SlideShare une entreprise Scribd logo

Requisitos y pasos para avanzar en el cumplimiento PCI

Internet Security Auditors
Internet Security Auditors

En su presentación, Carlos Prieto responsable de Seguridad de Caja Rioja, señaló los requisitos y pasos que se están siguiendo dentro de su entidad para avanzar en el cumplimiento de PCI DSS. Destacó la importancia del apoyo de la dirección así como de la asignación de un responsable interno que lidere el proyecto de implantación de PCI DSS.

Technologie
1  sur  9
Télécharger pour lire hors ligne
1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA logo ponente
2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Concienciación logo ponente Apoyo de la Dirección: La Dirección debe dar la importancia que tiene al  cumplimiento PCI,  mostrando su apoyo con un mensaje claro a todos los  agentes  internos y externos para que trabajen en la línea necesaria para  alcanzar el cumplimiento. En nuestro caso tenemos implementado un SGSI y en las reuniones del  Comité de Seguridad, entre otro temas, se sigue  la evolución del  cumplimiento PCI.
3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 Foto Inicial logo ponente Hay que saber cómo estamos. ¿Cuál es nuestro alcance?, ¿dónde están  los datos susceptibles de cumplimiento PCI?, ¿en qué servidores?, ¿por  qué líneas de comunicaciones circulan?, ¿quién accede a ellos?...... Para ello nuestra experiencia nos demostró que es indispensable una  consultoría externa por una empresa experta en cumplimiento PCI. Con la  ayuda del QSA conseguimos una foto de partida que nos permitió platearnos los siguientes pasos sin que éstos fueran a ciegas o  descoordinados. % Cumplimiento PCI DSS por Requerimiento 71 0 4 0 67 14 11 45 74 9 33 50 29 67 83 67 33 86 89 55 22 91 67 50 0 33 13 33 0 0 0 0 4 0 0 0 0 10 20 30 40 50 60 70 80 90 100 110 120 R eq. 1 R eq. 2 R eq. 3 R eq. 4 R eq. 5 R eq. 6 R eq. 7 R eq. 8 R eq. 9 R eq. 10 R eq. 11 R eq. 12 Requerimiento % % SI % No % N/A
4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 Líder y Plan Inicial logo ponente Una vez conocida la situación real de partida, es imprescindible asignar  un responsable que lidere y coordine las acciones necesarias. Para ello  este  responsable  con  la  colaboración  de  personas  involucradas  directamente  en  el  cumplimiento  PCI  (medios  de  pago,  cajeros,  comunicaciones, sistemas medios)  elaborará un  plan  que  será validado  por la Dirección.  En Caja Rioja el Comité de Seguridad designó al responsable y le  encomendó la elaboración del plan. El plan elaborado, contando con la  opinión y experiencia de otros afectados, fue presentado al Comité de  Seguridad para su aceptación. Paralelamente existen reuniones de  coordinación más operativas.
5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 Seguimiento y Vigilancia logo ponente El plan debe seguirse, analizar sus desviaciones, solucionar los problemas  que surjan, y replanificar si fuera necesario. Pero tan importante como el  plan  es  estar  vigilantes,  concienciar  e  implementar  mecanismos  de  control  para  que  nuevos  productos,  desarrollos,  compra  de  equipamiento, etc.. no provoque un nuevo incumplimiento de PCI.  ¿QSA o ISA? En nuestro caso  muchos de los desarrollos están en ATCA que cumple PCI.  A nivel interno se ha realizado una concienciación al departamento de  Organización y Sistemas que interviene en las decisiones de compras,  desarrollos, etc.. Para que se tenga en cuenta la seguridad y los  cumplimientos regulatorios o legales (PCI, LOPD, MIFID, etc..) en los  requisitos.
6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 Requerimientos logo ponente
7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 Problemas y soluciones logo ponente Cajeros Router y Switch Bases de datos Procedimientos y documentación Auditoría Relación con terceros Redes WIFI ¿Medidas compensatorias convencerán al QSA?
8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 logo ponente Muchas Gracias !!! Carlos Prieto Lezaun cprieto@cajarioja.es cprietolezaun@yahoo.es
9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTASPREGUNTAS

Recommandé

PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 

Recommandé

PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Gestión del Riesgo Operacional
Gestión del Riesgo OperacionalGestión del Riesgo Operacional
Gestión del Riesgo OperacionalFCGroup
 
Proyecto rollout cuviv
Proyecto rollout cuvivProyecto rollout cuviv
Proyecto rollout cuvivricardopabloasensio
 
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdfluzmarialianmisaico
 
Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p..... ..
 
00040111
0004011100040111
00040111Ruben Castro
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLenin Angelo Villanueva Quinteros
 
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfVision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfssuserbf0225
 
Boletin
BoletinBoletin
BoletinAGSA_SH
 
Boletin AGSA
Boletin AGSABoletin AGSA
Boletin AGSAnery11f
 
No conformidades para slides
No conformidades para slidesNo conformidades para slides
No conformidades para slidesFrancisco E Pastore
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cdAlexander Velasque Rimac
 
-Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido -Boletín talleres fácil y rápido
-Boletín talleres fácil y rápidoAGSA_SH
 
Talleres fácil y rápido
Talleres fácil y rápido Talleres fácil y rápido
Talleres fácil y rápidoAGSA_SH
 
Presentacion GIF
Presentacion GIFPresentacion GIF
Presentacion GIFMarco Antonio Marotta
 
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoPresentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoEricka Vanessa pejendino perea
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Lineamientos - Implementar SGC
Lineamientos - Implementar SGCLineamientos - Implementar SGC
Lineamientos - Implementar SGCUniversidad Tecnológica del Peru
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Contenu connexe

