SlideShare una empresa de Scribd logo

Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI

Internet Security Auditors
Internet Security Auditors

Este documento presenta información sobre los cambios recientes en las normas PCI y los requisitos de cumplimiento. Cubre actualizaciones a PCI DSS y PA-DSS, así como los diferentes tipos de autoformularios SAQ que las empresas pueden usar para demostrar el cumplimiento. También incluye una agenda con temas como los retos de seguridad en pagos, el ecosistema PCI SSC y recursos útiles relacionados con PCI.

Internet
1 de 22
Descargar para leer sin conexión
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI David A. González Lewis PCI QSA, PA-QSA, CISM, PCIP dagonzalez@isecauditors.com
La CCCE asume el compromiso de regir sus actuaciones y decisiones empresariales de conformidad con la ley colombiana y normas nacionales de competencia, y estatutos & reglamentos internos; en todo momento la libre participación de las empresas en el mercado, el bienestar de los consumidores y la eficiencia económica. Las conclusiones y recomendaciones realizadas en los espacios de formación, capacitación y talleres por los conferencistas, así como en los contenidos expuestos por la CCCE, directa o indirectamente, (nuestros portales, redes sociales y en general medios digitales o tradicionales) son de carácter informativo sin comprometer a ninguno de los afiliados o en general al público con su aplicación. Nota Legal
Agenda 1. Retos a medios de pago y sus Amenazas. 2. Ecosistema del PCI SSC 3. Principales Cambios en las nuevas versiones. • Cambios en PCI DSS. • Cambios en PA-DSS. 4. Requerimientos de validación y reporte del cumplimiento. 5. Autoformularios SAQ. 6. Recursos de Interés PCI SSC.
Nuevos Retos Métodos de Pago  Gateway  Payment Back Office  Payment Gateway/Switch  Payment Middleware  Payment Switching  POS Admin  POS Face to Face  POS General  POS Kiosk  POS Specialized  POS SUite  Shopping Cart & Store  Front • Existen miles de aplicaciones en diferentes lenguajes conviviendo. • Los datos necesitan protección y está depende de la seguridad de cada una de esas aplicaciones. • Las plataformas avanzan rápidamente.
Amenazas • Fraudes. • Malware. • Seguridad en sus aplicaciones (OWASP TOP 10). • Robo de Información. • Errores humanos: • Malas configuraciones. • Empleados mal entrenados o descontentos. Consecuencias: • Pérdida de confianza de los clientes. • Notificación de brechas (regulaciones en algunos países lo exigen). • Multas, sanciones. • Impacto en la reputación corporativa.
Ecosistema PCI SSC PCI DSS PA-DSS PCI PTS POI - HSM PCI Card Production P2PE PCI PTS PIN SECURITY
Principales Cambios en las Normas • Aclaraciones: Explicaciones de la intención de los requerimientos. • Guías Adicionales: Explicaciones, definiciones o instrucciones que aumentan el entendimiento de la norma. • Requerimientos que evolucionan: Cambios a la norma que aseguran que el estar está actualizado a las nuevas amenazas y cambios en el mercado. PA DSS Card Production PCI DSS
Cambios PCI DSS Requerimiento Descripción 2.2.3 Se remueve la nota y procedimientos de prueba sobre implementaciones de SSL e implementaciones tempranas de TLS. 3.3 Cualquier muestra del PAN con más de 6 primeros y 4 últimos debe llevar legitima necesidad de conocer. 3.5.1 Se debe tener documentada la descripción de la arquitectura de cifrado. 6.4.6 En un cambio se debe validar que no se está impactando el cumplimiento PCI DSS. 8.3 Se requiere multo-factor de autenticación para accesos administrativos que no sean por consola. 10.8 Se debe tener monitoreo y alerta de fallas en componentes que proveen seguridad. 11.3.4.1 Realizar pruebas de penetración cada 6 meses de la segmentación. 12.4 Establecer procedimiento y asignar responsabilidades sobre el cumplimiento de PCI DSS. 12.11 Trimestralmente se debe asegurar que el personal sigue las políticas de seguridad y los procedimientos operacionales. Apéndice A2 Consideraciones sobre Implementaciones de SSL y TLS.
Cambios PCI DSS – Anexo A2 • Cubre los requerimientos 2.2.3, 2.3, 4.1. • Nuevas implementaciones solo se acepta TLS 1.2 • Después de Junio 30 de 2018 no se aceptan implementaciones inseguras. • Implementaciones anteriores a Junio 30 de 2018 deben contar con un plan de mitigación. • En POS POI (y terminaciones a las que se conectan) que se confirme que no son susceptibles a ser vulnerados, pueden no migrar.
