SlideShare une entreprise Scribd logo

Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

Internet Security Auditors
Internet Security Auditors

Mario Rueda, responsable de Seguridad de Abertis Autopistas, baso su presentación en explicar el desarrollo del marco normativo y del repositorio de datos realizados ambos durante la implementación de la normativa PCI DSS.

Technologie
1  sur  18
Télécharger pour lire hors ligne
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 1 PCI-DSS PA-DSS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 2 Proyecto de adecuación a la normativa PCI-DSS Índice 1. Marco Normativo. 2. Repositorio de Datos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 3 1Objeto. Marco normativo. Informar, formar y concienciar sobre: • La estrategia de seguridad de abertis Autopistas con respecto al entorno PCI DSS. • Definir las líneas generales de actuación para evitar amenazas y reaccionar ante incidentes de seguridad que afecten al entorno PCI DSS. • Definir el cumplimiento obligatorioi para todos los empleados y colaboradores internos y/o externos. Sin una política y procedimientos documentados no es posible garantizar la seguridad del entorno y por tanto cumplir con PCI DSS.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 4 1Alineamiento. Marco normativo. • Revisar qué políticas, procedimientos, instrucciones técnicas existentes y adaptarlas a PCI DSS. • Alinear con otros estándares y normas existentes (ISO 27001, LOPD). • Documentar todo requerimiento para facilitar su cumplimiento permanentemente. • Establecer revisiones y actualizaciones periódicas.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 5 1Normativas. Marco normativo. • Control de Acceso. • Criptografía y Gestión de Claves. • Gestión de Terceras Partes. • Roles y Responsabilidades. • Tratamiento de la Información. • Monitorización y Auditoría. • Seguridad de las Plataformas. • Uso de Recursos Críticos. • …
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 6 1Tabla de correlación. Marco normativo. Permite tener presente la afectación de un cambio en el cumplimiento de los distintos estándares: • A nivel documental facilitando la integración en el SGI. • En la implementación de soluciones o ejecución de proyectos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 7 2 Repositorio de datos. Propósito: • Identificar/inventariar todos los posible repositorios de datos de titulares de tarjetas de pago. Problemáticas: • Aplicaciones satélites desarrolladas • por los propios usuarios. • Filosofía opuesta en el desarrollo y las • bases de datos, cuántos más datos mejor! • Múltiples departamentos, usuarios, aplicaciones y canales de transmisión de datos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 8 2 Repositorio de datos. • Almacenar la menor cantidad de datos que sea posible. La información que se almacene debe seguir las políticas de retención y eliminación, y estar inventariada adecuadamente. • Aquellos datos de tarjeta que sean almacenados, deberán permanecer ilegibles mediante mecanismos como el cifrado o el truncado. • Siempre que deban visualizarse datos de tarjetas mediante alguna aplicación, solo deberán mostrarse los primeros 4 y últimos 6 dígitos del PAN. Conceptos básicos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 9 2 Repositorio de datos. • Se prohíbe el almacenamiento de datos sensibles tras el proceso de autorización, aunque estén cifrados y en cualquier tipo de soporte de almacenamiento Conceptos básicos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 10 2 Repositorio de datos. Conceptos básicos.  Protocolos de transmisión como telnet, HTTP o FTP no son válidos.  Los requerimientos de almacenamiento afectan a cualquier tipo de soporte (papel, cintas, DVD’s…).  El cifrado de los datos implica una gestión de claves de cifrado, para la que se requieren ciertos requerimientos referentes a la fortaleza de las claves, cambio periódico, su almacenamiento y distribución, revocado y destrucción, así como responsabilidades para su custodia y protección.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 11 2 Repositorio de datos. Acciones realizadas. 1. Identificar todos los sistemas que almacenan, procesan o transmiten datos de tarjeta. • Analizar y entender los procesos que obtienen datos de titulares de tarjeta de pago. • Entrevistas con los responsables de los departamentos. • Análisis de los usos de los datos de tarjeta. • Datos compartidos entre procesos y/o departamentos. • Ejecución de herramientas y scripts para la localización de datos “desconocidos”.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 12 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Origen (Cómo se han obtenido los datos). • Datos obtenidos (PAN, Service Code, Fecha Caducidad…) • Función y Justificación de negocio. • Periodo de retención. • Control de acceso a datos. • Transmisión de datos entre procesos. • Método de borrado utilizado. • Formato en el que se almacenan y medidas de protección aplicadas (tipo de cifrado…). • Dispositivos, Sistemas y Aplicaciones relacionadas.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 13 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Dando como resultado la Matriz de Datos. que permite : • afrontar una auditoría. • tener control sobre los datos. • estudiar acciones para acotar el entorno.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 14 2 Repositorio de datos. Acciones realizadas. 3. Estudio de la necesidad: • Una vez identificados todos los repositorios de datos, es posible determinar la necesidad de su existencia, valorando: o Eliminación del fichero o campo en la aplicación/BBDD. o Integración de funcionalidades en menos aplicaciones. o Uso de técnicas para reducir el alcance como: • Truncado de datos. • Enmascaramiento. • Tokenización. o Cambios en los procesos de negocio, para eliminar la necesidad de trabajar con datos de tarjeta. o Uso de protocolos de transmisión distintos.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 15 2 Repositorio de datos. Beneficios obtenidos. • Concienciación debido a las reuniones y consultas realizadas. • Eliminación de aplicaciones satélites, listados y repositorios individuales. • Mejoras en el desarrollo, al incorporar en el proceso decisiones críticas como el enmascaramiento de datos, estudiar la necesidad de almacenar datos de tarjeta, etc. • Estudio de los tiempos y justificaciones de retención de datos. • Minimización de riesgos – Saber con determinación donde hay datos críticos. – A medida que crecen los repositorios de datos, los riesgos son cada vez mayores. – A mayor cantidad de datos comprometidos, mayores son las consecuencias del compromiso (multas, penalizaciones). – Limitar el uso de tecnologías de mensajería para el tratamiento de datos de tarjeta de pago. – Menor acceso a datos, y más controlado.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 16 2 Repositorio de datos. Recomendaciones. • Reducir los repositorios de datos al mínimo realmente imprescindible. • Si no lo necesitas, no lo almacenes! • Impedir la extracción de datos mediante listados, documentos ofimáticos, etc., a través de las aplicaciones corporativas. • Lanzar procesos automáticos periódicamente para el descubrimiento de datos de tarjeta no autorizados. – Expresiones regulares. – Formula de Luhn.
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 17 ¿PREGUNTAS?
2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 18 MUCHAS GRACIAS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

