| Término |
Definición |
|
| AAA |
Siglas para la autentificación, la autorización, y la contabilidad del “. Protocolo del ” para authenticar a un usuario basado en su identidad comprobable, autorizar a un usuario basado en las sus derechas de usuario, y explicar una consumición del ’ s del usuario de los recursos de red.
|
| Control de acceso |
Mecanismos que limitan la disponibilidad de la información o de los recursos information-processing solamente a las personas autorizadas o a los usos. |
| Número de cuenta: |
Vea el número de cuenta primario (CACEROLA). |
| Adquirente: |
También referido como “ que adquiere el ” del banco o “ que adquiere a la institución financiera. La entidad del ” que inicia y mantiene relaciones con los comerciantes para la aceptación del pago carda. |
| Adware |
Tipo de software malévolo que, cuando está instalado, fuerza una computadora para exhibir o para transferir automáticamente los anuncios. |
| AES |
Abreviatura para el estándar avanzado de la encripción del “. La cifra de bloque del ” usada en criptografía dominante simétrica adoptó por el NIST en noviembre de 2001 como FIPS PUB 197 de los E.E.U.U. (o ” de los PAA 197 del “). Vea la criptografía fuerte. |
| ANSI |
Siglas para el American National Standards Institute del “. ” privado, organización no lucrativa que administra y coordina el sistema voluntario del gravamen de la estandardización y de conformidad de los E.E.U.U. |
| Antivirus |
Programa o software capaz de la detección, de la eliminación, y de la protección contra varias formas de software malévolo (también llamado ” del malware del “) incluyendo virus, gusanos, Trojan o caballos, spyware, adware, y rootkits Trojan. |
| Uso |
Incluye todos los programas informáticos o grupos comprados y de encargo de programas, incluyendo (por ejemplo, tela) usos internos y externos. |
| Registro de la intervención |
También designado rastro de intervención del “. Expediente cronológico del ” de las actividades de sistema. Proporciona un rastro suficiente permitir la reconstrucción, la revisión, y la examinación de la secuencia de ambientes y de actividades circundantes o que llevan a la operación, al procedimiento, o al acontecimiento en una transacción del inicio a los resultados finales. |
| ASV |
Siglas para el vendedor aprobado de la exploración del “. La compañía del ” aprobó por el PCI SSC para conducir servicios externos de la exploración de la vulnerabilidad. |
| Autentificación |
Proceso de verificar identidad de un individuo, de un dispositivo, o de un proceso |
| Autorización |
Concesión del acceso o de otras derechas a un usuario, a un programa, o a un proceso. Para una red, la autorización define lo que puede hacer un individuo o un programa después de la autentificación acertada.
Para los propósitos de una transacción de la tarjeta del pago, es el caso cuando un comerciante recibe el permiso aprobado para que una tarjeta del pago sea utilizada para una transacción particular. |
|
| Respaldo |
Copia duplicado de los datos hechos para los propósitos que archivan o para proteger contra daño o pérdida. |
| Bluetooth |
Protocolo sin hilos usando la tecnología de las comunicaciones de corto alcance para facilitar la transmisión de datos sobre distancia corta entre dos dispositivos. |
|
| Titular de tarjeta |
cliente del No-consumidor o del consumidor a quien una tarjeta del pago se publica o individuo autorizado a utilizar la tarjeta del pago. |
| Datos del titular de tarjeta |
Al mínimo, los datos del titular de tarjeta contienen la CACEROLA llena. Los datos del titular de tarjeta pueden también aparecer bajo la forma de CACEROLA llena más el siguiente un de los:
- Nombre del titular de tarjeta
- Fecha de vencimiento
- Mantenga el código
Vea los datos sensibles de la autentificación para los datos adicionales que se pueden transmitir o procesar como parte de una transacción del pago. |
| Ambiente de los datos del titular de tarjeta |
Área de la red del sistema informático que posee los datos del titular de tarjeta o los datos sensibles de la autentificación y esos sistemas y segmentos que atan o apoyan directamente el titular de tarjeta que procesa, del almacenaje, o de la transmisión. La segmentación adecuada de la red, que aísla los sistemas que almacenan, procesa, o transmite el titular de tarjeta que los datos de los que no lo hagan, puedan reducir el alcance del ambiente de los datos del titular de tarjeta y así el alcance del gravamen del PCI DSS. Un ambiente de los datos del titular de tarjeta se abarca de componentes de sistema. Vea los componentes de sistema. |
| Carde el código o el valor de la verificación |
Refiere a cualquiera: (1) datos de la magnético-raya, o (2) rasgos de seguridad impresos.
