SlideShare une entreprise Scribd logo

Seguridad Tarjetas Crédito

Internet Security Auditors
Internet Security Auditors

El documento presenta una introducción a PCI DSS. Explica que PCI DSS es un estándar de seguridad para proteger la información de tarjetas de crédito. Detalla los requisitos de PCI DSS y las responsabilidades de las diferentes partes involucradas en el procesamiento de pagos con tarjetas. También describe las consecuencias de no cumplir con PCI DSS y los beneficios de su cumplimiento.

Technologie
1  sur  50
Télécharger pour lire hors ligne
Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com I www.isecauditors.com © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 1
Presentación Miguel-Ángel Domínguez Torres Director Depto. Consultoría CISA, CISSP, ISO27001 L.A., PCI DSS QSA, OPST mdominguez@isecauditors.com © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 2
SERVICIOS Auditoría Consultoría Seguridad Gestionada Formación Test de Intrusión Implantación SGSI 27001 Serv. de FW de Aplicación WIPS Certificaciones Oficiales Auditoría de Aplicaciones Plan Director de Seguridad Serv. de Vigilancia Anti-Malware Planes de Formación Auditoría de Sist. Inf. Plan de Continuidad de Negocio Securización de Sist. de Inf. Políticas de Seguridad Gestión de Incidentes LOPD/LSSICE Informática Forense/Peritaje PCI DSS Externalización de la Seguridad Su Seguridad es Nuestro Éxito © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 3
Reconocimientos Internet Security Auditors ha sido la primera empresa española en obtener las certificaciones QSA (Qualified Security Asessor) y ASV (Acredited Scanning Vendor) por el PCI Security Standards Council (PCI SSC) para realizar auditorías internas de cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 4
¿Qué es PCI DSS? “Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos” Estándar de seguridad Conjunto de requerimientos para › › Gestionar la seguridad Definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 5
¿A quién afecta? Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito. PCI DSS cataloga a estas organizaciones en › › › Comercios (super/ hipermercados, autopistas, e-commerce, agencias de viajes, etc) Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) Entidades Adquirientes (Bancos, Cajas de ahorro, etc.). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 6
¿Cómo Cumplir PCI DSS? PCI DSS v1.1 Principios Requerimientos Construir y Mantener una Red Segura 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas 2. No emplear parámetros de seguridad y usuarios del sistema por defecto Proteger los datos de tarjetas 3. Proteger los datos almacenados de tarjetas 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas Mantener un Programa Vulnerabilidades de Gestión de 5. Usar y actualizar regularmente software antivirus 6. Desarrollar y mantener de forma segura sistemas y aplicaciones Implementar Medidas de Control de Acceso 7. Restringir el acceso a la información de tarjetas según la premisa “need-toknow” 8. Asignar un único ID a cada persona con acceso a computadores 9. Restringir el acceso físico a la información de tarjetas Monitorizar Redes 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas 11. Testear de forma regular la seguridad de los sistemas y procesos y Testear Regularmente las Mantener una Política de Seguridad de la Información 12. Mantener una política que gestione la seguridad de la información © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 7
Responsabilidades PCISSC (PCI Security Standards Council) › › Supervisa el desarrollo y es responsable de PCI DSS y otros documentos de soporte (procedimientos de auditoría, SAQ, etc.) Aprueba/homologa y Mantiene la lista de empresas ASV y QSA Las Marcas establecen mediante sus programas de cumplimiento: › › › › Cómo se reporta y valida el cumplimiento de PCI DSS Aprobación de entidades que cumplen PCI DSS Cuales son las consecuencias de no cumplir Niveles de comercios y proveedores de servicio (en algunos casos) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 8
Responsabilidades Las entidades Adquirientes son responsables de: › › › Asegurar que sus comercios conocen PCI DSS Realizar el seguimiento de los comercios hasta que cumplan con PCI DSS (Los requerimientos se cumplen y han sido validados). Comunicar el estado de cumplimiento de los comercios a las marcas. Los comercios y proveedores de servicio son responsables de: › › Conocer y Cumplir PCI DSS Validar y Reportar el cumplimiento en base a los requerimientos de entidades adquirientes y marcas según proceda. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 9
¿Debo acreditar el Cumplimiento de PCI DSS? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 10
¿Debo acreditar el Cumplimiento de PCI DSS? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 11
¿Debo acreditar el Cumplimiento de PCI DSS? › VISA AIS (Account Information Security) Europe http://www.visaeurope.com/aboutvisa/security/ais/ USA: http://www.visa.com/cisp/ Canada: http://www.visa.ca/ais Asia-Pacifico: http://www.visa-asia.com/secured/ › Mastercard SDP (Site Data Protection) http://www.mastercard.com/sdp/ › JCB Data Security Program http://www.jcb-global.com/english/pci/index.html › Discover DISC (Discover Information Security Compliance) http://www.discovernetwork.com/resources/data/data_security.html › AMEX DSOP (Data Security Operating Standard) http://www.americanexpress.com/datasecurity © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 12