Recommandé

Base de datos victor
Base de datos victor Base de datos victor
Base de datos victor victor manuel samagaio bolivar
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDAdigital
 
Taller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas DataTaller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas Dataamdia
 
Capitulo5
Capitulo5Capitulo5
Capitulo5guestccd1e1
 
Implicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesImplicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesAdigital
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónAVPD - Agencia Vasca de Protección de Datos
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 

Recommandé

Base de datos victor
Base de datos victor Base de datos victor
Base de datos victor victor manuel samagaio bolivar
 
Auditoria bd
Auditoria bdAuditoria bd
Auditoria bdHaydee Lo
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDAdigital
 
Taller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas DataTaller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas Dataamdia
 
Capitulo5
Capitulo5Capitulo5
Capitulo5guestccd1e1
 
Implicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesImplicaciones del nuevo RGPD para las agencias digitales
Implicaciones del nuevo RGPD para las agencias digitalesAdigital
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónAVPD - Agencia Vasca de Protección de Datos
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
 
El nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalEl nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalAdigital
 
II Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDII Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDPribatua
 
Base de datos 217 1bn
Base de datos 217 1bnBase de datos 217 1bn
Base de datos 217 1bnjuanjosetn
 
L a colección en la biblioteca digital
L a colección en la biblioteca digitalL a colección en la biblioteca digital
L a colección en la biblioteca digitalNube Digital SB
 
Sistema de bases de datos
Sistema de bases de datosSistema de bases de datos
Sistema de bases de datosAriel Medina
 
