jueves, 31 de marzo de 2022

Novedades de PCI DSS en la Versión 4.0

El PCI SSC ha venido trabajando desde finales del 2019 en una actualización del estándar PCI DSS que nos trae una serie de actualizaciones y novedades que desde hace algún tiempo han venido pidiendo tanto los QSA como los comercios y proveedores de servicio con el ánimo de hacer más claros algunos requerimientos, generar nuevos lineamientos en temas que eran áreas grises y la actualización o evolución de algunos requisitos mínimos a la realidad actual. Todos estos cambios buscan atender los cambios en la evolución de los riesgos a los que están expuestos los datos de las tarjetas de pago en el mercado actual.

lunes, 21 de marzo de 2022

Análisis de Riesgos Extendido para SSF

Con la evolución de las diferentes normativas y estándares dentro de la industria de la ciberseguridad, cada vez se va extendiendo de una forma más clara la importancia de implementar unas metodologías de análisis de riesgos que sirvan como base para la protección de los denominados activos críticos.

Siguiendo esta tendencia, el PCI SSC ha querido incorporar estas metodologías dentro de la "actualización" del estándar PA-DSS, el cual ha sido remplazado completamente por el estándar PCI SSS dentro del marco PCI SSF (podéis encontrar más información en este artículo de comparativa y en este otro artículo de análisis de la transición entre ambos estándares).

Para tratar de explicar todos los conceptos y detalles que intervienen en estos mecanismos de protección del software basados en los “análisis de riesgos extendido para PCI SSF” seguiremos varias implementaciones ya instauradas en la industria, como pueda ser las metodologías STRIDE o DREAD, siempre enfocadas al cumplimiento de los requerimientos descritos en el requisito 4 del estándar PCI SSS.

jueves, 17 de marzo de 2022

Novedades en la actualización del Estándar ISO/IEC 27002:2022

El ciclo de vida establecido para la familia de estándares ISO está definido para que cada uno de los estándares sean revisados cada cinco años con el objetivo de alinearlos a la realidad en que están inmersas las empresas que los usan como marco de referencia para asegurar su información. Sin embargo, este ciclo no estuvo sincronizado en el caso de los estándares ISO/IEC 27001 e ISO/IEC 27002 que en el 2013 fueron publicadas en la misma fecha, generando algunos problemas en la concordancia entre estos estándares, veamos:

  • La ISO/IEC 27001:2013 fue publicada el 25 de septiembre de 2013, fue revisada y confirmada el 3 de junio de 2019, dejando como válida la versión del 2013.
  • La ISO/IEC 27002:2013 fue publicada el 25 de septiembre de 2013, sin embargo, su revisión fue publicada el 15 de febrero de 2022, casi dos años y medio después de la revisión de la ISO/IEC 27001.

De ahora en adelante simplificaremos la mención a los estándares ISO/IEC sólo por el número de dicho estándar con el objetivo de facilitar su lectura a lo largo de este artículo.

jueves, 3 de marzo de 2022

Mapfre amplia la certificación PCI DSS de su Centro de Procesos de Datos de Alcalá de Henares

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago queda afectada por el cumplimiento de los requerimientos que establece la Norma PCI DSS.

En Internet Security Auditors, como empresa acreditada por el PCI SSC a través de su certificado QSA nos enorgullece poder entregar la Certificación PCI DSS (Payment Card Industry Data Security Standard) a una gran empresa como Mapfre.