ES Glossary

Acceso lógico a un componente del sistema que se produce a través de una interfaz de red en lugar de una conexión física directa al componente del sistema. El acceso sin consola incluye el acceso desde redes locales/internas, así como el acceso desde redes externas o remotas.

Acrónimo de "Advanced Encryption Standard"(Estándar de Cifrado Avanzado). Ver Criptografía Robusta.

Proceso de identificación de todos los componentes, personas y procesos del sistema que se incluirán en una evaluación PCI DSS. Ver "Segmentación" en la sección 4 de PCI DSS: Alcance de los requisitos de PCI DSS.

También denominado "algoritmo de cifrado". Proceso matemático reversible claramente especificado que se utiliza para transformar datos no cifrados en datos cifrados, y viceversa. Ver Criptografía Robusta.

Ver Algoritmo Criptográfico.

Acrónimo de "American National Standards Institute." (Instituto Nacional Estadounidense de Normalización).

Acrónimo de "Attestation of Compliance" (Atestación de Cumplimiento). El AOC es el formulario oficial PCI SCC para que los comerciantes y los proveedores de servicios den fe de los resultados de una evaluación PCI DSS, tal como se documenta en un Cuestionario de Autoevaluación (SAQ) o en un Informe de Cumplimiento (ROC).

Acrónimo de “Reunión de la Comunidad de Asia y el Pacífico.”

Incluye todos los programas de software o grupos de programas adquiridos, personalizados y a medida, incluyendo las aplicaciones internas y externas (por ejemplo, web).

Acrónimo de "Approved Scanning Vendor". (Proveedor Aprobado de Análisis). Empresa aprobada por PCI SCC para desarrollar servicios externos de escaneo de vulnerabilidades.

Proceso de verificación de identidad de un individuo, dispositivo o proceso. La autenticación suele producirse con uno o más factores de autenticación. Ver Cuenta, Credencial de Autenticación, y Factor de Autenticación.

Autenticación diseñada para prevenir la divulgación y el uso de secretos de autenticación a cualquier parte que no sea el sistema legítimo al que el usuario está intentando autenticarse (por ejemplo, a través de ataques de intermediario (ITM) o suplantación). Los sistemas resistentes a phishing a menudo implementan criptografía asimétrica como un control de seguridad central. Los sistemas que dependen únicamente de factores basados en conocimiento o de tiempo limitado, como contraseñas o contraseñas de un solo uso (OTPs), no se consideran resistentes a phishing, ni tampoco los SMS o los enlaces mágicos. Ejemplos de autenticación resistente a phishing incluyen FIDO2.

Acrónimo de “Board of Advisors”. (Junta de Asesores).

Métodos que utilizan los comerciantes para aceptar pagos de los tarjetahabientes. Los canales de pago comunes incluyen tarjeta presente (en persona) y tarjeta no presente (comercio electrónico y MO/TO).

Acrónimo de “Cardholder Data Environment." (Entorno de Datos de Tarjetahabiente). El CDE está compuesto por:

• Los componentes del sistema, las personas y los procesos que almacenan, procesan o transmiten datos de tarjetahabiente y/o datos de autenticación sensibles, y,
• Componentes del sistema que pueden no almacenar, procesar o transmitir CHD/SAD pero que tienen una conectividad sin restricciones con componentes del sistema que almacenan, procesan o transmiten CHD/SAD.

Técnica o tecnología (ya sea de software o hardware) para cifrar el contenido completo de archivos específicos. Como alternativa, ver Cifrado de Disco y Cifrado de Base de Datos a Nivel de Columna.

Técnica o tecnología (ya sea de software o hardware) para cifrar el contenido de una columna específica de una base de datos frente al contenido completo de toda la base de datos. Como alternativa, ver Cifrado de Disco y Cifrado a nivel de archivo.

Técnica o tecnología (de software o hardware) para cifrar todos los datos almacenados en un dispositivo (por ejemplo, un disco duro o una unidad flash). Alternativamente, el Cifrado a Nivel de Archivo o de la Base de Datos a Nivel de Columna se utiliza para cifrar el contenido de archivos o columnas específicas.

