Normas de Seguridad de Datos

de la Industria de Tarjetas de
Pago (PCI)

Glosario, Abreviaturas y
Acrnimos
 Trmino Definicin

AAA Autenticacin, autorizacin y protocolo de contabilidad.

Activo Informacin o recursos de procesamiento de informacin de una
organizacin.
(Asset)
Administrador de Bases Persona responsable de gestionar y administrar las bases de datos.
de Datos (DBA)
(Data Base Administrator)
Adquirente Miembro de la asociacin de tarjetas bancarias que inicia y mantiene
relaciones con comercios que aceptan las tarjetas de pago.
(Acquirer)
AES Advanced Encryption Standard. Mtodo de cifrado por bloque
adoptado por el NIST en noviembre del 2001. El algoritmo est
especificado en la Publicacin 197 de FIPS (FIPS PUB 197).
Ambiente de datos de rea de una red de computacin que posee los datos de los
tarjetahabientes tarjetahabientes o los datos confidenciales de autenticacin y aquellos
sistemas y segmentos que directamente estn conectados o brindan
(Cardholder data
soporte al procesamiento, almacenaje o transmisin de estos datos. La
environment)
segmentacin adecuada de la red, que asla los sistemas que
almacenan, procesan o transmiten datos del tarjetahabiente de los que
no realizan estas funciones, puede reducir el alcance del ambiente de
datos de los tarjetahabientes y, por ende, el alcance de la evaluacin
para cumplir con las Normas de Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI).
Ambiente de pagos de Parte de la red que procesa los datos de los tarjetahabientes o los
tarjetahabientes datos confidenciales de autenticacin.
(Payment cardholder
environment)
Amenaza Condicin que podra causar que los recursos de informacin o
procesamiento intencional o accidentalmente se pierdan, sean
(Threat)
modificados, queden expuestos o inaccesibles, o de otra manera
queden afectados en forma perjudicial para la organizacin.
Anlisis de riesgo Proceso que sistemticamente identifica recursos valiosos y amenazas
al sistema, cuantifica la exposicin a prdidas (es decir, el potencial de
(Risk analysis)
prdidas) basndose en estimados de frecuencia y costos de
incidentes, y (opcionalmente) recomienda cmo se deben asignar los
recursos a las medidas para contrarrestar los riesgos, a fin de
minimizar la exposicin total. Evaluacin de riesgo.
ANSI American National Standards Institute. Organizacin privada sin fines
de lucro que administra y coordina la estandarizacin voluntaria y el
sistema comn de evaluacin de cumplimiento en Estados Unidos.

Glossary, Abbreviations and Acronyms 2

 Trmino Definicin

Aplicacin Incluye todos los programas o grupos de programas de software

diseados para usuarios finales, incluyendo aplicaciones internas y
(Application)
externas (de Web).
Autenticacin Proceso de verificar la identidad de una persona o un proceso.
(Authentication)
Autenticacin de dos Autenticacin que requiere al usuario presentar dos credenciales para
factores obtener acceso a un sistema. Las credenciales consisten en algo que
el usuario tiene en su posesin (por ejemplo, una tarjeta inteligente o
(Two-factor
token de hardware) y algo que conoce (por ejemplo, una contrasea).
authentication)
Para obtener acceso al sistema el usuario tiene que presentar ambos
factores.
Autorizacin La concesin de derechos de acceso u otros derechos a un usuario,
programa o proceso.
(Authorization)
Base de Datos Formato estructurado para organizar y mantener la informacin y
acceder fcilmente a ella. Ejemplos de bases de datos simples son las
(Database)
tablas y hojas de clculo
Bitcora o registro de Registro cronolgico de las actividades del sistema. Proporciona
auditora suficientes pistas para permitir la reconstruccin, revisin y examen de
la secuencia de ambientes y actividades que rodean o han conducido a
(Audit log)
la operacin, el procedimiento o evento en una transaccin desde su
inicio hasta el resultado final. Algunas veces se le llama
especficamente pista de auditora de seguridad o security audit trail.
CIS Center for Internet Security. Empresa sin fines de lucro cuya misin es
ayudar a las organizaciones a reducir el riesgo de interrupciones en su
negocio y comercio electrnico a consecuencia de controles y tcnicas
de seguridad inadecuados.
Clave En la criptografa una clave es un valor algortmico aplicado a un texto
sin encriptar para producir un texto encriptado. La longitud de la clave
(Key)
generalmente determina el grado de dificultad para descifrar el texto en
un determinado mensaje.
Cdigo de Servicio Nmero de tres o cuatro dgitos codificado en la banda magntica que
especifica los requisitos y limitaciones de aceptacin de una
(Service code)
transaccin en la cual se lee la banda magntica de la tarjeta.
Componentes de red Incluyen, sin limitacin, cortafuegos, switches, ruteadores, puntos de
acceso inalmbrico, aparatos y dispositivos de red y otros dispositivos
(Network components)
de seguridad.
Componentes de sistema Cualquier componente de red, servidor o aplicacin incluida o
conectada al ambiente de datos de tarjetahabientes.
(System components)
Compromiso de seguridad Intrusin en un sistema de computadores en la cual se sospecha una
divulgacin, modificacin o destruccin no autorizada de datos de los
(Compromise)
tarjetahabientes.

