SlideShare une entreprise Scribd logo

Implementación de SNCP. 2ª Jornada sobre seguridad en Medios de Pago

Internet Security Auditors
Internet Security Auditors

En su presentación, Antonio S. Martínez responsable del Área de Seguridad Informática de Metro de Madrid, explicó el proyecto de implantación de PCI DSS que se ha llevado a cabo en su organización y como lo han ligado a la implantación del Sistema Nacional de Cifrado de Pistas.

1  sur  15
Télécharger pour lire hors ligne
1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel IMPLANTACIÓN DE SNCP Antonio S. Martínez García Responsable del Área de Seguridad Informática Metro de Madrid, S.A. IMPLANTACIÓN DE SNCP Antonio S. Martínez García Responsable del Área de Seguridad Informática Metro de Madrid, S.A.
2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 Datos de Metro de Madrid, S.A. Red:Red: 1212 LLííneasneas ++ 11 RamalRamal MetroMetro PesadoPesado ++ 11 LLííneanea MetroMetro LigeroLigero 284284 km de redkm de red 294294 EstacionesEstaciones 340340 VestVestííbulosbulos DemandaDemanda:: 685,54685,54 MillonesMillones dede ViajesViajes DDííaa MMááximoximo:: 2,62,6 MillonesMillones dede ViajesViajes OfertaOferta:: 202202 Millones de Coches xMillones de Coches x KmKm 334334 MMááximo Trenes en Hora Puntaximo Trenes en Hora Punta CalidadCalidad deldel ServicioServicio: 7,38: 7,38 Red enRed en ExplotaciExplotacióónn Material:Material: 22752275 Coches yCoches y 88 Unidades de Metro LigeroUnidades de Metro Ligero InstalacionesInstalaciones:: 16141614 EscalerasEscaleras MecMecáánicasnicas,, 468468 AscensoresAscensores,, 17161716 MMááquinasquinas AutomAutomááticasticas,, 25032503 TorniquetesTorniquetes,, 46914691 InterfonosInterfonos PlantillaPlantilla:: 75987598 EmpleadosEmpleados SeguridadSeguridad:: 4,024,02 Millones de horas vigilanciaMillones de horas vigilancia MediosMedios HumanosHumanos yy MaterialesMateriales
5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 Datos de Metro de Madrid, S.A. IngresosIngresos 1.293,491.293,49 DatosDatos EconEconóómicosmicos ((MillonesMillones dede €€)) GastosGastos 1.255,601.255,60 InversiInversióónn EjecutadaEjecutada 145145 ResultadoResultado 37,8937,89 Empleados Km red Estaciones Coches Escaleras Mecánicas MADRID 7.598 284,11 294 2275 1614 PARIS 9.966 215,50PARIS 9.966 215,50 382 3496382 3496 504504 LONDRES 15.098 438,90LONDRES 15.098 438,90 323 4067323 4067 434434 MOSCMOSCÚÚ 35.577 298,2035.577 298,20 180 4504 5180 4504 59898 N.YORK 27.961 479,60N.YORK 27.961 479,60 468 6417468 6417 174174 H.KONG 8.314 174,70H.KONG 8.314 174,70 97 169897 1698 s.ds.d BEIJING 15.024 200,00BEIJING 15.024 200,00 106 1320106 1320 s.ds.d MEXICOMEXICO s.ds.d 201,00 75 3201,00 75 3042042 s.ds.d S.PAULO 7.776 61,30S.PAULO 7.776 61,30 58 70258 702 s.ds.d ComparativaComparativa concon otrosotros Metros delMetros del MundoMundo
6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 Antecedentes: Primeros Pasos En marzo de 2007 se nos requiere el cumplimiento con el programa existiendo dos alternativas: 1. Acogerse a la Solución Nacional de Cifrado de Pistas (SNCP). 2. Cumplir con el programa de auditorias periódicas establecidas por las marcas de tarjetas. Nos aplica en tanto: 1. Somos un establecimiento que transmite, procesa y/o almacena Información de Cuentas y Tarjetas. 2. Gestionamos nuestros propios terminales punto de venta. Programa de Protección de Información en Tarjetas  El 89.59% de la demanda se concentra en el billete de 10 viajes y los  abonos mensual y anual (tendencia similar entre los años 2005 y 2008),  y especialmente en los fines de mes.  Incremento en el parque de máquinas automáticas expendedoras Pago Electrónico desde el año 1999 Clasificados en la Categoría 2 en tanto ciframos toda la información de la pista pero requerimos el número  de tarjeta (PAN) en claro principalmente para atender las reclamaciones de los clientes. Esto conlleva, con  alguna consideración particular, lo siguiente: • Cumplimentación del cuestionario simplificado PCI‐DSS. • Migración hacia EMV con miras a la adopción o implantación de SNCP.  PCI DSS ‐ Julio de 2007 Auditorias y Chequeos  Incremento en el número de transacciones de pago electrónico • Se realizan más de 10 millones de transacciones al año • Representan un 28,08 % de la recaudación total 0 200 400 600 800 1000 1200 1400 1600 1800 2000 2000 2004 2007 2008
8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 9 Cumplimiento de PCI DSS Análisis del Estado de Cumplimiento: • Fase I: Análisis Preliminar del Estado de Cumplimiento • Fase II: Evaluación del Riesgo • Fase III: Programa de cumplimiento • Fase IV: Implantación de Requerimientos • Fase V: Verificación y Aprobación del Programa Acciones para el Cumplimiento de PCI DSS Ejecución del Plan de Acción Período 2008 ‐ 2011 Análisis del Estado de Cumplimiento: • Fase I: Análisis Preliminar del Estado de Cumplimiento • Fase II: Evaluación del Riesgo • Fase III: Programa de Cumplimiento • Fase IV: Implantación de Requerimientos • Fase V: Auditoría Dic. 2008 – Jul. 2009 Acciones • Marco Normativo  • Gestión de la Seguridad Perimetral / Arquitectura de Red* • Gestión de Logs y Monitorización • Gestión de Incidentes de Seguridad* • Control de Acceso Lógico  • Cumplimentar el Programa de Auditorías • Despliegue de EMV / SNCP Jul ‐ Dic 2007 Acciones Periódicas • Cuestionario de Cumplimiento  • Revisión periódica de vulnerabilidades  en la plataforma de pago electrónico Año 2010 ‐ SNCP
10 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 10 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
11 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 11 Hacia EMV y SNCP Asegurar que ningún elemento entre la máquina expendedora y el servidor de pago electrónico almacene  información de las tarjetas. Despliegue EMV y SNCP Plan de Acción 2008 – 2011 Proyecto Clave para Cumplimiento de PCI DSS reduciendo el entorno de aplicación Adaptar el hardware de las máquinas expendedoras especialmente en cuanto a la integración de PINPad EMV. Adaptar el software de pago electrónico utilizado y los protocolos de diálogo con las entidades financieras y las  entidades resolutoras. Certificar la plataforma y los procesos con los interlocutores correspondientes. Desplegar el software de pago electrónico adaptado en las máquinas expendedoras. Escenario de Convivencia de los dos Entornos: EMV y No‐EMV
12 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 12 Hacia EMV y SNCP Arquitectura Final
13 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 13 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
14 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 14 Beneficios Obtenidos  Incremento de la Seguridad de los Datos  Reducción del Fraude por Uso Ilícito de Tarjetas de Crédito  Mejora de la Satisfacción de los Clientes  Mejora de los Procesos Operativos
15 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 15

