¿Cuáles son las ventajas de un programa de rotación periódica del asesor o empresa QSA?

Hace algunos días el PCI SSC publicó en su blog corporativo un artículo bastante interesante relacionado con la rotación periódica del asesor o de la empresa QSA (Qualified Security Assessor) encargada de realizar las evaluaciones anuales en aquellas entidades sujetas a una auditoría anual de PCI DSS. Esta es una práctica que muy pocas empresas… (Leer más)

PCI Hispano publica las versiones en Excel de PCI DSS v3.2.1 en inglés y español

¿Cuántas veces hemos necesitado los controles de PCI DSS v3.2.1 organizados en una hoja de MS Excel? Seguramente muchas. Lamentablemente, el PCI SSC solamente publica el estándar en versión PDF, lo cual limita enormemente la dinámica en la gestión de los controles y del cumplimiento del estándar. Por ello, en PCI Hispano nos hemos tomado… (Leer más)

Por qué almacenar el PAN truncado junto con su hash es una muy mala idea

Imaginemos por un momento que, por alguna necesidad justificada de negocio, un comercio requiere almacenar el dato del número de cuenta primario o PAN (Primary Account Number) en su entorno. Para ello, decide emplear una función de hash o “función resumen”: Una función de hash es una función matemática que puede recibir como entrada un… (Leer más)

Heartland vs. Trustwave: La diferencia entre cumplimiento y seguridad

En marzo de 2008, Heartland Payment Systems (una de las mayores pasarelas de pago de Estados Unidos, con cerca de 100 millones de transacciones con tarjeta por mes provenientes de más de 175.000 comercios, por aquel entonces) sufría uno de los mayores incidentes de seguridad del siglo XXI: más de 134 millones de datos de… (Leer más)

El PCI SSC publica la nueva versión del suplemento informativo para la protección de datos de tarjetas en pagos por teléfono

Ya han pasado casi 7 años desde la publicación de la versión 2.0 del suplemento informativo para la protección de datos de tarjetas en pagos por teléfono (“Information Supplement: Protecting Telephone-based Payment Card Data”). En noviembre de 2018 el PCI SSC publicó la versión 3.0 del mismo documento, fruto del trabajo de los grupos de… (Leer más)

¿Tu empresa usa datáfonos y otros dispositivos de captura de PIN? Entonces esta información te interesa

Uno de los elementos más críticos dentro de la cadena transaccional con tarjeta presente son los dispositivos de punto de interacción (“Point of interaction”) que permiten la captura de los datos de la tarjeta de pago (ya sea mediante la lectura de la banda magnética, el chip EMV o vía contactless) y los datos de… (Leer más)

Caso de estudio: Cumplimiento del requerimiento 11.4 (Network IDS/IPS) en entornos cloud IaaS

Una de las principales ventajas de la migración a un modelo basado en la nube (“cloud”) es el de la delegación de responsabilidades de gestión de infraestructura de TI en un proveedor especializado. Dependiendo de las necesidades de la organización, esta delegación se puede enmarcar en cualquiera de los tres modelos principales: IaaS (“Infrastructure as… (Leer más)

PCI-DSS como multiplicador de ventas

Y, ¿si pensamos en PCI-DSS no como un gasto sino más bien como una inversión? PCI-DSS no es una norma sencilla. La mayoría de empresas toman la decisión de entrar en cumplimiento de la norma por exigencia de su banco adquirente o por alguno de sus clientes, pero, ¿conocemos la verdadera importancia de cumplir con… (Leer más)

Cumplimiento con PCI DSS: Consejos básicos para pequeños comercios

En su labor de soporte para asegurar todos los canales de pago con datos de tarjeta, el PCI SSC ha publicado unas “píldoras” formativas – llamadas “Payment data security essentials” – para ayudar a los pequeños comercios online a cumplir con los requerimientos del estándar de seguridad PCI DSS. Dichas píldoras indican recomendaciones o buenas… (Leer más)

6 consejos clave del QSA para minimizar el entorno de cumplimiento de PCI DSS

Cuando una organización requiere almacenar, procesar y/o transmitir cualquier tipo de dato considerado como confidencial, directamente agrega una nueva variable al mapa de riesgos de su entorno. Esto ocurre con datos de carácter personal (PII), con datos clínicos o con datos de tarjetas de pago, por solo enumerar algunos ejemplos. Lamentablemente, muchas de estas organizaciones… (Leer más)

Síguenos en redes sociales

Suscripción a feedSíguenos en TwitterSíguenos en FacebookPerfil de LinkedIn

Editor Principal

Versiones actuales de los estándares del PCI SSC

PCI DSS: 3.2.1
PA DSS: 3.2
P2PE: 2.0 Rev 1.1
PTS PIN: 3.0
PTS HSM: 3.0
PTS POI: 5.1
TSP: 1.0
3DS: 1.0
SPoC: 1.0
Secure Software Standard (S3): 1.0
Secure SLC Standard: 1.0
Card Production (Logical): 2.0
Card Production (Physical): 2.0

Suscríbete al blog por correo electrónico

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas.

Únete a otros 241 suscriptores

Ir arriba