Pasar al contenido principal

Boletín de Medios de Pago Diciembre 2020

Boletín Medios de Pago Diciembre 2020
Novedades  Novedades     Artículos / Destacados  Destacamos

2021: Mayor seguridad para los pagos en línea con PSD2

Los nuevos requisitos de seguridad para los pagos n línea entrarán en vigor en el Espacio Económico Europeo (EEE) en enero de 2021 como consecuencia de la directiva PSD2. A partir de esta fecha, todos los pagos online con tarjeta tendrán una capa adicional de seguridad que implica una autenticación fuerte del cliente (SCA). Se les pedirá a los clientes que confirmen los pagos ingresando un número secreto recibido por SMS o un código generado por una aplicación de smartphone o con un identificado biométrico como una huella digital o reconocimiento facial.

En el siguiente enlace puede encontrar más información:

https://euipo.europa.eu/ohimportal/es/news/-/action/view/8410243


Publicadas las fechas para 2021 de los programas de capacitación del PCI SSC vía eLearning

El PCI SSC hace público el calendario de fechas para recibir las formaciones y presentar el examen online correspondiente a cada una de ellas para el año 2021. Entre estas capacitaciones se encuentran las de los programas 3DS, QSA, ISA, CPSA, P2PE, SSF, PCIP y QPA.

Más información en la web oficial del (ISC)²:
https://training.pcisecuritystandards.org/elearning-with-online-certification-exam


Actualización de las fechas de implementación del requisito 18-3 del estándar PCI P2PE

El PCI SSC ha emitido un comunicado mediante el cual, de forma inmediata, se hace efectivo el cambio de fechas para el requerimiento 18-3 del estándar PCI P2PE, el cual tiene como objetivo que las claves de cifrado simétrico sean gestionadas en estructuras Key blocks. En concreto, este requisito se define en 3 fases de implementación, la primera fase llegó a su deadline en 2019, por lo que no se ve afectada por este cambio y para las dos fases restantes, se ha ampliado el plazo de implementación 2 años más, a contar desde su deadline predefinido en el estándar.

Más información en la web del PCI SSC:
https://www.pcisecuritystandards.org//pdfs/Key_Block_Implementation_Bulletin_P2PE_final.pdf


Solo 1 de cada 4 organizaciones mundiales cumple con PCI DSS

Las organizaciones globales continúan poniendo en riesgo los datos de los titulares de tarjetas de sus clientes debido a la falta de una estrategia y ejecución de seguridad de pago a largo plazo, según señala el informe de seguridad de pago de Verizon Business 2020.

La falta de CISOs calificados y de pensamiento de seguridad a largo plazo, está afectando severamente el cumplimiento sostenido en el tiempo del estándar PCI DSS. Esto afecta a todas las empresas, independientemente de su tamaño.

Más información en el siguiente enlace:

https://www.paymentscardsandmobile.com/only-1-in-4-global-organisations-maintain-full-compliance-with-pci-dss/

   

Riesgos de rootear nuestro dispositivo Android

En este artículo, Héctor Berrocal nos presenta un análisis de los riesgos que se encuentran asociados al hecho de rootear nuestro dispositivo Android, una técnica tan de moda en los últimos años, pero que tiene connotaciones inherentes de seguridad que se deben conocer.

Mecanismos de protección ante las principales amenazas en el correo electrónico

Daniel Fuertes nos habla, en este artículo que se encuentra dividido en dos partes, de las principales medidas y mecanismos de protección, con los cuales contamos hoy en día, para hacer frente a las amenazas presentes en relación con el correo electrónico, esa gran herramienta de la que todas las organizaciones hacen uso para sus comunicaciones tanto internas como externas.

Parte 1:
https://blog.isecauditors.com/2020/10/mecanismos-proteccion-ante-principales-amenazas-en-correo-electronico.html

Parte 2:
https://blog.isecauditors.com/2020/11/mecanismos-proteccion-ante-amenazas-en-el-correo-electronico-parte2.html


La importancia de las suites de cifrado en las comunicaciones en PCI DSS

Diego de la Horra nos presenta un artículo relacionado con la importancia de las suites de cifrado en las comunicaciones, a través de redes públicas o no confiables, dentro del estándar de protección de datos de tarjetas de pago, PCI DSS.


Anonimización y Seudonimización de datos de carácter personal

En este artículo, Sergio Moreno analiza uno de los temas que más controversia y dudas presenta a las distintas organizaciones cuando se enfrentan al problema de la anonimización o seudonimización de datos de carácter personal.

El artículo finaliza con una interesante tabla en la que se recogen los tipos de técnicas de anonimización y seudonimización junto con los riesgos asociados a cada una de ellas.

       
Analisis de Incidentes   Análisis de Incidentes
FireEye

La empresa de ciberseguridad FireEye denunció que fue hackeada por una agencia de inteligencia estatal. Se trata del mayor robo de herramientas de ciberseguridad desde el ataque a la Agencia de Seguridad Nacional de EEUU en 2016 por un grupo aún no identificado, aunque los primeros indicios apuntan a Rusia.