Glossary, Abbreviations and Acronyms 3

 Trmino Definicin

Conocimiento dividido Situacin en la cual dos o ms entidades tienen por separado

componentes de clave que individualmente no pueden transmitir un
(Split knowledge)
conocimiento de la clave criptogrfica resultante.
Consola Pantalla y teclado que permiten el acceso y control del servidor o
computador mainframe en un ambiente de red.
(Console)
Consumidor Persona que compra los bienes o servicios, o ambos.
(Consumer)
Contabilidad Rastreo de recursos de red de los usuarios.
(Accounting)

Contrasea Una cadena de caracteres que sirve como autenticador del usuario.
(Password)
Contrasea automtica Contrasea de administracin de sistema o de las cuentas de servicio
que programa el fabricante del sistema antes de enviar el mismo desde
(Default password)
su fbrica; normalmente se asocia con una cuenta que existe como
parmetro automtico. Las cuentas y contraseas automticas son
bien conocidas por el pblico.
Control de acceso Mecanismos que limitan la disponibilidad de informacin o recursos de
procesamiento de informacin solamente a las personas o aplicaciones
(Access control)
autorizadas.
Control Dual Proceso que utiliza dos o ms entidades separadas (normalmente
personas), quienes operan en forma concertada para proteger
(Dual Control)
funciones o informacin de carcter confidencial. Ambas entidades son
igualmente responsables por la proteccin fsica de los materiales
implicados en transacciones vulnerables. No se permite que ninguna
persona, por s sola, tenga acceso o use los materiales (por ejemplo, la
clave criptogrfica). En el caso de la generacin manual, transmisin,
carga almacenaje y recuperacin de claves, el control dual requiere
que el conocimiento de la clave se divida entre las entidades. Vase
tambin conocimiento dividido.
Controles compensatorios Se pueden considerar controles compensatorios cuando una entidad
no puede cumplir con un requisito explcitamente de la manera
(Compensating controls)
establecida debido a restricciones tcnicas o comerciales legtimas y
documentadas pero ha mitigado suficientemente el riesgo asociado
con el requisito por medio de la implementacin de otros controles. Los
controles compensatorios deben 1) cumplir la intencin y tener el rigor
del requisito original establecido en las Normas de Seguridad de Datos
de la Industria de Tarjetas de Pago (PCI); 2) repeler cualquier intento
de comprometer la seguridad con fuerza similar; 3) ir ms all de otros
requisitos de las Normas de Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI) (no simplemente cumplir con otros requisitos de
dichas Normas); y 4) ser congruentes con el riesgo adicional impuesto
por no adherirse al requisito de las Normas de Seguridad de Datos de
la Industria de Tarjetas de Pago (PCI).

