SlideShare una empresa de Scribd logo

Requisitos y pasos para avanzar en el cumplimiento PCI

Internet Security Auditors
Internet Security Auditors

En su presentación, Carlos Prieto responsable de Seguridad de Caja Rioja, señaló los requisitos y pasos que se están siguiendo dentro de su entidad para avanzar en el cumplimiento de PCI DSS. Destacó la importancia del apoyo de la dirección así como de la asignación de un responsable interno que lidere el proyecto de implantación de PCI DSS.

Tecnología
1 de 9
Descargar para leer sin conexión
1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA logo ponente
2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Concienciación logo ponente Apoyo de la Dirección: La Dirección debe dar la importancia que tiene al  cumplimiento PCI,  mostrando su apoyo con un mensaje claro a todos los  agentes  internos y externos para que trabajen en la línea necesaria para  alcanzar el cumplimiento. En nuestro caso tenemos implementado un SGSI y en las reuniones del  Comité de Seguridad, entre otro temas, se sigue  la evolución del  cumplimiento PCI.
3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 Foto Inicial logo ponente Hay que saber cómo estamos. ¿Cuál es nuestro alcance?, ¿dónde están  los datos susceptibles de cumplimiento PCI?, ¿en qué servidores?, ¿por  qué líneas de comunicaciones circulan?, ¿quién accede a ellos?...... Para ello nuestra experiencia nos demostró que es indispensable una  consultoría externa por una empresa experta en cumplimiento PCI. Con la  ayuda del QSA conseguimos una foto de partida que nos permitió platearnos los siguientes pasos sin que éstos fueran a ciegas o  descoordinados. % Cumplimiento PCI DSS por Requerimiento 71 0 4 0 67 14 11 45 74 9 33 50 29 67 83 67 33 86 89 55 22 91 67 50 0 33 13 33 0 0 0 0 4 0 0 0 0 10 20 30 40 50 60 70 80 90 100 110 120 R eq. 1 R eq. 2 R eq. 3 R eq. 4 R eq. 5 R eq. 6 R eq. 7 R eq. 8 R eq. 9 R eq. 10 R eq. 11 R eq. 12 Requerimiento % % SI % No % N/A
4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 Líder y Plan Inicial logo ponente Una vez conocida la situación real de partida, es imprescindible asignar  un responsable que lidere y coordine las acciones necesarias. Para ello  este  responsable  con  la  colaboración  de  personas  involucradas  directamente  en  el  cumplimiento  PCI  (medios  de  pago,  cajeros,  comunicaciones, sistemas medios)  elaborará un  plan  que  será validado  por la Dirección.  En Caja Rioja el Comité de Seguridad designó al responsable y le  encomendó la elaboración del plan. El plan elaborado, contando con la  opinión y experiencia de otros afectados, fue presentado al Comité de  Seguridad para su aceptación. Paralelamente existen reuniones de  coordinación más operativas.
5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 Seguimiento y Vigilancia logo ponente El plan debe seguirse, analizar sus desviaciones, solucionar los problemas  que surjan, y replanificar si fuera necesario. Pero tan importante como el  plan  es  estar  vigilantes,  concienciar  e  implementar  mecanismos  de  control  para  que  nuevos  productos,  desarrollos,  compra  de  equipamiento, etc.. no provoque un nuevo incumplimiento de PCI.  ¿QSA o ISA? En nuestro caso  muchos de los desarrollos están en ATCA que cumple PCI.  A nivel interno se ha realizado una concienciación al departamento de  Organización y Sistemas que interviene en las decisiones de compras,  desarrollos, etc.. Para que se tenga en cuenta la seguridad y los  cumplimientos regulatorios o legales (PCI, LOPD, MIFID, etc..) en los  requisitos.
6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 Requerimientos logo ponente
7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 Problemas y soluciones logo ponente Cajeros Router y Switch Bases de datos Procedimientos y documentación Auditoría Relación con terceros Redes WIFI ¿Medidas compensatorias convencerán al QSA?
8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 logo ponente Muchas Gracias !!! Carlos Prieto Lezaun cprieto@cajarioja.es cprietolezaun@yahoo.es
9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTASPREGUNTAS

Recomendados

PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 

Recomendados

PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Gestión del Riesgo Operacional
Gestión del Riesgo OperacionalGestión del Riesgo Operacional
Gestión del Riesgo OperacionalFCGroup
 
Proyecto rollout cuviv
Proyecto rollout cuvivProyecto rollout cuviv
Proyecto rollout cuvivricardopabloasensio
 
Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p..... ..
 
