El 1 de enero de 2024 marcó un hito en la historia de la criptografía moderna: El algoritmo Triple DES (3DES/TDES o TDEA) fue catalogado como «obsoleto» por NIST. Esta noticia hace parte de los esfuerzos de la migración hacia algoritmos más seguros en la carrera hacia la criptografía post-cuántica (PQC), pero afectará múltiples entornos […]

marzo 13, 2024

Uno de los conceptos más importantes introducidos en PCI DSS v4.0 fue el de promover la seguridad como un proceso continuo.  Por ello,  el PCI SSC ha desarrollado una nueva hoja de trabajo denominada Items Noted for Improvement (INFI), en donde el asesor QSA o ISA puede reportar cualquier actividad susceptible de mejora en la […]

enero 31, 2024

Para garantizar la efectividad y eficacia de los controles de PCI DSS a lo largo del tiempo, algunos de los controles del estándar requieren una ejecución periódica (recurrente). Esta recurrencia ha sido establecida por el PCI SSC en el estándar PCI DSS v4.0: Para algunos de estos controles, la entidad puede definir su periodicidad con […]

diciembre 20, 2023

De acuerdo con las Preguntas Técnicas de Uso Frecuente de PCI PIN (PCI PTS PIN Security Requirements − Technical FAQs for use with Version 3), a partir del 1 de enero de 2024 el proceso de carga de claves en dispositivos HSM empleando componentes en texto claro cambia de forma significativa. Aquí te explicamos esos […]

diciembre 14, 2023

¿Cuántas veces hemos necesitado los controles de PCI DSS v4.0 organizados en un archivo de Microsoft Excel? Seguramente muchas. Lamentablemente, el PCI SSC solamente publica el estándar en versión PDF, lo cual limita enormemente la dinámica en la gestión de los controles en el día a día de la operación. Por ello, en PCI Hispano […]

diciembre 12, 2023

🩹 Consejos del QSA #2:

En la versión 4.0 de PCI DSS req. 6.3.3, los parches «altos» y «críticos» se deben instalar dentro del primer mes posterior a su publicación. En PCI DSS v3.2.1 (req. 6.2) solo se requería la instalación de los parches «críticos» dentro del mes después de su publicación.
diciembre 5, 2023

En noviembre de 2023 el PCI SSC publicó una nueva guía para soportar las actividades requeridas en PCI DSS v4.x. En esta ocasión, se trata del documento PCI DSS v4.x Targeted Risk Analysis Guidance (Análisis de Riesgo Dirigido, de acuerdo con la traducción oficial del estándar), que brinda las pautas necesarias para la definición de […]

noviembre 30, 2023

Como parte de sus esfuerzos para facilitar la implementación de los controles de diferentes estándares de seguridad en los entornos de sus clientes, Amazon Web Services (AWS), como proveedor de servicios en la nube (Cloud Service Provider – CSP), publicó en agosto de 2023 la actualización de su Guía de Cumplimiento en PCI DSS, esta […]

noviembre 28, 2023

💡 Consejos del QSA #1:

La solución de Web Application Firewall (WAF) descrita en el req. 6.4 de PCI DSS v4.0 no solamente debe analizar tráfico web proveniente de sesiones interactivas con usuarios sino que también debe analizar protocolos y estándares para intercambiar datos entre aplicaciones (Web Services), incluyendo XML, SOAP, WSDL, REST, GraphQL, etc.
noviembre 21, 2023

El PCI SSC estableció el 31 de marzo de 2024 como fecha límite para la retirada de la versión 3.2.1 de PCI DSS. A partir del 1 de abril de 2024 la única versión activa y oficial de PCI DSS será la 4.0. Pero, ¿qué pasa evaluaciones de cumplimiento realizadas antes y después de esas […]

noviembre 15, 2023

En una decisión que ha tomado por sorpresa a todo el ecosistema de medios de pago, Visa anunció que su programa de Seguridad del PIN (Visa PIN Security Program) finalizó el 1 de octubre de 2023. En un escueto comunicado publicado recientemente en su página web corporativa, Visa anunció que, a partir del 1 de […]

octubre 30, 2023

En este nuevo artículo de la serie ¿Qué es? se realizará una breve introducción al estándar Payment Card Industry (PCI) PIN Security (PCI PIN), focalizado en la protección del número de identificación personal (PIN) en transacciones presenciales. Introducción El estándar Payment Card Industry (PCI) PIN Security (o PCI PIN) es un estándar de seguridad que […]

enero 25, 2023

Fechas importantes:

Octubre 1, 2023: El programa Visa PIN ha sido retirado.
Enero 1, 2024: Cambia el proceso de carga de claves por componentes en PCI PIN
Marzo 31, 2024: El estándar PCI DSS v3.2.1 será retirado y la versión 4.0 entrará totalmente en vigor.
Enero 1, 2025: Fecha final de la fase 3 de implementación de key blocks para PCI PIN.
Marzo 31, 2025: Los requerimientos futuros de PCI DSS v4.0 entrarán en vigor.
enero 24, 2023

