Presentación ISACA Madrid PCI DSS - 28 abril 2011

2.261 visualizaciones

Publicado el

Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.

Publicado en: Tecnología
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.261
En SlideShare
0
De insertados
0
Número de insertados
9
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

Presentación ISACA Madrid PCI DSS - 28 abril 2011

  1. 1. 34ª CHARLA TÉCNICA, 28 de Abril de 2011PCI DSS – Algo más que 12 requisitos de seguridad Juan Manuel Nieto Moreno CISA, CISM, LA BS7799, PCI-DSS QSA, ITIL v3 Foundations jmnieto@sia.es
  2. 2. Objetivos de la presentación• Explicar los principales conceptos y estándares sobre la PCI.• Identificar a los principales actores que intervienen en los procesos de pago con tarjetas.• Explicar las funciones, responsabilidades y obligaciones de cada uno de los anteriores actores.• Explicar las diferentes certificaciones relacionadas con PCI.• Introducir los 12 requisitos de PCI DSS. 2
  3. 3. ÍNDICE PCI – Origen y conceptos principales 1 Aplicabilidad de PCI DSS y principales actores 2 Certificaciones relacionadas con PCI 3 La norma PCI DSS y sus requisitos 4 Conclusiones 5
  4. 4. PCI – Origen y conceptos principales• PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pagos, formado en 2006 por:• Su objetivo es aunar esfuerzos en la securización del entorno de las tarjetas de pago, facilitar la adopción de medidas de seguridad consistentes a nivel mundial y reducir los casos de fraude.• Para ello han creado varios estándares y mecanismos de certificación: 4
  5. 5. PCI DSS – Data Security Standard• PCI DSS se aplican a todas las entidades que participan en los procesos de las tarjetas de pago (comerciantes, instituciones financieras, entidades adquirentes, entidades emisoras, proveedores de servicios…) y, en general, toda organización que almacene, procese o transmita datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad 5
  6. 6. PCI PA-DSS – Payment Application• PA-DSS se aplican a proveedores de software y demás que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos de titulares de tarjetas• Aplica siempre que dichas aplicaciones se vendan, distribuyan u otorguen bajo licencia a terceros.• Los comercios y proveedores de servicios deberían utilizar únicamente aplicaciones que cumplen con PA-DSS.• La lista de aplicaciones validadas está disponible en: www.pcisecuritystandards.org/security_standards/pa_dss.shtml 6
  7. 7. PCI PTS – PIN Transaction Security• PCI PTS (anterior PCI PED) define un conjunto de requisitos de seguridad orientados a las características y mecanismos de gestión de los dispositivos utilizados para la protección de los PIN de las tarjetas, así como otras actividades relacionadas con el procesamiento de pagos.• Los requisitos son para los fabricantes en el ámbito del diseño, fabricación y transporte de los dispositivos hasta las entidades que los utilizan.• Requisitos de seguridad disponibles: – POI Modular Security Requirements v3.0 – Encrypting PIN Pad Devices v2.1 – Point of Sale Devices v2.1 – Hardware Security Module (HSM) v1.0 – Unattended Payment Terminals (UPT) v1.0• La lista de dispositivos aprobados por el PCI SSC está disponible en: www.pcisecuritystandards.org/security_standards/ped/pedapprovallist.html 7
  8. 8. ÍNDICE PCI – Origen y conceptos principales 1 Aplicabilidad de PCI DSS y principales actores 2 Certificaciones relacionadas con PCI 3 La norma PCI DSS y sus requisitos 4 Conclusiones 5
  9. 9. Información existente en las tarjetas 9
  10. 10. Campos de la pista 110
  11. 11. Restricciones sobre el almacenamiento y requisito de proteger y cifrar (req. 3.4) 11
  12. 12. ¿A quiénes afecta PCI DSS? PCI DSS afecta a todo aquel que almacene, procese y/o transmitadatos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad. 12