00040111
0004011100040111
00040111Ruben Castro
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLenin Angelo Villanueva Quinteros
 
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfVision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfssuserbf0225
 
Boletin
BoletinBoletin
BoletinAGSA_SH
 
Boletin AGSA
Boletin AGSABoletin AGSA
Boletin AGSAnery11f
 
No conformidades para slides
No conformidades para slidesNo conformidades para slides
No conformidades para slidesFrancisco E Pastore
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cdAlexander Velasque Rimac
 
-Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido -Boletín talleres fácil y rápido
-Boletín talleres fácil y rápidoAGSA_SH
 
Talleres fácil y rápido
Talleres fácil y rápido Talleres fácil y rápido
Talleres fácil y rápidoAGSA_SH
 
Presentacion GIF
Presentacion GIFPresentacion GIF
Presentacion GIFMarco Antonio Marotta
 
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoPresentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoEricka Vanessa pejendino perea
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Lineamientos - Implementar SGC
Lineamientos - Implementar SGCLineamientos - Implementar SGC
Lineamientos - Implementar SGCUniversidad Tecnológica del Peru
 
17727 11
17727 1117727 11
17727 11chiquelito
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Más contenido relacionado

Similar a Requisitos y pasos para avanzar en el cumplimiento PCI

Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Gestión del Riesgo Operacional
Gestión del Riesgo OperacionalGestión del Riesgo Operacional
Gestión del Riesgo OperacionalFCGroup
 
Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p..... ..
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfVision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfssuserbf0225
 
Boletin AGSA
Boletin AGSABoletin AGSA
Boletin AGSAnery11f
 
-Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido -Boletín talleres fácil y rápido
-Boletín talleres fácil y rápidoAGSA_SH
 
Talleres fácil y rápido
Talleres fácil y rápido Talleres fácil y rápido
Talleres fácil y rápidoAGSA_SH
 
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoPresentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoEricka Vanessa pejendino perea
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 

Similar a Requisitos y pasos para avanzar en el cumplimiento PCI (20)

Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
 
Gestión del Riesgo Operacional
Gestión del Riesgo OperacionalGestión del Riesgo Operacional
Gestión del Riesgo Operacional
 
Proyecto rollout cuviv
Proyecto rollout cuvivProyecto rollout cuviv
Proyecto rollout cuviv
 
Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...Guía práctica para la implementación de un sistema de gestión de calidad en p...
Guía práctica para la implementación de un sistema de gestión de calidad en p...
 
00040111
0004011100040111
00040111
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
 
Los estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresosLos estándares de aseguramiento de ingresos
Los estándares de aseguramiento de ingresos
 
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdfVision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
Vision de Seguridad y Responsabilidad Webinario - CTPAT 2020 en Español.pdf
 
Boletin
BoletinBoletin
Boletin
 
Boletin AGSA
Boletin AGSABoletin AGSA
Boletin AGSA
 
No conformidades para slides
No conformidades para slidesNo conformidades para slides
No conformidades para slides
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
-Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido -Boletín talleres fácil y rápido
-Boletín talleres fácil y rápido
 
Talleres fácil y rápido
Talleres fácil y rápido Talleres fácil y rápido
Talleres fácil y rápido
 
Presentacion GIF
Presentacion GIFPresentacion GIF
Presentacion GIF
 
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgoPresentación proyecto implementaciòn Sistema de gestiòn del riesgo
Presentación proyecto implementaciòn Sistema de gestiòn del riesgo
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Lineamientos - Implementar SGC
Lineamientos - Implementar SGCLineamientos - Implementar SGC
Lineamientos - Implementar SGC
 
17727 11
17727 1117727 11
17727 11
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Último

tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdflauralizcano0319
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfJoseAlejandroPerezBa
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalEmanuelCastro64
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024anasofiarodriguezcru
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskbydaniela5
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y maslida630411
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nóminacuellosameidy
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 

