Dominios y Requisitos PCI-DSS

3 respuestas

PCI Security Standards CouncilA principios del año 2000, Visa creó el Account Information Security (AIS) Program en Europa y el Cardholder Information Security Program (CISP) en Estados Unidos, que se impusieron a nivel mundial a los bancos miembros, a sus proveedores y grandes comercios en el 2001.

De forma similar, MasterCard impuso el Site Data Protection (SDP) Program junto con otros equivalentes de las grandes marcas de tarjetas American Express (Data Security Operating Policy – DSOP), Diners Club y JCB.

Aunque motivados por las mismas razones, los procedimientos de validación de cada marca para establecer su cumplimiento eran específicos, lo que desencadenó una demanda de unificación de criterios.

Por ello nació el Payment Card Industry (PCI) Data Security Standard (DSS), que se anunció en enero de 2005 como esfuerzo conjunto de Visa y MasterCard, al que se sumaron el resto de marcas.

Su adopción es obligatoria desde  junio de 2007 y las marcas pueden imponer sanciones a las entidades que no realicen las auditorías prescritas.

En el estándar se establecen 6 dominios y 12 requisitos que señalo a  continuación (como no me gusta la traducción oficial, yo he hecho la mia).

  • Cree y Mantenga una Red Segura
    • R. 1: Proteja los datos con un Firewall cuya configuración se mantenga correctamente
    • R. 2: Nunca utilice valores por defecto en claves y parámetros de seguridad
  • Proteja los Datos de los Titulares (Tarjetahabientes) 
    • R. 3: Proteja los datos almacenados 
    • R. 4: Cifre las transmisiones de información sensible como datos de los titulares en Redes Públicas
  • Mantenga un Programa de Gestión de Vulnerabilidades
    • R. 5: Utilice un anti-virus permanentemente actualizado
    • R. 6: Desarrolle y mantenga sistemas y aplicaciones seguros 
  • Despliegue Medidas de Control de Acceso Robustas
    • R. 7: Restrinja el acceso a los datos a quienes lo tengan atribuido por su actividad.
    • R. 8: Asigne identificadores (códigos de usuario) únicos a cada persona que disponga de acceso informático.
    • R. 9: Restrinja el acceso físico a los datos de los titulares
  • Monitorice y Compruebe las Redes regularmente 
    • R. 10: Registre y monitorice cualquier acceso a recursos de red y a datos de titulares
    • R. 11: Compruebe regularmente los sistemasy los procesos  de seguridad.
  • Mantenga una Política de Seguridad de la Información
    • R. 12: Mantenga una política que contemple la seguridad de la información

IFO PYME, Proyecto AvanzaPYME con ERP, eFactura y Formación

1 respuesta

La Dirección General de Desarrollo de la Sociedad de la Información del Ministerio de Industria, Comercio y Turismo ha impulsado una linea de subvenciones (Avanza PYME – Soluciones de negocio y factura electrónica) para la realización de proyectos y actuaciones de desarrollo e incorporación de soluciones de negocio y facturación electrónicos adaptadas a las necesidades de las pequeñas y medianas empresas de manera que, de forma progresiva, éstas vayan incorporando las tecnologías de la información y las comunicaciones a sus procesos de negocio, a fin de contribuir a su competitividad y a la mejora de su productividad, así como para la realización de proyectos y actuaciones de desarrollo de contenidos digitales por parte de las PYME.

Entre los proyectos subvencionados destaca IFOPyme, identificado con el número de proyecto PAV-080100-2007-360. Pronto indicaré la página web del proyecto.

El proyecto se está llevando a cabo por las siguientes empresas: IFO (Instituto de Formación on-line),  Albalia,  Gepelia, y Desarrollo y Recursos.

El proyecto incluye  una HERRAMIENTA (el ERP Openbravo) adaptada a las necesidades de cada empresa, una PLATAFORMA de Factura Electrónica (de Albalia) asociada a servicios de adecuación a la misma, ASESORAMIENTO y FORMACIÓN en utilización del ERP y la plataforma.

