Pasar al contenido principal

Boletín medios de Pago Marzo 2022

Boletín medios de Pago Marzo 2022
  Novedades   Destacamos

La cuenta atrás para PCI DSS 4.0

La publicación de la norma PCI DSS v4.0, junto con el resumen de cambios de la v3.2.1 a la v4.0, está prevista para finales de marzo de 2022. La plantilla “Report on Compliance” (ROC) y las Declaraciones de Cumplimiento (AOC) también se publicarán en ese momento, y los Cuestionarios de Autoevaluación (SAQ) se publicarán poco después.

La norma PCI DSS v3.2.1 permanecerá activa durante dos años tras la publicación de la v4.0. A partir del 31 de marzo de 2024, la norma PCI DSS v3.2.1 se retirará y la v4.0 se convertirá en la única versión activa de la norma.

Además del periodo de transición en el que estarán activas tanto la v3.2.1 como la v4.0, las organizaciones tienen hasta el 31 de marzo de 2025 para introducir progresivamente los nuevos requisitos que se identifiquen inicialmente como mejores prácticas en la v4.0.

En el siguiente enlace puede encontrarse más información:
https://blog.pcisecuritystandards.org/countdown-to-pci-dss-v4.0


Request for Comments: Nueva normativa sobre Pagos por Móvil COTS (MPoC)

El Council está desarrollando actualmente una nueva normativa para móviles, la cual estará diseñada para apoyar la futura evolución de los pagos por móvil. La normativa se basa en las normativas PCI Software-based PIN Entry on COTS (SPoc) y PCI Contactless Payments on COTS (CPoC).

El objetivo es crear un estándar móvil flexible y un programa para el desarrollo de soluciones de pago, que permita tanto la introducción del PIN como los pagos sin contacto a través de las interfaces nativas de COTS.

Más información en el siguiente enlace:
https://blog.pcisecuritystandards.org/request-for-comments-new-mobile-payments-on-cots-mpoc-standard


National Cybersecurity Alliance y PCI Security Standards Council publican un boletín conjunto sobre el ataque de ransomware

El PCI Security Standards Council (PCI SSC) y la National Cybersecurity Alliance publicaron el pasado 14 de Febrero un boletín conjunto sobre la creciente amenaza de los ataques de ransomware, en el que se describe la amenaza principal, como se llevan a cabo este tipo de ataques y cuales son algunas de las mejores acciones preventivas frente a estos.

Más información en el siguiente enlace:
https://www.pcisecuritystandards.org/about_us/press_releases/pr_02102022


¿Cuáles son los formatos aceptables para el truncamiento de los números de cuenta principales?

El PCI SSC actualiza el listado a partir de enero de 2022 para formatos de truncamiento aceptables para diferentes longitudes de PAN / BIN.

Más información en el siguiente enlace:
https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/What-are-acceptable-formats-for-truncation-of-primary-account-numbers


La UE deja a siete bancos rusos fuera del sistema Swift

La Unión Europea acordó formalmente la expulsión de siete bancos rusos de Swift. Tras ser publicado en el Diario de la UE, Bank Otkritie, Novikombank, Promsvyazbank, Bank Rossiya, Sovcombank, Vnesheconombank (VEB) y VTB Bank no podrán usar Swift para sus operaciones diarias.

Sberbank y Gazprombank, dos de las tres entidades más importantes del país, han quedado al margen de las sanciones, puesto que el grueso de los pagos por el petróleo, gas o carbón que se compra a Rusia se canalizan a través de ellos.

Más información en el siguiente enlace:
https://www.elmundo.es/economia/empresas/2022/03/02/621f922821efa0e85c8b45c0.html


Visa y Mastercard golpean a los bancos rusos - Anonymous intensifica la ciberguerra

Visa y Mastercard han bloqueado de su red a múltiples instituciones financieras rusas, en cumplimiento de las sanciones gubernamentales. Visa comunicó estar tomando medidas rápidas para garantizar el cumplimiento de las sanciones aplicables, y añadió que donará 2 millones de dólares para ayuda humanitaria, al igual que Mastercard.

Mientras tanto, Anonymous parece estar metiéndose en el conflicto entre Ucrania y Rusia al declarar que está en ciberguerra contra el presidente Vladimir Putin y el gobierno ruso. Los mensajes de la cuenta de Anonymous reivindicaron la responsabilidad de inhabilitar sitios web pertenecientes a: Gazprom, la agencia de noticias rusa controlada por el Estado y numerosos organismos gubernamentales rusos y bielorrusos, incluido el sitio oficial del Kremlin.