Último (20)

tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamental
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y mas
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nómina
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 

Requisitos y pasos para avanzar en el cumplimiento PCI

  • 1. 1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA REQUISITOS Y PASOS PARA AVANZAR EN EL CUMPLIMIENTO PCI CARLOS PRIETO LEZAUN RESPONSABLE DE SEGURIDAD CAJA RIOJA logo ponente
  • 2. 2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Concienciación logo ponente Apoyo de la Dirección: La Dirección debe dar la importancia que tiene al  cumplimiento PCI,  mostrando su apoyo con un mensaje claro a todos los  agentes  internos y externos para que trabajen en la línea necesaria para  alcanzar el cumplimiento. En nuestro caso tenemos implementado un SGSI y en las reuniones del  Comité de Seguridad, entre otro temas, se sigue  la evolución del  cumplimiento PCI.
  • 3. 3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 Foto Inicial logo ponente Hay que saber cómo estamos. ¿Cuál es nuestro alcance?, ¿dónde están  los datos susceptibles de cumplimiento PCI?, ¿en qué servidores?, ¿por  qué líneas de comunicaciones circulan?, ¿quién accede a ellos?...... Para ello nuestra experiencia nos demostró que es indispensable una  consultoría externa por una empresa experta en cumplimiento PCI. Con la  ayuda del QSA conseguimos una foto de partida que nos permitió platearnos los siguientes pasos sin que éstos fueran a ciegas o  descoordinados. % Cumplimiento PCI DSS por Requerimiento 71 0 4 0 67 14 11 45 74 9 33 50 29 67 83 67 33 86 89 55 22 91 67 50 0 33 13 33 0 0 0 0 4 0 0 0 0 10 20 30 40 50 60 70 80 90 100 110 120 R eq. 1 R eq. 2 R eq. 3 R eq. 4 R eq. 5 R eq. 6 R eq. 7 R eq. 8 R eq. 9 R eq. 10 R eq. 11 R eq. 12 Requerimiento % % SI % No % N/A
  • 4. 4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 Líder y Plan Inicial logo ponente Una vez conocida la situación real de partida, es imprescindible asignar  un responsable que lidere y coordine las acciones necesarias. Para ello  este  responsable  con  la  colaboración  de  personas  involucradas  directamente  en  el  cumplimiento  PCI  (medios  de  pago,  cajeros,  comunicaciones, sistemas medios)  elaborará un  plan  que  será validado  por la Dirección.  En Caja Rioja el Comité de Seguridad designó al responsable y le  encomendó la elaboración del plan. El plan elaborado, contando con la  opinión y experiencia de otros afectados, fue presentado al Comité de  Seguridad para su aceptación. Paralelamente existen reuniones de  coordinación más operativas.
  • 5. 5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 Seguimiento y Vigilancia logo ponente El plan debe seguirse, analizar sus desviaciones, solucionar los problemas  que surjan, y replanificar si fuera necesario. Pero tan importante como el  plan  es  estar  vigilantes,  concienciar  e  implementar  mecanismos  de  control  para  que  nuevos  productos,  desarrollos,  compra  de  equipamiento, etc.. no provoque un nuevo incumplimiento de PCI.  ¿QSA o ISA? En nuestro caso  muchos de los desarrollos están en ATCA que cumple PCI.  A nivel interno se ha realizado una concienciación al departamento de  Organización y Sistemas que interviene en las decisiones de compras,  desarrollos, etc.. Para que se tenga en cuenta la seguridad y los  cumplimientos regulatorios o legales (PCI, LOPD, MIFID, etc..) en los  requisitos.
  • 6. 6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 Requerimientos logo ponente
  • 7. 7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 Problemas y soluciones logo ponente Cajeros Router y Switch Bases de datos Procedimientos y documentación Auditoría Relación con terceros Redes WIFI ¿Medidas compensatorias convencerán al QSA?
  • 8. 8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 logo ponente Muchas Gracias !!! Carlos Prieto Lezaun cprieto@cajarioja.es cprietolezaun@yahoo.es
  • 9. 9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTASPREGUNTAS