viernes, 14 de junio de 2019

Auditorias PCI DSS lo nuevo en la Banca

Payment  Card Industries Data Standart Security

PCI Hispano es un proyecto cooperativo en idioma español entre profesionales de América y Europa para compartir conocimiento y experiencias en el proceso de implementación y auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
·         Inicio
·         El PCI SSC publica la versión 3.2.1 de PCI DSS, define fechas de transición y anuncia cambios en los SAQ en junio de 2018
El PCI SSC publica la versión 3.2.1 de PCI DSS, define fechas de transición y anuncia cambios en los SAQ en junio de 2018
El PCI SSC ha publicado el 17 de mayo de 2018 la nueva versión 3.2.1 del estándar PCI DSS, tal y como lo habían anunciado días atrás.
Dentro de los cambios entre la versión 3.2 y la versión 3.2.1 se encuentran:
·         Se corrigieron erratas menores y errores generales de ortografía.
·         Se remueven las referencias al Anexo A2 en los controles 2.2.3, 2.3 y 4.1.
·         El Anexo A2 solamente permitirá el uso de SSL y versiones tempranas de TLS en entornos de punto de venta / punto de interacción (POS POI) que no sean susceptibles de ser afectados por exploits conocidos. A partir del 30 de junio todos los comercios y proveedores de servicio deben hacer uso de versiones seguras de TLS.
·         En los controles 3.5.1, 6.4.6, 8.3.1, 10.8, 10.8.1, 11.3.4.1, 12.4.1, 12.11 y 12.11.1 se eliminan las referencias a las fechas de entrada en vigencia de febrero 1 de 2018, ya que esa fecha ha pasado y los controles han entrado totalmente en vigencia.
La nueva versión del estándar se puede descargar directamente de la biblioteca de documentos del PCI SSC o desde aquí (en inglés).
Por otro lado, las fecha de transición entre las versiones del estándar serán las siguientes:
·         Se permitirán validaciones con cualquiera de las dos versiones hasta el 31 de diciembre de 2018.
·         El 1 de enero de 2019 la versión 3.2 será obsoleta.
·         A partir del 1 de enero de 2019 todas las validaciones deberán ser realizadas únicamente con la versión 3.2.1 de PCI DSS.
Adicionalmente – y de forma contraria a lo anunciado inicialmente por el PCI SSC – se agregarán nuevos controles en los Cuestionarios de Auto-Evaluación (SAQ). En principio, el control 6.2 de PCI DSS (vinculado con el proceso de despliegue de actualizaciones de seguridad) será incorporado dentro del SAQ A (para comercios electrónicos y MO/TO con delegación de servicios en proveedores certificados PCI DSS). Estas nuevas versiones de los SAQ se publicarán en junio de 2018.
Finalmente, se anunció que la próxima versión de PCI DSS  tendra previsto su lanzamiento en 2020. Se puede encontrar mas información en el blog del PCI SSC.
Si quieres conocer toda la línea del tiempo de los estándares de PCI DSS, incluyendo las publicaciones de todas las versiones de PA DSS, PCI DSS, PCI PTS y P2PE, no olvides leer el artículo “La línea de tiempo del comité de estándares PCI SSC“.
PCI Hispano es un proyecto cooperativo en idioma español entre profesionales de América y Europa para compartir conocimiento y experiencias en el proceso de implementación y auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
·         Inicio
·         La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC)
La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC)
En septiembre de 2016 se cumplieron los primeros diez años del PCI Security Standards Council, organización encargada de la gestión de los estándares de seguridad de datos de tarjetas de pago. Desde su fundación, su objetivo ha sido establecer un marco de trabajo trasversal entre comercios, proveedores de servicio y entidades financieras para proteger los datos del titular de tarjeta de exfiltraciones y posteriores fraudes.
Antes de su existencia, cada una de las marcas que componen el comité (Visa, American Express, MasterCard, JCB y Discover) contaban con sus propios programas de seguridad, lo cual dificultaba su implementación para una organización que procesara diferentes tipos de tarjetas. Igualmente, el reporte de cumplimiento era bastante engorroso y el esfuerzo que se estaba realizando en aquel entonces era contraproducente. Adicionalmente, los incidentes de robo masivo de datos de tarjetas estaban a la orden del día y la necesidad de organización de una estrategia era una necesidad crítica.
Con la llegada del PCI SSC se centralizaron las mejores características de cada programa de seguridad de las marcas asociadas y se unificaron los controles en estándares globales, facilitando su adopción, control y mejora continua, aportando un conjunto de controles, procedimientos, documentación y auditorías para optimizar los niveles de protección de los entornos de los actores involucrados en las transacciones con tarjetas.
