PCI DSS v.3.2.1 y NIST CSF (Cybersecurity Framework): Integrando la seguridad de medios de pago con la estrategia de ciberseguridad corporativa

El marco de trabajo de ciberseguridad del NIST (NIST Cybersecurity Framework – NIST CSF) se ha convertido en uno de los documentos de referencia más reconocidos y completos para gestionar el establecimiento y monitorización de una estrategia de ciberseguridad. Desde su primera publicación en el año 2014 entró a complementar a otros marcos de trabajo… (Leer más)

¿Estar o no estar en el alcance de PCI DSS? Ese es el dilema

Constantemente existen muchas dudas respecto a qué procesos, sistemas o productos deberían de ser incluidos en el alcance de PCI DSS independientemente de si es la primera certificación o ha tenido cambios en sus procesos que tengan que ser incluidos dentro del alcance de su certificación. Me he dado a la tarea de recopilar algunas… (Leer más)

Fin del soporte de Windows 7 y Windows Server 2008 (WS2K8) y su impacto en PCI DSS

Al igual que sucedió con Windows XP y con Windows 2003, Microsoft ya ha anunciado el fin del ciclo de vida («End of Life» – EOL) para dos versiones de su sistema operativo Windows: Windows 7 (todas las versiones incluyendo el Service Pack 1) y Windows Server 2008 (todas las versiones incluyendo R2). Para ambos… (Leer más)

¿Qué es PCI DSS?

En esta nueva serie de artículos de PCI Hispano se presentará una descripción general de cada uno de los estándares publicados actualmente por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (Payment Card Industry Security Standards Council – PCI SSC) para la protección de los elementos involucrados en el ecosistema… (Leer más)

Consideraciones para el cifrado de disco y cumplir con el requisito 3.4.1 de PCI DSS

He notado que muchas de las organizaciones que desean cumplir con PCI DSS 3.2.1 tienen dudas sobre cómo cumplir con el requisito 3.4, por lo que en este, mi primer artículo, me tomé la tarea de explicar a detalle este requisito y cómo lo podamos abordar. Para comenzar, entendamos el requisito 3.4: Hasta este momento,… (Leer más)

¿Cuándo se publicará la versión 4.0 de PCI DSS y qué novedades traerá?

Como recordaremos, en mayo de 2018 se publicó la versión 3.2.1 del estándar Payment Card Industry Data Security Standard (PCI DSS). Esta era una revisión menor de la versión 3.2, cuyo objetivo principal fue retirar una serie de fechas de entrada en vigencia de diversos controles que ya se habían cumplido y corregir algunas erratas,… (Leer más)

¿Cuáles son las ventajas de un programa de rotación periódica del asesor o empresa QSA?

Hace algunos días el PCI SSC publicó en su blog corporativo un artículo bastante interesante relacionado con la rotación periódica del asesor o de la empresa QSA (Qualified Security Assessor) encargada de realizar las evaluaciones anuales en aquellas entidades sujetas a una auditoría anual de PCI DSS. Esta es una práctica que muy pocas empresas… (Leer más)

PCI Hispano publica las versiones en Excel de PCI DSS v3.2.1 en inglés y español

¿Cuántas veces hemos necesitado los controles de PCI DSS v3.2.1 organizados en una hoja de MS Excel? Seguramente muchas. Lamentablemente, el PCI SSC solamente publica el estándar en versión PDF, lo cual limita enormemente la dinámica en la gestión de los controles y del cumplimiento del estándar. Por ello, en PCI Hispano nos hemos tomado… (Leer más)

Por qué almacenar el PAN truncado junto con su hash es una muy mala idea

Imaginemos por un momento que, por alguna necesidad justificada de negocio, un comercio requiere almacenar el dato del número de cuenta primario o PAN (Primary Account Number) en su entorno. Para ello, decide emplear una función de hash o “función resumen”: Una función de hash es una función matemática que puede recibir como entrada un… (Leer más)

Heartland vs. Trustwave: La diferencia entre cumplimiento y seguridad

En marzo de 2008, Heartland Payment Systems (una de las mayores pasarelas de pago de Estados Unidos, con cerca de 100 millones de transacciones con tarjeta por mes provenientes de más de 175.000 comercios, por aquel entonces) sufría uno de los mayores incidentes de seguridad del siglo XXI: más de 134 millones de datos de… (Leer más)

Síguenos en redes sociales

Editor Principal

Versiones actuales de los estándares del PCI SSC

PCI DSS: 3.2.1
PA DSS: 3.2
P2PE: 2.0 Rev 1.1
PTS PIN: 3.0
PTS HSM: 3.0
PTS POI: 5.1
TSP: 1.0
3DS: 1.0
SPoC: 1.0
Secure Software Standard (S3): 1.0
Secure SLC Standard: 1.0
Card Production (Logical): 2.0
Card Production (Physical): 2.0

Suscríbete al blog por correo electrónico

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas.

Únete a otros 286 suscriptores

Ir arriba