SlideShare une entreprise Scribd logo

Webinar-Spanish-PCI DSS-4.0.pdf

ControlCase
ControlCase

PCI DSS v4.0 Overview in Spanish Seminario Web PCI DSS v4.0

Internet
1  sur  35
Télécharger pour lire hors ligne
SEMINARIO WEB: PCI DSS v4.0 SU ASOCIADO EN CUMPLIMIENTO DE TI VAYA MÁS ALLÁ DE LA LISTA DE COTEJO Descargar Ficha de PCI DSS 4.0 Agendar Discusión de Certificación PCI DSS
ANDRES GUTIERREZ Presidente LATAM ControlCase Andrés es el presidente de ControlCase LAC en Colombia y es responsable de todas las operaciones y actividades, incluida la gestión y entrega de los servicios de ControlCase en la región de América Latina. Es responsable de las Ventas y Ejecución de Negocios en el territorio y de otras operaciones dentro de la región de América Latina. También es un gerente experimentado con más de 12 años de experiencia en Auditoría y Consultoría para los diferentes Estándares de Seguridad de la Información. Andrés ha realizado evaluaciones de seguridad de TI, incluidas evaluaciones de brechas, compromisos de remediación y certificación para bancos y proveedores de servicios pequeños a grandes en servicios de pago, comerciantes y BPO dentro de los Estados Unidos, Canadá y América Latina. Antes de ControlCase, Andrés ocupó varios puestos de seguridad de la información, incluida una experiencia Big4. Andrés tiene una Licenciatura en Ciencias en Ingeniería Informática junto con las Certificaciones de Auditor Líder QSA e ISO/IEC 27001 y ha hablado en diferentes ocasiones en varios foros de la Industria de TI. Presentaciones © ControlCase. All Rights Reserved. 2
Agenda © ControlCase. All Rights Reserved. 3 1. Sobre ControlCase 2. Sobre PCI DSS 3. Historia de PCI DSS 4. Actualización PCI DSS V4.0 5. A Fondo: Cambios Notables 6. Cronología de PCI DSS V4.0
1 © ControlCase. All Rights Reserved. 4 SOBRE CONTROLCASE
Instantánea ControlCase © ControlCase. All Rights Reserved. 5 CERTIFICACIÓN Y SERVICIOS DE CUMPLIMIENTO CONTINUOS Vaya más allá de la lista de cotejo del auditor para: Reducir dramáticamente el tiempo, costo y carga de certificarse y mantener cumplimiento de TI. • Demostrar el cumplimiento más eficiente y efectivamente en costo (certeza de costo) • Mejorar las eficiencias • Hacer más con menos recursos y ganar tranquilidad sobre cumplimiento • Liberar sus recursos internos para concentrarse en sus prioridades • Descargar gran parte de la carga de cumplimiento a un asociado de cumplimiento de confianza 1,000+ 275+ 10,000+ CLIENTES CERTIFICACIONES DE SEGURIDAD DE TI EXPERTOS EN SEGURIDAD
Solución © ControlCase. All Rights Reserved. 6 Servicios de Certificación y Cumplimiento Continuo “ He trabajado en ambos lados de la auditoría. Jamás había visto a otra firma entregando el mismo producto y servicio con el mismo valor. Ninguna otra firma proporciona esa mejora continua y el nivel de detalle y respuesta. — Gerente de Seguridad y Cumplimiento, Centro de Datos ControlCase Compliance Hub® Impulsado por la Automatización Servicios de Certificación de TI Servicios de Cumplimiento Continuo Enfoque de Asociación
Asociación Estratégica de Seguridad para Cumplimiento de PCI DSS © ControlCase. All Rights Reserved. 7 Las Evaluaciones PCI DSS Deberán Ser Completadas por un Asesor de Seguridad Calificado (QSA) ControlCase es una compañía QSA que ofrece lo siguiente: Enfoque de Asociación Gestión del Éxito del Cliente Equipo de Apoyo Receptivo Experiencia Proactiva Pensamiento Innovador
Servicios de Certificación © ControlCase. All Rights Reserved. 8 “ Cuentas con 27 segundos para dar una primera impresión. Y después de nuestra reunión inicial, resultó claro que ellos estaban más interesados en auxiliar a nuestro negocio y forjar una relación, no solo en hacerse del negocio. — Director Sr., Riesgo y Cumplimiento de Información, Gran Comerciante PCI DSS ISO 27001-2 SOC 1,2,3,& Cybersecurity HIPAA FedRAMP PCI P2PE GDPR NIST 800-53 PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF One Audit™ Evaluar Una Vez. Cumplir para Muchos.
Tablero de ControlCase One Audit™ © ControlCase. All Rights Reserved. 9
2 © ControlCase. All Rights Reserved. 10 SOBRE PCI DSS
¿Qué es PCI DSS? ESTÁNDAR DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO Establecido en 2006 por emisoras líder de tarjetas de pago. (VISA, MasterCard, American Express, JCB International, y Discover Financial Services) Mantenido por el Consejo de Estándares de Seguridad PCI (PCI SSC). PCI DSS proporciona requerimientos operativos y técnicos para proteger datos de tarjetahabientes. ACTUALMENTE EN PCI DSS VERSIÓN 3.2 RECIÉN SE ANUNCIÓ PCI DSS VERSIÓN 4.0 © ControlCase. All Rights Reserved. 11
12 Requerimientos de PCI DSS OBJETIVOS DE CONTROL (6 PRINCIPIOS) 12 REQUERIMIENTOS Construir y mantener una red segura 1. Instalar y Mantener una Configuración de Cortafuegos para Proteger Datos de Tarjetahabientes 2. No Utilizar Valores por Defecto de Fabricante para Contraseñas de Sistema y Otros Parámetros de Seguridad Proteger datos de tarjetahabientes 3. Proteger Datos de Tarjetahabientes Almacenados 4. Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública Mantener un programa de gestión de vulnerabilidad 5. Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware 6. Desarrollar y Mantener Sistemas y Aplicaciones Seguros Implementar medidas de control de acceso robustas 7. Restringir Acceso a Datos de Tarjetahabientes por Estricta Necesidad de Negocio 8. Asignar una ID Única a CadaPersona con Acceso a Computadora 9. Restringir Acceso Físico a Datos de Tarjetahabientes Monitorear y probar redes regularmente 10. Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes 11. Probar Regularmente Sistemas y Procesos de Seguridad Mantener una política de seguridad de información 12. Mantener una Política que Atienda la Seguridad de Información © ControlCase. All Rights Reserved. 12
Familia de Estándares PCI DSS PCI DSS Seguridad de Ambientes que almacenan, procesan o transmiten datos de cuentas PCI PA-DSS Asegura que las aplicaciones de pago soporten cumplimiento PCI DSS PCI P2PE Asegura que los datos se cifren en el POI y que solo puedan descifrarse por un ambiente PCI TSP Requerimientos para proveedores de servicio de identificador para tokens de Pago EMV PCI Producción de Tarjetas Requerimientos de seguridad físicos y lógicos para manufactura y personalización de tarjetas PCI 3DS Requerimientos físicos y lógicos para entidades que implementan solución de Pago 3DS PCI PTS – HSM Controles físicos y lógicos para asegurar HSM PCI PTS – POI Protección de datos sensibles en POI PCI PTS – Seguridad PIN Gestión, procesamiento y transmisión seguros de datos de PIN © ControlCase. All Rights Reserved. 13