Más información en el siguiente enlace:
https://www.paymentscardsandmobile.com/visa-and-mastercard-hit-russian-banks-anonymous-steps-up-cyber-war/

Mapfre amplia la certificación PCI DSS de su Centro de Procesos de Datos de Alcalá de Henares

Internet Security Auditors, como empresa acreditada por el PCI SSC a través de su certificado QSA entregó la Certificación PCI DSS (Payment Card Industry Data Security Standard) a Mapfre. Con este hecho se acredita que, los CPDs ubicados en Alcalá de Henares cumplen con las medidas de seguridad necesarias para garantizar el cumplimiento de los requisitos del PCI SSC contribuyendo así a reforzar y respaldar la confianza depositada por sus clientes y entidades emisoras de tarjetas.


Dispositivos IoT al alcance de todos, incluso de los malos

Hector Berrocal, del departamento de auditoría, nos explica el peligro que puede suponer tener malas configuraciones en nuestros dispositivos hiperconectados, en un mundo donde cada vez estamos más conectados con los dispositivos físicos y sistemas electrónicos.


Jugando con Bettercap (Man in the Middle)

Un ataque Man in the Middle ocurre cuando un atacante puede interceptar o manipular tráfico entre dos partes conocidas como víctima y receptor.

En el siguiente artículo, Héctor Berrocal, del departamento de auditoría, nos explica cómo usar la herramienta Bettercap, una herramienta llena de posibilidades con la que podemos realizar gran parte de los ataques de red modernos, como por ejemplo ataques MitM.


Los Sistemas de Gestión de Privacidad de la Información como extensión de un Sistema de Gestión de Seguridad de la Información: La ISO27701:2019

La ISO 27701 es el estándar que especifica y provee la guía de implementación de un Sistema de Gestión de Privacidad de la Información, en forma de una extensión de los Sistemas de Gestión de Seguridad de la Información, establecidos en el estándar ISO27001.

En el siguiente artículo, Jose Antonio Prieto, del departamento de consultoría, nos describe los requerimientos necesarios para adaptar los Sistemas de Gestión de Seguridad de la Información implementados, para convertirlos en un Sistema de Gestión de Privacidad de la Información y cubrir así los requerimientos del REGLAMENTO (UE) 2016/679, más conocido como: Reglamento General de Protección de Datos.

  Análisis de Incidentes
Estafadores colocaron falsos códigos QR en parquímetros para robar datos de pago

El pasado mes de Enero, se publicaron intentos de fraude mediante códigos QR en varias ciudades de Texas, como Austin, Houston o San Antonio. Al parecer, los estafadores han colocado en parquímetros calcomanías con falsos códigos QR que dirigían a los usuarios a un dominio falso de una supuesta plataforma de pagos para robar los datos financieros.

Más información en el siguiente enlace:
https://www.welivesecurity.com/la-es/2022/01/20/estafadores-colocaron-falsos-codigos-qr-en-parquimetros-para-robar-datos-de-pago/

Se accede a una "pequeña parte" de los datos de los clientes sin autorización en un fallo de seguridad en una plataforma de compras online de Hong Kong

Hong Kong Technology Venture Company Limited (HKTV), publicó que había detectado "actividades anormales y sospechosas" en sus sistemas informáticos el 26 de enero, ya que servidores situados en otras regiones de Asia obtuvieron acceso no autorizado a la información de los clientes en su plataforma de distribución.

HKTV publicó que se accedió a una pequeña parte de la información de 4,38 millones de clientes registrados en HKTVmall.

Más información en el siguiente enlace:
https://www.scmp.com/news/hong-kong/society/article/3165948/small-portion-customer-data-accessed-without-authorisation

PulseTV revela el posible compromiso de 200.000 tarjetas de crédito

La tienda online estadounidense PulseTV ha revelado un compromiso a gran escala de las tarjetas de crédito de los clientes. Según la carta de notificación compartida con la Oficina del Fiscal General de Maine, más de 200.000 compradores se han visto afectados.

La plataforma se enteró de una posible brecha a través de VISA el 8 de marzo de 2021, que les informó de que se estaban realizando transacciones no autorizadas con tarjetas de crédito en el sitio.

