Pasar al contenido principal

Boletín medios de Pago Junio 2022

Boletín medios de Pago Junio 2022
  Novedades   Destacamos

El PCI SSC publica la versión 4.0 de PCI DSS y sus documentos relacionados

La versión 4.0 de PCI DSS y sus documentos relacionados (Roc, AoC, SAQ) ya se encuentran públicamente accesibles.

Cabe recordar que las versiones 3.2.1 y 4.0 convivirán durante un período de transición, que va desde el segundo trimestre de 2022 hasta el primer trimestre del 2024. Así pues, la fecha de retirada de la versión 3.2.1 será el próximo 31 de marzo de 2024.

 

En el siguiente enlace puede encontrarse más información:

https://www.pcisecuritystandards.org/document_library


Actualización menor del estándar PCI PIN Transaction Security (PTS) Point of Interaction (POI) (de la versión 6.0 a la 6.1)

El PCI SSC ha llevado a cabo una revisión menor de los requerimientos con el fin de mejorar las medidas de protección contra la manipulación física y la inserción de malware que puede comprometer los datos de la tarjeta durante las transacciones de pago.

Los cambios incluyen, entre otros:

  • Se añaden requerimientos para el uso de comunicaciones inalámbricas no autenticadas
  • EdDSA pasa a ser considerado como un algoritmo criptográfico aprobado para firmas digitales
  • También se actualizan los criterios sobre truncamiento/cifrado de PAN para acomodar los BIN de 8 dígitos

Más información en el siguiente enlace:
https://www.pcisecuritystandards.org/pdfs/2022%20PTS%20POI%206.1%20Bulletin.pdf


El pasado 30 de abril dejaron de considerarse como dispositivos aprobados todos aquellos validados contra la versión 2.0 de PCI PTS HSM

Según se indica en la página 46 del documento PCI PIN Transaction Security Device Testing and Approval Program Guide v2.0, publicado en mayo de 2022, todos los dispositivos validados con la versión 2.0 de PCI PTS HSM dejan de considerarse como dispositivos aprobados.

PCI SSC mantiene un listado del conjunto de dispositivos PTS con aprobación expirada: https://www.pcisecuritystandards.org/assessors_and_solutions/approved_pin_transaction_security_expired
 

Más información en el siguiente enlace:
https://www.pcisecuritystandards.org/pdfs/2022_PTS_HSM_v2.0_Expiry_Bulletin.pdf

Cambios en OWASP Top 10 2021

Guim Auró, del departamento de auditoría, analiza los cambios entre la versión de la OWASP del 2017 y la del 2021. En esta nueva versión, se introdujeron nuevos criterios para realizar la clasificación Top Ten. Otra novedad es que la frecuencia de una vulnerabilidad en una misma aplicación ya no influye.


Novedades de la actualización del Esquema Nacional de Seguridad de 2022

Carlos Antonio Sans, del departamento de consultoría, explica las principales novedades introducidas en la nueva versión del Esquema Nacional de Seguridad (ENS), publicada el pasado 5 de mayo.


Novedades de PCI DSS en la Versión 4.0

Javier Roberto Amaya, del departamento de consultoría, introduce las principales novedades incorporadas en la versión 4.0 de PCI DSS. Algunas de las novedades más transcendentes que presenta esta nueva versión giran en torno a aspectos relacionados con: enfoque al riesgo, facilidad de personalización, seguridad, autenticación, monitoreo, alcance y desarrollo de aplicaciones.

  Análisis de Incidentes
Estafa por ‘phishing’ al Institut d’Informàtica de Barcelona: 350.000 euros

El Institut Municipal d’Informàtica (IMI) del Ayuntamiento de Barcelona fue víctima de un ataque basado en ingeniería social, en la modalidad de phishing. Los ciberdelincuentes se hicieron pasar por la empresa Servicios Informáticos Abiertos (SIA) e indicaron a los trabajadores del IMI que a partir de ahora para los pagos se tenía que hacer uso de una nueva cuenta bancaria. Se realizaron 13 pagos a los ciberdelincuentes, con un importe total que asciende a los 349.497,88€.

 

Más información en el siguiente enlace:
https://www.lavanguardia.com/local/barcelona/20220527/8297019/estafa-phishing-institut-d-informatica-fraude.html

Laboral Kutxa sufre un ciberataque que da por neutralizado

La entidad bancaria Laboral Kutxa ha confirmado la existencia de un acceso no autorizado al servicio de correspondencia, es decir, los delincuentes han tenido acceso a documentos que intercambia el banco con sus clientes, concretamente indica que se han visto afectados algunos documentos en formato PDF de la correspondencia ordinaria ya remitida a estos.

