PCI Hispano es un proyecto cooperativo en idioma español entre profesionales de América y Europa para compartir conocimiento y experiencias en el proceso de implementación y auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
En las conferencias de Black Hat USA de 2016 se han demostrado varias vulnerabilidades en las tarjetas que incluyen chips EMV (conocidas también como Chip & PIN) que le permiten a los atacantes obtener la información de la tarjeta almacenada de forma «segura» en el chip y emplearla en transacciones fraudulentas. Las primeras vulnerabilidades fueron… (Leer más)
ISACA (Information Systems Audit and Control Association – Asociación de Auditoría y Control de Sistemas de Información) ha publicado el documento «Is Mobile the Winner in Payment Security? Mobile Wallet PAN Tokenization Is Proving to Be Hard to Hack» (se requiere registro previo para proceder con la descarga). Este documento describe (entre otras cosas): La… (Leer más)
Dentro de un proyecto de implantación PCI DSS nos podemos encontrar el caso en el que la entidad afectada reciba o proporcione datos de tarjeta a través de llamadas telefónicas, como puede pasar – por ejemplo – en un call center de venta telefónica. En estos casos nos pueden surgir dudas relacionadas sobre la aplicabilidad… (Leer más)
Uno de los cambios más significativos en la versión 3.2 del estándar PCI DSS (publicada a finales de abril de 2016) consistió en la expansión del requerimiento 8.3 para incluir el uso de autenticación multi-factor para cualquier conexión que no sea de consola. El concepto de “autenticación multi-factor” entró a remplazar al concepto de “autenticación… (Leer más)
Uno de los principales problemas en el proceso de implementación de controles de seguridad en pagos con tarjeta proviene del desconocimiento tanto de las amenazas como de las contramedidas por parte de los comercios. Adicionalmente, la complejidad en el reporte del cumplimiento, el uso de términos altamente técnicos en los documentos relacionados y la masificación… (Leer más)
En esta sexta entrega de la serie «Controles técnicos de PCI DSS» se realizará una breve introducción a la gestión de registros de eventos (logs) en PCI DSS como parte de la estrategia de prevención y detección de incidentes relacionados con datos de tarjetas de pago, las acciones de monitorización periódica y la gestión de… (Leer más)
En este artículo de la serie «Documentación de soporte para PCI DSS» se presentará un listado general de los documentos requeridos por PCI DSS, con el fin de ser empleado como referencia para la creación del cuerpo normativo asociado con el estándar. Uno de los principales inconvenientes en el proceso de implementación de controles de… (Leer más)
Siguiendo las fechas límites impuestas por el PCI SSC, a partir del 30 de junio de 2016 todos los proveedores de servicio deben ofrecer una opción de protocolo seguro para su servicio: Esto significa que las tareas descritas en el Plan de Migración y Mitigación de riesgos ya deberían estar implementadas y que el proveedor… (Leer más)
En este nuevo artículo de la serie «Documentación de soporte para PCI DSS» se presentará un listado global de los controles de PCI DSS que deben ser tenidos en cuenta en la redacción de los estándares de configuración segura o «hardening», para garantizar una correcta configuración técnica de las tecnologías presentes en el entorno de… (Leer más)
En este artículo de la serie «Documentación de soporte para PCI DSS» se presentará un listado de todas las tareas recurrentes (o periódicas) requeridas por el estándar PCI DSS. Este listado puede ser empleado para llevar un control de la ejecución de dichas tareas y definir métricas de cumplimiento dentro de las acciones de mantenimiento… (Leer más)
Contenido bajo Licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.
