Boletín Medios de Pago Septiembre 2021
Novedades  Novedades     Destacamos  Destacamos

El PCI SSC publica nuevas directrices para llevar a cabo evaluaciones remotas

Ante las dudas que habían surgido sobre cómo debían realizarse las evaluaciones de forma remota, el PCI SCC ha publicado recientemente un nuevo documento titulado ‘PCI SSC Remote Assessment Guidelines Procedures’ en el que se definen los principios y los procedimientos para el uso apropiado de las evaluaciones remotas cuando no es posible realizar una evaluación presencialmente.

En el siguiente enlace puede encontrarse más información:

https://blog.pcisecuritystandards.org/new-guidelines-on-remote-assessments

El PCI SSC publica un nuevo artículo sobre las implicaciones que conllevan los BIN de 8 dígitos

El uso de números BIN de 8 dígitos puede conllevar implicaciones para las empresas que trabajan con datos de tarjetas de pago. Si tomamos en cuenta PCI DSS, esto impacta con los requerimientos 3.3 (enmascarar el PAN con el fin de que únicamente se muestren los primeros seis y/o los últimos cuatro dígitos) y el requerimiento 3.4 (convertir el PAN en un número ilegible en cualquier lugar donde se almacene).
 

Más información en el siguiente enlace:
https://blog.pcisecuritystandards.org/8-digit-bins-and-pci-dss-what-you-need-to-know

El PCI SSC actualiza la FAQ#1091, referente a los métodos de truncamiento aceptados por las marcas de pago

En esta nueva actualización de la FAQ#1091, el PCI SSC ha actualizado los posicionamientos de las marcas de pago VISA y Mastercard. Así pues, ambas marcas de pago indican que todos aquellos PANs de 16 dígitos con un BIN de 8 dígitos pueden retener los primeros 8 y cualesquiera otros 4, establecido que como mínimo deben encontrarse ilegibles 4 dígitos.

Finalmente, cabe destacar que también se han añadido los métodos de truncamiento aceptados por UnionPay.

Más información en el siguiente enlace:
https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/What-are-acceptable-formats-for-truncation-of-primary-account-numbers

Diferencias conceptuales entre Software Security Framework (SSF) y Payment Application Data Security Standard (PA-DSS)

El PCI SSC ha tomado la iniciativa de publicar una serie de artículos con el fin de aclarar las diferencias clave que hay entre el SSF y PA-DSS. PA-DSS se retirará en octubre de 2022, y el SSF lo reemplaza. Jake Marcinko explica que uno de los cambios tiene que ver con el alcance, ya que en el SSF los criterios de elegibilidad para la validación de software se han ampliado para incluir software que proporciona funciones adicionales, como la supervisión de fraudes o la autenticación del titular de la tarjeta.

Más información en el siguiente enlace:
https://blog.pcisecuritystandards.org/part-one-conceptual-differences-between-ssf-and-pa-dss

    

Impacto de la COVID-19 en el estándar PCI DSS (I)

Sergio Moreno, del dpto. de consultoría, analiza el impacto general de la Covid-19 en los entornos PCI DSS, los cambios esperados tras la pandemia y los riesgos surgidos a raíz del crecimiento del teletrabajo a nivel mundial.

El Esquema Nacional de Seguridad y la reducción de riesgos en Office 365

Eric Tormo, del dpto. de consultoría, brinda información sobre cómo mejorar la seguridad de la suite O365, de acuerdo con los parámetros de seguridad analizados por el Esquema Nacional de Seguridad (ENS).

XSS, Un mal que nunca acaba

Héctor Berrocal, del dpto. de auditoría, introduce los ataques de cross-site scripting (XSS) incluyendo ejemplos prácticos e indicando algunas contramedidas que deben utilizarse con el fin de protegerse.
Análisis de Incidentes   Análisis de Incidentes
Liberan 1M de datos de tarjeta de pago de forma gratuita

Con el objetivo de promocionar y dar a conocer una tienda electrónica ilegal, un grupo de hackers liberó 1M de datos de tarjeta robados entre el 2018 y el 2019. Se estima que un 50% de estas tarjetas estaban activas en el momento de la exfiltración. El conjunto de datos exfiltrados incluiría el PAN, la fecha de expiración, el número CVV y datos personales del titular de la tarjeta, tales como su nombre, la dirección postal, la dirección de correo electrónico o el número de móvil.

