Boletín de Noticias Septiembre 2018

	Boletín de Noticias Septiembre 2018

Novedades

Internet Security Auditors miembro de grupo de Asesores Ejecutivos Global del PCI SSC

El PCI SSC lanzó hace unos meses una nueva iniciativa para contar con un grupo de expertos a nivel global de empresas abriendo la presentación de candidaturas a todas las empresas que participan como asesores en todo el mundo, que superan las 450. Internet Security Auditors presentó la candidatura con la representación su Director de Consultoría y socio, Miguel A. Domínguez.

Tras dos meses de revisión de las candidaturas, que debían cumplir con amplios requerimientos a nivel de compañía y representante, el PCI SSC confirmó que la nuestra había sido seleccionada para formar parte de un exclusivo grupo de 20 empresas a nivel mundial.

Vicente Aguilera entrevistado en el programa Así Estamos de la radio argentina

Vicente Aguilera fue entrevistado el pasado jueves en el programa Así Estamos de la radio argentina Estudio 91.7, dónde habló sobre ciberseguridad y como ésta aplica a nuestra vida cotidiana a través de las redes sociales, la banca online o el voto electrónico entre otros.

Firmamos acuerdo con el Capítulo de ISACA Bogotá

Internet Security Auditors y el Capítulo de ISACA en Bogotá han firmado un acuerdo para la colaboración en la promoción de los cursos oficiales y diferentes capacitaciones ofrecidas por ambas organizaciones, rubricado por el Presidente de ISACA Bogotá, Víctor A. Vásquez y el Director Global de Ventas y Alianzas de Internet Security Auditors, Daniel Fernández.

Vicente Aguilera entrevistado en el programa de radio En casa de Herrero

El pasado viernes 28 de septiembre Vicente fue entrevistado por Luis Herrero en su programa de radio En casa de Herrero.

El motivo de la entrevista fue el último incidente de seguridad sufrido por Facebook, donde se habrían puesto en riesgo 50 millones de cuentas de usuario.

Destacamos

Gestión del Cambio Significativo PCI DSS v3.2

Para todo el que se haya visto involucrado o haya tenido que trabajar con el estándar PCI DSS y, especialmente, aquellos que hayan tenido que “sufrir” su implantación y mantenimiento en cualquier de sus alcances, sabrán que dicho estándar deja bastantes ambigüedades y conceptos de los que no termina del todo de definir con exactitud.

Para mitigar este hecho, el SSC viene publicando con cada versión del estándar, un documento a modo de glosario, en el cual recopila diversos conceptos, términos, abreviaciones y acrónimos. Uno de estos términos, y sobre el que trata este artículo, es el Cambio Significativo, con la particularidad de que este concepto no viene recogido ni detallado en el glosario anteriormente mencionado.

PCI DSS VS. GDPR

El 25 de mayo de 2018 entró en aplicación el Reglamento General de Protección de Datos Europeo (o General Data Protection Regulation, de aquí en adelante GDPR), que remplazó a la Directiva de Protección de Datos 95/46/EC, y que fue diseñado con el objetivo de alinear todas las leyes de protección de datos en países europeos, proteger y darle control de sus datos privados a los ciudadanos europeos y establecer un marco de trabajo homogéneo en términos de privacidad para que las organizaciones e individuos puedan ejercer sus derechos y conozcan sus responsabilidades. […]

Precisamente, es en este último punto en el cual GDPR converge con el estándar PCI DSS: La protección de los datos de tarjetas de pago vinculadas con ciudadanos europeos. No obstante, son documentos diferentes pero que pueden ser empleados indistintamente como complemento para lograr el cumplimiento de uno o del otro y no son excluyentes.

Tratamiento datos sensibles de autenticación, ¿fuera de PCI DSS?

Recientemente nos hemos encontrado el caso de algunos clientes que nos han preguntado si un entorno donde se almacenan, procesan o trasmiten datos sensibles de autenticación relacionados con las tarjetas de pago, pero no datos PAN, es susceptible de la aplicación del estándar de seguridad PCI DSS.

