Categoría: PCI DSS

Artículos relacionados con el estándar PCI DSS

DNS: El punto ciego de PCI DSS

Si creías que, implementando todos los controles de PCI DSS, ibas a ser invulnerable frente a ciberataques, puede que sea necesario que revises tu estrategia. Hay ciertas áreas técnicas que no están cubiertas por ese estándar y que deben revisarse...

/ mayo 7, 2026

Transparent Data Encryption (TDE): «cumplimiento» vs. «seguridad»

Transparent Data Encryption (TDE) es una tecnología que protege los datos sensibles en bases de datos durante su almacenamiento (data-at-rest). Sin embargo, su uso debe estar restringido a escenarios muy específicos, fuera de los cuales el nivel de protección que...

/ febrero 19, 2026

Diferencias entre escaneos de vulnerabilidades y pruebas de penetración en PCI DSS

Como parte de las actividades periódicas de monitorización del estado de seguridad, el estándar PCI DSS exige realizar una serie de evaluaciones técnicas para identificar de forma temprana posibles problemas de seguridad en los activos del ámbito de cumplimiento y...

/ diciembre 4, 2025

Guía para entender los tipos de tokens y su uso

Uno de los controles clave del estándar PCI DSS v4.0 es el requerimiento 3.5. En él se enumeran una serie de técnicas para la protección del PAN (Primary Account Number) cuando este debe almacenarse, si existe alguna justificación de negocio.  Los...

/ noviembre 20, 2025

VCC (Virtual Credit Cards) y PCI DSS

Probablemente una de las dudas más recurrentes durante la identificación del alcance (scope) de PCI DSS de una entidad que usa Virtual Credit Cards (VCCs) es si este tipo de tarjetas están o no en el alcance. Pero, ¿qué son...

/ septiembre 18, 2025

¿Cuáles son las ventajas y desventajas de la rotación periódica del asesor o empresa QSA?

Con el fin de garantizar niveles óptimos de calidad en las evaluaciones de cumplimiento de los estándares del PCI SSC, es muy recomendable (y algunas veces, obligatorio) implementar una rotación periódica del asesor o de la empresa QSA. Pero, ¿cuáles...

/ junio 12, 2025

Gestión de vulnerabilidades en PCI DSS: Conectando todos los controles relacionados

La gestión de vulnerabilidades es una de las tareas más desgastantes en un entorno PCI DSS, ya que se requiere monitorizar periódicamente la publicación de notificaciones por parte de los fabricantes, revisar los reportes de los escaneos y pruebas de...

/ junio 5, 2025

¿Se pueden usar certificados o diplomas para demostrar el cumplimiento con PCI DSS?

Continuando con nuestra campaña en pro del buen uso de los términos en el ámbito de PCI, esta vez analizamos el uso del concepto de «certificación» y la emisión de certificados o diplomas posterior a la evaluación formal, con el...

/ abril 29, 2025

¿Qué sigue después de la entrada en vigor de los controles futuros de PCI DSS v4?

Debido a la complejidad en su implementación, el estándar PCI DSS v4 estableció un periodo de gracia para la implementación de ciertos controles de seguridad. Ese periodo expiró el 31 de marzo de 2025. ¿Qué sigue después de esta fecha?...

/ abril 1, 2025

Nuevo suplemento informativo: Seguridad en páginas de pago y prevención de e-skimming

El PCI SSC ha publicado un nuevo suplemento informativo (Information Supplement) orientado a la seguridad en páginas de pago y prevención de ataques de e-skimming como guía para la implementación de los controles 6.4.3 y 11.6.1 de PCI DSS v4.0....

/ marzo 11, 2025

Las dos caras de los escaneos autenticados (PCI DSS req. 11.3.1.2)

Otro de los cambios relevantes en la versión 4.0 de PCI DSS fue la evolución de los escaneos internos de vulnerabilidades desde un enfoque basado en red (PCI DSS v3.2.1) a un enfoque autenticado, que permite visibilidad total de la...

/ marzo 6, 2025

Implementación de controles contra e-skimming (PCI DSS req. 6.4.3 y 11.6.1)

Uno de los controles estrella que incorporó la versión 4.0 de PCI DSS fue la protección contra ataques de e-skimming a través de los requisitos 6.4.3 y 11.6.1. Este control fue la respuesta del PCI SSC ante la masificación de...

/ febrero 26, 2025

Cambios en el SAQ A de PCI DSS v4.0.1

Como parte de los esfuerzos para lograr balancear seguridad y cumplimiento, el PCI SSC anunció el 30 de enero de 2025 que los controles relacionados con la seguridad de páginas de pago (6.4.3 y 11.6.1) serán removidos del Cuestionario de...

/ enero 31, 2025

Datos dentro y fuera del alcance de PCI DSS

Una de las tareas críticas en el cumplimiento de PCI DSS es la identificación del alcance (scope) de cumplimiento. El primer paso para determinar qué activos están dentro o fuera de ese alcance es la identificación del tipo de datos...

/ noviembre 12, 2024

5 puntos clave del documento para la definición de alcance y segmentación en arquitecturas de red modernas

En septiembre de 2025 el PCI SSC publicó un nuevo suplemento informativo para la definición del alcance y segmentación en arquitecturas de red modernas (Information Supplement – PCI DSS Scoping and Segmentation Guidance for Modern Network Architectures). En este artículo...

/ septiembre 19, 2024