Glossary, Abbreviations and Acronyms 4

 Trmino Definicin

Cookies Cadena de datos intercambiados entre un servidor y un navegador de

Web para mantener una sesin. Las cookies pueden contener
(Cookies)
informacin sobre preferencias y datos personales.
Cortafuego Hardware, software, o ambos, que se utilizan para proteger los
recursos de una red de los intrusos procedentes de otras redes.
(Firewall)
Tpicamente una empresa con una red interna que permite a los
empleados tener acceso a Internet debe tener un cortafuego para
evitar que entidades externas obtengan acceso a los recursos y datos
internos privados.
Cosecha de cuentas Proceso para identificar las cuentas de usuarios existentes basndose
en el concepto de ensayo y error. [Nota: Proporcionar informacin
(Account harvesting)
excesiva en los mensajes de error puede dar lugar a que se divulgue
suficiente informacin para facilitar que un atacante penetre y
coseche o comprometa la seguridad del sistema.]
Criptografa Dentro de las matemticas y ciencias de la computacin, la disciplina
que se asocia con la seguridad de la informacin y temas relacionados,
(Cryptography)
particularmente la encriptacin y la autenticacin y aplicaciones como
el control de accesos. En el campo de la seguridad de computadores y
redes, una herramienta de control de acceso y proteccin de la
informacin confidencial.
Criptografa de alta Trmino que en general designa la criptografa extremadamente
seguridad resistente al anlisis criptogrfico. Es decir, dado el mtodo
criptogrfico (algoritmo o protocolo), la clave criptogrfica o datos
(Strong cryptography)
protegidos no quedan expuestos. La alta seguridad radica en la clave
criptogrfica utilizada. La longitud de la clave debe cumplir con las
recomendaciones mnimas para claves de seguridad comparable. Una
referencia para tener una idea de la seguridad mnima comparable es
la Publicacin Especial No. 800-57 del NIST, de agosto del 2005
(http://csrc.nist.gov/publications/) u otras que cumplen con las
siguientes normas mnimas de seguridad comparable en nmero de
bits:
80 bits para sistemas basados en claves secretas (por
ejemplo, TDES)
Mdulos de 1024 bits para algoritmos de clave pblica
basados en factorizacin (por ejemplo, RSA)
1024 bits para logaritmos discretos (por ejemplo, Diffie-
Hellman) con un tamao mnimo de 160 bits de un subgrupo
ms grande (por ejemplo, DSA)

160 bits para criptografa de curva elptica (por ejemplo,

ECDSA)
Cuentas predefinidas por Cuenta predefinida para conectarse (realizar el login) con un sistema,
el fabricante la cual permite el acceso inicial cuando se pone el sistema en servicio
por primera vez.
(Default accounts)

Glossary, Abbreviations and Acronyms 5

 Trmino Definicin

Datos confidenciales de Informacin relacionada con la seguridad (cdigos/valores de

autenticacin validacin de tarjeta, datos de la pista de la banda magntica, PINes y
bloques de PIN) utilizados para autenticar a los tarjetahabientes y que
(Sensitive authentication
aparecen en texto en claro o en un formato no protegido. La
data)
divulgacin, modificacin o destruccin de esta informacin podra
comprometer la seguridad de un dispositivo criptogrfico, sistema de
informacin o dar lugar a que se use la informacin de los
tarjetahabientes en una transaccin fraudulenta.
Datos de la Banda Datos codificados en la banda magntica utilizados para la autorizacin
Magntica (Datos de la durante las transacciones cuando se presenta la tarjeta. Las entidades
Pista) no deben retener los datos completos de la banda magntica despus
de la autorizacin de la transaccin. Especficamente, despus de la
Magnetic Stripe Data
autorizacin debern purgarse los valores de cdigos de servicio,
(Track Data)
datos discrecionales, Valor/Cdigo de Validacin de Tarjeta y valores
propietarios reservados. Sin embargo, se pueden extraer y retener el
nmero de cuenta, la fecha de vencimiento y el cdigo de servicio si es
necesario para fines comerciales.
Datos de transaccin Datos relacionados con el pago electrnico.
(Transaction data)
Datos del tarjetahabiente Contenido completo de la banda magntica o Nmero de Cuenta
Primario (PAN) ms cualquiera de los siguientes:
(Cardholder data)
Nombre del tarjetahabiente
Fecha de vencimiento
Cdigo de servicio

DES Data Encryption Standard (DES). Cifrado de bloque elegido como

Estndar de Procesamiento de Informacin Federal (FIPS-Federal
Information Processing Standard) oficial para Estados Unidos en 1976.
Su sucesor es el Estndar de Encriptacin Avanzado (Advanced
Encryption Standard, AES).
Direccin IP Cdigo numrico que identifica en forma exclusiva a un computador
particular en Internet.
(IP address)
DMZ Demilitarized Zone. La zona desmilitarizada es una red que se agrega
entre una red privada y una red pblica para proporcionar una capa de
seguridad adicional.
DNS Domain Name System o Domain Name Server. Sistema que guarda
informacin asociada con nombres de dominio en una base de datos
distribuida en redes como Internet.
DSS Data Security Standard; significa Normas de Seguridad de Datos.
ECC Elliptic Curve Cryptography, un enfoque de la criptografa de clave
pblica basado en curvas elpticas sobre campos finitos.
Egreso Trfico que sale de una red a travs de una conexin de comunicacin
hacia la red del cliente.
(Egress)

