SlideShare una empresa de Scribd logo

PCI DSS - Payment Card Industry Data Security Standard

A
Alvaro Machaca Tola

Este documento explica el estándar PCI DSS para la seguridad de datos de tarjetas de pago. Describe los principales actores en los pagos con tarjeta, los 12 requisitos de PCI DSS, y cómo la seguridad debe integrarse en todo el ciclo de vida del desarrollo de software para cumplir con el estándar. El objetivo final es definir medidas para proteger la infraestructura que maneja datos de tarjetas de pago.

Tecnología
1 de 23
Descargar para leer sin conexión
PCI DSS Payment Card Industry Data Security Standard
Contenido 1. Explicar los principales conceptos sobre PCI DSS. 2. Identificar a los principales actores que intervienen en los procesos de pago con tarjetas y explicar las funciones y obligaciones de cada uno de ellos. 3. Los 12 Requisitos de PCI DSS. 4. PCI DSS y el Proceso Continuo. 5. PCI DSS y el Ciclo deVida de Desarrollo de Software. 6. Resumen.
1. Principales Conceptos sobre PCI DSS  PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la Industria deTarjeta de Pago, formado en 2006 por las principales compañías emisoras de tarjetas de crédito:  PCI DSS es un Estándar de seguridad que aplica a todas las entidades que participan en los procesos de las tarjetas de pago compuesto por 6 objetivos de control y 12 requisitos para Gestionar la Seguridad. “El objetivo es definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de pago”
2. Actores que intervienen en los procesos de pago con tarjetas y sus funciones  Adquirientes: (Entidades financieras), son las entidades con las que tiene relación el comercio en el que hacemos el pago de algún bien o servicio.  Emisores: (Entidades financieras), son las entidades con las que se ha emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos el importe de la compra realizada en nuestra cuenta.  Comercios: (super/hipermercados, e-commerce, agencias de viaje, etc.), es la entidad a la que le pagamos algún tipo de bien o servicio por medio de nuestra tarjeta de crédito o débito.  Procesadores de Pago: son entidades que prestan servicios de autorización de pago y su posterior regularización, facilitando el intercambio de información entre el adquiriente y el emisor.
Información existente en las tarjetas
Aplicación de los Requisitos de PCI DSS Los requisitos de PCI DSS aplican a todos los componentes del sistema. Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que esté conectado a éste. El entorno de los datos de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación.
3. Los 12 requisitos de PCI DSS
Aplicación de los requisitos al entorno PCI DSS Cortafuegos (control de tráfico, DMZ, aislamiento). Hardening de sistemas (modificar configuraciones por defecto de fábrica, segregación de servicios). Protección de datos almacenados (cifrado/ofuscación del PAN, gestión de claves). Transmisión cifrada de datos en redes públicas e inalámbricas. Antivirus yAntimalware. Aplicaciones seguras (desarrollo seguro e implementar la seguridad en todo el ciclo de vida, actualización de componentes).
Control de acceso (gestión de usuarios y privilegios). Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas). Control de acceso físico (ID, cámaras, registros o bitácoras). Monitorización accesos/pistas de auditoría (registros, revisiones). Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas de penetración de red y aplicaciones, IDS/IPS, software integridad de archivos críticos. Políticas, procedimientos de seguridad, gestión de riesgos, concientización, gestión de proveedores, contratos, gestión de incidentes. Aplicación de los requisitos al entorno PCI DSS
4. PCI DSS y el Proceso Continuo (PDCA) • Monitorear eventos • Revisar la Política de Seguridad y Riesgos • Realizar Auditorias • Ejecutar Escaneos ASV • Acciones para corregir el NO Cumplimiento • Prevenir Incidentes. • Reducción del Entorno • Implementación de Controles • Formación y Divulgación • Validación del Cumplimiento • Identificar el Entorno • Identificar Datos Sensibles • Análisis GAP • Plan de Acción Planificar (PLAN) Implementar (DO) Revisar (CHECK) Actuar (ACT)