Digitalizacion de documentos
Digitalizacion de documentosDigitalizacion de documentos
Digitalizacion de documentosccarrillo23
 
Almacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosAlmacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosliras loca
 
Digitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaDigitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaGabriel Marin Brito
 
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?Pribatua
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Mesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasMesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasEmily Mermell
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Mineria de datos
Mineria de datosMineria de datos
Mineria de datosNéstor González
 
Poggi analytics - intro - 1c
Poggi analytics - intro - 1cPoggi analytics - intro - 1c
Poggi analytics - intro - 1cGaston Liberman
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisarAlexys Rodriguez
 
Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Agust Allende
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 

Contenu connexe

Tendances

Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Adigital
 
El nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalEl nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalAdigital
 
II Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDII Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDPribatua
 
Base de datos 217 1bn
Base de datos 217 1bnBase de datos 217 1bn
Base de datos 217 1bnjuanjosetn
 
L a colección en la biblioteca digital
L a colección en la biblioteca digitalL a colección en la biblioteca digital
L a colección en la biblioteca digitalNube Digital SB
 
Sistema de bases de datos
Sistema de bases de datosSistema de bases de datos
Sistema de bases de datosAriel Medina
 
Digitalizacion de documentos
Digitalizacion de documentosDigitalizacion de documentos
Digitalizacion de documentosccarrillo23
 
Almacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosAlmacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosliras loca
 
Digitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaDigitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaGabriel Marin Brito
 
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?Pribatua
 

Tendances (10)

Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...Disposiciones generales, principios, transferencias internacionales de datos ...
Disposiciones generales, principios, transferencias internacionales de datos ...
 
El nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digitalEl nuevo reglamento de protección de datos en la economía digital
El nuevo reglamento de protección de datos en la economía digital
 
II Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPDII Jornada Pribatua - El Abogado 2.0 y la LOPD
II Jornada Pribatua - El Abogado 2.0 y la LOPD
 
Base de datos 217 1bn
Base de datos 217 1bnBase de datos 217 1bn
Base de datos 217 1bn
 
L a colección en la biblioteca digital
L a colección en la biblioteca digitalL a colección en la biblioteca digital
L a colección en la biblioteca digital
 
Sistema de bases de datos
Sistema de bases de datosSistema de bases de datos
Sistema de bases de datos
 
Digitalizacion de documentos
Digitalizacion de documentosDigitalizacion de documentos
Digitalizacion de documentos
 
Almacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datosAlmacenes, mineria y análisis de datos
Almacenes, mineria y análisis de datos
 
Digitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & TecnologíaDigitalización de Documentos: Mercado, Tendencias & Tecnología
Digitalización de Documentos: Mercado, Tendencias & Tecnología
 
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
II Jornada Pribatua - Medidas de seguridad. Obligatorias; pero ¿necesarias?
 

Similaire à Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Mesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasMesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasEmily Mermell
 
Poggi analytics - intro - 1c
Poggi analytics - intro - 1cPoggi analytics - intro - 1c
Poggi analytics - intro - 1cGaston Liberman
 
Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Agust Allende
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...Fundación Ramón Areces
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalwendy456
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalwendy456
 
Preparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxPreparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxCarlosMolano21
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 

Similaire à Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa (20)

11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Mesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas AnaliticasMesas Redondas I - Herramientas Analiticas
Mesas Redondas I - Herramientas Analiticas
 
Cap6
Cap6Cap6
Cap6
 
Cap6
Cap6Cap6
Cap6
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
Mineria de datos
Mineria de datosMineria de datos
Mineria de datos
 
Poggi analytics - intro - 1c
Poggi analytics - intro - 1cPoggi analytics - intro - 1c
Poggi analytics - intro - 1c
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzada
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Mineria de Datos
Mineria de DatosMineria de Datos
Mineria de Datos
 
Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...Manuel Machado - Big data, de la investigación científica a la gestión empres...
Manuel Machado - Big data, de la investigación científica a la gestión empres...
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]final
 
Curso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]finalCurso de suministro__vitu_al_taller_1[1]final
Curso de suministro__vitu_al_taller_1[1]final
 
Preparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxPreparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptx
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Dernier

NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptxNIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptxDaniloDaz4
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfJosAndrRosarioVzquez
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfaxelv9257
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx221112876
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxgustavovasquezv56
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaJadeVilcscordova
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...axelv9257
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte2024020140
 
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxTipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxJOELGARCIA849853
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfYanitza28
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaEdwinGarca59
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionEmanuelMuoz11
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024NicolleAndrade7
 
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdfjuan23xpx
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfYanitza28
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónUniversidad de Sonora
 
EL ESPIRITU SANTO en pentecostes2022.pptx
EL ESPIRITU SANTO en pentecostes2022.pptxEL ESPIRITU SANTO en pentecostes2022.pptx
EL ESPIRITU SANTO en pentecostes2022.pptxLuisJavierMoralesMen1
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxVICTORMANUELBEASAGUI
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendidaLuis Francisco Reyes Aceves
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASMarc Liust
 

Dernier (20)

NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptxNIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el tema
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
 
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxTipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación Latinoamerica
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
 
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
 
EL ESPIRITU SANTO en pentecostes2022.pptx
EL ESPIRITU SANTO en pentecostes2022.pptxEL ESPIRITU SANTO en pentecostes2022.pptx
EL ESPIRITU SANTO en pentecostes2022.pptx
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 

Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa

  • 1. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 1 PCI-DSS PA-DSS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa
  • 2. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 2 Proyecto de adecuación a la normativa PCI-DSS Índice 1. Marco Normativo. 2. Repositorio de Datos.
  • 3. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 3 1Objeto. Marco normativo. Informar, formar y concienciar sobre: • La estrategia de seguridad de abertis Autopistas con respecto al entorno PCI DSS. • Definir las líneas generales de actuación para evitar amenazas y reaccionar ante incidentes de seguridad que afecten al entorno PCI DSS. • Definir el cumplimiento obligatorioi para todos los empleados y colaboradores internos y/o externos. Sin una política y procedimientos documentados no es posible garantizar la seguridad del entorno y por tanto cumplir con PCI DSS.
  • 4. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 4 1Alineamiento. Marco normativo. • Revisar qué políticas, procedimientos, instrucciones técnicas existentes y adaptarlas a PCI DSS. • Alinear con otros estándares y normas existentes (ISO 27001, LOPD). • Documentar todo requerimiento para facilitar su cumplimiento permanentemente. • Establecer revisiones y actualizaciones periódicas.
  • 5. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 5 1Normativas. Marco normativo. • Control de Acceso. • Criptografía y Gestión de Claves. • Gestión de Terceras Partes. • Roles y Responsabilidades. • Tratamiento de la Información. • Monitorización y Auditoría. • Seguridad de las Plataformas. • Uso de Recursos Críticos. • …
  • 6. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 6 1Tabla de correlación. Marco normativo. Permite tener presente la afectación de un cambio en el cumplimiento de los distintos estándares: • A nivel documental facilitando la integración en el SGI. • En la implementación de soluciones o ejecución de proyectos.
  • 7. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 7 2 Repositorio de datos. Propósito: • Identificar/inventariar todos los posible repositorios de datos de titulares de tarjetas de pago. Problemáticas: • Aplicaciones satélites desarrolladas • por los propios usuarios. • Filosofía opuesta en el desarrollo y las • bases de datos, cuántos más datos mejor! • Múltiples departamentos, usuarios, aplicaciones y canales de transmisión de datos.