Glossary, Abbreviations and Acronyms 6

 Trmino Definicin

Encriptacin Proceso utilizado para convertir la informacin en un formato

ininteligible, excepto para los que tienen una clave criptogrfica
(Encryption)
especfica. El uso de la encriptacin protege la informacin entre el
proceso de encriptacin y el proceso de decriptacin (lo inverso de la
encriptacin) contra la divulgacin no autorizada.
Escn de seguridad de red Herramienta automatizada que verifica remotamente los sistemas de
los comercios y proveedores de servicio para detectar vulnerabilidades.
(Network security scan)
La prueba no causa ninguna interrupcin y consiste en un sondeo de
los sistemas conectados a redes externas basado en direcciones IP
hacia redes externas y reportes sobre los servicios disponibles hacia la
red externa (es decir, servicios disponibles para acceso a Internet). Los
escanes identifican vulnerabilidades en los sistemas operativos,
servicios y dispositivos que los delincuentes podran utilizar para atacar
la red privada de la compaa.
Escn de vulneralidad Un escn utilizado para identificar las vulnerabilidades en los sistemas
operativos, servicios y dispositivos que un delincuente podra
(Vulnerability scan)
aprovechar para atacar la red privada de una compaa.
Estndares Aprobados Los estndares aprobados son algoritmos estandarizados (como ISO y
ANSI) y estndares bien conocidos y comercialmente disponibles
(Approved standards)
(como Blowfish) que cumplen la intencin de la criptografa de alta
seguridad. Ejemplos de estndares aprobados son AES (128 bits y
superiores), TDES (dos o tres claves independientes), RSA (1024 bits)
y ElGamal (1024 bits)
FIPS Federal Information Processing Standard, el estndar o norma federal
de procesamiento de informacin.
FTP File Transfer Protocol, un protocolo para transferir archivos.
Funcionario de Seguridad Persona primariamente responsable por la seguridad y los asuntos
relacionados con la seguridad en una organizacin.
(Security officer)
GPRS General Packet Radio Service. Servicio mvil de datos disponible para
los usuarios de telfonos mviles GSM. Reconocido por el uso
eficiente de un ancho de banda limitado. Particularmente conveniente
para enviar y recibir pequeas cantidades de datos como en el caso
del correo electrnico y la navegacin de redes.
GSM Global System for Mobile Communications. Popular estndar para
telfonos mviles. La ubicuidad del estndar GSM convierte el acceso
de llamada itinerante o roaming a nivel internacional en algo muy
comn entre operadores de telfonos, permitiendo a los subscriptores
utilizar sus telfonos en muchos lugares del mundo.
Host Principal hardware o computador en que reside el software de
computacin.
HTTP Hypertext Transfer Protocol. Protocolo abierto de Internet para
transferir o transmitir informacin a travs de la World Wide Web.
ID Identidad o identificacin.