Parámetro utilizado junto con un algoritmo criptográfico que se utiliza para operaciones como:

• Transformar datos no cifrados en datos de texto cifrado,
• Transformación de datos de texto cifrado a datos no cifrados,
• Una firma digital calculada a partir de datos,
• Verificar una firma digital calculada a partir de datos,
• Un código de autenticación calculado a partir de datos, o
• Un acuerdo de intercambio de un secreto compartido.

 Ver Criptografía Robusta.

Valor de tres o cuatro dígitos en la banda magnética que sigue a la fecha de caducidad de la tarjeta de pago en los datos de seguimiento. Se utiliza para varias cosas, como definir atributos del servicio, diferenciar entre intercambio internacional y nacional o identificar restricciones de uso.

También conocido como Código o Valor de Validación de Tarjeta, o Código de Seguridad de la Tarjeta. A efectos PCI DSS, es el valor de tres o cuatro dígitos impresos en el anverso o el reverso de una tarjeta de pago. Puede denominarse CAV2, CVC2, CVN2, CVV2 o CID según las Marcas de Pago Participantes. Para más información, póngase en contacto con las Marcas de Pago Participantes.

A los efectos PCI DSS, un comerciante se define como cualquier entidad que acepta tarjetas de pago con los logotipos de cualquier Marca de Pago Participante en PCI SCC como pago por bienes y/o servicios. Un comerciante que acepta tarjetas de pago como pago de bienes y/o servicios también puede ser un proveedor de servicios, si los servicios vendidos resultan en el almacenamiento, procesamiento o transmisión de datos de tarjetahabiente en nombre de otros comerciantes o proveedores de servicios. Por ejemplo, un ISP es un comerciante que acepta tarjetas de pago para la facturación mensual, pero también es un proveedor de servicios si acoge a los comerciantes como clientes.

Pantalla y/o teclado conectado directamente que permiten el acceso y control a un servidor, ordenador central u otro tipo de sistema. Ver Acceso Sin Consola.

Procesos y procedimientos para revisar, probar y aprobar los cambios en los sistemas y en el software a fin de determinar su impacto antes de la implementación.

Mecanismos que limitan el acceso a un espacio físico o ambiente sólo para personas autorizadas. Ver Control de Ingreso Lógico.

Mecanismos que limitan la disponibilidad de información o recursos de procesamiento de información solo a personas autorizadas o aplicaciones. Ver Control de Ingreso Físico

Proceso de utilizar dos o más entidades separadas (usualmente personas) que operan de forma concertada para proteger funciones o información sensible. Ambas entidades son igualmente responsables de la protección física de los materiales implicados en las operaciones vulnerables. Ninguna persona puede ingresar o utilizar los materiales (por ejemplo, la clave criptográfica). En el caso de la generación, el transporte, la carga, el almacenamiento y la recuperación manual de claves, el control dual requiere dividir el conocimiento de la clave entre las entidades. Ver Conocimiento Compartido.

Combinación del ID de usuario o cuenta ID, más el/los factor/es de autenticación utilizados para autenticar a un individuo, dispositivo o proceso. Ver Cuenta y Factor de Autenticación.

La criptografía es un método para proteger los datos a través de un proceso de cifrado reversible, y es un fundamento rudimentario utilizado en muchos protocolos y servicios de seguridad. La criptografía robusta se basa en algoritmos probados y aceptados por la industria junto con longitudes de clave que brindan un mínimo de 112 bits de fortaleza de clave efectiva y prácticas adecuadas de administración de claves. La fuerza efectiva de la clave puede ser más corta que la longitud real de ""bits"" de la clave, lo que puede llevar a que los algoritmos con claves más amplias brinden menos protección que los algoritmos con clave más pequeñas, pero efectivos más grandes. Se recomienda que todas las implementaciones nuevas utilicen un mínimo de 128 bits de fuerza de clave efectiva.

Ejemplos de referencias de la industria sobre algoritmos criptográficos y longitudes de clave incluyen:

• Publicación especial NIST 800-57 Parte 1,
• BSI TR-02102-1,
• ECRYPT-CSA D5.4 Algorithms, Key Size and Protocols Report (2018), y
• ISO/IEC 18033- Encryption Algorithms,
• ISO/IEC 14888-3:2-81 Técnicas de seguridad de TI – Firmas digitales con apéndice – Parte 3: Mecanismos basados en logaritmos discretos

El periodo de tiempo durante el cual una clave criptográfica puede ser utilizada para su propósito definido. A menudo se define en términos del período durante el cual la clave está activa y/o la cantidad de texto cifrado que ha sido producido por la clave, y de acuerdo con las mejores prácticas y directrices de la industria (por ejemplo, Publicación Especial del NIST 800-57).

