Este documento describe el proceso de integración de los requisitos de la auditoría PCI-DSS en el Sistema de Gestión de Seguridad de la Información de ATCA. Se establecen objetivos de cumplimiento para los procesos de la auditoría y un seguimiento mensual a través de métricas. También se requiere que los desarrollos de software, especialmente los relacionados con medios de pago, pasen una revisión del departamento de seguridad en todas las fases. Por último, las aplicaciones de terceros deben cumplir las norm
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
1. Como integrar PCI-DSS en un
Sistema de Gestión de la
Seguridad
Madrid, 7 de Noviembre
SI-0015/06
2. Pedro Sánchez
psanchez@atca.es
Ingeniero en Informática por la UAM
CISA (Certified Information Security Auditor)
CISM (Certified Information Security Manager)
Agradecimientos
3. Índice
1.- Que es ATCA
2.- Como nace el SGSI
3.- La auditoria PCI-DSS
3.1.- Estado de la seguridad
4.- Integración en el SGSI
5.- Conclusiones
Auditoria de seguridad informáticaComo integrar PCI-DSS en un
SGSI
5. 1.- Que es ATCA
ATCA A.I.E., es una agrupación de interés económico con un
Capital Social de 6.923.520 Euros distribuido entre sus socios de la
forma siguiente:
31 %
31 %
13 %
25 %
6. 1.- Que es ATCA
En la actualidad, las cuatro Cajas de Ahorros asociadas
gestionan en total activos por importe de 27.661
millones de euros
Los recursos de sus clientes superan los 19.914 millones
de euros y las inversiones crediticias totalizan 21.156
millones de euros
En ellas trabajan más de 5.400 empleados. En cuanto a
la red de atención al público, la cifra global es de 1100
sucursales, 1.658 cajeros automáticos y 17.013 TPV's.
7. ATCA debe ser una empresa que, mediante la
más eficiente utilización de la tecnología
disponible en cada momento, ofrezca a las Cajas
de Ahorros Asociadas los productos y servicios
que le sean demandados por ellas, en las
mejores condiciones de rapidez, calidad y coste,
procurando preservar, al máximo posible, la
unicidad del aplicativo informático y manteniendo
la seguridad en su confidencialidad,
disponibilidad e integridad.
1.- Que es ATCA
Mision
8. 1.- Que es ATCA
Que hacemos
ATCA desarrolla, mantiene y explota las
aplicaciones del núcleo bancario de las Cajas, el
Terminal Financiero, la Banca por Internet y
aplicaciones departamentales.
La seguridad es una de sus máximas prioridades,
obteniendo la certificación para su sistema de
gestión de seguridad de la información, conforme a
la norma ISO/IEC 27001.
También en este año se ha conseguido la
certificación CMMI Nivel 5, siendo la única empresa
con capital Español con esta categoría
9. 1.- Que es ATCA
Hitos importantes
PARAMETRIZACIÓN:PARAMETRIZACIÓN:
Las aplicaciones son comunes para las cuatro Cajas.
Las diferencias existentes en productos, tarifas o criterios de
gestión se manejan en base a parámetros.
Las bases de datos son iguales y se manejan juegos de tablas por
Caja.
Los procesos son similares, pero se ejecutan una vez por cada
Caja.
Las Aplicaciones son multi-divisa, multi-entidad y multi-idioma, y
se explotan con dos usos horarios (Península y Canarias).
10. 1.- Que es ATCA
Hitos importantes
Certificación en CMMI Nivel 5 (Solo dos empresas en España)
Certificación de Seguridad SGSI en ISO 27001 (Única en España
cuyo alcance es toda la empresa)
Desarrollo basado en productos de código abierto:
Terminal financiero (Abaco)
Banca electrónica
Grid batch computing
Puesto de trabajo Linux
CD Recovery
11. 1.- Que es ATCA
Hitos importantes
File inspector & Audit systems
Ossim / nagios
Tecleos
Auditoria a distancia
.....
13. 2.- ¿Cómo nace el SGSI?