Glossary, Abbreviations and Acronyms 7

 Trmino Definicin

IDS/IPS Intrusion Detection System/ Intrusion Prevention System, Sistema de

Deteccin y Prevencin de Intrusiones, utilizado para identificar y
alertar sobre intentos de intrusin en un sistema o una red. Compuesto
de sensores que generan eventos de seguridad; una consola que
monitorea los eventos y alertas y controla los sensores; y un motor
central que graba los eventos registrados en una bitcora por los
sensores de una base de datos. Utiliza un sistema de reglas para
generar alertas como respuesta a los eventos de seguridad
detectados. El sistema de prevencin de intrusiones va un paso ms
all y bloquea el intento de intrusin.
IETF Internet Engineering Task Force, una gran comunidad internacional
abierta de diseadores, operadores, vendedores e investigadores de
redes que se preocupan por la evolucin de la arquitectura de Internet
y su operacin adecuada. Abierta a cualquier persona interesada.
Ingreso Trfico que ingresa a la red a travs de una conexin de
comunicaciones y de la red del cliente.
(Ingress)
Inyeccin de SQL Forma de atacar un sitio Web accionado por base de datos. El
atacante ejecuta comandos SQL no autorizados aprovechando como
(SQL injection)
ventaja los cdigos no seguros en el sistema conectado a Internet. Los
ataques por inyeccin de SQL se utilizan para robar informacin de
una base de datos que normalmente no estara disponible y/o para
obtener acceso a los computadores host de una organizacin a travs
del computador que hospeda la base de datos.
IP Internet Protocol. Protocolo de capas de red que contiene informacin
sobre direcciones y algunos datos de control y permite el ruteo de
paquetes. IP es el protocolo primario de capas de red en la suite de
protocolos de Internet.
IP Spoofing Tcnica utilizada por un intruso para obtener acceso no autorizado a
los computadores. El intruso enva mensajes falsos a un computador
(Spoofing de IP)
con una direccin IP que indica que el mensaje proviene de un host
confiable.
IPSEC Internet Protocol Security. Estndar para garantizar la seguridad de las
comunicaciones IP encriptando y/o autenticando todos los paquetes IP.
IPSEC proporciona seguridad a nivel de capa de red.
ISO International Organization for Standardization. Organizacin no
gubernamental que consiste en una red de institutos de normas
nacionales de ms de 150 pases y tiene un miembro por pas, as
como una secretara central en Ginebra, Suiza, la cual coordina el
sistema.
ISO 8583 Norma establecida para la comunicacin entre sistemas financieros.
L2TP Layer 2 Tunneling Protocol. Protocolo utilizado para brindar soporte a
las redes virtuales privadas (conocidas como VPN).
LAN Local Area Network. Red de computadores que cubre una pequea
rea, frecuentemente un edificio o grupo de edificios.

Glossary, Abbreviations and Acronyms 8

 Trmino Definicin

LPAR Logical Partition. Seccin de un disco que no es una de las particiones

primarias. Definido en un bloque de datos al cual apunta la particin
extendida.
MAC Message Authentication Code, un cdigo de autenticacin de mensaje.
Monitoreo Uso de un sistema que constantemente supervisa una red de
computadores para detectar cualquier anomala, incluyendo sistemas
(Monitoring)
lentos o que estn fallando, y notifica al usuario en caso de
interrupciones en el servicio u otras alarmas.
MPLS Multi Protocol Label Switching, un mecanismo de conmutacin.
NAT Network Address Translation, conocido como enmascaramiento de red
o IP. Cambio de una direccin IP utilizada dentro de una red a una
direccin IP diferente conocida dentro de otra red.
NIST National Institute of Standards and Technology, una agencia federal no
regulatoria que forma parte de la Administracin de Tecnologa del
Departamento de Comercio de Estados Unidos. Su misin es promover
la innovacin y competitividad industrial de Estados Unidos por medio
de avances en la ciencia de la medicin, estndares y tecnologas que
realcen la seguridad econmica y mejoren la calidad de vida.
Nombre bajo el cual opera Doing Business As o DBA indica el nombre bajo el cual opera una
la empresa empresa. Los niveles de validacin de cumplimiento se basan en el
volumen de transacciones registradas para el nombre bajo el cual
(DBADoing Business
opera la empresa o cadena de tiendas (no de una corporacin
As)
propietaria de varias cadenas).

NTP Protocolo para sincronizar los relojes de los sistemas de computacin a

travs de redes de datos de latencia variable y conmutacin por
paquete.
Nmero de cuenta Nmero de la tarjeta de pago (crdito o dbito) que identifica al emisor
y la cuenta particular del tarjetahabiente. Tambin llamado Nmero de
(Account number)
Cuenta Primario o Primary Account Number (PAN).
OWASP Open Web Application Security Project (vase http://www.owasp.org).
PAD Packet Assembler/Disasembler. Dispositivo de comunicacin que
formatea los datos salientes y extrae los datos de los paquetes
entrantes. En la criptografa, el PAD es un algoritmo de encriptacin
que se usa una sola vez y combina texto con una clave aleatoria o
pad que tiene la misma longitud que el texto en claro. Adems, si la
clave es verdaderamente aleatoria, no se usa de nuevo y se mantiene
en secreto, el pad es impenetrable.
PAN Primary Account Number. El Nmero de Cuenta Primario es el nmero
de la tarjeta de pago (crdito o dbito) que identifica al emisor y la
cuenta del tarjetahabiente. Tambin se llama Nmero de Cuenta
(Account Number),

