C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-280...
Agenda
 Introducción
 Modelos de despliegue y servicio
 Modelos de servicio
 Responsabilidad
 Seguridad como servicio...
Introducción
Introducción
Modelos de despliegue
Modelos de servicio
CSP
IaaS
PaaS
SaaS
Modelos de servicio
Capa de la Nube
Modelos de
Servicio
IaaS PaaS SaaS
Datos
Interfaces (APIs, GUIs)
Aplicaciones
Capa de Solución (lenguajes ...
Responsabilidad
Un cliente de la nube no debe asumir nada acerca de
cualquier parte o tema del servicio, se debe escribir ...
IaaS PaaS SaaS
1.Instalarymantenerunaconfiguracióndefiirewallparaprotegerlosdatosdetarjeta-habiente. Ambos Ambos CSP
2.Nou...
Seguridad como servicio (SecaaS)
Consideraciones de segmentación
Consideraciones de segmentación
Noessegmentación
Máquinas virtuales en el mismo servidor separadas por
control de acceso del sistema operativo o de la apl...
Retos de cumplimiento
Identificación de
Componentes
Responsabilidad de
Controles
Sistemas Dinámicos
Visibilidad de Seg...
Consideraciones para el cliente
• ¿Cuanto lleva certificado el CSP?
• ¿Qué servicios están incluidos en la validación?
• ¿...
El cliente debe revisar periódicamente:
• Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)
• ...
Adm.
Riesgo
Debida
Diligenci
a
SLA’s
Continui
dad
RRHH
Gobierno, riesgo y cumplimiento
Consideraciones legales
Descubrimien
to de datos
Preservación
de evidencia
Custodia de
datos
Responsabili
dades legales
Consideraciones legales
Adquisición de Datos
Almacenamiento y
Persistencia
Ciclo de Vida
Clasificación
Cifrado
Disposición
Seguridad de los datos
Respuesta a incidentes
Transferencia y Transmisión a Terceros Países
Países que cuentan con un nivel adecuado de protección de datos personales
25
Conclusión
Antes de escoger un proveedor en la nube se debe:
 VERIFICAR el estado de cumplimiento de la normatividad requ...
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-280...
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-280...
Próxima SlideShare
Cargando en…5
×

PCI DSS en el Cloud: Transferencia Internacional Datos

13 visualizaciones

Publicado el

La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.

Publicado en: Internet
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
13
En SlideShare
0
De insertados
0
Número de insertados
0
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