En el año 2001, La alta dirección apuesta por la
seguridad como un valor de servicio, calidad y
confiabilidad y no como un gasto
ATCA apuesta por lo más difícil de la seguridad:
La concienciación.
Para ello:
14. 2.- ¿Cómo nace el SGSI?
Se establece un plan de cuatro años de formación
continua en materias de seguridad.
Se apuesta por metodologías aplicadas por el
gobierno americano
Se ponen objetivos de seguridad a todos los
empleados (computables en sus nominas)
Se crean las primeras métricas de servicio y
seguridad
En el 2002 ya apostamos por la seguridad en el
desarrollo de aplicaciones (Se revisa el 100% del
aplicativo bancario)
15. 2.- ¿Cómo nace el SGSI?
Se forman equipos de seguridad entre las Cajas
Asociadas y ATCA
Se estudia la seguridad desde el eslabón más débil,
el cliente y el usuario
Se define la documentación como hito necesario
para la puesta en marcha de aplicaciones (no hay
documentación – no existe programa – no se pone)
Se adopta CMMI-SSE (Primer PDCA)
Se establecen controles 17799
16. 2.- ¿Cómo nace el SGSI?
Se aplica el principio de transparencia:
Plan de auditorias anuales en ATCA:
LOPD
Controles generales
Banco de España
VISA Internacional
Seguridad en Redes
Banca Electrónica y medios de pago
****
ISO 27001
CMM 5
ITIL
17. 2.- ¿Cómo nace el SGSI?
Se aplica el principio de transparencia:
Informes:
Semanales de actividades a la dirección
Mensuales a Dirección
Mensuales al Comité Técnico de coordinación
Mensuales al Comité de Seg. de las Cajas
Trimestrales a la Comisión delegada de las Cajas
Trimestrales al Consejo de Administración de ATCA
Métricas:
De servicio
De calidad
De productividad
De seguridad
……134 Métricas
18. 2.- ¿Cómo nace el SGSI?
El madurez de seguridad Viene recomendado por:
El conjunto de auditorias:
En los últimos tres años son todas de nivel bajo
Las consultorías realizadas:
Solo en conocimiento
La implantación de CMM nivel 5
Desarrollo, configuración del software, pases a
entornos
Puntos funcion
Peer review
Gestión
Metricas
19. 2.- ¿Cómo nace el SGSI?
Por lo tanto:
El objetivo esta realizado:
CONCIENCIACION
CONTROLES
A falta de:
Control del ciclo de vida
Que se resuelve en el 2006:
Ciclos de vida
Mantenimientos de proyectos
+ Concienciación
20. 2.- ¿Cómo nace el SGSI?
SI-0015/06
•Necesidad de fidelizar a nuestras entidades
financieras
•Confiabilidad de los clientes en sectores como
banca electrónica
•Asegurar el nivel de desarrollo del software en
cuanto a seguridad (0% en ataques de Hacking)
•Disponer de un cuadro de mandos, sencillo
pero útil
•Gestionar los productos desde su ciclo de vida
21. 2.- ¿Cómo nace el SGSI?
SI-0015/06
A raiz de las consultorias y Auditorias se
aconseja realizar la certificación como proceso
de mejora
La alta dirección define como alcance toda la
compañía
El proceso de certificación dura tres semanas
Se consigue el SGSI en Agosto de 2006
23. 3. –Introducción Auditoria PCI - DSS
A ) Partimos de que el nivel de seguridad del entorno
financiero es alto, debido especialmente a la
cantidad de regulaciones y cumplimiento normativo,
como por ejemplo la protección de datos de carácter
personal
B) Desde hace años, las entidades financieras (en
España) se han protegido con políticas internas de
seguridad de la información e incluso creando
comités de trabajo.
C)Banco de España, se perfila como ‘regulador’ aunque
no crea ninguna recomendación de seguridad al
respecto
24. 3. – Introducción Auditoria PCI - DSS
D) Los problemas de fraude siguen estando en las tarjetas
E) En algún caso los malos sistemas de autenticación de
las BE y la baja seguridad de los usuarios hacen que las
mafias se centren en este ‘negocio’ llegando a superar al
negocio de la droga.
