ISACA (Information Systems Audit and Control Association – Asociación de Auditoría y Control de Sistemas de Información) ha publicado el documento «Is Mobile the Winner in Payment Security? Mobile Wallet PAN Tokenization Is Proving to Be Hard to Hack» (se requiere registro previo para proceder con la descarga).
Este documento describe (entre otras cosas):
- La diferencia entre pagos móviles (o pagos móviles de proximidad) con otros métodos de pago
- Tecnologías de comunicación para pagos móviles (Near Field Communication (NFC) y Magnetic Secure Transmission (MST))
- La arquitectura de seguridad de los dispositivos móviles (Normal Operating System (OS) and Application Environment, Secure Element (SE) yTrusted Execution Environment (TEE))
-
El uso de Host Card Emulation (HCE)
-
Implementación de modelos de tokenización para la protección de datos de tarjeta de pago
-
Una comparación entre modelos de pago móviles (Android Pay, Samsung Pay, Apple Pay) y pagos con tarjetas (EMV y banda magnética)
-
Riesgos asociados a estas tecnologias y consideraciones de seguridad a implementar, incluyendo un listado de controles de seguridad sugeridos
El documento viene acompañado del infográfico «Pay with This, Not That/Accept This, Not That» que explica gráficamente las diferencias entre las vulnerabilidades de los métodos de pago populares y las ventajas de emplear tecnologías de pago a través del móvil.
Por otra parte, también se han publicado los siguientes documentos relacionados con PCI DSS:
- A Practical Guide to the Payment Card Industry Data Security Standard (PCI DSS): Esta guía ofrece una visión práctica al proceso de implementación de PCI DSS analizando el estándar y sus documentos asociados (este documento tiene un coste de 35 USD para miembros de ISACA y de 60 USD para no miembros)
- ICQ and Audit/Assurance Program for PCI DSS Compliance Program: Este documento incluye Cuestionarios de Control Internos («Internal controls questionnaire» – ICQ) y una serie de recomendaciones para el programa de cumplimiento y auditoría de PCI DSS (documento gratuito solo para miembros)
- ICQ: Is Your PCI DSS Compliance Program Working Correctly?: Lista de verificación («checklist») que puede ser empleado como cuestionario de control interno (ICQ) para validar el alineamiento de la organización con PCI DSS (requiere registro previo para descarga)
- PCI DSS and COBIT 5 Processes Mapping Table: Tabla que muestra la relación entre los 12 requerimientos de PCI DSS y los procesos de COBIT 5 a alto nivel (requiere registro previo para descarga)
Si conoces de otros recursos adicionales vinculados con el cumplimiento de PCI DSS, no olvides dejar tu comentario o visitar nuestro foro.