Ya han pasado 10 años desde la fundación del PCI SSC y los cambios en la seguridad de datos de tarjeta son latentes: implementación masiva de PCI DSS y PA DSS, formación a personal asociado, auditorías contínuas, gestión de incidentes, soporte para el uso de tecnologías seguras, despliegue de EMV y tokenización, etc. No obstante, no existe una “bala de plata” que garantice la seguridad completa: Las vulnerabilidades aparecen cada día, nuevas tecnologías de pago empiezan a surgir (contactless, uso de teléfonos móviles para pagos, etc.), los atacantes se especializan cada vez más y los controles actuales empiezan a quedar obsoletos. Las iniciativas del PCI SSC son solo una de las acciones necesarias para gestionar el riesgo de los datos de tarjetas de pago. El resto de la responsabilidad debe ser gestionada mediante la estrategia de gobernanza corporativa, gestión de riesgos y mejora continua.
En esta línea de tiempo traemos una descripción de los principales hitos en la historia del PCI SCC que nos permite analizar y entender la evolución en el cumplimiento desde el 2006 hasta el día de hoy. Aún queda mucho trabajo por hacer, pero el primer paso ya está dado.
PCI Hispano es un proyecto cooperativo en idioma español entre profesionales de América y Europa para compartir conocimiento y experiencias en el proceso de implementación y auditoría de estándares del PCI SSC.
¿Eres nuevo en esta área? Lee nuestro Top 10 de preguntas y respuestas más frecuentes y revisa La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC).
¿Quieres escribir artículos y hacer parte de nuestros colaboradores? Revisa la guía para autores.
¿Tienes alguna pregunta o necesitas orientación? Pregúntale al QSA en el Foro de Discusión.
·         Inicio
·         El PCI SSC publica la versión 3.2.1 de PCI DSS, define fechas de transición y anuncia cambios en los SAQ en junio de 2018
El PCI SSC publica la versión 3.2.1 de PCI DSS, define fechas de transición y anuncia cambios en los SAQ en junio de 2018
El PCI SSC ha publicado el 17 de mayo de 2018 la nueva versión 3.2.1 del estándar PCI DSS, tal y como lo habían anunciado días atrás.
Dentro de los cambios entre la versión 3.2 y la versión 3.2.1 se encuentran:
·         Se corrigieron erratas menores y errores generales de ortografía.
·         Se remueven las referencias al Anexo A2 en los controles 2.2.3, 2.3 y 4.1.
·         El Anexo A2 solamente permitirá el uso de SSL y versiones tempranas de TLS en entornos de punto de venta / punto de interacción (POS POI) que no sean susceptibles de ser afectados por exploits conocidos. A partir del 30 de junio todos los comercios y proveedores de servicio deben hacer uso de versiones seguras de TLS.
·         En los controles 3.5.1, 6.4.6, 8.3.1, 10.8, 10.8.1, 11.3.4.1, 12.4.1, 12.11 y 12.11.1 se eliminan las referencias a las fechas de entrada en vigencia de febrero 1 de 2018, ya que esa fecha ha pasado y los controles han entrado totalmente en vigencia.
La nueva versión del estándar se puede descargar directamente de la biblioteca de documentos del PCI SSC o desde aquí (en inglés).
Por otro lado, las fecha de transición entre las versiones del estándar serán las siguientes:
·         Se permitirán validaciones con cualquiera de las dos versiones hasta el 31 de diciembre de 2018.
·         El 1 de enero de 2019 la versión 3.2 será obsoleta.
·         A partir del 1 de enero de 2019 todas las validaciones deberán ser realizadas únicamente con la versión 3.2.1 de PCI DSS.
Adicionalmente – y de forma contraria a lo anunciado inicialmente por el PCI SSC – se agregarán nuevos controles en los Cuestionarios de Auto-Evaluación (SAQ). En principio, el control 6.2 de PCI DSS (vinculado con el proceso de despliegue de actualizaciones de seguridad) será incorporado dentro del SAQ A (para comercios electrónicos y MO/TO con delegación de servicios en proveedores certificados PCI DSS). Estas nuevas versiones de los SAQ se publicarán en junio de 2018.
Finalmente, se anunció que la próxima versión de PCI DSS  tendra previsto su lanzamiento en 2020. Se puede encontrar mas información en el blog del PCI SSC.
Si quieres conocer toda la línea del tiempo de los estándares de PCI DSS, incluyendo las publicaciones de todas las versiones de PA DSS, PCI DSS, PCI PTS y P2PE, no olvides leer el artículo “La línea de tiempo del comité de estándares PCI SSC
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)