martes, 7 de diciembre de 2021

Impacto de la COVID-19 en el estándar PCI DSS (III)

1. Evaluaciones remotas de entornos PCI DSS

Para terminar con esta serie de post en relación con el impacto de la COVID-19 en los entornos PCI DSS, vamos a analizar, por último, el impacto que ha tenido en la realización de las evaluaciones de cumplimiento.

Dado que los países y regiones se ven afectados de manera diferente y enfrentan diferentes tipos de restricciones, no es posible que el PCI SSC brinde una posición universal sobre la viabilidad de las evaluaciones remotas en todas las regiones. La capacidad para evaluar un entorno, y hasta qué nivel se puede completar la evaluación de acuerdo con los requisitos del programa existente, deberá determinarse caso por caso, dada la situación actual en cada región o país.

Siempre que sea posible, las evaluaciones in situ deben completarse de acuerdo con los requisitos, procedimientos y acuerdos de evaluación del programa PCI SSC aplicables. Cuando se hayan completado o puedan completarse evaluaciones in situ, los evaluadores y las entidades deben completar la evaluación y presentar su documentación de validación como de costumbre.

martes, 30 de noviembre de 2021

Transición y cambio de PA-DSS a PCI SSS

El estándar de software seguro de PCI (PCI SSS) reemplazará al estándar de seguridad de datos de aplicaciones de pago (PA-DSS) y al programa cuando se cierre oficialmente el 28 de octubre de 2022. La aceptación de presentación de nuevas solicitudes de pago para la validación de las PA-DSS se cerró el pasado 30 de junio de 2021 y, tras el cierre del programa en octubre de 2022, todas las aplicaciones pasarán a estar en “expiradas” y movidas al listado de “Aceptadas únicamente para despliegues preexistentes”.

El nuevo estándar PCI SSS amplía los principios clave de protección de aplicaciones y datos de pago, que se introdujeron por primera vez en PA-DSS, y está diseñado para admitir un conjunto mucho mayor de arquitecturas de software de pago, funciones y metodologías de desarrollo de software.

Desde el pasado 2020 se abrió la aceptación de envíos de evaluaciones para publicación de listados en el programa marco SSF, el cual cuenta con un período de validación de tres años.

viernes, 26 de noviembre de 2021

Análisis de la Actualización de PCI SSF v1.0 a v1.1

Desde el pasado febrero de 2021 (ya publicamos en marzo un artículo al respecto https://blog.isecauditors.com/2021/03/analisis-cambios-version-pci-sslcs.html) el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) la actualización de varios documentos a sus versiones 1.1, siendo la más reciente de septiembre de 2021:

  • Estándares
    • Estándar PCI de Software Seguro v1.1
    • Estándar PCI del Ciclo de Vida del Software Seguro v1.1
    • Resumen de cambios del estándar PCI SSS v1.0 a v1.1
    • Resumen de cambios del estándar PCI SSLCS v1.0 a v1.1
  • Documentos de soporte
    • Requisitos de calificación para asesores SSF v1.1
    • Guía del programa de software seguro v1.1
    • Guía del programa de SLC seguro v1.1
    • Glosario de términos, abreviaturas y acrónimos de SSF v1.1
  • Formularios y plantillas de informes
    • Plantilla de informe de validación de software seguro (ROV) v1.1
    • Atestado de validación de software seguro (AOV) v1.1
    • Plantilla de informe de cumplimiento (ROC) de SLC seguro v1.1
    • Atestado de cumplimiento de SLC seguro (AOC) v1.1
  • Preguntas frecuentes
    • Preguntas frecuentes sobre SSF v1.1
  • Guías Generales
    • Transición de PA-DSS al marco de seguridad del software de PCI v1.1

martes, 23 de noviembre de 2021

Internet Security Auditors homologada Software Security Assessor por el PCI SSC

 El PCI Security Standards Council (PCI SSC) lanzó el año 2018 lo que sería, de forma progresiva, la evolución del anterior programa PA-DSS, enfocado únicamente en la certificación de aplicaciones de pago. Este nuevo marco consiste en una colección de estándares y programas creados para asegurar el diseño y desarrollo de software de pago. Con la entrada en vigor del nuevo estándar PCI Software Security Framework (SSF), el existente, PA-DSS, será remplazado con requisitos modernos que admiten una amplia gama de tipos de software de pago, tecnologías y metodologías de desarrollo


