¿Qué se sabe acerca de PCI DSS v5.0?
La versión 4.0 de PCI DSS fue publicada en marzo de 2022. El PCI Security Standards Council ya está trabajando activamente en la versión 5.0. ¿Qué se sabe de esta nueva versión? La Ley de Rendimientos Acelerados de Ray Kurzweil...
Extensión de dos años para PCI PTS HSM v3
Después de tenernos en vilo durante algunos meses, el PCI Security Standards Council (PCI SSC) ha extendido los periodos de expiración de dispositivos validados en PCI HSM de la siguiente manera: Se extiende el periodo de validación de dispositivos en...
¿Qué es PCI 3DS?
En este artÃculo se presenta una breve descripción del estándar PCI 3DS, orientado a la protección de las transacciones no presenciales (card-not-present) de comercio electrónico a través de la autenticación robusta del titular de tarjeta. Introducción El estándar Payment Card Industry...
Transparent Data Encryption (TDE): «cumplimiento» vs. «seguridad»
Transparent Data Encryption (TDE) es una tecnologÃa que protege los datos sensibles en bases de datos durante su almacenamiento (data-at-rest). Sin embargo, su uso debe estar restringido a escenarios muy especÃficos, fuera de los cuales el nivel de protección que...
La fecha de expiración de PCI HSM versión 3.x se acerca (30 abril 2026), ¿Qué va a pasar con los dispositivos afectados?
El 30 de abril de 2026 es la fecha estipulada para la expiración de los dispositivos criptográficos validados según PCI HSM versión 3.x. Si no tienes definida tu estrategia de migración, este artÃculo te interesa. NOTA: El PCI SSC ha...
¿Qué es PCI SSF / PCI Secure SLC / PCI S3?
En este nuevo artÃculo se presenta una breve introducción al Marco de Seguridad de Software o PCI SSF (Payment Card Industry Software Security Framework), que remplazó al estándar PA-DSS (Payment Applications Data Security Standard) en octubre de 2022. Introducción Uno...
Ecosistema de estándares del PCI SSC (actualizado enero 2026)
El PCI Security Standards Council (PCI SSC) ha desarrollado múltiples estándares de seguridad que definen requerimientos especÃficos de seguridad orientados hacia la protección de cada una de las áreas relacionadas con la seguridad de los datos de tarjetas de pago,...
La realidad de PCI SSF: Lo que Vendedores, Entidades (y Asesores) siguen ignorando
Este es el primer artÃculo de una serie dedicada a desglosar el PCI Software Security Framework (SSF). En futuras entregas, profundizaremos en detalles técnicos y casos de uso especÃficos, pero hoy empezamos por los cimientos. En el ecosistema de seguridad...
¿Procesas datos de tarjetas y no quieres complicarte con reportes de cumplimiento de PCI DSS? Asà puedes conseguir una exención
La seguridad de los datos de tarjetas de pago no es la misma que hace 10 o 15 años. La masificación de los chips EMV y de las transacciones contactless, el uso de tokenización, la implementación de controles P2PE y...
La importancia de los modos de cifrado en la criptografÃa
Cuando se usa cifrado, no basta con un algoritmo robusto y una longitud de clave aceptable. Existen otros dos parámetros muy importantes que suelen olvidarse: el modo de cifrado y la parametrización del vector de inicialización (Initialization Vector, IV). Estos...
Diferencias entre escaneos de vulnerabilidades y pruebas de penetración en PCI DSS
Como parte de las actividades periódicas de monitorización del estado de seguridad, el estándar PCI DSS exige realizar una serie de evaluaciones técnicas para identificar de forma temprana posibles problemas de seguridad en los activos del ámbito de cumplimiento y...
El programa AIS de Visa ya no incluye el nivel 4 para comercios
El programa Account Information Security (AIS) de Visa ha sufrido cambios importantes, lo que modifica los criterios de clasificación de comerciantes para reportar su cumplimiento con el estándar PCI DSS. Este programa define los requisitos aplicables con base en el...
GuÃa para entender los tipos de tokens y su uso
Uno de los controles clave del estándar PCI DSS v4.0 es el requerimiento 3.5. En él se enumeran una serie de técnicas para la protección del PAN (Primary Account Number) cuando este debe almacenarse, si existe alguna justificación de negocio. Los...
VCC (Virtual Credit Cards) y PCI DSS
Probablemente una de las dudas más recurrentes durante la identificación del alcance (scope) de PCI DSS de una entidad que usa Virtual Credit Cards (VCCs) es si este tipo de tarjetas están o no en el alcance. Pero, ¿qué son...
ES 
EN