¿Cuál de los siguientes es un ejemplo de medidas contra la suplantación de identidad aplicadas en un NSC perimetral? Se impide el acceso al CDE al tráfico que se origina en Internet y tiene una dirección IP externa El tráfico que se origina en el CDE y tiene una dirección IP orientada a Internet no puede acceder a Internet El tráfico que se origina en Internet y tiene una dirección IP externa no puede acceder a la red interna. Se impide que el tráfico que se origina en el CDE y tiene una dirección IP externa acceda a los datos de la cuenta.
¿Qué escenario cumple con los requisitos de PCI DSS para el historial de contraseñas? Las contraseñas caducan cada 60 días y no se pueden utilizar las 2 últimas Las contraseñas caducan cada 90 días y no se pueden utilizar las 4 últimas. Las contraseñas caducan cada 120 días y no se pueden utilizar las 4 últimas. Las contraseñas caducan cada 90 días, y las 2 últimas contraseñas no se pueden utilizar.
¿Cuál es la intención de asignar una clasificación de riesgo a las vulnerabilidades? Garantizar que todas las vulnerabilidades se solucionan en un plazo de 30 días Sustituir la necesidad de escaneos ASV trimestrales Para priorizar los elementos de mayor riesgo para que puedan abordarse más rápidamente. Para garantizar que los parches de seguridad críticos se instalan al menos trimestralmente.
¿Qué protocolo puede utilizarse para proteger el acceso de un administrador que no sea de consola a un componente del sistema en el entorno de datos de titulares de tarjetas? SSL V1.0 SSH V1.1 TLS v1.2 SSL v2.1.
Si el Asesor selecciona la opción "En cumplimiento" en la plantilla de informe ROC, ¿qué información debe facilitarse en la respuesta para ese requisito? Detalles del plan de proyecto de la entidad para aplicar el requisito Detalles de cómo observó el Asesor que los sistemas de la entidad cumplían el requisito. Detalles del motivo de la entidad para no aplicar el requisito. Detalles de cómo el Asesor observó que los sistemas de la entidad no cumplían el requisito.
¿Cuál de las siguientes actividades debe realizar el asesor para verificar que las contraseñas de los usuarios se cambian según lo requerido por PCI DSS? Adelantar el reloj del sistema 60 días para ver si las contraseñas caducan. Exigir a un usuario que cambie su contraseña, y volver en 90 días para ver si ha caducado. Revisar los ajustes de configuración del sistema para verificar que las contraseñas deben cambiarse a los 90 días. Entrevistar al personal de la mesa de servicio para verificar que las contraseñas de los usuarios se desactivan cada 60 días.
El requisito de PCI DSS para realizar inspecciones periódicas de dispositivos de lectura de tarjetas incluye ¿cuál de los siguientes? Examinar las superficies de los dispositivos para identificar posibles manipulaciones o sustituciones Sustituir los dispositivos para que no se utilicen en el mismo lugar durante un periodo de tiempo prolongado Intentar forzar la carcasa del dispositivo para determinar si puede resistir una manipulación física. Sustituir las pegatinas de seguridad y los mecanismos antimanipulación después de cada inspección.
¿Qué proceso exige la norma PCI DSS para proteger los dispositivos de lectura de tarjetas en el punto de venta? Los dispositivos se inspeccionan periódicamente para detectar skimmers de tarjetas no autorizados. El número de serie de cada dispositivo se verifica periódicamente con el fabricante del dispositivo. Los identificadores y etiquetas de seguridad de los dispositivos se sustituyen periódicamente Los dispositivos se destruyen físicamente si se sospecha que están en peligro.
¿Cuál de las siguientes afirmaciones es cierta en relación a la pista de banda magnética o con los datos equivalentes a la pista en el chip de una tarjeta de pago? Los comerciantes pueden almacenarlos después de la autorización, si están cifrados. Son datos sensibles de autenticación. Está fuera del ámbito de aplicación de PCI DSS. No es aplicable al requisito 3 de PCI DSS.
¿Qué debe verificar el Asesor al comprobar que los datos de los titulares de tarjetas están protegidos dondequiera que se envíen por Internet? El protocolo de seguridad está configurado para soportar versiones anteriores. El nivel de cifrado es adecuado para la tecnología utilizada. El protocolo de seguridad está configurado para aceptar todos los certificados digitales. Los datos del titular de la tarjeta se borran de forma segura una vez enviada la transmisión.
Como se define en el requisito 8, ¿cuál es la complejidad mínima de las contraseñas de los usuarios si el sistema no admite 12 caracteres? 5 caracteres, ya sea alfabéticos o numéricos. 6 caracteres, ya sea alfabéticos o numéricos. 7 caracteres, caracteres alfabéticos o numéricos. 8 caracteres, tanto caracteres alfabéticos o numéricos.
De conformidad con el requisito 10 de PCI DSS, ¿cuánto tiempo debe conservarse los logs de auditoría? Al menos 1 año, con 3 meses inmediatamente disponibles. Al menos 2 años, con 3 semanas inmediatamente disponibles. Al menos 2 años, con 1 mes inmediatamente disponible Al menos 3 meses, con 1 mes inmediatamente disponible.
¿Qué escenario cumple el objetivo del requisito de PCI DSS para asignar a los usuarios el acceso a los datos de los titulares de tarjetas? El acceso se asigna a todos los usuarios en función de las necesidades de acceso del usuario con menos privilegios. El acceso se asigna a los usuarios individuales en función del mayor privilegio de acceso disponible. El acceso es asignado a un usuario individual basado en los privilegios necesarios para realizar su trabajo. El acceso es asignado a un grupo de usuarios basado en los privilegios del usuario de mayor jerarquía en el grupo.