¿Cuales son las consecuencias de no cumplir PCI DSS? Las compañías que no cumplan con este estándar, estarán sujetas a › Multas/Penalizaciones tras un incidente que compromete números de tarjetas. › › › En relación a la cantidad de números de tarjetas comprometidos Si se guardaba información sensible (Pista completa, CVV2/CVC2/CID/CAV2, PIN, PIN Block) y no se estaban aplicando medidas para remediar esta situación. Las multas que aplican las marcas sobre los acquirers pueden o no ser traspasadas a comercios y/o service providers © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 13
¿Cuales son las consecuencias de no cumplir PCI DSS? Otras consecuencias › › › › › Pérdida de reputación Pérdida de clientes Daño a la imagen corporativa Procesos judiciales Gastos por investigaciones forenses © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 14
Beneficios Beneficios de contar con un programa que cumpla PCI DSS son: › Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión). › Gestión y control de costes relativos a seguridad de la información. › Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad. › Facilidad para el cumplimiento con legislación, estándares o requerimientos de seguridad y privacidad (LOPD, LSSICE, LGT, ISO27001, etc.). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 15
¿Cómo obtener ayuda? Empresas QSA y ASV para › Asesorar a empresas que necesiten ayuda en la implantación. https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf › Auditar las medidas de seguridad implantadas. https://www.pcisecuritystandards.org/pdfs/asv_report.html © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 16
Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Segmentación de Red › Diseño de redes seguras y protección perimetral (Req 1, 5, 11.4 y 11.5) Instalación y Mantenimiento de Sistemas de Información › Securización de sistemas de información (Req 2, 6.1) Protección de los datos y las comunicaciones › › › Identificación y eliminación de datos sensibles (CVV2, Pistas,...) (Req 3) Protección de bases de datos mediante cifrado (Req 3) Protección de las comunicaciones mediante protocolos seguros (Req 4) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 17
Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Seguridad en SDLC › › Auditoría de aplicación, Revisión de código, Guía de buenas prácticas en desarrollo seguro, formación (Req 6.3, 6.4, 6.5) 30 Junio 2008 (Req 6.6) › › Auditoría de código por empresa especializada Firewall de aplicación Control del Acceso › › Control de Acceso al Sistema Operativo, Red y Aplicaciones (Req 7 y 8) Control de Acceso Físico: Tarjetas, Biometría, etc. (Req 9) Monitorización y protección de eventos de seguridad › Plataforma de gestión de logs y eventos de seguridad (Req 10) Revisión y Test › Test de intrusión interno y externo (Req 11.1, 11.2 y 11.3) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 18
Tareas a Realizar Requerimientos PCI DSS – Gestión de la Seguridad Política de Seguridad de la Información (Req 12) › Marco normativo de seguridad – Política de Seguridad (Req 12.1, 12.2, 12.3, 12.10) › › › › › › Analizar y Mitigar riesgos (Req 12.1, 12.7) Definición de Roles y Responsabilidades (Req 12.4, 12.5) Formación y concienciación (Req 12.6) Gestión de incidentes y análisis forense (Req 12.9) Continuidad de Negocio y Recuperación ante Desastres (Req 12.9) Relaciones con Proveedores (Req 12.8) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 19
Tareas a Realizar Requerimientos PCI DSS – Gestión de la Seguridad Otros requerimientos también definen aspectos necesarios a definir para gestionar PCI DSS: › › › › › › › Desarrollar estándares de configuración para todos los componentes de PCI DSS (firewalls, routers, sistemas, aplicaciones, etc.) Desarrollar políticas de retención y eliminación de datos. Definir políticas y procedimientos para el uso de criptografía y gestión de claves. Desarrollar estándares de programación segura basados en best practices. Definir procedimientos de gestión de cambios para sistemas y aplicaciones. Definir políticas y procedimientos para gestión de cuentas de usuario y contraseñas, así como el control de acceso. ... © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 20
Tareas a Realizar Requerimientos PCI DSS – Gestión de la Seguridad Gestionar requiere además › › Compromiso de la Dirección Provisión de Recursos › Equipos, aplicativos, personas, instalaciones, etc. › Formar, educar y concienciar al personal implicado © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 21
Alternativas Podemos › Gestionar PCI DSS dentro de un SGSI ISO27001 › › Cumplimiento Normativo Implementar un SGSI ISO27001 donde › › Alcance = PCI DSS Extensible a otros ámbitos de la organización © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 22
Proceso Continuo Serie de acciones sistemáticas que permite obtener resultados consistentes y repetibles © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 23
