Glosario de inicio rápido: PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago)

Imprima nuestro práctico glosario de terminología esencial del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para una referencia rápida. En línea, cada término enlaza con una definición completa que también incluye recursos para un mayor aprendizaje.

Servidor AAA: un programa de servidor que gestiona las solicitudes de acceso de los usuarios a los recursos informáticos y, para una empresa, proporciona servicios de autenticación, autorización y contabilidad (AAA).

control de acceso: una técnica de seguridad que se puede utilizar para regular quién o qué puede ver o utilizar los recursos en un entorno informático.

adware: software que muestra publicidad mientras se está ejecutando; a menudo rastrea la información del usuario y la comparte con terceros. 

AES (Advanced Encryption Standard): un cifrado de bloque simétrico utilizado por el gobierno de los EE. UU. Para proteger la información clasificada que se implementa en software y hardware en todo el mundo para cifrar datos confidenciales.

ANSI (Instituto Nacional Estadounidense de Estándares): la organización principal para fomentar el desarrollo de estándares tecnológicos en los Estados Unidos.

software antivirus: una clase de programa que evitará, detectará y remediará infecciones de malware en dispositivos informáticos y sistemas de TI individuales.

vector de ataque: una ruta o medio por el cual un pirata informático puede obtener acceso a una computadora o servidor de red para entregar una carga útil o un resultado malicioso.

pista de auditoría: también conocida como registro de auditoría, la secuencia de papeleo que valida o invalida las entradas contables.

autenticación - el proceso de determinar si alguien o algo es, de hecho, quién o qué se declara ser, como un medio para asegurar el acceso a un recurso dado.

autorización - es el proceso de dar permiso a alguien para hacer o tener algo. En los sistemas informáticos multiusuario, un administrador del sistema define para el sistema a qué usuarios se les permite el acceso al sistema y para qué privilegios de uso están autorizados.

autenticación, autorización y contabilidad (AAA): un marco para controlar de manera inteligente el acceso a los recursos informáticos, hacer cumplir las políticas, auditar el uso y proporcionar la información necesaria para facturar los servicios.

factor de autenticación: una categoría de credencial que se utiliza para verificar la identidad. Las tres categorías principales son factores de conocimiento (cosas que el usuario sabe), factores de posesión (cosas que tiene el usuario) y factores de inherencia (cosas que el usuario es inherentemente).

copia de seguridad: la actividad de copiar archivos o bases de datos para que se conserven en caso de falla del equipo u otra catástrofe. 

Autenticación biométrica: un tipo de sistema de seguridad que utiliza las características biológicas únicas de las personas para verificar la identidad para inicios de sesión seguros en sistemas electrónicos.

Ley de Información sobre Violaciones de Seguridad de California: legislación del estado de California que requiere que las organizaciones que mantienen información personal sobre personas informen a esas personas si la seguridad de su información se ve comprometida.

Valor de verificación de tarjeta (CVV): una combinación de funciones que se utilizan en tarjetas de crédito, débito y de cajeros automáticos (ATM) con el fin de establecer la identidad del propietario y minimizar el riesgo de fraude. 

Director de Cumplimiento (COO): un funcionario corporativo a cargo de supervisar y gestionar los problemas de cumplimiento dentro de una organización, asegurando, por ejemplo, que una empresa está cumpliendo con los requisitos reglamentarios y que la empresa y sus empleados están cumpliendo con las políticas y procedimientos internos. .

datos del titular de la tarjeta (CD): el número de cuenta principal (PAN) de una tarjeta de pago que pertenece a un titular de la tarjeta, junto con cualquiera de los siguientes tipos de datos: nombre del titular de la tarjeta, fecha de vencimiento o código de servicio (un número de tres o cuatro dígitos codificado en la banda magnética que especifica los requisitos de aceptación y las limitaciones para una transacción de lectura de banda magnética).

Entorno de datos del titular de la tarjeta (CDE): es un sistema informático o un grupo de sistemas de TI en red que procesa, almacena y / o transmite datos del titular de la tarjeta o datos confidenciales de autenticación de pago, así como cualquier componente que se conecte directamente a esta red o la soporte.