La información que puede haber sido comprometida incluye lo siguiente: Nombre completo, Dirección de envío, Dirección de correo electrónico, Número de la tarjeta de pago, Fecha de caducidad de la tarjeta de pago, Código de seguridad de la tarjeta de pago (CVV).

Más información en el siguiente enlace:
https://www.bleepingcomputer.com/news/security/pulsetv-discloses-potential-compromise-of-200-000-credit-cards/

  Tendencias
El monedero móvil y el auge de la Super App

El sector de los monederos móviles ha experimentado importantes avances en la última década, cambiando la forma en que la gente gestiona y gasta su dinero, y las tareas que estos monederos pueden realizar se han ampliado rápidamente.

Los monederos móviles son hoy, en esencia, una forma de organizar las cuentas financieras existentes. Las denominadas “Super Apps” proporcionan un ecosistema conectado en el que los usuarios pueden gestionar pagos, ahorros, inversiones, criptomonedas, presupuestos, préstamos, seguros y mucho más, todo en un solo lugar.


La experiencia de usuario, clave en la e-movilidad

Visa hace un llamamiento a la industria para impulsar la estandarización de los pagos en los puntos de carga de vehículos eléctricos para que los usuarios puedan elegir el método de pago que prefieran.

La transición a los vehículos eléctricos depende de una infraestructura simple y eficaz que la respalde y facilite este desarrollo. Hasta la fecha, los usuarios consideran compleja la carga de vehículos eléctricos, ya que no hay estándares que promuevan la homogenización del sector y ofrezcan una experiencia satisfactoria.


El nuevo malware Xenomorph para Android alcanza a los clientes de 56 bancos

Un nuevo malware llamado Xenomorph distribuido a través de Google Play Store ha infectado más de 50.000 dispositivos Android para robar información bancaria. Este malware, aunque todavía en desarrollo, se dirige a usuarios de decenas de entidades financieras de España, Portugal, Italia y Bélgica.

Los troyanos bancarios como Xenomorph tienen como objetivo robar información financiera sensible, apoderarse de las cuentas, realizar transacciones no autorizadas, y los operadores luego venden los datos robados a compradores interesados.


Trickbot abusa de grandes marcas como Bank of America y Wells Fargo en ataques contra clientess

Trickbot fue conocido como un troyano bancario relativamente sencillo junto a otros como Zeus, Agent Tesla, Dridex y DanaBot. El pasado 16 de febrero, Check Point Research (CPR) publicó un nuevo estudio sobre Trickbot, señalando que el malware está siendo utilizado en ataques dirigidos contra clientes de 60 organizaciones de "alto perfil", muchas de las cuales se encuentran en Estados Unidos.


Los hackers utilizan el reproductor de vídeo para robar tarjetas de crédito de más de 100 sitios

Los hackers utilizaron un servicio de alojamiento de vídeo en la nube para realizar un ataque en cadena a más de cien sitios inmobiliarios que inyectaron scripts maliciosos para robar la información introducida en los formularios del sitio web.

Estos scripts conocidos como “skimmers” suelen inyectarse en los sitios web hackeados para robar la información sensible introducida en los formularios. Los “skimmers” se utilizan habitualmente en las páginas de pago de las tiendas online para robar la información de los pagos.


Los usuarios de Open Banking en el Reino Unido superan el hito de los 5 millones

En la actualidad hay más de 5 millones de usuarios activos de los servicios de banca abierta (Open Banking) en el Reino Unido.

Este importante hito se produce tras la celebración en enero del cuarto aniversario de la PSD2, que convierte la banca abierta en un requisito normativo en el Reino Unido.

 
Internet Security Auditors
C. Santander, 101. Edificio A, 2º. E-08030 Barcelona (Spain) | Telf.: +34 93 305 13 18
C. Arequipa, 1. E-28043 Madrid (Spain) | Telf.: +34 91 763 40 47
Carrera 13 # 90-17. 110221 Bogotá (Colombia) | Telf.: +57 601 638 68 88
síguenos en twittersíguenos en FBsíguenos en LinkedInsíguenos en Instagramsíguenos en YoutubeRSS Blog
 

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com, acompañando su solicitud con una copia de su DNI o documento equivalente acreditativo de su identidad. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com, attaching your request with a copy of your ID card or equivalent document proving your identity. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com