SlideShare una empresa de Scribd logo

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS

Internet Security Auditors
Internet Security Auditors

En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.

1 de 22
Descargar para leer sin conexión
Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática el Corte Inglés (IECI) PCI DSS – PA DSS
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO INDICE • PCI DSS y PA DSS. • Cómo se interrelacionan. • Qué queda cubierto con PA DSS. • Hacia dónde hay que ir. • Estructura de la norma PCI DSS. • Por dónde empezar. • Cómo abordar el estándar.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO PA DSS Y PCI DSS PA DSS (Payment Aplications Data Security Standard) • Desarrollos de software que almacenen, procesen o transmitan datos de titulares de tarjeta bajo licencia. • La aplicación recibe datos de titulares de tarjeta de un datáfono u otro dispositivo y comienza la transacción. • La aplicación funciona bajo entornos PCI DSS. • PCI SSC no envía correos sobre la actualización de la norma. • En Octubre se ha presentado la versión 2.0.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO PA DSS Y PCI DSS (II) PCI DSS (Payment Card Industry Data Security Estándar): • Define medidas de protección para la infraestructura que interviene en el tratamiento, procesamiento, transmisión y almacenamiento de información de tarjetas de pago. • El objetivo de la norma es prevenir el fraude y cualquier tipo de acciones malintencionadas sobre los datos de titulares de tarjeta. • Cumplir con PCI DSS implica un proceso continuo de implantación y gestión de controles de seguridad que minimicen al máximo los riesgos potenciales de pérdida de datos de titulares de tarjeta. • PCI SSC no envía correos sobre la actualización de la norma.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO COMO SE INTERRELACIONAN (I) • El proceso simplificado … El usuario hace una compra La aplicación almacena, procesa, transmite los datos de tarjeta Los sistemas del comercio o del proveedor de servicio procesan, almacenan o trasmiten los datos de tarjeta
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO COMO SE INTERRELACIONAN (II) • PA DSS está formada por requerimientos de PCI DSS reestructurados y orientados al desarrollo seguro de aplicaciones (exceptuando los requerimientos 7.2 y 13). • Desarrollar una aplicación para luego certificarla por PA DSS implica conocer la norma PCI DS. • De hecho, las máquinas donde se prueba la aplicación PA DSS deben cumplir con PCI DSS en relación a: – Bastionado de las máquinas. – Política de cuentas de usuario y contraseñas. – Configuración segura de las comunicaciones. – Correlación de logs. – Desarrollo seguro de aplicaciones.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO QUE QUEDA CUBIERTO CON PA DSS (I) Apartados Requerimientos Construir y Mantener una Red Segura 1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2), ni los datos de bloqueo del PIN. 2. Proteja los datos del titular de la tarjeta que fueron almacenados. 3. Provea las funciones de autenticación segura. 4. Registre la actividad de la aplicación de pago. 5. Desarrolle aplicaciones de pago seguras. 6. Proteja las transmisiones inalámbricas. 7. Pruebe las aplicaciones de pago para tratar las vulnerabilidades. 8. Facilite la implementación de una red segura. 9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a Internet. 10. Facilite actualizaciones de software remotas y seguras. 11. Cifre el tráfico sensitivo de las redes públicas. 12. Cifre el acceso administrativo que no sea de consola. 13. Mantenga la documentación instructiva y los programas de capacitación para clientes, revendedores e integradores. ANEXO B PA DSS v2.0 ANEXO A Resumen de contenidos para la guía de implementación de las PA DSS. Confirmación de la configuración específica del laboratorio de pruebas de la evaluación de las PA DSS.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Si bien es cierto que PA DSS aplica a un número menor de departamentos y procesos, el trabajo realizado por IECISA cubre los siguientes apartados de PCI DSS: – Desarrollo de software. – Gestión de parches y actualizaciones. – Almacenamiento y destrucción de datos de tarjeta. – Gestión de claves criptográficas. – Gestión de cambios. – Política de usuarios y contraseñas. QUE QUEDA CUBIERTO CON PA DSS (II)
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO HACIA DONDE HAY QUE IR • En el negocio de medios de pago, IECISA tiene un doble papel como proveedor de servicios: – Como desarrollador de software, desarrollar una aplicación segura. – Como valor añadido a la aplicación, IECISA ofrece a sus clientes la posibilidad de administrar y alojar la aplicación Conexflow en su Centro de Operaciones y Redes, permitiéndoles desentenderse en gran medida de PCI DSS. • Este doble papel empuja a IECISA a obtener la certificación PCI DSS como “Shared Hosting Provider”.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO ESTRUCTURA DE LA NORMA PCI DSS Principios Requerimientos Construir y Mantener una Red Segura 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas. 2. No emplear parámetros de seguridad y usuarios del sistema por defecto. Proteger los Datos de Tarjetas 3. Proteger los datos almacenados de tarjetas. 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas. Mantener un Programa de Gestión de Vulnerabilidades 5. Usar y actualizar regularmente software antivirus. 6. Desarrollar y mantener de forma segura sistemas y aplicaciones. Implementar Medidas de Control de Acceso 7. Restringir el acceso a la información de tarjetas según la premisa “need–to– know”. 8. Asignar un único ID a cada persona con acceso a computadores. 