Se dirige especialmente a empresas relacionadas con la construcción, que trabajan directamente en el sector o suministran servicios y productos a otras grandes empresas del mismo, con un tamaño de 10 a 50 trabajadores, principalmente de las comunidades autónomas de Galicia, Andalucía, Castilla la Mancha, Extremadura y Canarias (la nueva normativa europea de límite de ayudas es algo compleja, de modo que si está interesado, consulte para comprobar si puede beneficiarse de la ayuda).

El sistema disponible en modalidad ASP aporta las siguientes funcionalidades:

  • Como ERP:
    • Gestión económico-financiera: se trabajará sobre
      • Contabilidad general: Planes contables, Impuestos, Asientos, Balances, Libro Mayor, Cuenta de Resultados, PGC
      • Cuentas a pagar y cuentas cobrar: Gestión de efectos, Cajas, Bancos, Liquidaciones
      • Activos fijos: Definición de los elementos de inmovilizado, precio de adquisición y valoración contable
    • Gestión comercial y gestión de las relaciones con clientes: Pedidos de venta, tarifas, albaranes, facturación, comisiones
    • Gestión de los datos maestros: Productos, componentes, listas de materiales, clientes, proveedores, etc.
  • Factura electrónica:
    • Envío y recepción de facturas electrónicas en formato XML  facturae con firma TS 101 903 (ES-XL)
    • Envío centralizado del resto de facturas
  • Capacitación en el uso de sistemas de información: con carácter más amplio será importante el trabajo de capacitación de todos los empleados en el nuevo modelo de trabajo que implica el uso del sistema. (ONLINE, 20 HORAS)
  • Formación aplicativa: mediante consultores especializados en se formará a las diferentes empresas en la descripción y funcionalidad de las aplicaciones (ONLINE, 50 HORAS)
  • Formación específica: dado que la implantación implica personalizar las aplicaciones, y desarrollar módulos e informes muy concretos, se deberá dedicar un espacio importante de la formación de expertos dentro de las empresas, también de manera personalizada a cada empresa (ONLINE, 40 HORAS)

Para más información contactar con Susana de la Plaza ( sdelaplaza (arroba) ifoline.net)  o llamar al 91.639.55.62.

EMV e ISO/IEC 14443 (Paypass)

1 respuesta

EMV - Co SmartCard SpecEsta semana acaba el período de comentarios de EMV Contactless Specifications for Payment Systems.

«EMV» es un acrónimo que hace referencia a las especificaciones emitidas por EMVCo, LLC para definir el funcionamiento de las tarjetas de pago basadas en tarjeta inteligente. Los proveedores señalizan como  «EMV Approved» a sus productos que han superado las pruebas de homologación en base al cumplimiento de estas especificaciones.

Europay International, MasterCard International y Visa International crearon EMVCo, LLC ( «EMVCo») en febrero de 1999 para gestionar, mantener y mejorar las especificaciones EMV para los sistemas de pago conforme los avances tecnológicos y la implantación de de programas de tarjetas chip adquirían protagonismo. Estas especificaciones se habían desarrollado previamente a partir del esfuerzo de las entidades promotoras, dando lugar a las especificaciones EMV’96.

El objetivo de EMVCo es garantizar que un único proceso de homologación de los terminales y de las tarjetas permita la interoperabilidad cruzada. Los Fundadores, Europay, MasterCard y Visa, poseían cada una un tercio de  EMVCo, LLC. Dado que MasterCard se fusionó con Europay pasó a poseer dos tercios  de EMVCo LLC. Con la incorporación de JCB en 2005 se reequilibraron las participaciones.

EMVCo se rije por una Junta de Directores con la igualdad de representación de cada una de las asociaciones de pago. Todas su decisiones relativas a  actividades y acciones requieren el voto unánime de los miembros, es decir, el consenso total.

EMVCo ha desarrollado durante más de diez años las especificaciones que definen los  requisitos para garantizar la interoperabilidad entre las tarjetas con chip y los terminales que las manejan a nivel mundial, independientemente del fabricante, la institución financiera, o el lugar en el que se utiliza la tarjeta.

La última versión de Las especificaciones, EMV 2000 versión 4.1, se publicó en junio de 2004 e incluye las Common CORE Definitions

Y desde octubre de 2007  se desarrolla el proceso de publicación de las normas destinadas a la gestión de la interfaz sin contactos de las tarjetas con chip EMV, con las normas de entrada, y de marco de referencia (EMV Contactless Specifications for Payment Systems – Entry Point Specification – V1.0
 y EMV Contactless Specifications for Payment Systems – Framework for Contactless Evolution – V1.0). Y con las normas de PayPass: EMV Contactless Communication Protocol Specification v2.0 y PayPass – ISO/IEC 14443 Implementation Specification – V1.1 (Proximity Integrated Circuit Cards – PICCs y Proximity Coupling Devices PCDs)

Las Especificaciones EMV se basan en la actual serie ISO 7816 de normas para tarjetas de circuito integrado con contactos.

Las normas ISO 7816 fueron desarrolladas por un grupo interinstitucional de la industria y, por lo tanto contienen opciones aplicables solamente a determinados sectores 

Entre las actividades de EMVCo están las de apoyo a actividades de normalización contribuyendo activamente al proceso de redacción de las normas ISO, a fin de garantizar la plena compatibilidad entre las normas ISO y de los derivados de las especificaciones EMV

Las Especificaciones contienen las opciones  de las normas ISO 7816 relevantes para el sector financiero.

CIT estrena Blog

Deja un comentario

El CIT (Congreso Internacional de Tarjetas) ha superado las 10 ediciones y llega este año redefiniendo su vocación «El evento ibérico de Smart Cards, Identificación y Medios de Pago«. Se celebra desde el 1 al 3 de Abril de 2008 en el Palacio Municipal de Congresos (Campo de las Naciones, Avda. Capital de España Madrid, s/n. 28042 Madrid)

La XI edición, CIT’2008, se consolida como punto de encuentro del sector bancario en los aspectos más tecnológicos, y con la incorporación de otros sectores, como el del transporte, en los que se usan también las diferentes clases de tarjetas de plástico.

Y ahora con una nueva iniciativa: el Blog del CIT 2.0 .  Un espacio abierto a la información y el debate en un nueva dimensión abierta a la interactividad. CIT 2.0. pretende recoger los comentarios acerca de las novedades del sector así como la opiniones y/o sugerencias en torno al propio evento.

A ver si nos vemos por allí. Yo estaré presidiendo la jornada del dia 3, en el track de Identidad Digital y dando algunas ideas para el despliegue del DNI electrónico en las entidades financieras.

Y el dia 2 estaré en la Zona Expo CIT con un Workshop sobre PCI-DSS que espero que os parezca interesante.

Caja Navarra y Telefónica firman un acuerdo estratégico para potenciar la banca móvil

1 respuesta

Enrique Goñi, director general de Caja Navarra, y César Alierta, presidente de Telefónica, firmaron el 21 de enero de 2008  un acuerdo para potenciar el uso de la banca móvil. El acuerdo se ha suscrito en Distrito C, las nuevas instalaciones de Telefónica en Madrid.

De esta forma, Caja Navarra y Telefónica se convierten en socios estratégicos para desarrollar el negocio de la banca móvil. Ambos, tienen como objetivo desarrollar sus servicios para que los usuarios de la banca móvil aprovechen la inmediatez de este tipo de terminales y puedan utilizar los servicios financieros a cualquier hora y desde cualquier lugar. Se pretende, además, desarrollar herramientas de valor añadido combinando los servicios financieros de Can y los de comunicaciones móviles de Telefónica.

Esta orientación hacia la vanguardia tecnológica y la movilidad en los servicios viene recogida en el plan estratégico de Caja Navarra 2007-2010. En él se fija como objetivo que el 75% de sus clientes estén dados de alta en servicios de banca a través de teléfono móvil y un 35% de ellos como usuarios frecuentes.

El nuevo concepto bancario acuñado por Can como la Banca Cívica, es un modelo de relación que se basa en los derechos del cliente y las obligaciones de la entidad financiera.

En este sentido, una de las obligaciones de Can con sus clientes es proveer los servicios de vanguardia que liberen tiempo y faciliten la gestión financiera. En resumen, ocuparse de sus clientes.