Proceso Continuo – Ciclo PDCA © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 24
Proceso Continuo Planificación (PLAN) › Identificación del Entorno PCI DSS › Es crítico determinar cual es el entorno o ámbito al que aplica PCI DSS › Identificar los puntos donde se transmite, procesa o almacena información de tarjetas y definir el entorno que debe ser protegido para cumplir con PCI DSS. › Identificar todos los sistemas que puedan almacenar o procesar información de tarjetas › Identificar redes por donde se transmite o sistemas, aplicaciones y personas que acceden a datos de tarjetas © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 25
Proceso Continuo Planificación (PLAN) › Identificar Datos Sensibles y PANs › En tráfico de red, bases de datos, ficheros, logs, copias en papel, etc. › Utilizando expresiones regulares u otro tipo de herramientas. › Validando los resultados y eliminando falsos positivos (Fórmula de Luhn MOD-10). › Identificar durante cuanto tiempo se mantiene esta información Los datos sensibles no pueden almacenarse tras la autorización © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 26
Proceso Continuo Planificación (PLAN) › › Si no lo hacemos bien › Identificación y eliminación INCORRECTA de datos no permitidos en todos los sistemas a los que aplica PCI DSS › FALSA SENSACIÓN DE CUMPLIMIENTO - No cumplimiento real de PCI DSS Análisis del Estado Actual de Cumplimiento (Gap Analysis) › Analizar los procesos de la organización en relación al uso de tarjetas. Implica la colaboración de departamentos técnicos y de negocio (financiero, medios de pago, seguridad, etc.) › Realizar reuniones de trabajo para evaluar el cumplimiento de los requerimientos PCI DSS. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 27
Proceso Continuo Planificación (PLAN) ¿Qué medidas de seguridad tenemos actualmente y como se alinean con lo que requiere PCI DSS? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 28
Proceso Continuo Planificación (PLAN) › Definición del Plan de Acción (Remediation Plan) › Identificar acciones a realizar para acotar o reducir el entorno o ámbito sobre el que debemos implementar PCI DSS. › Reducir costes innecesarios de implantación y mantenimiento. › Reducir el tiempo necesario para cumplir PCI DSS. › Identificar acciones a realizar para cubrir los requerimientos que actualmente no se cumplen total o parcialmente › Definir el calendario de cumplimiento de los hitos más importantes y del momento en que se el cumplimiento será completo. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 29
Proceso Continuo Planificación (PLAN) › Definición del Plan de Acción (Remediation Plan) › Identificar los recursos (aplicaciones, equipos, instalaciones y personas) que son necesarios para implementar y mantener el cumplimiento. › Tener en cuenta los riesgos a la hora de priorizar acciones › Establecer el equipo de proyecto que será necesario para implementar el plan de acción. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 30
¿Y si no puedo cumplir todo lo que me piden? “No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide” => Controles Compensatorios Pueden ser considerados para la mayoría de requerimientos PCI DSS › › › Encriptación de datos Monitorización de integridad de ficheros Requerimientos sobre las contraseñas Deben cumplir: › › › › Justificación tecnológica o restricciones de negocio El mismo objetivo y “fortaleza” que el requerimiento original No basarse en otros requerimientos Imponer medidas adicionales de seguridad para mitigar el riesgo de no cumplir el requerimiento. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 31
¿Y si no puedo cumplir todo lo que me piden? “No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide” => Controles Compensatorios Nunca para el almacenamiento de datos sensibles (CVV2, Pistas, etc.) Boletín CISP de VISA con clarificaciones en referencia al Requerimiento 3.4 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 32
¿Y si no puedo cumplir todo lo que me piden? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 33
Proceso Continuo Implantación (DO) › › Reducción del Entorno PCI DSS › Acotar el entorno de cumplimiento al mínimo imprescindible › Segmentar la red › Reducir al mínimo donde se almacenan los datos › Restringir el control de acceso Implantación del Plan de Acción › Medidas Técnicas › Medidas de Gestión › Definición de Procesos, Estándares, Políticas y Procedimientos -> Si no está documentado NO Existe › Supervisión y revisión por un QSA › Aprobación por las Marcas © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 34
Proceso Continuo Gestión de Proveedores › › Identificar terceras partes – Proveedores de Servicios › Proveedores de hardware/software POS › Pasarelas de pago › Software a medida › Hosting › Etc. La responsabilidad final de las actividades que los proveedores realizan con los datos de tarjetas recae en el propietario. › Requerir Contractualmente el Cumplimiento PCI DSS de los proveedores y realizar un seguimiento del estado. › Si eres un proveedor de servicios – Contacta un QSA para definir Plan de Acción para PCI DSS. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 35