Más información en el siguiente enlace:
https://www.forbes.com/sites/emmawoollacott/2021/08/10/with-unprecedented-generosity-hackers-release-a-million-credit-cards-for-free/?sh=3ac38060654e
Ciberataque a la empresa T-Mobile

El pasado mes de agosto fue noticia el ciberataque que sufrió la empresa T-Mobile, en el que supuestamente hackers habían accedido a datos de 100M de personas. T-Mobile se puso a investigar el supuesto ataque de seguridad enseguida. A finales de agosto, la empresa emitió un nuevo comunicado sobre el incidente, explicando los hallazgos de la investigación y confirmando que no se vieron afectados datos de pago de los clientes (información financiera, datos de tarjetas de pago etc.) pero sí datos personales de clientes antiguos, en cartera y futuribles. Los datos exfiltrados varían en función de cada persona, pero pueden llegar a contener números de seguridad social, nombre, dirección postal, fecha de nacimiento, información del permiso de conducir, número de móvil, código IMEI etc.

Más información en los enlaces:
https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation
https://www.vice.com/en/article/akg8wg/tmobile-investigating-customer-data-breach-100-million
Tendencias   Tendencias

Mastercard pone fin a la banda magnética

Mastercard es la primera marca de pago en anunciar públicamente que eliminará la banda magnética de sus tarjetas de pago. Para ello, ha anunciado un plan de transición:

  • 2024: A partir de este año, será opcional que las tarjetas emitidas tengan la banda magnética en la mayoría de los mercados familiarizados con los pagos EMV.
  • 2027: En el caso de EE.UU. esta opcionalidad no llegará en 2024, y se demorará tres años más.
  • 2029: Las nuevas tarjetas de pago emitidas no tendrán banda magnética.
  • 2033: Fecha a partir de la cual, ninguna tarjeta de pago tendrá banda magnética.

BBVA expande la tarjeta Aqua a Latinoamérica

La tarjeta Aqua se lanzó en España en octubre de 2020 y, desde entonces, se han emitido más de 1.200.000 tarjetas de pago. Estas tarjetas no tienen ningún tipo de dato impreso (PAN, fecha de caducidad, CVV2) ni en el anverso ni en el reverso. Por lo tanto, para consultar los datos es necesario hacer uso de la aplicación móvil del banco. Además, el CVV2 de la tarjeta es dinámico, por lo que va cambiando a lo largo del tiempo.

BBVA está expandiendo esta modalidad de pago a América Latina de forma paulatina. Así pues, en algunos países opta por ofrecer el servicio CVV2 dinámico, y en otros, las tarjetas ‘limpias’ sin datos impresos.

Renfe implanta el pago y acceso con tarjeta bancaria en Cercanías Madrid

Renfe pone en marcha el denominado proyecto Cronos, con el fin de desplegar terminales EMV contactless en toda la red de cercanías, empezando por Madrid. Así pues, los clientes podrán hacer el pago directamente en los tornos, sin necesidad de ir a la taquilla y comprar un billete sencillo. El acceso y el pago directo haciendo uso de tarjeta bancaria contactless permitirá optimizar el tiempo de los usuarios, porque no tendrán que llegar antes para hacer la compra, y también mejorará la fluidez en los vestíbulos. Además, esta innovación también hace un guiño al medio ambiente, ya que no se emitirán tantos billetes de cartón.
           
Internet Security Auditors
C. Santander, 101. Edificio A, 2º. 08030 Barcelona (Españ) | Telf.: +34 93 305 13 18
C. Arequipa, 1. 28043 Madrid (Españ) | Telf.: +34 91 763 40 47
Carrera 13 # 90-17. 110221 Bogotá D.C. (Colombia) | Telf.: +57 601 638 68 88

Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE" mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com. Si únicamente desea pedir su baja de estos envíos, pulse el siguiente enlace y envíe ese correo desde la dirección de correo en la que recibió nuestra comunicación: marketing@isecauditors.com

This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC" by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com. If you only wish to request your cancellation of these shipments, click on the following link and send that email from the email address where you received our communication: marketing@isecauditors.com