Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44466
      Lolita
      Participante

      Muy Buenas tardes,

      Seria tan amable tengo un duda respecto a lo siguiente:
      1. El algortimo AES es considerado de aceptación para certificación PCI
      2. He escuchado acerca de un comunicado enviado de Visa a los bancos Adquirentes en donde las empresas pequeñas con pagos de Tarjetas deben tener controles de PCI en su gestión más no se exige la certificación como tal. No estoy segura peró esta rigiendo en esta época pero en si el comunicado esta desde 2008.
      MI pais: Colombia

      Muchas Gracias y quedo atenta

    • #44591
      David Acosta
      Participante

      Buenas tardes:
      A continuación las respuestas a tus preguntas.
      1. Para PCI DSS (requerimiento 3.4) se exige el uso de «criptografía sólida». Si buscamos ese concepto en el glosario del PCI SSC (https://es.pcisecuritystandards.org/security_standards/glossary.php#S) veremos lo siguiente:
      «… At the time of publication, examples of industry-tested and accepted standards and algorithms for minimum encryption strength include AES (128 bits and higher), TDES (minimum triple-lengthkeys), RSA (2048 bits and higher), ECC (160 bits and higher), and ElGamal (2048 bits and higher). See NIST Special Publication 800-57 Part 1 (http://csrc.nist.gov/publications/) for more guidance on cryptographic key strengths and algorithms…»
      Con lo cual el algoritmo de encriptamiento AES es totalmente aceptable para PCI DSS. Sin embargo, el tema clave complementario al algoritmo es la longitud de la clave de cifrado, que debe ser lo bastante larga para garantizar un cifrado robusto. Para el caso de AES, el mínimo aceptable es una clave de 128 bits o superior.
      2. Es cierto. Dependiendo de la cantidad de transacciones anuales realizadas por un comercio en particular, existen dos opciones para demostrar el cumplimiento: mediante una auditoría o mediante un cuestionario de autoevaluación. Es importante tener presente que el cumplimiento de PCI DSS es OBLIGATORIO para cualquier comercio.
      + Si quieres conocer los niveles de transacciones y los requerimientos exigidos, revisa el artículo «Niveles de cumplimiento y requerimientos de las marcas para comercios y proveedores de servicio en PCI DSS» http://www.pcihispano.com/niveles-de-cumplimiento-y-requerimientos-de-las-marcas-para-comercios-y-proveedores-de-servicio-en-pci-dss/
      + Si quieres conocer qué es un SAQ, revisa el artículo «Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)» http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/
      Sin embargo, es muy importante que hables con tu banco adquiriente, ya que en función de la región y de la marca tanto los requerimientos de cumplimiento y la forma de reporte puede variar.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.