SlideShare une entreprise Scribd logo

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.

Internet Security Auditors
Internet Security Auditors

Este documento describe el proceso de integración de los requisitos de la auditoría PCI-DSS en el Sistema de Gestión de Seguridad de la Información de ATCA. Se establecen objetivos de cumplimiento para los procesos de la auditoría y un seguimiento mensual a través de métricas. También se requiere que los desarrollos de software, especialmente los relacionados con medios de pago, pasen una revisión del departamento de seguridad en todas las fases. Por último, las aplicaciones de terceros deben cumplir las norm

Technologie
1  sur  50
Télécharger pour lire hors ligne
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre SI-0015/06
Pedro Sánchez psanchez@atca.es Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified Information Security Manager) Agradecimientos
Índice 1.- Que es ATCA 2.- Como nace el SGSI 3.- La auditoria PCI-DSS 3.1.- Estado de la seguridad 4.- Integración en el SGSI 5.- Conclusiones Auditoria de seguridad informáticaComo integrar PCI-DSS en un SGSI
1.- Que es ATCA ATCA
1.- Que es ATCA ATCA A.I.E., es una agrupación de interés económico con un Capital Social de 6.923.520 Euros distribuido entre sus socios de la forma siguiente: 31 % 31 % 13 % 25 %
1.- Que es ATCA En la actualidad, las cuatro Cajas de Ahorros asociadas gestionan en total activos por importe de 27.661 millones de euros Los recursos de sus clientes superan los 19.914 millones de euros y las inversiones crediticias totalizan 21.156 millones de euros En ellas trabajan más de 5.400 empleados. En cuanto a la red de atención al público, la cifra global es de 1100 sucursales, 1.658 cajeros automáticos y 17.013 TPV's.
ATCA debe ser una empresa que, mediante la más eficiente utilización de la tecnología disponible en cada momento, ofrezca a las Cajas de Ahorros Asociadas los productos y servicios que le sean demandados por ellas, en las mejores condiciones de rapidez, calidad y coste, procurando preservar, al máximo posible, la unicidad del aplicativo informático y manteniendo la seguridad en su confidencialidad, disponibilidad e integridad. 1.- Que es ATCA Mision
1.- Que es ATCA Que hacemos ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales. La seguridad es una de sus máximas prioridades, obteniendo la certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001. También en este año se ha conseguido la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
1.- Que es ATCA Hitos importantes PARAMETRIZACIÓN:PARAMETRIZACIÓN:  Las aplicaciones son comunes para las cuatro Cajas.  Las diferencias existentes en productos, tarifas o criterios de gestión se manejan en base a parámetros.  Las bases de datos son iguales y se manejan juegos de tablas por Caja.  Los procesos son similares, pero se ejecutan una vez por cada Caja.  Las Aplicaciones son multi-divisa, multi-entidad y multi-idioma, y se explotan con dos usos horarios (Península y Canarias).
1.- Que es ATCA Hitos importantes  Certificación en CMMI Nivel 5 (Solo dos empresas en España)  Certificación de Seguridad SGSI en ISO 27001 (Única en España cuyo alcance es toda la empresa)  Desarrollo basado en productos de código abierto:  Terminal financiero (Abaco)  Banca electrónica  Grid batch computing  Puesto de trabajo Linux  CD Recovery
1.- Que es ATCA Hitos importantes  File inspector & Audit systems  Ossim / nagios  Tecleos  Auditoria a distancia  .....
2.- ¿Por que un SGSI? SGSI
2.- ¿Cómo nace el SGSI? En el año 2001, La alta dirección apuesta por la seguridad como un valor de servicio, calidad y confiabilidad y no como un gasto ATCA apuesta por lo más difícil de la seguridad: La concienciación. Para ello:
2.- ¿Cómo nace el SGSI? Se establece un plan de cuatro años de formación continua en materias de seguridad. Se apuesta por metodologías aplicadas por el gobierno americano Se ponen objetivos de seguridad a todos los empleados (computables en sus nominas) Se crean las primeras métricas de servicio y seguridad En el 2002 ya apostamos por la seguridad en el desarrollo de aplicaciones (Se revisa el 100% del aplicativo bancario)
2.- ¿Cómo nace el SGSI? Se forman equipos de seguridad entre las Cajas Asociadas y ATCA Se estudia la seguridad desde el eslabón más débil, el cliente y el usuario Se define la documentación como hito necesario para la puesta en marcha de aplicaciones (no hay documentación – no existe programa – no se pone) Se adopta CMMI-SSE (Primer PDCA) Se establecen controles 17799
