CategorÃa: PCI DSS
ArtÃculos relacionados con el estándar PCI DSS
DNS: El punto ciego de PCI DSS
Si creÃas que, implementando todos los controles de PCI DSS, ibas a ser invulnerable frente a ciberataques, puede que sea necesario que revises tu estrategia. Hay ciertas áreas técnicas que no están cubiertas por ese estándar y que deben revisarse...
Transparent Data Encryption (TDE): «cumplimiento» vs. «seguridad»
Transparent Data Encryption (TDE) es una tecnologÃa que protege los datos sensibles en bases de datos durante su almacenamiento (data-at-rest). Sin embargo, su uso debe estar restringido a escenarios muy especÃficos, fuera de los cuales el nivel de protección que...
Diferencias entre escaneos de vulnerabilidades y pruebas de penetración en PCI DSS
Como parte de las actividades periódicas de monitorización del estado de seguridad, el estándar PCI DSS exige realizar una serie de evaluaciones técnicas para identificar de forma temprana posibles problemas de seguridad en los activos del ámbito de cumplimiento y...
GuÃa para entender los tipos de tokens y su uso
Uno de los controles clave del estándar PCI DSS v4.0 es el requerimiento 3.5. En él se enumeran una serie de técnicas para la protección del PAN (Primary Account Number) cuando este debe almacenarse, si existe alguna justificación de negocio. Los...
VCC (Virtual Credit Cards) y PCI DSS
Probablemente una de las dudas más recurrentes durante la identificación del alcance (scope) de PCI DSS de una entidad que usa Virtual Credit Cards (VCCs) es si este tipo de tarjetas están o no en el alcance. Pero, ¿qué son...
¿Cuáles son las ventajas y desventajas de la rotación periódica del asesor o empresa QSA?
Con el fin de garantizar niveles óptimos de calidad en las evaluaciones de cumplimiento de los estándares del PCI SSC, es muy recomendable (y algunas veces, obligatorio) implementar una rotación periódica del asesor o de la empresa QSA. Pero, ¿cuáles...
Gestión de vulnerabilidades en PCI DSS: Conectando todos los controles relacionados
La gestión de vulnerabilidades es una de las tareas más desgastantes en un entorno PCI DSS, ya que se requiere monitorizar periódicamente la publicación de notificaciones por parte de los fabricantes, revisar los reportes de los escaneos y pruebas de...
¿Se pueden usar certificados o diplomas para demostrar el cumplimiento con PCI DSS?
Continuando con nuestra campaña en pro del buen uso de los términos en el ámbito de PCI, esta vez analizamos el uso del concepto de «certificación» y la emisión de certificados o diplomas posterior a la evaluación formal, con el...
¿Qué sigue después de la entrada en vigor de los controles futuros de PCI DSS v4?
Debido a la complejidad en su implementación, el estándar PCI DSS v4 estableció un periodo de gracia para la implementación de ciertos controles de seguridad. Ese periodo expiró el 31 de marzo de 2025. ¿Qué sigue después de esta fecha?...
Nuevo suplemento informativo: Seguridad en páginas de pago y prevención de e-skimming
El PCI SSC ha publicado un nuevo suplemento informativo (Information Supplement) orientado a la seguridad en páginas de pago y prevención de ataques de e-skimming como guÃa para la implementación de los controles 6.4.3 y 11.6.1 de PCI DSS v4.0....
Las dos caras de los escaneos autenticados (PCI DSS req. 11.3.1.2)
Otro de los cambios relevantes en la versión 4.0 de PCI DSS fue la evolución de los escaneos internos de vulnerabilidades desde un enfoque basado en red (PCI DSS v3.2.1) a un enfoque autenticado, que permite visibilidad total de la...
Implementación de controles contra e-skimming (PCI DSS req. 6.4.3 y 11.6.1)
Uno de los controles estrella que incorporó la versión 4.0 de PCI DSS fue la protección contra ataques de e-skimming a través de los requisitos 6.4.3 y 11.6.1. Este control fue la respuesta del PCI SSC ante la masificación de...
Cambios en el SAQ A de PCI DSS v4.0.1
Como parte de los esfuerzos para lograr balancear seguridad y cumplimiento, el PCI SSC anunció el 30 de enero de 2025 que los controles relacionados con la seguridad de páginas de pago (6.4.3 y 11.6.1) serán removidos del Cuestionario de...
Datos dentro y fuera del alcance de PCI DSS
Una de las tareas crÃticas en el cumplimiento de PCI DSS es la identificación del alcance (scope) de cumplimiento. El primer paso para determinar qué activos están dentro o fuera de ese alcance es la identificación del tipo de datos...
5 puntos clave del documento para la definición de alcance y segmentación en arquitecturas de red modernas
En septiembre de 2025 el PCI SSC publicó un nuevo suplemento informativo para la definición del alcance y segmentación en arquitecturas de red modernas (Information Supplement – PCI DSS Scoping and Segmentation Guidance for Modern Network Architectures). En este artÃculo...
