Es posible que los controles de compensación se consideren cuando una entidad no puede cumplir un requisito de manera explícita según lo establecido, debido a limitaciones técnicas legítimas o comerciales documentadas, pero ha mitigado de manera suficiente el riesgo asociado con el requisito a través de la implementación de controles. Los controles de compensación deben:

  1. Cumplir con el propósito y el rigor del requisito original de las PCI DSS.
  2. Proporcionar un nivel similar de defensa, como el requisito original de las PCI DSS.
  3. Superar ampliamente otros requisitos de las PCIDSS (no simplemente en cumplimiento de otros requisitos de las PCI DSS).
  4. Ser cuidadoso con el riesgo adicional que impone la no adhesión al requisito de las PCI DSS.