2.- ¿Cómo nace el SGSI? Se aplica el principio de transparencia: Plan de auditorias anuales en ATCA: LOPD Controles generales Banco de España VISA Internacional Seguridad en Redes Banca Electrónica y medios de pago **** ISO 27001 CMM 5 ITIL
2.- ¿Cómo nace el SGSI? Se aplica el principio de transparencia: Informes: Semanales de actividades a la dirección Mensuales a Dirección Mensuales al Comité Técnico de coordinación Mensuales al Comité de Seg. de las Cajas Trimestrales a la Comisión delegada de las Cajas Trimestrales al Consejo de Administración de ATCA Métricas: De servicio De calidad De productividad De seguridad ……134 Métricas
2.- ¿Cómo nace el SGSI? El madurez de seguridad Viene recomendado por: El conjunto de auditorias: En los últimos tres años son todas de nivel bajo Las consultorías realizadas: Solo en conocimiento La implantación de CMM nivel 5 Desarrollo, configuración del software, pases a entornos Puntos funcion Peer review Gestión Metricas
2.- ¿Cómo nace el SGSI? Por lo tanto: El objetivo esta realizado: CONCIENCIACION CONTROLES A falta de: Control del ciclo de vida Que se resuelve en el 2006: Ciclos de vida Mantenimientos de proyectos + Concienciación
2.- ¿Cómo nace el SGSI? SI-0015/06 •Necesidad de fidelizar a nuestras entidades financieras •Confiabilidad de los clientes en sectores como banca electrónica •Asegurar el nivel de desarrollo del software en cuanto a seguridad (0% en ataques de Hacking) •Disponer de un cuadro de mandos, sencillo pero útil •Gestionar los productos desde su ciclo de vida
2.- ¿Cómo nace el SGSI? SI-0015/06 A raiz de las consultorias y Auditorias se aconseja realizar la certificación como proceso de mejora La alta dirección define como alcance toda la compañía El proceso de certificación dura tres semanas Se consigue el SGSI en Agosto de 2006
Auditoria PCI-DSS Madrid, 7 de Noviembre ¿Qué hemos hecho nosotros para merecer esto?
3. –Introducción Auditoria PCI - DSS A ) Partimos de que el nivel de seguridad del entorno financiero es alto, debido especialmente a la cantidad de regulaciones y cumplimiento normativo, como por ejemplo la protección de datos de carácter personal B) Desde hace años, las entidades financieras (en España) se han protegido con políticas internas de seguridad de la información e incluso creando comités de trabajo. C)Banco de España, se perfila como ‘regulador’ aunque no crea ninguna recomendación de seguridad al respecto
3. – Introducción Auditoria PCI - DSS D) Los problemas de fraude siguen estando en las tarjetas E) En algún caso los malos sistemas de autenticación de las BE y la baja seguridad de los usuarios hacen que las mafias se centren en este ‘negocio’ llegando a superar al negocio de la droga. F) Según el INTECO, el 80% de los ordenadores españoles tienen algún tipo de Malware, sin que el usuario lo sepa (España a la cabeza del SPAM) Según VERISIGN en el mundo, las infecciones superan el 90%
3. – Introducción Auditoria PCI - DSS G) Muchas entidades, subcontratan la seguridad (¿es bueno?) F) El uso y abuso de los sistemas, el mal diseño de las bases de datos y de las aplicaciones web, han permitido vulneración de datos de titulares de tarjetas (no diremos nombres, solo ejemplos)
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3.1.- Estado de la seguridad
3. – Hitos en la Auditoria PCI - DSS VISA y MASTERCAD regulan la obligatoriedad de que los comercios y empresas con tratamientos de tarjetas se les audite la seguridad En España, la norma padece una parálisis y no queda claro quien ni cuando la debe realizar, tampoco las ventajas de hacerla, solo se intuyen inconvenientes Ante las dudas y partiendo del sentido común, en ATCA se plantea realizar la auditoria exigida por VISA y MASTERCAD E
3. – Hitos en la Auditoria PCI - DSS Se empieza por la parte de escaneos, una auditoria cada tres meses cuyo alcance es: Sistemas y dispositivos que transmitan,recepcione o procesen datos de tarjetas, en nuestro caso en concreto: DMZ de Banca electrónica (routers, servidores) TPV’s Virtuales Aplicativo web
3. – Hitos en la Auditoria PCI - DSS Auditoria ‘in-situ’ que consiste: Un trabajo de revisión de todos los sistemas de ATCA, donde se procesen datos de tarjetas (es decir toda la instalación) La duración de la revisión dura dos meses e implica a toda la organización Se realizan 235 intervenciones con sus evidencias, se revisa el aspecto normativo,legal, seguridad en redes, políticas de confidencialidad, empleados
