PCI Hispano es un proyecto cooperativo en idioma español entre profesionales de América y Europa para compartir conocimiento y experiencias en el proceso de implementación y auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
He notado que muchas de las organizaciones que desean cumplir con PCI DSS 3.2.1 tienen dudas sobre cómo cumplir con el requisito 3.4, por lo que en este, mi primer artículo, me tomé la tarea de explicar a detalle este requisito y cómo lo podamos abordar. Para comenzar, entendamos el requisito 3.4: Hasta este momento,… (Leer más)
Como recordaremos, en mayo de 2018 se publicó la versión 3.2.1 del estándar Payment Card Industry Data Security Standard (PCI DSS). Esta era una revisión menor de la versión 3.2, cuyo objetivo principal fue retirar una serie de fechas de entrada en vigencia de diversos controles que ya se habían cumplido y corregir algunas erratas,… (Leer más)
Hace algunos días el PCI SSC publicó en su blog corporativo un artículo bastante interesante relacionado con la rotación periódica del asesor o de la empresa QSA (Qualified Security Assessor) encargada de realizar las evaluaciones anuales en aquellas entidades sujetas a una auditoría anual de PCI DSS. Esta es una práctica que muy pocas empresas… (Leer más)
¿Cuántas veces hemos necesitado los controles de PCI DSS v3.2.1 organizados en una hoja de MS Excel? Seguramente muchas. Lamentablemente, el PCI SSC solamente publica el estándar en versión PDF, lo cual limita enormemente la dinámica en la gestión de los controles y del cumplimiento del estándar. Por ello, en PCI Hispano nos hemos tomado… (Leer más)
Imaginemos por un momento que, por alguna necesidad justificada de negocio, un comercio requiere almacenar el dato del número de cuenta primario o PAN (Primary Account Number) en su entorno. Para ello, decide emplear una función de hash o “función resumen”: Una función de hash es una función matemática que puede recibir como entrada un… (Leer más)
El PCI Security Standards Council (PCI SSC) ha empezado este año 2019 con una serie de novedades que vaticinan que este será un año bastante movido en términos de seguridad en transacciones con tarjetas de pago: Tal y como se explicó en el artículo «PCI Software Security Standard (S3) Framework: La evolución de PA DSS… (Leer más)
Cuando se procede con la implementación de controles de PCI DSS en un entorno informático suele ser muy común encontrar servicios de red que, por alguna razon (obsolescencia, limitaciones técnicas del fabricante, limitaciones de hardware, problemas de compatibilidad, etc.), no ofrecen los niveles de seguridad exigidos por el estándar pero que son necesarios en términos… (Leer más)
En marzo de 2008, Heartland Payment Systems (una de las mayores pasarelas de pago de Estados Unidos, con cerca de 100 millones de transacciones con tarjeta por mes provenientes de más de 175.000 comercios, por aquel entonces) sufría uno de los mayores incidentes de seguridad del siglo XXI: más de 134 millones de datos de… (Leer más)
Ya han pasado casi 7 años desde la publicación de la versión 2.0 del suplemento informativo para la protección de datos de tarjetas en pagos por teléfono («Information Supplement: Protecting Telephone-based Payment Card Data»). En noviembre de 2018 el PCI SSC publicó la versión 3.0 del mismo documento, fruto del trabajo de los grupos de… (Leer más)
Uno de los elementos más críticos dentro de la cadena transaccional con tarjeta presente son los dispositivos de punto de interacción («Point of interaction») que permiten la captura de los datos de la tarjeta de pago (ya sea mediante la lectura de la banda magnética, el chip EMV o vía contactless) y los datos de… (Leer más)
Contenido bajo Licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.
