5 conceptos clave de la nueva guÃa de autenticación del PCI SSC
A finales de agosto de 2025, el PCI SSC publicó dos nuevas guÃas (suplementos informativos) relacionadas con autenticación y criptografÃa. Aunque estos documentos no cambian la aplicabilidad y/o obligatoriedad de cumplimiento de los controles de PCI SSC relacionados, sà que...
Hardware Security Module (HSM): ¿Qué es y para qué sirve?
Uno de los principales problemas derivados del uso de la criptografÃa para la protección de datos sensibles durante su almacenamiento y su transmisión es la complejidad en la gestión del ciclo de vida de las claves de encriptación (generación, almacenamiento,...
¿Cuáles son las ventajas y desventajas de la rotación periódica del asesor o empresa QSA?
Con el fin de garantizar niveles óptimos de calidad en las evaluaciones de cumplimiento de los estándares del PCI SSC, es muy recomendable (y algunas veces, obligatorio) implementar una rotación periódica del asesor o de la empresa QSA. Pero, ¿cuáles...
Gestión de vulnerabilidades en PCI DSS: Conectando todos los controles relacionados
La gestión de vulnerabilidades es una de las tareas más desgastantes en un entorno PCI DSS, ya que se requiere monitorizar periódicamente la publicación de notificaciones por parte de los fabricantes, revisar los reportes de los escaneos y pruebas de...
PCI SSC PIN Listing Program: Todo lo que necesitas saber
En mayo de 2025 el PCI SSC anunció la publicación de un listado de entidades que cumplen con el estándar PCI PIN. Dicho listado – a diferencia de los listados anteriores que eran gestionados por las propias marcas de pago,...
Hash criptográfico con clave: fundamentos y caracterÃsticas
Una de las mejoras significativas que incorporó el estándar PCI DSS en su versión 4.0 fue el uso de funciones de hash criptográfico con clave (keyed cryptographic hash) como remplazo de las funciones de hash tradicionales (non-keyed hash) que, hasta...
¿Se pueden usar certificados o diplomas para demostrar el cumplimiento con PCI DSS?
Continuando con nuestra campaña en pro del buen uso de los términos en el ámbito de PCI, esta vez analizamos el uso del concepto de «certificación» y la emisión de certificados o diplomas posterior a la evaluación formal, con el...
Controles compensatorios: ¿Qué son y cuándo se utilizan?
A diferencia de otros estándares de seguridad, el estándar PCI DSS permite cierta flexibilidad en la implementación de sus controles. Si existen restricciones técnicas o administrativas que no permiten implementar un control «tal cual» como se pide en el estándar,...
¿Qué sigue después de la entrada en vigor de los controles futuros de PCI DSS v4?
Debido a la complejidad en su implementación, el estándar PCI DSS v4 estableció un periodo de gracia para la implementación de ciertos controles de seguridad. Ese periodo expiró el 31 de marzo de 2025. ¿Qué sigue después de esta fecha?...
Inteligencia Artificial (IA) en las evaluaciones de PCI: Un vistazo a la nueva guÃa del PCI SSC
En marzo del 2025 el PCI SSC publicó una nueva guÃa que cambiará totalmente el proceso de evaluación de controles de sus estándares, permitiendo el uso controlado de tecnologÃas de Inteligencia Artificial (AI) como soporte a los asesores QSA: Payment...
Nuevo suplemento informativo: Seguridad en páginas de pago y prevención de e-skimming
El PCI SSC ha publicado un nuevo suplemento informativo (Information Supplement) orientado a la seguridad en páginas de pago y prevención de ataques de e-skimming como guÃa para la implementación de los controles 6.4.3 y 11.6.1 de PCI DSS v4.0....
Las dos caras de los escaneos autenticados (PCI DSS req. 11.3.1.2)
Otro de los cambios relevantes en la versión 4.0 de PCI DSS fue la evolución de los escaneos internos de vulnerabilidades desde un enfoque basado en red (PCI DSS v3.2.1) a un enfoque autenticado, que permite visibilidad total de la...
Implementación de controles contra e-skimming (PCI DSS req. 6.4.3 y 11.6.1)
Uno de los controles estrella que incorporó la versión 4.0 de PCI DSS fue la protección contra ataques de e-skimming a través de los requisitos 6.4.3 y 11.6.1. Este control fue la respuesta del PCI SSC ante la masificación de...
Cambios en el SAQ A de PCI DSS v4.0.1
Como parte de los esfuerzos para lograr balancear seguridad y cumplimiento, el PCI SSC anunció el 30 de enero de 2025 que los controles relacionados con la seguridad de páginas de pago (6.4.3 y 11.6.1) serán removidos del Cuestionario de...
ES 
EN