PDF de programación - PCI DSS Glosario, Abreviaturas y Acrónimos

Normas de Seguridad de Datos
de la Industria de Tarjetas de
Pago (PCI)

Glosario, Abreviaturas y
Acrónimos





Término

Definición

AAA
Activo
(Asset)
Administrador de Bases
de Datos (DBA)
(Data Base Administrator)
Adquirente
(Acquirer)
AES

Ambiente de datos de
tarjetahabientes
(Cardholder data
environment)

Ambiente de pagos de
tarjetahabientes
(Payment cardholder
environment)
Amenaza
(Threat)

Análisis de riesgo
(Risk analysis)

ANSI

Autenticación, autorización y protocolo de contabilidad.
Información o recursos de procesamiento de información de una
organización.

Persona responsable de gestionar y administrar las bases de datos.


Miembro de la asociación de tarjetas bancarias que inicia y mantiene
relaciones con comercios que aceptan las tarjetas de pago.

Advanced Encryption Standard. Método de cifrado por bloque
adoptado por el NIST en noviembre del 2001. El algoritmo está
especificado en la Publicación 197 de FIPS (FIPS PUB 197).
Área de una red de computación que posee los datos de los
tarjetahabientes o los datos confidenciales de autenticación y aquellos
sistemas y segmentos que directamente están conectados o brindan
soporte al procesamiento, almacenaje o transmisión de estos datos. La
segmentación adecuada de la red, que aísla los sistemas que
almacenan, procesan o transmiten datos del tarjetahabiente de los que
no realizan estas funciones, puede reducir el alcance del ambiente de
datos de los tarjetahabientes y, por ende, el alcance de la evaluación
para cumplir con las Normas de Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI).
Parte de la red que procesa los datos de los tarjetahabientes o los
datos confidenciales de autenticación.

Condición que podría causar que los recursos de información o
procesamiento intencional o accidentalmente se pierdan, sean
modificados, queden expuestos o inaccesibles, o de otra manera
queden afectados en forma perjudicial para la organización.
Proceso que sistemáticamente identifica recursos valiosos y amenazas
al sistema, cuantifica la exposición a pérdidas (es decir, el potencial de
pérdidas) basándose en estimados de frecuencia y costos de
incidentes, y (opcionalmente) recomienda cómo se deben asignar los
recursos a las medidas para contrarrestar los riesgos, a fin de
minimizar la exposición total. Evaluación de riesgo.
American National Standards Institute. Organización privada sin fines
de lucro que administra y coordina la estandarización voluntaria y el
sistema común de evaluación de cumplimiento en Estados Unidos.


Glossary, Abbreviations and Acronyms


2



Término

Aplicación
(Application)

Autenticación
(Authentication)
Autenticación de dos
factores
(Two-factor
authentication)

Autorización
(Authorization)
Base de Datos
(Database)

Bitácora o registro de
auditoría
(Audit log)

CIS

Clave
(Key)

Código de Servicio
(Service code)

Componentes de red
(Network components)

Componentes de sistema
(System components)
Compromiso de seguridad
(Compromise)

Definición

Incluye todos los programas o grupos de programas de software
diseñados para usuarios finales, incluyendo aplicaciones internas y
externas (de Web).
Proceso de verificar la identidad de una persona o un proceso.

Autenticación que requiere al usuario presentar dos credenciales para
obtener acceso a un sistema. Las credenciales consisten en algo que
el usuario tiene en su posesión (por ejemplo, una tarjeta inteligente o
token de hardware) y algo que conoce (por ejemplo, una contraseña).
Para obtener acceso al sistema el usuario tiene que presentar ambos
factores.
La concesión de derechos de acceso u otros derechos a un usuario,
programa o proceso.

Formato estructurado para organizar y mantener la información y
acceder fácilmente a ella. Ejemplos de bases de datos simples son las
tablas y hojas de cálculo
Registro cronológico de las actividades del sistema. Proporciona
suficientes pistas para permitir la reconstrucción, revisión y examen de
la secuencia de ambientes y actividades que rodean o han conducido a
la operación, el procedimiento o evento en una transacción desde su
inicio hasta el resultado final. Algunas veces se le llama
específicamente pista de auditoría de seguridad o “security audit trail”.
Center for Internet Security. Empresa sin fines de lucro cuya misión es
ayudar a las organizaciones a reducir el riesgo de interrupciones en su
negocio y comercio electrónico a consecuencia de controles y técnicas
de seguridad inadecuados.
En la criptografía una clave es un valor algorítmico aplicado a un texto
sin encriptar para producir un texto encriptado. La longitud de la clave
generalmente determina el grado de dificultad para descifrar el texto en
un determinado mensaje.
Número de tres o cuatro dígitos codificado en la banda magnética que
especifica los requisitos y limitaciones de aceptación de una
transacción en la cual se lee la banda magnética de la tarjeta.
Incluyen, sin limitación, cortafuegos, switches, ruteadores, puntos de
acceso inalámbrico, aparatos y dispositivos de red y otros dispositivos
de seguridad.
Cualquier componente de red, servidor o aplicación incluida o
conectada al ambiente de datos de tarjetahabientes.