El SSF nace para dar cobertura a las empresas desarrolladoras de aplicaciones de pago, pero también a las empresas desarrolladoras de software para empresas que exigen y requieren a sus proveedores software seguro para ser desplegado en sus entornos de cumplimiento de PCI DSS. Con una visión mucho más ambiciosa y pragmática en cuanto a los escenarios en los que las empresas de desarrollo de software impactan con sus productos y servicios en los entornos de cumplimiento de PCI DSS. Si en este este caso, se pedía el cumplimiento de PCI DSS a las empresas de desarrollo, una norma que no estaba realmente pensada para esto, ahora las empresas de desarrollo ya cuentan con un estándar sobre el que trabajar para ofrecer las garantías de seguridad de sus productos de desarrollo a sus clientes de forma específica.
 

Como empresa especialista por una parte en la Seguridad en Medios de Pago y, por otra, en la seguridad en el Ciclo de Vida de Desarrollo de Software, Internet Security Auditors se convierte, de nuevo, en una de las primeras empresas a nivel global en certificarse en este programa y alcanzar un nuevo hito en nuestra trayectoria como expertos en Normas PCI.

jueves, 11 de noviembre de 2021

Automatizando tareas de pentesting con bash

¿Qué es bash?

Bash es un intérprete de comandos, interpreta las órdenes que nosotros le ingresemos y normalmente se ejecuta en Linux. Los scripts son el primer paso hacia la automatización.

¿Cómo hacer scripts en bash desde Linux?

Cuando escribimos un archivo en bash lo primero que tenemos que hacer es crear un archivo  .sh
Los archivos sh son scripts de comandos ejecutables por el shell de Unix que están escritos en lenguaje Bash.

Para ello, podemos utilizar en nuestra terminal el comando touch y añadir el texto que queramos terminado en sh, como por ejemplo “test.sh” lo que creará un archivo vacio. Posteriormente podremos editarlo con nano test.sh.


martes, 2 de noviembre de 2021

Vicente Aguilera jurado de los Trofeos de la Seguridad TIC de la revista Red Seguridad

La revista Red Seguridad retoma este año la convocatoria de sus prestigiosos Trofeos de la Seguridad TIC, ya en su XIV edición, que destacan por su imparcialidad. Un año más, desde Internet Security Auditors, estaremos allí con Vicente Aguilera como miembro del jurado representando a OWASP, papel que desempeña desde la segunda edición de estos trofeos hace 14 años.

lunes, 25 de octubre de 2021

Impacto de la COVID-19 en el estándar PCI DSS (II)

Según mencionábamos en el anterior artículo de esta serie, actualmente con la aparición de la COVID-19, han aparecido nuevos riesgos que antes no teníamos en cuanto a la seguridad que debemos abordar con medidas de seguridad eficaces para evitar posibles brechas de seguridad.

Además, este nuevo paradigma ha propiciado que los QSAs no puedan desplazarse a las ubicaciones de forma física que se deben evaluar bajo el estándar PCI DSS, por lo que proliferan las auditorías o evaluaciones remotas. Para llevar a cabo este tipo de auditorías, debemos tener en cuenta una serie de factores para que el PCI SSC las considera válidas.

A continuación, vamos a analizar algunas de las medidas de seguridad que podemos llevar a cabo para mitigar los riesgos que se plantean con el teletrabajo y también analizaremos los factores a tener en cuenta para realizar evaluaciones PCI DSS remotas de forma adecuada.