También denominada "ID de usuario", "ID de cuenta" o "ID de aplicación". Se utiliza para identificar a un individuo o proceso en un sistema informático. Ver Credenciales de Autenticación y Factor de Autenticación.

Acrónimo de "Common Vulnerability Scoring System". (Sistema de Puntaje de Vulnerabilidad Común). Consulte la Guía del Programa ASV para más información.

Información relacionada con la seguridad para autenticar las transacciones de los tarjetahabientes y/o autorizar transacciones con tarjetas de pago. Esta información incluye, entre otros, códigos/valores de verificación de validación de tarjetas, datos de pista completo (de banda magnética o equivalente en un chip), PIN y bloques de PIN.

Ver Datos de Pista.

Los datos del titular de la tarjeta consisten en datos de tarjetahabiente y/o datos de autenticación sensibles. Ver Datos de Tarjetahabiente y Datos de Autenticación Sensibles.

Un diagrama que muestra los componentes del sistema y las conexiones dentro de un entorno de red.

Acrónimo de "Digital Operational Resilience Act." (Ley de Resiliencia Operativa Digital).

Acrónimo de “Elliptic Curve Cryptography." (Criptografía de Curva Elíptica"). Ver Criptografía Robusta.

Transformación (reversible) de datos mediante un algoritmo criptográfico para producir un texto cifrado, es decir, para ocultar el contenido informativo de los datos. Ver Criptografía Robusta.

Véase la sección de PCI DSS: 8 enfoques para implementar y validar PCI DSS.

Véase "Enfoques para la Implementar y Validar PCI DSS" en Requisitos de PCI DSS y Procedimientos de Evaluación de la Seguridad.

Proceso que abarca toda la empresa para identificar recursos y amenazas importantes al sistema; cuantifica las exposiciones a pérdidas (es decir, el potencial de pérdidas) en función de las frecuencias estimadas y los costos de ocurrencia; y (opcionalmente) recomienda cómo asignar recursos a las contramedidas para minimizar la exposición total. Ver Análisis de Riesgos Específicos.

Una restricción legal debido a una ley, regulación o requisito regulatorio local o regional, donde cumplir con un requisito del PCI DSS violaría esa ley, regulación o requisito regulatorio. Las obligaciones contractuales o el asesoramiento legal no son restricciones legales. Consulte los siguientes documentos de PCI DSS v4.x para obtener información sobre la notificación de excepciones legales:

• La Plantilla del Informe de Cumplimiento (ROC) y las Atestaciones de Cumplimiento relacionadas.
• Los Cuestionarios de Autoevaluación (SAQs) y las Atestaciones de Cumplimiento relacionadas.

Nota: Cuando una entidad opera en múltiples ubicaciones, solo se puede reclamar una excepción legal para las ubicaciones regidas por la ley, regulación o requisito regulatorio, y no se puede reclamar para ubicaciones en las que dicha ley, regulación o requisito regulatorio no sea aplicable.

Elemento utilizado para probar o verificar la identidad de un individuo o de un proceso en un sistema informático. La autenticación típicamente ocurre con uno o más de los siguientes factores de autenticación:

• Algo que se conoce, como una contraseña o frase de paso.
• Algo que se tiene, como un dispositivo token o una tarjeta inteligente.
• Algo que se es, como un elemento biométrico.

La ID (o cuenta) y el factor de autenticación se consideran conjuntamente credenciales de autenticación. Ver Cuenta y Credencial de Autenticación.

Acrónimo de "Global Executive Assessor Roundtable." (Mesa Redonda Global de Asesores Ejecutivos).

