Publicada la versión 1.1 de los documentos SAQ


 

El pasado 30 de enero, el PCI SSC publicó la versión 1.1 de los documentos SAQ para la PCI DSS v3.2, en los cuales se han producido los siguientes cambios:
  • SAQ A:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin” en los requerimientos 2 y 8, para clarificar el porqué de su inclusión en el SAQ.
  • SAQ A-EP:
    • Clarificaciones generales y resolución de erratas.
  • SAQ B:
    • Actualización de la numeración de versión para alinearla con los otros documentos SAQ.
  • SAQ B-IP:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin”, para aclarar que los comercios que utilicen terminales SCR (Secure Card Reader) no quedan bajo el ámbito de aplicación de dicho SAQ.
    • Inclusión del requerimiento 8.3.1, añadiendo la necesidad del uso de autenticación multi-factor (MFA) para todo acceso al CDE que no se realice por consola física.
    • Inclusión del requerimiento 11.3.4, añadiendo la necesidad de realización de tests de intrusión para verificar la segmentación del entorno, siempre que el comercio haga uso de dicha segmentación.
  • SAQ C:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin”, para clarificar los sistemas permitidos bajo el alcance de dicho SAQ.
    • Resolución de erratas en los checkbox en los requerimientos 8.1.6 y 11.3.4.
  • SAQ C-VT:
    • Clarificaciones generales y resolución de erratas.
    • Inclusión del campo “Before You Begin”, para clarificar los sistemas permitidos bajo el alcance de dicho SAQ.
    • Inclusión del requerimiento 8.3.1, añadiendo la necesidad del uso de autenticación multi-factor (MFA) para todo acceso al CDE que no se realice por consola física.
    • Inclusión del requerimiento 11.3.4, añadiendo la necesidad de realización de pruebas de intrusión para verificar la segmentación del entorno, siempre que el comercio haga uso de dicha segmentación.
  • SAQ P2PE:
    • Actualización de la tabla de cambios del documento.
  • SAQ D Merchant:
    • Actualización de la numeración de versión para alinearla con los otros documentos SAQ.
  • SAQ D Service Provider:
    • Actualización de la numeración de versión para alinearla con los otros documentos SAQ.
Dichos documentos SAQ pasarán a ser de obligada aplicación el 1 de octubre de 2017, permitiendo un margen de tiempo a los comercios para la adaptación a los cambios comentados. Hasta dicha fecha, los comercios pueden seguir validando su cumplimiento con la versión anterior de los documentos SAQ.

Hay que observar que los cambios más destacables se producen en los SAQ B-IP y SAP C-VT, con la inclusión de los requerimientos 8.3.1 y 11.3.4, cosa que llevará a los comercios bajo el alcance de dichos documentos a la inclusión de cambios significativos en sus entornos de cumplimiento.

En Internet Security Auditors contamos con un equipo de expertos en las normativas del PCI SSC altamente cualificado, a la disposición de los comercios afectados para ayudarles en todas las tareas relacionadas con la adecuación a los nuevos documentos SAQ.

Referencias
https://www.pcisecuritystandards.org/document_library?category=saqs


Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.

Internet Security Auditors participa en la Conferencia sobre Seguridad electrónica para eCommerce que organiza la CCCE en Bogotá

La seguridad electrónica es un tema de gran importancia para todas las empresas que manejan información sensible para sus fines comerciales, por lo que es clave tomar las medidas necesarias para mitigar fraudes y amenazas virtuales que atenten contra los clientes o la actividad de la compañía.

La CCCE celebra el próximo 23 de febrero a la Conferencia sobre Seguridad electrónica para eCommerce, dónde Internet Security Auditors participará con dos ponencias por parte de David Andrés González y Javier Roberto Amaya, junto a Incocredito.

Para más información sobre el evento:
http://ccce.org.co/eventos/seguridad-electronica-para-ecommerce

Para inscribirse al evento:
http://www.ccce.org.co/eventos/seguridad-electronica-para-ecommerce

Más ayuda para las PYMES para cumplir con el Reglamento europeo de Protección de Datos

El pasado 26 de enero, la Agencia Española de Protección de Datos (en adelante AEPD) publicó nuevos materiales y recursos para facilitar a las PYMES la transición y adaptación al Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2016 y que comenzará a aplicarse el 25 de mayo de 2018.