  13. 13. Entorno afectado por PCI DSS• Los requisitos de las PCI DSS aplican a todos los componentes del sistema.• Entendemos por “componente” como cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que esté conectado a éste.• El entorno de los datos de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación. Sin una adecuada segmentación de red, todos los elementos conectados a los componentes donde se procesen, transmitan o almacenen datos de tarjeta, estarían afectados por PCI DSS. 13
  14. 14. Esquema básico de funcionamiento Actores en el proceso de pago PROVEEDOR Open Network Discover Network JCB Network BankNet VisaNetPROVEEDOR ADQUIRIENTE (Merchant Bank) CARD NETWORK COMERCIO PROVEEDOR CLIENTE EMISOR 14
  15. 15. Comercios Niveles establecidos y requisitos• Los requisitos y mecanismos de reporte para comercios afectados por PCI DSS varían según la marca de tarjeta.• Niveles establecidos por VISA y Mastercard: COMERCIOS: Resumen de condiciones y niveles Obligaciones • Si procesan más de seis millones de transacciones anuales, • Auditoría anual por un QSA. con independencia del canal. • Escaneo de red trimestral con 1 • Si se hubiera comprometido la información de tarjetas. un ASV. • Si fuera considerado de nivel 1 por cualquier miembro de PCI. • Si procesan entre uno y seis millones de transacciones • Cuestionario de autoevaluación 2 anuales, con independencia del canal. anual (SAQ). • Si procesan entre 20.000 y un millón de transacciones • Escaneo de red trimestral con 3 anuales a través de Internet. un ASV. 4 • El resto* * En el caso de Visa, los requisitos indicados para el nivel 4 son sólo recomendaciones 15
  16. 16. Proveedores de servicio Niveles establecidos y requisitos• Los requisitos y mecanismos de reporte para proveedores de servicio afectados por PCI DSS varían según la marca de tarjeta.• Niveles establecidos por VISA y Mastercard: PROVEEDORES DE SERVICIOS: Resumen de condiciones y niveles Obligaciones • Si almacenan, procesan o transmiten más de • Auditoría anual por un QSA. 1 300.000 transacciones anuales, con independencia • Escaneo trimestral con un ASV. del canal. * • Si almacenan, procesan o transmiten menos de • Cuestionario de autoevaluación anual 300.000 transacciones anuales, con independencia (SAQ). 2 del canal. • Escaneo de red trimestral (con un ASV en el caso de Visa). * Mastercard: Los TPP (Third Party Processors) siempre nivel 1 16
  17. 17. Elegir el cuestionario de autoevaluación aplicable (SAQ)https://www.pcisecuritystandards.org/pdfs/instructions_guidelines_v1-1.pdf 17
  18. 18. Selección del cuestionario de autoevaluación (SAQ)• Según la naturaleza del negocio, las entidades deben responder a uno u otro cuestionario SAQ (Self Assessment Questionnaire): SAQ Descripción Requisitos PCI DSS A Comerciantes con tarjetas ausentes (comercio electrónico, pedido 13 preguntas por correo o pedido por teléfono); todas las funciones que (req. 9, 12) impliquen el manejo de tarjetas externalizadas. Nunca aplicable a comerciantes cara a cara. B Comerciantes que usan solamente máquinas impresoras, sin 29 preguntas almacenamiento electrónico de tarjetas, o comerciantes que (req. 3, 4, 7, 9, 12) tienen terminales independientes con discado externo y no almacena electrónicamente datos de los titulares de tarjetas. C-VT Comerciantes que tienen terminales independientes con discado 51 preguntas externo y no almacenan electrónicamente datos de tarjetas. (req. 1,2, 3, 4, 6, 7, 9, 12) C Comerciantes con sistemas de aplicaciones de pago conectados a 40 preguntas Internet, sin almacenamiento electrónico de tarjetas. (req. 1,2, 3, 4, 6, 7, 8, 9, 11, 12) D Todos los demás comerciantes, no incluidos en las descripciones 288 preguntas correspondientes a las versiones de A a C; y todos los proveedores (todos los req.) de servicio definidos por una marca de pago como elegibles para completar un SAQ. 18
