SlideShare une entreprise Scribd logo

Auditoría de Sistemas y reglamentacion PCI

Télécharger en tant que PPTX, PDF
Universidad de Panamá
Universidad de Panamá
Technologie
1  sur  55
Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara
PCI Security Standards Council Elementos para la alineación PCI DSS Requerimientos de PCI DSS Historia Actualizaciones e información adicional Cómo empezar PA DSS Requerimientos Gobernabilidad y cumplimiento Historia Futuro Estándares PCI
Quién debe cumplir con esta regulación Proceso de cumplimiento Asesores aprobados y fabricantes certificados Obligaciones de los comercios Comercios: Niveles Cuestiones a considerar de los comercios Qué se entiende por SP Proveedores de servicios: Niveles Entidades Adquirentes y Emisoras Desarrolladores de aplicaciones de pago Beneficios de cumplir con PCI
El Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago es un foro mundial abierto destinado a la formulación, mejora, almacenamiento, difusión y aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. Su misión es aumentar la seguridad de los datos de cuentas de pago mediante la promoción de la educación y el conocimiento sobre las Normas de seguridad de la PCI (Industria de tarjetas de pago).
Hasta octubre de 2006: Cada marca de tarjetas tenía su propio programa de requerimientos de seguridad. Actividad descoordinada
En octubre de 2006, se forma el PCI SSC para coordinar y administrar los esfuerzos conjuntamente para combatir el robo de datos de titulares de tarjetas.
Significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas. Los comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.
La versión actual de la norma es la versión 2.0, lanzada el 26 de octubre de 2010. PCI DSS versión 2.0 debe ser adoptada por todas las organizaciones con datos de tarjetas de pago antes del 1 de enero de 2011 y desde el 1 de enero de 2012 todas las evaluaciones deben estar conforme a la versión 2.0 de la norma. PCI DSS versión 2.0 tiene dos requisitos nuevos y está en desarrollo de 132 cambios.
La siguiente tabla resume los diferentes puntos de la versión 1.2 de 1 de octubre de 2008, y especifica los 12 requisitos para el cumplimiento, organizados en seis grupos relacionados lógicamente, que se denominan "objetivos de control".
PCI DSS comenzó originalmente como cinco programas diferentes: Programa de Seguridad de la Información de Tarjetas Visa, Sitio de Protección de Datos MasterCard, Política Operativa de Seguridad de Datos American Express, Información y Cumplimiento Discover, y el Programa de Seguridad de Datos de JCB. Las intenciones de cada compañía fueron más o menos similares: crear un nivel adicional de protección para los emisores de tarjetas, asegurando que los comerciantes cumplan con los niveles mínimos de seguridad cuando se almacenan, procesan y transmiten datos de titulares de tarjetas.
En septiembre de 2006, el estándar PCI se actualizó a la versión 1.1 para proporcionar aclaraciones y revisiones menores a la versión 1.0. La versión 1.2 fue lanzada el 1 de octubre de 2008. La versión 1.1 el 31 de diciembre de 2008. La v1.2 no cambió los requisitos, sólo mayor claridad, una mayor flexibilidad, y se dirigió a la evolución de los riesgos /amenazas. En agosto de 2009, el PCI SSC anunció el paso de la versión 1.2 a la versión 1.2.1 para el propósito de hacer pequeñas correcciones encaminadas a crear más claridad y coherencia entre las normas y los documentos de apoyo.
El PCI SSC ha lanzado varias piezas complementarias de información para aclarar diversos requisitos. Estos documentos incluyen la siguiente: •Suplemento informativo: Requisito 11.3 Pruebas de Penetración •Suplemento informativo: Requisito 6.6 revisiones de código y cortafuegos de aplicación Clarificado •Navegando por el PCI DSS - Comprensión del objetivo de los requisitos •Suplemento informativo: PCI DSS Directrices inalámbricas
Documento titular de flujo de datos - Uno de los primeros pasos en el cumplimiento de PCI es documentar el flujo de los datos de los tarjetahabientes. Los flujos de datos de los tarjetahabientes entre y a través de aplicaciones, sistemas y dispositivos de red. Es muy importante documentar el flujo de todos los datos de los tarjetahabientes antes de comenzar cualquier actividad de evaluación.
Desarrollar un inventario del sistema - un inventario de todos los sistemas que almacenan, procesan y / o transmiten datos de tarjetas debe mantenerse. La siguiente información, como mínimo, se debe mantener en el inventario: •Nombre del sistema •Datos de tarjetas almacenados (campos de lista) •Motivo de almacenamiento •El período de retención •Mecanismo de protección (por ejemplo, hashing, encriptación, o truncamiento)
Es de señalar que cuando se está desarrollando el sistema de inventario se debe dividir las aplicaciones y componentes del sistema en categorías para efectos de la definición del alcance. •Categoría 1 aplicaciones y componentes del sistema: Aplicaciones y sistemas que directamente almacenan, procesan o transmiten datos de tarjetas o se encuentran en la misma red que dichas aplicaciones y sistemas •Categoría 2: Componentes del sistema: Componentes del sistema que apoyan el entorno (es decir, Active Directory, NTP, DNS, Anti-virus, los servidores de parches, etc) •Categoría 3 Componentes del sistema: Todos los demás componentes del sistema que no sean de Nivel 1 y Nivel 2
Las Normas de Seguridad de Datos para las Aplicaciones de Pago. Anteriormente conocido como las Mejores Prácticas de Aplicaciones de Pago (PABP), es el estándar de seguridad global creado por el Payment Card Industry Security Standards Council (PCI SSC). PA-DSS se puso en práctica en un esfuerzo por proporcionar un estándar para los proveedores de software que desarrollan aplicaciones de pago.