La generación de claves es una de las funciones dentro de la gestión de claves. Los siguientes documentos proporcionan una guía reconocida sobre la generación adecuada de claves:

• Publicación Especial NIST 800-133: Recomendación para la Generación de Claves Criptográficas.
• ISO 11568-2 Servicios Financieros - Gestión de Claves (minoristas) - Parte 2: Códigos simétricos, su gestión de claves y ciclo de vida.
  • 4.3 Generación de Claves
• ISO 11568-4 Servicios Financieros - Gestión de Claves (minoristas) - Parte 4: Criptosistemas Asimétricos - Gestión de claves y ciclo de vida.
  • 6.2 Fases del ciclo de vida de las claves - Generación
• Consejo Europeo de Pagos EPC 342-08 Directrices sobre el Uso de Algoritmos y la Gestión de Claves.
  • 6.1.1 Generación de claves [para algoritmos simétricos]
  • 6.2.1 Generación de claves [para algoritmos asimétricos].

Una función hash que incorpora una clave secreta generada aleatoriamente para proporcionar resistencia a ataques de fuerza bruta e integridad de autenticación secreta. Los algoritmos hashing criptográficos en clave adecuados incluyen, entre otros, los siguientes: HMAC, CMAC y GMAC, con fuerza criptográfica efectiva de al menos 128 bits (NIST SP 800-131Ar2). Refiérase a los siguientes para obtener más información sobre HMAC, CMAC y GMAC, respectivamente: NIST SP 800-107r1, NIST SP 800-38B y NIST SP 800-38D). Véase NIST SP 800-107 (Revisión 1): Recomendación para Aplicaciones que Utilizan Algoritmos Hash Aprobados §5.3.

• Ser computacionalmente inviable para determinar la entrada original dada solo con el código hash,
• Ser computacionalmente inviable encontrar dos entradas que den el mismo código hash.

Acrónimo de “Internal Security Assessor.” (Asesor de Seguridad Interna).

Acrónimo de “Key Management Operations.” (Operaciones de Gestión de Claves).

En criptografía, acrónimo de “Message Authentication Code” (código de autenticación de mensajes). Ver Criptografía Robusta.

Una organización con tarjetas de pago de marca u otros factores en forma de tarjetas de pago. Las Marcas de Pago regulan dónde y cómo se utilizan las tarjetas de pago u otros factores de forma que llevan su marca o logotipo. Una marca de pago puede ser Marca de Pago Participante PCI SCC u otra marca de pago regional o global, esquema o red.

También conocida como "marca de pago". Una marca de tarjeta de pago que, en el momento en cuestión, se admite formalmente como (o afiliada de) un miembro PCI SCC de conformidad con sus documentos rectores. Al momento de redactar este informe, las Marcas de Pago Participantes incluyen Miembros Fundadores y Miembros Estratégicos PCI SCC.

Acrónimo de “Mail Order/Telephone Order.” (Orden-Postal/Orden Telefónica).

Acrónimo de "Mobile Payments on COTS". (Pagos móviles en COTS).

Acrónimo de “Open Web Application Security Project.” (Proyecto Abierto de Seguridad de Aplicaciones Web).

Acrónimo de “Point-to-Point Encryption.” (Cifrado de extremo a extremo.)

• Un solo documento o instancia,
• Un documento o componente desplegado en un marco en línea dentro de una página de impago.

Empleados de tiempo medio y completo, empleados temporales, contratistas y consultores con responsabilidades de seguridad para proteger los datos del titular de la tarjeta o que puedan afectar la seguridad de los datos del titular de tarjetahabiente o datos de autenticación sensibles. Ver Visitante.

Acrónimo de “Principal Participating Organization.” (Organización Participante Principal.)

A veces se denomina "pasarela de pago" o "proveedor de servicios de pago (PSP)". La entidad comprometida con un comerciante o con otra entidad para manejar la tarjeta de pago en su nombre. Ver Adquirentes.

La entidad que no es una marca para realizar pagos, directamente involucrada en el procesamiento, almacenaje, o transmisión de datos de tarjetahabientes (CHD) y/o datos de autenticación sensibles (SAD) en nombre de otra entidad. Esto incluye pasarelas de pago, proveedores de servicios de pago (PSP) y organizaciones de ventas independientes (ISO). Esto también incluye a las compañías que proporcionan los servicios que controlan o que podrían impactar la seguridad de los CHD y/o SAD. Los ejemplos incluyen a los proveedores de servicios gestionados que proporcionan los firewalls gestionados, IDS y otros servicios como los proveedores de hosting y otras entidades. Si una entidad proporciona un servicio que involucra solo la provisión del acceso a la red pública; tal como una compañía de telecomunicaciones que proporciona solo el enlace de comunicación, la entidad no se consideraría como un proveedor de servicios para ese servicio (a pesar de que se puedan considerar como un proveedor de servicios para otros servicios). Ver Proveedor de Servicios Multiusuario y Proveedor de Servicios de Terceros.

