Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
1. OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS Juan Jose Rider Jimenez OWASP member Spain Chapter [email_address] 13/09/2011
2.
3.
4. ¿Qué es PCI-DSS y PA-DSS? (II) PCI SSC Payment Card Industry Security Standards Council PA DSS Payment Application Data Security Standard PCI DSS Payment Card Industry Data Security Standards PCI PTS PIN Transaction Security Merchant Compliance Validation Acquirer Card Brands
5. Los 12 requerimientos de PCI-DSS Categoría Requerimiento Construir y Mantener una red segura 1)Instalar y mantener una configuración de firewall para proteger datos de tarjetas 2) No usar passwords ni configuraciones de seguridad por defecto Proteger Datos de Tarjetas 3)Proteger los almacenes de datos de tarjetas 4) Encriptar transmisiones de datos de tarjetas que se produzcan en redes públicas. Programa de gestión de vulnerabilidades 5) Usar y actualizar regularmente un software antivirus 6) Desarrollar y mantener sistemas seguros y aplicaciones Implementar medidas de control de acceso 7) Restringir el acceso a los datos sensibles en base al ‘need-to-know’ 8) Asignar un único identificador a cada individuo con acceso 9) Restringir el acceso físico a los datos Monitorizar y probar regularmente las redes 10) Auditar y monitorizar todos los accesos a la red y a los datos sensibles 11) Testar regularmente sistemas y procesos Política de Seguridad de la Información 12) Mantener una política que tenga en cuenta la seguridad de la información
6. Los 14 requerimientos de PA-DSS Requirement 1 Do not retain full magnetic stripe, card validation code or value (CAV2, CID, CVC2, CVV2), or PIN block data Requirement 2 Protect stored cardholder data Requirement 3 Provide secure authentication features Requirement 4 Log payment application activity Requirement 5 Develop secure payment applications (5.2 - OWASP Guide, SANS CWE Top 25, CERT Secure Coding) Requirement 6 Protect wireless transmissions Requirement 7 Test payment applications to address vulnerabilities Requirement 8 Facilitate secure network implementation Requirement 9 Cardholder data must never be stored on a server connected to the Internet Requirement 10 Facilitate secure remote software updates Requirement 11 Facilitate secure remote access to payment application Requirement 12 Encrypt sensitive traffic over public networks Requirement 13 Encrypt all non-console administrative access Requirement 14 Maintain instructional documentation and training programs for customers, resellers, and integrators