La norma tiene por objeto evitar que las aplicaciones de pago desarrolladas por cuenta de terceros practiquen el almacenamiento seguro de datos prohibidos, incluyendo banda magnética, CVV2 o PIN. En ese proceso, la norma también establece que los proveedores de software que desarrollan aplicaciones de pago deben asegurarse de que estas son compatibles con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Para que una aplicación de pago se considere compatible con PA-DSS, los proveedores de software deben asegurarse de que su software incluye las siguientes 14 protecciones
7. Someter a prueba las aplicaciones de pago para identificar vulnerabilidades. 10. Implementar actualizaciones de software remotas seguras. 14. Mantener la documentación de instrucción y programas de formación para clientes, revendedores e integradores.
PCI SSC ha compilado una lista de las aplicaciones de pago que han sido validadas como conformes con PA-DSS, para reflejar quienes cumplen en la medida que se desarrollan. La creación y aplicación de estas normas se apoya en la actualidad con PCI SSC a través de los Asesores de Seguridad Calificados de Aplicaciones de Pago (PA-QSA). PA-QSA que aplican revisiones periódicas a las aplicaciones de pago que ayudan a los proveedores de software a asegurarse que las aplicaciones son compatibles con los estándares PCI.
Gobernado originalmente por Visa Inc., bajo el nombre de PABP, PA-DSS se puso en marcha el 15 de abril de 2008 y fue actualizado el 15 de octubre de 2008. PA-DSS se distinguió a través de la "versión 1.1" y "versión 1.2".
El futuro de estas normas es algo vago, con la atención del Congreso Estadounidense que da lugar a la posibilidad de la intervención gubernamental. En cualquier caso, el cumplimiento de las normas puede resultar costoso y consume tiempo para los proveedores de software, con el gasto actual de la certificación PA-DSS superando a otros métodos de cumplimiento. Dado el costo de cumplimiento y certificación, las alternativas actuales o aún indeterminadas podrían surgir en el mercado de cumplimiento de las normas PCI. Visa USA anunció un impulso más agresivo en este tipo de tecnología (chip y pin) en agosto de 2011. Visa Press Release
El PCI SSC ha publicado materiales que aclaran aún más PA-DSS, incluyendo las siguientes: •Requisitos PA-DSS y procedimientos de evaluación de seguridad. •Los cambios de las normas anteriores. •Guía de programación General para QSA.
Cualquier compañía (comercios, procesadores, entidades adquirentes, emisoras, proveedores de servicio) que almacene, procese, o transmita información de un tarjetahabiente debe cumplir con PCI y realizar auditorías periódicas.
Participantes en la regulación PCI Aplicaciones de pago
Dependiendo del tipo de compañía se requerirá de pasar por una auditoría PCI cada año o completar un cuestionario de autoevaluación con el fin de poder validar el cumplimiento de dicha auditoría. Además de esta actividad, se tendrán que presentar los resultados trimestrales del análisis de vulnerabilidades del perímetro de red (el cual tiene que ser realizado por un fabricante debidamente certificado para la realización de auditorías PCI), el cual es evidencia del desarrollo de esta actividad. Se busca con estas pruebas de vulnerabilidad demostrar que su compañía posee las mejores prácticas en lo relacionado con la remedición y la gestión de vulnerabilidades. Este será, pues, el objetivo principal de la auditoría PCI.
Verificaciones técnicas de seguridad PCI DSS requiere la realización de 5 tipos de verificaciones técnicas de seguridad periódicas a la infraestructura de datos de tarjetas
Verificaciones técnicas de seguridad
PCI Co, ahora controla qué compañías le son permitidas conducir una auditoría PCI. Estas compañías, conocidas oficialmente como •Qualified Security Assessor Companies (QSACs), son organizaciones que han sido calificados por el Council para que sus empleados puedan evaluar el cumplimiento de la norma PCI DSS. Estos deben recorrer un proceso de aplicaciones y calificaciones con el fin de demostrar su cumplimiento a través de la calidad de sus procesos operativos y administrativos.
Los QSACs también deben invertir en entrenamiento y certificación del personal con el fin de construir un equipo de: Qualified Security Assesors (QSAs), cuyo objetivo principal es llevar a cabo una evaluación de una empresa que maneja los datos de tarjetas de crédito en contra de los objetivos de control de alto nivel de la Norma de Seguridad de Datos PCI (PCI DSS). Approved Scanning Vendor (ASV), son organizaciones que validan el cumplimiento de determinados requisitos DSS mediante la realización de análisis de vulnerabilidades de Internet a las que se enfrentan entornos de comerciantes y prestadores de servicios.
Asesores de Seguridad Calificados(QSA)
Estas compañías deben recorrer un proceso similar al de los QSAC. La diferencia radica en que en el caso de los QSAC, los cuales deben atender entrenamientos periódicos y anuales, los ASVs deben enviar un informe de resultados contra un perímetro de red. Una compañía puede elegir ser tanto QSAC como ASV, lo que le permitirá ser un único fabricante en capacidad de ofrecer la auditoría completa PCI.
En general, las marcas de tarjetas (VISA, MASTER, JCB, AMEX, DISCOVER) definen unos niveles de cumplimiento para los comercios. Para cada nivel de cumplimiento de los comercios, se establecen una serie de obligaciones. En general, se definen 4 niveles para el caso de los comercios, atendiendo principalmente al número de transacciones por año.
