jueves, 19 de enero de 2023

La Seguridad de la Información en la era de la Computación Cuántica

Mecanismos de seguridad de la información

A lo largo de los últimos años y, cada vez más, se observan los aspectos de la seguridad de la información como un tema relevante y necesario en el mundo personal y profesional. Cuando se hace referencia a estos aspectos, se acostumbra a tener en cuenta típicamente:

  • la identificación: que identifica de forma exclusiva a una persona o un usuario en un sistema o en una aplicación.
  • la autenticación: que asegura que una persona o un usuario de un sistema o de una aplicación es quien dice ser.
  • la autorización: que protege los recursos importantes de un sistema de información, limitando el uso de los activos a únicamente aquellas personas que se encuentran autorizadas.
  • la confidencialidad: que protege a la información para que no pueda divulgarse sin la debida autorización.
  • la integridad: que protege a los datos de su modificación de forma no autorizada.
  • la disponibilidad: que asegura que los datos son accesibles cuando sean necesarios.
  • la auditoría: que registra y comprueba sucesos para detectar intentos o sucesos de actividades sospechosas o no autorizadas.

lunes, 16 de enero de 2023

PCI DSS v4.0 – Actualización SAQs

El estándar PCI DSS v3.2.1 ha sido actualizado a la v4.0 el pasado marzo de 2022 por lo que, actualmente, nos encontramos en un periodo de transición entre ambas versiones. Dicho periodo finalizará el 31 de marzo de 2024, momento en el cual la v3.2.1 será retirada y la v4.0 será la única activa.

Dentro de este período de transición, estaba previsto que en el Q1 de 2022 se lanzara oficialmente la v4.0, incluidos sus documentos de validación y, finalmente, en abril 2022 se publicaron dichos documentos. Entre los documentos disponibles en la biblioteca pública del PCI SSC (https://www.pcisecuritystandards.org/document_library/) para ser usados tanto por comercios, proveedores y empresas QSAC, es posible filtrar por aquellos relativos a los cuestionarios de autoevaluación o SAQs, que son los que analizaremos a continuación.

viernes, 13 de enero de 2023

El fraude en los pagos. Parte III - Entrega I: Innovaciones en las tarjetas de pago y los sistemas bancarios en pro de la seguridad

Este tercer artículo, que a su vez se divide en tres partes, cierra la publicación «El fraude en los pagos». En él, se introducen las mejoras que han ido incorporando las tarjetas de pago a lo largo del tiempo. Puede ser habitual pensar que los únicos cambios aportados hayan sido, en primer lugar, la aparición del chip EMV para realizar pagos con el PIN, y, en segundo lugar, la tecnología contactless para realizar pagos sin contacto. Pero esto no es así, hay otras novedades disponibles a disposición del titular de una tarjeta, y muchas otras están siendo probadas, certificadas y homologadas, por lo que llegarán próximamente. Además, las entidades bancarias también están ofreciendo más servicios a los clientes, con el fin de que tengan un control más directo sobre sus tarjetas de pago. Finalmente, la entrada en vigor de la directiva europea de pagos (PSD2) también supuso un hecho relevante que ha implicado muchos cambios en beneficio de la seguridad y la prevención del fraude.

martes, 27 de diciembre de 2022

Tratamiento de datos biométricos desde un enfoque de privacidad

La recopilación y el uso de datos biométricos están sujetos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). El RGPD y la LOPDGDD proporcionan un marco legal para el tratamiento de información de carácter personal, incluidos los datos biométricos, que establecen los límites y obligaciones de los responsables de datos y los encargados del tratamiento de los mismos.

En el caso de los datos biométricos, estos deben estar protegidos adecuadamente y se deben cumplir los principios de proporcionalidad y necesidad. Esto significa que el responsable de datos debe asegurarse de que los datos biométricos que se recopilen sean los mínimos necesarios para el propósito para el que se recopilan, y que se almacenen y procesen de acuerdo con el propósito específico para el que se recopilaron.

Además, los datos biométricos deben ser tratados de manera segura, y el responsable del tratamiento debe tomar las medidas necesarias para protegerlos de cualquier acceso y/o tratamiento no autorizado. Esto incluye el uso de cifrado, la implementación de medidas de seguridad físicas, como cerraduras y sistemas de vigilancia, y la auditoría de los sistemas de seguridad para garantizar que se cumplan los estándares de seguridad.

miércoles, 14 de diciembre de 2022

Crónica del evento: No cON Name 2022

Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), en una edición especial de nuevo en formato presencial después de 2 años de espera. Durante el discurso de apertura, la organización dio las gracias a los más de 150 asistentes, así como a todos los ponentes por su participación consolidando la apuesta internacional del congreso. También puso en valor el papel i el esfuerzo de todos los voluntarios por hacerlo posible, así como a la Biblioteca Jaume Fuster por acogerles i permitirles hacer uso de su espacio.

A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante dos jornadas:

lunes, 12 de diciembre de 2022

Crónica del evento: XVI Jornadas STIC

Las Jornadas STIC del CCN-CERT llegaron en su decimosexta edición en un momento de especial trascendencia para la ciberseguridad en nuestro país. Son una gran oportunidad para las sinergias y las colaboraciones.

El conocimiento que se puede adquirir en estos eventos es invaluable, proporcionando valor al trabajo en equipo y la creatividad, lo cual es muy relevante para nuestra actividad.

lunes, 5 de diciembre de 2022

Métodos de validación en PCI DSS v4.0

Tras más de más de 3 años de trabajo, el 31 de Marzo de 2022, el PCI SSC lanzó la versión 4.0 del estándar PCI DSS. Esta versión, ha sido la más transgresora de toda la historia de este estándar de seguridad de datos de tarjeta, debido a que cambia por completo el enfoque y la forma a la que, tradicionalmente, se estaba acostumbrado a trabajar con él, pudiendo adoptar una estrategia de cumplimiento basada totalmente en el riesgo de cada organización, en lugar de cumplir con requisitos concretos, rígidos y exigidos por el PCI SSC.

PCI DSS 4.0 supone un cambio significativo en sí mismo. Aunque se mantiene la esencia del estándar anterior, las tecnologías emergentes y la experiencia adquirida durante estos años han dado paso a la siguiente versión, que trata de adaptarse a los tiempos en los que nos encontramos.