Técnicas de truncado de datos de tarjeta en entornos PCI DSS

Con el objetivo de minimizar el esfuerzo de implantación de PCI DSS en un entorno dónde se procesan datos de tarjetas, una de las premisas más importantes que nos planteamos es la reducción de dicho entorno. Para ello, una de las técnicas que podemos utilizar es la del truncado de los datos de tarjeta en su almacenamiento.

Esta técnica, se basa en almacenar solo una parte del PAN, con fines históricos o de trazabilidad, pero sin permitir al atacante que pueda llegar a deducir el PAN completo de la transacción a través del uso de técnicas computacionales simples.

Rol de la International Trade Administration en el marco Privacy Shield

El marco de seguridad Privacy Shield es administrado por la International Trade Administration (ITA), que forma parte del Departamento de Comercio de los Estados Unidos.

Para comprender los pasos a seguir y los requerimientos solicitados en el caso de querer adherirse al cumplimiento del mismo, es importante conocer el rol de dicho actor en la gestión y mantenimiento de dicho marco de seguridad. Para ello, a continuación, veremos las principales acciones llevadas a cabo por ITA en la gestión del marco Privacy Shield.

Publicada la versión 3.0 del estándar “PCI PIN Security Requirements and Testing Procedures”

En Agosto de 2018 el PCI SSC publicó la versión 3.0 del estándar "PIN Security Requirements and Testing Procedures". Este documento hace parte de la familia de estándares PCI PIN Transaction Security (PTS) en donde también se encuentran PCI HSM (Hardware Security Module) y PCI POI (Point of Interaction), orientados a la protección del PIN (Personal Identification Number) en transacciones presenciales (“card present”) en cajeros electrónicos y terminales de punto de venta (TPV) atendidas y desatendidas. La primera versión de PCI PIN (1.0) fue publicada en el año 2011 y la versión 2.0 fue publicada en 2014, con lo que este estándar ya acumula 7 años de implementaciones a nivel mundial.

Breve introducción al estándar PCI 3D-Secure (PCI 3DS)

En octubre de 2017, el PCI SSC anunció el PCI 3D-Secure (PCI 3DS), un nuevo estándar de seguridad aplicable en entornos de pago no presencial, dónde se utiliza 3D-Secure, un protocolo que mejora la seguridad en la autenticación de los clientes en las compras online. Dicho protocolo permite a los consumidores autenticarse a través de un valor de un solo uso (one-time password), como puede ser número contenido en una tarjeta de coordenadas, un token criptográfico, una contraseña, un código enviado vía SMS/correo electrónico, etc.

Cumplimiento PCI DSS, consejos básicos del PCI SSC para pequeños comercios

Recientemente, el PCI SSC ha publicado unas “píldoras” formativas, llamadas “Payment data security essentials”, para ayudar a los pequeños comercios online a cumplir con los requerimientos del estándar de seguridad PCI DSS. Dichas píldoras, indican recomendaciones o buenas prácticas de seguridad a cumplir, con los requerimientos que dicta dicho estándar. Además, van acompañadas de material adicional que complementa dichas formaciones, como son guías y videos adicionales explicativos.

Preguntas y Respuestas sobre el nuevo tipo de examen de CISSP CAT (Computerized Adaptive Testing)

Estos últimos meses se han presentado muchas inquietudes por el cambio del modelo de examen que ha adoptado el (ISC)2, y que viene siendo una tendencia entre muchas organizaciones, para la realización de los exámenes de CISSP. Este nuevo modelo de examen, en el que el examinado debe ir respondiendo preguntas y, en base a sus respuestas, las preguntas se adaptan y definen, tiene como objetivo reducir el tiempo y cantidad de preguntas y, se pretende, evaluar de forma más efectiva el conocimiento del examinado ante las materias en las que se examina.