  19. 19. Entidades financieras • Al igual que comercios y proveedores de servicios, tienen que proteger el entorno donde almacenen, procesen o transmitan datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad.• Pero además, pueden ser ENTIDADES ADQUIRIENTES, siendo como tal responsables del cumplimiento de los comercios y proveedores, por lo que deben: • Garantizar que los comercios entienden los requerimientos de PCI DSS. • Realizar un seguimiento del cumplimiento en cada comercio. • Gestionar las comunicaciones con los comercios. • Trabajar con los comercios hasta que consigan la validación de PCI DSS. • Informar del estado de cumplimiento de los comercios a las marcas de tarjetas.• Responder ante responsabilidades que resulten del no cumplimiento de los programas de las marcas de tarjetas. Fuentes: http://www.mastercard.com/us/company/en/whatwedo/sdp_acquirers.html http://www.visaeurope.es/es/visa_para_comercios/seguridad_de_la_informacion.aspx http://usa.visa.com/merchants/risk_management/cisp_merchants.html 19
  20. 20. ÍNDICE PCI – Origen y conceptos principales 1 Aplicabilidad de PCI DSS y principales actores 2 Certificaciones relacionadas con PCI 3 La norma PCI DSS y sus requisitos 4 Conclusiones 5
  21. 21. Certificaciones de empresas emitidas por PCI SSCDatos de 13 de abril 2011Título Objetivo TotalQSA - Evalúan cumplimiento PCI DSS. 267Qualified Security AssessorASV - Realizan los análisis de vulnerabilidades de los sistemas. 153Approved Scanning VendorsPA-QSA - Evalúan el cumplimiento de PCI PA-DSS. 62Payment Application QualifiedSecurity AssessorISA - Permite a las entidades afectadas por PCI DSS participar -Internal Security Assessors en un programa de formación, mejorando así su entendimiento de PCI DSS, facilitar la interacción con los QSA y formarse para la realización de los SAQ.PFI - Habilitados para investigar incidentes de seguridad. 11PCI Forensic InvestigatorFuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php 21
  22. 22. Certificaciones de productos Objetivo Descripción Aplicaciones Aplicaciones validadas por un PA-QSA que cumplen los requisitos de PA- DSS. Información incluida: Total 785 • Versión de PA-DSS respecto a la que están validadas. • Versión, tipo, mercado objetivo • Fecha de revalidación. • Fecha de expiración. • PA-QSA que lo valida. Dispositivos Dispositivos de pago validados por PCI SSC. • Tipo de producto Total 421 • Fecha de expiración • Otros: PIN Support, Key Management, Prompt Control, PIN Entry Technology…Fuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php 22
  23. 23. Proveedores de servicios• Las marcas de tarjetas mantienen actualizada una lista de proveedores de servicios que cumplen con PCI DSS (sólo aparecen los Level 1).• El cumplimiento de PCI DSS por parte de los proveedores deben validarlo y reportarlo las empresas QSA.• Enlaces VISA y MASTERCARD: www.visaeurope.com/en/businesses__retailers/payment_security/service_providers.aspx www.mastercard.com/us/sdp/serviceproviders/compliant_serviceprovider.html 23
  24. 24. ÍNDICE PCI – Origen y conceptos principales 1 Aplicabilidad de PCI DSS y principales actores 2 Certificaciones relacionadas con PCI 3 La norma PCI DSS y sus requisitos 4 Conclusiones 5
  25. 25. Organización del estándar Muestra los procesos que el asesor debe seguir a los efectos de validar que los requisitos de las PCI DSS se implementaron.25
  26. 26. Requisitos de PCI DSS v2.0Desarrollar y mantener 1. Instale y mantenga una configuración de firewalls para proteger los datos de losuna red segura. titulares de las tarjetas. 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores.Proteger los datos del 3. Proteja los datos del titular de la tarjeta que fueron almacenados.titular de la tarjeta. 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.Mantener un programa de 5. Utilice y actualice regularmente el software o los programas antivirus.administración de 6. Desarrolle y mantenga sistemas y aplicaciones seguras.vulnerabilidad.Implementar medidas 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de sabersólidas de control de del negocio.acceso. 8. Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9. Restringir el acceso físico a los datos del titular de la tarjeta.Supervisar y evaluar las 10. Rastree y supervise todos los accesos a losredes con regularidad. recursos de red y a los datos de los titulares de las tarjetas. 11. Pruebe con regularidad los sistemas y procesos de seguridad.Mantener una política de 12. Mantenga una política que aborde laseguridad de información. seguridad de la información para todo el personal. 26
