T2. PCI-DSS

¿Cuál fue el motivo principal para la creación del estándar PCI-DSS?. A unificar los sistemas de seguridad de las marcas de tarjetas, que antes eran independientes. Reducir el número de transacciones con tarjeta de crédito. Establecer un sistema de pago único para todas las tarjetas. Aumentar la complejidad de los sistemas de seguridad.

¿Qué información se considera 'cardholder data' según el estándar PCI-DSS?. Solo el número de cuenta principal (PAN). Cualquier dato que pueda identificar a un titular de tarjeta de pago, como el PAN, nombre, fecha de vencimiento y servicio de código de autenticación. Únicamente la banda magnética de la tarjeta. La dirección de facturación del titular de la tarjeta.

¿Quiénes deben cumplir con el estándar PCI-DSS?. Únicamente los bancos emisores de tarjetas. Solo los comercios que aceptan pagos con tarjeta. Cualquier merchant o comerciante, o cualquier proveedor de servicios que procese, transmita o almacene datos de tarjetas de pago o 'cardholder data'. Solo las empresas de procesamiento de pagos en línea.

¿Cuál es la principal diferencia entre el Nivel 1 y el Nivel 4 de certificación PCI DSS?. El Nivel 1 maneja menos de 20.000 transacciones al año, mientras que el Nivel 4 maneja más de 6 millones. El Nivel 1 se aplica a organizaciones que procesan más de 6 millones de transacciones al año (o 2.5 millones con American Express), mientras que el Nivel 4 se aplica a las que procesan menos de 20.000 transacciones online al año o hasta 1 millón en total. El Nivel 1 requiere auditorías anuales, mientras que el Nivel 4 solo requiere autoevaluaciones. No hay diferencia significativa, ambos niveles cubren el mismo alcance.

¿Qué significa el acrónimo SAQ?. Sistema de Alta Calidad. Solicitud de Autenticación Segura. Cuestionario de Autoevaluación. Sistema de Almacenamiento de Datos.

¿Qué rol tiene un Qualified Security Assessor (QSA)?. Desarrollar el software antivirus para las empresas. Realizar auditorías para validar el cumplimiento del estándar PCI DSS. Gestionar las transacciones de pago en tiempo real. Diseñar las políticas de seguridad de la información.

¿Cuál es el objetivo principal de los 6 Objetivos del PCI-DSS?. Aumentar las ventas de los comercios. Crear redes de pago globales. Mantener la seguridad de los sistemas que gestionan la información confidencial de tarjetas de pago y reducir el fraude. Eliminar la necesidad de contraseñas.

¿Qué requisito del PCI-DSS se enfoca en la instalación y mantenimiento de cortafuegos?. Requisito 5. Requisito 1. Requisito 9. Requisito 12.

¿Por qué es importante no usar contraseñas predeterminadas según el PCI-DSS?. Las contraseñas predeterminadas son más fáciles de recordar. Los proveedores las cambian constantemente. Son una vulnerabilidad de seguridad, ya que son conocidas y fáciles de adivinar. Son más seguras que las contraseñas personalizadas.

¿Qué implica el Requisito 3 del PCI-DSS?. Utilizar software antivirus actualizado. Restringir el acceso físico a los datos sensibles. Proteger los datos almacenados de los propietarios de tarjetas. Monitorizar el acceso a los recursos de la red.

¿Cuál es el propósito de cifrar la información confidencial transmitida a través de redes públicas abiertas (Requisito 4)?. Acelerar la velocidad de transmisión de datos. Hacer que los datos sean ilegibles para ciberdelincuentes en redes no seguras. Reducir el tamaño de los archivos transmitidos. Permitir el acceso a los datos sin necesidad de autenticación.

Según el Requisito 5, ¿qué se debe hacer regularmente con el software antivirus?. Desinstalarlo y reinstalarlo. Actualizarlo y usarlo. Ignorarlo si no detecta amenazas. Compartir la licencia con otros usuarios.

¿Qué aspecto de la seguridad cubre el Requisito 8?. La seguridad física de los servidores. La seguridad de la red Wi-Fi. La asignación de una identificación única a cada persona con acceso a un computador. La política de seguridad de la información.

¿Qué implica el Requisito 9?. Cifrar todos los datos sensibles. Restringir el acceso físico a los datos de los propietarios de tarjetas. Realizar pruebas de penetración regulares. Mantener una política de seguridad actualizada.

