a data retention and disposal policy detailing retention time requirements and a secure process for deletion of data

Define a quarterly process for regularly identifying and deleting stored account data that exceeds the retention period

Document a key management policy and process defining the secure generation, storage, and distribution of encryption keys

Implementation requirements:

Verify sensitive authentication data is not being stored (such as the card verification code or PIN) after authorization, even if it is encrypted

Implement a strong key management process including secure storage configurations and restricting access to only required key custodians

Verify PAN is unreadable whenever stored and masked when displayed. Only explicitly authorized personnel should be able to view unmasked PAN

Requirement 4

Protect cardholder data with strong cryptography during transmission over open, public networks

Goal: Protect account data

Policy and process requirements:

Document the cryptography and security protocols in place for encrypting cardholder data when transmitted over open public networks with strong cryptography

Document the configuration standards for implementing strong authentication and transmission encryption for wireless networks transmitting PAN or connected to the CDE

Document the process for acceptance of trusted keys and certificates

Implementation requirements:

Identify all locations where cardholder data is being sent over public networks and verify strong encryption is being used

Verify when PAN is sent over end-user messaging technologies, the PAN data is unreadable or secured utilizing strong cryptography

Ensure only trusted keys and certificates are accepted

Requirement 5

Protect all systems and networks from malicious software

Goal: Maintain a vulnerability management program

Policy and process requirements:

Maintain policies for anti-malware including how the software detects, removes, and protects against all known types and forms of malicious software

Put processes and automated mechanisms in place to detect and protect personnel against phishing attacks

Implementation requirements:

Verify anti-malware software is kept current, performs periodic scans, and generates audit logs

Ensure anti-malware software is actively running and cannot be disabled by users on all systems commonly affected by malware

Implement and maintain anti-phishing controls

Requirement 6

Develop and maintain secure systems and software

Goal: Maintain a vulnerability management program

Policy and process requirements:

Document a process to identify new security vulnerabilities and assign vulnerability risk ratings

Document change control policies and procedures

Document a software development policy including secure coding techniques and processes for addressing common coding vulnerabilities

Implementation requirements:

Perform vulnerability assessments against web applications or use an automated technical solution such as a web application firewall

Protect systems from known vulnerabilities by installing applicable vendor security patches

Verify software is developed based on industry standards or best practice and developed in accordance with PCI DSS standards including security throughout the development lifecycle

Ensure code reviews are being performed for all production code changes by an individual other than the author

Providing training to software developers at least once every 12 months

Requirement 7

Restrict access to system components and cardholder data by business need to know

Goal: Implement strong access control measures

Policy and process requirements:

Document a policy for access control that addresses access need and privilege assignment, least privilege, and job classifications

Implementation requirements:

Inspect system access regularly to determine that privileges assigned are necessary for the job function and are restricted to least privilege

Requirement 8

Identify users and authenticate access to system components

Goal: Implement strong access control measures

Policy and process requirements:

Document a policy and process for the creating, revoking, and modification of access

Document a policy for the management of user IDs including password policy, lockout duration, authentication methods, and user guidance on credential usage

Implementation requirements:

Remove or disable any accounts within 90 days of inactivity

Ensure passwords have a minimum length of 12 characters and contain both alphabetic and numeric characters

Change user passwords at least every 90 days if used as the only authentication factor

Ensure all non-console administrative access and remote access into the cardholder data environment requires multi-factor authentication

Do not use generic accounts and do not utilize shared accounts for administrative or critical functions

Requirement 9

Restrict physical access to cardholder data

Goal: Implement strong access control measures

Policy and process requirements:

Develop a policy for managing, securing, and destroying physical media

Document a procedure for identifying new onsite personnel and visitors, changing access requirements, and revoking terminated onsite personnel and expired visitor identification

Implementation requirements:

Implement facility entry controls and security controls to limit and monitor physical access to areas containing cardholder data

Implement a visitor security program including the use of visitor authorization, visitor badges, and visitor logs

Verify physical media management includes securely storing, distributing, and classifying media

Maintain a list of point of interaction (POI) devices and periodically inspect devices for tampering or substitution

Requirement 10

Log and monitor all access to system components and cardholder data

Goal: Regularly monitor and test networks

Policy and process requirements:

Document policies and procedures for monitoring and reviewing log files daily

Review and document logs and security events for all system components to identify abnormalities or suspicious activity

Implementation requirements:

Implement automated audit trails for all system components for the following events:

