Successfully reported this slideshow.

PCI DSS en la Nube

169 visualizaciones

Publicado el

Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.

En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.

Publicado en: Internet
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

PCI DSS en la Nube

  1. 1. PCI DSS en la Nube Javier Roberto Amaya Madrid Consultor en Seguridad QSA, ISO27001 L.A., ISO9001 L.A. Internet Security Auditors jramaya@isecauditors.com
  2. 2. La CCCE asume el compromiso de regir sus actuaciones y decisiones empresariales de conformidad con la ley colombiana y normas nacionales de competencia, y estatutos & reglamentos internos; en todo momento la libre participación de las empresas en el mercado, el bienestar de los consumidores y la eficiencia económica. Las conclusiones y recomendaciones realizadas en los espacios de formación, capacitación y talleres por los conferencistas, así como en los contenidos expuestos por la CCCE, directa o indirectamente, (nuestros portales, redes sociales y en general medios digitales o tradicionales) son de carácter informativo sin comprometer a ninguno de los afiliados o en general al público con su aplicación. Nota Legal
  3. 3. Agenda  Introducción  Modelos de Despliegue  Modelos de Servicio  Responsabilidad PCI DSS  Seguridad Como Servicio  Consideraciones de Segmentación  Retos de Cumplimiento  Verificación de Alcance  Gobierno, Riesgo y Cumplimiento  Consideraciones Legales  Seguridad de los Datos  Seguridad Técnica  Respuesta a Incidentes
  4. 4. Introducción
  5. 5. Introducción
  6. 6. Modelos de Despliegue
  7. 7. Modelos de Servicio
  8. 8. Modelos de Servicio CSP IaaS PaaS SaaS
  9. 9. Modelos de Servicio Capa de la Nube Modelos de Servicio IaaS PaaS SaaS Datos Interfaces (APIs, GUIs) Aplicaciones Capa de Solución (lenguajes de programación) Sistemas Operativos (OS) Máquinas virtuales Infraestructura virtual de red Hipervisores Procesamiento y memoria Almacenamiento de datos (discos duros, discos removibles, copias de respaldo, etc.) Red (interfaces y dispositivos, infraestructura de comunicaciones) Instalaciones físicas, centros de datos
  10. 10. Responsabilidad PCI DSS Un cliente de la nube no debe asumir nada acerca de cualquier parte o tema del servicio, se debe escribir cada elemento de responsabilidad por asegurar cada uno de los procesos y componentes del sistema en los contratos, memorandos de entendimiento y/o acuerdos de servicio.
  11. 11. Ejemplo Responsabilidad PCI DSS IaaS PaaS SaaS 1. Instalar y mantener una configuración de fiirewall para proteger los datos de tarjeta-habiente. Ambos Ambos CSP 2. No use contraseñas o variables de seguridad por defecto configuradas por el fabricante de los sistemas. Ambos Ambos CSP 3. Proteja los datos de tarjeta-habiente almacenados. Ambos Ambos CSP 4. Cifre los datos de tarjeta-habiente que sean transmitidos por redes públicas abiertas. Ambos Ambos CSP 5. Use y actualice regularmente una aplicación anti-virus. Cliente Ambos Ambos 6. Desarrolle y mantenga sistemas y aplicaciones seguras. Cliente Ambos Ambos 7. Restrinja el acceso a los datos de tarjeta-habiente de acuerdo a la necesidad de conocer. Ambos Ambos Ambos 8. Asigne un identificador único a cada persona con acceso a computadores. Ambos Ambos CSP 9. Restrinja el acceso físico a los datos de tarjeta-habiente. CSP CSP CSP 10. Registre y monitoree todo acceso a los recursos de red y a datos de tarjeta-habiente. Ambos Ambos CSP 11. Pruebe regularmente la seguridad de procesos y sistemas. Ambos Ambos Ambos 12. Mantenga una política de seguridad de la informaciónpara todo el personal CSP CSP CSP Requerimiento PCI DSS Ejemplo de asignación de
  12. 12. Seguridad como Servicio (SecaaS)
  13. 13. Consideraciones de Segmentación
  14. 14. Consideraciones de Segmentación
  15. 15. Consideraciones de Segmentación Noessegmentación Máquinas virtuales en el mismo servidor separadas por control de acceso del sistema operativo o de la aplicación Datos de la organización guardados en la misma instancia de los datos del sistema
  16. 16. Retos de Cumplimiento  Identificación de Componentes  Responsabilidad de Controles  Sistemas Dinámicos  Visibilidad de Seguridad  Control en Almacenamiento  Control de Acceso y Monitoreo  Límites del Perímetro  Acceso desde Internet  Monitoreo de Acceso  Privilegio de Auditoría
  17. 17. Verificación de Alcance Consideraciones para el cliente • ¿Cuanto lleva certificado el CSP? • ¿Qué servicios están incluidos en la validación? • ¿Donde están físicamente los servicios validados? • ¿Se usan componentes que no están validados en el servicio? • ¿Cómo se asegura el CSP que los clientes no introducen componentes que no cumplen? El CSP debe proveer: • Evidencia que identifique claramente lo que está en alcance • Los requisitos contra los que fueron validados • Aspectos no cubiertos por la verificación • Identificación de los requerimientos que son responsabilidad del cliente o compartida
  18. 18. Verificación de Alcance XXXXXEl cliente debe revisar periódicamente: • Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC) • Evidencia documentada de los componentes incluidos en la verificación • Evidencia documentada de los componentes que fueron excluidos de la verificación Si el CSP no está certificado, durante la verificación del cliente se requiere verificar: • Acceso a las instalaciones, entrevistas con el personal en sitio • Políticas y procedimientos, documentación de procesos y estándares de configuración • Registros de entrenamiento, planes de respuesta a incidentes, etc. • Evidencia de que los componentes dentro del alcance cumplen con todos los requisitos de la norma
  19. 19. Gobierno, Riesgo y Cumplimiento Adm. Riesgo Debida Diligen- cia SLA’s Conti- nuidad RRHH
  20. 20. Consideraciones Legales
  21. 21. Consideraciones Legales Descubri- miento de datos Preservación de evidencia Custodia de datos
  22. 22. Seguridad de los Datos Adquisición de Datos Almacenamiento y Persistencia Ciclo de Vida Clasificación Cifrado Disposición
  23. 23. Seguridad Técnica Evolución de la Seguridad Identidad y Acceso Trazas de Auditoría Acceso al Hypervisor Seguridad de las APIs Seguridad de los clientes Multi-Usuario
  24. 24. Respuesta a Incidentes
  25. 25. Conclusión Antes de escoger se debe: o ENTENDER los riesgos o ESCOGER el modelo adecuado de despliegue o EVALUAR las diferentes opciones de servicio o CONOCER lo que se requiere del CSP o COMPARAR proveedores y ofertas de servicio o PREGUNTAR en qué consiste cada servicio, que incluye y que no o DOCUMENTAR todo en acuerdos con el proveedor o SOLICITAR compromisos por escrito de que la seguridad se mantendrá o REVISAR periódicamente los acuerdos
  26. 26. ¿Tienes Preguntas?
  27. 27. Gracias www.isecauditors.com

×