Si los datos de los titulares de tarjetas de un comerciante se comparten con proveedores de servicios, o podrían verse afectados por proveedores de servicios, ¿qué debe mantener el comerciante? Copias de los Informes de Cumplimiento (ROC) de los proveedores de servicios durante al menos tres años. Un programa para visitar las ubicaciones de los proveedores de servicios al menos trimestralmente. Una lista de todos los clientes a los que tienen acceso los proveedores de servicios. Acuerdos con los proveedores de servicios y un programa para supervisar su estado de cumplimiento.
¿Qué usuarios deberían tener acceso limitado a los registros / logs de auditoría? Individuos con privilegios de usuario. Personas con acceso de lectura/escritura. Personas con privilegios de administrador. Individuos con una necesidad relacionada con el trabajo.
¿Cuál de los siguientes es un requisito de los proveedores de servicios multiarrendatario (multi-tenant)? Garantizar que las entidades alojadas no puedan acceder al entorno de datos de titulares de tarjetas de otra entidad. Proporcionar a las entidades alojadas acceso a los archivos de configuración del sistema del proveedor de alojamiento. Proporcionar a las entidades hospedadas un identificador de uso compartido para acceder a los binarios críticos del sistema. Garantizar que los archivos de registro de la entidad hospedada estén disponibles para todas las entidades hospedadas.
Si una entidad no utiliza tecnología de redes inalámbricas en ningún lugar de su entorno, ¿qué debe hacer el Asesor para validar el requisito 11.2 de PCI DSS (Se identifican y supervisan los puntos de acceso inalámbricos y se abordan los puntos de acceso inalámbricos no autorizados) para el informe de conformidad (ROC)? Seleccionar ""Implementado con CCW"" en el ROC, e incluir una hoja de trabajo de control compensatorio que describa cómo no se utiliza la tecnología inalámbrica. Realice los procedimientos de prueba del requisito 11.2 y seleccione "" In Place"" o "" Not in Place"" en el ROC según corresponda a las conclusiones del Asesor. Inspeccione el entorno para comprobar que no hay redes inalámbricas, seleccione "N/A" para el requisito 11.2 en el ROC y documente que la entidad no utiliza redes inalámbricas. Seleccione ""No comprobado"" para el requisito 11.2 en el RPC y documente que la entidad no utiliza tecnología inalámbrica.
¿Cuál de las siguientes afirmaciones sobre los proveedores de servicios es cierta? Los proveedores de servicios deben informar de su cumplimiento al PCI SSC. Un proveedor de servicios también puede ser un comerciante. Un proveedor de servicios también es miembro de una marca de pago. Las pasarelas de pago de transacciones no se consideran proveedores de servicios.
¿Qué escenario describe un entorno de proveedor de servicios multiarrendatario (multi-tenant) que cumple los requisitos de PCI DSS? Sólo los usuarios designados de cada entidad alojada tienen acceso de escritura a los binarios compartidos del sistema Las aplicaciones de cada entidad alojada se ejecutan bajo la cuenta administrativa del proveedor de alojamiento. Los archivos de registro de una entidad alojada sólo pueden ser vistos por otras entidades alojadas en el mismo servidor. Las aplicaciones de una entidad hospedada se ejecutan bajo un ID de usuario único asignado a esa entidad hospedada.
¿Qué afirmación es cierta en relación con el uso de software de pago validado que figura en el sitio web del PCI SSC? Se requiere el uso de software validado para las soluciones P2PE. El software validado entra en el ámbito de aplicación de la evaluación PCI DSS del comerciante. Se requiere el uso del software validado para el cumplimiento de PCI DSS Todas las aplicaciones del entorno de datos de titulares de tarjetas del comerciante deben figurar en el sitio web de PCI DSS.
¿Qué afirmación es cierta en relación con el requisito de PCI DSS de acuerdos por escrito entre las entidades y sus proveedores de servicios? Los acuerdos por escrito deben incluir la redacción exacta especificada en la norma PCI DSS. La redacción utilizada en un acuerdo escrito dependerá de la relación concreta entre las dos partes. Los acuerdos escritos deben actualizarse cada 6 meses. Los proveedores de servicios deben mantener los acuerdos escritos durante al menos 3 años.
¿Qué afirmación es cierta en relación con los emisores? Los emisores no necesitan realizar ninguna prueba para el Requisito 3 PCI DSS no es aplicable a los emisores Los emisores deben tener una justificación comercial documentada para todo almacenamiento de datos de autenticación confidenciales. Los emisores no deben almacenar datos sensibles de autenticación después de la autorización.
¿Cuál de los siguientes es un modo eficaz para que un comerciante reduzca el alcance de su evaluación PCI DSS? No almacenar los datos de los titulares de tarjetas. Cifrar los datos de los titulares de tarjetas Enmascarar los datos de los titulares de tarjetas. Almacenar los datos de los titulares de tarjetas en bases de datos.
¿Cuál de las siguientes afirmaciones es cierta en relación con los controles compensatorios? No es necesario un control compensatorio si se cumplen todos los demás requisitos de las PCI DSS. Un control compensatorio debe abordar el riesgo asociado al incumplimiento del requisito PCI DSS. Un requisito PCI DSS existente puede utilizarse como control compensatorio si ya está implantado. Una hoja de trabajo de control compensatorio no es un requisito si la entidad adquirente aprueba el control compensatorio.
¿Qué escenario describe la segmentación del entorno de datos del titular de la tarjeta (CDE) con el fin de reducir el alcance de PCI DSS? Enrutadores que supervisan los flujos de tráfico de red entre el CDE y las redes fuera del ámbito de aplicación. Cortafuegos que registran toda la red LAN virtuales que enrutan el tráfico de red entre el CDE y las redes fuera del alcance Una configuración de red que impida todo el tráfico de red entre el CDE y las redes fuera del ámbito.
¿Cuál de las siguientes opciones podría utilizarse para proporcionar segmentación de red? Sistemas de vigilancia del tráfico con notificaciones activadas. Concentradores, puentes y conectores de red Sistema de detección de intrusiones con registro mejorado. Cortafuegos, routers, listas de control de acceso (ACL).