Datos en Cuestión (Datos Tarjetas Crédito & Débito) © ControlCase. All Rights Reserved. 14 DATOS DE TARJETAHABIENTES INCLUYEN: • Número de Cuenta Primario (PAN) • Nombre de Tarjetahabiente • Fecha Vencimiento • Código de Servicio DATOS DE AUTENTICACIÓN SENSIBLES INCLUYEN: • Datos Rastreo Completos • CAV2/CVC2/CVV2/CID • Bloques PINs/PIN Tipos de Datos en una Tarjeta de Crédito Fecha de Expiración Cinta Magnética (datos en pistas 1 y 2) # de Cuenta Principal Chip (datos en cinta magnética Código de identificación de la tarjeta de crédito (American Express) Código de identificación de la tarjeta de crédito. (Discover, JCB, MasterCard, Visa)
3 © ControlCase. All Rights Reserved. 15 HISTORIA DE PCI DSS
Fechas de Lanzamiento de PCI DSS © ControlCase. All Rights Reserved. 16 Diciembre 2004 Septiembre 2006 Octubre 2008 Octubre 2010 Noviembre 2013 Abril 2015 Abril 2016 Mayo 2018 Marzo 2022 PCI DSS v1 PCI DSS v1.1 PCI DSS v1.2 PCI DSS v2 PCI DSS v3 PCI DSS v3.1 PCI DSS v.3.2 PCI DSS v.3.2.1 PCI DSS v4
4 © ControlCase. All Rights Reserved. 17 ACTUALIZACIÓN PCI DSS V4.0 DE CONTROLCASE
Actualización PCI DSS V4.0 Ninguna compañía puede aún certificar compañías a PCI DSS V 4.0. Consejo PCI por ofrecer capacitación inicial circa Junio 2022 – tras lo cual QSAs pueden comenzar evaluaciones bajo PCI DSS 4.0. Consejo PCI ha publicado una lista de cambios y documentación en línea. ControlCase actualizará a clientes conforme nos acerquemos a 3T 2022. Hasta entonces no hay cambio a nuestro proceso de evaluación. Las compañías tendrán 2 años para transitar hacia v4.0 pero también pueden cambiar más pronto. © ControlCase. All Rights Reserved. 18
Metas para PCI DSS V4.0 LA SIGUIENTE GENERACIÓN DEL ESTÁNDAR DE PCI DSS (V4.0) TIENE LOS SIGUIENTES OBJECTIVOS • Continuar cumpliendo con necesidades de seguridad de la industria de pagos • Promover seguridad como proceso continuo • Aumentar la flexibilidad para las organizaciones usando métodos diferentes para lograr objetivos de seguridad • Mejorar métodos y procedimientos de validación © ControlCase. All Rights Reserved. 19
Cambios Críticos Desde PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 20 CAMBIOS METODOLÓGICOS • Varias actualizaciones pequeñas en los requerimientos con Aclaración o Guía añadida • Introducción a enfoque Personalizado para ofrecer método de validación de requerimiento adicional para cumplir con objetivo de requerimiento • Introducción de análisis de riesgo dirigido para variados requerimientos críticos • Para Proveedores de Servicio - Confirmación de alcance PCI DSS al menos una vez cada 6 meses y ante cambio significativo en el ambiente en el alcance NUEVOS REQUISITOS QUE PUEDEN REQUERIR MAYOR ESFUERZO DE IMPLEMENTACIÓN • Requerimientos estrictos de contraseña y MFA (Autenticación Multifactor) • Mecanismos para detectar y proteger al personal contra ataques de phishing • Solución técnica automatizada para aplicaciones web de exposición pública que detecta ypreviene continuamente ataques basados en web • Mecanismos automatizados para revisar bitácoras de auditoría para todos los sistemas CDE y críticos • Rastreos de vulnerabilidad internos mediante rastreo autentificado
5 © ControlCase. All Rights Reserved. 21 A FONDO: CAMBIOS NOTABLES
12 Requerimientos de PCI DSS V3.2.1 vs. V4.0 PCI DSS V3.2.1 12 REQUERIMIENTOS PCI DSS V4.0 12 REQUERIMIENTOS 1. Instalar y Mantener una Configuración de Cortafuegos para Proteger Datos de Tarjetahabientes 1. Instalar y Mantener Controles de Seguridad de Red 2. No Utilizar Valores por Defecto de Fabricante para Contraseñas de Sistema y Otros Parámetros de Seguridad 2. Aplicar Configuraciones Seguras a Todos los Componentes de Sistemas 3. Proteger Datos de Tarjetahabientes Almacenados 3. Proteger Datos de Cuenta Almacenados 4. Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública 4. Proteger Datos de Tarjetahabientes con Criptografía Robusta Durante Transmisión En Redes Públicas Abiertas 5. Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware 5. Proteger Todos los Sistemas y Redes de Software Malicioso 6. Desarrollar y Mantener Sistemas y Aplicaciones Seguros 6. Desarrollar y Mantener Sistemas y Software Seguros 7. Restringir Acceso a Datos de Tarjetahabientes por Estricta Necesidad de Negocio 7. Restringir Acceso a Componentes de Sistemas y Datos de Tarjetahabientes por Estricta Necesidad de Negocio 8. Asignar una ID Única a CadaPersona con Acceso a Computadora 8. Identificar Usuarios y Autentificar Acceso a Componentes de Sistemas 9. Restringir Acceso Físico a Datos de Tarjetahabientes 9. Restringir Acceso Físico a Datos de Tarjetahabientes 10. Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes 10. Registrar y Monitorear Todos los Accesos a Componentes de Sistemas y Datos de Tarjetahabientes 11. Probar Regularmente Sistemas y Procesos de Seguridad 11. Probar Regularmente la Seguridad de Sistemas y Redes 12. Mantener una Política que Atienda la Seguridad de Información 12. Sustentar Seguridad de Información con Políticas y Programas Organizacionales © ControlCase. All Rights Reserved. 22
Actualizaciones Principales a Títulos de Requerimientos REQUERIMIENTO 1: • Se cambió el título de requerimiento de “Instalar y mantener una configuración de cortafuegos para proteger datos de tarjetahabientes” a “Instalar y Mantener Controles de Seguridad de Red” ⎻ Se actualizó el título de requerimiento para reflejar el enfoque en un más amplio “controles de seguridad de red”. Se reemplazó “cortafuegos” y “enrutadores” con “controles de seguridad de red” para sustentar un más amplio rango de tecnologías, incluyendo la tecnología cloud usada para cumplir con los objetivos de seguridad atendidos tradicionalmente por cortafuegos. REQUERIMIENTO 2: • Se cambió el título de requerimiento de “No usar valores por defecto de fabricante para contraseñas de sistema y otros parámetros de seguridad” a “Aplicar Configuraciones Seguras a Todos los Componentes de Sistemas” ⎻ Se actualizó el título de requerimiento para reflejar que el énfasis está en configuraciones seguras en general, y no solo en los parámetros por defecto de fabricante. REQUERIMIENTO 3: • Se cambió el título de requerimiento de “Proteger datos de tarjetahabientes almacenados” a “Proteger Datos de Cuenta Almacenados” ⎻ Se actualizó el título de requerimiento para reflejar el enfoque en datos de cuenta. Se reemplazó “Datos de tarjetahabientes” con “Datos de Cuenta” para aplicar a los requerimientos de protección de datos a datos de tarjetahabientes y datos de autenticación sensibles, y no solo a datos de tarjetahabientes para ser receptivos a las necesidades de varias partes tales como Emisores. © ControlCase. All Rights Reserved. 23
