Boletín Medios de Pago Marzo 2019
Novedades  Novedades     Destacamos  Destacamos

El PCI SSC publicará un nuevo marco de trabajo para el desarrollo de software

El PCI SSC está desarrollando un marco de seguridad específico para software, el PCI Software Security Framework. Este marco es un conjunto de estándares y programas orientados a la seguridad del software en todas sus fases del ciclo de vida (security by design). Durante el 2019 se pretende que se publiquen, bajo este nuevo marco:

  • Estándares
    • Secure Software Standard: Estándar para definir procedimientos y requerimientos que garantice la confidencialidad e integridad de las transacciones y datos dentro del software.
    • Secure SLC (Software Lifecycle) Standard: orientado al aseguramiento durante todo el ciclo de vida del software.
  • Marco de validación: nuevo programa de validación del SSC, tanto para los vendors como para sus productos software, así como un nuevo programa de cualificación para los assessors.

Por su parte, PA-DSS se incorporará a este nuevo marco, de forma gradual. A mediados de 2020 no se aceptarán nuevas entregas de productos bajo PA-DSS, aunque los productos ya validados seguirán vigentes hasta 2022.

En los siguientes links se puede encontrar información del propio SSC:
https://www.pcisecuritystandards.org/about_us/press_releases/pr_01162019
https://blog.pcisecuritystandards.org/update-on-pci-software-security-framework

   

Serie: Directiva PSD2

En nuestro blog corporativo hemos publicado 2 nuevas entradas referentes a la Directiva UE 2015/2366, más conocida como PSD2. En dichas entradas, se profundiza en el alcance de la directiva, así como en la descripcián de los nuevos roles definidos. También se describen las medidas de seguridad publicadas por la Autoridad Bancaria Europea (EBA).

Bancos, Fintech...¿hasta dónde llega PSD2?
Requisitos de seguridad en PSD2

Interés legítimo, el cajón de sastre del RGPD

En este artículo se explica el concepto de "interés legítimo" y cómo muchas organizaciones están haciendo uso del mismo. Se explica también la falta de sentido del desarrollo de una lista, aunque se ponen algunos ejemplos de lo que podría considerarse en base a lo descrito en el reglamento. Para finalizar, se hace referencia al Grupo de Trabajo del artículo 29 (GT29), quienes han publicado un dictamen donde se indican las consideraciones que debe tener en cuenta un responsable del tratamiento para incluir un tratamiento como interés legítimo.

PCI DSS: Recordatorios y recursos

El pasado mes de diciembre, el PCI SSC publicó una serie de recordatorios en relación al estándar PCI DSS, entre los que se incluyen:

  • A partir del 1 de Enero de 2019 entra en vigencia la versión 3.2.1 de la norma PCI DSS, dejando de esta forma obsoleta la versión 3.2.
  • No debe permitirse el uso de SSL o versiones tempranas de TLS, a excepción de POS POI (point of sale point of interaction) que no tengan vulnerabilidades conocidas. En caso de utilizar estos protocolos, se deben establecer controles compensatorios.

También publicó algunos recursos que pueden ser útiles para el cumplimiento de las versiones 3.2 y 3.2.1 de la norma:

  • Guía para el uso de SSL/early TLS: Incluyendo una descripción del impacto en los escaneos ASV y una guía adicional para su uso el POS POI.
  • Guía para MFA (Multi-factor Authentication), que incluye una serie de best practices para la implantación de MFA.
  • Protección de datos de tarjeta a través de teléfono, que incluye los principales los riesgos asociados a esta operativa.

Puede encontrar el detalle de la publicación en:
https://blog.pcisecuritystandards.org/pci-dss-reminders-and-resources

   

Principio de Minimización de datos

Este artículo explica este principio, incluido en el RGPD y como choca con las tendencias actuales del Big Data. Este principio ya aparecía también en las guías de privacidad de la OECD y explica las consideraciones que se incluyen en dicho principio. También se hace referencia a las sanciones que puede llegar a imponer el RGPD por el incumplimiento de dicho principio.

Novedades del RGPD con respecto a la LOPD

El presente artículo pretende listar las principales diferencias que ha introducido el RGPD en materia de protección de datos con respecto a la antigua LOPD que ya teníamos en España. Recuerda que España era uno de los países pioneros y referentes en materia de protección de datos, por lo que el RGPD no introduce tantos cambios como en otros países, aunque veremos al menos 8 características que han cambiado bastante.

Revisión del estándar PCI 3DS SDK

En diciembre de 2018 se publicó la versión 1.1 del PCI 3-D Secure Software Development Kit (3DS SDK) Security Standard, que incluye una serie de cambios menores y guía para las evaluaciones de seguridad de los laboratorios que se encargan de las evaluaciones de dicho estándar

Si bien esta actualización no incluye nuevos requerimientos, sí incluye el feedback recibido por las organizaciones que participan en el PCI SSC y por los propios laboratorios encargados de estas revisiones.