¿Cuál de los siguientes tipos de eventos debe registrarse? Todo uso de tecnologías de mensajería de usuario final Todo acceso a sitios web externos Todo acceso a todos los registros de auditoría.
Todas las transmisiones de red.
¿Qué entidad determina el volumen de transacción de un comerciante? La PCI SSC. El asesor El comerciante. El adquirente.
¿Qué incluyen los requisitos de PCI DSS para la protección de claves criptográficas? Las claves públicas deben cifrarse con una clave de cifrado. Las claves de cifrado de datos deben ser más potentes que la clave de cifrado que los protege. Las claves privadas o secretas deben cifrarse, almacenarse en un SCD o almacenarse como componentes de clave. Las claves de cifrado de claves y las claves de cifrado de datos deben asignarse al mismo custodio de claves.
¿En cuál de los siguientes lugares es más probable que se encuentren los datos completos de la pista de banda magnética? Grabaciones de audio de las compras por teléfono Bases de datos y archivos de registro de servidores de comercio electrónico. Formularios cumplimentados para compras por correo. Bases de datos y archivos de registro de terminales de punto de venta.
¿Cuál de los siguientes datos puede almacenar un comerciante en una base de datos tras la autorización de una transacción? PAN hasheado, datos Track2 cifrados, nombre del titular de la tarjeta. PAN cifrado, fecha de caducidad, nombre del titular de la tarjeta. PAN cifrado, datos Track2 cifrados, código de servicio PAN hasheado, datos de la pista 1 codificados, fecha de caducidad.
¿Qué afirmación es cierta con respecto a la presencia de las versiones hash y truncada del mismo PAN en un entorno? Se establecen controles para evitar que el PAN original quede expuesto mediante la correlación de las versiones hash y truncada. Las versiones cifradas del PAN también deben truncarse de acuerdo con los requisitos de la PCI DSS sobre criptografía robusta. Las versiones hash y truncadas deben correlacionarse para poder identificar la PAN de origen Las versiones hash y truncadas de un PAN no deben existir en el mismo entorno
.
¿Qué afirmación es cierta en relación con el uso de datos de producción (PAN activas) para pruebas y desarrollo? Los PAN activos sólo pueden utilizarse para pruebas o desarrollo si el entorno de preproducción está protegido con todos los requisitos PCI DSS aplicables. Las PAN activas no deben utilizarse nunca para pruebas y desarrollo Las PAN activas deben utilizarse para pruebas y desarrollo. Todas las PAN activas utilizadas para pruebas y desarrollo deben estar autorizadas por el titular de la tarjeta.
¿Cuál es la intención de registrar las actividades de los usuarios? Restringir el acceso a recursos críticos en función de la necesidad de conocerlos. Para detectar posibles usos indebidos o riesgos. Para verificar que las políticas de seguridad están documentadas, en uso y conocidas por todas las partes afectadas. Identificar el uso de contraseñas débiles en el entorno.
¿Cuál de los siguientes tipos de archivos debe ser supervisado por un mecanismo de detección de cambios (por ejemplo, una herramienta de supervisión de la integridad de los archivos)? Manuales de proveedores de aplicaciones. Todos los archivos que cambian regularmente. Documentos de políticas y procedimientos de seguridad. Archivos de configuración y parámetros del sistema.
¿Cuál de las siguientes afirmaciones es cierta en relación con la segmentación de la red? La segmentación de la red no es un requisito de PCI DSS. Una red correctamente segmentada aumenta el alcance de una evaluación PCI DSS. Una red segmentada también se conoce como "red plana". La segmentación de la red es un requisito de PCI DSS para todas las redes incluidas en el ámbito de aplicación.
¿Qué debe incluirse en los procedimientos de una organización para la gestión de visitantes? Los visitantes estarán escoltados en todo momento dentro de las zonas en las que se procesen o conserven datos de titulares de tarjetas. Las tarjetas de identificación de los visitantes son idénticas a las utilizadas por el personal in situ. El registro de visitantes incluye el nombre, la dirección y el número de teléfono de contacto del visitante. Los visitantes conservan su identificación (por ejemplo, una tarjeta de visitante) durante 30 días después de finalizar la visita.
Al examinar el software antimalware instalado en un componente del sistema, ¿cuál de los siguientes pasos debe realizar el evaluador/asesor para validar que el software funciona de conformidad con PCI DSS? Examinar los registros de auditoría para verificar que los archivos de registro antimalware se eliminan de forma segura al menos cada 3 meses Examinar las configuraciones del sistema para verificar que el software antimalware se está ejecutando activamente. Observar los procesos para verificar que los usuarios puedan configurar los parámetros antimalware según sea necesario para su función laboral. Observar los procedimientos de control de cambios para verificar que las definiciones antimalware se reinstalan al menos cada 6 meses.
El requisito 12.7 de PCI DSS exige que se comprueben los antecedentes de ¿cuál de los siguientes? Todo el personal empleado por la organización. El personal con acceso a los datos de los titulares de tarjetas o al entorno de datos de los titulares de tarjetas. Visitantes con acceso a las instalaciones de la organización. Cajeros con acceso a un número de tarjeta cada vez.
¿Qué escenario apoyaría que se utilizara un tamaño de muestra menor para una evaluación PCI DSS de una entidad con múltiples instalaciones situadas en diferentes regiones? Las políticas y procedimientos de seguridad son definidos de forma independiente por cada instalación. Las políticas y procedimientos de seguridad están estandarizados para cada región Las políticas de seguridad están centralizadas y los procedimientos se aplican de forma coherente en todas las regiones. Las políticas de seguridad se definen de forma centralizada y cada instalación define sus propios procedimientos para aplicar las políticas.
¿Cuál es el objetivo de realizar escaneos y reescaneos trimestrales de vulnerabilidades internas? Abordar todas las vulnerabilidades críticas y de "alto riesgo". Abordar todas las vulnerabilidades clasificadas como ""bajas"" o ""medias"" según la definición del ASV. Solucionar todas las vulnerabilidades con una puntuación CVSS de 4,0 o inferior Solucionar cualquier vulnerabilidad con una puntuación CVSS de 7,0 o superior.
