Novedades | Destacamos | ||
El PCI SSC publica nuevas directrices para llevar a cabo evaluaciones remotas Ante las dudas que habían surgido sobre cómo debían realizarse las evaluaciones de forma remota, el PCI SCC ha publicado recientemente un nuevo documento titulado ‘PCI SSC Remote Assessment Guidelines Procedures’ en el que se definen los principios y los procedimientos para el uso apropiado de las evaluaciones remotas cuando no es posible realizar una evaluación presencialmente. El PCI SSC publica un nuevo artículo sobre las implicaciones que conllevan los BIN de 8 dígitos El uso de números BIN de 8 dígitos puede conllevar implicaciones para las empresas que trabajan con datos de tarjetas de pago. Si tomamos en cuenta PCI DSS, esto impacta con los requerimientos 3.3 (enmascarar el PAN con el fin de que únicamente se muestren los primeros seis y/o los últimos cuatro dígitos) y el requerimiento 3.4 (convertir el PAN en un número ilegible en cualquier lugar donde se almacene). Más información en el siguiente enlace: El PCI SSC actualiza la FAQ#1091, referente a los métodos de truncamiento aceptados por las marcas de pago En esta nueva actualización de la FAQ#1091, el PCI SSC ha actualizado los posicionamientos de las marcas de pago VISA y Mastercard. Así pues, ambas marcas de pago indican que todos aquellos PANs de 16 dígitos con un BIN de 8 dígitos pueden retener los primeros 8 y cualesquiera otros 4, establecido que como mínimo deben encontrarse ilegibles 4 dígitos. Diferencias conceptuales entre Software Security Framework (SSF) y Payment Application Data Security Standard (PA-DSS) El PCI SSC ha tomado la iniciativa de publicar una serie de artículos con el fin de aclarar las diferencias clave que hay entre el SSF y PA-DSS. PA-DSS se retirará en octubre de 2022, y el SSF lo reemplaza. Jake Marcinko explica que uno de los cambios tiene que ver con el alcance, ya que en el SSF los criterios de elegibilidad para la validación de software se han ampliado para incluir software que proporciona funciones adicionales, como la supervisión de fraudes o la autenticación del titular de la tarjeta. |
Impacto de la COVID-19 en el estándar PCI DSS (I) Sergio Moreno, del dpto. de consultoría, analiza el impacto general de la Covid-19 en los entornos PCI DSS, los cambios esperados tras la pandemia y los riesgos surgidos a raíz del crecimiento del teletrabajo a nivel mundial. El Esquema Nacional de Seguridad y la reducción de riesgos en Office 365 Eric Tormo, del dpto. de consultoría, brinda información sobre cómo mejorar la seguridad de la suite O365, de acuerdo con los parámetros de seguridad analizados por el Esquema Nacional de Seguridad (ENS). Héctor Berrocal, del dpto. de auditoría, introduce los ataques de cross-site scripting (XSS) incluyendo ejemplos prácticos e indicando algunas contramedidas que deben utilizarse con el fin de protegerse. |
Análisis de Incidentes | |||
Liberan 1M de datos de tarjeta de pago de forma gratuita
Con el objetivo de promocionar y dar a conocer una tienda electrónica ilegal, un grupo de hackers liberó 1M de datos de tarjeta robados entre el 2018 y el 2019. Se estima que un 50% de estas tarjetas estaban activas en el momento de la exfiltración. El conjunto de datos exfiltrados incluiría el PAN, la fecha de expiración, el número CVV y datos personales del titular de la tarjeta, tales como su nombre, la dirección postal, la dirección de correo electrónico o el número de móvil. |
|||
Ciberataque a la empresa T-Mobile
El pasado mes de agosto fue noticia el ciberataque que sufrió la empresa T-Mobile, en el que supuestamente hackers habían accedido a datos de 100M de personas. T-Mobile se puso a investigar el supuesto ataque de seguridad enseguida. A finales de agosto, la empresa emitió un nuevo comunicado sobre el incidente, explicando los hallazgos de la investigación y confirmando que no se vieron afectados datos de pago de los clientes (información financiera, datos de tarjetas de pago etc.) pero sí datos personales de clientes antiguos, en cartera y futuribles. Los datos exfiltrados varían en función de cada persona, pero pueden llegar a contener números de seguridad social, nombre, dirección postal, fecha de nacimiento, información del permiso de conducir, número de móvil, código IMEI etc. |
Tendencias | |||||
Mastercard pone fin a la banda magnética Mastercard es la primera marca de pago en anunciar públicamente que eliminará la banda magnética de sus tarjetas de pago. Para ello, ha anunciado un plan de transición:
BBVA expande la tarjeta Aqua a Latinoamérica La tarjeta Aqua se lanzó en España en octubre de 2020 y, desde entonces, se han emitido más de 1.200.000 tarjetas de pago. Estas tarjetas no tienen ningún tipo de dato impreso (PAN, fecha de caducidad, CVV2) ni en el anverso ni en el reverso. Por lo tanto, para consultar los datos es necesario hacer uso de la aplicación móvil del banco. Además, el CVV2 de la tarjeta es dinámico, por lo que va cambiando a lo largo del tiempo. Renfe implanta el pago y acceso con tarjeta bancaria en Cercanías Madrid Renfe pone en marcha el denominado proyecto Cronos, con el fin de desplegar terminales EMV contactless en toda la red de cercanías, empezando por Madrid. Así pues, los clientes podrán hacer el pago directamente en los tornos, sin necesidad de ir a la taquilla y comprar un billete sencillo. El acceso y el pago directo haciendo uso de tarjeta bancaria contactless permitirá optimizar el tiempo de los usuarios, porque no tendrán que llegar antes para hacer la compra, y también mejorará la fluidez en los vestíbulos. Además, esta innovación también hace un guiño al medio ambiente, ya que no se emitirán tantos billetes de cartón. |
|||||
Internet Security Auditors C. Santander, 101. Edificio A, 2º. 08030 Barcelona (Españ) | Telf.: +34 93 305 13 18 C. Arequipa, 1. 28043 Madrid (Españ) | Telf.: +34 91 763 40 47 Carrera 13 # 90-17. 110221 Bogotá D.C. (Colombia) | Telf.: +57 601 638 68 88 |
|||||
Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE" mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com |