El uso de las tarjetas débito y crédito son parte de nuestra vida financiera diaria. De acuerdo con el Banco de España, actualmente hay en España aproximadamente 85 millones de tarjetas de pago (plásticos) en circulación, más de 60.000 cajeros electrónicos y casi 2 millones de terminales de punto de venta (TPV), lo que nos […]

enero 19, 2023

Con la entrada en vigencia del estándar PCI PIN v2.0 en el año 2014, todas las claves simétricas cifradas (criptogramas) deben ser manejadas en estructuras denominadas key blocks, que permiten proteger de forma estandarizada la integridad de dichas claves criptográficas y asociarlas de forma inequívoca a un uso en particular para evitar modificaciones o sustituciones […]

diciembre 14, 2022

En este nuevo artículo se presenta una breve introducción al Marco de Seguridad de Software o PCI SSF (Payment Card Industry Software Security Framework), que remplazó al estándar PA-DSS (Payment Applications Data Security Standard) en octubre de 2022. Introducción Uno de los objetivos más fáciles de atacar por un ciberdelincuente es una aplicación de pago […]

noviembre 30, 2022

En este penúltimo artículo de la serie “Análisis de PCI DSS v4.0” se presenta un análisis a los cambios del requerimiento 12 – parte del grupo 6 “Maintain an Information Security Policy”- en la versión 4.0 del estándar PCI DSS. Requerimiento 12: Support Information Security with Organizational Policies and Programs El último requerimiento del estándar […]

noviembre 17, 2022

A partir de octubre de 2022 el logotipo de China UnionPay (UP) estará presente en los reportes de cumplimiento de los estándares del PCI SSC, conjuntamente con los logos de las cinco entidades fundadoras. China UnionPay (o simplemente «UnionPay» o UP) es una empresa estatal china de servicios financieros con sede en Shanghái (China). Ofrece […]

noviembre 2, 2022

En esta sexta entrega de la serie “Análisis de PCI DSS v4.0” se analizarán los requerimientos 10 y 11 del estándar PCI DSS v4.0. Estos requerimientos hacen parte del grupo 5. Regularly Monitor and Test Networks, que continua con el mismo nombre de la versión 3.2.1 del estándar. El objetivo de estos dos requerimientos es […]

septiembre 15, 2022

Con más de 250 artículos publicados y una media de 10.000 visitantes únicos por mes, PCI Hispano se ha convertido en un referente en el área de seguridad de medios de pago y cumplimiento normativo en Hispanoamérica. Sin embargo, después de más de 9 años en línea, era necesario realizar una actualización tanto a nivel […]

agosto 18, 2022

En esta nueva serie de artículos de PCI Hispano se presentará una descripción general de cada uno de los estándares publicados actualmente por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (Payment Card Industry Security Standards Council – PCI SSC) para la protección de los elementos involucrados en el ecosistema […]

agosto 18, 2022

En esta quinta entrega de la serie “Análisis de PCI DSS v4.0” se analizarán los cambios aplicados a los requerimientos 7, 8 y 9 del estándar en su nueva versión (4.0). Estos requerimientos – que hacen parte del grupo 4 “Implement Strong Access Control Measures” – están orientados hacia la implementación y monitorización de controles […]

agosto 18, 2022

En esta cuarta entrega de la serie “Análisis de PCI DSS 4.0” se presenta una revisión a los cambios en los requerimientos 5 y 6 del estándar PCI DSS ocurridos entre las versiones 3.2.1 y 4.0. Estos dos requerimientos están enfocados a la protección a nivel de software para prevenir, detectar y mitigar la explotación […]

agosto 18, 2022

Continuando con el análisis a la versión 4.0 del estándar PCI DSS, en esta tercera parte de la serie se analizarán los requerimientos 3 y 4 que hacen parte del grupo “Protect Account Data”, enfocados a la protección de la confidencialidad y la integridad de los datos de tarjetas de pago durante su almacenamiento y […]

agosto 18, 2022

En esta segunda parte de la serie “Análisis de PCI DSS v4.0” se realizará una revisión a los requerimientos 1 y 2 del estándar, que hacen parte del grupo “Build and Maintain a Secure Network and Systems”, orientados al control del tráfico de red entrante y saliente del entorno y a la configuración segura de […]

agosto 18, 2022

En esta primera parte de esta serie «Análisis de PCI DSS v4.0» se analizará la historia detrás de la versión 4.0 del estándar, las variables que influyeron en su cambio y el proceso de revisión y publicación asociado. A continuación, en entregas subsiguientes, se realizará una revisión a los cambios en los requerimientos y en […]

agosto 17, 2022