Identidad basada en reclamos: un medio para autenticar a un usuario final, aplicación o dispositivo en otro sistema de una manera que abstrae la información específica de la entidad mientras proporciona datos que los autorizan para interacciones apropiadas y relevantes.

Cifrado a nivel de columna: método de cifrado de base de datos en el que la información de cada celda (o campo de datos) de una columna en particular tiene la misma contraseña para fines de acceso, lectura y escritura. 

control de compensación: una medida de seguridad de los datos que está diseñada para satisfacer el requisito de alguna otra medida de seguridad que se considera demasiado difícil o poco práctica de implementar. 

cumplimiento - un estado en el que alguien o algo está de acuerdo con las pautas, especificaciones o legislación establecidas. 

auditoría de cumplimiento: una revisión integral del cumplimiento de una organización con las pautas regulatorias. Los consultores independientes de contabilidad, seguridad o TI evalúan la solidez y minuciosidad de los preparativos de cumplimiento. 

Informática forense: la aplicación de técnicas de investigación y análisis para recopilar y preservar pruebas de un dispositivo informático en particular de una manera que sea adecuada para su presentación en un tribunal de justicia.

marco de control: una estructura de datos que organiza y categoriza los controles internos de una organización, que son prácticas y procedimientos establecidos para crear valor comercial y minimizar el riesgo.

Cross-site scripting (XSS): un exploit de seguridad en el que el atacante inserta un código malicioso en un enlace que parece provenir de una fuente confiable. 

rastreo de sitios cruzados (XST): una forma sofisticada de scripting de sitios cruzados (XSS) que puede eludir las contramedidas de seguridad ya implementadas para proteger contra XSS. 

clave criptográfica: un valor variable que se aplica mediante un algoritmo a una cadena o bloque de texto no cifrado para producir texto cifrado o para descifrar texto cifrado.

criptoperiodo: a veces denominado vida útil de la clave o período de validez, un período de tiempo específico durante el cual la configuración de una clave criptográfica permanece en vigor.

datos en reposo: datos almacenados en la computadora en lugar de atravesar una red o residir temporalmente en la memoria de la computadora para ser leídos o actualizados.

Violación de datos: un incidente en el que datos sensibles, protegidos o confidenciales han sido potencialmente vistos, robados o utilizados por una persona no autorizada para hacerlo. 

Destrucción de datos: el proceso de destrucción de datos almacenados en cintas, discos duros y otras formas de medios electrónicos para que sean completamente ilegibles y no se pueda acceder a ellos ni utilizar con fines no autorizados.

enmascaramiento de datos: un método para crear una versión estructuralmente similar pero no auténtica de los datos de una organización que se puede utilizar para fines tales como pruebas de software y capacitación de usuarios. El propósito es proteger los datos reales y al mismo tiempo tener un sustituto funcional para ocasiones en las que los datos reales no son necesarios.

DMZ (zona desmilitarizada): un host de computadora o una pequeña red insertada como una "zona neutral" entre la red privada de una empresa y la red pública externa.

filtrado de salida: un proceso en el que los datos salientes se monitorean o restringen, generalmente por medio de un firewall que bloquea los paquetes que no cumplen con ciertos requisitos de seguridad. 

cifrado: la conversión de datos electrónicos a otra forma, denominada texto cifrado, que nadie puede entender fácilmente, excepto las partes autorizadas.

Asociación de Industrias Electrónicas (EIA): consorcio que toma decisiones sobre los estándares de transmisión de datos.

FIPS (Estándares federales de procesamiento de información): un conjunto de estándares que describen el procesamiento de documentos, algoritmos de cifrado y otros estándares de tecnología de la información para su uso en agencias gubernamentales no militares y por contratistas y proveedores gubernamentales que trabajan con las agencias.

firewall: un sistema de seguridad de red, ya sea basado en hardware o software, que controla el tráfico de red entrante y saliente según un conjunto de reglas.

Autenticación de cuatro factores (4FA): el uso de cuatro tipos de credenciales que confirman la identidad para autenticar al usuario, generalmente los tres factores de conocimiento común, posesión e inherencia más la ubicación, aunque el tiempo a veces se considera el cuarto factor.