- (1) el elemento de datos en la raya magnética de una tarjeta que utiliza proceso criptográfico seguro para proteger integridad de datos en la raya, y revela cualquier alteración o la falsificación. Designado CAV, CVC, CVV, o CSC dependiendo de marca de fábrica de la tarjeta del pago. La lista siguiente proporciona los términos para cada marca de fábrica de la tarjeta:
- Valor de la autentificación de la tarjeta del – de CAV (tarjetas del pago del JCB)
- Código de la validación de la tarjeta del – CVC (tarjetas del pago de Mastercard)
- Valor de la verificación de la tarjeta del – CVV (la visa y descubre tarjetas del pago)
- Código de seguridad de la tarjeta del – de CSC (American Express)
- (2) para descubra, JCB, Mastercard, y las tarjetas del pago de la visa, el segundo tipo de valor de la verificación de la tarjeta o el código es el valor tridigital de derecha impreso en el área del panel de firma en la parte posterior de la tarjeta. Para las tarjetas del pago de American Express, el código es un número unembossed de cuatro cifras impreso sobre la CACEROLA en la cara de las tarjetas del pago. El código se asocia únicamente a cada pedazo individual de plástico y ata la CACEROLA al plástico. Lo que sigue proporciona una descripción:
- Número de identificación de la tarjeta del – de CID (American Express y descubre tarjetas del pago)
- Valor 2 (tarjetas de la autentificación de la tarjeta del – CAV2 del pago del JCB)
- Código 2 (tarjetas de la validación de la tarjeta del – CVC2 del pago de Mastercard)
- Valor 2 (tarjetas de la verificación de la tarjeta del – CVV2 del pago de la visa)
|
| CIS |
Siglas para el centro del “ para la seguridad del Internet. Empresa no lucrativa del ” con la misión para ayudar a organizaciones para reducir el riesgo de interrupciones del negocio y del comercio electrónico resultando de los controles de seguridad técnicos inadecuados. |
| Encripción de la base de datos del Columna-Nivel |
Técnica o tecnología (software o soporte físico) para el contenido que cifra de una columna específica en una base de datos contra el contenido completo de la base de datos entera. Alternativamente, vea la encripción del disco o la encripción del Archivo-Nivel. |
| Controles de compensación |
Los controles de compensación se pueden considerar cuando una entidad no puede cumplir un requisito explícitamente según lo indicado, debido a los problemas técnicos o documentados legítimos del negocio, pero han atenuado suficientemente el riesgo asociado al requisito con la puesta en práctica de otros controles. Los controles de compensación deben:
- Resuelva el intento y el rigor del requisito original del PCI DSS;
- Proporcione un nivel similar de defensa como el requisito original del PCI DSS;
- Sea “ sobre y más allá de ” otros requisitos del PCI DSS (no simplemente de acuerdo con otros requisitos del PCI DSS)
y
- Sea comensurado con el riesgo adicional impuesto no adhiriéndose al requisito del PCI DSS.
Vea los apéndices B y C de los controles de compensación en requisitos del PCI DSS y procedimientos del gravamen de la seguridad para la dirección en el uso de los controles de compensación. |
| Compromiso |
Abertura también referido como los datos del “ comprometen, del ” o del “ de los datos. Intrusión del ” en un sistema informático donde el acceso/el hurto desautorizado, la modificación, o la destrucción de los datos del titular de tarjeta se sospecha. |
| Consola |
Pantalla y teclado que permite el acceso y el control del ordenador del servidor o central en un ambiente conectado. |
| Consumidor |
Individuo que compra mercancías, servicios, o ambos. |
| Criptografía |
Disciplina de las matemáticas y de en cuestión de informática con seguridad, particularmente la encripción y la autentificación de información. En usos y seguridad de la red, es una herramienta para el control de acceso, el secreto de la información, y la integridad. |
|
| Base de datos |
Formato estructurado para organizar y mantener fácilmente la información recuperable. Los ejemplos de base de datos simples son tablas y hojas de balance.
|
| Administrador de base de datos |
También designado el DBA del “. Individuo del ” responsable de manejar y de administrar bases de datos. |
| Cuentas del defecto |
Abra una sesión la cuenta predefinida en un sistema, un uso, o un dispositivo para permitir el acceso inicial cuando el sistema primero se pone en servicio. |
| Contraseña de defecto |
Contraseña en las cuentas de la administración o de servicio del sistema predefinidas en un sistema, un uso, o un dispositivo; asociado generalmente a cuenta del defecto. El defecto considera y las contraseñas son publicadas y bien sabido, y por lo tanto conjeturadas fácilmente. |
| El desmagnetizar |
Disco también llamado del “ que desmagnetiza. Proceso o técnica del ” que desmagnetizan el disco tales que todos los datos almacenados en el disco están destruidos permanentemente. |
| Encripción del disco |
Técnica o tecnología (software o soporte físico) para cifrar todos los datos almacenados sobre un dispositivo (e.g., disco duro, impulsión de destello). Alternativamente, la encripción del Archivo-Nivel o la encripción de la base de datos del Columna-Nivel se utiliza para cifrar el contenido de archivos o de columnas específicos. |
| DMZ |
Abreviatura para la zona desmilitarizada del “. Anfitrión físico o lógico del ” del red secundario o de computadora que proporciona una capa adicional de seguridad a una red privada interna del ’ s de la organización. El DMZ agrega una capa adicional de seguridad de la red entre el Internet y una red interna del ’ s de la organización de modo que los partidos externos tengan solamente acceso directa a los dispositivos en el DMZ algo que toda la red interna. |
| DNS |
Siglas para el ” del Domain Name System del “ o el domain name server del “. Sistema del ” que almacena la información asociada a Domain Name en una base de datos distribuida en redes tales como el Internet. |
| DSS |
Siglas para el ” estándar de la seguridad de datos del “ y también designadas PCI DSS del “. ” |