All individual access to cardholder data

All actions taken by any individual with root or administrative privileges

Access to all audit trails

Invalid logical access attempts

Use of and changes to identification and authentication mechanisms, including:

All elevation of privileges

All changes, additions, or deletions to any account with root or administrative privileges

Initialization of audit logs

Stopping or pausing of audit logs

Creation and deletion of system level objects

Verify audit logs are retained for three months which are immediately available and one year archived

Requirement 11

Test security systems and networks regularly

Goal: Regularly monitor and test networks

Policy and process requirements:

Document a process for identifying and removing unauthorized wireless access points and inventory all authorized wireless access points in use

Document a methodology used for penetration testing based on industry-accepted penetration testing approaches

Implementation requirements:

Perform quarterly internal vulnerability scans and complete quarterly external scans utilizing an approved scanning vendor

Perform internal and external penetration testing annually and after any significant infrastructure or application upgrade or modification. Segmentation testing must be performed bi-annually for service providers

Implement intrusion detection or preventions systems to monitor all traffic at the perimeter of the cardholder data environment

Implement a change detection mechanism such as file integrity monitoring to generate alerts for unauthorized modification of system and configuration files

Requirement 12

Support information security with organizational policies and programs

Goal: Maintain an information security policy

Policy and process requirements:

Document an information security policy which is reviewed annually and changed in relation to the risk environment or business objectives

Document a risk assessment process which includes how to identify assets, threats, and vulnerabilities

Document acceptable use policies for all technologies and products in use

Document an incident response plan and procedures to ensure your organization is prepared to respond immediately to a system breach

Document the responsibility of third-party service providers and perform due diligence against their compliance efforts

Document PCI DSS scope at least once every 12 months and after significant changes

Implementation requirements:

Formally assign information security responsibilities to the appropriate personnel

Train all personnel on cardholder data security awareness and require personnel to acknowledge they understand all applicable policies and procedures at least annually

Perform background screening of prospective employees within constraints of the local law

Review and test the incident response plan at least annually

Para obtener una copia tangible de la lista de verificación anterior, puede descargar nuestro PDF de lista de verificación de cumplimiento PCI a continuación.

Lista de verificación de cumplimiento PCI

Esta lista de verificación paso a paso lo guiará a través del proceso de preparación para el cumplimiento de PCI DSS.

Requisitos adicionales para proveedores de servicios y emisores

Hay requisitos adicionales específicamente para proveedores de servicios y emisores que no hemos cubierto en nuestra lista de verificación anterior. Para ver una lista completa de todo lo que se requiere de usted, visite el sitio web oficial de PCI Security Standards.

Cómo Secureframe puede ayudar a simplificar el proceso de cumplimiento de PCI DSS

Si la lista de verificación anterior parece abrumadora, sepa que no tiene que pasar solo por el proceso de cumplimiento de PCI.

Secureframe tiene expertos en PCI que pueden ayudarlo en cada paso.

Como cliente de Secureframe, puede comunicarse con su gerente de cumplimiento para tener una discusión detallada sobre su entorno y alcance actuales para ayudar a determinar exactamente qué controles son aplicables a usted y cómo puede implementarlos dentro de su entorno para cumplir con la última versión de PCI DSS.

Luego puede usar la plataforma Secureframe para asignar propietarios a tareas, controles y revisiones, gestionar la finalización de la capacitación en concienciación sobre seguridad y la aceptación de políticas, completar su evaluación de riesgos y remediar pruebas automatizadas con el apoyo de nuestros gerentes de cumplimiento. Los gerentes de cumplimiento de Secureframe también pueden ayudarlo a realizar una evaluación de preparación antes de su auditoría para que pueda estar seguro de su cumplimiento de PCI DSS v 4.0.1 antes de que su auditor realice la evaluación real.

Finalmente, puede seleccionar uno de nuestros QSA socios para realizar el trabajo de campo directamente dentro de la plataforma.

Solicite una demostración para obtener más información sobre cómo nuestra plataforma de automatización de cumplimiento puede simplificar el proceso de cumplimiento de PCI.

Preguntas frecuentes

¿Qué es la lista de verificación de cumplimiento de PCI DSS?

Una lista de verificación de cumplimiento de PCI DSS es una herramienta diseñada para ayudar a una organización a evaluar su cumplimiento con el marco PCI DSS y asegurarse de haber completado los pasos esenciales para prepararse para una auditoría exitosa. Usando la lista de verificación, las organizaciones pueden marcar las casillas para visualizar su nivel de preparación para la auditoría e identificar rápidamente cualquier brecha que necesiten remediar antes de someterse a una auditoría.

