Categoría: Contenido general

Contenido general relacionado con los estándares del PCI SSC

¿Se pueden usar certificados o diplomas para demostrar el cumplimiento con PCI DSS?

Continuando con nuestra campaña en pro del buen uso de los términos en el ámbito de PCI, esta vez analizamos el uso del concepto de «certificación» y la emisión de certificados o diplomas posterior a la evaluación formal, con el...

/ abril 29, 2025

¿Qué sigue después de la entrada en vigor de los controles futuros de PCI DSS v4?

Debido a la complejidad en su implementación, el estándar PCI DSS v4 estableció un periodo de gracia para la implementación de ciertos controles de seguridad. Ese periodo expiró el 31 de marzo de 2025. ¿Qué sigue después de esta fecha?...

/ abril 1, 2025

Las dos caras de los escaneos autenticados (PCI DSS req. 11.3.1.2)

Otro de los cambios relevantes en la versión 4.0 de PCI DSS fue la evolución de los escaneos internos de vulnerabilidades desde un enfoque basado en red (PCI DSS v3.2.1) a un enfoque autenticado, que permite visibilidad total de la...

/ marzo 6, 2025

Implementación de controles contra e-skimming (PCI DSS req. 6.4.3 y 11.6.1)

Uno de los controles estrella que incorporó la versión 4.0 de PCI DSS fue la protección contra ataques de e-skimming a través de los requisitos 6.4.3 y 11.6.1. Este control fue la respuesta del PCI SSC ante la masificación de...

/ febrero 26, 2025

Métodos de gestión de claves criptográficas: clave fija, MK/SK y DUKPT

Cuando se emplean claves criptográficas simétricas para la protección de datos almacenados o transmitidos, es necesario establecer ciertos protocolos para su carga, transmisión, rotación o bloqueo. En los estándares del PCI SSC (principalmente PCI PIN y P2PE), cuando los datos...

/ enero 29, 2025

Diferencias entre un estándar del PCI SSC y un programa de validación

El cumplimiento de los controles de los estándares del PCI SSC se rigen por dos elementos que trabajan de forma mancomunada: el estándar como tal y su programa de validación relacionado. Aquí te explicamos sus diferencias. Cuando una entidad requiere...

/ noviembre 27, 2024

Datos dentro y fuera del alcance de PCI DSS

Una de las tareas críticas en el cumplimiento de PCI DSS es la identificación del alcance (scope) de cumplimiento. El primer paso para determinar qué activos están dentro o fuera de ese alcance es la identificación del tipo de datos...

/ noviembre 12, 2024

No se dice: «Auditoría de PCI DSS». Se debería decir: «Evaluación de cumplimiento de PCI DSS»

Es muy común escuchar los términos «Auditoría de PCI DSS» o «Auditor de PCI DSS» dentro de la jerga relacionada con el cumplimiento con estándar PCI DSS. El uso de esta terminología está masificado incluso en Asesores Cualificados de Seguridad...

/ octubre 22, 2024

5 puntos clave del documento para la definición de alcance y segmentación en arquitecturas de red modernas

En septiembre de 2025 el PCI SSC publicó un nuevo suplemento informativo para la definición del alcance y segmentación en arquitecturas de red modernas (Information Supplement – PCI DSS Scoping and Segmentation Guidance for Modern Network Architectures). En este artículo...

/ septiembre 19, 2024

Todo lo que necesitas saber acerca de INFI en PCI DSS v4.x (descontinuado)

NOTA: El 19 de marzo de 2024 el PCI SSC tomó la decisión de descontinuar el uso de los formularios Items Noted for Improvement (INFI), introducidos con la versión 4.0 del estándar PCI DSS. Esta decisión ha sido tomada con...

/ marzo 20, 2024

Breve historia de las tarjetas de pago

El uso de las tarjetas débito y crédito son parte de nuestra vida financiera diaria. De acuerdo con el Banco de España, actualmente hay en España aproximadamente 85 millones de tarjetas de pago (plásticos) en circulación, más de 60.000 cajeros...

/ enero 19, 2023