Implica la realización de una Auditoria anual por parte de un QSA (Qualified Security Assesor) que rellenaría un ROC (Report Of Compliance) que se enviaría a cada una de las marcas. En esta auditoría se realiza un estudio exhaustivo del estado de cumplimiento del comercio, así como diversos controles de seguridad (Escaneos de red trimestrales por un ASV Approved Scanning Vendor). Se entiende como comercio de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 6 millones de transacciones VISA, MASTER o DISCOVER. •Más de 2,5 millones de transacciones AMEX •Más de 1 millón de transacciones JCB Adicionalmente, se consideran también comercios Nivel-1 a aquellos que han sufrido un ataque en el que se hayan puesto en compromiso datos de tarjeta o cualesquiera que una marca considere debe ser de Nivel-1.
Se entiende como comercio de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER. •Entre 50K y 2,5 millones de transacciones AMEX •Menos de 1 millón de transacciones JCB En este nivel, los comercios no están obligados a llevar a cabo una auditoria PCI-DSS anual; en su lugar, deben rellenar un formulario de autoevaluación conocido como SAQ (Self-Assessment Questionnarie). Sin embargo, las cosas no son tan fáciles; En el caso de MASTER, desde Junio de 2012 es de obligado cumplimiento que si quieren presentar un SAQ, éste sea rellenado por un persona que tenga el certificado PCI SSC ISA (Internal Security Auditor) y para ello, deberá asistir a los cursos organizados por el Council. En caso contrario, deberá llevarse a cabo una Auditoria anual por parte de un QSA. Esto todavía se puede complicar más si resulta que un comercio que por número de transacciones no sea Nivel-2 en MASTER, pero sí lo sea para VISA, automáticamente se considera también Nivel-2 de MASTER.
Este nivel está específicamente diseñado para transacciones de e-commerce y además, no todas las marcas lo consideran. Se entiende como comercio de Nivel-3 a los que procesen el siguiente número de transacciones/año: •Entre 20K y 1 millón de transacciones de comercio electrónico de VISA, MASTER o DISCOVER. •Menos de 50K transacciones AMEX
Se trata del nivel menos restrictivo de todos. La única obligación en estos casos es rellenar el SAQ y se recomienda el realizar un escaneo trimestral de red, aunque se deja a consideración de la entidad adquirente el obligar o no a los comercios a llevarlo a cabo. Evidentemente, esto implica que ninguna entidad lo haga.
Los SP son organizaciones que prestan servicios a los comercios, entidades financieras y/o a otras entidades relacionados con el procesamiento de las transacciones. Los SP incluyen los Procesadores, los Third-Party processors y los Gateway providers, entre otros. En general, cualquier entidad que realice o proporcione servicios relacionados con los medios de pago a terceros. En este apartado también se encuentra Entidades Financieras que realizan determinados servicios: por ejemplo Clearing & Settlement, Autorizaciones en backup, etc a otras entidades financieras.
Se entiende como SP de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 300K transacciones VISA, MASTER. •Cualquier número de transacciones DISCOVER, AMEX o JCB Implica la realización de una Auditoria anual por parte de un QSA generando el ROC (Report Of Compliance) que se envía a cada una de las marcas con las que opera y a la realización de escaneos de red trimestrales por parte de un ASV.
Se entiende como SP de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Menos de 300K transacciones VISA, MASTER. En este nivel sólo es necesario rellenar el ROC y realizar escaneos de red trimestrales por parte de un ASV.
En primer lugar, todas las Entidades (Adquirentes o Emisoras) están obligadas a cumplir PCI-DSS. Las marcas no obligan a las entidades a pasar auditorias anuales. La única marca que realiza tal consideración es DISCOVER, que califica a las Entidades Adquirentes como ‘Proveedores de Servicio’ (SP). También existe una mención por parte de VISA USA en la que se indica que todos los Emisores miembros de VISA que estén conectados directamente a VISANET o que procesen en nombre de otro miembro de VISA deben validar de forma anual su cumplimiento con PCI-DSS, lo cual implica una Auditoria.
Todas las empresas que comercialicen soluciones de software para pagos con tarjetas deben cumplir PA DSS Se certifica una versión específica de software. Las marcas de tarjetas definen el requisito a los clientes de utilizar aplicaciones certificadas. Entre las aplicaciones que aparecen en el listado oficial de aplicaciones certificadas, se encuentran: •E-Payment Integrator •FDMS Integrator •Paymentech Integrator •TSYS Integrator •SmartHUB Kiosk •911 Software CreditLine Secure •Ability OMS •MARKET2
•Promover la integridad del comercio y aumentar la confianza de los consumidores en el negocio. •Incrementar las ventas como consecuencia del aumento en la confianza de los consumidores. •Proteger al comercio de posibles pérdidas de ingresos, investigaciones no deseadas y costos legales. •Reducir el riesgo de atención no deseada de la prensa como resultado de un compromiso o fuga de información de clientes. •Proyectar mayor conciencia de los controles y medidas preventivas de seguridad disponibles para el comercio. •Reducir las disputas de Tarjetahabientes y costos asociados a transacciones fraudulentas resultantes de un compromiso de información. •Prevenir el robo masivo de información de clientes. •Facilitar la adopción de estándares de seguridad válidos a nivel global. •Generar una herramienta que establece las posibles vulnerabilidades que tiene el sistema de información.
Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara ¡GRACIAS!