Los piratas informáticos podrían aprovechar las herramientas de FireEye para piratear objetivos de riesgo y de alto nivel con un margen para negar cualquier tipo de responsabilidad.

Más información:
https://www.infobae.com/america/eeuu/2020/12/08/la-empresa-de-ciberseguridad-fireeye-denuncio-que-fue-hackeada-por-una-agencia-de-inteligencia-estatal/

Montana Hospital Group

Montana Hospital Group sufrió una violación de datos debido a un esquema de phishing en el cual los piratas informáticos hicieron uso de correo electrónicos para engañar a los empleados de tal forma que les proporcionaran sus credenciales de inicio de sesión.

Tras la investigación, se verificó que había registros de datos de carácter personal afectados en el incidente, se estimó que había involucrados datos e información personal de casi 130.000 pacientes.

Por esto, Montana Hospital Group tendrá que pagar una cantidad 4.2 millones de dólares.

Más información en la web:
https://www.govtech.com/security/Montana-Hospital-Group-to-Pay-4-2M-After-Breach-Lawsuit.html

WattPad

En junio de 2020, el sitio web de historias generadas por los usuarios Wattpad sufrió una enorme violación de datos que expuso casi 268.745.495 millones de registros.

Los datos se vendieron inicialmente en ventas privadas de más de 100,000 dólares y luego se publicaron en un foro público de piratería donde se compartieron ampliamente de forma gratuita.

El incidente expuso una amplia información personal, incluidos nombres personales y nombres de usuario, direcciones de correo electrónico e IP, géneros, ubicación geográfica general, fechas de nacimiento y contraseñas almacenadas como hashes bcrypt.

Más información en la web:
https://www.bleepingcomputer.com/news/security/wattpad-data-breach-exposes-account-info-for-millions-of-users/

AIS

El investigador y jefe de Seguridad en Cloudflare, Justin Paine, descubrió una base de datos abierta de ElasticSearch cuando navegaba por BinaryEdge y Shodan el 7 de mayo de 2020. Según el resumen del incidente de Paine, la base de datos parecía estar controlada por una subsidiaria de un importante dispositivo móvil con sede en Tailandia. Un operador de red llamado Advanced Info Service (AIS). AIS es un gran operador de telefonía móvil GSM con 39,87 millones de clientes.

La base de datos contenía una combinación de registros de consultas de DNS y registros de NetFlow para lo que parecían ser clientes de AWN. Según los datos disponibles, Paine dijo que la base de datos se observó por primera vez como expuesta y accesible al público el 1 de mayo de 2020. En el transcurso de las tres semanas que la base de datos estuvo expuesta, el volumen de datos creció significativamente, agregando aproximadamente 200 millones nuevas filas de datos cada 24 horas.

El 21 de mayo, había 8.336.189.132 registros almacenados en la base de datos. AIS confirmó la filtración de datos, reconociendo que sus “procedimientos se quedaron cortos”. En la investigación se verificó que los datos filtrados no contenían PII que pudieran usarse para identificar a ningún cliente.

Más información en la web:
https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/

Tendencias   Tendencias

Pagos de IoT en ciudades, automóviles y minoristas

La revolución de Internet de las cosas (IoT) está cambiando el mundo tal como lo conocemos. El punto de venta ya no es un destino, está donde y cuando el cliente lo desee. Visa está ayudando a impulsar esta transformación al proporcionar tecnologías a nivel de plataforma que permiten a los socios crear e innovar. Son estas nuevas ideas las que finalmente darán forma al futuro de los pagos y ayudarán a las personas a llevar una vida sin fricciones.

Los sistemas de pagos estarán implementados en dispositivos wereables, coches, ciudades, accesorios, etc.

Más información en el siguiente enlace:

https://usa.visa.com/visa-everywhere/innovation/future-of-payment-technology.html#Cars_b9bc


Un mundo sin dinero en efectivo

VISA ha llevado a cabo un estudio y ha realizado un informe relativo a las innovaciones que se están llevando a cabo para un futuro mundo sin dinero en efectivo. En este estudio, profundiza en las tendencias, necesidades, patrones de comportamiento y oportunidades de crecimiento en torno a los pagos y destaca cinco tendencias clave en este sentido: Eliminación de la fricción, control, conveniencia, multiuso y experiencias.

Más información en el siguiente enlace:

https://usa.visa.com/dam/VCOM/global/visa-everywhere/documents/innovations-cashless-report-digital.pdf

           
Internet Security Auditors
C. Santander, 101. Edificio A, 2º. 08030 Barcelona (Spain) | Telf.: +34 93 305 13 18
C. Arequipa, 1. 28043 Madrid (Spain) | Telf.: +34 91 763 40 47
Calle 90 # 12-28. 110221 Bogotá D.C. (Colombia) | Telf.: +57 (1) 638 68 88

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE" mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC" by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com