Proceso Continuo Gestión de Proveedores › Listado de proveedores de servicio › VISA http://www.visaeurope.com/documents/ais/VISA_Europe_AIS_Certif ied_Service_Providers_05112007.pdf › Mastercard http://www.mastercard.com/us/sdp/assets/pdf/Compliant%20Servic e%20Providers%20-%20November%201%202007.pdf © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 36
Proceso Continuo Gestión de Incidentes › En caso de compromiso, se deberá: › Contactar con las marcas afectadas o entidades adquirientes según sea conveniente. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 37
Proceso Continuo © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 38
Proceso Continuo Gestión de Incidentes › En caso de compromiso, se deberá: › Contener y limitar las consecuencias (investigación forense) › Aislar los sistemas comprometidos › Identificar como ocurrió › Identificar si se almacenan datos sensibles (Pistas, ...) › Si no podemos determinar el alcance (pistas de auditoría, etc.) deberemos reportar que todas las tarjetas pudieron ser comprometidas (mayores consecuencias económicas) › Volver a recuperar el entorno dentro del cumplimiento PCI DSS › Eliminar datos sensibles que pudieran estar almacenados. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 39
Proceso Continuo Revisión/Validación del Cumplimiento (CHECK) › › › › › › › Revisión trimestral de Reglas del Firewall y Routers Revisión anual de la Política de Seguridad Revisión anual de riesgos Monitorización y Revisión de eventos de auditoría Formación anual en relación a la seguridad de las tarjetas Auditorías › Test de Intrusion a nivel de Red y Aplicación › Revisión de controles Cumplir los requerimientos de validación (según sea el caso): › Auditoría de Cumplimiento Anual › Formulario de autoevaluación Anual (SAQ) › Escaneos de Vulnerabilidades Trimestrales ASV © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 40
Auditoría de Cumplimiento PCI DSS Revisión Documental Plan de Auditoría Ejecución del Plan Informe de Cumplimiento Plan de Acción Verificar que los requerimientos establecidos en PCI DSS se están cumpliendo (mediante muestreo). Tareas: › › › › › Revisión documental. Preparación del Plan de Auditoría: determinación de la muestra, actividades, documentación de trabajo, etc. Ejecución de las actividades de auditoría incluyendo la evaluación de controles compensatorios. Elaboración y presentación del informe de cumplimiento. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) y posteriormente se valida que estas han sido implementadas. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 41
Cuestionario de Autoevaluación Revisión del Cumplimiento Formulario de Autoevaluación Plan de Acción Elaboración del cuestionario de autoevaluación (Self-Assessment Questionnaire) para empresas que no están obligadas a realizar auditorías on-site de forma anual › › Evaluar el nivel de riesgo Es una buena práctica contactar con asesoramiento de un QSA Tareas: › › › Revisión del estado de cumplimiento de los 12 requerimientos. Elaboración y presentación del cuestionario de autoevaluación. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 42
Escaneos de Vulnerabilidades ASV Ámbito de Auditoría Escaneo Informe de Resultados Cumplir el requerimiento 11.2 › › › › › Asegurar que los sistemas están protegidos de amenazas externas como hackers o virus Trimestral Por una empresa certificada como ASV No intrusivo No es un Test de Intrusion Tareas: › › › Determinación del ámbito de auditoría (rango de IPs y listado de dominios a ser escaneados). Ejecución del escaneo en las fechas programadas Elaboración del informe de resultados © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 43
Proceso Continuo Actuar (ACT) › En base a los resultados obtenidos de: › Auditorías › Sistemas de Monitorización (Logs, Incidentes, ...) › Revisiones de la política y riesgos › Identificar necesidades de actuar › Corregir el no cumplimiento › Prevenir incidentes › Planificar e Implementar controles © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 44
PCI DSS vs ISO27001 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 45
PCI DSS vs ISO27001 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 46
PCI DSS vs ISO27001 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 47
Resumen PCI DSS debe cumplirse › › Si procesas, almacenas o transmiten datos de tarjetas Independientemente de cómo debas validar el cumplimiento. Si no necesito almacenar los datos de las tarjetas, MEJOR NO HACERLO › › › Reducimos el riesgo sobre nuestro negocio Reducimos el entorno al que aplica PCI DSS Reducimos costes © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 48
Resumen La implantación debe pensarse cómo un proceso continuo y no cómo una acción puntual › › › › › › Define procesos Asigna recursos Compromete a la dirección Monitoriza y Revisa Integra PCI DSS en la gestión de seguridad de la organización Basarlo en estándares (ISO27001) Cuenta con el apoyo de expertos › › Deja que te asesore un QSA Realiza auditorías con empresas ASV © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 49
Gracias Internet Security Auditors c/ Santander, 101. Edif. A. 2º E-08030 Barcelona Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 www.isecauditors.com Su Seguridad es Nuestro Éxito © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 50

Recommandé

Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 

Recommandé

Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci--------------
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Internet Security Auditors
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dssJefersonguetio
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22Internet Security Solutions
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadInformation Security Services SA
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORDoble Factor
 
Curso Implantador PCI DSS
Curso Implantador PCI DSSCurso Implantador PCI DSS
Curso Implantador PCI DSSÁudea Seguridad de la Información
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Contenu connexe

Similaire à Seguridad Tarjetas Crédito

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORDoble Factor
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 

Similaire à Seguridad Tarjetas Crédito (20)

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTOR
 
Curso Implantador PCI DSS
Curso Implantador PCI DSSCurso Implantador PCI DSS
Curso Implantador PCI DSS
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 

Dernier

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 

Dernier (15)

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 

Seguridad Tarjetas Crédito

  • 1. Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com I www.isecauditors.com © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 1
  • 2. Presentación Miguel-Ángel Domínguez Torres Director Depto. Consultoría CISA, CISSP, ISO27001 L.A., PCI DSS QSA, OPST mdominguez@isecauditors.com © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 2
  • 3. SERVICIOS Auditoría Consultoría Seguridad Gestionada Formación Test de Intrusión Implantación SGSI 27001 Serv. de FW de Aplicación WIPS Certificaciones Oficiales Auditoría de Aplicaciones Plan Director de Seguridad Serv. de Vigilancia Anti-Malware Planes de Formación Auditoría de Sist. Inf. Plan de Continuidad de Negocio Securización de Sist. de Inf. Políticas de Seguridad Gestión de Incidentes LOPD/LSSICE Informática Forense/Peritaje PCI DSS Externalización de la Seguridad Su Seguridad es Nuestro Éxito © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 3
  • 4. Reconocimientos Internet Security Auditors ha sido la primera empresa española en obtener las certificaciones QSA (Qualified Security Asessor) y ASV (Acredited Scanning Vendor) por el PCI Security Standards Council (PCI SSC) para realizar auditorías internas de cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 4
  • 5. ¿Qué es PCI DSS? “Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos” Estándar de seguridad Conjunto de requerimientos para › › Gestionar la seguridad Definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 5
  • 6. ¿A quién afecta? Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito. PCI DSS cataloga a estas organizaciones en › › › Comercios (super/ hipermercados, autopistas, e-commerce, agencias de viajes, etc) Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) Entidades Adquirientes (Bancos, Cajas de ahorro, etc.). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 6
  • 7. ¿Cómo Cumplir PCI DSS? PCI DSS v1.1 Principios Requerimientos Construir y Mantener una Red Segura 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas 2. No emplear parámetros de seguridad y usuarios del sistema por defecto Proteger los datos de tarjetas 3. Proteger los datos almacenados de tarjetas 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas Mantener un Programa Vulnerabilidades de Gestión de 5. Usar y actualizar regularmente software antivirus 6. Desarrollar y mantener de forma segura sistemas y aplicaciones Implementar Medidas de Control de Acceso 7. Restringir el acceso a la información de tarjetas según la premisa “need-toknow” 8. Asignar un único ID a cada persona con acceso a computadores 9. Restringir el acceso físico a la información de tarjetas Monitorizar Redes 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas 11. Testear de forma regular la seguridad de los sistemas y procesos y Testear Regularmente las Mantener una Política de Seguridad de la Información 12. Mantener una política que gestione la seguridad de la información © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 7
  • 8. Responsabilidades PCISSC (PCI Security Standards Council) › › Supervisa el desarrollo y es responsable de PCI DSS y otros documentos de soporte (procedimientos de auditoría, SAQ, etc.) Aprueba/homologa y Mantiene la lista de empresas ASV y QSA Las Marcas establecen mediante sus programas de cumplimiento: › › › › Cómo se reporta y valida el cumplimiento de PCI DSS Aprobación de entidades que cumplen PCI DSS Cuales son las consecuencias de no cumplir Niveles de comercios y proveedores de servicio (en algunos casos) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 8
  • 9. Responsabilidades Las entidades Adquirientes son responsables de: › › › Asegurar que sus comercios conocen PCI DSS Realizar el seguimiento de los comercios hasta que cumplan con PCI DSS (Los requerimientos se cumplen y han sido validados). Comunicar el estado de cumplimiento de los comercios a las marcas. Los comercios y proveedores de servicio son responsables de: › › Conocer y Cumplir PCI DSS Validar y Reportar el cumplimiento en base a los requerimientos de entidades adquirientes y marcas según proceda. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 9
  • 10. ¿Debo acreditar el Cumplimiento de PCI DSS? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 10