Primer proyecto piloto

Un primer fruto del acuerdo entre Caja Navarra y Telefónica consiste en un proyecto piloto por el que se han facilitado a empleados de Can una cantidad limitada de terminales de última generación. Estos teléfonos permiten la navegación por las aplicaciones de banca móvil de Can y ofrecen la posibilidad de realizar todo tipo de transacciones.

La prueba se ha desarrollado inicialmente mediante la entrega de los terminales con el compromiso de un uso garantizado mensual de los servicios de la banca móvil. De esta forma, se consigue un número suficiente de usuarios recurrentes que sirven de plataforma de pruebas para ir mejorando los servicios progresivamente. Además de las operaciones financieras habituales (traspasos, consultas de saldo, transferencias, etc.) se han añadido herramientas innovadoras en cuyo desarrollo ha participado también Telefónica, como el broker online. De esa forma, se ha desarrollado una aplicación que proporciona toda la información de Bolsa, valores y gráficos, y permite operar en tiempo real. También se ha lanzado recientemente la venta de entradas de cine, como una de las aplicaciones de Caja Navarra en el móvil.

Lluis Lahoz Jubert

1 respuesta

Desde hace muchos años estoy suscrito a EPE (Equipos Productos Electrónicos) y a EPI (Equipos Productos Industriales). Ambas son una interesante fuente de información sobre las novedades que se producen en el ámbito de los módulos electrónicos, fundamentalmente de uso industrial, pero cada vez más, de interés informático.

Sin embargo, con ser interesantes, mi principal interés es el de leer en ambos medios el Editorial de Lluis Lahoz, la parte más personal de unas revistas que hacen de catálogos de productos.

Luis, si lees esto, que sepas que somos muchos los que te leemos. 

Ofimática Digital ha puesto en funcionamiento el primer portal de gestión documental basado en SaaS / Local

1 respuesta

Este sistema combina la potencia de las aplicaciones Web 2.0 y Escritorio

El usuario de la aplicación accede a ella a través de un navegador tecleando la Url https://www.digitaldocu.com y sin embargo su exclusiva característica le permite mantener el almacén de sus documentos en los servidores locales. Por lo tanto el usuario de la aplicación nunca pierde el control de sus datos.

Actualmente se encuentra en proceso de homologación por parte de la AEAT para ofrecer también a través de este modelo (SaaS) Digitalización Certificada. Dispone de un WEBservice que permite la integración total con aplicaciones de terceros.

El portal incorpora búsqueda “full text” de documentos escaneados en diferentes formatos (pdf, tiff ó jpg) e incorpora tecnologías OCR para la indexación automática de documentos.

Visto en CMS-SPAIN

facturae y XAdES-XL (TS 101 903 ES-X-L)

2 respuestas

Ya está disponible la nueva versión 2.0 de Faccil.

Un esfuerzo de programación que combina técnicas de Ruby on Rails y Java y que supone la primera implementación conjunta de los estándares facturae y XAdES-XL .

De momento nos encontramos con que ninguna otra aplicación es capaz de entender la firma XAdES-XL basada en el estándar TS 101 903 (es nuestra ventaja, pero no deja de ser un problema). Habrá que esperar a que CENATIC en colaboración con el Ministerio de Industria Turismo y Comercio promueva vesiones «Open Software» de un visor de factura electrónica generalizado. Quizá lo veamos como «plug-in» de Mozilla para Firefox.

Esta herramienta, Faccil,  es gratuita para los participantes en el proyecto ePYMES de Albalia Interactiva (aun quedan plazas libres). Además el proyecto se complementa con formación on-line sobre Firma electrónica y Factura electrónica, y sobre negocios electrónicos, y con el uso de la herramienta CatSEO que comentaré los próximos dias. Se identifica con el código PAV-080200-2007-24.

Aunque ya tenemos pensadas algunas ampliaciones para Faccil (especialmente para facilitar la facturación hacia el sector público, que empieza a ser obligatoria a partir de marzo de 2008, y para dar la opción de darse de alta y autenticarse con el DNI electrónico) estamos abiertos a sugerencias y próximamente abriremos un foro para ello.

Por cierto, estamos pensando en algunas futuras características de la plataforma que confiamos en que contribuyan a reducir la morosidad, y a faciltar el acceso a los servicios de factoring de varias instituciones financieras, con las que ya estamos hablando.