CategorÃa: Contenido general
Contenido general relacionado con los estándares del PCI SSC
Controles compensatorios y enfoque personalizado: ¿Qué son y cuándo se utilizan?
A diferencia de otros estándares de seguridad, el estándar PCI DSS permite cierta flexibilidad en la implementación de sus controles. Si existen restricciones técnicas o administrativas que impiden implementar un control «tal cual» según se pide en el estándar, se...
Cambios en PCI PTS HSM v5.0: ¿A quiénes afectan y qué significa para el futuro de los pagos?
El 18 de mayo de 2026, el PCI SSC publicó la versión 5.0 del estándar PCI PTS HSM (o simplemente PCI HSM). Este estándar incluye numerosos cambios que pueden afectar, directa o indirectamente, el cumplimiento de otros estándares del PCI...
DNS: El punto ciego de PCI DSS
Si creÃas que, implementando todos los controles de PCI DSS, ibas a ser invulnerable frente a ciberataques, puede que sea necesario que revises tu estrategia. Hay ciertas áreas técnicas que no están cubiertas por ese estándar y que deben revisarse...
¿Qué se sabe acerca de PCI DSS v5.0?
La versión 4.0 de PCI DSS fue publicada en marzo de 2022. El PCI Security Standards Council ya está trabajando activamente en la versión 5.0. ¿Qué se sabe de esta nueva versión? La Ley de Rendimientos Acelerados de Ray Kurzweil...
Transparent Data Encryption (TDE): «cumplimiento» vs. «seguridad»
Transparent Data Encryption (TDE) es una tecnologÃa que protege los datos sensibles en bases de datos durante su almacenamiento (data-at-rest). Sin embargo, su uso debe estar restringido a escenarios muy especÃficos, fuera de los cuales el nivel de protección que...
La realidad de PCI SSF: Lo que Vendedores, Entidades (y Asesores) siguen ignorando
Este es el primer artÃculo de una serie dedicada a desglosar el PCI Software Security Framework (SSF). En futuras entregas, profundizaremos en detalles técnicos y casos de uso especÃficos, pero hoy empezamos por los cimientos. En el ecosistema de seguridad...
¿Procesas datos de tarjetas y no quieres complicarte con reportes de cumplimiento de PCI DSS? Asà puedes conseguir una exención
La seguridad de los datos de tarjetas de pago no es la misma que hace 10 o 15 años. La masificación de los chips EMV y de las transacciones contactless, el uso de tokenización, la implementación de controles P2PE y...
La importancia de los modos de cifrado en la criptografÃa
Cuando se usa cifrado, no basta con un algoritmo robusto y una longitud de clave aceptable. Existen otros dos parámetros muy importantes que suelen olvidarse: el modo de cifrado y la parametrización del vector de inicialización (Initialization Vector, IV). Estos...
Diferencias entre escaneos de vulnerabilidades y pruebas de penetración en PCI DSS
Como parte de las actividades periódicas de monitorización del estado de seguridad, el estándar PCI DSS exige realizar una serie de evaluaciones técnicas para identificar de forma temprana posibles problemas de seguridad en los activos del ámbito de cumplimiento y...
GuÃa para entender los tipos de tokens y su uso
Uno de los controles clave del estándar PCI DSS v4.0 es el requerimiento 3.5. En él se enumeran una serie de técnicas para la protección del PAN (Primary Account Number) cuando este debe almacenarse, si existe alguna justificación de negocio. Los...
VCC (Virtual Credit Cards) y PCI DSS
Probablemente una de las dudas más recurrentes durante la identificación del alcance (scope) de PCI DSS de una entidad que usa Virtual Credit Cards (VCCs) es si este tipo de tarjetas están o no en el alcance. Pero, ¿qué son...
5 conceptos clave de la nueva guÃa de autenticación del PCI SSC
A finales de agosto de 2025, el PCI SSC publicó dos nuevas guÃas (suplementos informativos) relacionadas con autenticación y criptografÃa. Aunque estos documentos no cambian la aplicabilidad y/o obligatoriedad de cumplimiento de los controles de PCI SSC relacionados, sà que...
¿Cuáles son las ventajas y desventajas de la rotación periódica del asesor o empresa QSA?
Con el fin de garantizar niveles óptimos de calidad en las evaluaciones de cumplimiento de los estándares del PCI SSC, es muy recomendable (y algunas veces, obligatorio) implementar una rotación periódica del asesor o de la empresa QSA. Pero, ¿cuáles...
Gestión de vulnerabilidades en PCI DSS: Conectando todos los controles relacionados
La gestión de vulnerabilidades es una de las tareas más desgastantes en un entorno PCI DSS, ya que se requiere monitorizar periódicamente la publicación de notificaciones por parte de los fabricantes, revisar los reportes de los escaneos y pruebas de...
