La empresa para la que trabajo está solicitando el cumplimiento de PCI y estoy a cargo de escribir la mayoría de los procedimientos y políticas requeridos. El problema es que no tengo ninguna experiencia con la seguridad de TI, por lo que la mayor parte de lo que está escrito en PCI DSS no tiene mucho sentido para mi Para mantener el alcance de esta pregunta lo suficientemente pequeño, concentrémonos en el requisito 10.6:
Revise los registros de todos los componentes del sistema al menos diariamente. Las revisiones de registro deben incluir aquellos servidores que realizan funciones de seguridad como el sistema de detección de intrusos (IDS) y los servidores de autenticación, autorización y protocolo de contabilidad (AAA) (por ejemplo, RADIUS).
Y los correspondientes procedimientos de prueba:
10.6.a Obtenga y examine las políticas y procedimientos de seguridad para verificar que incluyen procedimientos para revisar los registros de seguridad al menos diariamente y que se requiere un seguimiento de las excepciones. 
10.6.b A través de la observación y las entrevistas, verifique que se realicen revisiones periódicas de todos los componentes del sistema.
- ¿Qué significa, exactamente, revisar los registros?
- ¿Qué constituye una excepción ?
- ¿Qué suelen hacer las empresas en caso de excepciones?