Actualizaciones Principales a Títulos de Requerimientos REQUERIMIENTO 5: • Se cambió el título de requerimiento de “Usar y actualizar regularmente software antivirus en todos los sistemas comúnmente afectados por malware” a “Proteger Todos los Sistemas y Redes de Software Malicioso” ⎻ Se actualizó el título de requerimiento para reflejar el enfoque en proteger todos los sistemas y redes de software malicioso. Se reemplazó “antivirus” con “anti- malware” en todo el requerimiento para soportar un rango más amplio de tecnologías usadas para satisfacer los objetivos de seguridad tradicionalmente acometidos por el software antivirus. REQUERIMIENTO 12: • Se cambió el título de requerimiento de “Mantener una política que atienda la seguridad de información” a “Sustentar Seguridad de Información con Políticas y Programas Organizacionales” ⎻ Se actualiza el título de requerimiento para reflejar que el énfasis está en políticas y programas organizacionales que sustenten la seguridad de información. © ControlCase. All Rights Reserved. 24
Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 25 CONTINUAR SATISFACIENDO LAS NECESIDADES DE SEGURIDAD DE LA INDUSTRIA DE PAGOS Las prácticas de seguridad deben evolucionar para continuar satisfaciendo las necesidades de seguridad de la industria de pagos conforme las amenazas cambian. Ejemplo: • Se hicieron nuevas actualizaciones a requerimientos de autenticación multifactor (MFA) • Requerimientos de contraseña actualizados en línea con las mejores prácticas actuales de la industria • Se agregaron nuevos estándares de e-commerce y phishing para atender las amenazas actuales. • Requerimientos actualizados para manejo seguro de Datos Sensibles de Autenticación (SAD) • Se agregó nuevo requerimiento de rastreo autentificado de vulnerabilidades internas para un mayor conocimiento del panorama de vulnerabilidades de las organizaciones.
Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 26 PROMOVER LA SEGURIDAD COMO UN PROCESO CONTINUO, YA QUE LA SEGURIDAD EN CURSO ES CRUCIAL PARA PROTEGER DATOS DE PAGO Ejemplo: • Roles y responsabilidades claramente asignados para personal trabajando en cada requerimiento. • Se agregó guía a través de requerimientos para ayudar a las organizaciones a comprender mejor cómo implementar y mantener la seguridad. • Se agregó una nueva opción de reportes para resaltar áreas a mejorar y proporciona mayor transparencia para revisores de reportes.
Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 27 AUMENTAR FLEXIBILIDAD PARA ORGANIZACIONES QUE USAN DIFERENTES MÉTODOS PARA LOGRAR OBJETIVOS DE SEGURIDAD. Proporcionar más opciones y métodos de validación diferentes para aumentar la flexibilidad para las organizaciones para lograr objetivos de seguridad y sustenta la innovación en tecnología de pago. Ejemplo: • Permitió el uso de cuentas grupales, compartidas y públicas, con excepciones. • Se introdujeron análisis de riesgo dirigidos que habilitan a las organizaciones para determinar la frecuencia de realizar ciertas actividades. • Se introdujo un nuevo método de aproximación customizado para validar los requerimientos PCI DSS, da a las organizaciones otra opción para considerar métodos innovadores para lograr sus objetivos de seguridad.
Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 28 MEJORAR MÉTODOS Y PROCEDIMIENTOS DE VALIDACIÓN CON OPCIONES DE VALIDACIÓN Y REPORTES CLARAS PARA SOPORTAR TRANSPARENCIA Y GRANULARIDAD. Ejemplo: • Mayor alineación entre información reportada en un Reporte sobre Cumplimiento o Cuestionario de Autoevaluación y la información resumida en una Certificación de Cumplimiento
Compensación de Controles vs Acercamiento Customizado © ControlCase. All Rights Reserved. 29 COMPENSACIÓN DE CONTROLES La entidad no puede cumplir con el requerimiento tal cual se enuncia a causa de restricciones técnicas o de negocio documentadas, pero ha implementado controles alternativos para mitigar el riesgo. ACERCAMIENTO CUSTOMIZADO La entidad cuenta con prácticas maduras de gestión de riesgo y elige implementar controles diferentes que satisfacen el Objetivo de Acercamiento Customizado pero que no satisface el requerimiento tal cual se declara.
6 © ControlCase. All Rights Reserved. 30 CRONOLOGÍA DE PCI DSS V4.0
2022 Q1 Q2 Q3 Q4 Lanzamiento Oficial: PCI DSS V4.0 con documentos de validación Documentos de capacitación y sustento ISA/QSA 31 de marzo de 2024 PCI DSS V3.2.1 se retira 31 de marzo de 2025 Nuevos requerimientos fechados a futuro se hacen efectivos 2023 Q1 Q2 Q3 Q4 2024 Q1 Q2 Q3 Q4 2025 Q1 Q2 Q3 Q4 Cronograma de Implementación de PCI DSS V4.0* © ControlCase. All Rights Reserved. 31 Periodo de Transición de PCI DSS V3.2.1 a V4.0 Implementación de Nuevos Requerimientos Fechados a Futuro * Fechas basadas en proyecciones actuales y están sujetas a cambios.
Próximos Pasos © ControlCase. All Rights Reserved. 32 Q1 2022 • PCI DSS v4.0 y documentos de validación se publicaron el 31 de marzo • Resúmenes de respuesta a RFCs estarán disponibles en el portal PCI • Contenidos de blog y videos planeados para introducir v4.0 Q2 2022 • Traducciones, documentos de soporte y capacitación estarán disponibles al final de junio • Simposio Global de PCI DSS v4.0 Q3-Q4 2022 • Participación, soporte de partes interesadas • Actualizaciones de documentos de guía adicionales
Transición de PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 33 Q3 2022 *Finales de junio en adelante • Capacitaciones Transicionales QSA e ISA Disponibles • Toda la documentación liberada • Organizaciones pueden comenzar evaluaciones contra v4.0 usando QSAs aprobados** Q1 2024 * 31 de Marzo de 2024 • PCI DSS Retiro de PCI DSS v3.2.1 • PCI v4.0 se Vuelve versión exclusiva para uso Q1 2025 * 31 de Marzo de 2025 • Nuevos requerimientos PCI DSS con fechas futuras se hacen efectivos * Basado en cronograma actual. ** QSAs deben haber completado exitosamente V4.0. Capacitación previa a tomar evaluaciones V4.0
7 © ControlCase. All Rights Reserved. 34 PREGUNTAS & RESPUESTAS
GRACIAS POR LA OPORTUNIDAD DE CONTRIBUIR A SU PROGRAMA DE CUMPLIMIENTO DE TI. www.controlcase.com (US) + 1 703.483.6383 (INDIA) + 91.22.62210800 contact@controlcase.com

