Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Glosario, Abreviaturas y Acrnimos

Trmino
AAA Activo (Asset) Administrador de Bases de Datos (DBA) (Data Base Administrator) Adquirente (Acquirer) AES

Definicin
Autenticacin, autorizacin y protocolo de contabilidad. Informacin o recursos de procesamiento de informacin de una organizacin. Persona responsable de gestionar y administrar las bases de datos.

Miembro de la asociacin de tarjetas bancarias que inicia y mantiene relaciones con comercios que aceptan las tarjetas de pago. Advanced Encryption Standard. Mtodo de cifrado por bloque adoptado por el NIST en noviembre del 2001. El algoritmo est especificado en la Publicacin 197 de FIPS (FIPS PUB 197). rea de una red de computacin que posee los datos de los tarjetahabientes o los datos confidenciales de autenticacin y aquellos sistemas y segmentos que directamente estn conectados o brindan soporte al procesamiento, almacenaje o transmisin de estos datos. La segmentacin adecuada de la red, que asla los sistemas que almacenan, procesan o transmiten datos del tarjetahabiente de los que no realizan estas funciones, puede reducir el alcance del ambiente de datos de los tarjetahabientes y, por ende, el alcance de la evaluacin para cumplir con las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI). Parte de la red que procesa los datos de los tarjetahabientes o los datos confidenciales de autenticacin.

Ambiente de datos de tarjetahabientes (Cardholder data environment)

Ambiente de pagos de tarjetahabientes (Payment cardholder environment) Amenaza (Threat)

Condicin que podra causar que los recursos de informacin o procesamiento intencional o accidentalmente se pierdan, sean modificados, queden expuestos o inaccesibles, o de otra manera queden afectados en forma perjudicial para la organizacin. Proceso que sistemticamente identifica recursos valiosos y amenazas al sistema, cuantifica la exposicin a prdidas (es decir, el potencial de prdidas) basndose en estimados de frecuencia y costos de incidentes, y (opcionalmente) recomienda cmo se deben asignar los recursos a las medidas para contrarrestar los riesgos, a fin de minimizar la exposicin total. Evaluacin de riesgo. American National Standards Institute. Organizacin privada sin fines de lucro que administra y coordina la estandarizacin voluntaria y el sistema comn de evaluacin de cumplimiento en Estados Unidos.

Anlisis de riesgo (Risk analysis)

ANSI

Glossary, Abbreviations and Acronyms

Trmino
Aplicacin (Application) Autenticacin (Authentication) Autenticacin de dos factores (Two-factor authentication)

Definicin
Incluye todos los programas o grupos de programas de software diseados para usuarios finales, incluyendo aplicaciones internas y externas (de Web). Proceso de verificar la identidad de una persona o un proceso.

Autenticacin que requiere al usuario presentar dos credenciales para obtener acceso a un sistema. Las credenciales consisten en algo que el usuario tiene en su posesin (por ejemplo, una tarjeta inteligente o token de hardware) y algo que conoce (por ejemplo, una contrasea). Para obtener acceso al sistema el usuario tiene que presentar ambos factores. La concesin de derechos de acceso u otros derechos a un usuario, programa o proceso. Formato estructurado para organizar y mantener la informacin y acceder fcilmente a ella. Ejemplos de bases de datos simples son las tablas y hojas de clculo Registro cronolgico de las actividades del sistema. Proporciona suficientes pistas para permitir la reconstruccin, revisin y examen de la secuencia de ambientes y actividades que rodean o han conducido a la operacin, el procedimiento o evento en una transaccin desde su inicio hasta el resultado final. Algunas veces se le llama especficamente pista de auditora de seguridad o security audit trail. Center for Internet Security. Empresa sin fines de lucro cuya misin es ayudar a las organizaciones a reducir el riesgo de interrupciones en su negocio y comercio electrnico a consecuencia de controles y tcnicas de seguridad inadecuados. En la criptografa una clave es un valor algortmico aplicado a un texto sin encriptar para producir un texto encriptado. La longitud de la clave generalmente determina el grado de dificultad para descifrar el texto en un determinado mensaje. Nmero de tres o cuatro dgitos codificado en la banda magntica que especifica los requisitos y limitaciones de aceptacin de una transaccin en la cual se lee la banda magntica de la tarjeta. Incluyen, sin limitacin, cortafuegos, switches, ruteadores, puntos de acceso inalmbrico, aparatos y dispositivos de red y otros dispositivos de seguridad. Cualquier componente de red, servidor o aplicacin incluida o conectada al ambiente de datos de tarjetahabientes. Intrusin en un sistema de computadores en la cual se sospecha una divulgacin, modificacin o destruccin no autorizada de datos de los tarjetahabientes.