Recommandé

Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.
WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.
WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.Arnaldo Joel Belisario Peña
 

Recommandé

Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.
WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.
WINGAS - GESTIÓN END TO END CADENA DE DISTRIBUCIÓN Y SUMINISTRO DE COMBUSTIBLE.Arnaldo Joel Belisario Peña
 
Gestión de Redes
Gestión de RedesGestión de Redes
Gestión de RedesUniversidad de Panamá
 
Esquema del PCI 2017.
Esquema del PCI 2017.Esquema del PCI 2017.
Esquema del PCI 2017.Marly Rodriguez
 
2014session6 3
2014session6 32014session6 3
2014session6 3acvq
 
Prosto dientes anteriores
Prosto dientes anterioresProsto dientes anteriores
Prosto dientes anterioresklauklau
 
Navidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran CanariaNavidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran Canariaguest977cd4
 
Hey usted, feliz navidad
Hey usted, feliz navidadHey usted, feliz navidad
Hey usted, feliz navidadevangelismo emslides
 
Parque Forestal
Parque ForestalParque Forestal
Parque Forestalcatamacro
 
Ch01 e
Ch01 eCh01 e
Ch01 eCristián Andrés Sepúlveda Muñoz
 
Dossier Andriani Lee 2010
Dossier Andriani Lee 2010Dossier Andriani Lee 2010
Dossier Andriani Lee 2010Andriani Lee Consultores
 
5 claves del exito avg
5 claves del exito avg5 claves del exito avg
5 claves del exito avgUniversidad Nacional Mayor de San Marcos
 
Les avantages du Saas
Les avantages du SaasLes avantages du Saas
Les avantages du SaasEric Lecoquierre
 
Los 3 Cerditos
Los 3 CerditosLos 3 Cerditos
Los 3 Cerditosyanete
 
Trabajo con cam studio
Trabajo con cam studioTrabajo con cam studio
Trabajo con cam studioeduc.ar
 
SOCIAL MEDIA
SOCIAL MEDIASOCIAL MEDIA
SOCIAL MEDIACREACTIVE
 
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Salainversion
 
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Salainversion
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuelaIAPEM
 
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoCortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoSalainversion
 
Zoom sur le management qualité
Zoom sur le management qualité Zoom sur le management qualité
Zoom sur le management qualité Visiativ Africa
 
Instalacion Del DNS
Instalacion Del DNSInstalacion Del DNS
Instalacion Del DNSProtrabaj
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 

Contenu connexe

En vedette

2014session6 3
2014session6 32014session6 3
2014session6 3acvq
 
Prosto dientes anteriores
Prosto dientes anterioresProsto dientes anteriores
Prosto dientes anterioresklauklau
 
Navidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran CanariaNavidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran Canariaguest977cd4
 
Parque Forestal
Parque ForestalParque Forestal
Parque Forestalcatamacro
 
Los 3 Cerditos
Los 3 CerditosLos 3 Cerditos
Los 3 Cerditosyanete
 
Trabajo con cam studio
Trabajo con cam studioTrabajo con cam studio
Trabajo con cam studioeduc.ar
 
SOCIAL MEDIA
SOCIAL MEDIASOCIAL MEDIA
SOCIAL MEDIACREACTIVE
 
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Salainversion
 
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Salainversion
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuelaIAPEM
 
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoCortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoSalainversion
 
Zoom sur le management qualité
Zoom sur le management qualité Zoom sur le management qualité
Zoom sur le management qualité Visiativ Africa
 
Instalacion Del DNS
Instalacion Del DNSInstalacion Del DNS
Instalacion Del DNSProtrabaj
 

En vedette (20)

Gestión de Redes
Gestión de RedesGestión de Redes
Gestión de Redes
 
Esquema del PCI 2017.
Esquema del PCI 2017.Esquema del PCI 2017.
Esquema del PCI 2017.
 