Recommandé

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 

Recommandé

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 

Contenu connexe

Plus de Internet Security Auditors

Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 

Plus de Internet Security Auditors (20)

Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
 

Implementación de SNCP. 2ª Jornada sobre seguridad en Medios de Pago

  • 1. 1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel IMPLANTACIÓN DE SNCP Antonio S. Martínez García Responsable del Área de Seguridad Informática Metro de Madrid, S.A. IMPLANTACIÓN DE SNCP Antonio S. Martínez García Responsable del Área de Seguridad Informática Metro de Madrid, S.A.
  • 2. 2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
  • 3. 3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
  • 4. 4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 Datos de Metro de Madrid, S.A. Red:Red: 1212 LLííneasneas ++ 11 RamalRamal MetroMetro PesadoPesado ++ 11 LLííneanea MetroMetro LigeroLigero 284284 km de redkm de red 294294 EstacionesEstaciones 340340 VestVestííbulosbulos DemandaDemanda:: 685,54685,54 MillonesMillones dede ViajesViajes DDííaa MMááximoximo:: 2,62,6 MillonesMillones dede ViajesViajes OfertaOferta:: 202202 Millones de Coches xMillones de Coches x KmKm 334334 MMááximo Trenes en Hora Puntaximo Trenes en Hora Punta CalidadCalidad deldel ServicioServicio: 7,38: 7,38 Red enRed en ExplotaciExplotacióónn Material:Material: 22752275 Coches yCoches y 88 Unidades de Metro LigeroUnidades de Metro Ligero InstalacionesInstalaciones:: 16141614 EscalerasEscaleras MecMecáánicasnicas,, 468468 AscensoresAscensores,, 17161716 MMááquinasquinas AutomAutomááticasticas,, 25032503 TorniquetesTorniquetes,, 46914691 InterfonosInterfonos PlantillaPlantilla:: 75987598 EmpleadosEmpleados SeguridadSeguridad:: 4,024,02 Millones de horas vigilanciaMillones de horas vigilancia MediosMedios HumanosHumanos yy MaterialesMateriales
  • 5. 5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 Datos de Metro de Madrid, S.A. IngresosIngresos 1.293,491.293,49 DatosDatos EconEconóómicosmicos ((MillonesMillones dede €€)) GastosGastos 1.255,601.255,60 InversiInversióónn EjecutadaEjecutada 145145 ResultadoResultado 37,8937,89 Empleados Km red Estaciones Coches Escaleras Mecánicas MADRID 7.598 284,11 294 2275 1614 PARIS 9.966 215,50PARIS 9.966 215,50 382 3496382 3496 504504 LONDRES 15.098 438,90LONDRES 15.098 438,90 323 4067323 4067 434434 MOSCMOSCÚÚ 35.577 298,2035.577 298,20 180 4504 5180 4504 59898 N.YORK 27.961 479,60N.YORK 27.961 479,60 468 6417468 6417 174174 H.KONG 8.314 174,70H.KONG 8.314 174,70 97 169897 1698 s.ds.d BEIJING 15.024 200,00BEIJING 15.024 200,00 106 1320106 1320 s.ds.d MEXICOMEXICO s.ds.d 201,00 75 3201,00 75 3042042 s.ds.d S.PAULO 7.776 61,30S.PAULO 7.776 61,30 58 70258 702 s.ds.d ComparativaComparativa concon otrosotros Metros delMetros del MundoMundo
  • 6. 6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
  • 7. 7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 Antecedentes: Primeros Pasos En marzo de 2007 se nos requiere el cumplimiento con el programa existiendo dos alternativas: 1. Acogerse a la Solución Nacional de Cifrado de Pistas (SNCP). 2. Cumplir con el programa de auditorias periódicas establecidas por las marcas de tarjetas. Nos aplica en tanto: 1. Somos un establecimiento que transmite, procesa y/o almacena Información de Cuentas y Tarjetas. 2. Gestionamos nuestros propios terminales punto de venta. Programa de Protección de Información en Tarjetas  El 89.59% de la demanda se concentra en el billete de 10 viajes y los  abonos mensual y anual (tendencia similar entre los años 2005 y 2008),  y especialmente en los fines de mes.  