Autorizacin (Authorization) Base de Datos (Database) Bitcora o registro de auditora (Audit log)

CIS

Clave (Key)

Cdigo de Servicio (Service code) Componentes de red (Network components) Componentes de sistema (System components) Compromiso de seguridad (Compromise)

Glossary, Abbreviations and Acronyms

Trmino
Conocimiento dividido (Split knowledge) Consola (Console) Consumidor (Consumer) Contabilidad (Accounting)

Definicin
Situacin en la cual dos o ms entidades tienen por separado componentes de clave que individualmente no pueden transmitir un conocimiento de la clave criptogrfica resultante. Pantalla y teclado que permiten el acceso y control del servidor o computador mainframe en un ambiente de red. Persona que compra los bienes o servicios, o ambos.

Rastreo de recursos de red de los usuarios.

Contrasea (Password) Contrasea automtica (Default password)

Una cadena de caracteres que sirve como autenticador del usuario.

Contrasea de administracin de sistema o de las cuentas de servicio que programa el fabricante del sistema antes de enviar el mismo desde su fbrica; normalmente se asocia con una cuenta que existe como parmetro automtico. Las cuentas y contraseas automticas son bien conocidas por el pblico. Mecanismos que limitan la disponibilidad de informacin o recursos de procesamiento de informacin solamente a las personas o aplicaciones autorizadas. Proceso que utiliza dos o ms entidades separadas (normalmente personas), quienes operan en forma concertada para proteger funciones o informacin de carcter confidencial. Ambas entidades son igualmente responsables por la proteccin fsica de los materiales implicados en transacciones vulnerables. No se permite que ninguna persona, por s sola, tenga acceso o use los materiales (por ejemplo, la clave criptogrfica). En el caso de la generacin manual, transmisin, carga almacenaje y recuperacin de claves, el control dual requiere que el conocimiento de la clave se divida entre las entidades. Vase tambin conocimiento dividido. Se pueden considerar controles compensatorios cuando una entidad no puede cumplir con un requisito explcitamente de la manera establecida debido a restricciones tcnicas o comerciales legtimas y documentadas pero ha mitigado suficientemente el riesgo asociado con el requisito por medio de la implementacin de otros controles. Los controles compensatorios deben 1) cumplir la intencin y tener el rigor del requisito original establecido en las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI); 2) repeler cualquier intento de comprometer la seguridad con fuerza similar; 3) ir ms all de otros requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) (no simplemente cumplir con otros requisitos de dichas Normas); y 4) ser congruentes con el riesgo adicional impuesto por no adherirse al requisito de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI).

Control de acceso (Access control) Control Dual (Dual Control)

Controles compensatorios (Compensating controls)

Glossary, Abbreviations and Acronyms

Trmino
Cookies (Cookies) Cortafuego (Firewall)