  • 11. ¿Debo acreditar el Cumplimiento de PCI DSS? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 11
  • 12. ¿Debo acreditar el Cumplimiento de PCI DSS? › VISA AIS (Account Information Security) Europe http://www.visaeurope.com/aboutvisa/security/ais/ USA: http://www.visa.com/cisp/ Canada: http://www.visa.ca/ais Asia-Pacifico: http://www.visa-asia.com/secured/ › Mastercard SDP (Site Data Protection) http://www.mastercard.com/sdp/ › JCB Data Security Program http://www.jcb-global.com/english/pci/index.html › Discover DISC (Discover Information Security Compliance) http://www.discovernetwork.com/resources/data/data_security.html › AMEX DSOP (Data Security Operating Standard) http://www.americanexpress.com/datasecurity © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 12
  • 13. ¿Cuales son las consecuencias de no cumplir PCI DSS? Las compañías que no cumplan con este estándar, estarán sujetas a › Multas/Penalizaciones tras un incidente que compromete números de tarjetas. › › › En relación a la cantidad de números de tarjetas comprometidos Si se guardaba información sensible (Pista completa, CVV2/CVC2/CID/CAV2, PIN, PIN Block) y no se estaban aplicando medidas para remediar esta situación. Las multas que aplican las marcas sobre los acquirers pueden o no ser traspasadas a comercios y/o service providers © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 13
  • 14. ¿Cuales son las consecuencias de no cumplir PCI DSS? Otras consecuencias › › › › › Pérdida de reputación Pérdida de clientes Daño a la imagen corporativa Procesos judiciales Gastos por investigaciones forenses © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 14
  • 15. Beneficios Beneficios de contar con un programa que cumpla PCI DSS son: › Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión). › Gestión y control de costes relativos a seguridad de la información. › Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad. › Facilidad para el cumplimiento con legislación, estándares o requerimientos de seguridad y privacidad (LOPD, LSSICE, LGT, ISO27001, etc.). © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 15
  • 16. ¿Cómo obtener ayuda? Empresas QSA y ASV para › Asesorar a empresas que necesiten ayuda en la implantación. https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf › Auditar las medidas de seguridad implantadas. https://www.pcisecuritystandards.org/pdfs/asv_report.html © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 16
  • 17. Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Segmentación de Red › Diseño de redes seguras y protección perimetral (Req 1, 5, 11.4 y 11.5) Instalación y Mantenimiento de Sistemas de Información › Securización de sistemas de información (Req 2, 6.1) Protección de los datos y las comunicaciones › › › Identificación y eliminación de datos sensibles (CVV2, Pistas,...) (Req 3) Protección de bases de datos mediante cifrado (Req 3) Protección de las comunicaciones mediante protocolos seguros (Req 4) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 17
  • 18. Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Seguridad en SDLC › › Auditoría de aplicación, Revisión de código, Guía de buenas prácticas en desarrollo seguro, formación (Req 6.3, 6.4, 6.5) 30 Junio 2008 (Req 6.6) › › Auditoría de código por empresa especializada Firewall de aplicación Control del Acceso › › Control de Acceso al Sistema Operativo, Red y Aplicaciones (Req 7 y 8) Control de Acceso Físico: Tarjetas, Biometría, etc. (Req 9) Monitorización y protección de eventos de seguridad › Plataforma de gestión de logs y eventos de seguridad (Req 10) Revisión y Test › Test de intrusión interno y externo (Req 11.1, 11.2 y 11.3) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 18
  • 19. Tareas a Realizar Requerimientos PCI DSS – Gestión de la Seguridad Política de Seguridad de la Información (Req 12) › Marco normativo de seguridad – Política de Seguridad (Req 12.1, 12.2, 12.3, 12.10) › › › › › › Analizar y Mitigar riesgos (Req 12.1, 12.7) Definición de Roles y Responsabilidades (Req 12.4, 12.5) Formación y concienciación (Req 12.6) Gestión de incidentes y análisis forense (Req 12.9) Continuidad de Negocio y Recuperación ante Desastres (Req 12.9) Relaciones con Proveedores (Req 12.8) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 19
  • 20. Tareas a Realizar Requerimientos PCI DSS – Gestión de la Seguridad Otros requerimientos también definen aspectos necesarios a definir para gestionar PCI DSS: › › › › › › › Desarrollar estándares de configuración para todos los componentes de PCI DSS (firewalls, routers, sistemas, aplicaciones, etc.) Desarrollar políticas de retención y eliminación de datos. Definir políticas y procedimientos para el uso de criptografía y gestión de claves. Desarrollar estándares de programación segura basados en best practices. Definir procedimientos de gestión de cambios para sistemas y aplicaciones. Definir políticas y procedimientos para gestión de cuentas de usuario y contraseñas, así como el control de acceso. ... © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 20
  • 21. Tareas a Realizar Requerimientos PCI DSS – Gestión de la Seguridad Gestionar requiere además › › Compromiso de la Dirección Provisión de Recursos › Equipos, aplicativos, personas, instalaciones, etc. › Formar, educar y concienciar al personal implicado © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 21