Intrusión en un sistema de computadores en la cual se sospecha una
divulgación, modificación o destrucción no autorizada de datos de los
tarjetahabientes.


Glossary, Abbreviations and Acronyms


3



Término

Definición

Conocimiento dividido
(Split knowledge)

Consola
(Console)
Consumidor
(Consumer)
Contabilidad
(Accounting)

Contraseña
(Password)
Contraseña automática
(Default password)

Control de acceso
(Access control)

Control Dual
(Dual Control)

Controles compensatorios
(Compensating controls)

Situación en la cual dos o más entidades tienen por separado
componentes de clave que individualmente no pueden transmitir un
conocimiento de la clave criptográfica resultante.
Pantalla y teclado que permiten el acceso y control del servidor o
computador mainframe en un ambiente de red.

Persona que compra los bienes o servicios, o ambos.

Rastreo de recursos de red de los usuarios.

Una cadena de caracteres que sirve como autenticador del usuario.

Contraseña de administración de sistema o de las cuentas de servicio
que programa el fabricante del sistema antes de enviar el mismo desde
su fábrica; normalmente se asocia con una cuenta que existe como
parámetro automático. Las cuentas y contraseñas automáticas son
bien conocidas por el público.
Mecanismos que limitan la disponibilidad de información o recursos de
procesamiento de información solamente a las personas o aplicaciones
autorizadas.
Proceso que utiliza dos o más entidades separadas (normalmente
personas), quienes operan en forma concertada para proteger
funciones o información de carácter confidencial. Ambas entidades son
igualmente responsables por la protección física de los materiales
implicados en transacciones vulnerables. No se permite que ninguna
persona, por sí sola, tenga acceso o use los materiales (por ejemplo, la
clave criptográfica). En el caso de la generación manual, transmisión,
carga almacenaje y recuperación de claves, el control dual requiere
que el conocimiento de la clave se divida entre las entidades. Véase
también “conocimiento dividido”.
Se pueden considerar controles compensatorios cuando una entidad
no puede cumplir con un requisito explícitamente de la manera
establecida debido a restricciones técnicas o comerciales legítimas y
documentadas pero ha mitigado suficientemente el riesgo asociado
con el requisito por medio de la implementación de otros controles. Los
controles compensatorios deben 1) cumplir la intención y tener el rigor
del requisito original establecido en las Normas de Seguridad de Datos
de la Industria de Tarjetas de Pago (PCI); 2) repeler cualquier intento
de comprometer la seguridad con fuerza similar; 3) ir más allá de otros
requisitos de las Normas de Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI) (no simplemente cumplir con otros requisitos de
dichas Normas); y 4) ser congruentes con el riesgo adicional impuesto
por no adherirse al requisito de las Normas de Seguridad de Datos de
la Industria de Tarjetas de Pago (PCI).


Glossary, Abbreviations and Acronyms


4



Término

Cookies
(Cookies)

Cortafuego
(Firewall)

Cosecha de cuentas
(Account harvesting)

Criptografía
(Cryptography)

Criptografía de alta
seguridad
(Strong cryptography)

Definición

Cadena de datos intercambiados entre un servidor y un navegador de
Web para mantener una sesión. Las “cookies” pueden contener
información sobre preferencias y datos personales.
Hardware, software, o ambos, que se utilizan para proteger los
recursos de una red de los intrusos procedentes de otras redes.
Típicamente una empresa con una red interna que permite a los
empleados tener acceso a Internet debe tener un cortafuego para
evitar que entidades externas obtengan acceso a los recursos y datos
internos privados.
Proceso para identificar las cuentas de usuarios existentes basándose
en el concepto de ensayo y error. [Nota: Proporcionar información
excesiva en los mensajes de error puede dar lugar a que se divulgue
suficiente información para facilitar que un atacante penetre y
“coseche” o comprometa la seguridad del sistema.]
Dentro de las matemáticas y ciencias de la computación, la disciplina
que se asocia con la seguridad de la información y temas relacionados,
particularmente la encriptación y la autenticación y aplicaciones como
el control de accesos. En el campo de la seguridad de computadores y
redes, una herramienta de control de acceso y protección de la
información confidencial.
Término que en general designa la criptografía extremadamente
resistente al análisis criptográfico. Es decir, dado el método
criptográ