Glossary, Abbreviations and Acronyms 9

 Trmino Definicin

Parche Una reparacin rpida de la programacin. Durante la prueba beta de

un producto de software o perodo de prueba y despus de introducido
(Patch)
formalmente el producto, surgen algunos problemas y se proporciona
rpidamente un parche a los usuarios para remediarlo.
PAT Port Address Translation, una caracterstica del dispositivo de
traduccin de direcciones (NAT) en una red, el cual traduce las
conexiones de protocolo de control de transmisiones (TCP) o protocolo
de datagrama de usuario (UDP) que se realizan a un host y puerto en
una red externa a un host y a un puerto en una red interna.
PCI Payment Card Industry, industria de tarjetas de pago.
PDV Punto de Venta, tambin conocido como POS (Point of Sale).
(POS)
Penetracin El acto de subvertir los mecanismos de seguridad y para obtener
acceso a un sistema de computacin.
(Penetration)
PIN Significa Personal Identification Number, Nmero de Identificacin
Personal, a veces conocido tambin como NIP.
Poltica Reglamento que rige el uso aceptable de recursos de computacin y
prcticas de seguridad para toda la organizacin y sirve de gua para el
(Policy)
desarrollo de procedimientos operativos.
Poltica de seguridad Conjunto de leyes, reglas y prcticas que regulan la forma en que una
organizacin administra, protege y distribuye informacin confidencial.
(Security policy)
Procedimiento Descripcin detallada de una poltica. El procedimiento dicta el cmo
de una poltica y describe la forma en que se implementar la misma.
(Procedure)
Programa antivirus Programa capaz de detectar, eliminar y proteger contra varios tipos de
cdigos y softwares maliciosos, incluyendo virus, gusanos, troyanos,
(Anti-virus program)
spyware y adware.
Protocolo Mtodo convenido de comunicacin que se utiliza dentro de las redes.
Especificacin que describe las reglas y los procedimientos que deben
(Protocol)
seguir los productos de computacin para realizar actividades en una
red.

Glossary, Abbreviations and Acronyms 10

 Trmino Definicin

Proveedor de servicio Entidad comercial que no es miembro de la asociacin de tarjetas de

pago o un comercio y que directamente participa en el procesamiento,
(Service Provider)
almacenamiento, transmisin y conmutacin de datos de transaccin o
informacin de tarjetahabientes, o ambos. Incluye tambin a
compaas que proporcionan servicios a comercios, proveedores de
servicios o miembros que controlan o podran tener un impacto en la
seguridad de los datos de los tarjetahabientes. Los ejemplos incluyen
proveedores de servicios administrados que proporcionan cortafuegos
e IDS administrados y otros servicios, as como proveedores de
servicio de hospedaje en redes y otras entidades. Las entidades como
las compaas de telecomunicaciones que solamente proporcionan
conexiones de comunicacin sin acceso a la aplicacin conectada
estn excluidas.
Proveedor de Servicio de Ofrece diversos servicios a los comercios y otros proveedores de
Hospedaje en Redes servicio. Los servicios van de simples a complejos; desde espacio
compartido en un servidor a una gama completa de opciones de cesta
(Hosting provider)
de compras; desde aplicaciones de pago a conexiones con pasarelas
y procesadores de pagos; y hospedaje dedicado para un solo cliente
por servidor.
Prueba de penetracin Sondeo de seguridad de un sistema o red de computadores para
detectar las vulnerabilidades que un atacante podra explotar. Ms all
(Penetration test)
de un sondeo para detectar vulnerabilidades, este tipo de prueba
podra implicar intentos reales de penetrar la red. El objetivo de una
prueba de penetracin es detectar e identificar vulnerabilidades para
sugerir mejoras en la seguridad.
PVV PIN Verification Value, Valor de Verificacin de PIN que se codifica en
la banda magntica de una tarjeta de pago.
RADIUS Remote Authentication and Dial-In User Service, un sistema de
autenticacin y contabilidad que verifica si datos como el nombre de
usuario y la contrasea que se transmite al servidor RADIUS son
correctos y entonces autoriza el acceso al sistema.
Reasignacin de clave Proceso de cambiar las claves criptogrficas para limitar la cantidad de
datos que se encriptarn con la misma clave.
(Re-keying)
Red Dos o ms computadores conectados para compartir recursos.
(Network)
Red pblica Red establecida y operada por un proveedor de telecomunicaciones o
compaa privada reconocida para el fin especfico de proporcionar
(Public network)
servicios de transmisin de datos al pblico. Los datos deben
encriptarse durante la transmisin a travs de redes pblicas, ya que
los delincuentes fcil y comnmente interceptan, modifican y/o desvan
datos mientras se encuentran en trnsito. Ejemplos de redes pblicas
que caen dentro del alcance de las Normas de Seguridad de Datos de
la Industria de Tarjetas de Pago son Internet, GPRS y GSM.
Resistente a alteraciones Sistema difcil de modificar o subvertir, aun para un asaltante con
acceso fsico al sistema.
(Tamper-resistant)

