CUESTIONARIO INICIAL CUMPLIMIENTO PCI

1.1 Datos
Fecha:
Nombre de la compaa:
Punto de contacto:
Email:
Telfono:

1.2 Preguntas
Para poder presentar una propuesta adecuada a los requerimientos y necesidades es
necesario contar con la siguiente informacin:

1. Informacin General

a. Cul es el objetivo de contar con el cumplimiento PCI?

b. Describir de forma breve los servicios y/o productos que ofrece la

organizacin.

c. Describir como se encuentra conformada la organizacin (empresas,

unidades de negocio, reas, etc.)

d. Proporcionar un organigrama general de la organizacin hasta el tercer

nivel. (por organizacin)

e. Mencionar si se cuenta con objetivos estratgicos de negocio claramente

definidos. (Planeacin Estratgica Organizacional y de Tecnologa)

f. Mencionar si se cuenta con un BSC de negocio desarrollado.

g. Listar las regulaciones (nacionales internacionales) que aplican a su

empresa (LFPDPPP, CNSF, CNBV, MAAGTICSI, SOX, HIPAA,etc.)

h. Cuenta con algn sistema de gestin implementado, como ISO9000,

ISO27001, ISO22301, ISO20000, ISO14000, etc. En caso afirmativo
mencionar cual.

i. Nmero de ubicaciones corporativas, oficinas y/o sucursales.

j. Sus reas de tecnologa son internas o tercerizadas.

 Cuestionario PCI
2. Informacin del proceso de pago con TC y/o TD.
a. En que procesos de negocio se aplicarn pagos con TC y/o TD?
b. Mencionar si se cuenta con estos procesos de negocio identificados. En
caso afirmativo listarlos.
c. Mencionar si estos procesos de negocio estn documentados.
d. El proceso de pagos con TC y/o TD se ejecutar a travs de un TPV de
3eros?
e. El proceso de pagos con TC y/o TD se ejecutar a travs de una solucin
propia?
f. Los registros de pagos con TC y/o TD donde quedan registrados?

3. Informacin de Riesgos

a. Mencionar los modelos utilizados actualmente para deteccin, anlisis y

administracin de riesgo.

b. Mencionar los riesgos e impactos ms preocupantes para la organizacin.

c. Mencionar si se cuenta con un grupo o comit de tecnologa, seguridad y

riesgos.

4. Informacin de Infraestructura tecnolgica habilitadora

de pagos.

a. Se cuenta con una arquitectura empresarial formalmente establecida.

b. Mencionar si se cuentan identificados los habilitadores tecnolgicos

(servidores, aplicativos, bases de datos, redes, etc.) de los procesos de
pago con TC y /o TD.

c. Datos de las Aplicaciones utilizadas para procesar los pagos con TC y/o
TD:
i. Nombre de la aplicacin.
ii. Indicar si es comercial o un desarrollo interno.

d. Plataforma tecnolgica de los servicios mediante los cuales se procesarn

los pagos con TC y/o TD.

Cantidad de los siguientes elementos:

Equipo Cant.
Ruteadores
 Cuestionario PCI
Equipo Cant.
Switches capa 2
Switches capa 3 o superior.
Firewalls
IDS/IPS
Otros equipos de seguridad
Servidores Intel
Servidores RISC, otras
plataformas
Sistemas de almacenamiento
masivo
Sistemas de respaldo de
informacin
Sistemas Operativos
Centros de Datos
Enlaces
Enlaces con terceros

e. Nmero y tipo de centros de datos.

f. Indicar si existen conexiones con terceros y en caso afirmativo indicar

cul es el propsito general de la conexin.

g. Nmero de usuarios/clientes de TI

5. Informacin de control interno

a. Si se cuenta con un catlogo de servicios de TI cules de ellos son los

crticos.

b. Mencionar si se cuenta con un inventario de activos actualizado.

c. Mencionar las mejores prcticas o estndares utilizados actualmente en

la organizacin.

d. Mencionar si se cuenta con un manual de polticas y procedimientos,

incluyendo seguridad y continuidad.

e. Mencionar si se cuenta con indicadores y en caso afirmativo mencionar si

 Cuestionario PCI
son de ndole estratgica, tctica u operativa. Mencionar el nmero
aproximado de indicadores por cada nivel.

f. Mencionar si existen actividades tercerizadas en la operacin. En caso

afirmativo listar cuales actividades.

g. De las operaciones que se realizan en el da a da, porcentaje aproximado

de cuantas cuentan con procesos/procedimientos documentados.