Para más información puede visitar el siguiente enlace:
https://www.pcisecuritystandards.org/about_us/press_releases/pr_12132018

   

Políticas de privacidad online, tras el RGPD

La Agencia Española de Protección de Datos (AEPD) publicó un estudio que había realizado tras revisar las políticas de privacidad de varias organizaciones que prestan servicios desde internet. El estudio refleja las principales conclusiones de dicho análisis, como la falta de lenguaje claro y conciso y la falta de granularidad para aceptar las finalidades.

Se puede ver un resumen de dicho estudio en: https://blog.isecauditors.com/2018/11/politicas-de-privacidad-online-tras-el-gdpr.html

Nuevos estándares: qué esperar en 2019

El PCI SSC se mantiene en constante evolución gracias a las nuevas tecnologías, ya en 2018 se publicó un estándar para componentes COTS (Commercial Off-The-Shelf). Para 2019, se prevé la publicación de un anexo para adaptarse a mercados menos maduros en la industria de tarjetas, que todavía aceptan transacciones por banda magnética.

Si bien esta actualización no incluye nuevos requerimientos, sí incluye el feedback recibido por las organizaciones que participan en el PCI SSC y por los propios laboratorios encargados de estas revisiones.

Para más información puede visitar el siguiente enlace:
https://www.pcisecuritystandards.org/about_us/press_releases/pr_12132018

     
Analisis de Incidentes  Análisis de Incidentes
Hoteles Marriott

A finales de noviembre, la cadena hotelera Marriott hizo público que había sufrido un ataque en su infraestructura (y concretamente, a la plataforma de reservas) que habría afectado a en torno a 400 millones de personas (inicialmente se estimó en más de 500 millones de clientes afectados). Los atacantes habrían tenido acceso a datos personales de los clientes, así como a datos de tarjeta de crédito. Este ataque comenzó en 2014, pero no fue hasta finales de 2018 cuando el fallo fue identificado y subsanado.

Por su parte, Marriott creó una página con información sobre el incidente, así como respuesta a preguntas frecuentes y habilitó un servicio de call center para informar a los clientes.

Más información en la web de https://answers.kroll.com/

OXO

El fabricante OXO, con sede en Nueva York, hizo público a principio de 2019 que había sufrido un ataque. No se han hecho públicos ni los detalles del ataque ni el alcance en número de registros, pero se sí se sabe que el ataque se inició en junio de 2017 y finalizó en octubre de 2018, así como que la filtración de datos incluía información de tarjetas.

OXO contactó con los clientes afectados y les ha ofrecido un servicio de monitorización de datos financieros.

Huddle House

La cadena de restaurantes americana Huddle House ha reconocido haber sido víctima de un ataque que podría haber sacado a la luz cientos de miles de datos de tarjeta. El incidente se dio desde agosto de 2017 hasta hace unas pocas semanas.

El ataque se habría perpetrado cuando los atacantes tuvieron acceso a los sistemas del proveedor de servicios del POS, ganando de esta forma acceso remoto a los sistemas de la compañía.

La compañía hostelera se ha puesto en contacto con los clientes potenciales y ha ofrecido varios servicios y puntos de contacto para prevención del fraude.

Más información en este enlace.

Baylor Scott & White Medical Center - Frisco

Este hospital estadounidense publicó a finales de 2018 un post donde informaban haber sufrido una brecha que afectaría a cerca de 48.000 clientes y avalistas de sus sistemas.

La brecha se habría dado a través del sistema de venta de su proveedor y afectaría a los datos financieros de dichas personas, no así a datos personales ni médicos.

Más información sobre el incidente en:
https://baylorfrisco.com/important-notice-regarding-a-data-security-incident/

Tendencias  Tendencias

Nuevo record de inversión en Fintech

2018 ha sido un nuevo año de record para las Fintech. Según el reporte FinTech M&A, más de 31.000 millones de dólares ha sido la inversión en Fintech durante el 2018 (América del Norte, EMA y Asia-Pacífico).

El artículo también indica que se prevé que las Fintech van a continuar creciendo e indica alguna de las tendencias de estas Fintech, como el uso de sistemas biométricos.

           
Internet Security Auditors
C. Santander, 101. Edificio A, 2º. 08030 Barcelona (Spain) | Telf.: +34 93 305 13 18
C. Arequipa, 1. 28043 Madrid (Spain) | Telf.: +34 91 763 40 47
Calle 90 # 12-28. 110221 Bogotá D.C. (Colombia) | Telf.: +57 (1) 638 68 88

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE" mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC" by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com