Definicin
Cadena de datos intercambiados entre un servidor y un navegador de Web para mantener una sesin. Las cookies pueden contener informacin sobre preferencias y datos personales. Hardware, software, o ambos, que se utilizan para proteger los recursos de una red de los intrusos procedentes de otras redes. Tpicamente una empresa con una red interna que permite a los empleados tener acceso a Internet debe tener un cortafuego para evitar que entidades externas obtengan acceso a los recursos y datos internos privados. Proceso para identificar las cuentas de usuarios existentes basndose en el concepto de ensayo y error. [Nota: Proporcionar informacin excesiva en los mensajes de error puede dar lugar a que se divulgue suficiente informacin para facilitar que un atacante penetre y coseche o comprometa la seguridad del sistema.] Dentro de las matemticas y ciencias de la computacin, la disciplina que se asocia con la seguridad de la informacin y temas relacionados, particularmente la encriptacin y la autenticacin y aplicaciones como el control de accesos. En el campo de la seguridad de computadores y redes, una herramienta de control de acceso y proteccin de la informacin confidencial. Trmino que en general designa la criptografa extremadamente resistente al anlisis criptogrfico. Es decir, dado el mtodo criptogrfico (algoritmo o protocolo), la clave criptogrfica o datos protegidos no quedan expuestos. La alta seguridad radica en la clave criptogrfica utilizada. La longitud de la clave debe cumplir con las recomendaciones mnimas para claves de seguridad comparable. Una referencia para tener una idea de la seguridad mnima comparable es la Publicacin Especial No. 800-57 del NIST, de agosto del 2005 (http://csrc.nist.gov/publications/) u otras que cumplen con las siguientes normas mnimas de seguridad comparable en nmero de bits: 80 bits para sistemas basados en claves secretas (por ejemplo, TDES) Mdulos de 1024 bits para algoritmos de clave pblica basados en factorizacin (por ejemplo, RSA) 1024 bits para logaritmos discretos (por ejemplo, DiffieHellman) con un tamao mnimo de 160 bits de un subgrupo ms grande (por ejemplo, DSA) 160 bits para criptografa de curva elptica (por ejemplo, ECDSA)

Cosecha de cuentas (Account harvesting)

Criptografa (Cryptography)

Criptografa de alta seguridad (Strong cryptography)

Cuentas predefinidas por el fabricante (Default accounts)

Cuenta predefinida para conectarse (realizar el login) con un sistema, la cual permite el acceso inicial cuando se pone el sistema en servicio por primera vez.

Glossary, Abbreviations and Acronyms

Trmino
Datos confidenciales de autenticacin (Sensitive authentication data)

Definicin
Informacin relacionada con la seguridad (cdigos/valores de validacin de tarjeta, datos de la pista de la banda magntica, PINes y bloques de PIN) utilizados para autenticar a los tarjetahabientes y que aparecen en texto en claro o en un formato no protegido. La divulgacin, modificacin o destruccin de esta informacin podra comprometer la seguridad de un dispositivo criptogrfico, sistema de informacin o dar lugar a que se use la informacin de los tarjetahabientes en una transaccin fraudulenta. Datos codificados en la banda magntica utilizados para la autorizacin durante las transacciones cuando se presenta la tarjeta. Las entidades no deben retener los datos completos de la banda magntica despus de la autorizacin de la transaccin. Especficamente, despus de la autorizacin debern purgarse los valores de cdigos de servicio, datos discrecionales, Valor/Cdigo de Validacin de Tarjeta y valores propietarios reservados. Sin embargo, se pueden extraer y retener el nmero de cuenta, la fecha de vencimiento y el cdigo de servicio si es necesario para fines comerciales. Datos relacionados con el pago electrnico.

Datos de la Banda Magntica (Datos de la Pista) Magnetic Stripe Data (Track Data)

Datos de transaccin (Transaction data) Datos del tarjetahabiente (Cardholder data)

Contenido completo de la banda magntica o Nmero de Cuenta Primario (PAN) ms cualquiera de los siguientes: Nombre del tarjetahabiente Fecha de vencimiento Cdigo de servicio Data Encryption Standard (DES). Cifrado de bloque elegido como Estndar de Procesamiento de Informacin Federal (FIPS-Federal Information Processing Standard) oficial para Estados Unidos en 1976. Su sucesor es el Estndar de Encriptacin Avanzado (Advanced Encryption Standard, AES). Cdigo numrico que identifica en forma exclusiva a un computador particular en Internet. Demilitarized Zone. La zona desmilitarizada es una red que se agrega entre una red privada y una red pblica para proporcionar una capa de seguridad adicional. Domain Name System o Domain Name Server. Sistema que guarda informacin asociada con nombres de dominio en una base de datos distribuida en redes como Internet. Data Security Standard; significa Normas de Seguridad de Datos. Elliptic Curve Cryptography, un enfoque de la criptografa de clave pblica basado en curvas elpticas sobre campos finitos. Trfico que sale de una red a travs de una conexin de comunicacin hacia la red del cliente.