| Control dual |
Proceso de usar dos o más entidades separadas (generalmente personas) que funcionan en concierto para proteger funciones o la información sensibles. Ambas entidades son igualmente responsables de la protección física de los materiales implicados en transacciones vulnerables. No se permite a ninguna persona para tener acceso o para utilizar a los materiales (por ejemplo, la llave criptográfica). Para la generación dominante, el transporte, el cargamento, el almacenaje, y la recuperación manuales, el control dual requiere la división del conocimiento de la llave entre las entidades. (Véase el conocimiento también partido.) |
| Filtración de paquete dinámica |
Vea la inspección de Stateful. |
|
| ECC |
Siglas para la criptografía elíptica de la curva del “. Criptografía de la público-llave del acercamiento del ” basada en curvas elípticas sobre campos finitos. Vea la criptografía fuerte. |
| Filtración de la salida |
Método de filtrar tráfico que sale una red interna vía un ranurador tales que el tráfico desautorizado nunca sale de la red interna. |
| Encripción |
El proceso de convertir la información en una forma incomprensible exceptúa a los sostenedores de una llave criptográfica específica. El uso de la encripción protege la información entre el proceso y el proceso del desciframiento (lo contrario de la encripción de la encripción) contra acceso desautorizado. |
| Algoritmo de encripción |
Una secuencia de instrucciones matemáticas usadas para transformar el texto o datos al texto cifrado o datos unencrypted, y traseras otra vez. |
|
| Supervisión de la integridad del archivo |
La técnica o la tecnología bajo las cuales ciertos archivos o registra se supervisa para detectar si se modifican. Cuando se modifican los archivos o los registros críticos, las alarmas se deben enviar al personal de seguridad apropiado. |
| Encripción del Archivo-Nivel |
Técnica o tecnología (software o soporte físico) para cifrar el contenido completo de archivos específicos. Alternativamente, vea la encripción del disco o la encripción de la base de datos del Columna-Nivel. |
| PAA |
Siglas para los estándares federales de la tratamiento de la información del “. Estándares del ” que son reconocidos público por el gobierno federal de los E.E.U.U.; también para uso de las agencias y de los contratistas no gubernamentales. |
| Cortafuego |
Tecnología del soporte físico y/o de programación que protege recursos de red contra el acceso desautorizado. Un cortafuego permite o niega tráfico de la computadora entre las redes con diversos niveles de seguridad basados sobre un sistema de reglas y otros criterios. |
| Medecina legal |
También designado medecina legal de la computadora del “. ” como se relaciona con la seguridad de información, el uso de herramientas investigadores y las técnicas del análisis para recolectar evidencia de recursos de la computadora para determinar la causa de los compromisos de los datos. |
| Ftp |
Siglas para el File Transfer Protocol del “. Protocolo de red del ” usado para transferir datos a partir de una computadora a otra a través de una red pública tal como el Internet. El ftp se ve extensamente como protocolo inseguro porque las contraseñas y el contenido del archivo se envían desprotegido y en texto claro. El ftp se puede ejecutar con seguridad vía el SSH o la otra tecnología. |
|
| GPRS |
Siglas para el servicio general de la radio de paquete del “. Servicio de datos móvil del ” disponible para los usuarios de los teléfonos móviles del G/M. Reconocido para el uso eficiente de la anchura de banda limitada. Adaptado particularmente para enviar y recibir pequeñas explosiones de datos, tales como email y tela que hojean. |
| G/M |
Siglas para el “ Global System para las comunicaciones móviles. Estándar popular del ” para los teléfonos móviles y las redes. La ubicuidad del estándar del G/M hace el international que vaga muy común entre los operadores del teléfono móvil, permitiendo a suscriptores utilizar sus teléfonos en muchas partes del mundo. |
|
| Picado |
Proceso de hacer datos del titular de tarjeta ilegibles convirtiendo datos en un resumen de mensaje de longitud fija vía criptografía fuerte. |
| Anfitrión |
Hardware principal en el cual los programas informáticos son residentes. |
| Recibimiento |
El abastecedor ofrece varios servicios a los comerciantes y a otros proveedores de servicios. Los servicios se extienden de simple al complejo; de espacio compartido en un servidor a una gama entera de opciones del ” del carro de compras del “; de usos del pago a las conexiones a las entradas y a los procesadores del pago; y para recibir dedicada a apenas un cliente por el servidor. Un abastecedor de recibimiento puede ser un abastecedor de recibimiento compartido, que recibe entidades múltiples en un solo servidor. |
| HTTP |
Siglas para el protocolo de transferencia de hipertexto del “. Internet Protocol abierto del ” para transferir o para transportar la información sobre el World Wide Web. |
| HTTPS |
Las siglas para el protocolo de transferencia de hipertexto del “ encima aseguran capa de zócalo. HTTP seguro del ” que proporciona la autentificación y la comunicación cifrada en el World Wide Web diseñado para la comunicación seguridad-sensible tal como conexiones en Internet. |
|
| Identificación |
Identificador para un usuario particular o un uso. |
| Identificación |
Siglas para el sistema de detección de intrusión del “. El software o el soporte físico usado para identificar y la alarma del ” en la intrusión de la red o del sistema intenta. Integrado por los sensores que generan acontecimientos de la seguridad; una consola para supervisar acontecimientos y alarmas y para controlar los sensores; y un motor central que registra acontecimientos registró por los sensores en una base de datos. Utiliza el sistema de reglas para generar alarmas en respuesta a los acontecimientos de la seguridad detectados. |
| IETF |