2014session6 3
2014session6 32014session6 3
2014session6 3
 
Prosto dientes anteriores
Prosto dientes anterioresProsto dientes anteriores
Prosto dientes anteriores
 
Navidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran CanariaNavidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran Canaria
 
Hey usted, feliz navidad
Hey usted, feliz navidadHey usted, feliz navidad
Hey usted, feliz navidad
 
Parque Forestal
Parque ForestalParque Forestal
Parque Forestal
 
Ch01 e
Ch01 eCh01 e
Ch01 e
 
Dossier Andriani Lee 2010
Dossier Andriani Lee 2010Dossier Andriani Lee 2010
Dossier Andriani Lee 2010
 
5 claves del exito avg
5 claves del exito avg5 claves del exito avg
5 claves del exito avg
 
Les avantages du Saas
Les avantages du SaasLes avantages du Saas
Les avantages du Saas
 
Los 3 Cerditos
Los 3 CerditosLos 3 Cerditos
Los 3 Cerditos
 
Trabajo con cam studio
Trabajo con cam studioTrabajo con cam studio
Trabajo con cam studio
 
SOCIAL MEDIA
SOCIAL MEDIASOCIAL MEDIA
SOCIAL MEDIA
 
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
 
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuela
 
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoCortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
 
Zoom sur le management qualité
Zoom sur le management qualité Zoom sur le management qualité
Zoom sur le management qualité
 
Instalacion Del DNS
Instalacion Del DNSInstalacion Del DNS
Instalacion Del DNS
 

Similaire à Auditoría de Sistemas y reglamentacion PCI

Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Normas de seguridad de datos pci - Tarjetas de pago
Normas de seguridad de datos pci - Tarjetas de pagoNormas de seguridad de datos pci - Tarjetas de pago
Normas de seguridad de datos pci - Tarjetas de pagowomege8784
 
Plataforma De Operaciones
Plataforma De OperacionesPlataforma De Operaciones
Plataforma De Operacionesinloac
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 

Similaire à Auditoría de Sistemas y reglamentacion PCI (20)

PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Normas de seguridad de datos pci - Tarjetas de pago
Normas de seguridad de datos pci - Tarjetas de pagoNormas de seguridad de datos pci - Tarjetas de pago
Normas de seguridad de datos pci - Tarjetas de pago
 
Plataforma De Operaciones
Plataforma De OperacionesPlataforma De Operaciones
Plataforma De Operaciones
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 

Plus de Universidad de Panamá

Proyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaProyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaUniversidad de Panamá
 
Sistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivosSistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivosUniversidad de Panamá
 
Sistemas de gestión de bases de datos
Sistemas de gestión de bases de datosSistemas de gestión de bases de datos
Sistemas de gestión de bases de datosUniversidad de Panamá
 

Plus de Universidad de Panamá (15)

Diseño asistido por computadora
Diseño asistido por computadoraDiseño asistido por computadora
Diseño asistido por computadora
 
Software libre aspectos legales
Software libre aspectos legalesSoftware libre aspectos legales
Software libre aspectos legales
 
Clases abstractas en JAVA
Clases abstractas en JAVAClases abstractas en JAVA
Clases abstractas en JAVA
 
Tsx-32 OS
Tsx-32 OSTsx-32 OS
Tsx-32 OS
 
Esteganografía y criptografía
Esteganografía y criptografíaEsteganografía y criptografía
Esteganografía y criptografía
 
Blackberry OS
Blackberry OSBlackberry OS
Blackberry OS
 
Sistema Experto Duprat
Sistema Experto DupratSistema Experto Duprat
Sistema Experto Duprat
 
Componentes del liderazgo
Componentes del liderazgoComponentes del liderazgo
Componentes del liderazgo
 
Proyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaProyecto administracion de una biblioteca
Proyecto administracion de una biblioteca
 
Proyecto de Base de Datos
Proyecto de Base de Datos Proyecto de Base de Datos
Proyecto de Base de Datos
 
Programacion dinamica
Programacion dinamicaProgramacion dinamica
Programacion dinamica
 
Lenguajes de bases de datos
Lenguajes de bases de datosLenguajes de bases de datos
Lenguajes de bases de datos
 
Estandarización
EstandarizaciónEstandarización
Estandarización
 
Sistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivosSistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivos
 
Sistemas de gestión de bases de datos
Sistemas de gestión de bases de datosSistemas de gestión de bases de datos
Sistemas de gestión de bases de datos
 