F) Según el INTECO, el 80% de los ordenadores españoles
tienen algún tipo de Malware, sin que el usuario lo sepa
(España a la cabeza del SPAM)
Según VERISIGN en el mundo, las infecciones superan el
90%
25. 3. – Introducción Auditoria PCI - DSS
G) Muchas entidades, subcontratan la seguridad (¿es
bueno?)
F) El uso y abuso de los sistemas, el mal diseño de las
bases de datos y de las aplicaciones web, han permitido
vulneración de datos de titulares de tarjetas (no diremos
nombres, solo ejemplos)
32. 3. – Hitos en la Auditoria PCI - DSS
VISA y MASTERCAD regulan la obligatoriedad de que los
comercios y empresas con tratamientos de tarjetas se les
audite la seguridad
En España, la norma padece una parálisis y no queda claro
quien ni cuando la debe realizar, tampoco las ventajas de
hacerla, solo se intuyen inconvenientes
Ante las dudas y partiendo del sentido común, en ATCA se
plantea realizar la auditoria exigida por VISA y
MASTERCAD
E
33. 3. – Hitos en la Auditoria PCI - DSS
Se empieza por la parte de escaneos, una auditoria cada
tres meses cuyo alcance es:
Sistemas y dispositivos que transmitan,recepcione o
procesen datos de tarjetas, en nuestro caso en concreto:
DMZ de Banca electrónica (routers, servidores)
TPV’s Virtuales
Aplicativo web
34. 3. – Hitos en la Auditoria PCI - DSS
Auditoria ‘in-situ’ que consiste:
Un trabajo de revisión de todos los sistemas de ATCA,
donde se procesen datos de tarjetas (es decir toda la
instalación)
La duración de la revisión dura dos meses e implica a toda
la organización
Se realizan 235 intervenciones con sus evidencias, se
revisa el aspecto normativo,legal, seguridad en redes,
políticas de confidencialidad, empleados
35. 3. – Hitos en la Auditoria PCI – DSS
Departamentos afectados
Dirección -
General
Dirección
seguridad
Dirección de
producción y
Planificación
Dirección de
desarrollo
Dirección
Nuevas
tecnologías
Calidad
36. 3. – Hitos en la Auditoria PCI – DSS
Departamentos afectados
Dirección -
Seguridad
Arquitectura -
Seguridad
Auditorias / Pen
test
Web Criptografía
Sistemas -
Seguridad
Comunicaciones Bases de datos
37. 3. – Hitos en la Auditoria PCI - DSS
Para la revisión de los requerimientos se ha considerado la
estructura actual en ATCA de ISO 27001 y
la 17799, así como procedimientos propios, constituida por
los siguientes componentes:
- Objetivos de Control
- Requerimientos principales
- Requerimientos y subrequerimientos detallados
- Procedimientos de Test
38. 3. – Hitos en la Auditoria PCI - DSS
Los seis objetivos de control definidos por la auditoría
fueron:
A. Creación y mantenimiento de una red segura
B. Protección de los datos almacenados
C. Mantenimiento de un programa de gestión de
vulnerabilidades
D. Implantación de medidas de control de acceso
E. Monitorización y revisión periódica de las redes
F. Mantenimiento de una Política de Seguridad de la
Información
39. 3. – Hitos en la Auditoria PCI - DSS
Requerimientos principales que se detallan a continuación:
1. Instalación y mantenimiento de la configuración de firewalls para la
protección de los datos
2. No empleo de contraseñas y otros parámetros de seguridad establecidas por
defecto por los proveedores.
3. Protección de los datos almacenados
4. Cifrado de la transmisión de la información sensible a través de redes
públicas.
5. Empleo y actualización periódica de programas y software antivirus.
6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros.
7. Restricción del acceso a los datos en función de la necesidad de conocer
(con base en el negocio).
8. Asignación de un identificador único para todas las personas con acceso al
sistema.