Recommandé

Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance ChecklistControlCase
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
PCI DSS
PCI DSSPCI DSS
PCI DSSDuy Do Phan
 
1. PCI Compliance Overview
1. PCI Compliance Overview1. PCI Compliance Overview
1. PCI Compliance Overviewokrantz
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommandé

Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance ChecklistControlCase
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
PCI DSS
PCI DSSPCI DSS
PCI DSSDuy Do Phan
 
1. PCI Compliance Overview
1. PCI Compliance Overview1. PCI Compliance Overview
1. PCI Compliance Overviewokrantz
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
NIST - Cybersecurity Framework mindmap
NIST - Cybersecurity Framework mindmapNIST - Cybersecurity Framework mindmap
NIST - Cybersecurity Framework mindmapWAJAHAT IQBAL
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfSerkanRafetHalil1
 
Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Schellman & Company
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overviewsameh Abulfotooh
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Kriangkrai Chumsaktrakul
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
SWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxSWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxMdMofijulHaque
 
Compliance 101 HITRUST Update.pdf
Compliance 101 HITRUST Update.pdfCompliance 101 HITRUST Update.pdf
Compliance 101 HITRUST Update.pdfAmyPoblete3
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardPECB
 
ISO 27001
ISO 27001ISO 27001
ISO 27001n|u - The Open Security Community
 
NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) Priyanka Aash
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMShantanu Rai
 
Top management role to implement ISO 27001
Top management role to implement ISO 27001Top management role to implement ISO 27001
Top management role to implement ISO 27001PECB
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterNIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterTuan Phan
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 

Contenu connexe

Tendances

NIST - Cybersecurity Framework mindmap
NIST - Cybersecurity Framework mindmapNIST - Cybersecurity Framework mindmap
NIST - Cybersecurity Framework mindmapWAJAHAT IQBAL
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfSerkanRafetHalil1
 
Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Schellman & Company
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
SWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxSWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxMdMofijulHaque
 
Compliance 101 HITRUST Update.pdf
Compliance 101 HITRUST Update.pdfCompliance 101 HITRUST Update.pdf
Compliance 101 HITRUST Update.pdfAmyPoblete3
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardPECB
 
NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) Priyanka Aash
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMShantanu Rai
 
Top management role to implement ISO 27001
Top management role to implement ISO 27001Top management role to implement ISO 27001
Top management role to implement ISO 27001PECB
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterNIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterTuan Phan
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 

Tendances (20)

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
NIST - Cybersecurity Framework mindmap
NIST - Cybersecurity Framework mindmapNIST - Cybersecurity Framework mindmap
NIST - Cybersecurity Framework mindmap
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
 
Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overview
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
 
SWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptxSWIFT CSP Presentations.pptx
SWIFT CSP Presentations.pptx
 
Compliance 101 HITRUST Update.pdf
Compliance 101 HITRUST Update.pdfCompliance 101 HITRUST Update.pdf
Compliance 101 HITRUST Update.pdf
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF)
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCM
 
Top management role to implement ISO 27001
Top management role to implement ISO 27001Top management role to implement ISO 27001
Top management role to implement ISO 27001
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
 
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterNIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 

Similaire à Webinar-Spanish-PCI DSS-4.0.pdf

Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 

Similaire à Webinar-Spanish-PCI DSS-4.0.pdf (20)

PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorio
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 

Plus de ControlCase

Maintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish KirtikarMaintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish KirtikarControlCase
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
Integrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptxIntegrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptxControlCase
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdfDFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdfControlCase
 
Webinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptxWebinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptxControlCase
 
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdfControlCase
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxControlCase
 
Webinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptxWebinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptxControlCase
 
HITRUST Certification
HITRUST CertificationHITRUST Certification
HITRUST CertificationControlCase
 