PCI DSS en el Cloud: Transferencia Internacional Datos

  1. 1. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88 TRANSFERENCIA INTERNACIONAL DE DATOS Y CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA NUBE JAVIER ROBERTO AMAYA MADRID CISM, PCI QSA, PCIP, ISO27001 LA, ISO9000 IA, MCP
  2. 2. Agenda  Introducción  Modelos de despliegue y servicio  Modelos de servicio  Responsabilidad  Seguridad como servicio  Consideraciones de segmentación  Retos de cumplimiento  Verificación de alcance  Gobierno, riesgo y cumplimiento  Consideraciones legales  Seguridad de los datos  Respuesta a incidentes  Transferencia y Transmisión a Terceros Países  Conclusiones
  3. 3. Introducción
  4. 4. Introducción
  5. 5. Modelos de despliegue
  6. 6. Modelos de servicio
  7. 7. CSP IaaS PaaS SaaS Modelos de servicio
  8. 8. Capa de la Nube Modelos de Servicio IaaS PaaS SaaS Datos Interfaces (APIs, GUIs) Aplicaciones Capa de Solución (lenguajes de programación) Sistemas Operativos (OS) Máquinas virtuales Infraestructura virtual de red Hipervisores Procesamiento y memoria Almacenamiento de datos (discos duros, discos removibles, copias de respaldo, etc.) Red (interfaces y dispositivos, infraestructura de comunicaciones) Instalaciones físicas, centros de datos Modelos de servicio
  9. 9. Responsabilidad Un cliente de la nube no debe asumir nada acerca de cualquier parte o tema del servicio, se debe escribir cada elemento de responsabilidad por asegurar cada uno de los procesos y componentes del sistema en los contratos, memorandos de entendimiento y/o acuerdos de servicio.
  10. 10. IaaS PaaS SaaS 1.Instalarymantenerunaconfiguracióndefiirewallparaprotegerlosdatosdetarjeta-habiente. Ambos Ambos CSP 2.Nousecontraseñasovariablesdeseguridadpordefectoconfiguradasporelfabricantedelossistemas. Ambos Ambos CSP 3.Protejalosdatosdetarjeta-habientealmacenados. Ambos Ambos CSP 4.Cifrelosdatosdetarjeta-habientequeseantransmitidosporredespúblicasabiertas. Ambos Ambos CSP 5.Useyactualiceregularmenteunaaplicaciónanti-virus. Cliente Ambos Ambos 6.Desarrolleymantengasistemasyaplicacionesseguras. Cliente Ambos Ambos 7.Restrinjaelaccesoalosdatosdetarjeta-habientedeacuerdoalanecesidaddeconocer. Ambos Ambos Ambos 8.Asigneunidentificadorúnicoacadapersonaconaccesoacomputadores. Ambos Ambos CSP 9.Restrinjaelaccesofísicoalosdatosdetarjeta-habiente. CSP CSP CSP 10.Registreymonitoreetodoaccesoalosrecursosderedyadatosdetarjeta-habiente. Ambos Ambos CSP 11.Prueberegularmentelaseguridaddeprocesosysistemas. Ambos Ambos Ambos 12.Mantengaunapolíticadeseguridaddelainformaciónparatodoelpersonal CSP CSP CSP RequerimientoPCIDSS Ejemplodeasignaciónde Ejemplo de responsabilidad PCI DSS
  11. 11. Seguridad como servicio (SecaaS)
  12. 12. Consideraciones de segmentación
  13. 13. Consideraciones de segmentación
  14. 14. Noessegmentación Máquinas virtuales en el mismo servidor separadas por control de acceso del sistema operativo o de la aplicación Datos de la organización guardados en la misma instancia de los datos del sistema Consideraciones de segmentación
  15. 15. Retos de cumplimiento Identificación de Componentes Responsabilidad de Controles Sistemas Dinámicos Visibilidad de Seguridad Control en Almacenamiento Control de Acceso y Monitoreo Límites del Perímetro Acceso desde Internet Monitoreo de Acceso Privilegio de Auditoría
  16. 16. Consideraciones para el cliente • ¿Cuanto lleva certificado el CSP? • ¿Qué servicios están incluidos en la validación? • ¿Donde están físicamente los servicios validados? • ¿Se usan componentes que no están validados en el servicio? • ¿Cómo se asegura el CSP que los clientes no introducen componentes que no cumplen? El CSP debe proveer: • Evidencia que identifique claramente lo que está en alcance • Los requisitos contra los que fueron validados • Aspectos no cubiertos por la verificación • Identificación de los requerimientos que son responsabilidad del cliente o compartida Verificación de alcance
  17. 17. El cliente debe revisar periódicamente: • Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC) • Evidencia documentada de los componentes incluidos en la verificación • Evidencia documentada de los componentes que fueron excluidos de la verificación Si el CSP no está certificado, durante la verificación del cliente se requiere verificar: • Acceso a las instalaciones, entrevistas con el personal en sitio • Políticas y procedimientos, documentación de procesos y estándares de configuración • Registros de entrenamiento, planes de respuesta a incidentes, etc. • Evidencia de que los componentes dentro del alcance cumplen con todos los requisitos de la norma Verificación de alcance
  18. 18. Adm. Riesgo Debida Diligenci a SLA’s Continui dad RRHH Gobierno, riesgo y cumplimiento
  19. 19. Consideraciones legales
  20. 20. Descubrimien to de datos Preservación de evidencia Custodia de datos Responsabili dades legales Consideraciones legales
  21. 21. Adquisición de Datos Almacenamiento y Persistencia Ciclo de Vida Clasificación Cifrado Disposición Seguridad de los datos
  22. 22. Respuesta a incidentes
  23. 23. Transferencia y Transmisión a Terceros Países
  24. 24. Países que cuentan con un nivel adecuado de protección de datos personales 25
  25. 25. Conclusión Antes de escoger un proveedor en la nube se debe:  VERIFICAR el estado de cumplimiento de la normatividad requerida  ENTENDER los riesgos  ESCOGER el modelo adecuado de despliegue  EVALUAR las diferentes opciones de servicio  CONOCER lo que se requiere del CSP  COMPARAR proveedores y ofertas de servicio  PREGUNTAR en qué consiste cada servicio, que incluye y que no  DOCUMENTAR todo en acuerdos con el proveedor  SOLICITAR compromisos por escrito de que la seguridad se mantendrá  REVISAR periódicamente los acuerdos
  26. 26. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28. Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88
  27. 27. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28. Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88

×