Todo lo que siempre has querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación) de PCI DSS v3.2 Rev.1.1 (Incluye comparativo en Excel de los tipos de SAQ)

NOTA: Este artículo ha sido actualizado para cubrir la revisión 1.1 de los SAQ de PCI DSS publicada en enero 30 de 2017. De forma paralela a la publicación de la nueva versión de PCI DSS (3.2), el PCI SSC puso a disposición para descarga los formularios actualizados de los Cuestionarios de Auto-evaluación (Self Assessment Questionnaires –… (Leer más)

Breve análisis de 9 técnicas para la minimización del fraude en transacciones de comercio electrónico

En 1967, la División de Sistemas Avanzados de IBM diseñó el primer prototipo de una tarjeta con una banda magnética que contenía los datos del titular codificados, permitiendo la automatización en la gestión de las transacciones procesadas, ya que evitaba tener que ingresar de forma manual los datos de cada cliente en el momento de… (Leer más)

Nuevos cambios en el estándar de numeración del Bank Identification Number (BIN) podrán afectar a PCI DSS

Tal como se explica en el artículo “¿Cómo funcionan las tarjetas de pago? Parte I: PAN (Primary Account Number)“, el PAN (Primary Account Number – Número Primario de Cuenta) de una tarjeta de pago se encuentra compuesto por varias partes: La estructura de los seis primeros números del PAN (denominados “Número de Identificador del Emisor… (Leer más)

Aclaración sobre la opción “Not Tested” en PCI DSS

Siguiendo la estela dejada por el último boletín oficial para asesores QSA emitido por el PCI SSC el pasado 1 de diciembre, es necesario comentar la aclaración que se hizo sobre la opción “Not Tested”, existente en los Report on Compliance (documento resultante de las auditorías oficiales del estándar PCI DSS, llevadas a cabo por… (Leer más)

El PCI SSC publica una guía para la determinación del alcance y segmentación de red para PCI DSS

Tal y como lo habíamos anunciado hace algunos días, el PCI SSC publicó el 9 de diciembre de 2016 una nueva guía (Information Supplement) denominado “Guidance for PCI DSS Scoping and Network Segmentation“. Este documento ha sido desarrollado para aclarar las dudas relacionadas con la definición del alcance de cumplimiento (“scope”) de PCI DSS y… (Leer más)

El PCI SSC publicará una guía para la definición del alcance y segmentación en PCI DSS

Una de las fases más complicadas y en la cual muchos comercios y proveedores de servicio entran en conflicto con el criterio del QSA es la definición del alcance de cumplimiento (scope) de PCI DSS. Debido a la ambigüedad de términos y descripciones, potencialmente se pueden dejar sistemas críticos sin la protección adecuada, con lo… (Leer más)

Autenticación Multi-Factor (MFA) de varios pasos, no permitida por el PCI SSC

El pasado jueves 1 de diciembre, los QSA nos despertamos con un nuevo boletín oficial para asesores emitido por el PCI SSC. En dicho boletín, aparece una consideración importante acerca de la autenticación multi-factor (MFA), necesaria para todos los accesos remotos al entorno de cumplimiento PCI DSS, según dicta el requerimiento 8.3 del propio estándar.… (Leer más)

Reducción de entornos PCI DSS utilizando soluciones de cifrado punto-a-punto no listadas como P2PE

Como vimos en la entrada de hace unos días, el pasado día 22 de Noviembre, el PCI SSC publicó un nuevo suplemento llamado “Information Supplement: Assessment Guidance for Non-Listed Encryption Solutions“, que intenta dar las pautas para conseguir el cumplimiento del estándar PCI DSS en entornos que estén utilizando soluciones de cifrado punto-a-punto a través… (Leer más)

El PCI SSC publica una guía para la evaluación de soluciones de encriptación punto a punto (P2PE) no listadas

Como respuesta a la creciente implementación de soluciones de cifrado punto a punto (Point-to-Point encryption) para la protección de datos de tarjeta de pago en transacciones presenciales a través de TPV, el PCI SSC ha publicado el documento “Information Supplement: Assessment Guidance for Non-Listed Encryption Solutions“.  Este documento – cuyo público objetivo son los PCI… (Leer más)

La versión 3.1 de PCI DSS es oficialmente obsoleta

Con el fin de permitir un tiempo prudencial para que las organizaciones puedan preparar la implementación de los nuevos cambios en los estándares recién publicados  y ofrecer un “tiempo de gracia” en aquellos entornos que se encuentran alineados con los controles del estándar anterior y se encuentran próximos o en la ejecución de una auditoría… (Leer más)

Página 2 de 1212345678910...Último »

Siguenos en redes sociales

Suscripción a feedSíguenos en TwitterSíguenos en FacebookPerfil de LinkedInSíguenos en Google+

Editor Principal

David AcostaDavid Acosta

CISSP Instructor, CISA, CISM, CRISC, PCI QSA, CHFI Trainer, CEH, CCNA Security, OPST, BS25999 LA.

Colaboradores

Guillem FábregasGuillem Fábregas

CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 Lead Auditor

Ariel VásquezAriel Vásquez

CISSP, OPST

Suscríbete al blog por correo electrónico

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas.

Únete a otros 86 suscriptores

Seguir

Reciba las actualizaciones en su correo

Ir arriba