CMMC Certification
CMMC CertificationCMMC Certification
CMMC CertificationControlCase
 
FedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP MarketplaceFedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP MarketplaceControlCase
 
SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and CertificationControlCase
 
OneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to ManyOneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to ManyControlCase
 
Continuous Compliance Monitoring
Continuous Compliance MonitoringContinuous Compliance Monitoring
Continuous Compliance MonitoringControlCase
 
Managing Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust PrinciplesManaging Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust PrinciplesControlCase
 
PCI DSS Compliance in the Cloud
PCI DSS Compliance in the CloudPCI DSS Compliance in the Cloud
PCI DSS Compliance in the CloudControlCase
 
Performing One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust PrinciplesPerforming One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust PrinciplesControlCase
 
Vendor Management for PCI DSS, HIPAA, and FFIEC
Vendor Management for PCI DSS, HIPAA, and FFIECVendor Management for PCI DSS, HIPAA, and FFIEC
Vendor Management for PCI DSS, HIPAA, and FFIECControlCase
 
Performing PCI DSS Assessments Using Zero Trust Principles
Performing PCI DSS Assessments Using Zero Trust PrinciplesPerforming PCI DSS Assessments Using Zero Trust Principles
Performing PCI DSS Assessments Using Zero Trust PrinciplesControlCase
 

Plus de ControlCase (20)

Maintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish KirtikarMaintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish Kirtikar
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
 
Integrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptxIntegrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptx
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdfDFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
 
Webinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptxWebinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptx
 
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
 
Webinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptxWebinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptx
 
HITRUST Certification
HITRUST CertificationHITRUST Certification
HITRUST Certification
 
CMMC Certification
CMMC CertificationCMMC Certification
CMMC Certification
 
FedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP MarketplaceFedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP Marketplace
 
SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and Certification
 
OneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to ManyOneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to Many
 
Continuous Compliance Monitoring
Continuous Compliance MonitoringContinuous Compliance Monitoring
Continuous Compliance Monitoring
 
Managing Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust PrinciplesManaging Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust Principles
 
PCI DSS Compliance in the Cloud
PCI DSS Compliance in the CloudPCI DSS Compliance in the Cloud
PCI DSS Compliance in the Cloud
 
Performing One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust PrinciplesPerforming One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust Principles
 
Vendor Management for PCI DSS, HIPAA, and FFIEC
Vendor Management for PCI DSS, HIPAA, and FFIECVendor Management for PCI DSS, HIPAA, and FFIEC
Vendor Management for PCI DSS, HIPAA, and FFIEC
 
Performing PCI DSS Assessments Using Zero Trust Principles
Performing PCI DSS Assessments Using Zero Trust PrinciplesPerforming PCI DSS Assessments Using Zero Trust Principles
Performing PCI DSS Assessments Using Zero Trust Principles
 

Dernier

Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxUniversidad de Bielefeld
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdfFernandaHernandez312615
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfYuriFuentesMartinez2
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIAobandopaula444
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...#LatamDigital
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAcoloncopias5
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxssuser61dda7
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDLeslie Villar
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxchinojosa17
 
Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)BrianaFrancisco
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx241518192
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfDanielaEspitiaHerrer
 
que es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxque es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxmrzreyes12
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxNicolas Villarroel
 
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.Aldo Fernandez
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.ayalayenifer617
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMalejandroortizm
 

Dernier (17)

Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptx
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptx
 
Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdf
 
que es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxque es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptx
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptx
 