Ley Gramm-Leach-Bliley (GLB): legislación federal promulgada en los Estados Unidos para controlar las formas en que las instituciones financieras tratan la información privada de las personas.

Cifrado del disco duro: una tecnología que cifra los datos almacenados en un disco duro mediante sofisticadas funciones matemáticas.

hash: la transformación de una cadena de caracteres en un valor o clave de longitud fija generalmente más corto que representa la cadena original. Se utiliza para indexar y recuperar elementos en una base de datos porque es más rápido encontrar el elemento utilizando la clave hash más corta que encontrarlo utilizando el valor original, también utilizado en muchos algoritmos de cifrado.

HTTPS (HTTP sobre SSL o HTTP seguro): el uso de Secure Socket Layer (SSL) o Transport Layer Security (TLS) como una subcapa en las capas de aplicaciones HTTP normales. 

Sistema de gestión de acceso de identidad (IAM): un marco para los procesos comerciales que facilita la gestión de identidades electrónicas.

filtrado de entrada: método para verificar que los paquetes entrantes que llegan a una red proceden de la computadora de origen que afirman ser antes de que se conceda la entrada (o la entrada).

detección de intrusiones (ID): un tipo de sistema de administración de seguridad para computadoras y redes que recopila y analiza información de varias áreas dentro de una computadora o red para identificar posibles brechas de seguridad.

Dirección IP: la secuencia de números que identifica de forma única a una computadora en Internet o dentro de una red.

IPsec (seguridad de protocolo de Internet): un marco para un conjunto de protocolos de seguridad en la red o capa de procesamiento de paquetes de comunicación de red.

La suplantación de IP, también conocida como falsificación de dirección IP, una técnica de secuestro en la que el atacante se hace pasar por un host confiable para ocultar su identidad, secuestrar navegadores u obtener acceso a una red. 

Token multifactor: un token de seguridad que usa más de una categoría de credencial para confirmar la autenticación del usuario. Un ejemplo común es el uso de una aplicación de token de software para teléfonos inteligentes que permite que el teléfono sirva como token de hardware; este ejemplo produce un token de dos factores.

Centro Nacional de Seguridad Informática (NCSC): una organización del gobierno de EE. UU. Dentro de la Agencia de Seguridad Nacional (NSA) que evalúa equipos informáticos para aplicaciones de alta seguridad para garantizar que las instalaciones que procesan material clasificado u otro material sensible utilizan sistemas y componentes informáticos confiables.

Base de datos nacional de vulnerabilidades (NVD): un repositorio gubernamental de información sobre vulnerabilidades basada en estándares.

NAT (traducción de direcciones de red o traductor de direcciones de red): la traducción de una dirección IP utilizada dentro de una red a una dirección IP diferente conocida dentro de otra red. Por lo general, una empresa asigna sus direcciones de red internas locales a una o más direcciones IP externas globales y desasigna las direcciones IP globales de los paquetes entrantes a direcciones IP locales.

NIST (Instituto Nacional de Estándares y Tecnología): una unidad del Departamento de Comercio de EE. UU. Que promueve y mantiene los estándares de medición.

Contraseña de un solo uso (OTP): una cadena de caracteres numérica o alfanumérica generada automáticamente que autenticará al usuario para una sola transacción o sesión.

Token OTP: un dispositivo de seguridad o programa de software que produce nuevas contraseñas o códigos de acceso de un solo uso a intervalos de tiempo preestablecidos. 

Autenticación fuera de banda: un tipo de autenticación de dos factores que requiere un método de verificación secundario a través de un canal de comunicación separado junto con el ID y la contraseña típicos.

 Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): un conjunto ampliamente aceptado de políticas y procedimientos destinados a optimizar la seguridad de las transacciones con tarjetas de crédito, débito y efectivo y proteger a los titulares de tarjetas contra el uso indebido de su información personal. 

Estándar de seguridad de datos de aplicaciones de pago (PA-DSS): un conjunto de requisitos destinados a ayudar a los proveedores de software a desarrollar aplicaciones de pago seguras que respalden el cumplimiento de PCI DSS.