  • 8. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 8 2 Repositorio de datos. • Almacenar la menor cantidad de datos que sea posible. La información que se almacene debe seguir las políticas de retención y eliminación, y estar inventariada adecuadamente. • Aquellos datos de tarjeta que sean almacenados, deberán permanecer ilegibles mediante mecanismos como el cifrado o el truncado. • Siempre que deban visualizarse datos de tarjetas mediante alguna aplicación, solo deberán mostrarse los primeros 4 y últimos 6 dígitos del PAN. Conceptos básicos.
  • 9. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 9 2 Repositorio de datos. • Se prohíbe el almacenamiento de datos sensibles tras el proceso de autorización, aunque estén cifrados y en cualquier tipo de soporte de almacenamiento Conceptos básicos.
  • 10. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 10 2 Repositorio de datos. Conceptos básicos.  Protocolos de transmisión como telnet, HTTP o FTP no son válidos.  Los requerimientos de almacenamiento afectan a cualquier tipo de soporte (papel, cintas, DVD’s…).  El cifrado de los datos implica una gestión de claves de cifrado, para la que se requieren ciertos requerimientos referentes a la fortaleza de las claves, cambio periódico, su almacenamiento y distribución, revocado y destrucción, así como responsabilidades para su custodia y protección.
  • 11. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 11 2 Repositorio de datos. Acciones realizadas. 1. Identificar todos los sistemas que almacenan, procesan o transmiten datos de tarjeta. • Analizar y entender los procesos que obtienen datos de titulares de tarjeta de pago. • Entrevistas con los responsables de los departamentos. • Análisis de los usos de los datos de tarjeta. • Datos compartidos entre procesos y/o departamentos. • Ejecución de herramientas y scripts para la localización de datos “desconocidos”.
  • 12. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 12 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Origen (Cómo se han obtenido los datos). • Datos obtenidos (PAN, Service Code, Fecha Caducidad…) • Función y Justificación de negocio. • Periodo de retención. • Control de acceso a datos. • Transmisión de datos entre procesos. • Método de borrado utilizado. • Formato en el que se almacenan y medidas de protección aplicadas (tipo de cifrado…). • Dispositivos, Sistemas y Aplicaciones relacionadas.
  • 13. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 13 2 Repositorio de datos. Acciones realizadas. 2. Análisis individual de cada repositorio identificado: • Dando como resultado la Matriz de Datos. que permite : • afrontar una auditoría. • tener control sobre los datos. • estudiar acciones para acotar el entorno.
  • 14. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 14 2 Repositorio de datos. Acciones realizadas. 3. Estudio de la necesidad: • Una vez identificados todos los repositorios de datos, es posible determinar la necesidad de su existencia, valorando: o Eliminación del fichero o campo en la aplicación/BBDD. o Integración de funcionalidades en menos aplicaciones. o Uso de técnicas para reducir el alcance como: • Truncado de datos. • Enmascaramiento. • Tokenización. o Cambios en los procesos de negocio, para eliminar la necesidad de trabajar con datos de tarjeta. o Uso de protocolos de transmisión distintos.
  • 15. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 15 2 Repositorio de datos. Beneficios obtenidos. • Concienciación debido a las reuniones y consultas realizadas. • Eliminación de aplicaciones satélites, listados y repositorios individuales. • Mejoras en el desarrollo, al incorporar en el proceso decisiones críticas como el enmascaramiento de datos, estudiar la necesidad de almacenar datos de tarjeta, etc. • Estudio de los tiempos y justificaciones de retención de datos. • Minimización de riesgos – Saber con determinación donde hay datos críticos. – A medida que crecen los repositorios de datos, los riesgos son cada vez mayores. – A mayor cantidad de datos comprometidos, mayores son las consecuencias del compromiso (multas, penalizaciones). – Limitar el uso de tecnologías de mensajería para el tratamiento de datos de tarjeta de pago. – Menor acceso a datos, y más controlado.
  • 16. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 16 2 Repositorio de datos. Recomendaciones. • Reducir los repositorios de datos al mínimo realmente imprescindible. • Si no lo necesitas, no lo almacenes! • Impedir la extracción de datos mediante listados, documentos ofimáticos, etc., a través de las aplicaciones corporativas. • Lanzar procesos automáticos periódicamente para el descubrimiento de datos de tarjeta no autorizados. – Expresiones regulares. – Formula de Luhn.
  • 17. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 17 ¿PREGUNTAS?
  • 18. 2ª Jornada sobre Seguridad en Medios de Pago 10 de noviembre de 2010 18 MUCHAS GRACIAS Mario Rueda Zambrana. Responsable de Seguridad de la Información. Gerencia de Calidad y Desarrollo Operativo. abertis Autopistas España Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la Normativa