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
 

Webinar-Spanish-PCI DSS-4.0.pdf

  • 1. SEMINARIO WEB: PCI DSS v4.0 SU ASOCIADO EN CUMPLIMIENTO DE TI VAYA MÁS ALLÁ DE LA LISTA DE COTEJO Descargar Ficha de PCI DSS 4.0 Agendar Discusión de Certificación PCI DSS
  • 2. ANDRES GUTIERREZ Presidente LATAM ControlCase Andrés es el presidente de ControlCase LAC en Colombia y es responsable de todas las operaciones y actividades, incluida la gestión y entrega de los servicios de ControlCase en la región de América Latina. Es responsable de las Ventas y Ejecución de Negocios en el territorio y de otras operaciones dentro de la región de América Latina. También es un gerente experimentado con más de 12 años de experiencia en Auditoría y Consultoría para los diferentes Estándares de Seguridad de la Información. Andrés ha realizado evaluaciones de seguridad de TI, incluidas evaluaciones de brechas, compromisos de remediación y certificación para bancos y proveedores de servicios pequeños a grandes en servicios de pago, comerciantes y BPO dentro de los Estados Unidos, Canadá y América Latina. Antes de ControlCase, Andrés ocupó varios puestos de seguridad de la información, incluida una experiencia Big4. Andrés tiene una Licenciatura en Ciencias en Ingeniería Informática junto con las Certificaciones de Auditor Líder QSA e ISO/IEC 27001 y ha hablado en diferentes ocasiones en varios foros de la Industria de TI. Presentaciones © ControlCase. All Rights Reserved. 2
  • 3. Agenda © ControlCase. All Rights Reserved. 3 1. Sobre ControlCase 2. Sobre PCI DSS 3. Historia de PCI DSS 4. Actualización PCI DSS V4.0 5. A Fondo: Cambios Notables 6. Cronología de PCI DSS V4.0
  • 4. 1 © ControlCase. All Rights Reserved. 4 SOBRE CONTROLCASE
  • 5. Instantánea ControlCase © ControlCase. All Rights Reserved. 5 CERTIFICACIÓN Y SERVICIOS DE CUMPLIMIENTO CONTINUOS Vaya más allá de la lista de cotejo del auditor para: Reducir dramáticamente el tiempo, costo y carga de certificarse y mantener cumplimiento de TI. • Demostrar el cumplimiento más eficiente y efectivamente en costo (certeza de costo) • Mejorar las eficiencias • Hacer más con menos recursos y ganar tranquilidad sobre cumplimiento • Liberar sus recursos internos para concentrarse en sus prioridades • Descargar gran parte de la carga de cumplimiento a un asociado de cumplimiento de confianza 1,000+ 275+ 10,000+ CLIENTES CERTIFICACIONES DE SEGURIDAD DE TI EXPERTOS EN SEGURIDAD
  • 6. Solución © ControlCase. All Rights Reserved. 6 Servicios de Certificación y Cumplimiento Continuo “ He trabajado en ambos lados de la auditoría. Jamás había visto a otra firma entregando el mismo producto y servicio con el mismo valor. Ninguna otra firma proporciona esa mejora continua y el nivel de detalle y respuesta. — Gerente de Seguridad y Cumplimiento, Centro de Datos ControlCase Compliance Hub® Impulsado por la Automatización Servicios de Certificación de TI Servicios de Cumplimiento Continuo Enfoque de Asociación
  • 7. Asociación Estratégica de Seguridad para Cumplimiento de PCI DSS © ControlCase. All Rights Reserved. 7 Las Evaluaciones PCI DSS Deberán Ser Completadas por un Asesor de Seguridad Calificado (QSA) ControlCase es una compañía QSA que ofrece lo siguiente: Enfoque de Asociación Gestión del Éxito del Cliente Equipo de Apoyo Receptivo Experiencia Proactiva Pensamiento Innovador
  • 8. Servicios de Certificación © ControlCase. All Rights Reserved. 8 “ Cuentas con 27 segundos para dar una primera impresión. Y después de nuestra reunión inicial, resultó claro que ellos estaban más interesados en auxiliar a nuestro negocio y forjar una relación, no solo en hacerse del negocio. — Director Sr., Riesgo y Cumplimiento de Información, Gran Comerciante PCI DSS ISO 27001-2 SOC 1,2,3,& Cybersecurity HIPAA FedRAMP PCI P2PE GDPR NIST 800-53 PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF One Audit™ Evaluar Una Vez. Cumplir para Muchos.
  • 9. Tablero de ControlCase One Audit™ © ControlCase. All Rights Reserved. 9
  • 10. 2 © ControlCase. All Rights Reserved. 10 SOBRE PCI DSS
  • 11. ¿Qué es PCI DSS? ESTÁNDAR DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO Establecido en 2006 por emisoras líder de tarjetas de pago. (VISA, MasterCard, American Express, JCB International, y Discover Financial Services) Mantenido por el Consejo de Estándares de Seguridad PCI (PCI SSC). PCI DSS proporciona requerimientos operativos y técnicos para proteger datos de tarjetahabientes. ACTUALMENTE EN PCI DSS VERSIÓN 3.2 RECIÉN SE ANUNCIÓ PCI DSS VERSIÓN 4.0 © ControlCase. All Rights Reserved. 11
  • 12. 12 Requerimientos de PCI DSS OBJETIVOS DE CONTROL (6 PRINCIPIOS) 12 REQUERIMIENTOS Construir y mantener una red segura 1. Instalar y Mantener una Configuración de Cortafuegos para Proteger Datos de Tarjetahabientes 2. No Utilizar Valores por Defecto de Fabricante para Contraseñas de Sistema y Otros Parámetros de Seguridad Proteger datos de tarjetahabientes 3. Proteger Datos de Tarjetahabientes Almacenados 4. Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública Mantener un programa de gestión de vulnerabilidad 5. Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware 6. Desarrollar y Mantener Sistemas y Aplicaciones Seguros Implementar medidas de control de acceso robustas 7. Restringir Acceso a Datos de Tarjetahabientes por Estricta Necesidad de Negocio 8. Asignar una ID Única a CadaPersona con Acceso a Computadora 9. Restringir Acceso Físico a Datos de Tarjetahabientes Monitorear y probar redes regularmente 10. Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes 11. Probar Regularmente Sistemas y Procesos de Seguridad Mantener una política de seguridad de información 12. Mantener una Política que Atienda la Seguridad de Información © ControlCase. All Rights Reserved. 12
  • 13. Familia de Estándares PCI DSS PCI DSS Seguridad de Ambientes que almacenan, procesan o transmiten datos de cuentas PCI PA-DSS Asegura que las aplicaciones de pago soporten cumplimiento PCI DSS PCI P2PE Asegura que los datos se cifren en el POI y que solo puedan descifrarse por un ambiente PCI TSP Requerimientos para proveedores de servicio de identificador para tokens de Pago EMV PCI Producción de Tarjetas Requerimientos de seguridad físicos y lógicos para manufactura y personalización de tarjetas PCI 3DS Requerimientos físicos y lógicos para entidades que implementan solución de Pago 3DS PCI PTS – HSM Controles físicos y lógicos para asegurar HSM PCI PTS – POI Protección de datos sensibles en POI PCI PTS – Seguridad PIN Gestión, procesamiento y transmisión seguros de datos de PIN © ControlCase. All Rights Reserved. 13