DES

Direccin IP (IP address) DMZ

DNS

DSS ECC Egreso (Egress)

Glossary, Abbreviations and Acronyms

Trmino
Encriptacin (Encryption)

Definicin
Proceso utilizado para convertir la informacin en un formato ininteligible, excepto para los que tienen una clave criptogrfica especfica. El uso de la encriptacin protege la informacin entre el proceso de encriptacin y el proceso de decriptacin (lo inverso de la encriptacin) contra la divulgacin no autorizada. Herramienta automatizada que verifica remotamente los sistemas de los comercios y proveedores de servicio para detectar vulnerabilidades. La prueba no causa ninguna interrupcin y consiste en un sondeo de los sistemas conectados a redes externas basado en direcciones IP hacia redes externas y reportes sobre los servicios disponibles hacia la red externa (es decir, servicios disponibles para acceso a Internet). Los escanes identifican vulnerabilidades en los sistemas operativos, servicios y dispositivos que los delincuentes podran utilizar para atacar la red privada de la compaa. Un escn utilizado para identificar las vulnerabilidades en los sistemas operativos, servicios y dispositivos que un delincuente podra aprovechar para atacar la red privada de una compaa. Los estndares aprobados son algoritmos estandarizados (como ISO y ANSI) y estndares bien conocidos y comercialmente disponibles (como Blowfish) que cumplen la intencin de la criptografa de alta seguridad. Ejemplos de estndares aprobados son AES (128 bits y superiores), TDES (dos o tres claves independientes), RSA (1024 bits) y ElGamal (1024 bits) Federal Information Processing Standard, el estndar o norma federal de procesamiento de informacin. File Transfer Protocol, un protocolo para transferir archivos. Persona primariamente responsable por la seguridad y los asuntos relacionados con la seguridad en una organizacin. General Packet Radio Service. Servicio mvil de datos disponible para los usuarios de telfonos mviles GSM. Reconocido por el uso eficiente de un ancho de banda limitado. Particularmente conveniente para enviar y recibir pequeas cantidades de datos como en el caso del correo electrnico y la navegacin de redes. Global System for Mobile Communications. Popular estndar para telfonos mviles. La ubicuidad del estndar GSM convierte el acceso de llamada itinerante o roaming a nivel internacional en algo muy comn entre operadores de telfonos, permitiendo a los subscriptores utilizar sus telfonos en muchos lugares del mundo. Principal hardware o computador en que reside el software de computacin. Hypertext Transfer Protocol. Protocolo abierto de Internet para transferir o transmitir informacin a travs de la World Wide Web. Identidad o identificacin.

Escn de seguridad de red (Network security scan)

Escn de vulneralidad (Vulnerability scan) Estndares Aprobados (Approved standards)

