All posts by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Diferencias entre un estándar del PCI SSC y un programa de validación

El cumplimiento de los controles de los estándares del PCI SSC se rigen por dos elementos que trabajan de forma mancomunada: el estándar como tal y su programa de validación relacionado. Aquí te explicamos sus diferencias. Cuando una entidad requiere...

/ noviembre 27, 2024

Datos dentro y fuera del alcance de PCI DSS

Una de las tareas críticas en el cumplimiento de PCI DSS es la identificación del alcance (scope) de cumplimiento. El primer paso para determinar qué activos están dentro o fuera de ese alcance es la identificación del tipo de datos...

/ noviembre 12, 2024

No se dice: «Auditoría de PCI DSS». Se debería decir: «Evaluación de cumplimiento de PCI DSS»

Es muy común escuchar los términos «Auditoría de PCI DSS» o «Auditor de PCI DSS» dentro de la jerga relacionada con el cumplimiento con estándar PCI DSS. El uso de esta terminología está masificado incluso en Asesores Cualificados de Seguridad...

/ octubre 22, 2024

Breve reseña del PCI SSC Europe Community Meeting 2024 en Barcelona

Este octubre de 2024 se celebró el evento «Europe Community Meeting» del PCI SSC en la preciosa ciudad de Barcelona (España). En este artículo te contamos los principales temas tratados, los cambios que se avecinan en términos de estándares de...

/ octubre 14, 2024

5 puntos clave del documento para la definición de alcance y segmentación en arquitecturas de red modernas

En septiembre de 2025 el PCI SSC publicó un nuevo suplemento informativo para la definición del alcance y segmentación en arquitecturas de red modernas (Information Supplement – PCI DSS Scoping and Segmentation Guidance for Modern Network Architectures). En este artículo...

/ septiembre 19, 2024

¿Qué es PCI DSS?

En esta nueva serie de artículos de PCI Hispano se presentará una descripción general de cada uno de los estándares publicados actualmente por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (Payment Card Industry Security...

/ agosto 18, 2024

Nueva versión de PCI DSS: 4.0.1

El 11 de junio de 2024 el PCI SSC publicó la versión 4.0.1 del estándar PCI DSS, que remplaza a la versión 4.0 publicada en marzo de 2022 Esta nueva versión contiene revisiones menores, correcciones tipográficas y de formato y...

/ junio 12, 2024

Todo lo que necesitas saber acerca de INFI en PCI DSS v4.x (descontinuado)

NOTA: El 19 de marzo de 2024 el PCI SSC tomó la decisión de descontinuar el uso de los formularios Items Noted for Improvement (INFI), introducidos con la versión 4.0 del estándar PCI DSS. Esta decisión ha sido tomada con...

/ marzo 20, 2024

Obsolescencia de Triple DES (TDEA) y su impacto en los estándares del PCI SSC

El 1 de enero de 2024 marcó un hito en la historia de la criptografía moderna: El algoritmo Triple DES (3DES/TDES o TDEA) fue catalogado como «obsoleto» por NIST. Esta noticia hace parte de los esfuerzos de la migración hacia...

/ marzo 13, 2024

Controles recurrentes, futuros y con TRA de PCI DSS v4.0 en formato Excel

Para garantizar la efectividad y eficacia de los controles de PCI DSS a lo largo del tiempo, algunos de los controles del estándar requieren una ejecución periódica (recurrente). Esta recurrencia ha sido establecida por el PCI SSC en el estándar...

/ diciembre 20, 2023

Recordatorio PCI PIN: Cambia el proceso de carga de claves desde el 1 de enero de 2024

De acuerdo con las Preguntas Técnicas de Uso Frecuente de PCI PIN (PCI PTS PIN Security Requirements − Technical FAQs for use with Version 3), a partir del 1 de enero de 2024 el proceso de carga de claves en...

/ diciembre 14, 2023

PCI DSS v4.0 en formato Microsoft Excel

¿Cuántas veces hemos necesitado los controles de PCI DSS v4.0 organizados en un archivo de Microsoft Excel? Seguramente muchas. Lamentablemente, el PCI SSC solamente publica el estándar en versión PDF, lo cual limita enormemente la dinámica en la gestión de...

/ diciembre 12, 2023

El PCI SSC publica el documento «Targeted Risk Analysis (TRA) Guidance» para PCI DSS v4.x

En noviembre de 2023 el PCI SSC publicó una nueva guía para soportar las actividades requeridas en PCI DSS v4.x. En esta ocasión, se trata del documento PCI DSS v4.x Targeted Risk Analysis Guidance (Análisis de Riesgo Dirigido, de acuerdo...

/ noviembre 30, 2023

AWS publica su guía de cumplimiento con PCI DSS v4.0

Como parte de sus esfuerzos para facilitar la implementación de los controles de diferentes estándares de seguridad en los entornos de sus clientes, Amazon Web Services (AWS), como proveedor de servicios en la nube (Cloud Service Provider – CSP), publicó...

/ noviembre 28, 2023

Validez de los reportes y evaluaciones de cumplimiento de PCI DSS v3.2.1

El PCI SSC estableció el 31 de marzo de 2024 como fecha límite para la retirada de la versión 3.2.1 de PCI DSS. A partir del 1 de abril de 2024 la única versión activa y oficial de PCI DSS...

/ noviembre 15, 2023