Glossary, Abbreviations and Acronyms 11

 Trmino Definicin

Respaldo Duplicado de los datos que se hace para fines de archivo o para
proteger contra dao o prdida.
(Backup)
RFC Request for Comments, solicitud de comentarios.
RSA Algoritmo de encriptacin de clave pblica descrito en 1977 por Ron
Rivest, Adi Shamir y Len Adleman en el Massachusetts Institute of
Technology (MIT); RSA son las iniciales de sus apellidos.
Ruteador Hardware o software que conecta dos o ms redes. Funciona como
ordenador e intrprete verificando las direcciones y pasando bits de
(Router)
informacin al destino correcto. A los ruteadores de software a veces
se les llama pasarelas.
Sanitacin Proceso de borrar los datos confidenciales de un archivo, dispositivo o
sistema o modificar los datos para que resulten inservibles si un
(Sanitization)
atacante obtiene acceso a ellos.
SANS SysAdmin, Audit, Network, Security Institute (vase www.sans.org).
Seguridad de la La proteccin de la informacin para garantizar su carcter
Informacin confidencial, integridad y disponibilidad.
(Information Security)
Separacin de Prctica de dividir los pasos de una funcin entre diversas personas,
responsabilidades de modo que una sola persona no pueda subvertir el proceso.
(Separation of duties)
Servidor Computador que proporciona un servicio a otros computadores como,
por ejemplo, procesar comunicaciones, guardar archivos o acceder a
(Server)
una funcin de impresin. Los servidores incluyen, entre otros, los de
Web, base de datos, autenticacin, DNS, correo, proxy y NTP.
SHA Secure Hash Algorithm, un grupo o conjunto de funciones
criptogrficas hash relacionadas. La ms comnmente utilizada es
SHA-1. El uso de un valor salt nico en la funcin hash reduce las
probabilidades de conflicto entre valores hash.
Sistema de Informacin Conjunto discreto de recursos de datos estructurados, organizados
para la recoleccin, el procesamiento, mantenimiento, uso, distribucin
(Information System)
con fines de compartir, diseminacin o disposicin de la informacin.
Sistemas de deteccin de Vase IDS.
intrusiones
(Intrusion detection
systems)
SNMP Simple Network Management Protocol. Brinda soporte al monitoreo de
los dispositivos conectados a la red para detectar cualquier condicin
que requiera atencin administrativa.
Software malicioso Software daino, diseado para infiltrar o daar un sistema de
computacin sin conocimiento ni autorizacin de su dueo.
(Malware)

Glossary, Abbreviations and Acronyms 12

 Trmino Definicin

SQL Structured (English) Query Language. Lenguaje de computacin

utilizado para crear, modificar y recuperar datos de los sistemas de
administracin de bases de datos relacionadas.
SSH Secure Shell. Suite de protocolos que brinda encriptacin para
servicios de red como la conexin remota o la transferencia remota de
archivos.
SSID Service Set Identifier. Nombre asignado a la red WiFi inalmbrica o
IEEE 802.11.
SSL Secure Sockets Layer. Estndar establecido en la industria que
encripta el canal entre un navegador y un servidor de Web para
asegurar la privacidad y confiabilidad de los datos transmitidos a travs
de este canal.
TACACS Terminal Access Controller Access Control System, un protocolo de
autenticacin remota.
Tarjetahabiente Cliente a quien se emite una tarjeta o persona autorizada para utilizar
la tarjeta.
(Cardholder)