5. PCI DSS y el Ciclo de Vida de Desarrollo de Software  Uno de los recursos mas importantes que se debe asegurar son las aplicaciones, ya que los atacantes no crean agujeros de seguridad, solo las explotan.  Las causas de los problemas de seguridad en aplicaciones son el resultado de un mal diseño y una mala implementación.  Si una aplicación no está desarrollada adecuadamente, seguirán existiendo problemas de:  Fiabilidad  Disponibilidad  Criticidad  Seguridad
Ciclo de Vida de Desarrollo Definición y Diseño Desarrollo Despliegue Mantenimie nto y Operación  A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios.  La Seguridad debe estar presente en todo el Ciclo deVida de Desarrollo SEGURIDAD
 Ámbito de actuación:  Identificación de las áreas de seguridad de la aplicación.  Consideraciones de seguridad en el diseño.  Requisitos funcionales de seguridad.  Aspecto a tener en cuenta:  Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc.  Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc.  Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc. Definición y Diseño
 En esta fase aparecen un mayor número de fallos de seguridad.  Para realizar una codificación segura es necesario conocer las amenazas con las que nos podemos encontrar y las buenas prácticas para minimizarlas:  Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc.  Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc. Desarrollo
 En esta fase la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante la comprobación de requisitos, análisis del diseño, revisión del código, etc.  Se debe tomar en cuenta lo siguiente:  Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de un posible ataque, detectando vulnerabilidades que no hayan sido contempladas anteriormente.  Comprobación de la Gestión de Configuraciones: Es necesario verificar como se han implementado y asegurado los distintos componentes de la infraestructura. Despliegue
 Luego de la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido.  Se debe tomar en cuenta lo siguiente:  Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deben realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.  Asegurar laVerificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado el nivel de seguridad de la aplicación y la infraestructura. Mantenimiento y Operación
PCI DSS y el Ciclo de Vida de Desarrollo  Instalación y Mantenimiento de Sistemas de Información  Securización de sistemas de información. (Req.6.1)  Protección de los datos y las comunicaciones  Identificación y eliminación de datos sensibles (CVV2, Pistas,…). (Req.3)  Protección de bases de datos mediante cifrado. (Req.3)  Seguridad en el Ciclo deVida del Desarrollo de Software  Auditoría de aplicación, Revisión de código, Guía de buenas prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)
PCI DSS y el Ciclo de Vida de Desarrollo  Control deAcceso  Control deAcceso al Sistema Operativo, Red, Bases de Datos y Aplicaciones. (Req.7 y 8)  Revisión yTest de intrusión  Test de intrusión interno y externo (escanear las aplicaciones). (Req.11)
Restricciones sobre el almacenamiento y requisitos de proteger y cifrar
OWASP y su aporte a PCI DSS  OWASP es un proyecto abierto de seguridad de aplicaciones web, dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Está formada por empresas, organizaciones educativas y particulares de todo el mundo.  En PCI DSS se nombra a OWASP en el cumplimiento del requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores prácticas de codificación segura”.  Recursos de OWASP:  Owasp Development Guide  OWASPTop 10  OWASPTesting Guide  OWASP Code Review Guide  OWASP ZAP
6. Resumen  PCI DSS debe cumplirse  Si se procesa, almacena o transmite datos de tarjetas.  La implantación debe pensarse como un proceso  Definir procesos.  Asignar recursos.  Comprometer a la dirección.  Monitorizar y Revisar.  Integrar PCI DSS en la gestión de la seguridad de la compañía.  Contar con el apoyo de expertos  Asesorase con un QSA.  Realizar auditorías con empresas ASV.
Gracias

Recomendados

Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSSMarcos Harasimowicz
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuideAlienVault
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 

Recomendados

Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSSMarcos Harasimowicz
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuideAlienVault
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 
PCI DSS
PCI DSSPCI DSS
PCI DSSDuy Do Phan
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overviewsameh Abulfotooh
 