Incremento en el parque de máquinas automáticas expendedoras Pago Electrónico desde el año 1999 Clasificados en la Categoría 2 en tanto ciframos toda la información de la pista pero requerimos el número  de tarjeta (PAN) en claro principalmente para atender las reclamaciones de los clientes. Esto conlleva, con  alguna consideración particular, lo siguiente: • Cumplimentación del cuestionario simplificado PCI‐DSS. • Migración hacia EMV con miras a la adopción o implantación de SNCP.  PCI DSS ‐ Julio de 2007 Auditorias y Chequeos  Incremento en el número de transacciones de pago electrónico • Se realizan más de 10 millones de transacciones al año • Representan un 28,08 % de la recaudación total 0 200 400 600 800 1000 1200 1400 1600 1800 2000 2000 2004 2007 2008
  • 8. 8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
  • 9. 9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 9 Cumplimiento de PCI DSS Análisis del Estado de Cumplimiento: • Fase I: Análisis Preliminar del Estado de Cumplimiento • Fase II: Evaluación del Riesgo • Fase III: Programa de cumplimiento • Fase IV: Implantación de Requerimientos • Fase V: Verificación y Aprobación del Programa Acciones para el Cumplimiento de PCI DSS Ejecución del Plan de Acción Período 2008 ‐ 2011 Análisis del Estado de Cumplimiento: • Fase I: Análisis Preliminar del Estado de Cumplimiento • Fase II: Evaluación del Riesgo • Fase III: Programa de Cumplimiento • Fase IV: Implantación de Requerimientos • Fase V: Auditoría Dic. 2008 – Jul. 2009 Acciones • Marco Normativo  • Gestión de la Seguridad Perimetral / Arquitectura de Red* • Gestión de Logs y Monitorización • Gestión de Incidentes de Seguridad* • Control de Acceso Lógico  • Cumplimentar el Programa de Auditorías • Despliegue de EMV / SNCP Jul ‐ Dic 2007 Acciones Periódicas • Cuestionario de Cumplimiento  • Revisión periódica de vulnerabilidades  en la plataforma de pago electrónico Año 2010 ‐ SNCP
  • 10. 10 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 10 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
  • 11. 11 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 11 Hacia EMV y SNCP Asegurar que ningún elemento entre la máquina expendedora y el servidor de pago electrónico almacene  información de las tarjetas. Despliegue EMV y SNCP Plan de Acción 2008 – 2011 Proyecto Clave para Cumplimiento de PCI DSS reduciendo el entorno de aplicación Adaptar el hardware de las máquinas expendedoras especialmente en cuanto a la integración de PINPad EMV. Adaptar el software de pago electrónico utilizado y los protocolos de diálogo con las entidades financieras y las  entidades resolutoras. Certificar la plataforma y los procesos con los interlocutores correspondientes. Desplegar el software de pago electrónico adaptado en las máquinas expendedoras. Escenario de Convivencia de los dos Entornos: EMV y No‐EMV
  • 12. 12 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 12 Hacia EMV y SNCP Arquitectura Final
  • 13. 13 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 13 Índice 3 Cumplimiento de PCI DSS 4 2 Antecedentes: Primeros Pasos 5 Beneficios Esperados 1 Nuestra empresa: METRO DE MADRID S.A. Hacia EMV y SNCP
  • 14. 14 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 14 Beneficios Obtenidos  Incremento de la Seguridad de los Datos  Reducción del Fraude por Uso Ilícito de Tarjetas de Crédito  Mejora de la Satisfacción de los Clientes  Mejora de los Procesos Operativos
  • 15. 15 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 15