 

Más información en el siguiente enlace:
https://www.diariovasco.com/economia/banca/laboral-kutxa-sufre-ciberataque-20220531203223-nt.html

Iberdrola comunica a sus clientes que ha sido víctima de un ciberataque

La empresa I-DE Redes Eléctricas Inteligentes, S.A.U., distribuidora de electricidad del grupo Iberdrola, ha explicado a sus clientes, a través de un comunicado, que ha sufrido un ciberataque. Los datos de los usuarios expuestos a raíz de este incidente son: nombre y apellido, DNI, domicilio, número de teléfono y dirección de correo electrónico.

 

Más información en el siguiente enlace:
https://www.osi.es/es/actualidad/avisos/2022/03/iberdrola-comunica-sus-clientes-que-ha-sido-victima-de-un-ciberataque

  Tendencias
CaixaBank lanza "la primera tarjeta" financiera con sistema braille en España

CaixaBank ha lanzado, gracias a la colaboración con ONCE y VISA, la primera tarjeta con el número de tarjeta (PAN) impreso en braille. Además, también tiene una muesca en el lateral para poder insertarla fácilmente en el cajero/datáfono y al introducirla en el cajero a través de contactless, se activa el menú accesible con guía de voz. Esta tarjeta está pensada para ser utilizada en comercios físicos y cajeros. Para las compras online, CaixaBank facilita otra tarjeta con todos los datos (PAN, CVV y fecha de caducidad) impresos en braille, la cual únicamente está pensada para realizar compras online. De momento se trata de un programa piloto, pero si todo va bien, se espera que pueda ser contratada libremente a partir del tercer trimestre de 2022.


Visa y Google introducen tarjetas virtuales en Chrome y Android mediante la tokenización

Es ya bien conocido el servicio de Google Pay, el cual permite almacenar tarjetas de pago para hacer compras contactless con el móvil, y también autocompletar los datos de una tarjeta de pago al hacer una compra online. Pues bien, con este cambio, en el momento de autocompletar los datos de la tarjeta, en realidad, se utilizarán los datos de una tarjeta virtual para llevar a cabo la compra.


Detenido en León por ‘hackeo’ a la carta: espiar redes sociales, eliminar multas o cambiar notas

Agentes de la Policía Nacional han detenido a tres personas que operaban desde las provincias de Badajoz, Córdoba y León, ofertando servicios ilegales que después no facilitaban, tales como espiar WhatsApp en tiempo real, cuentas de correo electrónico y perfiles de redes sociales. También decían poder eliminar deudas pendientes de los servidores de la Agencia Tributaria, datos de morosos o multas de la Dirección General de Tráfico. Además, bajo el pretexto de poder realizar el servicio contratado, los delincuentes pedían información sensible del propio interesado y/o del sujeto al que se pretendía ‘espiar’. Hasta el momento, los investigadores estiman que este grupo criminal organizado se ha podido lucrar con cuantías superiores a los 300.000€.


Vueling permitirá que los titulares de tarjetas UnionPay compren en la web de la aerolínea

Vueling ha anunciado que amplía su presencia en el mercado asiático, gracias a un acuerdo que ha alcanzado con UnionPay International (UPI) para que los titulares de tarjetas de UPI puedan realizar compras en la web de la aerolínea.


Las reclamaciones al Banco de España se disparan un 61% en 2021

El Banco de España tramitó 34.341 reclamaciones de usuarios de servicios financieros en 2021, un 61,1% más que en 2020. El aumento de las reclamaciones se centró, principalmente, en los prestamos hipotecarios, las tarjetas y las cuentas y depósitos. Las tarjetas fueron el segundo tipo de producto con más reclamaciones, con el 29,5%. El crecimiento responde, entre otros elementos, a reclamaciones por operaciones presuntamente fraudulentas realizadas con tarjeta.

Internet Security Auditors
C. Santander, 101. Edificio A, 2º. E-08030 Barcelona (Spain) | Telf.: +34 93 305 13 18
C. Arequipa, 1. E-28043 Madrid (Spain) | Telf.: +34 91 763 40 47
Transversal 22 # 98-82 Ed. Porta 100 Of. 1003. 110221 Bogotá (Colombia) | Telf.: +57 601 638 68 88
síguenos en twittersíguenos en FBsíguenos en LinkedInsíguenos en Instagramsíguenos en YoutubeRSS Blog

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com, acompañando su solicitud con una copia de su DNI o documento equivalente acreditativo de su identidad. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com, attaching your request with a copy of your ID card or equivalent document proving your identity. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com