9. Restricción del acceso físico a los datos .
10. Revisión y monitorización de todos los accesos a los recursos de red y a los
datos
11. Prueba periódica de la seguridad de los sistemas y los procesos.
12. Mantenimiento de una política que contemple la seguridad de la información
para los empleados y contratistas.
40. 3. – Hitos en la Auditoria PCI - DSS
Requerimientos principales que se detallan a continuación:
1. Instalación y mantenimiento de la configuración de firewalls para la
protección de los datos
2. No empleo de contraseñas y otros parámetros de seguridad establecidas por
defecto por los proveedores.
3. Protección de los datos almacenados
4. Cifrado de la transmisión de la información sensible a través de redes
públicas.
5. Empleo y actualización periódica de programas y software antivirus.
6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros.
7. Restricción del acceso a los datos en función de la necesidad de conocer
(con base en el negocio).
8. Asignación de un identificador único para todas las personas con acceso al
sistema.
9. Restricción del acceso físico a los datos .
10. Revisión y monitorización de todos los accesos a los recursos de red y a los
datos
11. Prueba periódica de la seguridad de los sistemas y los procesos.
12. Mantenimiento de una política que contemple la seguridad de la información
para los empleados y contratistas.
41. 3. – Resultados en la Auditoria PCI - DSS
Informe favorable por parte de la empresa auditora
Las incidencias encontradas son de carácter leve y se
convierten en recomendaciones de mejora
ATCA Cumple el programa PCI-DSS de certificación de la
auditoria
Los informes se enviaron y esta a disposición de VISA y
MASTERCAD
44. 4. – Integración en el SGSI
1.- Todos los procesos de la auditoria, se definen como objetivos de
cumplimiento y se establece un seguimiento mensual por medio de
métricas
2.- Los desarrollos de software, (especialmente los de medios de
pago) deben de pasar por el visto bueno del departamento de
seguridad (Estudio, definición, desarrollo, test, formación y
producción)
3.- En todos los entornos , se realizan documentos que deben de
aprobarse por los responsables de la petición de desarrollo
4.- Cuando una aplicación viene dada por terceros, deben de cumplir
las normas de seguridad de ATCA (ej. Los proveedores externos
nunca se conectan de forma remota)
5.- En todos los proyectos debe de haber un responsable de código
seguro, designado por el departamento de desarrollo o seguridad.
45. 4. – Integración en el SGSI
Más de 150 Procedimientos de seguridad
60 de ellos dedicados al desarrollo de software seguro
10 de los 60 dedicados a el ciclo de vida del software
3 exclusivos al tratamiento de tarjetas
264 Métricas (117 de seguridad)
Objeto:
Durante la fase de planificación todos los proyectos deben de
identificarse, justificarse, acordarse y documentar.
Alcance:
Los proyectos de nuevos productos, gestión interna y optimización
Las peticiones de trabajo cursadas por las Cajas con causas mtto
evolutivo o normativo.
Los proyectos y trabajos llevados a cabo por Sistemas que afectan a las
plataformas Hw/Sw que prestan servicio de producción
47. 5. – Conclusiones
En cuanto al trabajo de la auditoria:
Los objetivos están claramente definidos y abarcan todos
los aspectos de una organización. Los cuestionarios
Un gran esfuerzo en tiempo, dinero y de recursos (No os lo
podéis imaginar)
Ha sido de gran utilidad la revisión de la auditoria (la
seguiremos haciendo, somos frikis y nos gusta que nos
sodomicen)
Hay que hacer esta u otras parecidas a esta solo por
trasparencia o sentido comun
48. 5. – Conclusiones
En cuanto a la norma:
La vemos poco efectiva por las siguientes razones:
1. Ambigüedad por parte de VISA y MASTERCAD, no son
claros en sus actuaciones, por lo menos en España
2. ¿Por qué las entidades financieras no pasan la
auditoría?, ¿somos como entidad más seguros que un
comercio?
3. ¿Se va a obligar a los comercios a pasar la auditoría?
4. ¿Estos van a tener alguna ventaja, de la que ya tienen?