Siglas para el Internet Engineering Task Force del “. Comunidad internacional grande, abierta del ” de diseñadores de la red, operadores, vendedores, e investigadores referidos a la evolución de la arquitectura del Internet y a la operación lisa del Internet. El IETF no tiene ninguna calidad de miembro formal y está abierto a cualquier individuo interesado. |
| Símbolo del índice |
Un símbolo criptográfico que substituye la CACEROLA, basado en un índice dado para un valor imprevisible. |
| Seguridad de información |
Protección de la información para asegurar secreto, integridad, y disponibilidad. |
| Sistema de información |
Sistema discreto de recursos de los datos estructurados organizados para la colección, procesar, el mantenimiento, el uso, compartir, la difusión, o la disposición de la información. |
| Filtración del ingreso |
El método de filtrar tráfico que incorpora una red interna vía un ranurador tales que los paquetes entrantes están verificados que están viniendo realmente de las redes ellos demanda ser de. |
| Protocolo/servicio/puerto inseguros |
Un protocolo, un servicio, o un puerto que introduce los problemas de seguridad debido a la carencia de controles sobre secreto e integridad. Estos problemas de seguridad incluyen servicios, protocolos, o los puertos que transmiten las credenciales de los datos y de la autentificación (e.g., contraseña/passphrase en texto claro sobre el Internet), o que permiten fácilmente la explotación por abandono o si misconfigured. Un ejemplo de un protocolo, de un servicio, o de un puerto inseguro es ftp. |
| IP |
Siglas para el Internet Protocol del “. protocolo de la Red-capa del ” que contiene la información de dirección y una cierta información de control que permite a los paquetes ser encaminada. El IP es el protocolo primario de la red-capa en la habitación del Internet Protocol. |
| IP address |
También designado la dirección del Internet Protocol del “. Código numérico del ” que identifica únicamente una computadora particular en el Internet. |
| El Spoofing del IP address |
Ataque la técnica usada por un individuo malévolo para tener el acceso desautorizado a las computadoras. El individuo malévolo envía mensajes engañosos a una computadora con un IP address que indica que el mensaje está viniendo de un anfitrión confiado en. |
| IPS |
Siglas para el sistema de la prevención de la intrusión del “. El ” más allá de una identificación, un IPS toma la medida adicional de bloquear la intrusión frustrada. |
| IPSEC |
Abreviatura para la seguridad del Internet Protocol del “. Estándar del ” para asegurar comunicaciones del IP cifrando y/o authenticando todos los paquetes del IP. IPSEC proporciona seguridad en la capa de red. |
| ISO |
Más conocido como International Organization for Standardization del “. Organización no gubernamental del ” que consiste en una red de los institutos nacionales de los estándares sobre de 150 países, con un miembro por país y una secretaría central en Ginebra, Suiza, que coordina el sistema. |
| Emisor |
También referido como ” o “ del banco emisor del “ que publica a la institución financiera. Entidad del ” que publica tarjetas del pago directamente a los consumidores y a los no-consumidores. |
|
|
| Llave |
En criptografía, una llave es un valor que determina la salida de un algoritmo de encripción al transformar el texto llano al texto cifrado. La longitud de la llave determina generalmente cómo es difícil será descifrar el texto en un mensaje dado. Vea la criptografía fuerte. |
|
| LAN |
Siglas para la red de área local del “. Red de ordenadores del ” que cubre una pequeña área, a menudo un edificio o un grupo de edificios. |
| LDAP |
Siglas para el protocolo de acceso directo ligero del “. Depósito de datos de la autentificación y de la autorización del ” utilizado para los permisos del usuario que preguntan y de modificaciones y conceder el acceso a los recursos protegidos. |
| LPAR |
Abreviatura para la partición lógica del “. Sistema del ” A de subdividirse, o división, procesadores totales del — de los recursos de una computadora, — de la memoria y del almacenaje en unidades más pequeñas que pueden funcionar con sus los propios, copia distinta del sistema operativo y usos. La división lógica se utiliza típicamente para permitir el uso de diversos sistemas operativos y usos en un solo dispositivo. Las particiones se pueden o no se pueden configurar para comunicar con uno a o para compartir algunos recursos del servidor, tales como interfaces de red. |
|
| MAC |
Siglas para el código de la autentificación de mensaje del “. ” en la criptografía, es un pequeño fragmento de información usado para authenticar un mensaje. Vea la criptografía fuerte. |
| MAC address |
Abreviatura para la dirección del Media Access Control del “. Valor de identificación único del ” asignado por los fabricantes a los adaptadores de red y a las tarjetas de interfaz de red. |
| Datos de la Magnético-Raya |
También designado ” de los datos de la pista del “. Datos codificados en la raya magnética o la viruta usada para la autorización durante transacciones del pago. Puede ser la imagen de la raya magnética en una viruta o los datos sobre la pista 1 y/o la pista 2 porciones de la raya magnética. Las entidades no deben conservar datos completos de la raya magnética después de obtener la autorización de la transacción. |
| Unidad central |
Computadoras que se diseñan para manejar volúmenes muy grandes de entrada y de salida de datos y para acentuar la computación del rendimiento de procesamiento. Las unidades centrales son capaces de funcionar con sistemas operativos múltiples, haciéndolo aparecen como si sea funcionamiento como computadoras múltiples. Muchos sistemas de herencia tienen un diseño de la unidad central. |
| Software malévolo/Malware |
El software diseñó infiltrar o dañar un sistema informático sin el conocimiento del dueño o consentir. Tal software incorpora típicamente una red durante muchas actividades negocio-aprobadas, que da lugar a la explotación de las vulnerabilidades del sistema. Los ejemplos incluyen virus, gusanos, Trojan (o caballos Trojan), spyware, el adware, y rootkits. |
