Um controle compensatório, também chamado de controle alternativo, é um mecanismo que é colocado em prática para satisfazer o requisito de uma medida de segurança que é considerada muito difícil ou impraticável de implementar no momento.
Na indústria de cartões de pagamento (PCI), controles compensatórios foram introduzidos no PCI DSS 1.0, para dar às organizações uma alternativa aos requisitos de segurança que não puderam ser atendidos devido a restrições tecnológicas ou comerciais legítimas. De acordo com o PCI Council, os controles compensatórios devem:
1) Atender à intenção e ao rigor do requisito original declarado;
2) Fornecer um nível de defesa semelhante ao do requisito original declarado;
3) Estar "acima e além" de outros requisitos PCI DSS (não simplesmente em conformidade com outros requisitos PCI DSS); e
4) Ser proporcional ao risco adicional imposto pelo not aderindo ao requisito original declarado.
Exemplos de controles compensatórios para a segurança da tecnologia da informação incluem:
Segregação de Deveres (SoD) - an controle interno projetado para prevenir erros e fraudes, assegurando que pelo menos dois indivíduos sejam responsáveis pelas partes separadas de qualquer tarefa. Fraude e erro são riscos no gerenciamento da folha de pagamento. Para mitigar esse risco, uma empresa pode ter um funcionário responsável pela parte contábil do trabalho e outro responsável pela assinatura dos cheques. No entanto, a segregação de funções pode ser difícil para as empresas com pessoal pequeno. A compensação de controles, neste caso, pode incluir a manutenção e revisão de registros e trilhas de auditoria.
Criptografia - converter todos os dados eletrônicos em texto criptográfico e alterar as chaves criptográficas periodicamente pode ser difícil e caro de implementar. Como é frequentemente o caso, múltiplos controles compensatórios podem ser necessários para fornecer uma segurança equivalente ao controle que está sendo substituído. Os controles compensatórios em vez da criptografia abrangente de dados podem incluir o uso de aplicativos e serviços de segurança de banco de dados, controle de acesso à rede (NAC), estratégias de prevenção de vazamento de dados e criptografia de e-mail.