Similaire à Requisitos y pasos para avanzar en el cumplimiento PCI

Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Gestión del Riesgo Operacional
Gestión del Riesgo OperacionalGestión del Riesgo Operacional
Gestión del Riesgo OperacionalFCGroup
 
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdfluzmarialianmisaico
 
Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p..... ..
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfVision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfssuserbf0225
 
Boletin AGSA
Boletin AGSABoletin AGSA
Boletin AGSAnery11f
 
-Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido -Boletín talleres fácil y rápido
-Boletín talleres fácil y rápidoAGSA_SH
 
Talleres fácil y rápido
Talleres fácil y rápido Talleres fácil y rápido
Talleres fácil y rápidoAGSA_SH
 
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoPresentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoEricka Vanessa pejendino perea
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 

Similaire à Requisitos y pasos para avanzar en el cumplimiento PCI (20)

Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
 
Gestión del Riesgo Operacional
Gestión del Riesgo OperacionalGestión del Riesgo Operacional
Gestión del Riesgo Operacional
 
Proyecto rollout cuviv
Proyecto rollout cuvivProyecto rollout cuviv
Proyecto rollout cuviv
 
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf
376445955-PPT-Riesgo-Operacional-CAB-2015-1-pdf.pdf
 
Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...
 
00040111
0004011100040111
00040111
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresos
 
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfVision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
 
Boletin
BoletinBoletin
Boletin
 
Boletin AGSA
Boletin AGSABoletin AGSA
Boletin AGSA
 
No conformidades para slides
No conformidades para slidesNo conformidades para slides
No conformidades para slides
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
-Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido -Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido
 
Talleres fácil y rápido
Talleres fácil y rápido Talleres fácil y rápido
Talleres fácil y rápido
 
Presentacion GIF
Presentacion GIFPresentacion GIF
Presentacion GIF
 
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoPresentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Lineamientos - Implementar SGC
Lineamientos - Implementar SGCLineamientos - Implementar SGC
Lineamientos - Implementar SGC
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Dernier

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 

Dernier (10)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 

Requisitos y pasos para avanzar en el cumplimiento PCI

  • 1. 1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA logo ponente
  • 2. 2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Concienciación logo ponente Apoyo de la Dirección: La Dirección debe dar la importancia que tiene al  cumplimiento PCI,  mostrando su apoyo con un mensaje claro a todos los  agentes  internos y externos para que trabajen en la línea necesaria para  alcanzar el cumplimiento. En nuestro caso tenemos implementado un SGSI y en las reuniones del  Comité de Seguridad, entre otro temas, se sigue  la evolución del  cumplimiento PCI.
  • 3. 3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 Foto Inicial logo ponente Hay que saber cómo estamos. ¿Cuál es nuestro alcance?, ¿dónde están  los datos susceptibles de cumplimiento PCI?, ¿en qué servidores?, ¿por  qué líneas de comunicaciones circulan?, ¿quién accede a ellos?...... Para ello nuestra experiencia nos demostró que es indispensable una  consultoría externa por una empresa experta en cumplimiento PCI. Con la  ayuda del QSA conseguimos una foto de partida que nos permitió platearnos los siguientes pasos sin que éstos fueran a ciegas o  descoordinados. % Cumplimiento PCI DSS por Requerimiento 71 0 4 0 67 14 11 45 74 9 33 50 29 67 83 67 33 86 89 55 22 91 67 50 0 33 13 33 0 0 0 0 4 0 0 0 0 10 20 30 40 50 60 70 80 90 100 110 120 R eq. 1 R eq. 2 R eq. 3 R eq. 4 R eq. 5 R eq. 6 R eq. 7 R eq. 8 R eq. 9 R eq. 10 R eq. 11 R eq. 12 Requerimiento % % SI % No % N/A
  • 4. 4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 Líder y Plan Inicial logo ponente Una vez conocida la situación real de partida, es imprescindible asignar  un responsable que lidere y coordine las acciones necesarias. Para ello  este  responsable  con  la  colaboración  de  personas  involucradas  directamente  en  el  cumplimiento  PCI  (medios  de  pago,  cajeros,  comunicaciones, sistemas medios)  elaborará un  plan  que  será validado  por la Dirección.  En Caja Rioja el Comité de Seguridad designó al responsable y le  encomendó la elaboración del plan. El plan elaborado, contando con la  opinión y experiencia de otros afectados, fue presentado al Comité de  Seguridad para su aceptación. Paralelamente existen reuniones de  coordinación más operativas.
  • 5. 5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 Seguimiento y Vigilancia logo ponente El plan debe seguirse, analizar sus desviaciones, solucionar los problemas  que surjan, y replanificar si fuera necesario. Pero tan importante como el  plan  es  estar  vigilantes,  concienciar  e  implementar  mecanismos  de  control  para  que  nuevos  productos,  desarrollos,  compra  de  equipamiento, etc.. no provoque un nuevo incumplimiento de PCI.  ¿QSA o ISA? En nuestro caso  muchos de los desarrollos están en ATCA que cumple PCI.  A nivel interno se ha realizado una concienciación al departamento de  Organización y Sistemas que interviene en las decisiones de compras,  desarrollos, etc.. Para que se tenga en cuenta la seguridad y los  cumplimientos regulatorios o legales (PCI, LOPD, MIFID, etc..) en los  requisitos.
  • 6. 6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 Requerimientos logo ponente
  • 7. 7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 Problemas y soluciones logo ponente Cajeros Router y Switch Bases de datos Procedimientos y documentación Auditoría Relación con terceros Redes WIFI ¿Medidas compensatorias convencerán al QSA?
  • 8. 8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 logo ponente Muchas Gracias !!! Carlos Prieto Lezaun cprieto@cajarioja.es cprietolezaun@yahoo.es
  • 9. 9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTASPREGUNTAS