SlideShare une entreprise Scribd logo

Problematicas de PCI DSS en Contact Centers & BPO

Internet Security Auditors
Internet Security Auditors

Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.

Internet
1  sur  22
Télécharger pour lire hors ligne
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88 PROBLEMÁTICAS DE PCI DSS EN CONTACT CENTERS & BPO DAVID ANDRÉS GONZÁLEZ LEWIS CISM, PCI QSA, PA QSA, PCIP, ISO 27001 IA
AGENDA 1. Brechas en los Contact Centers. 2. Principales requerimientos de PCI DSS a implementar. 3. Problemáticas en la implementación de los requerimientos. 4. Soluciones a las problemáticas. 5. Controles PCI DSS en pagos telefónicos. 6. Conclusiones.
BRECHAS DE SEGURIDAD EN CONTACT CENTERS Caso AT&T:  Robo de datos (PII y números seguro social) de 68.700.  Efectuado en el proveedor de servicio de Contact Center.  Afecto en México, Colombia y Filipinas.  Falta de monitoreo sobre acceso y consulta de información sensible.  Falla en el proceso de contratación de personal. (revisión de antecedentes)
BRECHAS DE SEGURIDAD EN CONTACT CENTERS Talk – Wipro:  Robo de datos (PII y números de cuenta) de 157.000 clientes.  Efectuado en el proveedor de servicio de Contact Center Wipro.  Tres empleados encargados de la red.  Falta de monitoreo sobre acceso y consulta de información sensible.  Falla en el proceso de contratación de personal. (revisión de antecedentes).  Falta de controles de acceso a segmentos de red sensibles.
BRECHAS DE SEGURIDAD EN CONTACT CENTERS Contact Solutions:  Robo de datos de los empleados.  Ataque de phising dirigido a los empleados.  Falta de concientización al personal. Advanced Tech Support:  Acceso no autorizado a equipos de asesores de llamadas inbound.  Robo de cuentas e información de clientes.  Mala configuración de seguridad en componentes perimetrales y equipos.
REQUERIMIENTOS DE PCI DSS – MAYORES RETOS  No almacenar después de la autorización datos sensibles de autenticación (SAD): CAV2, CVC2, CVV2, CID. Requerimiento 3.2.  Proteger datos de tarjetahabiente en almacenamiento (PAN). Requerimiento 3.4.  Enmascarar PAN de acuerdo a la necesidad de conocer (1234********6789). Requerimiento 3.3.  Limitar el trafico de entrada y salida al ambiente de datos de tarjetahabiente (CDE). Requerimiento 1.3.  Asegurar componentes y mantenerlos actualizados con parches de seguridad(servidores, redes, equipos, etc.). Requerimiento 2 y 6.1.
PROBLEMATICAS AL IMPLEMENTAR REQUERIMIENTOS Centrales Telefónicas:  No se incluye seguridad en el diseño de la solución.  Interfaces de administración no protegidas. Teléfonos SIP contraseñas débiles.  PBX conectados a internet o con servicios no relacionados. Grabación de llamadas:  Información sensible dictada al asesor.  Los tonos son incluidos en la grabación.
PROBLEMATICAS AL IMPLEMENTAR REQUERIMIENTOS (*) Ambientes:  Diferentes campañas sobre el mismo ambiente.  Asesores con acceso a información sensible.  Redes no segmentadas.  Diferentes tecnologías y aplicaciones dependiendo de cada cliente. Personal:  Negocios con alta rotación de personal.  Falta de capacitación y concientización en seguridad de la información dependiendo del cargo.  Poca validación de antecedentes de empleados.
SOLUCIONES A PROBLEMATICAS Centrales Telefónicas:  Proteger la interfaz administrativa y tener contraseñas fuertes en los teléfonos SIP.  Diseño de solución incluyendo seguridad:  Reducir riesgos a nivel aceptable  Asegurar componentes  Diseño simple  No exponerse a redes no confiables.  Servidor dedicado.  Componentes asegurados y actualizados.
SOLUCIONES A PROBLEMATICAS (*) Grabación de Llamadas:  Implementar sistemas IVR para capturar información sensible.  No almacenar los tonos o implementar soluciones para enmascarar la información sensible en la grabación. Ambientes:  Separar las campañas dependiendo de la información que usa.  Control de acceso a información sensible de acuerdo a la necesidad de conocer.  Segmentar las redes del CDE.  Configurar componentes de cliente de forma segura.
SOLUCIONES A PROBLEMATICAS (*) Personal:  Capacitar y concientizar en seguridad de la información al momento de la contratación y realizar refuerzos periódicamente.  Definir accesos a componentes de acuerdo a la necesidad de conocer basado en funciones del cargo.  Validar antecedentes y referencias de los empleados.
SOLUCIONES A PROBLEMATICAS (*) Personal:  No permitir el uso de papel.  Controlar el uso de dispositivos electrónicos dentro de las áreas sensibles.  Tecnologías para prevenir el uso de capturas de pantalla.  No permitir correos salientes a destinatarios no controlados.  CCTV.
SOLUCIONES A PROBLEMATICAS (*) SI NO SE PUEDE CUMPLIR CON UN CONTROL ORIGINAL, SE PUEDE IMPLEMENTAR UN CONTROL COMPENSATORIO  Monitoreo de repositorios.  DLP.  Multi-factor para consultas a información sensible.  Firewalls locales en componentes.  Aislamiento de áreas que tratan datos sensibles.
CONTROLES PCI DSS EN PAGOS TELEFÓNICOS
CONTROLES PCI DSS EN PAGOS TELEFÓNICOS (*)
CONTROLES PCI DSS EN PAGOS TELEFÓNICOS - TIPS Asegurar políticas de retención:  Almacenar datos de tarjetahabiente solo si es necesario y limitar el tiempo de almacenamiento de acuerdo a requerimientos de negocio.  No almacenar SAD luego de la autorización. Enmascarar el PAN:  Acceso al PAN completo debe garantizarse basado en la necesidad de conocer.  Segmentar operaciones de las campañas para que solo pocos agentes puedan ingresar el PAN,  Implementar soluciones en las que el agente no tenga acceso al PAN. (IVR). De no ser posible, enmascarar el PAN luego de ingresarlo en la aplicación.
CONTROLES PCI DSS EN PAGOS TELEFÓNICOS – TIPS (*) Almacenamiento del PAN:  El PAN debe almacenarse ilegible mediante:  Tokenización  Hashing  Truncado  Cifrado  Proteger el PAN en Grabaciones, en caso de tenerlo no reproducir las grabaciones. Cifrado de datos en redes públicas:  Utilizar protocolos de cifrado fuerte como TLS 1.2, SSH, IPSec.  No enviar CHD por tecnologías de usuario final (SMS, email).
CONTROLES PCI DSS EN PAGOS TELEFÓNICOS – TIPS (*) Autenticación adecuada para el personal:  Restringir accesos a grabaciones, y bases de datos con datos de tarjetahabiente.  Implementar control de acceso multi-factor para conexiones remotas.  No usar cuentas compartidas. Política de Seguridad:  Implementar procedimientos operacionales.  Políticas de uso de tecnologías.  Concientizar en seguridad a los empleados (incluidos los remotos) y validar los antecedentes y referencias.  Prohibir a empleados remotos copiar o mover información a equipos locales.
CONTROLES PCI DSS EN PAGOS TELEFÓNICOS – TIPS (*) Se deben cumplir todos los requerimientos de PCI DSS, incluidos:  Autenticación fuerte a sistemas que almacenan información de tarjetahabientes.  No conexiones a internet entre componentes que almacenan CHD e internet.  Asegurar que los sistemas mantengan configuraciones seguras, actualizados y sean probados en contra de vulnerabilidades.  Equipos de personal remoto y portátiles tenga firewall personal instalado.  Equipos de personal remoto cuente con antivirus instalado.  Solo se deben utilizar componentes autorizados.
CONCLUSIONES  Se debe tener especial cuidado con el tratamiento de datos de tarjetahabiente por las diferentes fuentes en las que se puede recibir el dato.  En las grabaciones no se debe tener el PAN almacenado.  Hay que tener especial cuidado con el personal dado que es un eslabón débil.  Se debe cumplir con PCI DSS inclusive si se es utilizado componentes del cliente.  Los CC y BPOs son proveedores de servicio, deben estar en cumplimiento pero son
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28. Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28. Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88

Recommandé

introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería SocialAlexander Velasque Rimac
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014Instituto Juan Bosco de Huánuco
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005Darwin Manotas Florez
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridadDaniela Florez
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 

Recommandé

introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería SocialAlexander Velasque Rimac
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014Instituto Juan Bosco de Huánuco
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005Darwin Manotas Florez
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridadDaniela Florez
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 
Understanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iUnderstanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iPrecisely
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Ciberdelincuencia
CiberdelincuenciaCiberdelincuencia
CiberdelincuenciaFabrizio Villasis
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIALEnmer Genaro Leandro Ricra
 
Microsoft's Implementation Roadmap for FIDO2
Microsoft's Implementation Roadmap for FIDO2Microsoft's Implementation Roadmap for FIDO2
Microsoft's Implementation Roadmap for FIDO2FIDO Alliance
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Network Intelligence India
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería socialLily Diéguez
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsJared Greenhill
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Oscar Balderas
 
ISO 27002
ISO 27002ISO 27002
ISO 27002trabajofinal2
 
Web 1.0 2.0 3.0 4.0 Y DEEP WEB
Web 1.0 2.0 3.0 4.0 Y DEEP WEBWeb 1.0 2.0 3.0 4.0 Y DEEP WEB
Web 1.0 2.0 3.0 4.0 Y DEEP WEBValentina Daza
 
Palo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & CompliancePalo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & ComplianceAmazon Web Services
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadMarlyns01
 
Informix Update New Features 11.70.xC1+
Informix Update New Features 11.70.xC1+Informix Update New Features 11.70.xC1+
Informix Update New Features 11.70.xC1+IBM Sverige
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osintQuantiKa14
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorizaciónDenys Flores
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 

Contenu connexe

Tendances

Understanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iUnderstanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iPrecisely
 
Microsoft's Implementation Roadmap for FIDO2
Microsoft's Implementation Roadmap for FIDO2Microsoft's Implementation Roadmap for FIDO2
Microsoft's Implementation Roadmap for FIDO2FIDO Alliance
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería socialLily Diéguez
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsJared Greenhill
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Oscar Balderas
 
Web 1.0 2.0 3.0 4.0 Y DEEP WEB
Web 1.0 2.0 3.0 4.0 Y DEEP WEBWeb 1.0 2.0 3.0 4.0 Y DEEP WEB
Web 1.0 2.0 3.0 4.0 Y DEEP WEBValentina Daza
 
Palo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & CompliancePalo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & ComplianceAmazon Web Services
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadMarlyns01
 
Informix Update New Features 11.70.xC1+
Informix Update New Features 11.70.xC1+Informix Update New Features 11.70.xC1+
Informix Update New Features 11.70.xC1+IBM Sverige
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osintQuantiKa14
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorizaciónDenys Flores
 

Tendances (20)

Understanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iUnderstanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM i
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Ciberdelincuencia
CiberdelincuenciaCiberdelincuencia
Ciberdelincuencia
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
 
Microsoft's Implementation Roadmap for FIDO2
Microsoft's Implementation Roadmap for FIDO2Microsoft's Implementation Roadmap for FIDO2
Microsoft's Implementation Roadmap for FIDO2
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Web 1.0 2.0 3.0 4.0 Y DEEP WEB
Web 1.0 2.0 3.0 4.0 Y DEEP WEBWeb 1.0 2.0 3.0 4.0 Y DEEP WEB
Web 1.0 2.0 3.0 4.0 Y DEEP WEB
 
Palo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & CompliancePalo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & Compliance
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Informix Update New Features 11.70.xC1+
Informix Update New Features 11.70.xC1+Informix Update New Features 11.70.xC1+
Informix Update New Features 11.70.xC1+
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osint
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorización
 

Similaire à Problematicas de PCI DSS en Contact Centers & BPO

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORDoble Factor
 
Business Integration - Proteger la Información
Business Integration - Proteger la InformaciónBusiness Integration - Proteger la Información
Business Integration - Proteger la InformaciónChema Alonso
 
Actividad Obligatoria 6
Actividad Obligatoria 6Actividad Obligatoria 6
Actividad Obligatoria 6Gerardo Puga
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
App Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónApp Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónRamón Abruña
 
seguridad comercio electronico
seguridad comercio electronicoseguridad comercio electronico
seguridad comercio electronicofelipollo426
 

Similaire à Problematicas de PCI DSS en Contact Centers & BPO (20)

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
Audema
AudemaAudema
Audema
 
Audema
AudemaAudema
Audema
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTOR
 
Business Integration - Proteger la Información
Business Integration - Proteger la InformaciónBusiness Integration - Proteger la Información
Business Integration - Proteger la Información
 
Capitulo 16
Capitulo 16Capitulo 16
Capitulo 16
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Actividad Obligatoria 6
Actividad Obligatoria 6Actividad Obligatoria 6
Actividad Obligatoria 6
 
