Es posible que los controles de compensaciĆ³n se consideren cuando una entidad no puede cumplir un requisito de manera explĆ­cita segĆŗn lo establecido, debido a limitaciones tĆ©cnicas legĆ­timas o comerciales documentadas, pero ha mitigado de manera suficiente el riesgo asociado con el requisito a travĆ©s de la implementaciĆ³n de controles. Los controles de compensaciĆ³n deben:

  1. Cumplir con el propĆ³sito y el rigor del requisito original de las PCI DSS.
  2. Proporcionar un nivel similar de defensa, como el requisito original de las PCI DSS.
  3. Superar ampliamente otros requisitos de las PCIDSS (no simplemente en cumplimiento de otros requisitos de las PCI DSS).
  4. Ser cuidadoso con el riesgo adicional que impone la no adhesiĆ³n al requisito de las PCI DSS.