Outsourcing S.A.S. BIC su primera certificación de cumplimiento de PCI DSS

Bogotá 15 de abril de 2024

Outsourcing S.A.S. BIC es el primer contact center y BPO de Colombia, con más de 30 años ofreciendo soluciones integrales a empresas del sector público y privado para la atención y gestión de sus clientes, que trabajan para las empresas e instituciones más importantes de Colombia y Latinoamérica.

Outsourcing S.A.S. BIC, una empresa de Business Process Outsourcing (BPO), está celebrando la obtención de su primera certificación de cumplimiento de PCI DSS de la mano de Internet Security Auditors como QSA.

El logro de esta certificación refleja el compromiso de Outsourcing S.A.S. BIC con el cumplimiento de los más altos estándares en Seguridad de Datos para la Industria de Tarjeta de Pago y la protección de la integridad, la confidencialidad de la información de las tarjetas de pago y la lucha contra el robo de datos y el fraude relacionado con las transacciones con tarjeta de crédito.

Cambios en el examen CISSP - Vigentes desde el 15 de abril de 2024

Desde el 15 de abril de 2024, ISC2 actualiza el examen de la credencial CISSP. Estas actualizaciones son el resultado del Análisis de Tareas de Trabajo (JTA), que es un análisis del contenido actual de la credencial evaluado por los miembros de ISC2 en un ciclo trienal.

Para obtener más información sobre este proceso y la próxima actualización, resolvemos a continuación algunas preguntas frecuentes:

Este mayo estaremos de nuevo en la RSA Conference 2024 en San Francisco (USA)

Los días del 6 al 9 de mayo se celebrará en San Francisco (USA) una nueva edición de la RSA Conference, la conferencia global más relevante y una de las más exitosas dentro de la industria de la ciberseguridad, donde un año más, los principales representantes del sector a nivel mundial se dan cita.

ISecAuditors participa un año más en las IV Jornadas STIC Panamá

Los dos eventos de referencia del sector de la ciberseguridad en España, las Jornadas STIC y el Congreso RootedCON, han aunado esfuerzos para organizar conjuntamente un nuevo capítulo internacional de sus encuentros. Del 10 al 12 de abril se celebrará en Panamá el mayor evento de ciberseguridad de Latinoamérica. El Centro de Convenciones de Panamá se convertirá en la sede del cuarto capítulo internacional de las Jornadas STIC para continuar promoviendo las alianzas en materia de ciberseguridad.

PCI DSS v4.0: Análisis de Riesgos Específico de Frecuencia

 La versión 4.0 del estándar PCI DSS ha introducido una serie de cambios respecto a la versión 3.2.1, los cuales ya han sido analizados en otros artículos del blog a nivel general (https://blog.isecauditors.com/2022/03/novedades-de-pci-dss-en-la-version-4.html) o a nivel de requisito en las series de artículos publicadas dentro del blog (https://blog.isecauditors.com/2023/09/version-4-de-pci-dss-analizando-requisitos-1-y-2.html).

En este artículo nos centraremos en uno de los aspectos clave como es la periodicidad de ejecución de ciertos requisitos de acuerdo a un Análisis de Riesgos Específico o TRA por sus siglas en inglés (Targeted Risk Assessment), obviando su utilización para el cumplimiento de los objetivos de los enfoques personalizados de los requisitos. Estos cambios han sido considerados como una evolución de los requisitos por parte del PCI SSC. En la versión 3.2.1, estos requisitos quedaban marcados por una periodicidad definida dentro del propio estándar.

Versión 4.0 de PCI DSS. Analizando el requisito 12

Nos encontramos en el último de una serie en la que estamos analizando con más profundidad cada uno de los cambios producidos en los requisitos de la versión 4.0 del estándar PCI DSS. En este post, nos centraremos en analizar el requisito 12.

Este requisito tiene como objetivo establecer una política de seguridad de la información que sea conocida y cumplimentada por todos los usuarios de la organización, además de concienciar a los usuarios sobre la sensibilidad de los datos de tarjeta tratados y la responsabilidad que tienen sobre estos.

En la versión 4.0 de PCI DSS, adquiere el siguiente nombre:

Requirement 12: Support Information Security with Organizational Policies and Programs
A continuación, nos centramos en profundidad en el requisito.

Más allá del error

En este artículo hablaremos de la gestión de errores internos del servidor web, que suelen ser una respuesta común cuando ocurre algún comportamiento anormal en el host o servicio, pero el servidor no puede determinar la causa exacta del problema.

Estos fallos suelen tener bastante importancia y pueden ser de gran ayuda para un ciberatacante ya que permiten obtener más información sobre su objetivo y preparar mejor su ataque.

Estos errores se producen por configuraciones incorrectas en el servidor, por ejemplo, una mala configuración en el archivo .htaccess podría ocasionar una fuga de información exponiendo el listado de directorios, lo que permitiría ver todos los archivos y carpetas dentro de un directorio.

Si tenemos esta línea configurada de esta manera en nuestro .htaccess “Options +Indexes” tendríamos una vulnerabilidad que es directory listing (listado de directorios).