Cryptosec-Lan
Cryptosec-LanCryptosec-Lan
Cryptosec-Lan
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retail
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Casos 1,2,3
Casos 1,2,3Casos 1,2,3
Casos 1,2,3
 
App Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónApp Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificación
 
seguridad comercio electronico
seguridad comercio electronicoseguridad comercio electronico
seguridad comercio electronico
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 

Dernier

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 

Dernier (9)

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 

Problematicas de PCI DSS en Contact Centers & BPO

  • 1. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88 PROBLEMÁTICAS DE PCI DSS EN CONTACT CENTERS & BPO DAVID ANDRÉS GONZÁLEZ LEWIS CISM, PCI QSA, PA QSA, PCIP, ISO 27001 IA
  • 2. AGENDA 1. Brechas en los Contact Centers. 2. Principales requerimientos de PCI DSS a implementar. 3. Problemáticas en la implementación de los requerimientos. 4. Soluciones a las problemáticas. 5. Controles PCI DSS en pagos telefónicos. 6. Conclusiones.
  • 3. BRECHAS DE SEGURIDAD EN CONTACT CENTERS Caso AT&T:  Robo de datos (PII y números seguro social) de 68.700.  Efectuado en el proveedor de servicio de Contact Center.  Afecto en México, Colombia y Filipinas.  Falta de monitoreo sobre acceso y consulta de información sensible.  Falla en el proceso de contratación de personal. (revisión de antecedentes)
  • 4. BRECHAS DE SEGURIDAD EN CONTACT CENTERS Talk – Wipro:  Robo de datos (PII y números de cuenta) de 157.000 clientes.  Efectuado en el proveedor de servicio de Contact Center Wipro.  Tres empleados encargados de la red.  Falta de monitoreo sobre acceso y consulta de información sensible.  Falla en el proceso de contratación de personal. (revisión de antecedentes).  Falta de controles de acceso a segmentos de red sensibles.
  • 5. BRECHAS DE SEGURIDAD EN CONTACT CENTERS Contact Solutions:  Robo de datos de los empleados.  Ataque de phising dirigido a los empleados.  Falta de concientización al personal. Advanced Tech Support:  Acceso no autorizado a equipos de asesores de llamadas inbound.  Robo de cuentas e información de clientes.  Mala configuración de seguridad en componentes perimetrales y equipos.
  • 6. REQUERIMIENTOS DE PCI DSS – MAYORES RETOS  No almacenar después de la autorización datos sensibles de autenticación (SAD): CAV2, CVC2, CVV2, CID. Requerimiento 3.2.  Proteger datos de tarjetahabiente en almacenamiento (PAN). Requerimiento 3.4.  Enmascarar PAN de acuerdo a la necesidad de conocer (1234********6789). Requerimiento 3.3.  Limitar el trafico de entrada y salida al ambiente de datos de tarjetahabiente (CDE). Requerimiento 1.3.  Asegurar componentes y mantenerlos actualizados con parches de seguridad(servidores, redes, equipos, etc.). Requerimiento 2 y 6.1.
  • 7. PROBLEMATICAS AL IMPLEMENTAR REQUERIMIENTOS Centrales Telefónicas:  No se incluye seguridad en el diseño de la solución.  Interfaces de administración no protegidas. Teléfonos SIP contraseñas débiles.  PBX conectados a internet o con servicios no relacionados. Grabación de llamadas:  Información sensible dictada al asesor.  Los tonos son incluidos en la grabación.
  • 8. PROBLEMATICAS AL IMPLEMENTAR REQUERIMIENTOS (*) Ambientes:  Diferentes campañas sobre el mismo ambiente.  Asesores con acceso a información sensible.  Redes no segmentadas.  Diferentes tecnologías y aplicaciones dependiendo de cada cliente. Personal:  Negocios con alta rotación de personal.  Falta de capacitación y concientización en seguridad de la información dependiendo del cargo.  Poca validación de antecedentes de empleados.
  • 9. SOLUCIONES A PROBLEMATICAS Centrales Telefónicas:  Proteger la interfaz administrativa y tener contraseñas fuertes en los teléfonos SIP.  Diseño de solución incluyendo seguridad:  Reducir riesgos a nivel aceptable  Asegurar componentes  Diseño simple  No exponerse a redes no confiables.  Servidor dedicado.  Componentes asegurados y actualizados.
