Es posible que los controles de compensación se consideren cuando una entidad no puede cumplir un requisito de manera explĆcita segĆŗn lo establecido, debido a limitaciones tĆ©cnicas legĆtimas o comerciales documentadas, pero ha mitigado de manera suficiente el riesgo asociado con el requisito a travĆ©s de la implementación de controles. Los controles de compensación deben:
- Cumplir con el propósito y el rigor del requisito original de las PCI DSS.
- Proporcionar un nivel similar de defensa, como el requisito original de las PCI DSS.
- Superar ampliamente otros requisitos de las PCIDSS (no simplemente en cumplimiento de otros requisitos de las PCI DSS).
- Ser cuidadoso con el riesgo adicional que impone la no adhesión al requisito de las PCI DSS.