FIPS FTP Funcionario de Seguridad (Security officer) GPRS

GSM

Host HTTP ID

Glossary, Abbreviations and Acronyms

Trmino
IDS/IPS

Definicin
Intrusion Detection System/ Intrusion Prevention System, Sistema de Deteccin y Prevencin de Intrusiones, utilizado para identificar y alertar sobre intentos de intrusin en un sistema o una red. Compuesto de sensores que generan eventos de seguridad; una consola que monitorea los eventos y alertas y controla los sensores; y un motor central que graba los eventos registrados en una bitcora por los sensores de una base de datos. Utiliza un sistema de reglas para generar alertas como respuesta a los eventos de seguridad detectados. El sistema de prevencin de intrusiones va un paso ms all y bloquea el intento de intrusin. Internet Engineering Task Force, una gran comunidad internacional abierta de diseadores, operadores, vendedores e investigadores de redes que se preocupan por la evolucin de la arquitectura de Internet y su operacin adecuada. Abierta a cualquier persona interesada. Trfico que ingresa a la red a travs de una conexin de comunicaciones y de la red del cliente. Forma de atacar un sitio Web accionado por base de datos. El atacante ejecuta comandos SQL no autorizados aprovechando como ventaja los cdigos no seguros en el sistema conectado a Internet. Los ataques por inyeccin de SQL se utilizan para robar informacin de una base de datos que normalmente no estara disponible y/o para obtener acceso a los computadores host de una organizacin a travs del computador que hospeda la base de datos. Internet Protocol. Protocolo de capas de red que contiene informacin sobre direcciones y algunos datos de control y permite el ruteo de paquetes. IP es el protocolo primario de capas de red en la suite de protocolos de Internet. Tcnica utilizada por un intruso para obtener acceso no autorizado a los computadores. El intruso enva mensajes falsos a un computador con una direccin IP que indica que el mensaje proviene de un host confiable. Internet Protocol Security. Estndar para garantizar la seguridad de las comunicaciones IP encriptando y/o autenticando todos los paquetes IP. IPSEC proporciona seguridad a nivel de capa de red. International Organization for Standardization. Organizacin no gubernamental que consiste en una red de institutos de normas nacionales de ms de 150 pases y tiene un miembro por pas, as como una secretara central en Ginebra, Suiza, la cual coordina el sistema. Norma establecida para la comunicacin entre sistemas financieros. Layer 2 Tunneling Protocol. Protocolo utilizado para brindar soporte a las redes virtuales privadas (conocidas como VPN). Local Area Network. Red de computadores que cubre una pequea rea, frecuentemente un edificio o grupo de edificios.

IETF

Ingreso (Ingress) Inyeccin de SQL (SQL injection)

IP

IP Spoofing (Spoofing de IP)

IPSEC

ISO

ISO 8583 L2TP LAN

Glossary, Abbreviations and Acronyms

Trmino
LPAR

Definicin
Logical Partition. Seccin de un disco que no es una de las particiones primarias. Definido en un bloque de datos al cual apunta la particin extendida. Message Authentication Code, un cdigo de autenticacin de mensaje. Uso de un sistema que constantemente supervisa una red de computadores para detectar cualquier anomala, incluyendo sistemas lentos o que estn fallando, y notifica al usuario en caso de interrupciones en el servicio u otras alarmas. Multi Protocol Label Switching, un mecanismo de conmutacin. Network Address Translation, conocido como enmascaramiento de red o IP. Cambio de una direccin IP utilizada dentro de una red a una direccin IP diferente conocida dentro de otra red. National Institute of Standards and Technology, una agencia federal no regulatoria que forma parte de la Administracin de Tecnologa del Departamento de Comercio de Estados Unidos. Su misin es promover la innovacin y competitividad industrial de Estados Unidos por medio de avances en la ciencia de la medicin, estndares y tecnologas que realcen la seguridad econmica y mejoren la calidad de vida. Doing Business As o DBA indica el nombre bajo el cual opera una empresa. Los niveles de validacin de cumplimiento se basan en el volumen de transacciones registradas para el nombre bajo el cual opera la empresa o cadena de tiendas (no de una corporacin propietaria de varias cadenas). Protocolo para sincronizar los relojes de los sistemas de computacin a travs de redes de datos de latencia variable y conmutacin por paquete. Nmero de la tarjeta de pago (crdito o dbito) que identifica al emisor y la cuenta particular del tarjetahabiente. Tambin llamado Nmero de Cuenta Primario o Primary Account Number (PAN). Open Web Application Security Project (vase http://www.owasp.org). Packet Assembler/Disasembler. Dispositivo de comunicacin que formatea los datos salientes y extrae los datos de los paquetes entrantes. En la criptografa, el PAD es un algoritmo de encriptacin que se usa una sola vez y combina texto con una clave aleatoria o pad que tiene la misma longitud que el texto en claro. Adems, si la clave es verdaderamente aleatoria, no se usa de nuevo y se mantiene en secreto, el pad es impenetrable. Primary Account Number. El Nmero de Cuenta Primario es el nmero de la tarjeta de pago (crdito o dbito) que identifica al emisor y la cuenta del tarjetahabiente. Tambin se llama Nmero de Cuenta (Account Number),

MAC Monitoreo (Monitoring)