| El enmascarar |
Método de encubrir un segmento de datos cuando está exhibido. Se utiliza el enmascarar cuando no hay requisito del negocio de ver la CACEROLA entera. |
| Comerciante |
Para los propósitos del PCI DSS, definen a un comerciante como cualquier entidad que acepte las tarjetas del pago que llevan las insignias de cinco miembros uces de los de PCI SSC (American Express, descubre, JCB, Mastercard o visa) como pago para las mercancías y/o los servicios. Observe que un comerciante que acepte tarjetas del pago mientras que el pago para las mercancías y/o los servicios puede también ser prestatario de servicios, si los servicios vendieron resultado en almacenar, procesando, o datos del titular de tarjeta que transmiten a nombre de otros comerciantes o proveedores de servicios. Por ejemplo, una ISP es un comerciante que acepta las tarjetas del pago para la facturación mensual, pero también es prestatario de servicios si recibe a comerciantes como clientes. |
| Supervisión |
Uso de sistemas o procesos que supervisan constantemente recursos de la computadora o de red con el fin de alertar personales en caso de interrupciones, de alarmas, o de otros acontecimientos predefinidos. |
| MPLS |
Siglas para la conmutación multi de la etiqueta del protocolo del “. La red del ” o el mecanismo de las telecomunicaciones diseñó para conectar un grupo de redes conmutadas por paquetes. |
|
| NAT |
Siglas para la conversión de dirección de red del “. ” conocido como disfraz de la red o IP que se disfraza. Cambio de un IP address usado dentro de una red a un diverso IP address sabido dentro de otra red. |
| Red |
Dos o más computadoras conectaron juntas con los recursos de la parte. |
| Componentes de la red |
Incluya, pero no se limitan a los cortafuegos, a los interruptores, a los ranuradores, a los puntos de acceso sin hilos, a las aplicaciones de red, y a otras aplicaciones de la seguridad. |
| Exploración de la seguridad de la red |
Proceso por el cual los sistemas del ’ un s de la entidad son comprobados remotamente para saber si hay vulnerabilidades con el uso de herramientas manuales o automatizadas. Exploraciones de la seguridad que incluyen sondar sistemas internos y externos y la información sobre los servicios expuestos a la red. Las exploraciones pueden identificar vulnerabilidades en sistemas operativos, servicios, y los dispositivos que se podrían utilizar por los individuos malévolos. |
| Segmentación de la red |
Medios de reducir el alcance de un gravamen del PCI DSS reduciendo el tamaño del ambiente de los datos del titular de tarjeta. Para alcanzar esto, los sistemas que no almacenan, no procesan, ni transmiten datos del titular de tarjeta se deben aislar de esos sistemas que almacenen, procesan, y transmiten datos del titular de tarjeta vía controles de red. Vea la sección de la segmentación de la red en los requisitos del PCI DSS y los procedimientos del gravamen de la seguridad para la dirección en usar la segmentación de la red. |
| NIST |
Siglas para el National Institute of Standards and Technology del “. agencia federal No-reguladora del ” dentro de la administración de la tecnología del departamento de comercio de los E.E.U.U. Su misión es promover la innovación de los E.E.U.U. y la competitividad industrial avanzando ciencia, estándares, y tecnología de la medida para realzar seguridad económica y para mejorar calidad de vida. |
| NMAP |
software de la Seguridad-exploración que traza redes e identifica puertos abiertos en recursos de red. |
| Usuarios del No-Consumidor |
Individuos, excepto los titulares de tarjeta, que tienen acceso a los componentes de sistema, incluyendo pero no limitados a los empleados, administradores, y los terceros. |
| NTP |
Siglas para el Network Time Protocol del “. El protocolo del ” para sincronizar los relojes de los sistemas informáticos sobre los paquetes cambió, las redes de datos del variable-estado latente. |
|
| Disponible |
Descripción de los productos que son artículos comunes modificados para requisitos particulares o diseñados no específicamente para un cliente o un usuario específico y son fácilmente disponibles para el uso. |
| Funcionamiento System/OS |
Software de un sistema informático que es responsable de la gerencia y de la coordinación de todas las actividades y de la distribución de los recursos de la computadora. Los ejemplos de sistemas operativos incluyen Microsoft Windows, Mac OS, linux y Unix. |
| OWASP |
Siglas para el proyecto abierto de la seguridad de la aplicación web del “. La organización no lucrativa del ” A establecida en 2004 se centró en la mejora de la seguridad del programa para de aplicaciones. OWASP lanzó el Top Ten de OWASP, que enumera las vulnerabilidades más críticas para las aplicaciones web. (Véase www.owasp.org). |
|
| PA-QSA |
Las siglas para el uso del pago del “ calificaron al asesor de la seguridad, ” companyapproved por el PCI SSC para conducir gravámenes sobre usos del pago contra el PA-DSS. |
| CACEROLA |
Siglas para el ” primario del número de cuenta del “ y también designadas número de cuenta del “. Número de tarjeta único del pago del ” (típicamente para el crédito o las tarjetas de débito) que identifica el emisor y la cuenta de titular de tarjeta particular. |
| Contraseña/Passphrase |
Una cadena de caracteres que sirven como authenticator del usuario. |
| Cojín |
En criptografía, el cojín de una sola vez es un algoritmo de encripción con el texto combinado con una llave o un “cojín al azar” que sean mientras el plain-text y utilizado solamente una vez. Además, si la llave es verdad al azar, nunca reutilizado, y, el secreto guardado, el cojín de una sola vez es irrompible |
| PALMADITA |
Siglas para el ” de la conversión de dirección del puerto del “ y también designadas la traducción del puerto de la dirección de red del “. Tipo del ” de NAT que también traduce los números de acceso. |
| Remiendo |
Actualización al software existente para agregar funcionalidad o para corregir un defecto. |
| Pago |
Las tarjetas con objeto de PCI DSS, cualquier tarjeta del pago/el dispositivo que lleva la insignia de los miembros fundadores de PCI SSC, que son American Express, descubren los servicios financieros, JCB International, MasterCard Worldwide, or Visa, Inc. |
| PCI |
Industria de la tarjeta del pago. |
| PDA |
Siglas para el ” auxiliar de los datos personales del “ o el ayudante digital personal del “. Dispositivos móviles Handheld del ” con capacidades tales como teléfonos móviles, email, o web browser. |
| Prueba de penetración |
Las pruebas de penetración intentan explotar vulnerabilidades para determinar si el acceso desautorizado o la otra actividad malévola es posible. La prueba de penetración incluye la prueba de la red y del uso así como controles y procesos alrededor de las redes y de los usos, y ocurre fuera de la red que intenta venir en (prueba externa) y por dentro de la red. |
| PIN |
Siglas para el número de identificación personal del “. Contraseña numérica secreta del ” sabida solamente al usuario y a un sistema para authenticar al usuario al sistema. Conceden el usuario solamente el acceso si el PIN el usuario proporcionado empareja el PIN en el sistema. Los pernos típicos se utilizan para las máquinas de caja automatizada para las transacciones del anticipo. Otro tipo de PIN es uno usado en las tarjetas de viruta de EMV donde el PIN substituye la firma del ’ s del titular de tarjeta. |
| Política |
Reglas en toda la organización que gobiernan el uso aceptable de los recursos de computación, prácticas de la seguridad, y dirigiendo el desarrollo de procedimientos operacionales |
| Posición |
Siglas para el punto de venta del “. Soporte físico y/o software del ” usados para procesar transacciones de la tarjeta del pago en las localizaciones mercantil. |
| Red privada |
Red establecida por una organización que utiliza el espacio privado del IP address. Las redes privadas se diseñan comúnmente como redes de área local. El acceso de red privada de redes públicas se debe proteger correctamente con el uso de cortafuegos y de ranuradores. |
| Procedimiento |
Narrativa descriptiva para una política. El procedimiento es el “ cómo al ” para una política y describe cómo la política debe ser ejecutada. |
| Protocolo |
Método acordado de comunicación usado dentro de redes. Especificación que describe las reglas y los procedimientos que los productos de computadora deben seguir para realizar actividades en una red. |
| Red pública |
Red establecida y funcionada por un abastecedor de las telecomunicaciones, para el propósito específico de proporcionar los servicios de transmisión de datos para el público. Los datos sobre redes públicas se pueden interceptar, modificar, y/o divertir mientras que en tránsito. Los ejemplos de redes públicas en el alcance del PCI DSS incluyen, pero no se limitan a, el Internet, la radio, y las tecnologías móviles. |
| PVV |
Siglas para el valor de la verificación del PIN del “. Valor discrecional del ” codificado en la raya magnética de la tarjeta del pago. |
|
| QSA |
Las siglas para el asesor calificado “ de la seguridad, compañía del ” aprobaron por el PCI SSC para conducir gravámenes en sitio del PCI DSS. |
|
| RADIO |
Abreviatura para la autentificación alejada del “ y dial-en servicio del usuario. Autentificación del ” y plan contable. Comprueba si la información tal como username y contraseña que se pase al servidor del RADIO está correcta, y después autoriza el acceso al sistema. |
| RBAC |
Las siglas para el “ papel-basaron control de acceso. Control del ” usado para restringir el acceso por los usuarios autorizados específicos basados en sus responsabilidades del trabajo. |
| Acceso remoto |
Tenga acceso a las redes de ordenadores de una posición remota, originando típicamente fuera de la red. Un ejemplo de la tecnología para el acceso remoto es VPN. |
| Medios electrónicos desprendibles |
Medios que almacenan datos convertidos a digital y que se pueden quitar y/o transportar fácilmente a partir de un sistema informático a otro. Los ejemplos de medios electrónicos desprendibles incluyen las impulsiones del flash del CD-ROM, de DVD-ROM, del USB y las impulsiones duras desprendibles. |
| Divulgue sobre conformidad |
También designado el ROC del “. Informe del ” que contiene los detalles que documentan un estado de la conformidad del ’ s de la entidad con el PCI DSS. |
| Divulgue sobre la validación |
También designado el “ ROV. Informe del ” que contiene los detalles que documentan una conformidad del ’ s del uso del pago con el PCI PA-DSS. |
| Reintroducción |
Proceso de cambiar llaves criptográficas a la cantidad del límite de datos que se cifrarán con la misma llave. |
| Análisis de riesgo/gravamen |
Procese que identifica recursos y amenazas valiosos de sistema; cuantifica las exposiciones de pérdida (es decir, potencial de la pérdida) basadas en frecuencias y costes estimados de la ocurrencia; y (opcionalmente) recomienda cómo asignar recursos a las contramedidas para reducir al mínimo la exposición total. |
| Rootkit |
El tipo de software malévolo que cuando está instalado sin la autorización, puede encubrir su presencia y ganar el control de administración de un sistema informático. |
| Ranurador |
Soporte físico o software que conectan dos o más redes. Funciones como el compaginador y el intérprete mirando direcciones y pasando pedacitos de la información a las destinaciones apropiadas. Los ranuradores del software se refieren a veces como entradas. |
| RSA |
Algoritmo para la encripción de la público-llave descrita en 1977 por Ron Rivest, Adi Shamir, y Len Adleman en Instituto de Tecnología de Massachusetts (MIT); las letras RSA son las iniciales de sus apellidos. |
|
| Sanitization |
Proceso para suprimir datos sensibles de un archivo, de un dispositivo, o de un sistema; o para los datos de modificación de modo que sea inútil si esté tenido acceso en un ataque. |
| SIN |