3. – Hitos en la Auditoria PCI – DSS Departamentos afectados Dirección - General Dirección seguridad Dirección de producción y Planificación Dirección de desarrollo Dirección Nuevas tecnologías Calidad
3. – Hitos en la Auditoria PCI – DSS Departamentos afectados Dirección - Seguridad Arquitectura - Seguridad Auditorias / Pen test Web Criptografía Sistemas - Seguridad Comunicaciones Bases de datos
3. – Hitos en la Auditoria PCI - DSS Para la revisión de los requerimientos se ha considerado la estructura actual en ATCA de ISO 27001 y la 17799, así como procedimientos propios, constituida por los siguientes componentes: - Objetivos de Control - Requerimientos principales - Requerimientos y subrequerimientos detallados - Procedimientos de Test
3. – Hitos en la Auditoria PCI - DSS Los seis objetivos de control definidos por la auditoría fueron: A. Creación y mantenimiento de una red segura B. Protección de los datos almacenados C. Mantenimiento de un programa de gestión de vulnerabilidades D. Implantación de medidas de control de acceso E. Monitorización y revisión periódica de las redes F. Mantenimiento de una Política de Seguridad de la Información
3. – Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos . 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
3. – Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos . 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
3. – Resultados en la Auditoria PCI - DSS Informe favorable por parte de la empresa auditora Las incidencias encontradas son de carácter leve y se convierten en recomendaciones de mejora ATCA Cumple el programa PCI-DSS de certificación de la auditoria Los informes se enviaron y esta a disposición de VISA y MASTERCAD
3. – Mi equipo de trabajo (¡¡todos frikis!!)
Integración de la Auditoria PCI-DSS en el SGSI Madrid, 7 de Noviembre Integración
4. – Integración en el SGSI 1.- Todos los procesos de la auditoria, se definen como objetivos de cumplimiento y se establece un seguimiento mensual por medio de métricas 2.- Los desarrollos de software, (especialmente los de medios de pago) deben de pasar por el visto bueno del departamento de seguridad (Estudio, definición, desarrollo, test, formación y producción) 3.- En todos los entornos , se realizan documentos que deben de aprobarse por los responsables de la petición de desarrollo 4.- Cuando una aplicación viene dada por terceros, deben de cumplir las normas de seguridad de ATCA (ej. Los proveedores externos nunca se conectan de forma remota) 5.- En todos los proyectos debe de haber un responsable de código seguro, designado por el departamento de desarrollo o seguridad.
4. – Integración en el SGSI Más de 150 Procedimientos de seguridad 60 de ellos dedicados al desarrollo de software seguro 10 de los 60 dedicados a el ciclo de vida del software 3 exclusivos al tratamiento de tarjetas 264 Métricas (117 de seguridad) Objeto: Durante la fase de planificación todos los proyectos deben de identificarse, justificarse, acordarse y documentar. Alcance: Los proyectos de nuevos productos, gestión interna y optimización Las peticiones de trabajo cursadas por las Cajas con causas mtto evolutivo o normativo. Los proyectos y trabajos llevados a cabo por Sistemas que afectan a las plataformas Hw/Sw que prestan servicio de producción
Conclusiones Madrid, 7 de Noviembre Conclusiones
5. – Conclusiones En cuanto al trabajo de la auditoria: Los objetivos están claramente definidos y abarcan todos los aspectos de una organización. Los cuestionarios Un gran esfuerzo en tiempo, dinero y de recursos (No os lo podéis imaginar) Ha sido de gran utilidad la revisión de la auditoria (la seguiremos haciendo, somos frikis y nos gusta que nos sodomicen) Hay que hacer esta u otras parecidas a esta solo por trasparencia o sentido comun
5. – Conclusiones En cuanto a la norma: La vemos poco efectiva por las siguientes razones: 1. Ambigüedad por parte de VISA y MASTERCAD, no son claros en sus actuaciones, por lo menos en España 2. ¿Por qué las entidades financieras no pasan la auditoría?, ¿somos como entidad más seguros que un comercio? 3. ¿Se va a obligar a los comercios a pasar la auditoría? 4. ¿Estos van a tener alguna ventaja, de la que ya tienen?
Preguntas Madrid, 7 de Noviembre ¿Preguntas?
Gracias psanchez@atca.es Gracias a todos