Evaluación de PCI: una auditoría para validar el cumplimiento de las PCI DSS. Durante la evaluación, un asesor de seguridad calificado de PCI (QSA) determina si la empresa ha cumplido con los requisitos de PCI DSS 12, ya sea directamente o mediante un control de compensación.

Cumplimiento de PCI: cumplimiento de un conjunto de estándares de seguridad que se desarrollaron para proteger la información de la tarjeta durante y después de una transacción financiera.

Requisitos de PCI DSS 12: un conjunto de controles de seguridad que las empresas deben implementar para proteger los datos de las tarjetas de crédito y cumplir con las PCI DSS. Los requisitos fueron desarrollados y mantenidos por el PCI Security Standards Council. 

PCI DSS 2.0: la segunda versión de PCI DSS, que refuerza la necesidad de un análisis exhaustivo antes de una evaluación y promueve una gestión de registros más eficaz. 

PCI DSS 3.0: la tercera versión importante de PCI DSS. Las adiciones incluyen pruebas de penetración para verificar los métodos utilizados para segmentar el entorno de datos del titular de la tarjeta del comerciante de otra infraestructura de TI, un inventario de todos los componentes de hardware y software dentro del entorno de datos del titular de la tarjeta y documentación que detalla qué requisitos son administrados por proveedores externos. 

Grupo de usuarios de PCI DSS: un grupo de usuarios con sede en Londres para comerciantes y minoristas que deben cumplir con los 12 requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

Programa de investigador forense de PCI: un proceso de certificación para empresas que deseen ser elegibles para realizar investigaciones sobre violaciones de datos en las redes de la industria de tarjetas de pago (PCI).

Política de PCI: un tipo de política de seguridad que cubre cómo una organización aborda los 12 requisitos de las PCI DSS. Se requiere una política de PCI de todos los comerciantes y proveedores de servicios que almacenan, procesan o transmiten datos de titulares de tarjetas de crédito.

PCI QSA (Asesor de seguridad calificado de la industria de tarjetas de pago): una designación otorgada por el PCI Security Standards Council a las personas que considera calificadas para realizar evaluaciones de PCI y servicios de consultoría. 

PCI Security Standards Council: una organización creada por las principales empresas de tarjetas de crédito en un esfuerzo por proteger mejor los datos de los titulares de tarjetas de crédito. El PCI SSC se formó en respuesta a un aumento en las violaciones de seguridad de los datos, que no solo ponen en riesgo a los clientes, sino que también aumentan los costos de las compañías de tarjetas de crédito.

PII (información de identificación personal): cualquier dato que pueda potencialmente identificar a un individuo específico. La PII puede ser sensible o no sensible. La PII no confidencial es información que se puede transmitir de forma no cifrada.

PIFI (información financiera de identificación personal): cualquier tipo de información de identificación personal que esté vinculada a las finanzas de esa persona. Un número de tarjeta de crédito es un excelente ejemplo de PIFI.

principio de privilegio mínimo (POLP): la práctica de limitar el acceso al nivel mínimo que permitirá el funcionamiento normal. Aplicado a los empleados, el principio de privilegio mínimo se traduce en otorgar a las personas el nivel más bajo de derechos de usuario que pueden tener y aún hacer su trabajo.

Privacidad: una garantía de que la información no se compartirá de manera inapropiada, que las partes no autorizadas no podrán ver las comunicaciones y / o que los mensajes se pueden enviar de forma anónima.

Asesor de seguridad calificado (QSA): una persona que ha sido certificada por el PCI Security Standards Council para auditar a los comerciantes en cuanto al cumplimiento de PCI DSS.

Cumplimiento normativo: el cumplimiento de una organización con las leyes, reglamentos, directrices y especificaciones relevantes para su negocio.

Informe de cumplimiento (ROC): un formulario que deben completar todos los comerciantes de Visa de Nivel 1 que se someten a una auditoría de PCI DSS. En general, un comerciante de nivel 1 es aquel que procesa más de 6 millones de transacciones Visa en un año.

Solicitud de comentario 1918 (RFC 1918) - “Asignación de direcciones para Internet privadas”, el memorando del Grupo de trabajo de ingeniería de Internet (IETF) sobre métodos de asignación de direcciones IP privadas en redes TCP / IP.

