Protección de datos de tarjetas en pagos vía telefónica y grabación de llamadas en Centros de Llamadas (Call Centers)

Dentro de los canales operativos por los cuales se reciben datos de tarjetas se encuentran los canales presenciales (aquellos en los cuales el usuario tiene que estar presente para verificar su identidad digitando su PIN) y los canales no presenciales (en los cuales se emplean otras  alternativas para la validación de la identidad del usuario, como por… (Leer más)

Una visión general de los requerimientos de seguridad para la producción de tarjetas de pago

Como respuesta a una necesidad que se venía presentando desde hace bastante tiempo, el PCI SSC ha publicado el 9 de Mayo de 2013 dos nuevos documentos: PCI Card Production Logical Security Requirements v1.0 PCI Card Production Physical Security Requirements v1.0 Estos nuevos requerimientos están dirigidos específicamente para empresas que se dedican a estampación de tarjetas… (Leer más)

Controles compensatorios: ¿Qué son y cuándo se utilizan?

El estándar PCI DSS define una serie de controles físicos, lógicos y administrativos para la protección de los datos de tarjetas de pago que son transmitidos, procesados y/o almacenados.  La mayoría de veces estos controles se pueden implementar sin mayores traumatismos dentro de la organización, pero otras veces (ya sea por limitantes técnicas o administrativas)… (Leer más)

Herramientas Free y Open Source para la búsqueda de datos de tarjetas de pago en medios de almacenamiento

Uno de los principales riesgos a ser gestionado antes, durante y después de la implementación de los estándares del PCI SSC  es el almacenamiento inseguro de datos de tarjetas de pago. Cualquier dato de titular de tarjeta que sea almacenado sin la correcta aplicación del requerimiento 3.4 de PCI DSS implica inmediatamente un incumplimiento en el estándar. Por… (Leer más)

La red ideal de PCI DSS

Está claro: el título de este artículo es demasiado pretencioso. No todas las empresas cuentan con la misma operativa, ni con la misma tecnología o personal y mucho menos con las mismas necesidades de negocio, con lo cual tratar de generalizar y definir una “red ideal” es muy complicado. En función de los flujos de… (Leer más)

Atributos extendidos “Append-only” + “Immutability” en Unix como soporte en la protección en el almacenamiento de logs / archivos críticos en PCI DSS

Una de las tareas claves dentro de la gestión de archivos críticos del sistema y registros de eventos (logs) es garantizar la integridad de los mismos (Req. 10.5 y específicamente 10.5.2). En el caso de los logs, cualquier modificación no autorizada puede hacer que un log pierda su validez probatoria y por ende su valor… (Leer más)

PCI DSS y Disponibilidad

Como ya muchos lo sabemos, la confidencialidad, la integridad y la disponibilidad (“Confidentiality, Integrity, Availability”) son los pilares básicos de la seguridad de la información.  Una correcta implementación de estos tres conceptos empleando controles físicos, lógicos y administrativos son los que nos llevan a una gestión satisfactoria del riesgo. Cuando se realiza una lectura inicial… (Leer más)

PCI DSS y el almacenamiento de datos de tarjetas en memoria intermedia, RAM y archivos de depuración

Después de un arduo trabajo en la implementación del control 3.4 de PCI DSS para proteger los datos de tarjetas de pago que son almacenados en el entorno, se puede tener la sensación que todos los riesgos potenciales están minimizados a un nivel gestionable y cumpliendo con los criterios del estándar. Sin embargo – y… (Leer más)

CardHolder Data Matrix (CHDM): ¿Qué es y para qué se utiliza?

Uno de los elementos claves dentro de la gestión contable es un inventario.  De acuerdo con la Real Academia de la Lengua Española, un “inventario” se define como “Asiento de los bienes y demás cosas pertenecientes a una persona o comunidad, hecho con orden y precisión“. Básicamente, su función principal es permitir conocer en un… (Leer más)

Página 12 de 12« Primero...3456789101112

Siguenos en redes sociales

Suscripción a feedSíguenos en TwitterSíguenos en FacebookPerfil de LinkedInSíguenos en Google+

Editor Principal

David AcostaDavid Acosta

CISSP Instructor, CISA, CISM, CRISC, PCI QSA, CHFI Trainer, CEH, CCNA Security, OPST, BS25999 LA.

Colaboradores

Guillem FábregasGuillem Fábregas

CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 Lead Auditor

Ariel VásquezAriel Vásquez

CISSP, OPST

Suscríbete al blog por correo electrónico

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas.

Únete a otros 87 suscriptores

Seguir

Reciba las actualizaciones en su correo

Ir arriba