Recommandé

Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 

Recommandé

Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadSIA Group
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochureJuan Francisco Rivas Figueroa
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemasAlexander Velasque Rimac
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Transformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityTransformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityElasticsearch
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadLuis Fernando Aguas Bucheli
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Automatización del cálculo de los niveles de servicio mediante el análisis de...
Automatización del cálculo de los niveles de servicio mediante el análisis de...Automatización del cálculo de los niveles de servicio mediante el análisis de...
Automatización del cálculo de los niveles de servicio mediante el análisis de...BPM Conference España
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasSIA Group
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Camilo Esteban
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 

Contenu connexe

Tendances

PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadSIA Group
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Transformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityTransformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityElasticsearch
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Automatización del cálculo de los niveles de servicio mediante el análisis de...
Automatización del cálculo de los niveles de servicio mediante el análisis de...Automatización del cálculo de los niveles de servicio mediante el análisis de...
Automatización del cálculo de los niveles de servicio mediante el análisis de...BPM Conference España
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasSIA Group
 

Tendances (20)

PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de Ciberseguridad
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos Básicos
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Transformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityTransformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic Security
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. Cyberseguridad
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Automatización del cálculo de los niveles de servicio mediante el análisis de...
Automatización del cálculo de los niveles de servicio mediante el análisis de...Automatización del cálculo de los niveles de servicio mediante el análisis de...
Automatización del cálculo de los niveles de servicio mediante el análisis de...
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libre
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras Críticas
 

Similaire à Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.

Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsLibreCon
 
Grupo14 tfinal parte3
Grupo14 tfinal parte3Grupo14 tfinal parte3
Grupo14 tfinal parte3arodri7703
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4arodri7703
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Seguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades FinancierasSeguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades Financierasmaxalonzohuaman
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
Presentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de ServiciosPresentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de ServiciosJordi Civit Vives, CISA
 

Similaire à Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad. (20)

Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
Grupo14 tfinal parte3
Grupo14 tfinal parte3Grupo14 tfinal parte3
Grupo14 tfinal parte3
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Seguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades FinancierasSeguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades Financieras
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Presentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de ServiciosPresentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de Servicios
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 

Dernier

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Dernier (10)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.