  • 14. Datos en Cuestión (Datos Tarjetas Crédito & Débito) © ControlCase. All Rights Reserved. 14 DATOS DE TARJETAHABIENTES INCLUYEN: • Número de Cuenta Primario (PAN) • Nombre de Tarjetahabiente • Fecha Vencimiento • Código de Servicio DATOS DE AUTENTICACIÓN SENSIBLES INCLUYEN: • Datos Rastreo Completos • CAV2/CVC2/CVV2/CID • Bloques PINs/PIN Tipos de Datos en una Tarjeta de Crédito Fecha de Expiración Cinta Magnética (datos en pistas 1 y 2) # de Cuenta Principal Chip (datos en cinta magnética Código de identificación de la tarjeta de crédito (American Express) Código de identificación de la tarjeta de crédito. (Discover, JCB, MasterCard, Visa)
  • 15. 3 © ControlCase. All Rights Reserved. 15 HISTORIA DE PCI DSS
  • 16. Fechas de Lanzamiento de PCI DSS © ControlCase. All Rights Reserved. 16 Diciembre 2004 Septiembre 2006 Octubre 2008 Octubre 2010 Noviembre 2013 Abril 2015 Abril 2016 Mayo 2018 Marzo 2022 PCI DSS v1 PCI DSS v1.1 PCI DSS v1.2 PCI DSS v2 PCI DSS v3 PCI DSS v3.1 PCI DSS v.3.2 PCI DSS v.3.2.1 PCI DSS v4
  • 17. 4 © ControlCase. All Rights Reserved. 17 ACTUALIZACIÓN PCI DSS V4.0 DE CONTROLCASE
  • 18. Actualización PCI DSS V4.0 Ninguna compañía puede aún certificar compañías a PCI DSS V 4.0. Consejo PCI por ofrecer capacitación inicial circa Junio 2022 – tras lo cual QSAs pueden comenzar evaluaciones bajo PCI DSS 4.0. Consejo PCI ha publicado una lista de cambios y documentación en línea. ControlCase actualizará a clientes conforme nos acerquemos a 3T 2022. Hasta entonces no hay cambio a nuestro proceso de evaluación. Las compañías tendrán 2 años para transitar hacia v4.0 pero también pueden cambiar más pronto. © ControlCase. All Rights Reserved. 18
  • 19. Metas para PCI DSS V4.0 LA SIGUIENTE GENERACIÓN DEL ESTÁNDAR DE PCI DSS (V4.0) TIENE LOS SIGUIENTES OBJECTIVOS • Continuar cumpliendo con necesidades de seguridad de la industria de pagos • Promover seguridad como proceso continuo • Aumentar la flexibilidad para las organizaciones usando métodos diferentes para lograr objetivos de seguridad • Mejorar métodos y procedimientos de validación © ControlCase. All Rights Reserved. 19
  • 20. Cambios Críticos Desde PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 20 CAMBIOS METODOLÓGICOS • Varias actualizaciones pequeñas en los requerimientos con Aclaración o Guía añadida • Introducción a enfoque Personalizado para ofrecer método de validación de requerimiento adicional para cumplir con objetivo de requerimiento • Introducción de análisis de riesgo dirigido para variados requerimientos críticos • Para Proveedores de Servicio - Confirmación de alcance PCI DSS al menos una vez cada 6 meses y ante cambio significativo en el ambiente en el alcance NUEVOS REQUISITOS QUE PUEDEN REQUERIR MAYOR ESFUERZO DE IMPLEMENTACIÓN • Requerimientos estrictos de contraseña y MFA (Autenticación Multifactor) • Mecanismos para detectar y proteger al personal contra ataques de phishing • Solución técnica automatizada para aplicaciones web de exposición pública que detecta ypreviene continuamente ataques basados en web • Mecanismos automatizados para revisar bitácoras de auditoría para todos los sistemas CDE y críticos • Rastreos de vulnerabilidad internos mediante rastreo autentificado
  • 21. 5 © ControlCase. All Rights Reserved. 21 A FONDO: CAMBIOS NOTABLES
  • 22. 12 Requerimientos de PCI DSS V3.2.1 vs. V4.0 PCI DSS V3.2.1 12 REQUERIMIENTOS PCI DSS V4.0 12 REQUERIMIENTOS 1. Instalar y Mantener una Configuración de Cortafuegos para Proteger Datos de Tarjetahabientes 1. Instalar y Mantener Controles de Seguridad de Red 2. No Utilizar Valores por Defecto de Fabricante para Contraseñas de Sistema y Otros Parámetros de Seguridad 2. Aplicar Configuraciones Seguras a Todos los Componentes de Sistemas 3. Proteger Datos de Tarjetahabientes Almacenados 3. Proteger Datos de Cuenta Almacenados 4. Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública 4. Proteger Datos de Tarjetahabientes con Criptografía Robusta Durante Transmisión En Redes Públicas Abiertas 5. Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware 5. Proteger Todos los Sistemas y Redes de Software Malicioso 6. Desarrollar y Mantener Sistemas y Aplicaciones Seguros 6. Desarrollar y Mantener Sistemas y Software Seguros 7. Restringir Acceso a Datos de Tarjetahabientes por Estricta Necesidad de Negocio 7. Restringir Acceso a Componentes de Sistemas y Datos de Tarjetahabientes por Estricta Necesidad de Negocio 8. Asignar una ID Única a CadaPersona con Acceso a Computadora 8. Identificar Usuarios y Autentificar Acceso a Componentes de Sistemas 9. Restringir Acceso Físico a Datos de Tarjetahabientes 9. Restringir Acceso Físico a Datos de Tarjetahabientes 10. Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes 10. Registrar y Monitorear Todos los Accesos a Componentes de Sistemas y Datos de Tarjetahabientes 11. Probar Regularmente Sistemas y Procesos de Seguridad 11. Probar Regularmente la Seguridad de Sistemas y Redes 12. Mantener una Política que Atienda la Seguridad de Información 12. Sustentar Seguridad de Información con Políticas y Programas Organizacionales © ControlCase. All Rights Reserved. 22
  • 23. Actualizaciones Principales a Títulos de Requerimientos REQUERIMIENTO 1: • Se cambió el título de requerimiento de “Instalar y mantener una configuración de cortafuegos para proteger datos de tarjetahabientes” a “Instalar y Mantener Controles de Seguridad de Red” ⎻ Se actualizó el título de requerimiento para reflejar el enfoque en un más amplio “controles de seguridad de red”. Se reemplazó “cortafuegos” y “enrutadores” con “controles de seguridad de red” para sustentar un más amplio rango de tecnologías, incluyendo la tecnología cloud usada para cumplir con los objetivos de seguridad atendidos tradicionalmente por cortafuegos. REQUERIMIENTO 2: • Se cambió el título de requerimiento de “No usar valores por defecto de fabricante para contraseñas de sistema y otros parámetros de seguridad” a “Aplicar Configuraciones Seguras a Todos los Componentes de Sistemas” ⎻ Se actualizó el título de requerimiento para reflejar que el énfasis está en configuraciones seguras en general, y no solo en los parámetros por defecto de fabricante. REQUERIMIENTO 3: • Se cambió el título de requerimiento de “Proteger datos de tarjetahabientes almacenados” a “Proteger Datos de Cuenta Almacenados” ⎻ Se actualizó el título de requerimiento para reflejar el enfoque en datos de cuenta. Se reemplazó “Datos de tarjetahabientes” con “Datos de Cuenta” para aplicar a los requerimientos de protección de datos a datos de tarjetahabientes y datos de autenticación sensibles, y no solo a datos de tarjetahabientes para ser receptivos a las necesidades de varias partes tales como Emisores. © ControlCase. All Rights Reserved. 23