Siglas para el “ SysAdmin, la intervención, el establecimiento de una red y la seguridad, ” un instituto que proporciona el entrenamiento de la seguridad de computadora y la certificación del profesional. (Véase www.sans.org.) |
| SDLC |
Siglas para el ciclo vital del desarrollo de sistema del “. Fases del ” del desarrollo de un software o de un sistema informático que incluye el planeamiento, el análisis, el diseño, la prueba, y la puesta en práctica. |
| Asegure el trapo |
“ también llamado cancelación segura, ” una utilidad del programa usada para suprimir archivos específicos permanentemente de un sistema informático. |
| Agente de seguridad |
Persona responsable primaria para los asuntos relacionados con la seguridad de una organización. |
| Política de seguridad |
El sistema de leyes, de reglas, y de las prácticas que regulan cómo una organización maneja, protege, y distribuye la información delicada |
| SAQ |
Siglas para el cuestionario de la autovaloración del “. Herramienta del ” usada por cualquie entidad para validar su propia conformidad con el PCI DSS. |
| Área delicada |
Cualquier centro de datos, el sitio del servidor o cualquier área que contenga sistemas que almacena, procesa, o transmite datos del titular de tarjeta. Esto excluye las áreas donde solamente están presentes los terminales de punto de venta por ejemplo las áreas del cajero en una tienda al por menor. |
| Datos sensibles de la autentificación |
Información relacionada con la seguridad (códigos de la validación de la tarjeta/valores, datos completos de la magnético-raya, pernos, y bloques de PIN) usada para authenticar titulares de tarjeta, apareciendo en plain-text o forma de otra manera desprotegida. |
| Separación de deberes |
La práctica de la división camina en una función entre diversos individuos, para guardar a un solo individuo de poder derribar el proceso. |
| Servidor |
Computadora que proporciona un servicio a otras computadoras, tales como proceso de comunicaciones, de almacenaje de archivo, o de tener acceso una facilidad de la impresión. Los servidores incluyen, pero no se limitan a la tela, a la base de datos, al uso, a la autentificación, al DNS, al correo, al poder, y al NTP. |
| Mantenga el código |
Valor tridigital o de cuatro cifras en la magnético-raya que sigue la fecha de vencimiento de la tarjeta del pago en los datos de la pista. Se utiliza para las varias cosas tales como definición de cualidades de servicio, distinción entre el intercambio internacional y nacional, o identificación de restricciones del uso. |
| Service Provider |
Entidad de negocio que no es una marca de fábrica del pago, directamente implicada en el proceso, el almacenaje, o la transmisión de los datos del titular de tarjeta. Esto también incluye a las compañías que proporcionan los servicios que controlan o podrían afectar la seguridad de los datos del titular de tarjeta. Los ejemplos incluyen a los proveedores de servicios manejados que proporcionan cortafuegos manejados, la identificación y otros servicios así como el recibimiento de abastecedores y de otras entidades. Las entidades tales como compañías de telecomunicaciones que proporcionen solamente enlaces de comunicaciones sin el acceso a la capa de uso del enlace de comunicaciones se excluyen. |
| SHA-1/SHA-2 |
Siglas para el algoritmo de picadillo seguro del “. Familia del ” A o sistema de funciones de picadillo criptográficas relacionadas incluyendo SHA-1 y SHA-2. Vea la criptografía fuerte. |
| Tarjeta inteligente |
También designado el ” o la tarjeta del IC del “ (tarjeta de la tarjeta de viruta del “ del circuito integrado). El tipo del ” A de tarjeta del pago que tiene circuitos integrados encajó dentro. Los circuitos, también designados la viruta del “, ” contienen datos de la tarjeta del pago incluyendo, pero no limitado a, los datos equivalentes a los datos de la magnético-raya. |
| SNMP |
Siglas para el Simple Network Management Protocol del “. El ” apoya la supervisión de los dispositivos atados red para cualquier condición que autorice la atención administrativa. |
| Conocimiento partido |
Condicione en cuál dos o más entidades tienen por separado componentes claves que no transporten individualmente ninguÌn conocimiento de la llave criptográfica resultante. |
| Spyware |
El tipo de software malévolo que cuando está instalado, intercepta o toma el control parcial de la computadora del ’ s del usuario sin el consentimiento del ’ s del usuario. |
| SQL |
Siglas para el lenguaje de interrogación estructurado del “. El lenguaje de programación del ” usado para crear, modifica, y recupera datos de los sistemas de gestión de la base de datis relacional. |
| Inyección del SQL |
Forme de ataque contra Web site base de datos-conducido. Un individuo malévolo ejecuta comandos de SQL desautorizados aprovechándose de código inseguro en un sistema conectado con el Internet. Los ataques de la inyección del SQL se utilizan para robar la información de una base de datos de la cual los datos no estarían disponibles y/o no accederían normalmente a los ordenadores huesped de la organización del ’ s a través de la computadora que está recibiendo la base de datos. |
| SSH |
Abreviatura para la cáscara segura del “. Habitación de protocolo del ” que proporciona la encripción para los servicios en red como remote login o transferencia del fichero a distancia. |
| SSL |
Las siglas para el “ aseguran capa de zócalos. El ” estableció el estándar industrial que cifra el canal entre un web browser y un web server para asegurar la aislamiento y la confiabilidad de los datos transmitidos sobre este canal. |
| Inspección de Stateful |
“ también llamado filtración de paquete dinámica, ” es una capacidad del cortafuego que proporciona seguridad realzada no perdiendo de vista los paquetes de las comunicaciones. Solamente los paquetes entrantes con una respuesta apropiada (el “ estableció el ” de las conexiones) se permiten a través del cortafuego. |
| Criptografía fuerte |
