Boletín Medios de Pago Junio 2019
Novedades  Novedades     Destacados  Destacamos

Nuevo programa para formar y acreditarse como asesor del Card Production Security Standards

El PCI SSC ha lanzado un nuevo programa que permitirá formar y asegurar los conocimientos de los profesionales que realizan revisiones de los estándares relacionado con la producción de tarjetas (Card Production Security Standards).

El programa ha comenzado a finales del mes de abril, pero únicamente se ha abierto a las empresas que actualmente son asesores de Card Production. No será hasta el Q1 del 2020 cuando se abra a nuevos aplicantes.

Más detalles en el blog de PCI

   

Tokenización en PCI DSS: FAQ y diseño básico de una solución con AWS (Capítulo 1)

En el blog corporativo de la empresa se han publicado el primer capítulo de cómo implantar una solución de tokenización en entorno AWS.

La tokenización recordemos que sirve para limitar el alcance de una certificación PCI DSS, y durante este primer capítulo se repasará el concepto de tokenización, profundizando en el tema, así como diferenciando entre posibles aproximaciones que se podrían abordar.

Nuevo programa de validación para aplicaciones de pago

Un nuevo conjunto de estándares denominado "PCI Software Security Standars" pretende servir de marco de trabajo para todos aquellos softwares que sirvan como aplicación de pagos. Estos estándares buscan asegurar las aplicaciones en todo el ciclo de vida del software y se encargarán de reemplazar el actual estándar PA-DSS (Payment Application Data Security Standard). El estándar PA-DSS expirará en 2022, pero permitirá el envío de informes PA-DSS hasta mediados de 2021.

Con la salida de dicho estándar, también se revisará el procedimiento para la formación de nuevos asesores en materia de desarrollo de software, aunque todavía no se han publicado los detalles del mismo.

Más información en los siguientes enlaces:
https://blog.pcisecuritystandards.org/programs-update-pci-software-security-framework https://blog.pcisecuritystandards.org/pci-software-security-framework-update-on-assessor-qualification

   

Internet Security Auditors como primera empresa iberoamericana en el programa QPA de PCI DSS

El nuevo programa QPA (Qualified PIN Assessor), que permite llevar a cabo auditoría de cumplimiento y certificación del programa PCI PIN, deja en manos del PCI SSC (antiguamente gestionado por VISA) la actualización de los requerimientos para proveedores que gestionen servicios con el PIN de las tarjeta.

Internet Security Auditors es la primera empresa en Iberoamérica que puede realizar este tipo de trabajos.

Actualizaciones de estándares para Contacless y SPoC

Dentro del estándar SPoC (Software-based PIN Entry on COTS (Commercial off-the-sheld)), se ha desarrollado un anexo, que permite desarrollar nuevas soluciones basadas en lectura de banda magnética.

En relación con las transacciones sin contacto, se ha cerrado el RFC (Request for Comments) y actualmente se están revisando los comentarios de cara a ver qué y cómo se incluirá en dicho estándar, CPoC (Contactless Payments on COTS).

Más información en el blog de PCI

     
       
Analisis de Incidentes  Análisis de Incidentes
LabCorp / AMCA

A finales de abril se comenzó a hablar de una posible brecha que afectaba nuevamente al sector salud (aunque no fue hasta principios de junio que se formalizó). En este caso la empresa afectada es LabCorp, con sede en Carolina del Norte. Según el informe oficial, cerca de 7,7 datos médicos de clientes se habrían visto afectados por la brecha, incluyendo al menos la información económica de 200.000. Esta brecha se ha identificado que comenzó en agosto de 2018 y duró hasta marzo de 2019.

Un análisis más detallado del incidente indica que la brecha se dio a través de una tercera parte, AMCA (American Medical Collection Agency), quien indicó un problema en su web de pagos, a través de la cual varias organizaciones realizan los pagos de los servicios médicos. El total de pacientes afectados según AMCA podría llegar a ser de 12 millones entre todas las organizaciones con las que trabajaba.

AMCA se ha declarado en bancarrota semanas después de notificar el incidente.

Más información en el siguiente enlace:
https://www.bankinfosecurity.com/amca-bankruptcy-filing-in-wake-breach-reveals-impact-a-12662

Earl Enterprise

Earl Enterprise, es el grupo bajo el que trabajan las cadenas de restaurantes "Planet Hollywood" o "Buca di Beppo". Según publicó en su web, el incidente afecta únicamente a algunos de sus cadenas y únicamente al comercio físico, nunca al online. La brecha tuvo lugar durante diez meses, según fechas oficiales de Earl Enterprise (del 23 de mayo de 2018 al 18 de marzo de 2019).

Como parte de su respuesta, Earl Enterprise informa de los derechos en los diferentes estados afectados en relación con robo de identidad o datos de tarjeta y da algunos consejos de cómo protegerse.

Aunque no hay un número de afectados en el reporte oficial, varios medios indican que existirían cerca de 2 millones de datos de tarjetas afectadas.

Más información en la web de Earl Enterprise

AeroGrow

Varios medios han reportado que el fabricante y vendedor de productos de jardinería AeroGrow ha sido víctima de una brecha, aunque a fecha de hoy se desconoce el número de afectados. Según se informa, la empresa informó a través de un comunicado a sus clientes de la posible brecha, indicando el periodo de actividad (finales de octubre hasta principios de marzo) de la brecha y que ponían a disposición de los clientes de un servicio de monitorización.

La brecha se dio en su página web y parece ser un remanente del grupo Magecart, quienes infectaron varios comercios a finales del año pasado y principios del actual.

Más información en este enlace.

Freedom Mobile

Esta compañía de telecomunicaciones canadiense se ha visto afectada por una brecha de seguridad. Los investigadores que reportaron el incidente indicaron que podría afectar hasta a 1.5 millones de clientes, aunque los reportes de la compañía indican que únicamente hay afectados 15.000 clientes.

Según se ha indicado, además de datos personales de los clientes, también se incluirían en la brecha los datos de tarjeta, incluyendo el CVV y el scoring de crédito vinculado a dichos clientes.

Más información sobre el incidente en:
https://www.cbc.ca/news/business/freedom-mobile-data-breach-1.5126952

Tendencias  Tendencias

Facebook prepara su nueva criptomoneda… y Visa se apunta

Facebook anunció unas semanas su nuevo proyecto relacionado con el lanzamiento de una nueva criptomoneda (Libra) basada en blockchain, con el objeto de utilizar whatsapp y Facebook para la realización de transacciones.

Libra está pensada con una "stable coin", con una reserva real de dólares como soporte, de forma que se trataría como cualquier divisa real.

Por su parte, Visa anunció su intención de unirse al "Libra Association", que serán quienes gestionen la divisa (grupo en el que también se encuentran compañías como Paypal y Mastercard).

Visa lanza B2B para agilizar las transferencias internacionales

Con el fin de agilizar las transferencias internacionales entre compañías, Visa ha lanzado su solución Visa B2B Connect, una red de pago no basada en tarjetas que permite las transacciones bancarias entre fronteras. Este programa permitirá que las sociedades bancarias participen en el mismo, permitiendo a sus clientes hacer pagos de una forma mucho más ágil.

           
Internet Security Auditors
C. Santander, 101. Edificio A, 2º. 08030 Barcelona (Spain) | Telf.: +34 93 305 13 18
C. Arequipa, 1. 28043 Madrid (Spain) | Telf.: +34 91 763 40 47
Calle 90 # 12-28. 110221 Bogotá D.C. (Colombia) | Telf.: +57 (1) 638 68 88

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE" mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC" by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com