Gestionando vulnerabilidades de acuerdo con PCI DSS

Considerando que la evaluación del asesor es “un snapshot” de cumplimiento al día de la visita en sitio, ¿cómo podemos demostrar – tanto el asesor como la entidad – que las vulnerabilidades fueron tratadas el tiempo en forma durante todo el año? Esta tarea puede llegar a ser muy compleja tanto para el asesor como… (Leer más)

Diferencias entre «enmascaramiento» y «truncamiento» en PCI DSS

De forma recurrente he detectado que muchas personas (incluyendo asesores QSA) usan los términos «enmascaramiento» (masking) y «truncamiento» (truncation) como si fueran sinónimos. No obstante, desde la perspectiva de PCI DSS y de seguridad, estos términos tienen un significado y una aplicabilidad diferente, como se describe a continuación: Enmascaramiento El término «enmascaramiento» (masking o data… (Leer más)

¿Cómo gestionar proyectos de certificación y/o cumplimiento de PCI DSS?

Muchos me consultan cómo iniciar o gestionar su proyecto de cumplimiento de PCI DSS. Les respondo que no hay una fórmula mágica, ya que esto depende de las características y particularidades de su negocio; lo que sí les puedo asegurar, de acuerdo a mi experiencia, es que deben gestionar el proyecto siguiendo las buenas prácticas… (Leer más)

Instrucciones para crear diagramas de red y de flujo alineados con PCI DSS

Probablemente, tres de los elementos más importantes durante una evaluación de cumplimiento de PCI DSS son los diagramas de red, los diagramas de flujo y el inventario de activos, ya que permiten tener una visión general del entorno y de los elementos que lo conforman. En este artículo se discutirán una serie de puntos a… (Leer más)

El año 2020 empieza con cambios de versiones y nuevos estándares: P2PE 3.0 y CPoC 1.0

Antes de que finalizara el año 2019, el PCI Security Standards Council (PCI SSC) publicó la versión 3.0 del estándar Point-To-Point Encryption (P2PE) y el nuevo estándar PCI Contactless Payments on COTS (CPoC™). Estos estándares hacen parte de las actividades enmarcadas dentro de los cuatro pilares del marco estratégico del PCI SSC, orientados hacia la… (Leer más)

VISA publica alertas por skimming en comercios electrónicos y malware en dispensadores de combustible

Debido a la masificación de ataques de tipo skimming tanto en transacciones no presenciales (comercio electrónico) como en transacciones presenciales y malware especifico para captura de datos de tarjetas, VISA ha publicado dos alertas de seguridad (Visa Security Alerts) este mes de noviembre de 2019 para notificar a los comerciantes y proveedores de servicio respecto… (Leer más)

15 pasos para cumplir con el estándar PCI DSS

Cuando una empresa requiere demostrar su cumplimiento con el estándar PCI DSS debe realizar una serie de pasos para garantizar que sus esfuerzos se encuentran enfocados de una forma correcta y que los activos involucrados en el procesamiento, almacenamiento y transmisión de datos se encuentran asegurados de acuerdo con los criterios del estándar. Si dichos… (Leer más)

¿Se puede usar un teléfono móvil para aceptar pagos con tarjetas contactless?

Las cámaras fotográficas, los reproductores de mp3, los sistemas de posicionamiento global (GPS), las consolas de videojuegos portables e incluso las linternas han sido remplazadas por el teléfono móvil inteligente (smartphone). A partir de diciembre de 2019 una nueva funcionalidad le permitirá a los teléfonos móviles convertirse en dispositivos para permitir pagos mediante tarjetas contactless. … (Leer más)

¿Se necesita usar segmentación de red para cumplir con PCI DSS?

Probablemente una de las preguntas que más se suele escuchar durante los procesos de definición e implantación de controles de PCI DSS en una red es la de si es necesario (u obligatorio) usar segmentación de red (network segmentation) como parte de los requerimientos del estándar. Antes de continuar, es importante definir el concepto de… (Leer más)

Adiós a los controles compensatorios (o de compensación). Bienvenida la validación personalizada

Cuando una organización que debe implementar los controles del estándar PCI DSS se encuentra con una limitación/restricción técnica o administrativa que le impide implementar un control tal cual como se indica en el estándar, los controles de compensación (o compensatorios) llegaban al rescate. Los controles compensatorios – para poder ser aceptados como tal – deben… (Leer más)

Síguenos en redes sociales

Editor Principal

Versiones actuales de los estándares del PCI SSC

PCI DSS: 3.2.1
PA DSS: 3.2
P2PE: 3.0
PTS PIN: 3.0
PTS HSM: 3.0
PTS POI: 6.0
TSP: 1.0
3DS: 1.0
SPoC: 1.1
CPoC: 1.0
Secure Software Standard (S3): 1.0
Secure SLC Standard: 1.0
Card Production (Logical): 2.0
Card Production (Physical): 2.0

Suscríbete al blog por correo electrónico

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas.

Únete a otros 360 suscriptores

Ir arriba