martes, 30 de noviembre de 2021

Transición y cambio de PA-DSS a PCI SSS

El estándar de software seguro de PCI (PCI SSS) reemplazará al estándar de seguridad de datos de aplicaciones de pago (PA-DSS) y al programa cuando se cierre oficialmente el 28 de octubre de 2022. La aceptación de presentación de nuevas solicitudes de pago para la validación de las PA-DSS se cerró el pasado 30 de junio de 2021 y, tras el cierre del programa en octubre de 2022, todas las aplicaciones pasarán a estar en “expiradas” y movidas al listado de “Aceptadas únicamente para despliegues preexistentes”.

El nuevo estándar PCI SSS amplía los principios clave de protección de aplicaciones y datos de pago, que se introdujeron por primera vez en PA-DSS, y está diseñado para admitir un conjunto mucho mayor de arquitecturas de software de pago, funciones y metodologías de desarrollo de software.

Desde el pasado 2020 se abrió la aceptación de envíos de evaluaciones para publicación de listados en el programa marco SSF, el cual cuenta con un período de validación de tres años.

viernes, 26 de noviembre de 2021

Análisis de la Actualización de PCI SSF v1.0 a v1.1

Desde el pasado febrero de 2021 (ya publicamos en marzo un artículo al respecto https://blog.isecauditors.com/2021/03/analisis-cambios-version-pci-sslcs.html) el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) la actualización de varios documentos a sus versiones 1.1, siendo la más reciente de septiembre de 2021:

  • Estándares
    • Estándar PCI de Software Seguro v1.1
    • Estándar PCI del Ciclo de Vida del Software Seguro v1.1
    • Resumen de cambios del estándar PCI SSS v1.0 a v1.1
    • Resumen de cambios del estándar PCI SSLCS v1.0 a v1.1
  • Documentos de soporte
    • Requisitos de calificación para asesores SSF v1.1
    • Guía del programa de software seguro v1.1
    • Guía del programa de SLC seguro v1.1
    • Glosario de términos, abreviaturas y acrónimos de SSF v1.1
  • Formularios y plantillas de informes
    • Plantilla de informe de validación de software seguro (ROV) v1.1
    • Atestado de validación de software seguro (AOV) v1.1
    • Plantilla de informe de cumplimiento (ROC) de SLC seguro v1.1
    • Atestado de cumplimiento de SLC seguro (AOC) v1.1
  • Preguntas frecuentes
    • Preguntas frecuentes sobre SSF v1.1
  • Guías Generales
    • Transición de PA-DSS al marco de seguridad del software de PCI v1.1

martes, 23 de noviembre de 2021

Internet Security Auditors homologada Software Security Assessor por el PCI SSC

 El PCI Security Standards Council (PCI SSC) lanzó el año 2018 lo que sería, de forma progresiva, la evolución del anterior programa PA-DSS, enfocado únicamente en la certificación de aplicaciones de pago. Este nuevo marco consiste en una colección de estándares y programas creados para asegurar el diseño y desarrollo de software de pago. Con la entrada en vigor del nuevo estándar PCI Software Security Framework (SSF), el existente, PA-DSS, será remplazado con requisitos modernos que admiten una amplia gama de tipos de software de pago, tecnologías y metodologías de desarrollo


El SSF nace para dar cobertura a las empresas desarrolladoras de aplicaciones de pago, pero también a las empresas desarrolladoras de software para empresas que exigen y requieren a sus proveedores software seguro para ser desplegado en sus entornos de cumplimiento de PCI DSS. Con una visión mucho más ambiciosa y pragmática en cuanto a los escenarios en los que las empresas de desarrollo de software impactan con sus productos y servicios en los entornos de cumplimiento de PCI DSS. Si en este este caso, se pedía el cumplimiento de PCI DSS a las empresas de desarrollo, una norma que no estaba realmente pensada para esto, ahora las empresas de desarrollo ya cuentan con un estándar sobre el que trabajar para ofrecer las garantías de seguridad de sus productos de desarrollo a sus clientes de forma específica.
 

Como empresa especialista por una parte en la Seguridad en Medios de Pago y, por otra, en la seguridad en el Ciclo de Vida de Desarrollo de Software, Internet Security Auditors se convierte, de nuevo, en una de las primeras empresas a nivel global en certificarse en este programa y alcanzar un nuevo hito en nuestra trayectoria como expertos en Normas PCI.

jueves, 11 de noviembre de 2021

Automatizando tareas de pentesting con bash

¿Qué es bash?

Bash es un intérprete de comandos, interpreta las órdenes que nosotros le ingresemos y normalmente se ejecuta en Linux. Los scripts son el primer paso hacia la automatización.

¿Cómo hacer scripts en bash desde Linux?

Cuando escribimos un archivo en bash lo primero que tenemos que hacer es crear un archivo  .sh
Los archivos sh son scripts de comandos ejecutables por el shell de Unix que están escritos en lenguaje Bash.

Para ello, podemos utilizar en nuestra terminal el comando touch y añadir el texto que queramos terminado en sh, como por ejemplo “test.sh” lo que creará un archivo vacio. Posteriormente podremos editarlo con nano test.sh.


martes, 2 de noviembre de 2021

Vicente Aguilera jurado de los Trofeos de la Seguridad TIC de la revista Red Seguridad

La revista Red Seguridad retoma este año la convocatoria de sus prestigiosos Trofeos de la Seguridad TIC, ya en su XIV edición, que destacan por su imparcialidad. Un año más, desde Internet Security Auditors, estaremos allí con Vicente Aguilera como miembro del jurado representando a OWASP, papel que desempeña desde la segunda edición de estos trofeos hace 14 años.