¿Cuál es el propósito de rastrear y monitorizar el acceso a los recursos de la red y datos (Requisito 10)?. Para aumentar la velocidad de la red. Para detectar y minimizar riesgos asociados a la actividad de los usuarios. Para eliminar la necesidad de firewalls. Para facilitar el acceso anónimo a la información.

¿Qué establece el Requisito 12?. La necesidad de cifrar todos los datos transmitidos. La implementación de un plan de respuesta a incidentes. La gestión de vulnerabilidades. La protección del acceso físico.

¿Qué debe incluir un plan de respuesta a incidentes según el PCI-DSS?. Solo la identificación de los responsables. Cómo contener y limitar la exposición de datos, requerimientos de notificación, contactos de terceros y preservación de evidencia. Únicamente los requerimientos de notificación a las marcas de tarjetas. Unicamente cómo restaurar los sistemas después de un incidente.

¿Qué son los PCI Forensic Investigators (PFI)?. Auditores que realizan evaluaciones de cumplimiento regulares. Expertos independientes y certificados que investigan incidentes de seguridad relacionados con datos de tarjetas. Desarrolladores de software de seguridad. Representantes de las marcas de tarjetas.

¿Qué es el 'Truncado PAN'?. Es el cifrado completo del número de cuenta principal (PAN). Es la eliminación de parte del PAN, reemplazándolo con asteriscos ('*') en recibos y almacenamiento. Es un método para verificar la autenticidad del titular de la tarjeta. Es un tipo de token utilizado en transacciones.

¿Para qué es necesario el truncado PAN, según el documento?. Para acelerar las transacciones en línea. Para cumplir con los requisitos de PCI-DSS y facilitar la comprobación del PAN en reclamaciones y devoluciones. Para permitir el almacenamiento ilimitado de datos de tarjetas. Para reemplazar completamente el número de cuenta principal.

¿Qué significa que una encriptación sea 'Format-preserving' (FPE)?. Que la información cifrada es ilegible sin la clave. Que el formato de los datos cifrados es idéntico al formato de los datos originales. Que la encriptación solo se aplica a formatos de archivo específicos. Que la encriptación preserva la información personal del usuario.

¿Cuál es una ventaja de usar Format-preserving encryption (FPE)?. Elimina la necesidad de firewalls. Permite aplicar el cifrado sin necesidad de modificar significativamente las aplicaciones y sistemas existentes. Garantiza que el PAN nunca se almacene. Aumenta la velocidad de procesamiento de transacciones.

¿Cuál es la idea central de la tokenización?. Reemplazar el PAN por un número de tarjeta temporal que no tiene valor intrínseco fuera de un contexto específico. Cifrar el PAN utilizando un algoritmo complejo. Almacenar el PAN de forma segura en una base de datos centralizada. Dividir el PAN en múltiples partes para su almacenamiento.

¿Qué tipo de tokens son generados por el adquiriente, comercio o proveedor a partir del PAN original?. Issuer tokens. Payment tokens. Acquiring tokens. Virtual Credit Card (VCC).

¿Qué característica distingue a los 'Issuer tokens'?. Son emitidos a los titulares de la tarjeta para pagos '1-Clic'. Son generados por el comercio. Son generados por los emisores del pago y son indistinguibles de un PAN real, y una vez usados, no pueden volver a utilizarse. No contienen información del PAN original.

¿Cuál es el objetivo de los 'Payment tokens'?. Facilitar la investigación forense. Ser utilizados en pagos '1-Clic' en comercios online, evitando que el usuario tenga que reingresar sus datos de tarjeta. Almacenar de forma segura el PAN original. Proteger la información de la banda magnética.

¿Qué información contiene la banda magnética de una tarjeta de pago?. Solo el nombre del titular. Datos codificados en las pistas 1 y 2. El código de seguridad CVV2. La fecha de caducidad de la tarjeta.

¿Qué significa que un PFI sea independiente?. Que puede operar sin certificación. Que no tiene vínculos financieros o de negocio con las partes involucradas en la investigación. Que solo investiga incidentes de bajo nivel. Que trabaja exclusivamente para las marcas de tarjetas.

¿Cuál es la función del BIN (Bank Identification Number) o IIN?. Identificar al titular de la tarjeta. Identificar al banco o entidad emisora de la tarjeta. Servir como código de verificación de la transacción. Indicar la fecha de vencimiento de la tarjeta.

¿Qué es el Checksum/Validación en el contexto de un PAN?. Es el primer dígito del PAN. Es un dígito calculado a partir de los otros dígitos del PAN para verificar su validez. Es el número de serie de la tarjeta. Es el código de seguridad CVV2.