Pero esto modelo también ha hecho que surjan dudas. En base a la experiencia de uno de nuestros compañeros del equipo consultor de Internet Security Auditors, y sin pretender ser un P/R “oficial” ni encuesta, hemos planteado algunas preguntas y respuestas que, no han sido respondidas por el (ISC)2.

Se hace pública vulnerabilidad crítica en Windows detectada hace 4 meses y que aún no tiene solución

Vulnerabilidad zero-day en el componente Microsoft JET Database Engine de Windows que puede permitir la ejecución de código remoto en los sistemas vulnerables, fallos de seguridad que ha puesto en peligro a los usuarios del sistema operativo de Microsoft. Este fallo fue reportado en privado para que la compañía pudiera solucionarlo lo antes posible, sin embargo, aunque está confirmado, el parche aún no ha llegado.

La Organización de las Naciones Unidas deja expuestas por accidente contraseñas y documentos confidenciales.

Una mala configuración de algunos servicios para gestión de proyectos como Trello, Jira y Google Docs ha dejado expuestos documentos internos, contraseñas y otra información confidencial sobre la organización y sus miembros.

Air Canada sufre una filtración de datos en 20.000 usuarios de su aplicación móvil

Air Canada ha confirmado una filtración de datos que puede haber afectado a unos 20.000 clientes de sus 1,7 millones de usuarios de aplicaciones móviles. La información expuesta contiene información básica como los nombres de los clientes, direcciones de correo electrónico, números de teléfono y otra información que han añadido a sus perfiles.

Un ataque de ransomware en el aeropuerto de Bristol afecta a las pantallas de los vuelos

El Aeropuerto de Bristol (Inglaterra), fue atacado por lo que parece ser un ransomware que obligó al aeropuerto a apagar las pantallas en un esfuerzo por mantener controlada la situación.

Eventos

23-24/10 de 2018: XII ENISE (León, España).

29/11-2/12 de 2018: CyberCamp 2018 (Málaga, España)

17-18/10: Cyber Ethical Days (Barcelona, España)

Formación

ISO 27001
Implementación
Barcelona

ISO 27032 Gestión de la Ciberseguridad - Bogotá - 19 Noviembre

ISO 27032
Bogotá

CISSP
Madrid

ISO 27001 Auditor Jefe - Barcelona - 26 Noviembre

ISO 27001 L.A.
Barcelona

ISO 22301 Auditor Jefe - Madrid - 19 Noviembre

ISO 22301 L.A.
Madrid

ISO 22301 Auditor Líder - Bogotá - 26 Noviembre

ISO 22301
L.A.
Bogotá

Internet Security Auditors C. Santander, 101. Edificio A, 2º. E-08030 Barcelona (Spain) \| Telf.: +34 93 305 13 18 C. Arequipa, 1. E-28043 Madrid (Spain) \| Telf.: +34 91 763 40 47 Calle 90 # 12-28. 110221 Bogotá (Colombia) \| Telf.: +57 (1) 638 68 88
Este mensaje se ha enviado en virtud de su autorización para la comunicación de información comercial de Internet Security Auditors. Puede consultar nuestra Política de Privacidad de Datos aquí. Tiene la posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad previstos en el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” mediante carta dirigida a Internet Security Auditors, Calle Santander, 101. Edificio A-2 08030. Barcelona (España), o bien vía e-mail a la siguiente dirección de correo: legal@isecauditors.com, acompañando su solicitud con una copia de su DNI o documento equivalente acreditativo de su identidad. This email is send according your previous authorization for sending commercial information from Internet Security Auditors. You can read our Data Privacy Policy here. You have the possibility at all times to exercise the rights of access, rectification, erasure, restriction of process, object and portability according to the “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” by sending a letter addressed to Internet Security Auditors, Calle Santander, 101. Edificio A-2. 08030 Barcelona (Spain), or through the following email: legal@isecauditors.com, attaching your request with a copy of your ID card or equivalent document proving your identity.