Por qué almacenar el PAN truncado junto con su hash es una muy mala idea

Imaginemos por un momento que, por alguna necesidad justificada de negocio, un comercio requiere almacenar el dato del número de cuenta primario o PAN (Primary Account Number) en su entorno. Para ello, decide emplear una función de hash o “función resumen”: Una función de hash es una función matemática que puede recibir como entrada un… (Leer más)

¿Qué algoritmos criptográficos se deben emplear para cumplir con PCI DSS?

Mediante el uso de la criptografía se pretende proteger un mensaje confidencial empleando de un algoritmo y una clave. No obstante, no todos los algoritmos y no todas las claves ofrecen los mismos niveles de seguridad. La búsqueda de las debilidades de estos elementos se conoce como «criptoanálisis«. En términos prácticos, la fortaleza de un… (Leer más)

Análisis de la Guía de Seguridad para Productos de Tokenización del PCI SSC

Según el requerimiento 3.4 del estándar PCI DSS, una de las posibles opciones a implementar para la protección del PAN (Primary Account Number) de las tarjetas de pago almacenadas en un entorno PCI DSS es la tokenización. Dicha técnica se basa en sustituir la información sensible (en este caso el PAN (Primary Account Number) de… (Leer más)

Controles técnicos de PCI DSS parte IV: FIM (File Integrity Monitoring)

Para la cuarta entrega de la serie «Controles técnicos de PCI DSS» se introducirá el concepto de File Integrity Monitoring (FIM) y su papel dentro de la monitorización de archivos críticos dentro del entorno de cumplimiento de PCI DSS. ¿Qué es File Integrity Monitoring (FIM)? El concepto de seguridad de la información se basa en… (Leer más)

Listas blancas de aplicación (Application Whitelisting): ¿Qué son y cuándo se usan?

Para entrar en contexto, imaginemos la siguiente situación: en un evento público se quiere implementar un sistema de control de acceso para limitar el ingreso de personas que puedan causar disturbios y afectar la seguridad de los asistentes. Para ello, se han definido tres estrategias diferentes: Emplear una «Lista Negra» (Blacklist), en la cual se tienen los nombres de todos los… (Leer más)

Síguenos en redes sociales

Editor Principal

Versiones actuales de los estándares del PCI SSC

PCI DSS: 3.2.1
PA DSS: 3.2
P2PE: 2.0 Rev 1.1
PTS PIN: 3.0
PTS HSM: 3.0
PTS POI: 5.1
TSP: 1.0
3DS: 1.0
SPoC: 1.0
Secure Software Standard (S3): 1.0
Secure SLC Standard: 1.0
Card Production (Logical): 2.0
Card Production (Physical): 2.0

Suscríbete al blog por correo electrónico

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas.

Únete a otros 253 suscriptores

Ir arriba