  27. 27. Aplicación de los requisitos al entorno PCI1. Cortafuegos (control del tráfico, DMZ, aislamiento). Red de usuarios2. Fortificación sistemas (segregación, cifrado accesos administrativos).3. Protección datos almacenados (cifrado/ofuscación PAN, gestión claves). Red interna4. Transmisión cifrada de datos en redes públicas e inalámbricas. Acceso WIFI5. Antivirus.6. Aplicaciones seguras (desarrollo y parcheado).7. Control de acceso (gestión de usuarios y privilegios).8. Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas). 10. Monitorización accesos / pistas de auditoría9. Control de acceso físico (ID, (protección registros, revisión). cámaras, registro, soportes). 11. Detección puntos inalámbricos, análisis vulnerabilidades, pruebas penetración de red y aplicación, IDS/IPS, software integridad archivos críticos. 12. Políticas, procedimientos de seguridad, gestión de riesgos, concienciación, gestión de proveedores, contratos, gestión incidentes. 27
  28. 28. ÍNDICE PCI – Origen y conceptos principales 1 Aplicabilidad de PCI DSS y principales actores 2 Certificaciones relacionadas con PCI 3 La norma PCI DSS y sus requisitos 4 Conclusiones 5
  29. 29. Errores comunes en la adecuación a PCI DSS• No identificar todos los flujos de datos de tarjeta.• No tener un inventario completo de todos los sistemas y localizaciones afectadas por PCI.• No identificar todas las conexiones de red con el entorno afectado.• Tener una inadecuada segmentación de la red.• Falta de apoyo de la Dirección (y presupuesto).• Olvidar que PCI DSS es un proceso continuo. 29
  30. 30. ¿Por qué cumplir con PCI DSS?• Mantener e incrementar la confianza de los clientes (control del riesgo de pérdida de imagen).• Facilita el cumplimiento con la legislación, estándares o requerimientos de seguridad y privacidad.• La asociación de entidades que apoyan PCI, así como las entidades adquirientes, puede imponer pagos, sanciones o incrementos de tarifas por incumplimiento de PCI, o peor aún, rescindir el servicio de utilización de las tarjetas.• Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito, costes de investigación en caso de incidente, costes legales, etc… 30
  31. 31. Resumen• PCI SSC es el consorcio formado por• Definen los estándares: PCI DSS afecta a toda entidad que almacene/procese/transmita datos de titulares de tarjetas.• Algunas de las actividades requeridas: – Auditoría cumplimiento PCI DSS. – Desarrollo políticas y procedimientos. – Hacking cuatrimestral/anual. Comercios Todo comercio que acepte – Segmentación de red. pagos con tarjeta, WEB o presencialmente. – Gestión de accesos. – Seguridad perimetral. Instituciones Emisores de tarjetas (Issuer) – Soluciones de financieras o adquirientes (acquirer), entiedades que procesan las cifrado, monitorización, autenticación,…. transacciones en – Seguridad física. representación de otros.• Razones para cumplir: – Confianza de los clientes y mejora en seguridad. Empresas de Proveedores de servicio, – Protección ante responsabilidades vinculadas al mal servicios siempre y cuando almacenen, transmitan o procesen datos uso de información de tarjetas, costes de de titulares. investigación en caso de incidente, legales, etc. – Sanciones o pagos por parte de las marcas. – Rescisión del servicio de utilización de tarjetas. 31
  32. 32. Grupo SIA. La compañía• Multinacional española con más de 20 años de experiencia.• Oficinas en Madrid, Barcelona, Lisboa y Oporto.• Volumen de negocio de 60M€ y 500 empleados.• Modelo de negocio basado en la especialización y el compromiso de servicio al cliente.• Acuerdos estratégicos con líderes tecnológicos.• Orientación a calidad, con varias certificaciones.
  33. 33. Nuestro foco Generación de Valor como Objetivo, Consultoría Integración Servicios gestionados VALOR Seguridad Almacenamiento Gestión de TI Movilidad… Sinergia como Cultura de Trabajo
  34. 34. Muchas gracias

×