¿Qué escenario permitiría el mayor tamaño de muestra para evaluar las aplicaciones durante una evaluación PCI DSS? Las aplicaciones figuran como software de pago validado en el sitio web del PCI SSC. El desarrollo de las aplicaciones sigue procesos de creación estándar y procedimientos de implantación uniformes. El desarrollo de aplicaciones sigue procesos de compilación variables y procedimientos de despliegue descentralizados. Las aplicaciones no aparecen en el sitio web del PCI SSC.
¿Cuál de las siguientes opciones cumple los requisitos de PCI DSS para la destrucción segura de soportes que contengan datos de titulares de tarjetas? Los datos de los titulares de tarjetas en materiales impresos se copian en soportes electrónicos antes de destruir los materiales impresos. Los contenedores de almacenamiento utilizados para los materiales impresos se encuentran fuera del CDE. Los soportes electrónicos se destruyen físicamente para garantizar que los datos no puedan reconstruirse. Los soportes electrónicos se almacenan en un lugar seguro cuando los datos dejan de ser necesarios por motivos empresariales o legales.
¿Cuál de las siguientes afirmaciones es cierta en relación con los requisitos de PCI DSS para las pruebas de penetración y los análisis de vulnerabilidades para comerciantes? Las pruebas de penetración y los análisis de vulnerabilidad deben realizarse trimestralmente. El requisito 11 de PCI DSS exige que se realicen escaneos de vulnerabilidad o pruebas de penetración. Los escaneos de vulnerabilidad se realizan externamente y las pruebas de penetración se realizan internamente. Los problemas identificados durante las pruebas de penetración y los escaneos de vulnerabilidad deben ser abordados y verificados a través de rescaneos o pruebas de verificación.
¿Qué afirmación es cierta en relación con el Informe de Cumplimiento (ROC) de PCI DSS? La Plantilla de Informe ROC y las instrucciones proporcionadas por el PCI SSC deben utilizarse para todos los ROC`s El Asesor puede utilizar su propia plantilla o la plantilla de informes ROC proporcionada por el PCI SSC. El Asesor debe crear su propia plantilla ROC para cada informe de evaluación. La plantilla de informe ROC proporcionada por el PCI SSC sólo es necesaria para las evaluaciones de proveedores de servicios.
¿Con qué frecuencia exige PCI DSS a las organizaciones que revisen su política de seguridad de la información? Al menos cada 12 meses. Al menos cada 3 meses. Cada 6 meses. Cada 3 años.
¿Quién define los niveles de comerciantes y proveedores de servicios? Las marcas de pago. El comerciante o proveedor de servicios. El adquirente PCI Security Standards Council.
¿Qué afirmación es cierta en relación con el uso de técnicas de detección de intrusos, como los sistemas de detección de intrusos y/o los sistemas de protección contra intrusos (IDS/IPS)? Se requieren técnicas de detección de intrusos en todos los componentes del sistema. Las técnicas de detección de intrusos son necesarias para alertar al personal de posibles compromisos. Se requieren tecnicas de deteccion de intrusos para aislar los sistemas de datos de tarjetahabientes de todos los demas sistemas. Se requieren técnicas de detección de intrusos para identificar todas las instancias de datos de titulares de tarjetas.
La asignación de un identificador único a cada persona tiene por objeto garantizar ¿cuál de las siguientes opciones? Se utilizan contraseñas seguras para cada cuenta de usuario. Las cuentas compartidas sólo las utilizan los administradores. Los usuarios individuales son responsables de sus propias acciones. El acceso se asigna a cuentas de grupo en función de la necesidad de conocer.
¿Cuál de los siguientes elementos es mas adecuado como restricción para un control compensatorio? el nivel de dificultad para aplicar el requisito supera los conocimientos del personal el requisito es demasiado costoso de aplicar tal y como está definido los procesos internos no permiten la ejecución oportuna de la acción la dirección ha aceptado formalmente el riesgo .
¿Cómo puede enviarse al PCI SSC información sobre las actividades de una persona certificada PCI (asesor PCIP, etc.)? A través de un formulario en línea en el sitio web del PCI SSC a través de la plantilla de formulario de comentarios descargable y enviándola por correo electrónico al PCI SCC no existe ningún método para hacer llegar al CSC de la PCI comentarios sobre personas concretas. una llamada telefónica al PCIP, que debe prporcionar un infrome trimestral de todos estos comentarios al PCI SSC.
¿Cuál de las siguientes afirmaciones es cierta en relación con la segmentación de la red? La PCI DSS exige la segmentación de la red. la segmentación de la red se consigue con herramientas de prevención de pérdida de datos (DLP) que supervisan las transmisiones de datos de los titulares de tarjetas en la red. La segmentación requiere el cifrado de los datos de los titulares de tarjetas cuando se transmiten dentro del Entorno de Datos de Titulares d eTarjetas (CDE). La segmentación de la red tiene como resultado del aislamiento de los sistemas que almacenan, procesan o trasnmiten datos de titulares de tarjetas de los que no lo hacen.
¿Cuál de las siguientes tecnologías puede configurarse para la gestión basada en web y otros accesos administrativos no basados en consola de acuerdo con el requisito 2? FTP, VNC, SSL SFTP, VNC, TLS1.2 RLOGIN, VPN, HTTPS SSH, VPN, TLS1.2.
Según el requisitio 1, ¿con qué frecuencia debe un comerciante revisar sus conjutos de reglas de cortafuegos? Trimestral Cada seis meses Semanal Tras un cambio siginifcativo.
Siempre que exista una justificación empresarial documentada, ¿qué entidades pueden almacenar DUA previa autorización? emisores y adquirientes adquirientes y comerciantes comerciantes y proveedores de servicios emisores y proveedores de servicios para emisores.