Ley Sarbanes-Oxley (SOX): legislación promulgada en respuesta a los escándalos financieros de Enron y WorldCom de alto perfil para proteger a los accionistas y al público en general de errores contables y prácticas fraudulentas en la empresa (administrada por la Comisión de Bolsa y Valores).

La Sección 508, una enmienda a la Ley de Rehabilitación de la Fuerza Laboral de los Estados Unidos de 1973, es una ley federal que exige que toda la tecnología electrónica y de la información desarrollada, adquirida, mantenida o utilizada por el gobierno federal sea accesible para las personas con discapacidades.

Gestión de eventos e información de seguridad (SIEM): un enfoque de la gestión de la seguridad que busca proporcionar una visión holística de la seguridad de la tecnología de la información (TI) de una organización. 

token de seguridad (a veces llamado token de autenticación): un pequeño dispositivo de hardware que lleva el propietario para autorizar el acceso a un servicio de red.

Información confidencial: datos que deben protegerse del acceso no autorizado para salvaguardar la privacidad o la seguridad de una persona u organización.

secreto compartido: datos que solo conocen las dos entidades involucradas en una comunicación, de modo que la posesión de esos datos por cualquiera de las partes se puede proporcionar como prueba de identidad para la autenticación.

surfear con los hombros: utilizar técnicas de observación directa, como mirar por encima del hombro de alguien, para obtener información.

Autenticación de factor único (SFA): un método de autenticación que involucra solo una categoría de credencial. El nombre de usuario / contraseña familiar de inicio de sesión es la forma más común de SFA, pero algunos métodos de autenticación sólidos también se utilizan de forma independiente.

token de software: un token de seguridad basado en software que genera un PIN de inicio de sesión de un solo uso. Los tokens de software suelen ser componentes de aplicaciones que se utilizan para proteger la autenticación móvil.

Tercero: una entidad que está involucrada de alguna manera en una interacción que es principalmente entre otras dos entidades. 

Autenticación de tres factores (3FA): el uso de credenciales que confirman la identidad de tres categorías separadas de factores de autenticación. conocimientosposesión y inherencia categorías.

Autenticación de dos factores (2FA): un proceso en el que el usuario proporciona dos medios de identificación a partir de factores de autenticación separados. A menudo, una credencial es una ficha física, como una tarjeta, y la otra es algo memorizado, como un código de seguridad.

Verificación en dos pasos: un proceso que involucra dos métodos de autenticación, no necesariamente a partir de factores de autenticación separados, realizados uno tras otro para verificar que alguien o algo que solicita acceso es quién o qué se declara ser. 

identificador único (UID): una cadena numérica o alfanumérica que está asociada con una sola entidad dentro de un sistema determinado. 

autenticación universal: un método de verificación de identidad de red que permite a los usuarios moverse de un sitio a otro de forma segura sin tener que ingresar información de identificación varias veces.

autenticación de usuario: la verificación de una transferencia activa de persona a máquina de las credenciales necesarias para la confirmación de la autenticidad de un usuario; el término contrasta con la autenticación de la máquina, que implica procesos automatizados que no requieren la intervención del usuario.

gestión de riesgos de proveedores (VRM): un plan integral para identificar y disminuir las posibles incertidumbres comerciales y responsabilidades legales con respecto a la contratación de proveedores externos para productos y servicios de TI.

terminal de pago virtual: una versión basada en la web de un dispositivo de tarjeta de crédito que permite a los comerciantes procesar pedidos realizados por correo, por teléfono o en línea.

Vulnerabilidad: una falla en el código o diseño que crea un punto potencial de compromiso de seguridad para un punto final o una red.

divulgación de vulnerabilidades: la práctica de publicar información sobre un problema de seguridad informática y un tipo de política que estipula pautas para hacerlo.

borrar: para que todos los datos de un disco duro sean ilegibles. El término se usa a menudo en referencia a hacer que los datos almacenados en una computadora, teléfono inteligente o tableta sean inaccesibles antes de deshacerse del dispositivo.