10 años del PCI SSC: La línea de tiempo del comité de estándares

En septiembre de 2016 se cumplen los primeros 10 años del PCI Security Standards Council, organización encargada de la gestión de los estándares de seguridad de datos de tarjetas de pago. Desde su fundación, su objetivo ha sido establecer un marco de trabajo trasversal entre comercios, proveedores de servicio y entidades financieras para proteger los… (Leer más)

Beneficios de cumplir con PCI DSS

Sabemos que cumplir con el estándar PCI DSS es una tarea ardua y compleja y que la mayoría de compañías – de forma errónea – solo se enfrentan a ella por el requerimiento explícito por parte de entidades bancarias o clientes, pero la adaptación a dicho estándar también aporta numerosos beneficios adicionales a las entidades… (Leer más)

RAM Scraping: ¿Es suficiente con PCI DSS?

Con la masificación del malware para TPV (POS) y los incidentes de robo de datos de tarjetas de pago en Target y en las cadenas de hoteles Hilton y Trump (por solo citar algunos), uno de los primeros interrogantes que se plantean en una organización es el cómo gestionar el impacto de este código malicioso… (Leer más)

Investigadores demuestran múltiples vulnerabilidades en chips EMV en Black Hat USA 2016

En las conferencias de Black Hat USA de 2016 se han demostrado varias vulnerabilidades en las tarjetas que incluyen chips EMV (conocidas también como Chip & PIN) que le permiten a los atacantes obtener la información de la tarjeta almacenada de forma “segura” en el chip y emplearla en transacciones fraudulentas. Las primeras vulnerabilidades fueron… (Leer más)

ISACA publica una guía de seguridad en pagos móviles (y otros documentos interesantes)

ISACA (Information Systems Audit and Control Association  – Asociación de Auditoría y Control de Sistemas de Información) ha publicado el documento “Is Mobile the Winner in Payment Security? Mobile Wallet PAN Tokenization Is Proving to Be Hard to Hack” (se requiere registro previo para proceder con la descarga). Este documento describe (entre otras cosas): La… (Leer más)

Aplicación de PCI DSS en plataformas de VoIP (Voz sobre IP)

Dentro de un proyecto de implantación PCI DSS nos podemos encontrar el caso en el que la entidad afectada reciba o proporcione datos de tarjeta a través de llamadas telefónicas, como puede pasar – por ejemplo – en un call center de venta telefónica. En estos casos nos pueden surgir dudas relacionadas sobre la aplicabilidad… (Leer más)

Autenticación multi-factor (MFA): la nueva apuesta de seguridad de PCI DSS v3.2

Uno de los cambios más significativos en la versión 3.2 del estándar PCI DSS (publicada a finales de abril de 2016) consistió en la expansión del requerimiento 8.3 para incluir el uso de autenticación multi-factor para cualquier conexión que no sea de consola. El concepto de “autenticación multi-factor” entró a remplazar al concepto de “autenticación… (Leer más)

¿Eres una PYME? Ya tienes disponibles para descarga los recursos para pagos seguros

Uno de los principales problemas en el proceso de implementación de controles de seguridad en pagos con tarjeta proviene del desconocimiento tanto de las amenazas como de las contramedidas por parte de los comercios. Adicionalmente, la complejidad en el reporte del cumplimiento, el uso de términos altamente técnicos en los documentos relacionados y la masificación… (Leer más)

Controles técnicos de PCI DSS parte VI: Registro de eventos (logs)

En esta sexta entrega de la serie “Controles técnicos de PCI DSS” se realizará una breve introducción a la gestión de registros de eventos (logs) en PCI DSS como parte de la estrategia de prevención y detección de incidentes relacionados con datos de tarjetas de pago, las acciones de monitorización periódica y la gestión de… (Leer más)

¿Estas buscando un listado de documentación para cumplir con PCI DSS? ¡Aquí lo tienes!

Uno de los principales inconvenientes en el proceso de implementación de controles de PCI DSS (o de cualquier otro estándar) suele ser el desarrollo de su documentación relacionada (políticas, estándares, mejores prácticas, guías, procedimientos, manuales, etc.).  La implementación técnica y física de los controles de seguridad puede ser correcta, pero casi siempre el fallo proviene… (Leer más)

Página 4 de 1212345678910...Último »

Siguenos en redes sociales

Suscripción a feedSíguenos en TwitterSíguenos en FacebookPerfil de LinkedInSíguenos en Google+

Editor Principal

David AcostaDavid Acosta

CISSP Instructor, CISA, CISM, CRISC, PCI QSA, CHFI Trainer, CEH, CCNA Security, OPST, BS25999 LA.

Colaboradores

Guillem FábregasGuillem Fábregas

CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 Lead Auditor

Ariel VásquezAriel Vásquez

CISSP, OPST

Suscríbete al blog por correo electrónico

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas.

Únete a otros 138 suscriptores

Seguir

Reciba las actualizaciones en su correo

Ir arriba