P-COM-01 (2) selección y evaluación de proveedores
P-COM-01 (2) selección y evaluación de proveedoresP-COM-01 (2) selección y evaluación de proveedores
P-COM-01 (2) selección y evaluación de proveedoresDaniel Castillo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
1. PCI Compliance Overview
1. PCI Compliance Overview1. PCI Compliance Overview
1. PCI Compliance Overviewokrantz
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxControlCase
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance ChecklistControlCase
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TAR Security
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Schellman & Company
 
Pcidss qr gv3_1
Pcidss qr gv3_1Pcidss qr gv3_1
Pcidss qr gv3_1leon bonilla
 
ISO 19011 2018.pdf
ISO 19011 2018.pdfISO 19011 2018.pdf
ISO 19011 2018.pdfKaterinElianaCcallaQ1
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
Manual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaManual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaLecy Sarahi Ramirez Reyes
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiJose Alvarado Robles
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualKimberly Simon MBA
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 

Más contenido relacionado

La actualidad más candente

P-COM-01 (2) selección y evaluación de proveedores
P-COM-01 (2) selección y evaluación de proveedoresP-COM-01 (2) selección y evaluación de proveedores
P-COM-01 (2) selección y evaluación de proveedoresDaniel Castillo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
1. PCI Compliance Overview
1. PCI Compliance Overview1. PCI Compliance Overview
1. PCI Compliance Overviewokrantz
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxControlCase
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance ChecklistControlCase
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TAR Security
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Schellman & Company
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
Manual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaManual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaLecy Sarahi Ramirez Reyes
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiJose Alvarado Robles
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 

La actualidad más candente (20)

PCI DSS
PCI DSSPCI DSS
PCI DSS
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overview
 
P-COM-01 (2) selección y evaluación de proveedores
P-COM-01 (2) selección y evaluación de proveedoresP-COM-01 (2) selección y evaluación de proveedores
P-COM-01 (2) selección y evaluación de proveedores
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
1. PCI Compliance Overview
1. PCI Compliance Overview1. PCI Compliance Overview
1. PCI Compliance Overview
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance Checklist
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1Everything You Need To Know About SOC 1
Everything You Need To Know About SOC 1
 
Pcidss qr gv3_1
Pcidss qr gv3_1Pcidss qr gv3_1
Pcidss qr gv3_1
 
ISO 19011 2018.pdf
ISO 19011 2018.pdfISO 19011 2018.pdf
ISO 19011 2018.pdf
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates
 
Manual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaManual de politicas de seguridad informatica
Manual de politicas de seguridad informatica
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas ti
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 

Destacado

PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualKimberly Simon MBA
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Comsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - WebinarComsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - WebinarAriel Ben-Harosh
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes WebinarPCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes WebinarControlCase
 
PCI DSS Essential Guide
PCI DSS Essential GuidePCI DSS Essential Guide
PCI DSS Essential GuideKim Jensen
 
Using the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancerUsing the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancerDana D. Hines, PhD
 
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinPCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinAnton Chuvakin
 
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...iFour Consultancy
 
PCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to KnowPCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to KnowAlienVault
 
Iso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in indiaIso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in indiaiFour Consultancy
 
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...iFour Consultancy
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListSriramITISConsultant
 
Continual Compliance Monitoring
Continual Compliance MonitoringContinual Compliance Monitoring
Continual Compliance MonitoringKimberly Simon MBA
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 

Destacado (19)

PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as Usual
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Comsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - WebinarComsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
PCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes WebinarPCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes Webinar
 
PCI DSS Essential Guide
PCI DSS Essential GuidePCI DSS Essential Guide
PCI DSS Essential Guide
 
Using the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancerUsing the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancer
 
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinPCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
 
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
 
PCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to KnowPCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to Know
 
Iso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in indiaIso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in india
 
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_List
 
Continual Compliance Monitoring
Continual Compliance MonitoringContinual Compliance Monitoring
Continual Compliance Monitoring
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 

Similar a PCI DSS - Payment Card Industry Data Security Standard

Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxAriadneJaen1
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxMarko Zapata
 

Similar a PCI DSS - Payment Card Industry Data Security Standard (20)

Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptx
 
Seguridad
SeguridadSeguridad
Seguridad
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoria
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsx
 

Último

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 

Último (20)

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 

PCI DSS - Payment Card Industry Data Security Standard

  • 1. PCI DSS Payment Card Industry Data Security Standard
  • 2. Contenido 1. Explicar los principales conceptos sobre PCI DSS. 2. Identificar a los principales actores que intervienen en los procesos de pago con tarjetas y explicar las funciones y obligaciones de cada uno de ellos. 3. Los 12 Requisitos de PCI DSS. 4. PCI DSS y el Proceso Continuo. 5. PCI DSS y el Ciclo deVida de Desarrollo de Software. 6. Resumen.
  • 3. 1. Principales Conceptos sobre PCI DSS  PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la Industria deTarjeta de Pago, formado en 2006 por las principales compañías emisoras de tarjetas de crédito:  PCI DSS es un Estándar de seguridad que aplica a todas las entidades que participan en los procesos de las tarjetas de pago compuesto por 6 objetivos de control y 12 requisitos para Gestionar la Seguridad. “El objetivo es definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de pago”
  • 4. 2. Actores que intervienen en los procesos de pago con tarjetas y sus funciones  Adquirientes: (Entidades financieras), son las entidades con las que tiene relación el comercio en el que hacemos el pago de algún bien o servicio.  Emisores: (Entidades financieras), son las entidades con las que se ha emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos el importe de la compra realizada en nuestra cuenta.  Comercios: (super/hipermercados, e-commerce, agencias de viaje, etc.), es la entidad a la que le pagamos algún tipo de bien o servicio por medio de nuestra tarjeta de crédito o débito.  Procesadores de Pago: son entidades que prestan servicios de autorización de pago y su posterior regularización, facilitando el intercambio de información entre el adquiriente y el emisor.
  • 5.
  • 7. Aplicación de los Requisitos de PCI DSS Los requisitos de PCI DSS aplican a todos los componentes del sistema. Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que esté conectado a éste. El entorno de los datos de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación.
  • 8. 3. Los 12 requisitos de PCI DSS
  • 9. Aplicación de los requisitos al entorno PCI DSS Cortafuegos (control de tráfico, DMZ, aislamiento). Hardening de sistemas (modificar configuraciones por defecto de fábrica, segregación de servicios). Protección de datos almacenados (cifrado/ofuscación del PAN, gestión de claves). Transmisión cifrada de datos en redes públicas e inalámbricas. Antivirus yAntimalware. Aplicaciones seguras (desarrollo seguro e implementar la seguridad en todo el ciclo de vida, actualización de componentes).
  • 10. Control de acceso (gestión de usuarios y privilegios). Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas). Control de acceso físico (ID, cámaras, registros o bitácoras). Monitorización accesos/pistas de auditoría (registros, revisiones). Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas de penetración de red y aplicaciones, IDS/IPS, software integridad de archivos críticos. Políticas, procedimientos de seguridad, gestión de riesgos, concientización, gestión de proveedores, contratos, gestión de incidentes. Aplicación de los requisitos al entorno PCI DSS
  • 11. 4. PCI DSS y el Proceso Continuo (PDCA) • Monitorear eventos • Revisar la Política de Seguridad y Riesgos • Realizar Auditorias • Ejecutar Escaneos ASV • Acciones para corregir el NO Cumplimiento • Prevenir Incidentes. • Reducción del Entorno • Implementación de Controles • Formación y Divulgación • Validación del Cumplimiento • Identificar el Entorno • Identificar Datos Sensibles • Análisis GAP • Plan de Acción Planificar (PLAN) Implementar (DO) Revisar (CHECK) Actuar (ACT)