MPLS NAT

NIST

Nombre bajo el cual opera la empresa (DBADoing Business As)

NTP

Nmero de cuenta (Account number) OWASP PAD

PAN

Glossary, Abbreviations and Acronyms

Trmino
Parche (Patch)

Definicin
Una reparacin rpida de la programacin. Durante la prueba beta de un producto de software o perodo de prueba y despus de introducido formalmente el producto, surgen algunos problemas y se proporciona rpidamente un parche a los usuarios para remediarlo. Port Address Translation, una caracterstica del dispositivo de traduccin de direcciones (NAT) en una red, el cual traduce las conexiones de protocolo de control de transmisiones (TCP) o protocolo de datagrama de usuario (UDP) que se realizan a un host y puerto en una red externa a un host y a un puerto en una red interna. Payment Card Industry, industria de tarjetas de pago. Punto de Venta, tambin conocido como POS (Point of Sale).

PAT

PCI PDV (POS) Penetracin (Penetration) PIN Poltica (Policy) Poltica de seguridad (Security policy) Procedimiento (Procedure) Programa antivirus (Anti-virus program) Protocolo (Protocol)

El acto de subvertir los mecanismos de seguridad y para obtener acceso a un sistema de computacin. Significa Personal Identification Number, Nmero de Identificacin Personal, a veces conocido tambin como NIP. Reglamento que rige el uso aceptable de recursos de computacin y prcticas de seguridad para toda la organizacin y sirve de gua para el desarrollo de procedimientos operativos. Conjunto de leyes, reglas y prcticas que regulan la forma en que una organizacin administra, protege y distribuye informacin confidencial. Descripcin detallada de una poltica. El procedimiento dicta el cmo de una poltica y describe la forma en que se implementar la misma. Programa capaz de detectar, eliminar y proteger contra varios tipos de cdigos y softwares maliciosos, incluyendo virus, gusanos, troyanos, spyware y adware. Mtodo convenido de comunicacin que se utiliza dentro de las redes. Especificacin que describe las reglas y los procedimientos que deben seguir los productos de computacin para realizar actividades en una red.

Glossary, Abbreviations and Acronyms

10

Trmino
Proveedor de servicio (Service Provider)

Definicin
Entidad comercial que no es miembro de la asociacin de tarjetas de pago o un comercio y que directamente participa en el procesamiento, almacenamiento, transmisin y conmutacin de datos de transaccin o informacin de tarjetahabientes, o ambos. Incluye tambin a compaas que proporcionan servicios a comercios, proveedores de servicios o miembros que controlan o podran tener un impacto en la seguridad de los datos de los tarjetahabientes. Los ejemplos incluyen proveedores de servicios administrados que proporcionan cortafuegos e IDS administrados y otros servicios, as como proveedores de servicio de hospedaje en redes y otras entidades. Las entidades como las compaas de telecomunicaciones que solamente proporcionan conexiones de comunicacin sin acceso a la aplicacin conectada estn excluidas. Ofrece diversos servicios a los comercios y otros proveedores de servicio. Los servicios van de simples a complejos; desde espacio compartido en un servidor a una gama completa de opciones de cesta de compras; desde aplicaciones de pago a conexiones con pasarelas y procesadores de pagos; y hospedaje dedicado para un solo cliente por servidor. Sondeo de seguridad de un sistema o red de computadores para detectar las vulnerabilidades que un atacante podra explotar. Ms all de un sondeo para detectar vulnerabilidades, este tipo de prueba podra implicar intentos reales de penetrar la red. El objetivo de una prueba de penetracin es detectar e identificar vulnerabilidades para sugerir mejoras en la seguridad. PIN Verification Value, Valor de Verificacin de PIN que se codifica en la banda magntica de una tarjeta de pago. Remote Authentication and Dial-In User Service, un sistema de autenticacin y contabilidad que verifica si datos como el nombre de usuario y la contrasea que se transmite al servidor RADIUS son correctos y entonces autoriza el acceso al sistema. Proceso de cambiar las claves criptogrficas para limitar la cantidad de datos que se encriptarn con la misma clave. Dos o ms computadores conectados para compartir recursos.