¿Cuál de los siguientes servidores o sistemas suele almacenar datos de seguimiento de la pista? sistemas POS servidores web sistemas de venta por correo sistemas de comercio electrónico.
¿Cuál de las siguientes opciones requiere una encriptación fuerte de los datos de la cuenta durante la transmisión? cualquier conexión entre host en el CDE aplicaciones del centro de llamadas a bases de datos en la misma red de confianza Servidores web en la DMZ y bases de datos en un segmento interno conexiones 4g desde un terminal de pago móvil a la entidad adquiriente.
Según el requisito 5, ¿como debe configurarse el software antivirus? Para realizar explortaciones periódicas o análisis continuos del comportamiento para realizar exploraciones trimestrales realizar exploraciones periódicas en todos los sistemas incluidos en el ámbito de aplicación así que nunca se puede desactivar.
¿Cuál de las siguientes afirmaciones describe mejor cómo se aplica l anorma PCI DSS a los datos de cuantas cifrados? los datos de cuenta cifrados no están en el ámbito de una entidad que posea las claves de descifrado. los datos de cuenta cifrados no entran en el ámbito de aplicación si están cifrados con un algoritmo aprobado por el sector que utilice una gestión de claves sóloda. los datos de cuenta cifrados están al alcance de una entidad que posea las claves de descifrado. los datos cifrados de la scuentas entran en el ámbito de aplicación cuando se almacenan, pero no durante su transmisión.
¿Cuándo está permitido utilizar PAN activas en el entorno de pruebas? para solucionar un problema concreto durante las pruebas de control de calidad
en la fase documentada del SDLC cuando el entorno de pruebas cumple la norma PCI DSS.
¿Cuál de los siguientes puntos debe incluirse en los sistemas de control de acceso en el CDE? por defecto denegar todo acceso a cada tirular a sus propios datos, tal y como los defina el propietario del sistema una única cuenta de usuario activa para todos los adminsitradores debe denegarse todo acceso a los componentes del sistema.
Durante una evaluación, usted encuentra cuentas de usuairo compartidas en el CDE de una organización que cumple las normas. ¿Cuál de las siguientes afirmaciones es cierta? todos los usuarios sin privilegios de acceso remoto pueden utilizar cuentas compartidas o genéricas. sólo los DBA y los administradores de sistemas pueden utilizar cuentas compartidas las cuentas de usuario compartidas nunca están permitudas en un entorno que cumpla la normativa
el personal del punto de venta sin acceso a varios números de tarjeta puede compartir cuentas.
¿Cuándo se registra una entidad como "Parcialmente confirme " en un ROC? cuando su entorno sólo cumple un subconjunto de los requisitos aplicables. cuando el avaluador sólo examina un subconjunto de sistemas incluidos en el ámbito de aplicación Siempre que un requisito se marque como "No comprobado" Nunca, "Parcialmente conforme" no es una opción en el ROC.
¿Con qué frecuencia debe revisarse la seguridad del lugar de almacenamiento de las copias de seguridad? trimestral cada seis meses anualmente Periódicamente - según lo defina la entidad evaluada utilizando un TRA.
¿Cómo deben realizarse las copias de seguridad de los registros de auditoría? periodicamente rápidamente permanentemente de forma proactiva.
¿En cuál de las siguientes opciones NO suele entontrar códigos o valores de verificación de tarjetas? grabaciones sonoras de compras por teléfono bases de datos y archivos de registro de los servidores de comercio electrónico formularios cumplimentados para las compras por correo. bases de datos y archivos de registro de terminales de punto de venta.
De acuerdo con el requisito 11, las vulnerabilidades explotables encontradas durante una prueba de penetración deben ser tratadas ¿de cual de las siguientes manreras? se solucionan inmediatamente en cuanto se descubren se corrigen y se repiten las pruebas para verificar las correcciones. arreglado en el plazo de un mes y probado de nuevo corregido durante la próxima explotación de vulnerabilidades programada.
¿Cuáles son los dos casos en los que una entidad debe realizar un Análisis de Riesgos Específico (ARS)? cuando se utiliza un control de compensación y el enfoque personalizado cuando se utiliza el enfoque personalizado y se satisface un requisito con un plazo fliezxible cuando se utiliza un control de compensación y cuando no tienen que pasar ASV exploraciones al realizar una evaluación parcial y utilizar un control personalizado.
Antes de contratar con un TPSP, ¿cuál de los siguientes documentos debe solicitar un comerciante? Certificado de Conformidad (AOC) Certificado de validación (AOV) Informe de conformidad (ROC)
Cuestionario de autoevaluación (SAQ).
Usted está evaluando la gestión de claves de una organización. Almacenan una copia de seguridad de su clave de cifrado (KEK) en forma de 4 componenetes de clave. La KEK es una clave AES de 128 bits. ¿Cuál de las siguientes es cierta? No puede tener mas de dos componentes clave para una clave determinada Cada componente de la clave tendrá 32 bits Los componenetes deben guardarse juntos en un lugar seguro Cada componente de la clave tendrá 128 bits.
¿Cuál de las siguientes afirmaciones es cierta cuando se utilizan contraseñas como parte de la autenticación multifactor (MFA)? Las contraseñas deben cambiarse cada 90 días No es necesario cambiar las contraseñas periódicamente Las contraseñas deben cambiarse con una frecuencia que dependa de un análisis de riesgos específico La postura de seguridad de las cuentas debe analizarse dinámicamente.
¿Escribirá usted mismo un informe? Sí, un SAQ No estoy seguro No Sí un ROC.