Dernier

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 

Dernier (15)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 

Auditoría de Sistemas y reglamentacion PCI

  • 1. Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara
  • 2. PCI Security Standards Council Elementos para la alineación PCI DSS Requerimientos de PCI DSS Historia Actualizaciones e información adicional Cómo empezar PA DSS Requerimientos Gobernabilidad y cumplimiento Historia Futuro Estándares PCI
  • 3. Quién debe cumplir con esta regulación Proceso de cumplimiento Asesores aprobados y fabricantes certificados Obligaciones de los comercios Comercios: Niveles Cuestiones a considerar de los comercios Qué se entiende por SP Proveedores de servicios: Niveles Entidades Adquirentes y Emisoras Desarrolladores de aplicaciones de pago Beneficios de cumplir con PCI
  • 4. El Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago es un foro mundial abierto destinado a la formulación, mejora, almacenamiento, difusión y aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. Su misión es aumentar la seguridad de los datos de cuentas de pago mediante la promoción de la educación y el conocimiento sobre las Normas de seguridad de la PCI (Industria de tarjetas de pago).
  • 5. Hasta octubre de 2006: Cada marca de tarjetas tenía su propio programa de requerimientos de seguridad. Actividad descoordinada
  • 6. En octubre de 2006, se forma el PCI SSC para coordinar y administrar los esfuerzos conjuntamente para combatir el robo de datos de titulares de tarjetas.
  • 7.
  • 8.
  • 9. Significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito.
  • 10. Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas. Los comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.
  • 11. La versión actual de la norma es la versión 2.0, lanzada el 26 de octubre de 2010. PCI DSS versión 2.0 debe ser adoptada por todas las organizaciones con datos de tarjetas de pago antes del 1 de enero de 2011 y desde el 1 de enero de 2012 todas las evaluaciones deben estar conforme a la versión 2.0 de la norma. PCI DSS versión 2.0 tiene dos requisitos nuevos y está en desarrollo de 132 cambios.
  • 12. La siguiente tabla resume los diferentes puntos de la versión 1.2 de 1 de octubre de 2008, y especifica los 12 requisitos para el cumplimiento, organizados en seis grupos relacionados lógicamente, que se denominan "objetivos de control".
  • 13.
  • 14.
  • 15.
  • 16. PCI DSS comenzó originalmente como cinco programas diferentes: Programa de Seguridad de la Información de Tarjetas Visa, Sitio de Protección de Datos MasterCard, Política Operativa de Seguridad de Datos American Express, Información y Cumplimiento Discover, y el Programa de Seguridad de Datos de JCB. Las intenciones de cada compañía fueron más o menos similares: crear un nivel adicional de protección para los emisores de tarjetas, asegurando que los comerciantes cumplan con los niveles mínimos de seguridad cuando se almacenan, procesan y transmiten datos de titulares de tarjetas.
  • 17. En septiembre de 2006, el estándar PCI se actualizó a la versión 1.1 para proporcionar aclaraciones y revisiones menores a la versión 1.0. La versión 1.2 fue lanzada el 1 de octubre de 2008. La versión 1.1 el 31 de diciembre de 2008. La v1.2 no cambió los requisitos, sólo mayor claridad, una mayor flexibilidad, y se dirigió a la evolución de los riesgos /amenazas. En agosto de 2009, el PCI SSC anunció el paso de la versión 1.2 a la versión 1.2.1 para el propósito de hacer pequeñas correcciones encaminadas a crear más claridad y coherencia entre las normas y los documentos de apoyo.
  • 18. El PCI SSC ha lanzado varias piezas complementarias de información para aclarar diversos requisitos. Estos documentos incluyen la siguiente: •Suplemento informativo: Requisito 11.3 Pruebas de Penetración •Suplemento informativo: Requisito 6.6 revisiones de código y cortafuegos de aplicación Clarificado •Navegando por el PCI DSS - Comprensión del objetivo de los requisitos •Suplemento informativo: PCI DSS Directrices inalámbricas
  • 19. Documento titular de flujo de datos - Uno de los primeros pasos en el cumplimiento de PCI es documentar el flujo de los datos de los tarjetahabientes. Los flujos de datos de los tarjetahabientes entre y a través de aplicaciones, sistemas y dispositivos de red. Es muy importante documentar el flujo de todos los datos de los tarjetahabientes antes de comenzar cualquier actividad de evaluación.
  • 20. Desarrollar un inventario del sistema - un inventario de todos los sistemas que almacenan, procesan y / o transmiten datos de tarjetas debe mantenerse. La siguiente información, como mínimo, se debe mantener en el inventario: •Nombre del sistema •Datos de tarjetas almacenados (campos de lista) •Motivo de almacenamiento •El período de retención •Mecanismo de protección (por ejemplo, hashing, encriptación, o truncamiento)
  • 21. Es de señalar que cuando se está desarrollando el sistema de inventario se debe dividir las aplicaciones y componentes del sistema en categorías para efectos de la definición del alcance. •Categoría 1 aplicaciones y componentes del sistema: Aplicaciones y sistemas que directamente almacenan, procesan o transmiten datos de tarjetas o se encuentran en la misma red que dichas aplicaciones y sistemas •Categoría 2: Componentes del sistema: Componentes del sistema que apoyan el entorno (es decir, Active Directory, NTP, DNS, Anti-virus, los servidores de parches, etc) •Categoría 3 Componentes del sistema: Todos los demás componentes del sistema que no sean de Nivel 1 y Nivel 2
  • 22. Las Normas de Seguridad de Datos para las Aplicaciones de Pago. Anteriormente conocido como las Mejores Prácticas de Aplicaciones de Pago (PABP), es el estándar de seguridad global creado por el Payment Card Industry Security Standards Council (PCI SSC). PA-DSS se puso en práctica en un esfuerzo por proporcionar un estándar para los proveedores de software que desarrollan aplicaciones de pago.