  • 1. Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre SI-0015/06
  • 2. Pedro Sánchez psanchez@atca.es Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified Information Security Manager) Agradecimientos
  • 3. Índice 1.- Que es ATCA 2.- Como nace el SGSI 3.- La auditoria PCI-DSS 3.1.- Estado de la seguridad 4.- Integración en el SGSI 5.- Conclusiones Auditoria de seguridad informáticaComo integrar PCI-DSS en un SGSI
  • 4. 1.- Que es ATCA ATCA
  • 5. 1.- Que es ATCA ATCA A.I.E., es una agrupación de interés económico con un Capital Social de 6.923.520 Euros distribuido entre sus socios de la forma siguiente: 31 % 31 % 13 % 25 %
  • 6. 1.- Que es ATCA En la actualidad, las cuatro Cajas de Ahorros asociadas gestionan en total activos por importe de 27.661 millones de euros Los recursos de sus clientes superan los 19.914 millones de euros y las inversiones crediticias totalizan 21.156 millones de euros En ellas trabajan más de 5.400 empleados. En cuanto a la red de atención al público, la cifra global es de 1100 sucursales, 1.658 cajeros automáticos y 17.013 TPV's.
  • 7. ATCA debe ser una empresa que, mediante la más eficiente utilización de la tecnología disponible en cada momento, ofrezca a las Cajas de Ahorros Asociadas los productos y servicios que le sean demandados por ellas, en las mejores condiciones de rapidez, calidad y coste, procurando preservar, al máximo posible, la unicidad del aplicativo informático y manteniendo la seguridad en su confidencialidad, disponibilidad e integridad. 1.- Que es ATCA Mision
  • 8. 1.- Que es ATCA Que hacemos ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales. La seguridad es una de sus máximas prioridades, obteniendo la certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001. También en este año se ha conseguido la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
  • 9. 1.- Que es ATCA Hitos importantes PARAMETRIZACIÓN:PARAMETRIZACIÓN:  Las aplicaciones son comunes para las cuatro Cajas.  Las diferencias existentes en productos, tarifas o criterios de gestión se manejan en base a parámetros.  Las bases de datos son iguales y se manejan juegos de tablas por Caja.  Los procesos son similares, pero se ejecutan una vez por cada Caja.  Las Aplicaciones son multi-divisa, multi-entidad y multi-idioma, y se explotan con dos usos horarios (Península y Canarias).
  • 10. 1.- Que es ATCA Hitos importantes  Certificación en CMMI Nivel 5 (Solo dos empresas en España)  Certificación de Seguridad SGSI en ISO 27001 (Única en España cuyo alcance es toda la empresa)  Desarrollo basado en productos de código abierto:  Terminal financiero (Abaco)  Banca electrónica  Grid batch computing  Puesto de trabajo Linux  CD Recovery
  • 11. 1.- Que es ATCA Hitos importantes  File inspector & Audit systems  Ossim / nagios  Tecleos  Auditoria a distancia  .....
  • 12. 2.- ¿Por que un SGSI? SGSI
  • 13. 2.- ¿Cómo nace el SGSI? En el año 2001, La alta dirección apuesta por la seguridad como un valor de servicio, calidad y confiabilidad y no como un gasto ATCA apuesta por lo más difícil de la seguridad: La concienciación. Para ello:
  • 14. 2.- ¿Cómo nace el SGSI? Se establece un plan de cuatro años de formación continua en materias de seguridad. Se apuesta por metodologías aplicadas por el gobierno americano Se ponen objetivos de seguridad a todos los empleados (computables en sus nominas) Se crean las primeras métricas de servicio y seguridad En el 2002 ya apostamos por la seguridad en el desarrollo de aplicaciones (Se revisa el 100% del aplicativo bancario)
  • 15. 2.- ¿Cómo nace el SGSI? Se forman equipos de seguridad entre las Cajas Asociadas y ATCA Se estudia la seguridad desde el eslabón más débil, el cliente y el usuario Se define la documentación como hito necesario para la puesta en marcha de aplicaciones (no hay documentación – no existe programa – no se pone) Se adopta CMMI-SSE (Primer PDCA) Se establecen controles 17799
  • 16. 2.- ¿Cómo nace el SGSI? Se aplica el principio de transparencia: Plan de auditorias anuales en ATCA: LOPD Controles generales Banco de España VISA Internacional Seguridad en Redes Banca Electrónica y medios de pago **** ISO 27001 CMM 5 ITIL