Las marcas de tarjetas de pagos son responsables de: realizar evaluaciones PCI DSS de adquirientes asignar sanciones o recargos en caso de incumplimiento publicar listas de comercios que cumplen publicar listas de aplicaciones de pago validadas.
que es el enfoque prioritario una hoja de cálculo que las entidades deben utilizar para aseguriarse de cumplir con los requisitos en el orden correcto un conjunto de hitos utilizados por PCI SSC para crear nuevos estándares que sirvan a la industria de las tarjetas de pago hoja de ruta de los requisitos de PCI que puede ayudar a una entidad a realizar un seguimiento de su confirmidad un método de validación para las entidades que deseen utilizar técnicas nuevas o emergentes para cumplir los requisitos PCI DSS.
cual de los sig. son responsables los ASV realizar escaneos de vulnerabilidades de IA (inteligencia artificial) para marcas de pago y adquirientes realizar de escaneos internos de vulnerabilidad para los comercintes y los proveedores de servicios. realizacion de escaneos externos de vulnerabilidades para comerciantes y proveedores de servicios realizar ataques de denegación de servicio (DoS) a clientes de escaneo.
cual de las opc. describe mejor los requisitos de los emisores en relación a la conservación de datos de autenticación confidenciales los emisores sólo podrán conservar los datos del PIN Los emisores sólo podrán conservar los códigos o valores de verificaicón de las tarjetas los emisores no están autorizados a conservar datos de autenticación confidenciales los emisores están autorizados a conservar datos de autenticación confidenciales sólo si existe una necesidad empresarial de hacerlo, para apoyar la función de emisión.
cual de los sig. es un requisito para la protección del PAN Las transmisiones de los PAN pueden ser protegidas, cifrando los datos antes de que estos sean transmitidos o cifrando la sesión a través de la cual se transmiten los datos, o ambos el PAN guardado debe ser hashed o truncado no debe haber conectada ninguna red inalámbrica al CDE y no se debe transmitir PCN de forma inalámbrica ya no se puede usar tecnologías de mensajería de usuario final para enviar PAN aun si se usa criptografía robusta al hacer el envío.
cual de las sig. funciones realiza la red de marcas de pago Facilita la transacción de pago entre el adquiriente y el emisor Facilita la transacción de pago entre el comerciante y la entidad adquiriente Facilita la transacción de pago entre el comerciante y el PCI SSC Facilita la transacción de pago entre el titular de la tarjeta y la entidad adquiriente.
el requisito 9 de PCI DSS obliga a las entidades a mantener una lista de los dispositivos de lectura de tarjetas utilizados en el punto de venta. La lista debe identificar la marca, el modelo y la ubicación de cada equipo, así como ¿qué información adicional? Identificador único del dispositivo certificado de conformidad del dispositivo historial de trasacciones del dispositivo registro de actividad del dispositivo.
qué parte es responsable de la validación de la conformidad del comerciante y de las comunicaciones con el mismo? emisor adquiriente proveedores de servicios terceros que almacenen, procesen o trasnmitan datos de titulares de tarjetas.
¿qué elemento de los datos de cuenta puede almacenar un comerciante luego de una autorización de transacción? PAN CVV Datos de seguimiento PIN.
Si se bloquea un tarjetahabiente debido a intentos falllidos de incicio de sesión, ¿el tarjetahabiente debe permanecer bloqueado hasta que un administrador desbloquee la cuenta o hasta que haya transcurrido un periodo de ______________ minutos? 30 15 60 90.
¿cual es la intención de realizar pruebas de funcionalildad como parte de los procedimientos de control de cambios al instalar actualizaciones de software? verificar que la actualización del software resulte en una mejora de la eficiencia del sistema comprobar que la actualización del software no puede eliminarse una vez instalada para verificar que la actualización del software no afecta negativamente a la seguridad del sistema comprobar que la actualización del ssoftware resulta en la eliminación de todas las actualizaciones anteriores.
El acceso a los datos del titular de la tarjeta debe asignarse basándose en la función laboral del individuo y en qué otros criterios? antigüedad privilegios básicos la cantidad de almacenamiento de datos Experiencia.
en qué momento suele tener lugar la autorización de una transacción? en el momento de la compra dentro de un día de la compra en los dos días siguientes a la compra en las dos semanas siguientes a la compra.
qué es cierto sobre los datos del titular de la tarjeta? sólo incluye los datos almacenados en la banda magnética o los datos equivalentes a la pista codificados en un chip incluye el PAN, el nombre del titular de la tarjeta, la fecha de expiración y código de servicio incluye el PCN, el nombre del titular de la tarjeta, la fecha de expiración y código de verificación de la tarjeta incluye todos los datos almacenados en la banda magnética o los datos de la pista, incluidos los datos equivalentes a la pista codificados en un chip.
Qué afirmación es cierta en relación con los escaneos y/o rescates internos de vulnerabilidades deben realizarse después de un cambio significativo en un servidor que afecta el entorno de datos del titular da la tarjeta deben ser realizados por un vendedor de escaneo aprobado (ASV) deben ser desempeñados por una parte externa certificada deben realizarse al menos una vez al año - NO, porque es una act trimestral.
Al completar un ROC, un Asesor selecciona "Sí" para indicar que se utilizó un Control de compensación para cumplir con el requisito, ¿Dónde más debe documentarse el Control Compensador? en el cuestionario de retroalimentación QSA en la hoja de cálculo de Enfoque Priorizado en la hoja trabajo del Ápéndice C en la matriz de controles del apéndice E.
cual de las siguientes afirmaciones describe mejor como se aplica PCI DSS a los datos de cuentas cifrados los datos de cuenta cifrados no están al alcance de una entidad que posea las claves de descifrado los datos de cuenta cifrados no están dentro del alcance si están cifrados con un algoritmo por la industria utilizando una adminsitración de clave fuerte los datos de cuenta cifrados están al alcance de una enidad que posea las claves de descifrado. los datos de cuenta cifrados están en alcance cuando se almacenan, pero no durante la transmisión.
cual es el propósito de la segmentación de red ayuda a reducir el alcance de una evaluación PCI DSS permitir que un comerciante complete un SAQ en lugar de un ROC permitir que un proveedor de servicios se autoevalúe en lugar de contrartar a un QSA elimine la necesidad de informar sobre la conformidad de PCI.
con qué propósito deben configurarse los parámetros de seguridad del sistema? impedir todo acceso al sistema compartir el uso administrativo del sistema permitir el acceso abierto al sistema para evitar el uso indebido del sistema.