9. Restringir el acceso físico a la información de tarjetas. Monitorizar y Testear Regularmente las Redes 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas. 11. Testear de forma regular la seguridad de los sistemas y procesos. Mantener una Política de Seguridad de la Información 12. Mantener una política que gestione la seguridad de la información. PCI DSS v1.2 ANEXO A Requisitos PCI DSS adicionales para proveedores de hosting compartido.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (I) • Eliminar los datos prohibidos: – El contenido de la banda magnética (p.e.: Pista1, Pista2), CVV2 y PIN BLOCKs no deben retenerse tras la autorización de la transacción. – En este sentido, Conexflow v4.0 no almacena los datos sensibles de la tarjeta.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (II) • Eliminar los datos de tarjeta no necesarios: – Almacenar la menor cantidad de datos que sea posible, en el menor número de ubicaciones posibles, de forma ilegible. – La información que se almacene debe seguir las políticas de retención y eliminación, y estar inventariada → Matriz de Datos de Tarjeta. – Esto también afecta al papel. SI NO ES NECESARIO ALMACENAR EL PAN MEJOR ELIMINARLO
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (III) • Proteger los datos de tarjeta utilizando aplicaciones seguras de pago: – Utilizar aplicaciones certificadas por PA DSS garantiza que: • La aplicación ha sido desarrollada con una metodología de desarrollo seguro del software. • Cumple con todas las exigencias de los fabricantes de tarjeta. • Una preocupación menos para la empresa de cara a la certificación.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Proteger los sistemas que procesan, almacenan o transmiten los datos de tarjeta de acuerdo al estándar PCI DSS v2.0: – Establecer una Política de Seguridad. – Cumplir con el estándar. – Formar a los empleados. – Validar el cumplimiento en los sistemas donde se almacena, procesa o trasmiten datos de titulares de tarjetas de pago. POR DONDE EMPEZAR (IV)
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (V) • Segmentación de Red: – Permite reducir el alcance, costes y envergadura de la auditoría. – Sin una segmentación adecuada, toda la red y sistemas de IECISA o del cliente deberían cumplir con PCI DSS. – Instalar protección perimetral. – ¿Cómo segmentar la red? • Utilizando dispositivos que aíslen eficazmente los datos de tarjeta del resto de la red: cortafuegos, equipos de red, listas de control de acceso robustas …
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (VI) • Restringir el acceso al entorno PCI DSS: – Control de Acceso Lógico: Definir matriz de privilegios por cada componente de sistema, esto servirá como procedimiento para garantizar el acceso según el need-to-know e incluir qué puesto de trabajo tiene acceso y en qué condiciones. – Control de Acceso Físico: Las áreas donde se procesan (CPD) y almacenan los datos de tarjeta deben tener controles de acceso físico y cámaras de seguridad que monitoricen el acceso a estas instalaciones.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (VII) • Configuración Segura de Equipos: – Elaborar guías de bastionado para todos los componentes del sistema. – Establecer un proceso de actualización de parches. – Establecer procesos de detección de nuevas vulnerabilidades. – Instalar antivirus en servidores y equipos de usuarios • Monitorización de los Eventos de Seguridad: – Instalar una plataforma de correlación de logs que rastree cualquier acción que ocurra dentro del entorno PCI DSS.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Gestión de Copias de Seguridad: – Las copias de seguridad del entorno PCI DSS deben ser protegidas de accesos no deseados y de amenazas medioambientales. • Gestión de las Comunicaciones: – Utilizar protocolos de comunicación seguros cuando los datos viajen por redes no confiables. – Restringir al máximo el tráfico entrante/saliente del entorno PCI DSS. • Desarrollo Seguro de Aplicaciones: – Conexflow. POR DONDE EMPEZAR (VIII)
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Gestión de la Seguridad: – Establecer una Política de Seguridad que cubra todos los requerimientos de PCI DSS. – Realizar un Análisis de Riesgos todos los años. – Elaborar procedimientos que regulen la relación con los proveedores de servicios del entorno PCI DSS. – Establecer procesos de detección y respuesta ante incidentes de seguridad relacionados con los datos de tarjeta. – Diseñar un Plan de Formación y Concienciación para el personal que trabaje en el entorno PCI DSS. – Definir los roles y responsabilidades del personal que trabaja en el entorno PCI DSS. – Establecer procedimientos de seguridad de operativa diaria. – Establecer un procedimiento de gestión de cambios. POR DONDE EMPEZAR (IX)
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (X) • Auditorías y Revisiones Periódicas: – Pasar la auditoría anual de certificación/recertificación. – Realizar los escaneos de vulnerabilidades internos y externos (los externos sólo podrán ser realizados por ASVs) trimestrales o tras un cambio significativo en el entorno PCI DSS. – Escaneos wifi trimestrales. – Realizar un test de penetración interno y externo anualmente o tras un cambio significativo en el entorno PCI DSS. – Revisar la Política de Seguridad y procedimientos anualmente. – Realizar un inventario de soportes extraíbles anualmente. – Realizar una vez al año un Análisis de Riesgos. – Revisión semestral de las reglas de los firewalls. – Revisar el estado de las cuentas de usuarios trimestralmente. – Revisión diaria de los logs.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO EN RESUMEN • PA DSS facilita la implantación de PCI DSS pero no lo garantiza. • Asegura que los datos son procesados y almacenados en los sistemas de forma segura. • Abordar la certificación PCI DSS exige un esfuerzo grande y mayor número de recursos. • Para implantar PCI DSS es necesario el apoyo de la dirección.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática el Corte Inglés (IECI) PCI DSS – PA DSS PREGUNTAS