  • 17. 2.- ¿Cómo nace el SGSI? Se aplica el principio de transparencia: Informes: Semanales de actividades a la dirección Mensuales a Dirección Mensuales al Comité Técnico de coordinación Mensuales al Comité de Seg. de las Cajas Trimestrales a la Comisión delegada de las Cajas Trimestrales al Consejo de Administración de ATCA Métricas: De servicio De calidad De productividad De seguridad ……134 Métricas
  • 18. 2.- ¿Cómo nace el SGSI? El madurez de seguridad Viene recomendado por: El conjunto de auditorias: En los últimos tres años son todas de nivel bajo Las consultorías realizadas: Solo en conocimiento La implantación de CMM nivel 5 Desarrollo, configuración del software, pases a entornos Puntos funcion Peer review Gestión Metricas
  • 19. 2.- ¿Cómo nace el SGSI? Por lo tanto: El objetivo esta realizado: CONCIENCIACION CONTROLES A falta de: Control del ciclo de vida Que se resuelve en el 2006: Ciclos de vida Mantenimientos de proyectos + Concienciación
  • 20. 2.- ¿Cómo nace el SGSI? SI-0015/06 •Necesidad de fidelizar a nuestras entidades financieras •Confiabilidad de los clientes en sectores como banca electrónica •Asegurar el nivel de desarrollo del software en cuanto a seguridad (0% en ataques de Hacking) •Disponer de un cuadro de mandos, sencillo pero útil •Gestionar los productos desde su ciclo de vida
  • 21. 2.- ¿Cómo nace el SGSI? SI-0015/06 A raiz de las consultorias y Auditorias se aconseja realizar la certificación como proceso de mejora La alta dirección define como alcance toda la compañía El proceso de certificación dura tres semanas Se consigue el SGSI en Agosto de 2006
  • 22. Auditoria PCI-DSS Madrid, 7 de Noviembre ¿Qué hemos hecho nosotros para merecer esto?
  • 23. 3. –Introducción Auditoria PCI - DSS A ) Partimos de que el nivel de seguridad del entorno financiero es alto, debido especialmente a la cantidad de regulaciones y cumplimiento normativo, como por ejemplo la protección de datos de carácter personal B) Desde hace años, las entidades financieras (en España) se han protegido con políticas internas de seguridad de la información e incluso creando comités de trabajo. C)Banco de España, se perfila como ‘regulador’ aunque no crea ninguna recomendación de seguridad al respecto
  • 24. 3. – Introducción Auditoria PCI - DSS D) Los problemas de fraude siguen estando en las tarjetas E) En algún caso los malos sistemas de autenticación de las BE y la baja seguridad de los usuarios hacen que las mafias se centren en este ‘negocio’ llegando a superar al negocio de la droga. F) Según el INTECO, el 80% de los ordenadores españoles tienen algún tipo de Malware, sin que el usuario lo sepa (España a la cabeza del SPAM) Según VERISIGN en el mundo, las infecciones superan el 90%
  • 25. 3. – Introducción Auditoria PCI - DSS G) Muchas entidades, subcontratan la seguridad (¿es bueno?) F) El uso y abuso de los sistemas, el mal diseño de las bases de datos y de las aplicaciones web, han permitido vulneración de datos de titulares de tarjetas (no diremos nombres, solo ejemplos)
  • 26. 3.1.- Estado de la seguridad
  • 27. 3.1.- Estado de la seguridad
  • 28. 3.1.- Estado de la seguridad
  • 29. 3.1.- Estado de la seguridad
  • 30. 3.1.- Estado de la seguridad
  • 31. 3.1.- Estado de la seguridad
  • 32. 3. – Hitos en la Auditoria PCI - DSS VISA y MASTERCAD regulan la obligatoriedad de que los comercios y empresas con tratamientos de tarjetas se les audite la seguridad En España, la norma padece una parálisis y no queda claro quien ni cuando la debe realizar, tampoco las ventajas de hacerla, solo se intuyen inconvenientes Ante las dudas y partiendo del sentido común, en ATCA se plantea realizar la auditoria exigida por VISA y MASTERCAD E
  • 33. 3. – Hitos en la Auditoria PCI - DSS Se empieza por la parte de escaneos, una auditoria cada tres meses cuyo alcance es: Sistemas y dispositivos que transmitan,recepcione o procesen datos de tarjetas, en nuestro caso en concreto: DMZ de Banca electrónica (routers, servidores) TPV’s Virtuales Aplicativo web
  • 34. 3. – Hitos en la Auditoria PCI - DSS Auditoria ‘in-situ’ que consiste: Un trabajo de revisión de todos los sistemas de ATCA, donde se procesen datos de tarjetas (es decir toda la instalación) La duración de la revisión dura dos meses e implica a toda la organización Se realizan 235 intervenciones con sus evidencias, se revisa el aspecto normativo,legal, seguridad en redes, políticas de confidencialidad, empleados
