PCI Hispano es un proyecto cooperativo en idioma español entre profesionales de América y Europa para compartir conocimiento y experiencias en el proceso de implementación y auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
En Agosto de 2018 el PCI SSC publicó la versión 3.0 del estándar «PIN Security Requirements and Testing Procedures«. Este documento hace parte de la familia de estándares PCI PIN Transaction Security (PTS) en donde también se encuentran PCI HSM (Hardware Security Module) y PCI POI (Point of Interaction), orientados a la protección del PIN… (Leer más)
Tradicionalmente, en transacciones presenciales en las que se requiere la tarjeta física (denominadas «card present» o «brick-and-mortar»), la autorización de la misma se realiza empleando cualquiera de los siguientes métodos de verificación del titular de tarjeta («cardholder verification methods» – CVM): Firma manuscrita (ya obsoleta), Controles biométricos, y/o PIN (Personal Identification Number) Esta validación se… (Leer más)
La masificación en el uso de teléfonos móviles para realizar compras por internet y el consiguiente desarrollo sin control de aplicaciones para estas plataformas, ha abierto un nuevo vector de ataque para los delincuentes, quienes, a través de la explotación de vulnerabilidades en el dispositivo o en el entorno de pago, pueden exfiltrar datos sensibles,… (Leer más)
Como parte de los esfuerzos del PCI SSC para ayudar a los comercios en la alineación de sus entornos con el estándar PCI DSS, el 28 de agosto de 2018 se presentó la herramienta interactiva «Data Security Essentials (DSE) Evaluation Tool for Small Merchants«, que, a través de cuestionarios simples, le permite a los pequeños… (Leer más)
Nmap ha sido durante años la herramienta open source de facto para el descubrimiento de equipos en redes e identificación de puertos y servicios en sistemas operativos, ampliamente utilizada por administradores, operadores, personal de seguridad y asesores QSA para la realización de verificaciones técnicas en auditorías de PCI DSS. Con la integración del módulo Nmap… (Leer más)
Después de la filtración masiva de más de 14.000 datos de tarjetas de pago (incluyendo nombre del titular, PAN, CVV2 y fechas de expiración) de varios bancos chilenos por parte del grupo de hackers The Shadow Brokers (TSB) y reportada por la Superintendencia de Bancos e Instituciones Financieras (SBIF) de Chile este miércoles 25 de… (Leer más)
Para quienes aún no lo sepáis, el pasado 23 de junio de 2018 la filial británica de la compañía de venta de entradas Ticketmaster admitió en un comunicado haber sufrido un incidente de seguridad en sus plataformas Ticketmaster International, Ticketmaster UK, GETMEIN! y TicketWeb. Este incidente tuvo como origen un malware escrito en javascript (Infostealer),… (Leer más)
Es una práctica muy común y extendida entre las empresas que ofrecen servicios de QSA («QSA Companies» – QSAC) que emitan un certificado propio (o «diploma») en el que confirman que el comercio o el proveedor de servicios asesorado/auditado cumple con los controles del estándar PCI DSS al finalizar el cuestionario de autoevaluación (SAQ) o… (Leer más)
NOTA: Este artículo ha sido actualizado para cubrir la versión 3.2.1 de los cuestionarios de autoevaluación (SAQ) de PCI DSS publicada en junio 22 de 2018. En este nuevo artículo se aprovechará para hacer una breve descripción de las características y uso de estos cuestionarios y una comparativa de los controles de cada una de las categorías disponibles. ¿Qué es un… (Leer más)
Con la entrada en vigencia de las restricciones de uso de SSL y TLS temprana en entornos PCI DSS este 30 de junio de 2018, es importante que aquellos comercios y proveedores de servicio que estén finalizando su migración o que implementen nuevos sistemas estén totalmente seguros de que las configuraciones de TLS se adaptan… (Leer más)
Contenido bajo Licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.