Cambios en PA-DSS Requerimiento Descripción 2.2 Cualquier muestra del PAN con más de 6 primeros y 4 últimos debe llevar legitima necesidad de conocer. 2.2.3 Logs de depuración que contengan PAN deben ser protegidos y borrados de forma segura. 5.1.7 La capacitación de desarrollo seguro debe estar actualizada y realizarse anualmente. 7.2.3 Instrucciones de como instalar los parches y actualizaciones de forma segura. 8.3 y 10.1 Se requiere multi-factor de autenticación para accesos administrativos que no sean por consola.
Requerimientos de Validación y Cumplimiento Comercios Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 6 Millones de transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 De 1 a 6 Millones Llenado SAQ. Escaneos trimestrales ASV, AOC. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV.
Requerimientos de Validación y Cumplimiento Comercios Nivel / Marca Visa MasterCard American Express Discover 3 De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. Menos de 50 mil. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 millón. Llenado SAQ. Escaneos trimestrales ASV. 4 Menos de 20 Mil. Llenado SAQ. Escaneos trimestrales ASV. Los demás comercios. Llenado SAQ. Escaneos trimestrales ASV. N/A. Los demás comercios. Llenado SAQ.
Requerimientos de Validación y Cumplimiento Proveedores de Servicio Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 300 mil transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 300 mil de transacciones. Comprometidos en alguna brecha. Cualquier TPP. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 300 mil transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV, AOC. Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. Menos de 300 mil transacciones. Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación.
Autoformularios SAQ • No todos los Comercios o Proveedores son iguales • Diferentes arquitecturas • Servicios que se proveen • Complejidad en estructura • Relaciones con terceros • Un SAQ es un subconjunto de controles de PCI DSS aplicados a un escenario específico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento mediante una auto-evaluación de los mismos y una confirmación que dicho trabajo se ha realizado siguiendo las indicaciones del PCI SSC.
Autoformularios - SAQ Errores Comunes en su diligenciado: • Tratarlo como un simple tramite. • Considerar que un SAQ evita una multa. • Rellenar el SAQ como sin realizar las validaciones. • SAQ rellenado por alguien sin conocimientos pertinentes.
Tipos de SAQ´s Autoformulario Descripción SAQ A Comercios que aceptan transacciones con tarjeta no presente (ecommerce) y que han tercerizado las funciones de tarjetas SAQ A – EP Comercios electrónicos que en su portal no reciben datos de tarjeta pero pueden afectar la seguridad. SAQ B Comercios que solo reciben transacciones por medio de “imprinter” o terminales independientes. SAQ B – IP Comercios que reciben pagos con POI aprobados por PCI PTS y conexión IP a un procesador de pagos. SAQ C Comercios que sus aplicaciones de pago se conectan a internet pero no almacenan datos de tarjetas. SAQ C – VT Comercios quienes procesan datos de tarjetas de pago únicamente a través de una terminal de pago virtual aislada en un ordenador personal conectado a Internet. SAQ D Comercios: Todos los comercios que no encajan en los anteriores SAQs. Proveedores de Servicio: Todos los proveedores de servicio que por clasificación deban llenar SAQ. SAQ P2PE – HW Comercios que están empleando terminales de pago de hardware incluidas y gestionadas por un proveedor certificado P2PE, sin almacenamiento electrónico de datos de tarjetas de pago.
Autoformularios SAQ • Ayuda a demostrar el cumplimiento a terceros. (No son Nivel 1). • Al firmar se declara cumplimiento, se es responsable en caso de incidencia. • Si es firmado y Validado por QSA tiene la misma validez de un ROC. • La nueva versión de los SAQ es obligatoria a partir del 1 de Octubre de 2017.
Recursos de Interés PCI SSC • Guía para definir el alcance – Diciembre 2016 • Migrar de SSL a TLS – Mayo 2016 • Guía para pruebas de Penetración – Marzo 2015 • Guía de Tokenización - Agosto 2011 • Guía sobre Ransomwere – Enero 2017 • Guía de Autenticación Multi – Factor – Febrero 2017 • Mejores prácticas para asegurar e-Commerce – Enero 2017
Conclusiones • Se debe tener bien definido la clasificación de el comercio/proveedor de servicio. • El diligenciamiento de el autoformulario debe ser una tarea a conciencia y soportada con evidencias. • Los cambios en la norma (aunque pocos) requieren de un profundo análisis y dedicación. • Un incorrecto proceso de Adecuación y Certificación al cumplir con PCI DSS genera riesgos en el caso de un compromiso o la identificación de un cumplimiento inadecuado.
www.isecauditors.com Gracias
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI

Recomendados

Proactiva net v8.8 - xpertis
Proactiva net v8.8 - xpertisProactiva net v8.8 - xpertis
Proactiva net v8.8 - xpertisJuan Carlos Barahona
 
Gestión Cooperativas
Gestión Cooperativas Gestión Cooperativas
Gestión Cooperativas Desarrollos Tecnologicos SA
 
Evidencia019
Evidencia019Evidencia019
Evidencia019marcelasena1
 
EastNets en.SafeWatch Profiling in Spanish - Brochure
EastNets en.SafeWatch Profiling in Spanish - BrochureEastNets en.SafeWatch Profiling in Spanish - Brochure
EastNets en.SafeWatch Profiling in Spanish - BrochureEastNets
 
Folleto proactiva net_cv_team
Folleto proactiva net_cv_teamFolleto proactiva net_cv_team
Folleto proactiva net_cv_teamSIIGroup_CVTeamchile
 
Evidencia052
Evidencia052Evidencia052
Evidencia052marcelasena1
 
Nezter Solutions v4.7.1
Nezter Solutions v4.7.1Nezter Solutions v4.7.1
Nezter Solutions v4.7.1Pedro Villagran-Garcia MBA
 
OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).
OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).
OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).Arnaldo Joel Belisario Peña
 

Recomendados

Proactiva net v8.8 - xpertis
Proactiva net v8.8 - xpertisProactiva net v8.8 - xpertis
Proactiva net v8.8 - xpertisJuan Carlos Barahona
 
Gestión Cooperativas
Gestión Cooperativas Gestión Cooperativas
Gestión Cooperativas Desarrollos Tecnologicos SA
 
Evidencia019
Evidencia019Evidencia019
Evidencia019marcelasena1
 
EastNets en.SafeWatch Profiling in Spanish - Brochure
EastNets en.SafeWatch Profiling in Spanish - BrochureEastNets en.SafeWatch Profiling in Spanish - Brochure
EastNets en.SafeWatch Profiling in Spanish - BrochureEastNets
 
Folleto proactiva net_cv_team
Folleto proactiva net_cv_teamFolleto proactiva net_cv_team
Folleto proactiva net_cv_teamSIIGroup_CVTeamchile
 
Evidencia052
Evidencia052Evidencia052
Evidencia052marcelasena1
 
Nezter Solutions v4.7.1
Nezter Solutions v4.7.1Nezter Solutions v4.7.1
Nezter Solutions v4.7.1Pedro Villagran-Garcia MBA
 
OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).
OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).
OFERTA DE VALOR EXPLORACIÒN Y PRODUCCION (E&P).Arnaldo Joel Belisario Peña
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSSMarcos Harasimowicz
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 
Curso SIGA
Curso SIGACurso SIGA
Curso SIGARC Consulting
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 

Más contenido relacionado

Destacado

Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 

Destacado (13)

Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 

Similar a Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI

Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Plantilla vision final fundamentos software
Plantilla vision final fundamentos softwarePlantilla vision final fundamentos software
Plantilla vision final fundamentos softwareRoberto Cortez Tapia
 
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges SpanishAnti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges Spanishdrishtipuro1234
 
Plataforma De Operaciones
Plataforma De OperacionesPlataforma De Operaciones
Plataforma De Operacionesinloac
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
diapositivas de aufditoria-1 GENERAL.pptx
diapositivas de aufditoria-1 GENERAL.pptxdiapositivas de aufditoria-1 GENERAL.pptx
diapositivas de aufditoria-1 GENERAL.pptxDANYBUITRONVILCAPOMA
 
Lagertha – Plataforma Bancaria (Orwell Group)
Lagertha – Plataforma Bancaria (Orwell Group)Lagertha – Plataforma Bancaria (Orwell Group)
Lagertha – Plataforma Bancaria (Orwell Group)MariaDB plc
 

Similar a Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI (20)

PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Curso SIGA
Curso SIGACurso SIGA
Curso SIGA
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
Plantilla vision final fundamentos software
Plantilla vision final fundamentos softwarePlantilla vision final fundamentos software
Plantilla vision final fundamentos software
 
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges SpanishAnti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
 
SIGA Básico
SIGA BásicoSIGA Básico
SIGA Básico
 
Plataforma De Operaciones
Plataforma De OperacionesPlataforma De Operaciones
Plataforma De Operaciones
 
Curso Taller: SIGA Básico
Curso Taller: SIGA BásicoCurso Taller: SIGA Básico
Curso Taller: SIGA Básico
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
diapositivas de aufditoria-1 GENERAL.pptx
diapositivas de aufditoria-1 GENERAL.pptxdiapositivas de aufditoria-1 GENERAL.pptx
diapositivas de aufditoria-1 GENERAL.pptx
 
Lagertha – Plataforma Bancaria (Orwell Group)
Lagertha – Plataforma Bancaria (Orwell Group)Lagertha – Plataforma Bancaria (Orwell Group)
Lagertha – Plataforma Bancaria (Orwell Group)
 
Onirics
Onirics Onirics
Onirics
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 

Más de Internet Security Auditors (16)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de Datos
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application Assessments
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECO
 

Último

triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...ulisesochoa5
 
Inteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptxInteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptxJuanDiegoMeloLosada
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIAobandopaula444
 
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdfRESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdfcoordinadorprimerode
 
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11THALIAEUGENIOMAIZ
 
Módulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptxMódulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptxMiguelAngelCifuentes10
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfDanielaEspitiaHerrer
 
PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...delvalleelizabeth400
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMalejandroortizm
 
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdfDS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdfKAREN553987
 
Guía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdfGuía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdfJohn Muñoz
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxUniversidad de Bielefeld
 
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdfElegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdfanthonyramos422819
 
Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.JOSE69482
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...#LatamDigital
 

Último (15)

triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
 
Inteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptxInteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptx
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
 
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdfRESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
 
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
 
Módulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptxMódulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptx
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdf
 
PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
 
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdfDS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
 
Guía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdfGuía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdf
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptx
 
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdfElegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
 
Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
 

Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI

  • 1.
  • 2. Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI David A. González Lewis PCI QSA, PA-QSA, CISM, PCIP dagonzalez@isecauditors.com
  • 3. La CCCE asume el compromiso de regir sus actuaciones y decisiones empresariales de conformidad con la ley colombiana y normas nacionales de competencia, y estatutos & reglamentos internos; en todo momento la libre participación de las empresas en el mercado, el bienestar de los consumidores y la eficiencia económica. Las conclusiones y recomendaciones realizadas en los espacios de formación, capacitación y talleres por los conferencistas, así como en los contenidos expuestos por la CCCE, directa o indirectamente, (nuestros portales, redes sociales y en general medios digitales o tradicionales) son de carácter informativo sin comprometer a ninguno de los afiliados o en general al público con su aplicación. Nota Legal
  • 4. Agenda 1. Retos a medios de pago y sus Amenazas. 2. Ecosistema del PCI SSC 3. Principales Cambios en las nuevas versiones. • Cambios en PCI DSS. • Cambios en PA-DSS. 4. Requerimientos de validación y reporte del cumplimiento. 5. Autoformularios SAQ. 6. Recursos de Interés PCI SSC.
  • 5. Nuevos Retos Métodos de Pago  Gateway  Payment Back Office  Payment Gateway/Switch  Payment Middleware  Payment Switching  POS Admin  POS Face to Face  POS General  POS Kiosk  POS Specialized  POS SUite  Shopping Cart & Store  Front • Existen miles de aplicaciones en diferentes lenguajes conviviendo. • Los datos necesitan protección y está depende de la seguridad de cada una de esas aplicaciones. • Las plataformas avanzan rápidamente.
  • 6. Amenazas • Fraudes. • Malware. • Seguridad en sus aplicaciones (OWASP TOP 10). • Robo de Información. • Errores humanos: • Malas configuraciones. • Empleados mal entrenados o descontentos. Consecuencias: • Pérdida de confianza de los clientes. • Notificación de brechas (regulaciones en algunos países lo exigen). • Multas, sanciones. • Impacto en la reputación corporativa.
  • 7. Ecosistema PCI SSC PCI DSS PA-DSS PCI PTS POI - HSM PCI Card Production P2PE PCI PTS PIN SECURITY
  • 8. Principales Cambios en las Normas • Aclaraciones: Explicaciones de la intención de los requerimientos. • Guías Adicionales: Explicaciones, definiciones o instrucciones que aumentan el entendimiento de la norma. • Requerimientos que evolucionan: Cambios a la norma que aseguran que el estar está actualizado a las nuevas amenazas y cambios en el mercado. PA DSS Card Production PCI DSS
  • 9. Cambios PCI DSS Requerimiento Descripción 2.2.3 Se remueve la nota y procedimientos de prueba sobre implementaciones de SSL e implementaciones tempranas de TLS. 3.3 Cualquier muestra del PAN con más de 6 primeros y 4 últimos debe llevar legitima necesidad de conocer. 3.5.1 Se debe tener documentada la descripción de la arquitectura de cifrado. 6.4.6 En un cambio se debe validar que no se está impactando el cumplimiento PCI DSS. 8.3 Se requiere multo-factor de autenticación para accesos administrativos que no sean por consola. 10.8 Se debe tener monitoreo y alerta de fallas en componentes que proveen seguridad. 11.3.4.1 Realizar pruebas de penetración cada 6 meses de la segmentación. 12.4 Establecer procedimiento y asignar responsabilidades sobre el cumplimiento de PCI DSS. 12.11 Trimestralmente se debe asegurar que el personal sigue las políticas de seguridad y los procedimientos operacionales. Apéndice A2 Consideraciones sobre Implementaciones de SSL y TLS.
  • 10. Cambios PCI DSS – Anexo A2 • Cubre los requerimientos 2.2.3, 2.3, 4.1. • Nuevas implementaciones solo se acepta TLS 1.2 • Después de Junio 30 de 2018 no se aceptan implementaciones inseguras. • Implementaciones anteriores a Junio 30 de 2018 deben contar con un plan de mitigación. • En POS POI (y terminaciones a las que se conectan) que se confirme que no son susceptibles a ser vulnerados, pueden no migrar.
  • 11. Cambios en PA-DSS Requerimiento Descripción 2.2 Cualquier muestra del PAN con más de 6 primeros y 4 últimos debe llevar legitima necesidad de conocer. 2.2.3 Logs de depuración que contengan PAN deben ser protegidos y borrados de forma segura. 5.1.7 La capacitación de desarrollo seguro debe estar actualizada y realizarse anualmente. 7.2.3 Instrucciones de como instalar los parches y actualizaciones de forma segura. 8.3 y 10.1 Se requiere multi-factor de autenticación para accesos administrativos que no sean por consola.
