Analytics

martes, 9 de enero de 2024

PCI DSS v4.0: Análisis de Riesgos Específico de Frecuencia

 La versión 4.0 del estándar PCI DSS ha introducido una serie de cambios respecto a la versión 3.2.1, los cuales ya han sido analizados en otros artículos del blog a nivel general (https://blog.isecauditors.com/2022/03/novedades-de-pci-dss-en-la-version-4.html) o a nivel de requisito en las series de artículos publicadas dentro del blog (https://blog.isecauditors.com/2023/09/version-4-de-pci-dss-analizando-requisitos-1-y-2.html).

En este artículo nos centraremos en uno de los aspectos clave como es la periodicidad de ejecución de ciertos requisitos de acuerdo a un Análisis de Riesgos Específico o TRA por sus siglas en inglés (Targeted Risk Assessment), obviando su utilización para el cumplimiento de los objetivos de los enfoques personalizados de los requisitos. Estos cambios han sido considerados como una evolución de los requisitos por parte del PCI SSC. En la versión 3.2.1, estos requisitos quedaban marcados por una periodicidad definida dentro del propio estándar.

jueves, 28 de diciembre de 2023

Versión 4.0 de PCI DSS. Analizando el requisito 12

Nos encontramos en el último de una serie en la que estamos analizando con más profundidad cada uno de los cambios producidos en los requisitos de la versión 4.0 del estándar PCI DSS. En este post, nos centraremos en analizar el requisito 12.

Este requisito tiene como objetivo establecer una política de seguridad de la información que sea conocida y cumplimentada por todos los usuarios de la organización, además de concienciar a los usuarios sobre la sensibilidad de los datos de tarjeta tratados y la responsabilidad que tienen sobre estos.

En la versión 4.0 de PCI DSS, adquiere el siguiente nombre:

Requirement 12: Support Information Security with Organizational Policies and Programs
A continuación, nos centramos en profundidad en el requisito.

martes, 19 de diciembre de 2023

Más allá del error



En este artículo hablaremos de la gestión de errores internos del servidor web, que suelen ser una respuesta común cuando ocurre algún comportamiento anormal en el host o servicio, pero el servidor no puede determinar la causa exacta del problema.

Estos fallos suelen tener bastante importancia y pueden ser de gran ayuda para un ciberatacante ya que permiten obtener más información sobre su objetivo y preparar mejor su ataque.

Estos errores se producen por configuraciones incorrectas en el servidor, por ejemplo, una mala configuración en el archivo .htaccess podría ocasionar una fuga de información exponiendo el listado de directorios, lo que permitiría ver todos los archivos y carpetas dentro de un directorio.

Si tenemos esta línea configurada de esta manera en nuestro .htaccess “Options +Indexes” tendríamos una vulnerabilidad que es directory listing (listado de directorios).

lunes, 18 de diciembre de 2023

ISecAuditors y Open-Sec unen fuerzas para impulsar la seguridad cibernética a nuevas alturas



En un esfuerzo conjunto por fortalecer la seguridad contra las crecientes amenazas cibernéticas, ISecAuditors y Open-Sec han formalizado una estratégica alianza que fusiona la experiencia global en ciberseguridad con un profundo conocimiento del entorno local. Esta colaboración única permitirá ofrecer soluciones avanzadas y adaptadas a las necesidades específicas de nuestro mercado, proporcionando a las empresas una defensa integral contra las complejidades del panorama digital.

lunes, 11 de diciembre de 2023

Tarjetas de pago: Zoom-In

¿Quién, hoy en día, no dispone de una tarjeta de pago bien sea de crédito o bien sea de débito? Esta afirmación es incluso mayor después de la situación excepcional de pandemia vivida recientemente; que supuso que el contacto directo implicase un acto de riesgo de infección. Es en este preciso momento en el que las tarjetas de pago tienen mayor aceptación a nivel mundial dado que permiten completar el intercambio de bienes y servicios mediante un canal de pago sin contacto, o contactless, como habitualmente se conoce, por el cual no se requiere la interacción física con los dispositivos que procesan la transacción, puenteando la posibilidad de que la infección se propagase durante la mera acción de pagar.

jueves, 7 de diciembre de 2023

El futuro de los pagos electrónicos, acercamiento a las monedas digitales

Últimamente es muy habitual en muchas situaciones y muchos contextos oír hablar de monedas digitales, pagos digitales, alternativas a los medios de pago tradicionales, tecnologías basadas en Blockchain, y como no, criptomonedas.


lunes, 4 de diciembre de 2023

Fin de Programa VISA PIN - Análisis y consecuencias

Recientemente VISA publicó un comunicado en el que indicaba que a partir del 1 de Octubre de 2023 cesaría su programa VISA PIN:

Important note: Effective 1st October 2023, Visa will sunset the Visa PIN Security Program and will no longer proactively validate Payment Card Industry (PCI) PIN security requirements. While the program will no longer be in effect, clients, processors and service providers will still be required to comply with PCI PIN security requirements. A PCI PIN Security Attestation of Compliance requires a Qualified PIN Assessor (QPA) to test and assess the requirements and controls and should be conducted at least every 2 years

Por lo tanto, dejando de validar activamente los requisitos PCI PIN de las organizaciones bajo el impacto de su programa.