SlideShare une entreprise Scribd logo

Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

Internet Security Auditors
Internet Security Auditors

Mario Rueda, responsable de Seguridad de Abertis Autopistas, baso su presentación en explicar el desarrollo del marco normativo y del repositorio de datos realizados ambos durante la implementación de la normativa PCI DSS.

Technologie
1  sur  18
Télécharger pour lire hors ligne
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 1 PCI-DSS PA-DSS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 2 Proyecto de adecuación a la normativa PCI-DSS Índice 1. Marco Normativo. 2. Repositorio de Datos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 3 1Objeto. Marco normativo. Informar, formar y concienciar sobre: • La estrategia de seguridad de abertis Autopistas con respecto al entorno PCI DSS. • Definir las líneas generales de actuación para evitar amenazas y reaccionar ante incidentes de seguridad que afecten al entorno PCI DSS. • Definir el cumplimiento obligatorioi para todos los empleados y colaboradores internos y/o externos. Sin una política y procedimientos documentados no es posible garantizar la seguridad del entorno y por tanto cumplir con PCI DSS.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 4 1Alineamiento. Marco normativo. • Revisar qué políticas, procedimientos, instrucciones técnicas existentes y adaptarlas a PCI DSS. • Alinear con otros estándares y normas existentes (ISO 27001, LOPD). • Documentar todo requerimiento para facilitar su cumplimiento permanentemente. • Establecer revisiones y actualizaciones periódicas.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 5 1Normativas. Marco normativo. • Control de Acceso. • Criptografía y Gestión de Claves. • Gestión de Terceras Partes. • Roles y Responsabilidades. • Tratamiento de la Información. • Monitorización y Auditoría. • Seguridad de las Plataformas. • Uso de Recursos Críticos. • …
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 6 1Tabla de correlación. Marco normativo. Permite tener presente la afectación de un cambio en el cumplimiento de los distintos estándares: • A nivel documental facilitando la integración en el SGI. • En la implementación de soluciones o ejecución de proyectos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 7 2 Repositorio de datos. Propósito: • Identificar/inventariar todos los posible repositorios de datos de titulares de tarjetas de pago. Problemáticas: • Aplicaciones satélites desarrolladas • por los propios usuarios. • Filosofía opuesta en el desarrollo y las • bases de datos, cuántos más datos mejor! • Múltiples departamentos, usuarios, aplicaciones y canales de transmisión de datos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 8 2 Repositorio de datos. • Almacenar la menor cantidad de datos que sea posible. La información que se almacene debe seguir las políticas de retención y eliminación, y estar inventariada adecuadamente. • Aquellos datos de tarjeta que sean almacenados, deberán permanecer ilegibles mediante mecanismos como el cifrado o el truncado. • Siempre que deban visualizarse datos de tarjetas mediante alguna aplicación, solo deberán mostrarse los primeros 4 y últimos 6 dígitos del PAN. Conceptos básicos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 9 2 Repositorio de datos. • Se prohíbe el almacenamiento de datos sensibles tras el proceso de autorización, aunque estén cifrados y en cualquier tipo de soporte de almacenamiento Conceptos básicos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 10 2 Repositorio de datos. Conceptos básicos.  Protocolos de transmisión como telnet, HTTP o FTP no son válidos.  Los requerimientos de almacenamiento afectan a cualquier tipo de soporte (papel, cintas, DVD’s…).  El cifrado de los datos implica una gestión de claves de cifrado, para la que se requieren ciertos requerimientos referentes a la fortaleza de las claves, cambio periódico, su almacenamiento y distribución, revocado y destrucción, así como responsabilidades para su custodia y protección.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 11 2 Repositorio de datos. Acciones realizadas. 1. Identificar todos los sistemas que almacenan, procesan o transmiten datos de tarjeta. • Analizar y entender los procesos que obtienen datos de titulares de tarjeta de pago. • Entrevistas con los responsables de los departamentos. • Análisis de los usos de los datos de tarjeta. • Datos compartidos entre procesos y/o departamentos. • Ejecución de herramientas y scripts para la localización de datos “desconocidos”.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 12 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Origen (Cómo se han obtenido los datos). • Datos obtenidos (PAN, Service Code, Fecha Caducidad…) • Función y Justificación de negocio. • Periodo de retención. • Control de acceso a datos. • Transmisión de datos entre procesos. • Método de borrado utilizado. • Formato en el que se almacenan y medidas de protección aplicadas (tipo de cifrado…). • Dispositivos, Sistemas y Aplicaciones relacionadas.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 13 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Dando como resultado la Matriz de Datos. que permite : • afrontar una auditoría. • tener control sobre los datos. • estudiar acciones para acotar el entorno.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 14 2 Repositorio de datos. Acciones realizadas. 3. Estudio de la necesidad: • Una vez identificados todos los repositorios de datos, es posible determinar la necesidad de su existencia, valorando: o Eliminación del fichero o campo en la aplicación/BBDD. o Integración de funcionalidades en menos aplicaciones. o Uso de técnicas para reducir el alcance como: • Truncado de datos. • Enmascaramiento. • Tokenización. o Cambios en los procesos de negocio, para eliminar la necesidad de trabajar con datos de tarjeta. o Uso de protocolos de transmisión distintos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 15 2 Repositorio de datos. Beneficios obtenidos. • Concienciación debido a las reuniones y consultas realizadas. • Eliminación de aplicaciones satélites, listados y repositorios individuales. • Mejoras en el desarrollo, al incorporar en el proceso decisiones críticas como el enmascaramiento de datos, estudiar la necesidad de almacenar datos de tarjeta, etc. • Estudio de los tiempos y justificaciones de retención de datos. • Minimización de riesgos – Saber con determinación donde hay datos críticos. – A medida que crecen los repositorios de datos, los riesgos son cada vez mayores. – A mayor cantidad de datos comprometidos, mayores son las consecuencias del compromiso (multas, penalizaciones). – Limitar el uso de tecnologías de mensajería para el tratamiento de datos de tarjeta de pago. – Menor acceso a datos, y más controlado.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 16 2 Repositorio de datos. Recomendaciones. • Reducir los repositorios de datos al mínimo realmente imprescindible. • Si no lo necesitas, no lo almacenes! • Impedir la extracción de datos mediante listados, documentos ofimáticos, etc., a través de las aplicaciones corporativas. • Lanzar procesos automáticos periódicamente para el descubrimiento de datos de tarjeta no autorizados. – Expresiones regulares. – Formula de Luhn.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 17 ¿PREGUNTAS?
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 18 MUCHAS GRACIAS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