Criptografía basada en algoritmos industria-probados y aceptados, junto con longitudes dominantes fuertes y prácticas apropiadas de la llave-gerencia. La criptografía es un método para proteger datos e incluye la encripción (que es reversible) y picado (que no es reversible, o ” unidireccional del “). SHA-1 es un ejemplo de un algoritmo de cálculo industria-probado y aceptado. Los ejemplos de estándares y de algoritmos industria-probados y aceptados para la encripción incluyen AES (128 pedacitos y más altos), TDES (llaves de doble longitud mínimas), el RSA (1024 pedacitos y más altos), el ECC (160 pedacitos y más altos), y ElGamal (1024 pedacitos y más altos). Vea la publicación especial 800-57 del NIST para más información. |
| SysAdmin |
Abreviatura para el administrador de sistema del “. Individuo del ” con privilegios elevados que es responsable de manejar un sistema informático o una red. |
| Componentes de sistema |
Cualquie componente, servidor, o uso de la red incluido adentro o conectado con el ambiente de los datos del titular de tarjeta. |
|
| TACACS |
Siglas para el sistema del control de acceso del Terminal Access Controller del “. Protocolo de autentificación alejada del ” de uso general en redes que comunica entre un servidor del acceso remoto y un servidor de la autentificación para determinar derechos de acceso de usuario a la red. |
| TCP |
Siglas para el Transmission Control Protocol del “. Lenguaje de comunicación básica del ” o protocolo del Internet. |
| TDES |
Siglas para el ” del estándar de encripción de datos del triple del “ y también conocidas como ” del “ 3DES o DES triple del “. La cifra de bloque del ” formó de la cifra del DES usándola tres veces. Vea la criptografía fuerte. |
| Telnet |
Abreviatura para el protocolo de red de teléfono del “. ” usado típicamente para proporcionar la línea de comando orientada hacia el usuario sesiones de la conexión a los dispositivos en una red. Las credenciales del usuario se transmiten en texto claro. |
| Amenaza |
Condición o actividad que pueden hacer recursos de la información o de la tratamiento de la información perder intencionalmente o accidentalmente, modificado, expuesto, hecho inaccesible, o afectado de otra manera al detrimento de la organización |
| TLS |
Siglas para la seguridad de la capa de transporte del “. El ” diseñó con la meta de proporcionar secreto de los datos e integridad de datos entre dos usos de comunicación. TLS es sucesor del SSL. |
| Símbolo |
Soporte físico o software que realizan la autentificación dinámica o bifactorial. |
| Datos de la transacción |
Datos relacionados con la transacción de la tarjeta del pago electrónico. |
| Trojan |
También designado Trojan Horse del “. El tipo del ” A de software malévolo que cuando está instalado, permite que un usuario realice una función normal mientras que el Trojan realiza funciones malévolas al sistema informático sin el conocimiento del ’ s del usuario. |
| Truncamiento |
Método de hacer la CACEROLA llena ilegible permanentemente quitando un segmento de los datos de la CACEROLA. |
| Red confiada en |
Red de una organización que está dentro de la capacidad del ’ s de la organización de controlar o de manejar. |
| Autentificación bifactorial |
Método de authenticar a un usuario por el que se verifiquen dos o más factores. Estos factores incluyen algo que el usuario tiene (por ejemplo el hardware o símbolo del software), algo el usuario sabe que (por ejemplo una contraseña, passphrase, o PIN) o algo el usuario es o hace (por ejemplo huellas digitales u otras formas de biométrica). |
|
| Red Untrusted |
Red que es externa a las redes que pertenecen a una organización y que está fuera de la capacidad del ’ s de la organización de controlar o de manejar. |
|
| VLAN |
Abreviatura para el ” virtual del LAN del “ o la red de área local virtual del “. Red de área local lógica del ” que extiende más allá de una sola red de área local física tradicional. |
| VPN |
Siglas para la red privada virtual del “. Red de ordenadores del ” A en la cual algunas de conexiones son circuitos virtuales dentro de una cierta red más grande, tal como el Internet, en vez de conexiones directas al lado de los alambres físicos. Los puntos del extremo de la red virtual reputan hechos un túnel a través de la red más grande cuando éste es el caso. Mientras que un uso común consiste en comunicaciones seguras a través del Internet público, un VPN puede o no puede tener características de la fuerte seguridad tales como autentificación o encripción del contenido. |
| Vulnerabilidad |
Debilidad en un sistema que permite que un individuo malévolo explote ese sistema y viole su integridad. |
|
| PÁLIDO |
Siglas para la red de la amplia área del “. Red de ordenadores del ” que cubre una área extensa, a menudo un sistema informático ancho regional o de la compañía. |
| Web server |
Computadora que contiene un programa que acepte peticiones de HTTP de web client y sirva las respuestas de HTTP (generalmente Web pages). |
| WEP |
Siglas para la aislamiento equivalente atada con alambre “. Algoritmo débil del ” usado para cifrar redes inalámbricas. Varias debilidades serias han sido identificadas por los expertos de la industria tales que una conexión de WEP se puede agrietar con software fácilmente disponible dentro de minutos. Vea WPA. |
| Punto de acceso sin hilos |
También designado el “ AP. Dispositivo del ” que permite que los dispositivos de comunicación sin hilos conecten con una red inalámbrica. Conectado generalmente con una red atada con alambre, puede retransmitir datos entre los dispositivos inalámbricos y los dispositivos atados con alambre en la red. |
| Redes inalámbricas |
Red que conecta las computadoras sin una conexión física a los alambres. |
| WLAN |
Siglas para la red de área local de la radio del “. Red de área local del ” que acoplamientos dos o más computadoras o dispositivos sin los alambres. |
| WPA/WPA2 |
Siglas para el acceso protegido WiFi del “. Protocolo de seguridad del ” creado para asegurar redes inalámbricas. WPA es el sucesor a WEP y se juzga para proporcionar una mejor seguridad que WEP. WPA2 también fue lanzado como la generación siguiente de WPA.
|
|
|
|
