Autor: David Acosta

Avatar

Website: http://www.deacosta.com
Bio: Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP. CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.

Posts por David:

Por qué almacenar el PAN truncado junto con su hash es una muy mala idea

Posted on: 21 Feb 2019

Imaginemos por un momento que, por alguna necesidad justificada de negocio, un comercio requiere almacenar el dato del número de cuenta primario o PAN (Primary Account Number) en su entorno. Para ello, decide emplear una función de hash o “función resumen”: Una función de hash es una función matemática que puede recibir como entrada un… (Leer más)

El 2019 empieza con múltiples novedades: Publicación del PCI Software Security Framework, actualización del suplemento de mantenimiento del cumplimiento y más

Posted on: 05 Feb 2019

El PCI Security Standards Council (PCI SSC) ha empezado este año 2019 con una serie de novedades que vaticinan que este será un año bastante movido en términos de seguridad en transacciones con tarjetas de pago: Tal y como se explicó en el artículo «PCI Software Security Standard (S3) Framework: La evolución de PA DSS… (Leer más)

Caso de estudio: Protección de servicios inseguros usando tunelización con TLS y redirección de tráfico

Posted on: 09 Ene 2019

Cuando se procede con la implementación de controles de PCI DSS en un entorno informático suele ser muy común encontrar servicios de red que, por alguna razon (obsolescencia, limitaciones técnicas del fabricante, limitaciones de hardware, problemas de compatibilidad, etc.), no ofrecen los niveles de seguridad exigidos por el estándar pero que son necesarios en términos… (Leer más)

Heartland vs. Trustwave: La diferencia entre cumplimiento y seguridad

Posted on: 12 Dic 2018

En marzo de 2008, Heartland Payment Systems (una de las mayores pasarelas de pago de Estados Unidos, con cerca de 100 millones de transacciones con tarjeta por mes provenientes de más de 175.000 comercios, por aquel entonces) sufría uno de los mayores incidentes de seguridad del siglo XXI: más de 134 millones de datos de… (Leer más)

El PCI SSC publica la nueva versión del suplemento informativo para la protección de datos de tarjetas en pagos por teléfono

Posted on: 03 Dic 2018

Ya han pasado casi 7 años desde la publicación de la versión 2.0 del suplemento informativo para la protección de datos de tarjetas en pagos por teléfono («Information Supplement: Protecting Telephone-based Payment Card Data»). En noviembre de 2018 el PCI SSC publicó la versión 3.0 del mismo documento, fruto del trabajo de los grupos de… (Leer más)

¿Tu empresa usa datáfonos y otros dispositivos de captura de PIN? Entonces esta información te interesa

Posted on: 28 Nov 2018

Uno de los elementos más críticos dentro de la cadena transaccional con tarjeta presente son los dispositivos de punto de interacción («Point of interaction») que permiten la captura de los datos de la tarjeta de pago (ya sea mediante la lectura de la banda magnética, el chip EMV o vía contactless) y los datos de… (Leer más)

Caso de estudio: Cumplimiento del requerimiento 11.4 (Network IDS/IPS) en entornos cloud IaaS

Posted on: 20 Nov 2018

Una de las principales ventajas de la migración a un modelo basado en la nube («cloud») es el de la delegación de responsabilidades de gestión de infraestructura de TI en un proveedor especializado. Dependiendo de las necesidades de la organización, esta delegación se puede enmarcar en cualquiera de los tres modelos principales: IaaS («Infrastructure as… (Leer más)

6 consejos clave del QSA para minimizar el entorno de cumplimiento de PCI DSS

Posted on: 23 Oct 2018

Cuando una organización requiere almacenar, procesar y/o transmitir cualquier tipo de dato considerado como confidencial, directamente agrega una nueva variable al mapa de riesgos de su entorno. Esto ocurre con datos de carácter personal (PII), con datos clínicos o con datos de tarjetas de pago, por solo enumerar algunos ejemplos. Lamentablemente, muchas de estas organizaciones… (Leer más)

¿Qué es SNCP (Sistema Nacional de Cifrado de Pistas)?

Posted on: 16 Oct 2018

En términos generales, cada vez que se hace una transacción con una tarjeta de pago a través de un datáfono, los datos de dicha tarjeta son transmitidos al centro autorizador de la siguiente manera: Los datos del PAN de la tarjeta y otra información relacionada (nombre del titular, código de servicio, fecha de expiración) capturados… (Leer más)

PCI Hispano entrevista a Carlos Alejandro (cofundador de TIKVA en Argentina)

Posted on: 08 Oct 2018

[PCI Hispano] Llevas muchos años trabajando en el área de seguridad en medios de pago para varias empresas en Argentina (VISA, KPMG, PwC) y ahora has fundado tu propia empresa (TIVKA). Por tu experiencia, ¿por qué consideras que aún las organizaciones no priorizan la inversión en seguridad sino hasta que tienen un incidente o requieren… (Leer más)

Ir arriba