con qué frecuencia deben realizar análisis las soluciones antimalware diario semanal periodicamente, basado en un TRA periodicamente, según defina el evaluador.
los requisitos PCI DSS se aplican a cual de los siguientes? detección de manipulación de dispositivo, proceso scriptográficos y otros mecanismos utilizados para proteger el PIN sistemas y redes que almacenan, procesas o transmiten datos de tarjetahabientes investigaciones forenses de compromisos de datos de cuenta desarrollo de aplicaciones de pago comerciales.
el asesor utiliza el muestreo durante una evaluación PCI DSS de un entorno comeriante. ¿Qué afirmación relativa a la muestra es cierta? la sección de muestras es representativa de todos los tipos de componentes del sistema en el entorno el tamaño de la muestra contiene al menos cien componentes del sistema. la selección de la muestra es la misma que la utilizada para la evaluación del año anterior. la selección de la muestra es aprobada por el adquiriente del comerciante.
quién es responsable de fijar los plazos de conformidad y las multas? marcas de pago adquiriente proveedor de servicio PCI SSC.
Si un comerciante quiere confirmar su nivel. ¿A quién debe contactar? El PCI SSC Su emisor su proveedor de servicios su adquiriente.
cuál de las siguientes afirmaciones es cierta respecto de una entidad que comparte datos del titular de la tarjeta con un proveedor de servicios? el proveedor de servicios debe estar conforme con la norma PCI DSS antes de que la entidad contrate con el proveedor de servicio la entidad debe tener un proceso establecido para contratar proveedores de servicios, incluida la debida diligencia antes de la contratación el proveedor de servicios debe producir cuatro resultados de escaneo ASV trimestrales y un informe de prueba de penetración antes de que la entidad interactúe con el proveedor de servicios el proveedor de servicios sólo puede almacenar, procesar o transmitir datos del titular de la tarjeta que estén cifrados; y por lo tanto está fuera del alcance de PCI DSS.
si un Asesor utiliza actividades de prueba remotas durante la evaluación de un comerciante, qué debe hacer también? reportar las actividades a las marcas de pago documentar la evaluación como "No conforme debido a Actividades Remotas" en el AOC. registre los detalles de la actividad remota en el ROC marque como "No implementado" cualquier requisito que se haya comprobado a distancia.
Los NSC deben configurarse para realizar cual de las sig. acciones permitir el acceso a todos los puertos y servicios negar el uso de protocolos inseguros como SSH, SSL e Ipsec imponga una norma de "permiso por defecto" para asegurarse de que el tráfico importante no se bloquea accidentalmente no permir protocolos inseguros como FTP o Telnet.
que entidad aprueba finalmente una transacción adquiriente comerciante proveedor de servicio emisor.
cual afirmación sobre proceso de transacción de pago es verdadera? el comerciante realiza la compensación para eliminar cualquier dato de cuenta de pago después de la liquidación el titular de la tarjeta recibe la tarjeta de pago y las facturas del emisor el emisor es la organización que "emite" las solicitudes de pago al banco del titular de la tarjeta la entidad adquiriente recibe las solicitudes de autorización del emisor en nombre de un comerciant.
Cual de las sig. opciones podría ayudar a reducir la cantidad de muestras que un Asesor necesitaría probar durante una evaluación PCI DSS? múltiples metodologías de desarrollo de aplicaciones diversos prcesos de contrucción e instalción descentalizada de aplicaciones utilización de una "red plana" procesos de creación estándar e inslatación uniforme de las aplicaciones.
las marcas de pago son responsables de cual de las sig. listas de comerciantes conformes realizar evaluaciones PCI DSS de adquirientes listas de solicitudes de pago validadas Sanciones o nombramiento de honorarios por incumplimiento.
El acceso de los administradores que no sean de consola a cualquier interfaz de gestión basada en web debe estar cifrado con tecnología del tipo http https ssh vpn.
Los requisitos 2.2.2 y 2.2.3 se refieren al uso de servicios, protocolos y demonios seguros. ¿Cuál de los siguientes se considera seguro? ssh ftp telnet ssl.
Cuando se muestra un PAN a un empleado que NO necesita ver el PAN completo, los dígitos mínimos que deben enmascararse son: Todos los digitos entre los seis primeros y los cuatro últimos Los cuatro primeros dígitos Los seis últimos dígitos Los cuatro primeros dígitos y los seis últimos.
Al evaluar el requisito 6.5, las pruebas para verificar que se aplican técnicas de codificación seguras para abordar vulnerabilidades de codificación comunes incluyen: Revisión de las políticas y procedimientos de desarrollo de software Mirar el código de una aplicación para ver si se está aplicando correctamente Preguntar a un miembro representativo del equipo de desarrollo Usar un analizador de código para verificar que se cumple.
Un ejemplo de función criptográfica "unidireccional" utilizada para hacer ilegibles los datos es: SHA-2 3DES RSA Bitlocker.
¿Cuándo debe revocarse el acceso a los empleados una vez despedidos? Inmediatamente En el plazo de 1 día En la sigueinte revisión de permisos trimestral No es necesario ya que no trabajará más en la compañía.
Las cuentas de usuario de las Entidades Designadas y los privilegios de acceso se revisan al menos cada 6 meses 3 meses 12 meses Cuando haya un cambio significativo.
A quien le pueden aplicar los requisitos DESV? Las que han sufrido violaciones significativas o repetidas de los datos de los titulares de tarjetas. Solamente a los emisores y sus proveedores de servicios A los adquirientes Solo a los comerciantes.
Cuándo se produce la compensación? Normalmente en un día En el momento Después de la autorización por emisor En el plazo de 1 semana.
Qué es el control dual? Se necesitan el menor numero de personas para realizar cualquier operación de gestión de claves y ninguna persona tiene acceso a los materiales de autenticación de otra (por ejemplo, contraseñas o claves) Dos personas deben tener el acceso a toda la información sensible Las claves se dividen en dos partes Toda la información sensible relacionada con los tarjetahabientes debe estar replicada en un almacenamiento con las suficientes medidas de seguridad.