  • 12. 5. PCI DSS y el Ciclo de Vida de Desarrollo de Software  Uno de los recursos mas importantes que se debe asegurar son las aplicaciones, ya que los atacantes no crean agujeros de seguridad, solo las explotan.  Las causas de los problemas de seguridad en aplicaciones son el resultado de un mal diseño y una mala implementación.  Si una aplicación no está desarrollada adecuadamente, seguirán existiendo problemas de:  Fiabilidad  Disponibilidad  Criticidad  Seguridad
  • 13. Ciclo de Vida de Desarrollo Definición y Diseño Desarrollo Despliegue Mantenimie nto y Operación  A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios.  La Seguridad debe estar presente en todo el Ciclo deVida de Desarrollo SEGURIDAD
  • 14.  Ámbito de actuación:  Identificación de las áreas de seguridad de la aplicación.  Consideraciones de seguridad en el diseño.  Requisitos funcionales de seguridad.  Aspecto a tener en cuenta:  Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc.  Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc.  Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc. Definición y Diseño
  • 15.  En esta fase aparecen un mayor número de fallos de seguridad.  Para realizar una codificación segura es necesario conocer las amenazas con las que nos podemos encontrar y las buenas prácticas para minimizarlas:  Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc.  Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc. Desarrollo
  • 16.  En esta fase la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante la comprobación de requisitos, análisis del diseño, revisión del código, etc.  Se debe tomar en cuenta lo siguiente:  Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de un posible ataque, detectando vulnerabilidades que no hayan sido contempladas anteriormente.  Comprobación de la Gestión de Configuraciones: Es necesario verificar como se han implementado y asegurado los distintos componentes de la infraestructura. Despliegue
  • 17.  Luego de la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido.  Se debe tomar en cuenta lo siguiente:  Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deben realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.  Asegurar laVerificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado el nivel de seguridad de la aplicación y la infraestructura. Mantenimiento y Operación
  • 18. PCI DSS y el Ciclo de Vida de Desarrollo  Instalación y Mantenimiento de Sistemas de Información  Securización de sistemas de información. (Req.6.1)  Protección de los datos y las comunicaciones  Identificación y eliminación de datos sensibles (CVV2, Pistas,…). (Req.3)  Protección de bases de datos mediante cifrado. (Req.3)  Seguridad en el Ciclo deVida del Desarrollo de Software  Auditoría de aplicación, Revisión de código, Guía de buenas prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)
  • 19. PCI DSS y el Ciclo de Vida de Desarrollo  Control deAcceso  Control deAcceso al Sistema Operativo, Red, Bases de Datos y Aplicaciones. (Req.7 y 8)  Revisión yTest de intrusión  Test de intrusión interno y externo (escanear las aplicaciones). (Req.11)
  • 20. Restricciones sobre el almacenamiento y requisitos de proteger y cifrar
  • 21. OWASP y su aporte a PCI DSS  OWASP es un proyecto abierto de seguridad de aplicaciones web, dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Está formada por empresas, organizaciones educativas y particulares de todo el mundo.  En PCI DSS se nombra a OWASP en el cumplimiento del requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores prácticas de codificación segura”.  Recursos de OWASP:  Owasp Development Guide  OWASPTop 10  OWASPTesting Guide  OWASP Code Review Guide  OWASP ZAP
  • 22. 6. Resumen  PCI DSS debe cumplirse  Si se procesa, almacena o transmite datos de tarjetas.  La implantación debe pensarse como un proceso  Definir procesos.  Asignar recursos.  Comprometer a la dirección.  Monitorizar y Revisar.  Integrar PCI DSS en la gestión de la seguridad de la compañía.  Contar con el apoyo de expertos  Asesorase con un QSA.  Realizar auditorías con empresas ASV.