Novedades | Destacamos | ||
El PCI SSC publicará un nuevo marco de trabajo para el desarrollo de software El PCI SSC está desarrollando un marco de seguridad específico para software, el PCI Software Security Framework. Este marco es un conjunto de estándares y programas orientados a la seguridad del software en todas sus fases del ciclo de vida (security by design). Durante el 2019 se pretende que se publiquen, bajo este nuevo marco:
Por su parte, PA-DSS se incorporará a este nuevo marco, de forma gradual. A mediados de 2020 no se aceptarán nuevas entregas de productos bajo PA-DSS, aunque los productos ya validados seguirán vigentes hasta 2022. |
Serie: Directiva PSD2 En nuestro blog corporativo hemos publicado 2 nuevas entradas referentes a la Directiva UE 2015/2366, más conocida como PSD2. En dichas entradas, se profundiza en el alcance de la directiva, así como en la descripcián de los nuevos roles definidos. También se describen las medidas de seguridad publicadas por la Autoridad Bancaria Europea (EBA). |
||
Interés legítimo, el cajón de sastre del RGPD En este artículo se explica el concepto de "interés legítimo" y cómo muchas organizaciones están haciendo uso del mismo. Se explica también la falta de sentido del desarrollo de una lista, aunque se ponen algunos ejemplos de lo que podría considerarse en base a lo descrito en el reglamento. Para finalizar, se hace referencia al Grupo de Trabajo del artículo 29 (GT29), quienes han publicado un dictamen donde se indican las consideraciones que debe tener en cuenta un responsable del tratamiento para incluir un tratamiento como interés legítimo. |
|||
PCI DSS: Recordatorios y recursos El pasado mes de diciembre, el PCI SSC publicó una serie de recordatorios en relación al estándar PCI DSS, entre los que se incluyen:
También publicó algunos recursos que pueden ser útiles para el cumplimiento de las versiones 3.2 y 3.2.1 de la norma:
Puede encontrar el detalle de la publicación en: |
Principio de Minimización de datos Este artículo explica este principio, incluido en el RGPD y como choca con las tendencias actuales del Big Data. Este principio ya aparecía también en las guías de privacidad de la OECD y explica las consideraciones que se incluyen en dicho principio. También se hace referencia a las sanciones que puede llegar a imponer el RGPD por el incumplimiento de dicho principio. |
||
Novedades del RGPD con respecto a la LOPD El presente artículo pretende listar las principales diferencias que ha introducido el RGPD en materia de protección de datos con respecto a la antigua LOPD que ya teníamos en España. Recuerda que España era uno de los países pioneros y referentes en materia de protección de datos, por lo que el RGPD no introduce tantos cambios como en otros países, aunque veremos al menos 8 características que han cambiado bastante. |
|||
Revisión del estándar PCI 3DS SDK En diciembre de 2018 se publicó la versión 1.1 del PCI 3-D Secure Software Development Kit (3DS SDK) Security Standard, que incluye una serie de cambios menores y guía para las evaluaciones de seguridad de los laboratorios que se encargan de las evaluaciones de dicho estándar |
Políticas de privacidad online, tras el RGPD La Agencia Española de Protección de Datos (AEPD) publicó un estudio que había realizado tras revisar las políticas de privacidad de varias organizaciones que prestan servicios desde internet. El estudio refleja las principales conclusiones de dicho análisis, como la falta de lenguaje claro y conciso y la falta de granularidad para aceptar las finalidades. |
||
Nuevos estándares: qué esperar en 2019 El PCI SSC se mantiene en constante evolución gracias a las nuevas tecnologías, ya en 2018 se publicó un estándar para componentes COTS (Commercial Off-The-Shelf). Para 2019, se prevé la publicación de un anexo para adaptarse a mercados menos maduros en la industria de tarjetas, que todavía aceptan transacciones por banda magnética. |
Análisis de Incidentes | |||
Hoteles Marriott
A finales de noviembre, la cadena hotelera Marriott hizo público que había sufrido un ataque en su infraestructura (y concretamente, a la plataforma de reservas) que habría afectado a en torno a 400 millones de personas (inicialmente se estimó en más de 500 millones de clientes afectados). Los atacantes habrían tenido acceso a datos personales de los clientes, así como a datos de tarjeta de crédito. Este ataque comenzó en 2014, pero no fue hasta finales de 2018 cuando el fallo fue identificado y subsanado. |
|||
OXO
El fabricante OXO, con sede en Nueva York, hizo público a principio de 2019 que había sufrido un ataque. No se han hecho públicos ni los detalles del ataque ni el alcance en número de registros, pero se sí se sabe que el ataque se inició en junio de 2017 y finalizó en octubre de 2018, así como que la filtración de datos incluía información de tarjetas. |
|||
Huddle House
La cadena de restaurantes americana Huddle House ha reconocido haber sido víctima de un ataque que podría haber sacado a la luz cientos de miles de datos de tarjeta. El incidente se dio desde agosto de 2017 hasta hace unas pocas semanas. |
|||
Baylor Scott & White Medical Center - Frisco
Este hospital estadounidense publicó a finales de 2018 un post donde informaban haber sufrido una brecha que afectaría a cerca de 48.000 clientes y avalistas de sus sistemas. |
Tendencias | |||||
Nuevo record de inversión en Fintech 2018 ha sido un nuevo año de record para las Fintech. Según el reporte FinTech M&A, más de 31.000 millones de dólares ha sido la inversión en Fintech durante el 2018 (América del Norte, EMA y Asia-Pacífico). |
|||||
Internet Security Auditors C. Santander, 101. Edificio A, 2º. 08030 Barcelona (Spain) | Telf.: +34 93 305 13 18 C. Arequipa, 1. 28043 Madrid (Spain) | Telf.: +34 91 763 40 47 Calle 90 # 12-28. 110221 Bogotá D.C. (Colombia) | Telf.: +57 (1) 638 68 88 |
|||||
Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE" mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com |