  • 12. Requerimientos de Validación y Cumplimiento Comercios Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 6 Millones de transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 De 1 a 6 Millones Llenado SAQ. Escaneos trimestrales ASV, AOC. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV.
  • 13. Requerimientos de Validación y Cumplimiento Comercios Nivel / Marca Visa MasterCard American Express Discover 3 De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. Menos de 50 mil. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 millón. Llenado SAQ. Escaneos trimestrales ASV. 4 Menos de 20 Mil. Llenado SAQ. Escaneos trimestrales ASV. Los demás comercios. Llenado SAQ. Escaneos trimestrales ASV. N/A. Los demás comercios. Llenado SAQ.
  • 14. Requerimientos de Validación y Cumplimiento Proveedores de Servicio Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 300 mil transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 300 mil de transacciones. Comprometidos en alguna brecha. Cualquier TPP. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 300 mil transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV, AOC. Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. Menos de 300 mil transacciones. Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación.
  • 15. Autoformularios SAQ • No todos los Comercios o Proveedores son iguales • Diferentes arquitecturas • Servicios que se proveen • Complejidad en estructura • Relaciones con terceros • Un SAQ es un subconjunto de controles de PCI DSS aplicados a un escenario específico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento mediante una auto-evaluación de los mismos y una confirmación que dicho trabajo se ha realizado siguiendo las indicaciones del PCI SSC.
  • 16. Autoformularios - SAQ Errores Comunes en su diligenciado: • Tratarlo como un simple tramite. • Considerar que un SAQ evita una multa. • Rellenar el SAQ como sin realizar las validaciones. • SAQ rellenado por alguien sin conocimientos pertinentes.
  • 17. Tipos de SAQ´s Autoformulario Descripción SAQ A Comercios que aceptan transacciones con tarjeta no presente (ecommerce) y que han tercerizado las funciones de tarjetas SAQ A – EP Comercios electrónicos que en su portal no reciben datos de tarjeta pero pueden afectar la seguridad. SAQ B Comercios que solo reciben transacciones por medio de “imprinter” o terminales independientes. SAQ B – IP Comercios que reciben pagos con POI aprobados por PCI PTS y conexión IP a un procesador de pagos. SAQ C Comercios que sus aplicaciones de pago se conectan a internet pero no almacenan datos de tarjetas. SAQ C – VT Comercios quienes procesan datos de tarjetas de pago únicamente a través de una terminal de pago virtual aislada en un ordenador personal conectado a Internet. SAQ D Comercios: Todos los comercios que no encajan en los anteriores SAQs. Proveedores de Servicio: Todos los proveedores de servicio que por clasificación deban llenar SAQ. SAQ P2PE – HW Comercios que están empleando terminales de pago de hardware incluidas y gestionadas por un proveedor certificado P2PE, sin almacenamiento electrónico de datos de tarjetas de pago.
  • 18. Autoformularios SAQ • Ayuda a demostrar el cumplimiento a terceros. (No son Nivel 1). • Al firmar se declara cumplimiento, se es responsable en caso de incidencia. • Si es firmado y Validado por QSA tiene la misma validez de un ROC. • La nueva versión de los SAQ es obligatoria a partir del 1 de Octubre de 2017.
  • 19. Recursos de Interés PCI SSC • Guía para definir el alcance – Diciembre 2016 • Migrar de SSL a TLS – Mayo 2016 • Guía para pruebas de Penetración – Marzo 2015 • Guía de Tokenización - Agosto 2011 • Guía sobre Ransomwere – Enero 2017 • Guía de Autenticación Multi – Factor – Febrero 2017 • Mejores prácticas para asegurar e-Commerce – Enero 2017
  • 20. Conclusiones • Se debe tener bien definido la clasificación de el comercio/proveedor de servicio. • El diligenciamiento de el autoformulario debe ser una tarea a conciencia y soportada con evidencias. • Los cambios en la norma (aunque pocos) requieren de un profundo análisis y dedicación. • Un incorrecto proceso de Adecuación y Certificación al cumplir con PCI DSS genera riesgos en el caso de un compromiso o la identificación de un cumplimiento inadecuado.