TCP Transmission Control Protocol, un protocolo de control de

transmisiones.
TDES Triple Data Encription Standard tambin conocido como 3DES, la
encriptacin de bloque formado del DES utilizndolo tres veces.
TELNET Telephone Network Protocol. Tpicamente utilizado para proporcionar
lneas de comandos orientadas al usuario para sesiones de conexin
entre hosts en Internet. El programa fue originalmente diseado para
emular un solo terminal conectado al otro computador.
TLS Transport Layer Security. Norma diseada con el objetivo de dar un
carcter secreto a los datos y proteger la integridad de los mismos
entre dos aplicaciones que se comunican. TSL es el sucesor de SSL.
Token Dispositivo que realiza la autenticacin dinmica.
(Token)
Truncar Prctica que consiste en eliminar segmentos de datos. Comnmente,
cuando se trunca el nmero de cuenta se eliminan los primeros 12
(Truncation)
dgitos, dejando solamente los ltimos 4 dgitos.
UDP User Datagram Protocol.
UserID Una cadena de caracteres utilizada para identificar en forma exclusiva
a cada usuario de un sistema.
Usuarios no Cualquier persona, excluidos los clientes consumidores, con acceso a
consumidores los sistemas, incluyendo, sin limitacin, empleados, administradores y
terceros.
(Non consumer users)

Glossary, Abbreviations and Acronyms 13

 Trmino Definicin

Valor o Cdigo de Elemento de datos de la banda magntica de la tarjeta que utiliza un

Validacin de Tarjeta proceso criptogrfico seguro para proteger la integridad de los datos
codificados en la banda y revela cualquier alteracin o falsificacin.
(Card Validation
Conocido como CAV, CVC, CVV, o CSC segn la marca de la tarjeta
Value/Code)
de pago. La lista siguiente explica el trmino utilizado por cada marca
de tarjetas de pago:
CAV Card Authentication Value (tarjetas de pago JCB)
CVC Card Validation Code (tarjetas de pago MasterCard)
CVV Card Verification Value (tarjetas de pago Visa y Discover)
CSC Card Security Code (tarjetas de pago American Express)
Nota: El segundo tipo de valor o cdigo de validacin de tarjeta es un
valor de tres dgitos a la derecha del nmero de la tarjeta de crdito en
la zona del panel de firma en el reverso de la tarjeta. En el caso de las
tarjetas American Express, el cdigo es un nmero de cuatro dgitos no
grabado al relieve sino impreso encima del nmero de la tarjeta en el
anverso de todas las tarjetas de pago. El cdigo se asocia en forma
exclusiva con cada plstico individual y vincula el nmero de cuenta de
la tarjeta al plstico. A continuacin se aclara en trminos generales:
CID Card Identification Number (tarjetas de pago American
Express y Discover)
CAV2 Card Authentication Value 2 (tarjetas de pago JCB)
CVC2 Card Validation Code 2 (tarjetas de pago MasterCard)
CVV2 Card Verification Value 2 (tarjetas de pago Visa)
Virus Programa o cadena de cdigos que puede replicarse y causar la
modificacin o destruccin de un software o de los datos.
(Virus)
VPN Virtual Private Network. Red privada establecida sobre una red pblica.
Vulnerabilidad Debilidad en los procedimientos de seguridad de un sistema, el diseo
del mismo, su implementacin o controles internos que podran
(Vulnerability)
explotarse para violar una poltica de seguridad de sistema.
WEP Wired Equivalent Privacy. Protocolo para prevenir el espionaje
accidental cuya intencin es proporcionar un carcter confidencial
comparable al de una red almbrica tradicional. No proporciona una
seguridad adecuada contra el espionaje intencional (por ejemplo,
anlisis criptogrfico).
WPA WiFi Protected Access (WPA y WPA2). Protocolo de seguridad para
redes inalmbricas (WiFi). Creado como respuesta a varias debilidades
graves en el protocolo WEP.
XSS Cross-Site Scripting. Tipo de vulnerabilidad de seguridad que
tpicamente se encuentra en aplicaciones de Web y que un atacante
podra utilizar para obtener privilegios de acceso a contenidos
confidenciales en pginas Web, cookies de sesiones y otros objetos.

Glossary, Abbreviations and Acronyms 14