En esta entrada vamos a analizar el recién suplemento informativo publicado por el PCI Security Standards Council relativo a la computación en la nube (PDF). En primer lugar, destacar que es un documento bastante exhaustivo (52 páginas) que incluso, en nuestra opinión, va un poco más allá de lo que se esperaría de un suplemento informativo del PCI […]
El pasado mes de noviembre, el PCI Council publicó el suplemento informativo titulado “PCI DSS Risk Assessment Guidelines” (pdf) orientado a ampliar detalles para cumplir con el requerimiento 12.1.2 que exige que las políticas de seguridad “incluyan un proceso anual que identifique amenazas y vulnerabilidades y concluya con un análisis de riesgos formal“. La estrategia propuesta por […]
El pasado mes de septiembre, el PCI SSC publicó los requisitos para su nuevo programa PCIP – Payment Card Industry Profesional es decir, Profesional de la Industria de Tarjetas de Pago que viene a cubrir el espacio que no cubren los QSA, ASV, ISA, PFI y QIR… es decir, básicamente consultoras/es que no trabajen en QSAC (compañías […]
(Publicación cruzada en Carpe Diem) El asunto de los datos sensibles de autenticación antes de la autorización de la operación siempre ha sido una cuestión delicada… básicamente, porque PCI DSS establece requerimientos para estos datos post-autorización pero deja los datos pre-autorización en una nebulosa. Concretamente, el requerimiento 3.2 reza: “No almacenar los datos sensibles de autenticación […]
El pasado mes de abril, el PCI Security Standards Council publicó la versión 1.1 del estándar “PCI Point-to-Point Encryption” y como ya comentamos la primera versión, vamos ahora a comentar esta nueva edición. Fundamentalmente, la nueva versión del estándar, además de modificar algunos requerimientos (que veremos luego), incluye ya los procedimientos de prueba para los QSA homologados para P2PE (recordaréis […]
El pasado mes de septiembre, el PCI Council liberó la versión inicial de los requerimientos [enlace] en materia de cifrado, descifrado y gestión de claves para los dispositivos criptográficos seguros de las soluciones de cifrado punto a punto (o P2PE por su acrónimo en inglés, point-to-point encryption) basadas en un esquema hardware / hardware (es […]
[Publicado originalmente en Carpe Diem – Reproducido con permiso del autor] Como nos comentaba Jorge, un miembro del grupo ‘PCI Spain‘ de LinkedIn, hace algunos días, VISA relajaba la necesidad de recertificar el cumplimiento de PCI DSS para algunos comercios fuera de los EE.UU., en concreto, a aquellos que hubieran invertido en la implantación de EMV. Claro que […]