Cualquier tercero que actúe como proveedor de servicios en nombre de una entidad. Ver Proveedor de servicios Multiusuario y Proveedor de Servicios.

Un tipo de Proveedor de Servicios de Terceros que ofrece servicios en los que los clientes comparten recursos del sistema (tales como servidores físicos o virtuales), infraestructura, aplicaciones (incluyendo el Software como Servicio (SaaS)) y/o bases de datos, con el acceso a estos recursos o servicios controlados lógicamente o dividido para mantener los recursos contenidos y los datos aislados entre los distintos clientes. Ver Proveedor de Servicios y Proveedor de Servicios Externo.

Acrónimo de "Qualified Integrators and Resellers” (Integrador o Revendedor Calificado). Para más información consulte la Guía del Programa QIR en el sitio web PCI SCC.

Acrónimo de “Qualified PIN Assessor.” (Asesor de PIN calificado).

Acrónimo de "Qualified Security Assessor” (Asesor de Seguridad Calificado). Las compañías QSA están calificados por PCI SCC para validar el cumplimiento de los requisitos de la PCI DSS por parte de una entidad. Refiérase a los Requisitos de Calificación de QSA para obtener detalles sobre los requisitos para empresas y empleados de QSA.

Acrónimo de "Regional Engagement Board." (Junta de Participación Regional.)

Ver Registro de Auditoría.

Acrónimo de “Request for Comment.” (Solicitud de Comentarios.)

Acrónimo de “Report on Compliance” (Informe de Cumplimiento). Herramienta para la emisión de informes utilizada para documentar resultados detallados de la evaluación PCI DSS de una entidad.

Acrónimo de “Roadmap Roundtable Group." (Grupo de Mesa Redonda sobre Hoja de Ruta.)

Algoritmo para el cifrado de claves públicas. Ver Criptografía Robusta.

También se conoce como "segmentación de la red" o "aislamiento". La segmentación aísla los componentes del sistema que almacenan, procesan o transmiten datos de tarjetahabiente de los sistemas que no lo hacen. Ver "Segmentación" en la sección 4 de PCI DSS: Alcance de los requisitos de PCI DSS.

Práctica de dividir los pasos de una función entre varios individuos, para evitar que un solo individuo altere el proceso.

Los ejemplos de servicios de emisión incluyen, entre otros, la autorización y personalización de tarjetas.

Un servidor que redirige el navegador de un cliente desde el sitio web de un comerciante a una ubicación diferente para el procesamiento del pago durante una transacción de comercio electrónico.

Dispositivo físico, a menudo acoplado a un dispositivo legítimo de lectura de tarjetas, diseñado para capturar y/o almacenar ilegítimamente la información de una tarjeta de pago.

El software a la medida es desarrollado para la entidad por un tercero en nombre de la entidad según sus especificaciones. Software a la Medida y Personalizado El software a la medida es desarrollado para la entidad por un tercero en nombre de la entidad según sus especificaciones.
El software personalizado es desarrollado por la entidad para su propio uso.

Acrónimo de "Technical Advisory Board." (Consejo Asesor Técnico.)

Cliente al que se emite una tarjeta de pago o cualquier persona autorizada a utilizar la tarjeta de pago. Consulte Visitante.

A los efectos PCI DSS, cualquier factor de forma de tarjeta de pago que lleve el logotipo de cualquier Marca de Pago.

Acrónimo de “Triple Data Encryption Standard.” (Estándar de Cifrado de Datos Triple). También conocido como "3DES" o "Triple DES".

Abreviatura de "“telephone network protocol.” (Protocolo de red telefónica).

Acrónimo de “Technology Guidance Group.” (Grupo de Orientación Tecnológica.)

Un vendedor, invitado de cualquier personal, trabajador de servicios o personal que normalmente no tiene acceso al área en consideración. Los tarjetahabientes presentes en un local para adquirir bienes o servicios no se consideran "visitantes". Véase Tarjetahabiente y Personal.