  • 35. 3. – Hitos en la Auditoria PCI – DSS Departamentos afectados Dirección - General Dirección seguridad Dirección de producción y Planificación Dirección de desarrollo Dirección Nuevas tecnologías Calidad
  • 36. 3. – Hitos en la Auditoria PCI – DSS Departamentos afectados Dirección - Seguridad Arquitectura - Seguridad Auditorias / Pen test Web Criptografía Sistemas - Seguridad Comunicaciones Bases de datos
  • 37. 3. – Hitos en la Auditoria PCI - DSS Para la revisión de los requerimientos se ha considerado la estructura actual en ATCA de ISO 27001 y la 17799, así como procedimientos propios, constituida por los siguientes componentes: - Objetivos de Control - Requerimientos principales - Requerimientos y subrequerimientos detallados - Procedimientos de Test
  • 38. 3. – Hitos en la Auditoria PCI - DSS Los seis objetivos de control definidos por la auditoría fueron: A. Creación y mantenimiento de una red segura B. Protección de los datos almacenados C. Mantenimiento de un programa de gestión de vulnerabilidades D. Implantación de medidas de control de acceso E. Monitorización y revisión periódica de las redes F. Mantenimiento de una Política de Seguridad de la Información
  • 39. 3. – Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos . 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
  • 40. 3. – Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos . 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
  • 41. 3. – Resultados en la Auditoria PCI - DSS Informe favorable por parte de la empresa auditora Las incidencias encontradas son de carácter leve y se convierten en recomendaciones de mejora ATCA Cumple el programa PCI-DSS de certificación de la auditoria Los informes se enviaron y esta a disposición de VISA y MASTERCAD
  • 42. 3. – Mi equipo de trabajo (¡¡todos frikis!!)
  • 43. Integración de la Auditoria PCI-DSS en el SGSI Madrid, 7 de Noviembre Integración
  • 44. 4. – Integración en el SGSI 1.- Todos los procesos de la auditoria, se definen como objetivos de cumplimiento y se establece un seguimiento mensual por medio de métricas 2.- Los desarrollos de software, (especialmente los de medios de pago) deben de pasar por el visto bueno del departamento de seguridad (Estudio, definición, desarrollo, test, formación y producción) 3.- En todos los entornos , se realizan documentos que deben de aprobarse por los responsables de la petición de desarrollo 4.- Cuando una aplicación viene dada por terceros, deben de cumplir las normas de seguridad de ATCA (ej. Los proveedores externos nunca se conectan de forma remota) 5.- En todos los proyectos debe de haber un responsable de código seguro, designado por el departamento de desarrollo o seguridad.
  • 45. 4. – Integración en el SGSI Más de 150 Procedimientos de seguridad 60 de ellos dedicados al desarrollo de software seguro 10 de los 60 dedicados a el ciclo de vida del software 3 exclusivos al tratamiento de tarjetas 264 Métricas (117 de seguridad) Objeto: Durante la fase de planificación todos los proyectos deben de identificarse, justificarse, acordarse y documentar. Alcance: Los proyectos de nuevos productos, gestión interna y optimización Las peticiones de trabajo cursadas por las Cajas con causas mtto evolutivo o normativo. Los proyectos y trabajos llevados a cabo por Sistemas que afectan a las plataformas Hw/Sw que prestan servicio de producción
  • 46. Conclusiones Madrid, 7 de Noviembre Conclusiones
  • 47. 5. – Conclusiones En cuanto al trabajo de la auditoria: Los objetivos están claramente definidos y abarcan todos los aspectos de una organización. Los cuestionarios Un gran esfuerzo en tiempo, dinero y de recursos (No os lo podéis imaginar) Ha sido de gran utilidad la revisión de la auditoria (la seguiremos haciendo, somos frikis y nos gusta que nos sodomicen) Hay que hacer esta u otras parecidas a esta solo por trasparencia o sentido comun
  • 48. 5. – Conclusiones En cuanto a la norma: La vemos poco efectiva por las siguientes razones: 1. Ambigüedad por parte de VISA y MASTERCAD, no son claros en sus actuaciones, por lo menos en España 2. ¿Por qué las entidades financieras no pasan la auditoría?, ¿somos como entidad más seguros que un comercio? 3. ¿Se va a obligar a los comercios a pasar la auditoría? 4. ¿Estos van a tener alguna ventaja, de la que ya tienen?
  • 49. Preguntas Madrid, 7 de Noviembre ¿Preguntas?