El propósito de un control puede alcanzarse por medios diferentes de los previstos en PILAR. En la norma PCI-DSS, tenemos el concepto de “controles compensatorios”, que se describen como

“los controles de compensación se consideran cuando una entidad no puede cumplir un requisito de manera explícita según lo establecido, debido a limitaciones técnicas legítimas o comerciales documentadas, pero ha mitigado de manera suficiente el riesgo asociado con el requisito a través de la implementación de controles.”

El concepto consiste en alcanzar el objetivo por otros medios.

En PILAR, el usuario puede desconectar un control de sus hijos. Haga clic con el botón derecho en el control para el que ha aplicado un control compensatorio y descríbalo

El control seleccionado queda marcado como “compensado”, y puede ser seleccionado y evaluado independientemente de sus hijos.

No olvide que el análisis de riesgos lo sigue realizando PILAR en base a las salvaguardas aplicables, a fin de determinar el riesgo residual estimado.