Proveedor de Servicio de Hospedaje en Redes (Hosting provider)

Prueba de penetracin (Penetration test)

PVV RADIUS

Reasignacin de clave (Re-keying) Red (Network) Red pblica (Public network)

Red establecida y operada por un proveedor de telecomunicaciones o compaa privada reconocida para el fin especfico de proporcionar servicios de transmisin de datos al pblico. Los datos deben encriptarse durante la transmisin a travs de redes pblicas, ya que los delincuentes fcil y comnmente interceptan, modifican y/o desvan datos mientras se encuentran en trnsito. Ejemplos de redes pblicas que caen dentro del alcance de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago son Internet, GPRS y GSM. Sistema difcil de modificar o subvertir, aun para un asaltante con acceso fsico al sistema.

Resistente a alteraciones (Tamper-resistant)

Glossary, Abbreviations and Acronyms

11

Trmino
Respaldo (Backup) RFC RSA

Definicin
Duplicado de los datos que se hace para fines de archivo o para proteger contra dao o prdida. Request for Comments, solicitud de comentarios. Algoritmo de encriptacin de clave pblica descrito en 1977 por Ron Rivest, Adi Shamir y Len Adleman en el Massachusetts Institute of Technology (MIT); RSA son las iniciales de sus apellidos. Hardware o software que conecta dos o ms redes. Funciona como ordenador e intrprete verificando las direcciones y pasando bits de informacin al destino correcto. A los ruteadores de software a veces se les llama pasarelas. Proceso de borrar los datos confidenciales de un archivo, dispositivo o sistema o modificar los datos para que resulten inservibles si un atacante obtiene acceso a ellos. SysAdmin, Audit, Network, Security Institute (vase www.sans.org). La proteccin de la informacin para garantizar su carcter confidencial, integridad y disponibilidad.

Ruteador (Router)

Sanitacin (Sanitization) SANS Seguridad de la Informacin (Information Security) Separacin de responsabilidades (Separation of duties) Servidor (Server)

Prctica de dividir los pasos de una funcin entre diversas personas, de modo que una sola persona no pueda subvertir el proceso.

Computador que proporciona un servicio a otros computadores como, por ejemplo, procesar comunicaciones, guardar archivos o acceder a una funcin de impresin. Los servidores incluyen, entre otros, los de Web, base de datos, autenticacin, DNS, correo, proxy y NTP. Secure Hash Algorithm, un grupo o conjunto de funciones criptogrficas hash relacionadas. La ms comnmente utilizada es SHA-1. El uso de un valor salt nico en la funcin hash reduce las probabilidades de conflicto entre valores hash. Conjunto discreto de recursos de datos estructurados, organizados para la recoleccin, el procesamiento, mantenimiento, uso, distribucin con fines de compartir, diseminacin o disposicin de la informacin. Vase IDS.

SHA

Sistema de Informacin (Information System) Sistemas de deteccin de intrusiones (Intrusion detection systems) SNMP

Simple Network Management Protocol. Brinda soporte al monitoreo de los dispositivos conectados a la red para detectar cualquier condicin que requiera atencin administrativa. Software daino, diseado para infiltrar o daar un sistema de computacin sin conocimiento ni autorizacin de su dueo.

Software malicioso (Malware)

Glossary, Abbreviations and Acronyms

12

Trmino
SQL

Definicin
Structured (English) Query Language. Lenguaje de computacin utilizado para crear, modificar y recuperar datos de los sistemas de administracin de bases de datos relacionadas. Secure Shell. Suite de protocolos que brinda encriptacin para servicios de red como la conexin remota o la transferencia remota de archivos. Service Set Identifier. Nombre asignado a la red WiFi inalmbrica o IEEE 802.11. Secure Sockets Layer. Estndar establecido en la industria que encripta el canal entre un navegador y un servidor de Web para asegurar la privacidad y confiabilidad de los datos transmitidos a travs de este canal. Terminal Access Controller Access Control System, un protocolo de autenticacin remota. Cliente a quien se emite una tarjeta o persona autorizada para utilizar la tarjeta.