  • 22. Alternativas Podemos › Gestionar PCI DSS dentro de un SGSI ISO27001 › › Cumplimiento Normativo Implementar un SGSI ISO27001 donde › › Alcance = PCI DSS Extensible a otros ámbitos de la organización © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 22
  • 23. Proceso Continuo Serie de acciones sistemáticas que permite obtener resultados consistentes y repetibles © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 23
  • 24. Proceso Continuo – Ciclo PDCA © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 24
  • 25. Proceso Continuo Planificación (PLAN) › Identificación del Entorno PCI DSS › Es crítico determinar cual es el entorno o ámbito al que aplica PCI DSS › Identificar los puntos donde se transmite, procesa o almacena información de tarjetas y definir el entorno que debe ser protegido para cumplir con PCI DSS. › Identificar todos los sistemas que puedan almacenar o procesar información de tarjetas › Identificar redes por donde se transmite o sistemas, aplicaciones y personas que acceden a datos de tarjetas © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 25
  • 26. Proceso Continuo Planificación (PLAN) › Identificar Datos Sensibles y PANs › En tráfico de red, bases de datos, ficheros, logs, copias en papel, etc. › Utilizando expresiones regulares u otro tipo de herramientas. › Validando los resultados y eliminando falsos positivos (Fórmula de Luhn MOD-10). › Identificar durante cuanto tiempo se mantiene esta información Los datos sensibles no pueden almacenarse tras la autorización © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 26
  • 27. Proceso Continuo Planificación (PLAN) › › Si no lo hacemos bien › Identificación y eliminación INCORRECTA de datos no permitidos en todos los sistemas a los que aplica PCI DSS › FALSA SENSACIÓN DE CUMPLIMIENTO - No cumplimiento real de PCI DSS Análisis del Estado Actual de Cumplimiento (Gap Analysis) › Analizar los procesos de la organización en relación al uso de tarjetas. Implica la colaboración de departamentos técnicos y de negocio (financiero, medios de pago, seguridad, etc.) › Realizar reuniones de trabajo para evaluar el cumplimiento de los requerimientos PCI DSS. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 27
  • 28. Proceso Continuo Planificación (PLAN) ¿Qué medidas de seguridad tenemos actualmente y como se alinean con lo que requiere PCI DSS? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 28
  • 29. Proceso Continuo Planificación (PLAN) › Definición del Plan de Acción (Remediation Plan) › Identificar acciones a realizar para acotar o reducir el entorno o ámbito sobre el que debemos implementar PCI DSS. › Reducir costes innecesarios de implantación y mantenimiento. › Reducir el tiempo necesario para cumplir PCI DSS. › Identificar acciones a realizar para cubrir los requerimientos que actualmente no se cumplen total o parcialmente › Definir el calendario de cumplimiento de los hitos más importantes y del momento en que se el cumplimiento será completo. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 29
  • 30. Proceso Continuo Planificación (PLAN) › Definición del Plan de Acción (Remediation Plan) › Identificar los recursos (aplicaciones, equipos, instalaciones y personas) que son necesarios para implementar y mantener el cumplimiento. › Tener en cuenta los riesgos a la hora de priorizar acciones › Establecer el equipo de proyecto que será necesario para implementar el plan de acción. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 30
  • 31. ¿Y si no puedo cumplir todo lo que me piden? “No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide” => Controles Compensatorios Pueden ser considerados para la mayoría de requerimientos PCI DSS › › › Encriptación de datos Monitorización de integridad de ficheros Requerimientos sobre las contraseñas Deben cumplir: › › › › Justificación tecnológica o restricciones de negocio El mismo objetivo y “fortaleza” que el requerimiento original No basarse en otros requerimientos Imponer medidas adicionales de seguridad para mitigar el riesgo de no cumplir el requerimiento. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 31
  • 32. ¿Y si no puedo cumplir todo lo que me piden? “No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide” => Controles Compensatorios Nunca para el almacenamiento de datos sensibles (CVV2, Pistas, etc.) Boletín CISP de VISA con clarificaciones en referencia al Requerimiento 3.4 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 32
  • 33. ¿Y si no puedo cumplir todo lo que me piden? © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 33
  • 34. Proceso Continuo Implantación (DO) › › Reducción del Entorno PCI DSS › Acotar el entorno de cumplimiento al mínimo imprescindible › Segmentar la red › Reducir al mínimo donde se almacenan los datos › Restringir el control de acceso Implantación del Plan de Acción › Medidas Técnicas › Medidas de Gestión › Definición de Procesos, Estándares, Políticas y Procedimientos -> Si no está documentado NO Existe › Supervisión y revisión por un QSA › Aprobación por las Marcas © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 34
  • 35. Proceso Continuo Gestión de Proveedores › › Identificar terceras partes – Proveedores de Servicios › Proveedores de hardware/software POS › Pasarelas de pago › Software a medida › Hosting › Etc. La responsabilidad final de las actividades que los proveedores realizan con los datos de tarjetas recae en el propietario. › Requerir Contractualmente el Cumplimiento PCI DSS de los proveedores y realizar un seguimiento del estado. › Si eres un proveedor de servicios – Contacta un QSA para definir Plan de Acción para PCI DSS. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 35