¿Cuáles son los pasos para cumplir con PCI DSS?

Los pasos para cumplir con PCI DSS incluyen implementar controles para cumplir con los 12 requisitos de PCI DSS, que especifican el marco para un entorno de pagos seguro, y completar ya sea un informe completo sobre el cumplimiento o un cuestionario de autoevaluación para evaluar si tus controles cumplen con los 12 requisitos. Durante una evaluación de preparación o la evaluación en sí, un QSA puede documentar cualquier brecha en tus controles y proporcionar una lista de elementos de remediación. Por lo tanto, el proceso de cumplimiento de PCI DSS se puede dividir en tres pasos esenciales: Evaluar, Reparar e Informar.

¿Cuál es el primer paso para cumplir con PCI DSS?

El primer paso para cumplir con PCI DSS es determinar qué nivel de cumplimiento necesitas. Esto depende de si eres un comerciante o un proveedor de servicios y de algunos otros factores, incluidos el tamaño de tu organización, el número de transacciones anuales con tarjeta de crédito y los requisitos de tus clientes o del banco adquirente. Una vez que hayas determinado el nivel PCI DSS que te corresponde, puedes implementar políticas, procedimientos y controles para cumplir con los 12 requisitos.

¿Quién administra PCI DSS?

Los estándares de seguridad PCI DSS y relacionados son administrados por el Consejo de Normas de Seguridad PCI, que fue fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.

Producto

Gestión de Riesgos

Revisiones de Seguridad de Proveedores

Frameworks Soportados

Soluciones

Principales Frameworks

Tipos de Socios

Programa de Socios

Recursos de Seguridad y Cumplimiento

Recursos del Marco

Recursos para Clientes

Empresa

¿Qué es el cumplimiento de PCI?

4 pasos clave para adherirse a PCI DSS

Los 12 requisitos de PCI DSS

Lista de verificación de cumplimiento PCI

PDF de la lista de verificación de cumplimiento PCI

Lista de Verificación de Cumplimiento de PCI: Cómo Lograr el Cumplimiento en 2024

Revisión rápida: ¿Qué es el cumplimiento de PCI?

La Guía Definitiva para PCI DSS

4 pasos clave para adherirse a PCI DSS

Los 12 requisitos de PCI DSS

1 Instalar y mantener controles de seguridad de la red

2 Aplicar configuraciones seguras a todos los componentes del sistema

3 Proteger los datos de la cuenta almacenados

4. Proteger los datos del titular de la tarjeta con una criptografía sólida durante la transmisión por redes abiertas y públicas

5. Proteger todos los sistemas y redes contra software malicioso

6. Desarrollar y mantener sistemas y software seguros

7. Restringir el acceso a los componentes del sistema y datos de los titulares de tarjetas según la necesidad de conocimiento del negocio

8. Identificar a los usuarios y autenticar el acceso a los componentes del sistema

9. Restringir el acceso físico a los datos del titular de la tarjeta

10. Registrar y monitorear todo acceso a los componentes del sistema y datos del titular de la tarjeta

11. Probar regularmente la seguridad de los sistemas y redes

12. Apoyar la seguridad de la información con políticas y programas organizativos

Lista de verificación de cumplimiento PCI DSS

PCI DSS compliance checklist

Install and maintain network security controls

Policy and process requirements:

Implementation requirements:

Apply secure configurations to all system components

Policy and process requirements:

Implementation requirements:

Protect stored account data

Policy and process requirements:

Implementation requirements:

Protect cardholder data with strong cryptography during transmission over open, public networks

Policy and process requirements:

Implementation requirements:

Protect all systems and networks from malicious software

Policy and process requirements:

Implementation requirements:

Develop and maintain secure systems and software

Policy and process requirements:

Implementation requirements:

Restrict access to system components and cardholder data by business need to know

Policy and process requirements:

Implementation requirements:

Identify users and authenticate access to system components

Policy and process requirements:

Implementation requirements:

Restrict physical access to cardholder data

Policy and process requirements:

Implementation requirements:

Log and monitor all access to system components and cardholder data

Policy and process requirements:

Implementation requirements:

Test security systems and networks regularly

Policy and process requirements:

Implementation requirements:

Support information security with organizational policies and programs

Policy and process requirements:

Implementation requirements:

Lista de verificación de cumplimiento PCI

Requisitos adicionales para proveedores de servicios y emisores

Cómo Secureframe puede ayudar a simplificar el proceso de cumplimiento de PCI DSS

Preguntas frecuentes