SSH

SSID SSL

TACACS Tarjetahabiente (Cardholder)

TCP TDES TELNET

Transmission Control Protocol, un protocolo de control de transmisiones. Triple Data Encription Standard tambin conocido como 3DES, la encriptacin de bloque formado del DES utilizndolo tres veces. Telephone Network Protocol. Tpicamente utilizado para proporcionar lneas de comandos orientadas al usuario para sesiones de conexin entre hosts en Internet. El programa fue originalmente diseado para emular un solo terminal conectado al otro computador. Transport Layer Security. Norma diseada con el objetivo de dar un carcter secreto a los datos y proteger la integridad de los mismos entre dos aplicaciones que se comunican. TSL es el sucesor de SSL. Dispositivo que realiza la autenticacin dinmica.

TLS

Token (Token) Truncar (Truncation) UDP UserID Usuarios no consumidores (Non consumer users)

Prctica que consiste en eliminar segmentos de datos. Comnmente, cuando se trunca el nmero de cuenta se eliminan los primeros 12 dgitos, dejando solamente los ltimos 4 dgitos. User Datagram Protocol. Una cadena de caracteres utilizada para identificar en forma exclusiva a cada usuario de un sistema. Cualquier persona, excluidos los clientes consumidores, con acceso a los sistemas, incluyendo, sin limitacin, empleados, administradores y terceros.

Glossary, Abbreviations and Acronyms

13

Trmino
Valor o Cdigo de Validacin de Tarjeta (Card Validation Value/Code)

Definicin
Elemento de datos de la banda magntica de la tarjeta que utiliza un proceso criptogrfico seguro para proteger la integridad de los datos codificados en la banda y revela cualquier alteracin o falsificacin. Conocido como CAV, CVC, CVV, o CSC segn la marca de la tarjeta de pago. La lista siguiente explica el trmino utilizado por cada marca de tarjetas de pago: CAV Card Authentication Value (tarjetas de pago JCB) CVC Card Validation Code (tarjetas de pago MasterCard) CVV Card Verification Value (tarjetas de pago Visa y Discover) CSC Card Security Code (tarjetas de pago American Express) Nota: El segundo tipo de valor o cdigo de validacin de tarjeta es un valor de tres dgitos a la derecha del nmero de la tarjeta de crdito en la zona del panel de firma en el reverso de la tarjeta. En el caso de las tarjetas American Express, el cdigo es un nmero de cuatro dgitos no grabado al relieve sino impreso encima del nmero de la tarjeta en el anverso de todas las tarjetas de pago. El cdigo se asocia en forma exclusiva con cada plstico individual y vincula el nmero de cuenta de la tarjeta al plstico. A continuacin se aclara en trminos generales: CID Card Identification Number (tarjetas de pago American Express y Discover) CAV2 Card Authentication Value 2 (tarjetas de pago JCB) CVC2 Card Validation Code 2 (tarjetas de pago MasterCard) CVV2 Card Verification Value 2 (tarjetas de pago Visa)

Virus (Virus) VPN Vulnerabilidad (Vulnerability) WEP

Programa o cadena de cdigos que puede replicarse y causar la modificacin o destruccin de un software o de los datos. Virtual Private Network. Red privada establecida sobre una red pblica. Debilidad en los procedimientos de seguridad de un sistema, el diseo del mismo, su implementacin o controles internos que podran explotarse para violar una poltica de seguridad de sistema. Wired Equivalent Privacy. Protocolo para prevenir el espionaje accidental cuya intencin es proporcionar un carcter confidencial comparable al de una red almbrica tradicional. No proporciona una seguridad adecuada contra el espionaje intencional (por ejemplo, anlisis criptogrfico). WiFi Protected Access (WPA y WPA2). Protocolo de seguridad para redes inalmbricas (WiFi). Creado como respuesta a varias debilidades graves en el protocolo WEP. Cross-Site Scripting. Tipo de vulnerabilidad de seguridad que tpicamente se encuentra en aplicaciones de Web y que un atacante podra utilizar para obtener privilegios de acceso a contenidos confidenciales en pginas Web, cookies de sesiones y otros objetos.

WPA

XSS

Glossary, Abbreviations and Acronyms

14