  • 10. SOLUCIONES A PROBLEMATICAS (*) Grabación de Llamadas:  Implementar sistemas IVR para capturar información sensible.  No almacenar los tonos o implementar soluciones para enmascarar la información sensible en la grabación. Ambientes:  Separar las campañas dependiendo de la información que usa.  Control de acceso a información sensible de acuerdo a la necesidad de conocer.  Segmentar las redes del CDE.  Configurar componentes de cliente de forma segura.
  • 11. SOLUCIONES A PROBLEMATICAS (*) Personal:  Capacitar y concientizar en seguridad de la información al momento de la contratación y realizar refuerzos periódicamente.  Definir accesos a componentes de acuerdo a la necesidad de conocer basado en funciones del cargo.  Validar antecedentes y referencias de los empleados.
  • 12. SOLUCIONES A PROBLEMATICAS (*) Personal:  No permitir el uso de papel.  Controlar el uso de dispositivos electrónicos dentro de las áreas sensibles.  Tecnologías para prevenir el uso de capturas de pantalla.  No permitir correos salientes a destinatarios no controlados.  CCTV.
  • 13. SOLUCIONES A PROBLEMATICAS (*) SI NO SE PUEDE CUMPLIR CON UN CONTROL ORIGINAL, SE PUEDE IMPLEMENTAR UN CONTROL COMPENSATORIO  Monitoreo de repositorios.  DLP.  Multi-factor para consultas a información sensible.  Firewalls locales en componentes.  Aislamiento de áreas que tratan datos sensibles.
  • 14. CONTROLES PCI DSS EN PAGOS TELEFÓNICOS
  • 15. CONTROLES PCI DSS EN PAGOS TELEFÓNICOS (*)
  • 16. CONTROLES PCI DSS EN PAGOS TELEFÓNICOS - TIPS Asegurar políticas de retención:  Almacenar datos de tarjetahabiente solo si es necesario y limitar el tiempo de almacenamiento de acuerdo a requerimientos de negocio.  No almacenar SAD luego de la autorización. Enmascarar el PAN:  Acceso al PAN completo debe garantizarse basado en la necesidad de conocer.  Segmentar operaciones de las campañas para que solo pocos agentes puedan ingresar el PAN,  Implementar soluciones en las que el agente no tenga acceso al PAN. (IVR). De no ser posible, enmascarar el PAN luego de ingresarlo en la aplicación.
  • 17. CONTROLES PCI DSS EN PAGOS TELEFÓNICOS – TIPS (*) Almacenamiento del PAN:  El PAN debe almacenarse ilegible mediante:  Tokenización  Hashing  Truncado  Cifrado  Proteger el PAN en Grabaciones, en caso de tenerlo no reproducir las grabaciones. Cifrado de datos en redes públicas:  Utilizar protocolos de cifrado fuerte como TLS 1.2, SSH, IPSec.  No enviar CHD por tecnologías de usuario final (SMS, email).
  • 18. CONTROLES PCI DSS EN PAGOS TELEFÓNICOS – TIPS (*) Autenticación adecuada para el personal:  Restringir accesos a grabaciones, y bases de datos con datos de tarjetahabiente.  Implementar control de acceso multi-factor para conexiones remotas.  No usar cuentas compartidas. Política de Seguridad:  Implementar procedimientos operacionales.  Políticas de uso de tecnologías.  Concientizar en seguridad a los empleados (incluidos los remotos) y validar los antecedentes y referencias.  Prohibir a empleados remotos copiar o mover información a equipos locales.
  • 19. CONTROLES PCI DSS EN PAGOS TELEFÓNICOS – TIPS (*) Se deben cumplir todos los requerimientos de PCI DSS, incluidos:  Autenticación fuerte a sistemas que almacenan información de tarjetahabientes.  No conexiones a internet entre componentes que almacenan CHD e internet.  Asegurar que los sistemas mantengan configuraciones seguras, actualizados y sean probados en contra de vulnerabilidades.  Equipos de personal remoto y portátiles tenga firewall personal instalado.  Equipos de personal remoto cuente con antivirus instalado.  Solo se deben utilizar componentes autorizados.
  • 20. CONCLUSIONES  Se debe tener especial cuidado con el tratamiento de datos de tarjetahabiente por las diferentes fuentes en las que se puede recibir el dato.  En las grabaciones no se debe tener el PAN almacenado.  Hay que tener especial cuidado con el personal dado que es un eslabón débil.  Se debe cumplir con PCI DSS inclusive si se es utilizado componentes del cliente.  Los CC y BPOs son proveedores de servicio, deben estar en cumplimiento pero son
  • 21. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28. Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88
  • 22. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28. Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88