  • 36. Proceso Continuo Gestión de Proveedores › Listado de proveedores de servicio › VISA http://www.visaeurope.com/documents/ais/VISA_Europe_AIS_Certif ied_Service_Providers_05112007.pdf › Mastercard http://www.mastercard.com/us/sdp/assets/pdf/Compliant%20Servic e%20Providers%20-%20November%201%202007.pdf © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 36
  • 37. Proceso Continuo Gestión de Incidentes › En caso de compromiso, se deberá: › Contactar con las marcas afectadas o entidades adquirientes según sea conveniente. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 37
  • 38. Proceso Continuo © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 38
  • 39. Proceso Continuo Gestión de Incidentes › En caso de compromiso, se deberá: › Contener y limitar las consecuencias (investigación forense) › Aislar los sistemas comprometidos › Identificar como ocurrió › Identificar si se almacenan datos sensibles (Pistas, ...) › Si no podemos determinar el alcance (pistas de auditoría, etc.) deberemos reportar que todas las tarjetas pudieron ser comprometidas (mayores consecuencias económicas) › Volver a recuperar el entorno dentro del cumplimiento PCI DSS › Eliminar datos sensibles que pudieran estar almacenados. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 39
  • 40. Proceso Continuo Revisión/Validación del Cumplimiento (CHECK) › › › › › › › Revisión trimestral de Reglas del Firewall y Routers Revisión anual de la Política de Seguridad Revisión anual de riesgos Monitorización y Revisión de eventos de auditoría Formación anual en relación a la seguridad de las tarjetas Auditorías › Test de Intrusion a nivel de Red y Aplicación › Revisión de controles Cumplir los requerimientos de validación (según sea el caso): › Auditoría de Cumplimiento Anual › Formulario de autoevaluación Anual (SAQ) › Escaneos de Vulnerabilidades Trimestrales ASV © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 40
  • 41. Auditoría de Cumplimiento PCI DSS Revisión Documental Plan de Auditoría Ejecución del Plan Informe de Cumplimiento Plan de Acción Verificar que los requerimientos establecidos en PCI DSS se están cumpliendo (mediante muestreo). Tareas: › › › › › Revisión documental. Preparación del Plan de Auditoría: determinación de la muestra, actividades, documentación de trabajo, etc. Ejecución de las actividades de auditoría incluyendo la evaluación de controles compensatorios. Elaboración y presentación del informe de cumplimiento. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) y posteriormente se valida que estas han sido implementadas. © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 41
  • 42. Cuestionario de Autoevaluación Revisión del Cumplimiento Formulario de Autoevaluación Plan de Acción Elaboración del cuestionario de autoevaluación (Self-Assessment Questionnaire) para empresas que no están obligadas a realizar auditorías on-site de forma anual › › Evaluar el nivel de riesgo Es una buena práctica contactar con asesoramiento de un QSA Tareas: › › › Revisión del estado de cumplimiento de los 12 requerimientos. Elaboración y presentación del cuestionario de autoevaluación. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 42
  • 43. Escaneos de Vulnerabilidades ASV Ámbito de Auditoría Escaneo Informe de Resultados Cumplir el requerimiento 11.2 › › › › › Asegurar que los sistemas están protegidos de amenazas externas como hackers o virus Trimestral Por una empresa certificada como ASV No intrusivo No es un Test de Intrusion Tareas: › › › Determinación del ámbito de auditoría (rango de IPs y listado de dominios a ser escaneados). Ejecución del escaneo en las fechas programadas Elaboración del informe de resultados © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 43
  • 44. Proceso Continuo Actuar (ACT) › En base a los resultados obtenidos de: › Auditorías › Sistemas de Monitorización (Logs, Incidentes, ...) › Revisiones de la política y riesgos › Identificar necesidades de actuar › Corregir el no cumplimiento › Prevenir incidentes › Planificar e Implementar controles © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 44
  • 45. PCI DSS vs ISO27001 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 45
  • 46. PCI DSS vs ISO27001 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 46
  • 47. PCI DSS vs ISO27001 © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 47
  • 48. Resumen PCI DSS debe cumplirse › › Si procesas, almacenas o transmiten datos de tarjetas Independientemente de cómo debas validar el cumplimiento. Si no necesito almacenar los datos de las tarjetas, MEJOR NO HACERLO › › › Reducimos el riesgo sobre nuestro negocio Reducimos el entorno al que aplica PCI DSS Reducimos costes © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 48
  • 49. Resumen La implantación debe pensarse cómo un proceso continuo y no cómo una acción puntual › › › › › › Define procesos Asigna recursos Compromete a la dirección Monitoriza y Revisa Integra PCI DSS en la gestión de seguridad de la organización Basarlo en estándares (ISO27001) Cuenta con el apoyo de expertos › › Deja que te asesore un QSA Realiza auditorías con empresas ASV © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 49
  • 50. Gracias Internet Security Auditors c/ Santander, 101. Edif. A. 2º E-08030 Barcelona Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 www.isecauditors.com Su Seguridad es Nuestro Éxito © I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 50