¿Qué es el conocimiento dividido? Los componentes clave están bajo el control de al menos 2 personas que sólo tienen conocimiento de sus propios componentes clave Los componentes clave están bajo el control de al menos 2 personas que tienen todo el conocimiento Los componentes clave están bajo el control de al menos 2 personas que tienen conocimiento de sus propios componentes clave y de la otra persona. El conocimiento sobre seguridad debe estar dividido entre varias personas.
Cuando se deben cambiar o eliminar las claves? Cuando se considera que las claves son débiles, ya no son necesarias, se sospecha de ellas y/o están comprometidas, el custodio de claves deja de trabajar para la empresa. Cuando un empleado deja de trabajar en la empresa Cada 3 meses Después de cualquier cambio significativo en los sistemas.
Qué es el enmascaramiento? Se aplica a la visualización de información e implica que se puede acceder a los datos de fondo. Es cuando se eliminan los seis primeros caracteres y los cuatro últimos Es cuando se eliminan los caracteres entre los seis primeros y los cuatro últimos se aplica al almacenamiento e implica la transformación permanente e irrecuperable de los datos originales.
Qué es el truncamiento? se aplica al almacenamiento e implica la transformación permanente e irrecuperable de los datos originales se aplica a la visualización de la información e implica que se puede acceder a los datos en otros sistemas Es cuando se eliminan los seis primeros caracteres y los cuatro últimos Es cuando se eliminan todos los caracteres del PAN.
Qué es el hashing? se aplica al almacenamiento utiliza un método criptográfico especial que toma un bloque de datos (PAN) y lo hace pasar por un proceso unidireccional para producir un bloque de datos cifrados. No puede revertirse para recuperar los datos originales. se aplica al almacenamiento utiliza un método criptográfico especial que toma un bloque de datos (PAN) y lo hace pasar por un proceso unidireccional para producir un bloque de datos cifrados. Puede revertirse para recuperar los datos originales. se aplica al almacenamiento utiliza un método criptográfico especial que toma un bloque de datos (PAN) y lo hace pasar por un proceso para producir un bloque de datos cifrados. Puede revertirse para recuperar los datos originales. se aplica al almacenamiento utiliza un método criptográfico especial que toma un bloque de datos (PAN) y lo hace pasar por un proceso multidireccional para producir un bloque de datos cifrados. No puede revertirse para recuperar los datos originales.
¿Con qué frecuencia deben purgarse los datos almacenados innecesarios? al menos cada tres meses cada 12 meses una vez al día Lo antes posible.
Revisar las aplicaciones web de cara al público mediante herramientas o métodos manuales o automatizados de evaluación de la seguridad de las vulnerabilidades de las aplicaciones, al menos ___ y___. Anualmente y después de cualquier cambio trimestralmente y después de un ataque Antes de una auditoría y después de la auditoría mensualmente y después de cualquier ataque.
Qué son los "servicios compartidos"? componentes comunes del sistema que proporcionan servicios a muchos componentes del sistema en toda una organización, como el servicio de nombres de dominio y el protocolo de tiempo de red componentes del sistema que proporcionan servicios a toda una organización, como el servidor de correo y el protocolo TCP/IP aplicaciones de mensajería instantanea para uso corporativo Aplicaciones que son compartidas por los usuarios para el uso de toda la compañía.
Directorio Activo, NTP, DNS y SMTP son ejemplos de ______ Servicios compartidos Aplicaciones corporativas de usuario Aplicaciones con acceso a datos sensibles Servicios para el envío de información sensible.
Revisar los registros de inventario de soportes para verificar que se mantienen registros y se realizan inventarios de soportes al menos _____ Anualmente cada 2 meses todos los días antes de una auditoría.
Los datos (soportes) de las cámaras de vídeo y los controles de acceso a las zonas sensibles se almacenan durante al menos _____ 3 meses 12 meses 1 año y accesos de los tres últimos meses cada día.
El software debe estar configurado para realizar comparaciones de archivos críticos al menos _____ semanalmente todos los días de manera activa cada 3 semanas.
Implantar procesos para detectar la presencia de puntos de acceso inalámbricos (WAP) tanto autorizados como no autorizados _____ trimestralmente anualmente semanalmente mensualmente.
El plan de respuesta ante incidentes debe probarse al menos ____ antes de una auditoría anualmente trimestralmente cuando haya un incidente de seguridad.
¿Qué entidad es responsable de las investigaciones forenses de los datos de las cuentas? marcas de pago emisores adquirientes comercios.
El almacenamiento de datos de seguimiento "a largo plazo" o "de forma persistente" está permitido para emisores marcas de pago adquirientes comercios.
PCI DSS establece que el PAN debe hacerse ilegible cuando se almacena. ¿Cuál de las siguientes opciones puede utilizarse para cumplir este requisito? Hashear el PAN completo usando criptografía fuerte Enmascarar el PAN completo Enmascarar parcialmente el PAN Hashear parcialmente el PAN.
El requisito 5 de PCI DSS establece que el software antivirus debe ser: Instalado en sistemas comúnmente afectados por malware Que esté incluido en el listado de software homologado por PCI DSS Instalado en todos los sistemas dentro del alcance Homologado por un organismo reconocido.
Para el requisito 1 de PCI DSS, los conjuntos de reglas de cortafuegos y enrutadores deben revisarse cada _____ meses. 6 3 1 12.
Las cuentas de usuario inactivas deben eliminarse o desactivarse en el plazo de 90 días 2 semanas lo antes posible antes de la siguiente auditoría.
Un usuario es bloqueado después de ____ intentos erróneos 6 10 3 1.
Si una sesión ha estado inactiva durante ____ minutos, el usuario debe volver a autenticarse para volver a activar el terminal o la sesión. 15 30 60 5.
|