  • 24. Actualizaciones Principales a Títulos de Requerimientos REQUERIMIENTO 5: • Se cambió el título de requerimiento de “Usar y actualizar regularmente software antivirus en todos los sistemas comúnmente afectados por malware” a “Proteger Todos los Sistemas y Redes de Software Malicioso” ⎻ Se actualizó el título de requerimiento para reflejar el enfoque en proteger todos los sistemas y redes de software malicioso. Se reemplazó “antivirus” con “anti- malware” en todo el requerimiento para soportar un rango más amplio de tecnologías usadas para satisfacer los objetivos de seguridad tradicionalmente acometidos por el software antivirus. REQUERIMIENTO 12: • Se cambió el título de requerimiento de “Mantener una política que atienda la seguridad de información” a “Sustentar Seguridad de Información con Políticas y Programas Organizacionales” ⎻ Se actualiza el título de requerimiento para reflejar que el énfasis está en políticas y programas organizacionales que sustenten la seguridad de información. © ControlCase. All Rights Reserved. 24
  • 25. Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 25 CONTINUAR SATISFACIENDO LAS NECESIDADES DE SEGURIDAD DE LA INDUSTRIA DE PAGOS Las prácticas de seguridad deben evolucionar para continuar satisfaciendo las necesidades de seguridad de la industria de pagos conforme las amenazas cambian. Ejemplo: • Se hicieron nuevas actualizaciones a requerimientos de autenticación multifactor (MFA) • Requerimientos de contraseña actualizados en línea con las mejores prácticas actuales de la industria • Se agregaron nuevos estándares de e-commerce y phishing para atender las amenazas actuales. • Requerimientos actualizados para manejo seguro de Datos Sensibles de Autenticación (SAD) • Se agregó nuevo requerimiento de rastreo autentificado de vulnerabilidades internas para un mayor conocimiento del panorama de vulnerabilidades de las organizaciones.
  • 26. Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 26 PROMOVER LA SEGURIDAD COMO UN PROCESO CONTINUO, YA QUE LA SEGURIDAD EN CURSO ES CRUCIAL PARA PROTEGER DATOS DE PAGO Ejemplo: • Roles y responsabilidades claramente asignados para personal trabajando en cada requerimiento. • Se agregó guía a través de requerimientos para ayudar a las organizaciones a comprender mejor cómo implementar y mantener la seguridad. • Se agregó una nueva opción de reportes para resaltar áreas a mejorar y proporciona mayor transparencia para revisores de reportes.
  • 27. Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 27 AUMENTAR FLEXIBILIDAD PARA ORGANIZACIONES QUE USAN DIFERENTES MÉTODOS PARA LOGRAR OBJETIVOS DE SEGURIDAD. Proporcionar más opciones y métodos de validación diferentes para aumentar la flexibilidad para las organizaciones para lograr objetivos de seguridad y sustenta la innovación en tecnología de pago. Ejemplo: • Permitió el uso de cuentas grupales, compartidas y públicas, con excepciones. • Se introdujeron análisis de riesgo dirigidos que habilitan a las organizaciones para determinar la frecuencia de realizar ciertas actividades. • Se introdujo un nuevo método de aproximación customizado para validar los requerimientos PCI DSS, da a las organizaciones otra opción para considerar métodos innovadores para lograr sus objetivos de seguridad.
  • 28. Objetivos para PCI DSS V4.0 © ControlCase. All Rights Reserved. 28 MEJORAR MÉTODOS Y PROCEDIMIENTOS DE VALIDACIÓN CON OPCIONES DE VALIDACIÓN Y REPORTES CLARAS PARA SOPORTAR TRANSPARENCIA Y GRANULARIDAD. Ejemplo: • Mayor alineación entre información reportada en un Reporte sobre Cumplimiento o Cuestionario de Autoevaluación y la información resumida en una Certificación de Cumplimiento
  • 29. Compensación de Controles vs Acercamiento Customizado © ControlCase. All Rights Reserved. 29 COMPENSACIÓN DE CONTROLES La entidad no puede cumplir con el requerimiento tal cual se enuncia a causa de restricciones técnicas o de negocio documentadas, pero ha implementado controles alternativos para mitigar el riesgo. ACERCAMIENTO CUSTOMIZADO La entidad cuenta con prácticas maduras de gestión de riesgo y elige implementar controles diferentes que satisfacen el Objetivo de Acercamiento Customizado pero que no satisface el requerimiento tal cual se declara.
  • 30. 6 © ControlCase. All Rights Reserved. 30 CRONOLOGÍA DE PCI DSS V4.0
  • 31. 2022 Q1 Q2 Q3 Q4 Lanzamiento Oficial: PCI DSS V4.0 con documentos de validación Documentos de capacitación y sustento ISA/QSA 31 de marzo de 2024 PCI DSS V3.2.1 se retira 31 de marzo de 2025 Nuevos requerimientos fechados a futuro se hacen efectivos 2023 Q1 Q2 Q3 Q4 2024 Q1 Q2 Q3 Q4 2025 Q1 Q2 Q3 Q4 Cronograma de Implementación de PCI DSS V4.0* © ControlCase. All Rights Reserved. 31 Periodo de Transición de PCI DSS V3.2.1 a V4.0 Implementación de Nuevos Requerimientos Fechados a Futuro * Fechas basadas en proyecciones actuales y están sujetas a cambios.
  • 32. Próximos Pasos © ControlCase. All Rights Reserved. 32 Q1 2022 • PCI DSS v4.0 y documentos de validación se publicaron el 31 de marzo • Resúmenes de respuesta a RFCs estarán disponibles en el portal PCI • Contenidos de blog y videos planeados para introducir v4.0 Q2 2022 • Traducciones, documentos de soporte y capacitación estarán disponibles al final de junio • Simposio Global de PCI DSS v4.0 Q3-Q4 2022 • Participación, soporte de partes interesadas • Actualizaciones de documentos de guía adicionales
  • 33. Transición de PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 33 Q3 2022 *Finales de junio en adelante • Capacitaciones Transicionales QSA e ISA Disponibles • Toda la documentación liberada • Organizaciones pueden comenzar evaluaciones contra v4.0 usando QSAs aprobados** Q1 2024 * 31 de Marzo de 2024 • PCI DSS Retiro de PCI DSS v3.2.1 • PCI v4.0 se Vuelve versión exclusiva para uso Q1 2025 * 31 de Marzo de 2025 • Nuevos requerimientos PCI DSS con fechas futuras se hacen efectivos * Basado en cronograma actual. ** QSAs deben haber completado exitosamente V4.0. Capacitación previa a tomar evaluaciones V4.0
  • 34. 7 © ControlCase. All Rights Reserved. 34 PREGUNTAS & RESPUESTAS
  • 35. GRACIAS POR LA OPORTUNIDAD DE CONTRIBUIR A SU PROGRAMA DE CUMPLIMIENTO DE TI. www.controlcase.com (US) + 1 703.483.6383 (INDIA) + 91.22.62210800 contact@controlcase.com