Recommandé

Base de datos victor
Base de datos victor Base de datos victor
Base de datos victor victor manuel samagaio bolivar
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDAdigital
 
Taller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas DataTaller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas Dataamdia
 
Capitulo5
Capitulo5Capitulo5
Capitulo5guestccd1e1
 
Implicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesImplicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesAdigital
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónAVPD - Agencia Vasca de Protección de Datos
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 

Recommandé

Base de datos victor
Base de datos victor Base de datos victor
Base de datos victor victor manuel samagaio bolivar
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDAdigital
 
Taller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas DataTaller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas Dataamdia
 
Capitulo5
Capitulo5Capitulo5
Capitulo5guestccd1e1
 
Implicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesImplicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesAdigital
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónAVPD - Agencia Vasca de Protección de Datos
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
 
El nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalEl nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalAdigital
 
II Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDII Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDPribatua
 
Base de datos 217 1bn
Base de datos 217 1bnBase de datos 217 1bn
Base de datos 217 1bnjuanjosetn
 
L a colección en la biblioteca digital
L a colección en la biblioteca digitalL a colección en la biblioteca digital
L a colección en la biblioteca digitalNube Digital SB
 
Sistema de bases de datos
Sistema de bases de datosSistema de bases de datos
Sistema de bases de datosAriel Medina
 
Digitalizacion de documentos
Digitalizacion de documentosDigitalizacion de documentos
Digitalizacion de documentosccarrillo23
 
Almacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosAlmacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosliras loca
 
Digitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaDigitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaGabriel Marin Brito
 
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?Pribatua
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Mesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasMesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasEmily Mermell
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Mineria de datos
Mineria de datosMineria de datos
Mineria de datosNéstor González
 
Poggi analytics - intro - 1c
Poggi analytics - intro - 1cPoggi analytics - intro - 1c
Poggi analytics - intro - 1cGaston Liberman
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisarAlexys Rodriguez
 
Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Agust Allende
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 

Contenu connexe

Tendances

Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
 
El nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalEl nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalAdigital
 
II Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDII Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDPribatua
 
Base de datos 217 1bn
Base de datos 217 1bnBase de datos 217 1bn
Base de datos 217 1bnjuanjosetn
 
L a colección en la biblioteca digital
L a colección en la biblioteca digitalL a colección en la biblioteca digital
L a colección en la biblioteca digitalNube Digital SB
 
Sistema de bases de datos
Sistema de bases de datosSistema de bases de datos
Sistema de bases de datosAriel Medina
 
Digitalizacion de documentos
Digitalizacion de documentosDigitalizacion de documentos
Digitalizacion de documentosccarrillo23
 
Almacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosAlmacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosliras loca
 
Digitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaDigitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaGabriel Marin Brito
 
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?Pribatua
 

Tendances (10)

Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...
 
El nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalEl nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digital
 
II Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDII Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPD
 
Base de datos 217 1bn
Base de datos 217 1bnBase de datos 217 1bn
Base de datos 217 1bn
 
L a colección en la biblioteca digital
L a colección en la biblioteca digitalL a colección en la biblioteca digital
L a colección en la biblioteca digital
 
Sistema de bases de datos
Sistema de bases de datosSistema de bases de datos
Sistema de bases de datos
 
Digitalizacion de documentos
Digitalizacion de documentosDigitalizacion de documentos
Digitalizacion de documentos
 
Almacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosAlmacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datos
 
Digitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaDigitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & Tecnología
 
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
 

Similaire à Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Mesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasMesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasEmily Mermell
 
Poggi analytics - intro - 1c
Poggi analytics - intro - 1cPoggi analytics - intro - 1c
Poggi analytics - intro - 1cGaston Liberman
 
Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Agust Allende
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...Fundación Ramón Areces
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalwendy456
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalwendy456
 
Preparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxPreparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxCarlosMolano21
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 

Similaire à Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa (20)

11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Mesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasMesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas Analiticas
 
Cap6
Cap6Cap6
Cap6
 
Cap6
Cap6Cap6
Cap6
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
Mineria de datos
Mineria de datosMineria de datos
Mineria de datos
 
Poggi analytics - intro - 1c
Poggi analytics - intro - 1cPoggi analytics - intro - 1c
Poggi analytics - intro - 1c
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzada
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Mineria de Datos
Mineria de DatosMineria de Datos
Mineria de Datos
 
Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]final
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]final
 
Preparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxPreparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptx
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Dernier

Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Dernier (10)

Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

  • 1. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 1 PCI-DSS PA-DSS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa
  • 2. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 2 Proyecto de adecuación a la normativa PCI-DSS Índice 1. Marco Normativo. 2. Repositorio de Datos.
  • 3. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 3 1Objeto. Marco normativo. Informar, formar y concienciar sobre: • La estrategia de seguridad de abertis Autopistas con respecto al entorno PCI DSS. • Definir las líneas generales de actuación para evitar amenazas y reaccionar ante incidentes de seguridad que afecten al entorno PCI DSS. • Definir el cumplimiento obligatorioi para todos los empleados y colaboradores internos y/o externos. Sin una política y procedimientos documentados no es posible garantizar la seguridad del entorno y por tanto cumplir con PCI DSS.
  • 4. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 4 1Alineamiento. Marco normativo. • Revisar qué políticas, procedimientos, instrucciones técnicas existentes y adaptarlas a PCI DSS. • Alinear con otros estándares y normas existentes (ISO 27001, LOPD). • Documentar todo requerimiento para facilitar su cumplimiento permanentemente. • Establecer revisiones y actualizaciones periódicas.
  • 5. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 5 1Normativas. Marco normativo. • Control de Acceso. • Criptografía y Gestión de Claves. • Gestión de Terceras Partes. • Roles y Responsabilidades. • Tratamiento de la Información. • Monitorización y Auditoría. • Seguridad de las Plataformas. • Uso de Recursos Críticos. • …
  • 6. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 6 1Tabla de correlación. Marco normativo. Permite tener presente la afectación de un cambio en el cumplimiento de los distintos estándares: • A nivel documental facilitando la integración en el SGI. • En la implementación de soluciones o ejecución de proyectos.
  • 7. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 7 2 Repositorio de datos. Propósito: • Identificar/inventariar todos los posible repositorios de datos de titulares de tarjetas de pago. Problemáticas: • Aplicaciones satélites desarrolladas • por los propios usuarios. • Filosofía opuesta en el desarrollo y las • bases de datos, cuántos más datos mejor! • Múltiples departamentos, usuarios, aplicaciones y canales de transmisión de datos.
  • 8. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 8 2 Repositorio de datos. • Almacenar la menor cantidad de datos que sea posible. La información que se almacene debe seguir las políticas de retención y eliminación, y estar inventariada adecuadamente. • Aquellos datos de tarjeta que sean almacenados, deberán permanecer ilegibles mediante mecanismos como el cifrado o el truncado. • Siempre que deban visualizarse datos de tarjetas mediante alguna aplicación, solo deberán mostrarse los primeros 4 y últimos 6 dígitos del PAN. Conceptos básicos.
  • 9. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 9 2 Repositorio de datos. • Se prohíbe el almacenamiento de datos sensibles tras el proceso de autorización, aunque estén cifrados y en cualquier tipo de soporte de almacenamiento Conceptos básicos.
  • 10. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 10 2 Repositorio de datos. Conceptos básicos.  Protocolos de transmisión como telnet, HTTP o FTP no son válidos.  Los requerimientos de almacenamiento afectan a cualquier tipo de soporte (papel, cintas, DVD’s…).  El cifrado de los datos implica una gestión de claves de cifrado, para la que se requieren ciertos requerimientos referentes a la fortaleza de las claves, cambio periódico, su almacenamiento y distribución, revocado y destrucción, así como responsabilidades para su custodia y protección.
  • 11. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 11 2 Repositorio de datos. Acciones realizadas. 1. Identificar todos los sistemas que almacenan, procesan o transmiten datos de tarjeta. • Analizar y entender los procesos que obtienen datos de titulares de tarjeta de pago. • Entrevistas con los responsables de los departamentos. • Análisis de los usos de los datos de tarjeta. • Datos compartidos entre procesos y/o departamentos. • Ejecución de herramientas y scripts para la localización de datos “desconocidos”.
  • 12. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 12 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Origen (Cómo se han obtenido los datos). • Datos obtenidos (PAN, Service Code, Fecha Caducidad…) • Función y Justificación de negocio. • Periodo de retención. • Control de acceso a datos. • Transmisión de datos entre procesos. • Método de borrado utilizado. • Formato en el que se almacenan y medidas de protección aplicadas (tipo de cifrado…). • Dispositivos, Sistemas y Aplicaciones relacionadas.
  • 13. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 13 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Dando como resultado la Matriz de Datos. que permite : • afrontar una auditoría. • tener control sobre los datos. • estudiar acciones para acotar el entorno.
  • 14. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 14 2 Repositorio de datos. Acciones realizadas. 3. Estudio de la necesidad: • Una vez identificados todos los repositorios de datos, es posible determinar la necesidad de su existencia, valorando: o Eliminación del fichero o campo en la aplicación/BBDD. o Integración de funcionalidades en menos aplicaciones. o Uso de técnicas para reducir el alcance como: • Truncado de datos. • Enmascaramiento. • Tokenización. o Cambios en los procesos de negocio, para eliminar la necesidad de trabajar con datos de tarjeta. o Uso de protocolos de transmisión distintos.
  • 15. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 15 2 Repositorio de datos. Beneficios obtenidos. • Concienciación debido a las reuniones y consultas realizadas. • Eliminación de aplicaciones satélites, listados y repositorios individuales. • Mejoras en el desarrollo, al incorporar en el proceso decisiones críticas como el enmascaramiento de datos, estudiar la necesidad de almacenar datos de tarjeta, etc. • Estudio de los tiempos y justificaciones de retención de datos. • Minimización de riesgos – Saber con determinación donde hay datos críticos. – A medida que crecen los repositorios de datos, los riesgos son cada vez mayores. – A mayor cantidad de datos comprometidos, mayores son las consecuencias del compromiso (multas, penalizaciones). – Limitar el uso de tecnologías de mensajería para el tratamiento de datos de tarjeta de pago. – Menor acceso a datos, y más controlado.
  • 16. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 16 2 Repositorio de datos. Recomendaciones. • Reducir los repositorios de datos al mínimo realmente imprescindible. • Si no lo necesitas, no lo almacenes! • Impedir la extracción de datos mediante listados, documentos ofimáticos, etc., a través de las aplicaciones corporativas. • Lanzar procesos automáticos periódicamente para el descubrimiento de datos de tarjeta no autorizados. – Expresiones regulares. – Formula de Luhn.
  • 17. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 17 ¿PREGUNTAS?
  • 18. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 18 MUCHAS GRACIAS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa