Un controllo di compensazione, chiamato anche controllo alternativo, è un meccanismo che viene messo in atto per soddisfare il requisito di una misura di sicurezza che è ritenuta troppo difficile o impraticabile da attuare al momento.
Nel settore delle carte di pagamento (PCI), i controlli di compensazione sono stati introdotti in PCI DSS 1.0, per fornire alle organizzazioni un'alternativa ai requisiti di sicurezza che non potevano essere soddisfatti a causa di vincoli tecnologici o aziendali legittimi. Secondo il PCI Council, i controlli compensativi devono:
1) Soddisfare l'intento e il rigore del requisito dichiarato originale;
2) Fornire un livello di difesa simile a quello dichiarato originariamente;
3) Essere "al di sopra e al di là" di altri requisiti PCI DSS (non semplicemente in conformità con altri requisiti PCI DSS); e
4) Essere commisurato al rischio aggiuntivo imposto dal mancato rispetto del requisito originariamente dichiarato.
Esempi di controlli compensativi per la sicurezza della tecnologia dell'informazione includono:
Segregazione dei compiti (SoD) - un controllo interno volto a prevenire errori e frodi assicurando che almeno due persone siano responsabili delle parti separate di ogni compito. Frodi ed errori sono rischi nella gestione delle buste paga. Per mitigare tale rischio, un'azienda potrebbe avere un dipendente responsabile della parte contabile del lavoro e un altro responsabile della firma degli assegni. Tuttavia, la separazione delle funzioni può essere difficile per le aziende con personale di piccole dimensioni. I controlli compensativi, in questo caso, potrebbero includere il mantenimento e la revisione di log e audit trail.
Crittografia: la conversione di tutti i dati elettronici in testo cifrato e la modifica periodica delle chiavi crittografiche possono essere difficili e costose da implementare. Come spesso accade, possono essere necessari più controlli di compensazione per fornire una sicurezza equivalente al controllo da sostituire. La compensazione dei controlli al posto della crittografia completa dei dati potrebbe includere l'uso di applicazioni e servizi di sicurezza del database, controllo dell'accesso alla rete (NAC), strategie di prevenzione delle fughe di dati e crittografia della posta elettronica.