Recomendados

Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 

Recomendados

Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasSIA Group
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Sistemas operativos modernos
Sistemas operativos modernosSistemas operativos modernos
Sistemas operativos modernosSandra M Martinez H
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Firma electronica
Firma electronicaFirma electronica
Firma electronicaSIA Group
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dssJefersonguetio
 

Más contenido relacionado

La actualidad más candente

Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasSIA Group
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Firma electronica
Firma electronicaFirma electronica
Firma electronicaSIA Group
 

La actualidad más candente (20)

Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSS
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCI
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras Críticas
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
Sistemas operativos modernos
Sistemas operativos modernosSistemas operativos modernos
Sistemas operativos modernos
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
 

Similar a Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS

Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
App Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónApp Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónRamón Abruña
 
Seguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosSeguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosjosecuartas
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Christian C
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 

Similar a Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS (20)

Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
Idreader nsi gen_2014
Idreader nsi gen_2014Idreader nsi gen_2014
Idreader nsi gen_2014
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorio
 
Cryptosec-Lan
Cryptosec-LanCryptosec-Lan
Cryptosec-Lan
 
Cap6
Cap6Cap6
Cap6
 
Cap6
Cap6Cap6
Cap6
 
App Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificaciónApp Mis Avisos - propuesta tecnica y planificación
App Mis Avisos - propuesta tecnica y planificación
 
Seguridad 2019 1
Seguridad 2019 1Seguridad 2019 1
Seguridad 2019 1
 
Seguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosSeguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datos
 
Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.Actividad 5 - Infrestructura PKIx.
Actividad 5 - Infrestructura PKIx.
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Audema
AudemaAudema
Audema
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS

  • 1. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática el Corte Inglés (IECI) PCI DSS – PA DSS
  • 2. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO INDICE • PCI DSS y PA DSS. • Cómo se interrelacionan. • Qué queda cubierto con PA DSS. • Hacia dónde hay que ir. • Estructura de la norma PCI DSS. • Por dónde empezar. • Cómo abordar el estándar.
  • 3. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO PA DSS Y PCI DSS PA DSS (Payment Aplications Data Security Standard) • Desarrollos de software que almacenen, procesen o transmitan datos de titulares de tarjeta bajo licencia. • La aplicación recibe datos de titulares de tarjeta de un datáfono u otro dispositivo y comienza la transacción. • La aplicación funciona bajo entornos PCI DSS. • PCI SSC no envía correos sobre la actualización de la norma. • En Octubre se ha presentado la versión 2.0.
  • 4. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO PA DSS Y PCI DSS (II) PCI DSS (Payment Card Industry Data Security Estándar): • Define medidas de protección para la infraestructura que interviene en el tratamiento, procesamiento, transmisión y almacenamiento de información de tarjetas de pago. • El objetivo de la norma es prevenir el fraude y cualquier tipo de acciones malintencionadas sobre los datos de titulares de tarjeta. • Cumplir con PCI DSS implica un proceso continuo de implantación y gestión de controles de seguridad que minimicen al máximo los riesgos potenciales de pérdida de datos de titulares de tarjeta. • PCI SSC no envía correos sobre la actualización de la norma.
  • 5. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO COMO SE INTERRELACIONAN (I) • El proceso simplificado … El usuario hace una compra La aplicación almacena, procesa, transmite los datos de tarjeta Los sistemas del comercio o del proveedor de servicio procesan, almacenan o trasmiten los datos de tarjeta
  • 6. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO COMO SE INTERRELACIONAN (II) • PA DSS está formada por requerimientos de PCI DSS reestructurados y orientados al desarrollo seguro de aplicaciones (exceptuando los requerimientos 7.2 y 13). • Desarrollar una aplicación para luego certificarla por PA DSS implica conocer la norma PCI DS. • De hecho, las máquinas donde se prueba la aplicación PA DSS deben cumplir con PCI DSS en relación a: – Bastionado de las máquinas. – Política de cuentas de usuario y contraseñas. – Configuración segura de las comunicaciones. – Correlación de logs. – Desarrollo seguro de aplicaciones.
  • 7. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO QUE QUEDA CUBIERTO CON PA DSS (I) Apartados Requerimientos Construir y Mantener una Red Segura 1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2), ni los datos de bloqueo del PIN. 2. Proteja los datos del titular de la tarjeta que fueron almacenados. 3. Provea las funciones de autenticación segura. 4. Registre la actividad de la aplicación de pago. 5. Desarrolle aplicaciones de pago seguras. 6. Proteja las transmisiones inalámbricas. 7. Pruebe las aplicaciones de pago para tratar las vulnerabilidades. 8. Facilite la implementación de una red segura. 9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a Internet. 10. Facilite actualizaciones de software remotas y seguras. 11. Cifre el tráfico sensitivo de las redes públicas. 12. Cifre el acceso administrativo que no sea de consola. 13. Mantenga la documentación instructiva y los programas de capacitación para clientes, revendedores e integradores. ANEXO B PA DSS v2.0 ANEXO A Resumen de contenidos para la guía de implementación de las PA DSS. Confirmación de la configuración específica del laboratorio de pruebas de la evaluación de las PA DSS.