  • 23. La norma tiene por objeto evitar que las aplicaciones de pago desarrolladas por cuenta de terceros practiquen el almacenamiento seguro de datos prohibidos, incluyendo banda magnética, CVV2 o PIN. En ese proceso, la norma también establece que los proveedores de software que desarrollan aplicaciones de pago deben asegurarse de que estas son compatibles con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
  • 24. Para que una aplicación de pago se considere compatible con PA-DSS, los proveedores de software deben asegurarse de que su software incluye las siguientes 14 protecciones
  • 25.
  • 26.
  • 27. 7. Someter a prueba las aplicaciones de pago para identificar vulnerabilidades. 10. Implementar actualizaciones de software remotas seguras. 14. Mantener la documentación de instrucción y programas de formación para clientes, revendedores e integradores.
  • 28. PCI SSC ha compilado una lista de las aplicaciones de pago que han sido validadas como conformes con PA-DSS, para reflejar quienes cumplen en la medida que se desarrollan. La creación y aplicación de estas normas se apoya en la actualidad con PCI SSC a través de los Asesores de Seguridad Calificados de Aplicaciones de Pago (PA-QSA). PA-QSA que aplican revisiones periódicas a las aplicaciones de pago que ayudan a los proveedores de software a asegurarse que las aplicaciones son compatibles con los estándares PCI.
  • 29. Gobernado originalmente por Visa Inc., bajo el nombre de PABP, PA-DSS se puso en marcha el 15 de abril de 2008 y fue actualizado el 15 de octubre de 2008. PA-DSS se distinguió a través de la "versión 1.1" y "versión 1.2".
  • 30. El futuro de estas normas es algo vago, con la atención del Congreso Estadounidense que da lugar a la posibilidad de la intervención gubernamental. En cualquier caso, el cumplimiento de las normas puede resultar costoso y consume tiempo para los proveedores de software, con el gasto actual de la certificación PA-DSS superando a otros métodos de cumplimiento. Dado el costo de cumplimiento y certificación, las alternativas actuales o aún indeterminadas podrían surgir en el mercado de cumplimiento de las normas PCI. Visa USA anunció un impulso más agresivo en este tipo de tecnología (chip y pin) en agosto de 2011. Visa Press Release
  • 31. El PCI SSC ha publicado materiales que aclaran aún más PA-DSS, incluyendo las siguientes: •Requisitos PA-DSS y procedimientos de evaluación de seguridad. •Los cambios de las normas anteriores. •Guía de programación General para QSA.
  • 32.
  • 33. Cualquier compañía (comercios, procesadores, entidades adquirentes, emisoras, proveedores de servicio) que almacene, procese, o transmita información de un tarjetahabiente debe cumplir con PCI y realizar auditorías periódicas.
  • 34.
  • 35. Participantes en la regulación PCI Aplicaciones de pago
  • 36. Dependiendo del tipo de compañía se requerirá de pasar por una auditoría PCI cada año o completar un cuestionario de autoevaluación con el fin de poder validar el cumplimiento de dicha auditoría. Además de esta actividad, se tendrán que presentar los resultados trimestrales del análisis de vulnerabilidades del perímetro de red (el cual tiene que ser realizado por un fabricante debidamente certificado para la realización de auditorías PCI), el cual es evidencia del desarrollo de esta actividad. Se busca con estas pruebas de vulnerabilidad demostrar que su compañía posee las mejores prácticas en lo relacionado con la remedición y la gestión de vulnerabilidades. Este será, pues, el objetivo principal de la auditoría PCI.
  • 37.
  • 38. Verificaciones técnicas de seguridad PCI DSS requiere la realización de 5 tipos de verificaciones técnicas de seguridad periódicas a la infraestructura de datos de tarjetas
  • 40. PCI Co, ahora controla qué compañías le son permitidas conducir una auditoría PCI. Estas compañías, conocidas oficialmente como •Qualified Security Assessor Companies (QSACs), son organizaciones que han sido calificados por el Council para que sus empleados puedan evaluar el cumplimiento de la norma PCI DSS. Estos deben recorrer un proceso de aplicaciones y calificaciones con el fin de demostrar su cumplimiento a través de la calidad de sus procesos operativos y administrativos.
  • 41. Los QSACs también deben invertir en entrenamiento y certificación del personal con el fin de construir un equipo de: Qualified Security Assesors (QSAs), cuyo objetivo principal es llevar a cabo una evaluación de una empresa que maneja los datos de tarjetas de crédito en contra de los objetivos de control de alto nivel de la Norma de Seguridad de Datos PCI (PCI DSS). Approved Scanning Vendor (ASV), son organizaciones que validan el cumplimiento de determinados requisitos DSS mediante la realización de análisis de vulnerabilidades de Internet a las que se enfrentan entornos de comerciantes y prestadores de servicios.
  • 42. Asesores de Seguridad Calificados(QSA)
  • 43. Estas compañías deben recorrer un proceso similar al de los QSAC. La diferencia radica en que en el caso de los QSAC, los cuales deben atender entrenamientos periódicos y anuales, los ASVs deben enviar un informe de resultados contra un perímetro de red. Una compañía puede elegir ser tanto QSAC como ASV, lo que le permitirá ser un único fabricante en capacidad de ofrecer la auditoría completa PCI.
  • 44. En general, las marcas de tarjetas (VISA, MASTER, JCB, AMEX, DISCOVER) definen unos niveles de cumplimiento para los comercios. Para cada nivel de cumplimiento de los comercios, se establecen una serie de obligaciones. En general, se definen 4 niveles para el caso de los comercios, atendiendo principalmente al número de transacciones por año.
  • 45. Implica la realización de una Auditoria anual por parte de un QSA (Qualified Security Assesor) que rellenaría un ROC (Report Of Compliance) que se enviaría a cada una de las marcas. En esta auditoría se realiza un estudio exhaustivo del estado de cumplimiento del comercio, así como diversos controles de seguridad (Escaneos de red trimestrales por un ASV Approved Scanning Vendor). Se entiende como comercio de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 6 millones de transacciones VISA, MASTER o DISCOVER. •Más de 2,5 millones de transacciones AMEX •Más de 1 millón de transacciones JCB Adicionalmente, se consideran también comercios Nivel-1 a aquellos que han sufrido un ataque en el que se hayan puesto en compromiso datos de tarjeta o cualesquiera que una marca considere debe ser de Nivel-1.
  • 46. Se entiende como comercio de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER. •Entre 50K y 2,5 millones de transacciones AMEX •Menos de 1 millón de transacciones JCB En este nivel, los comercios no están obligados a llevar a cabo una auditoria PCI-DSS anual; en su lugar, deben rellenar un formulario de autoevaluación conocido como SAQ (Self-Assessment Questionnarie). Sin embargo, las cosas no son tan fáciles; En el caso de MASTER, desde Junio de 2012 es de obligado cumplimiento que si quieren presentar un SAQ, éste sea rellenado por un persona que tenga el certificado PCI SSC ISA (Internal Security Auditor) y para ello, deberá asistir a los cursos organizados por el Council. En caso contrario, deberá llevarse a cabo una Auditoria anual por parte de un QSA. Esto todavía se puede complicar más si resulta que un comercio que por número de transacciones no sea Nivel-2 en MASTER, pero sí lo sea para VISA, automáticamente se considera también Nivel-2 de MASTER.
  • 47. Este nivel está específicamente diseñado para transacciones de e-commerce y además, no todas las marcas lo consideran. Se entiende como comercio de Nivel-3 a los que procesen el siguiente número de transacciones/año: •Entre 20K y 1 millón de transacciones de comercio electrónico de VISA, MASTER o DISCOVER. •Menos de 50K transacciones AMEX
  • 48. Se trata del nivel menos restrictivo de todos. La única obligación en estos casos es rellenar el SAQ y se recomienda el realizar un escaneo trimestral de red, aunque se deja a consideración de la entidad adquirente el obligar o no a los comercios a llevarlo a cabo. Evidentemente, esto implica que ninguna entidad lo haga.
  • 49. Los SP son organizaciones que prestan servicios a los comercios, entidades financieras y/o a otras entidades relacionados con el procesamiento de las transacciones. Los SP incluyen los Procesadores, los Third-Party processors y los Gateway providers, entre otros. En general, cualquier entidad que realice o proporcione servicios relacionados con los medios de pago a terceros. En este apartado también se encuentra Entidades Financieras que realizan determinados servicios: por ejemplo Clearing & Settlement, Autorizaciones en backup, etc a otras entidades financieras.
  • 50. Se entiende como SP de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 300K transacciones VISA, MASTER. •Cualquier número de transacciones DISCOVER, AMEX o JCB Implica la realización de una Auditoria anual por parte de un QSA generando el ROC (Report Of Compliance) que se envía a cada una de las marcas con las que opera y a la realización de escaneos de red trimestrales por parte de un ASV.
  • 51. Se entiende como SP de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Menos de 300K transacciones VISA, MASTER. En este nivel sólo es necesario rellenar el ROC y realizar escaneos de red trimestrales por parte de un ASV.
  • 52. En primer lugar, todas las Entidades (Adquirentes o Emisoras) están obligadas a cumplir PCI-DSS. Las marcas no obligan a las entidades a pasar auditorias anuales. La única marca que realiza tal consideración es DISCOVER, que califica a las Entidades Adquirentes como ‘Proveedores de Servicio’ (SP). También existe una mención por parte de VISA USA en la que se indica que todos los Emisores miembros de VISA que estén conectados directamente a VISANET o que procesen en nombre de otro miembro de VISA deben validar de forma anual su cumplimiento con PCI-DSS, lo cual implica una Auditoria.
  • 53. Todas las empresas que comercialicen soluciones de software para pagos con tarjetas deben cumplir PA DSS Se certifica una versión específica de software. Las marcas de tarjetas definen el requisito a los clientes de utilizar aplicaciones certificadas. Entre las aplicaciones que aparecen en el listado oficial de aplicaciones certificadas, se encuentran: •E-Payment Integrator •FDMS Integrator •Paymentech Integrator •TSYS Integrator •SmartHUB Kiosk •911 Software CreditLine Secure •Ability OMS •MARKET2
  • 54. •Promover la integridad del comercio y aumentar la confianza de los consumidores en el negocio. •Incrementar las ventas como consecuencia del aumento en la confianza de los consumidores. •Proteger al comercio de posibles pérdidas de ingresos, investigaciones no deseadas y costos legales. •Reducir el riesgo de atención no deseada de la prensa como resultado de un compromiso o fuga de información de clientes. •Proyectar mayor conciencia de los controles y medidas preventivas de seguridad disponibles para el comercio. •Reducir las disputas de Tarjetahabientes y costos asociados a transacciones fraudulentas resultantes de un compromiso de información. •Prevenir el robo masivo de información de clientes. •Facilitar la adopción de estándares de seguridad válidos a nivel global. •Generar una herramienta que establece las posibles vulnerabilidades que tiene el sistema de información.
  • 55. Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara ¡GRACIAS!