La AEPD quiere que las PYMES puedan conocer el impacto que va a tener el Reglamento en la forma en la que tratan datos y puedan adaptar sus procesos a la nueva normativa, ya que esta supone un cambio en el modelo de cumplimiento y exige un compromiso más activo.

Los materiales facilitados se han elaborado junto a la Autoridad Catalana y la Agencia Vasca de Protección de Datos.

A continuación, se detallan el contenido de los materiales:
  1. Guía del Reglamento para responsables de tratamiento: El documento recoge las principales cuestiones que las organizaciones deben tener en cuenta para cumplir con las obligaciones recogidas en el Reglamento. La Guía incluye en su parte final una Lista de verificación con la que las entidades pueden determinar si han dado los pasos necesarios para estar en condiciones de hacer una correcta aplicación del RGPD.
    Algunas de las recomendaciones pueden ponerse en práctica de forma casi inmediata. En otros casos, esas recomendaciones o propuestas solo deberán tenerse en cuenta en el momento en que el RGPD sea de aplicación.
  2. Directrices para elaborar contratos entre responsables y encargados: El RGPD establece que las relaciones entre el responsable y el encargado deben formalizarse en un contrato o acto jurídico que les vincule, regulando de forma minuciosa su contenido mínimo. Estas directrices se han realizado con la finalidad de que los contratos reflejen todos los contenidos recogidos en el Reglamento.
  3. Guía para el cumplimiento del deber de informar. El RGPD concede gran importancia a la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, estableciendo una lista exhaustiva de los contenidos que deben ser expuestos de forma clara y accesible. Esta Guía ofrece recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información.

Por otro lado, la AEPD ha habilitado un apartado web con información y otros elementos que pueden resultar útiles para que las entidades puedan adaptarse de forma paulatina al RGPD, además de estar desarrollando una herramienta de autoevaluación online dirigida a favorecer que las pymes puedan valorar de forma rápida y sencilla el nivel de riesgo que plantea su tratamiento de información.

Más información:
https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php


Referencias:
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_01_26_01-ides-idphp.php

Aliados estratégicos de ciberseguridad de la Asociación Colombiana de Contact Centers y BPO

La Asociación Colombiana de Contact Centers ha seleccionado y firmado un acuerdo con Internet Security Auditors como aliado estratégico en ciberseguridad y cumplimiento. Este Acuerdo pretende cubrir de forma preferencial las necesidades que puedan surgir entre los asociados de la ACDECC y BPO en materias con la Adecuación y Certificación en PCI DSS, Protección de Datos de Carácter Personal (Ley 1581/2012) y, en general, áreas en las que Internet Security Auditors es experta.

La ACDECC y BPO es la asociación que agrupa a más de 50 empresas del sector de la tercerización de servicios de Contact Centers y de Procesos en las que trabajan más de 220.000 personas en Colombia, organiza eventos como el Congreso Anual del sector que reúne a más de 1300 personas y realiza sesiones y eventos de divulgación. Precisamente, Internet Security Auditors pretende también colaborar con la Asociación en eventos formativos y de divulgación en materias de seguridad de valor para los asociados que se irán anunciando en próximas fechas.

Esta Alianza ya permite a los Asociados el poder contar, de forma gratuita, con un Análisis previo de sus puntos fuertes para afrontar una certificación PCI DSS, algo que puede resultar diferencial e interesante en licitaciones de tercerización de servicios en sus clientes.

Vicente Aguilera participará como jurado en el Hackathon que tendrá lugar en el Mobile World Congress 2017

INCIBE, el Instituto Nacional de Ciberseguridad de España, organiza el Hackathon 4YFN que tendrá lugar en el Mobile World Congress de este año.

Del 27 de febrero al 1 de marzo, se celebra este evento gratuito con el objetivo de desarrollar aplicaciones móviles de código abierto en el ámbito de la ciberseguridad y la seguridad del Internet de las Cosas (IoT).

Vicente Aguilera formará parte del jurado compuesto por diversos expertos que evaluarán los trabajos realizados por los participantes.

Desde aquí, animamos a todos los interesados en participar en esta más que interesante experiencia, para que se inscriban a partir del viernes 3 de febrero de 2017 a las 10:00h, momento en el que tendrá lugar la apertura oficial del registro.

Para consultar más información:
https://cybercamp.es/hackathon-4yfn