  • 8. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Si bien es cierto que PA DSS aplica a un número menor de departamentos y procesos, el trabajo realizado por IECISA cubre los siguientes apartados de PCI DSS: – Desarrollo de software. – Gestión de parches y actualizaciones. – Almacenamiento y destrucción de datos de tarjeta. – Gestión de claves criptográficas. – Gestión de cambios. – Política de usuarios y contraseñas. QUE QUEDA CUBIERTO CON PA DSS (II)
  • 9. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO HACIA DONDE HAY QUE IR • En el negocio de medios de pago, IECISA tiene un doble papel como proveedor de servicios: – Como desarrollador de software, desarrollar una aplicación segura. – Como valor añadido a la aplicación, IECISA ofrece a sus clientes la posibilidad de administrar y alojar la aplicación Conexflow en su Centro de Operaciones y Redes, permitiéndoles desentenderse en gran medida de PCI DSS. • Este doble papel empuja a IECISA a obtener la certificación PCI DSS como “Shared Hosting Provider”.
  • 10. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO ESTRUCTURA DE LA NORMA PCI DSS Principios Requerimientos Construir y Mantener una Red Segura 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas. 2. No emplear parámetros de seguridad y usuarios del sistema por defecto. Proteger los Datos de Tarjetas 3. Proteger los datos almacenados de tarjetas. 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas. Mantener un Programa de Gestión de Vulnerabilidades 5. Usar y actualizar regularmente software antivirus. 6. Desarrollar y mantener de forma segura sistemas y aplicaciones. Implementar Medidas de Control de Acceso 7. Restringir el acceso a la información de tarjetas según la premisa “need–to– know”. 8. Asignar un único ID a cada persona con acceso a computadores. 9. Restringir el acceso físico a la información de tarjetas. Monitorizar y Testear Regularmente las Redes 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas. 11. Testear de forma regular la seguridad de los sistemas y procesos. Mantener una Política de Seguridad de la Información 12. Mantener una política que gestione la seguridad de la información. PCI DSS v1.2 ANEXO A Requisitos PCI DSS adicionales para proveedores de hosting compartido.
  • 11. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (I) • Eliminar los datos prohibidos: – El contenido de la banda magnética (p.e.: Pista1, Pista2), CVV2 y PIN BLOCKs no deben retenerse tras la autorización de la transacción. – En este sentido, Conexflow v4.0 no almacena los datos sensibles de la tarjeta.
  • 12. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (II) • Eliminar los datos de tarjeta no necesarios: – Almacenar la menor cantidad de datos que sea posible, en el menor número de ubicaciones posibles, de forma ilegible. – La información que se almacene debe seguir las políticas de retención y eliminación, y estar inventariada → Matriz de Datos de Tarjeta. – Esto también afecta al papel. SI NO ES NECESARIO ALMACENAR EL PAN MEJOR ELIMINARLO
  • 13. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (III) • Proteger los datos de tarjeta utilizando aplicaciones seguras de pago: – Utilizar aplicaciones certificadas por PA DSS garantiza que: • La aplicación ha sido desarrollada con una metodología de desarrollo seguro del software. • Cumple con todas las exigencias de los fabricantes de tarjeta. • Una preocupación menos para la empresa de cara a la certificación.
  • 14. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Proteger los sistemas que procesan, almacenan o transmiten los datos de tarjeta de acuerdo al estándar PCI DSS v2.0: – Establecer una Política de Seguridad. – Cumplir con el estándar. – Formar a los empleados. – Validar el cumplimiento en los sistemas donde se almacena, procesa o trasmiten datos de titulares de tarjetas de pago. POR DONDE EMPEZAR (IV)
  • 15. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (V) • Segmentación de Red: – Permite reducir el alcance, costes y envergadura de la auditoría. – Sin una segmentación adecuada, toda la red y sistemas de IECISA o del cliente deberían cumplir con PCI DSS. – Instalar protección perimetral. – ¿Cómo segmentar la red? • Utilizando dispositivos que aíslen eficazmente los datos de tarjeta del resto de la red: cortafuegos, equipos de red, listas de control de acceso robustas …
  • 16. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (VI) • Restringir el acceso al entorno PCI DSS: – Control de Acceso Lógico: Definir matriz de privilegios por cada componente de sistema, esto servirá como procedimiento para garantizar el acceso según el need-to-know e incluir qué puesto de trabajo tiene acceso y en qué condiciones. – Control de Acceso Físico: Las áreas donde se procesan (CPD) y almacenan los datos de tarjeta deben tener controles de acceso físico y cámaras de seguridad que monitoricen el acceso a estas instalaciones.
  • 17. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (VII) • Configuración Segura de Equipos: – Elaborar guías de bastionado para todos los componentes del sistema. – Establecer un proceso de actualización de parches. – Establecer procesos de detección de nuevas vulnerabilidades. – Instalar antivirus en servidores y equipos de usuarios • Monitorización de los Eventos de Seguridad: – Instalar una plataforma de correlación de logs que rastree cualquier acción que ocurra dentro del entorno PCI DSS.
  • 18. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Gestión de Copias de Seguridad: – Las copias de seguridad del entorno PCI DSS deben ser protegidas de accesos no deseados y de amenazas medioambientales. • Gestión de las Comunicaciones: – Utilizar protocolos de comunicación seguros cuando los datos viajen por redes no confiables. – Restringir al máximo el tráfico entrante/saliente del entorno PCI DSS. • Desarrollo Seguro de Aplicaciones: – Conexflow. POR DONDE EMPEZAR (VIII)
  • 19. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO • Gestión de la Seguridad: – Establecer una Política de Seguridad que cubra todos los requerimientos de PCI DSS. – Realizar un Análisis de Riesgos todos los años. – Elaborar procedimientos que regulen la relación con los proveedores de servicios del entorno PCI DSS. – Establecer procesos de detección y respuesta ante incidentes de seguridad relacionados con los datos de tarjeta. – Diseñar un Plan de Formación y Concienciación para el personal que trabaje en el entorno PCI DSS. – Definir los roles y responsabilidades del personal que trabaja en el entorno PCI DSS. – Establecer procedimientos de seguridad de operativa diaria. – Establecer un procedimiento de gestión de cambios. POR DONDE EMPEZAR (IX)
  • 20. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO POR DONDE EMPEZAR (X) • Auditorías y Revisiones Periódicas: – Pasar la auditoría anual de certificación/recertificación. – Realizar los escaneos de vulnerabilidades internos y externos (los externos sólo podrán ser realizados por ASVs) trimestrales o tras un cambio significativo en el entorno PCI DSS. – Escaneos wifi trimestrales. – Realizar un test de penetración interno y externo anualmente o tras un cambio significativo en el entorno PCI DSS. – Revisar la Política de Seguridad y procedimientos anualmente. – Realizar un inventario de soportes extraíbles anualmente. – Realizar una vez al año un Análisis de Riesgos. – Revisión semestral de las reglas de los firewalls. – Revisar el estado de las cuentas de usuarios trimestralmente. – Revisión diaria de los logs.
  • 21. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO EN RESUMEN • PA DSS facilita la implantación de PCI DSS pero no lo garantiza. • Asegura que los datos son procesados y almacenados en los sistemas de forma segura. • Abordar la certificación PCI DSS exige un esfuerzo grande y mayor número de recursos. • Para implantar PCI DSS es necesario el apoyo de la dirección.
  • 22. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática el Corte Inglés (IECI) PCI DSS – PA DSS PREGUNTAS