SlideShare una empresa de Scribd logo

Presentación ISACA Madrid PCI DSS - 28 abril 2011

Juan Manuel Nieto
Juan Manuel Nieto

Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.

Tecnología
1 de 34
34ª CHARLA TÉCNICA, 28 de Abril de 2011 PCI DSS – Algo más que 12 requisitos de seguridad Juan Manuel Nieto Moreno CISA, CISM, LA BS7799, PCI-DSS QSA, ITIL v3 Foundations jmnieto@sia.es
Objetivos de la presentación • Explicar los principales conceptos y estándares sobre la PCI. • Identificar a los principales actores que intervienen en los procesos de pago con tarjetas. • Explicar las funciones, responsabilidades y obligaciones de cada uno de los anteriores actores. • Explicar las diferentes certificaciones relacionadas con PCI. • Introducir los 12 requisitos de PCI DSS. 2
ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
PCI – Origen y conceptos principales • PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pagos, formado en 2006 por: • Su objetivo es aunar esfuerzos en la securización del entorno de las tarjetas de pago, facilitar la adopción de medidas de seguridad consistentes a nivel mundial y reducir los casos de fraude. • Para ello han creado varios estándares y mecanismos de certificación: 4
PCI DSS – Data Security Standard • PCI DSS se aplican a todas las entidades que participan en los procesos de las tarjetas de pago (comerciantes, instituciones financieras, entidades adquirentes, entidades emisoras, proveedores de servicios…) y, en general, toda organización que almacene, procese o transmita datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad 5
PCI PA-DSS – Payment Application • PA-DSS se aplican a proveedores de software y demás que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos de titulares de tarjetas • Aplica siempre que dichas aplicaciones se vendan, distribuyan u otorguen bajo licencia a terceros. • Los comercios y proveedores de servicios deberían utilizar únicamente aplicaciones que cumplen con PA-DSS. • La lista de aplicaciones validadas está disponible en: www.pcisecuritystandards.org/security_standards/pa_dss.shtml 6
PCI PTS – PIN Transaction Security • PCI PTS (anterior PCI PED) define un conjunto de requisitos de seguridad orientados a las características y mecanismos de gestión de los dispositivos utilizados para la protección de los PIN de las tarjetas, así como otras actividades relacionadas con el procesamiento de pagos. • Los requisitos son para los fabricantes en el ámbito del diseño, fabricación y transporte de los dispositivos hasta las entidades que los utilizan. • Requisitos de seguridad disponibles: – POI Modular Security Requirements v3.0 – Encrypting PIN Pad Devices v2.1 – Point of Sale Devices v2.1 – Hardware Security Module (HSM) v1.0 – Unattended Payment Terminals (UPT) v1.0 • La lista de dispositivos aprobados por el PCI SSC está disponible en: www.pcisecuritystandards.org/security_standards/ped/pedapprovallist.html 7
ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
Información existente en las tarjetas 9
Campos de la pista 1 10
Restricciones sobre el almacenamiento y requisito de proteger y cifrar (req. 3.4) 11
¿A quiénes afecta PCI DSS? PCI DSS afecta a todo aquel que almacene, procese y/o transmita datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad. 12
Entorno afectado por PCI DSS • Los requisitos de las PCI DSS aplican a todos los componentes del sistema. • Entendemos por “componente” como cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que esté conectado a éste. • El entorno de los datos de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación. Sin una adecuada segmentación de red, todos los elementos conectados a los componentes donde se procesen, transmitan o almacenen datos de tarjeta, estarían afectados por PCI DSS. 13
Esquema básico de funcionamiento Actores en el proceso de pago PROVEEDOR Open Network Discover Network JCB Network BankNet VisaNet PROVEEDOR ADQUIRIENTE (Merchant Bank) CARD NETWORK COMERCIO PROVEEDOR CLIENTE EMISOR 14
Comercios Niveles establecidos y requisitos • Los requisitos y mecanismos de reporte para comercios afectados por PCI DSS varían según la marca de tarjeta. • Niveles establecidos por VISA y Mastercard: COMERCIOS: Resumen de condiciones y niveles Obligaciones • Si procesan más de seis millones de transacciones anuales, • Auditoría anual por un QSA. con independencia del canal. • Escaneo de red trimestral con 1 • Si se hubiera comprometido la información de tarjetas. un ASV. • Si fuera considerado de nivel 1 por cualquier miembro de PCI. • Si procesan entre uno y seis millones de transacciones • Cuestionario de autoevaluación 2 anuales, con independencia del canal. anual (SAQ). • Si procesan entre 20.000 y un millón de transacciones • Escaneo de red trimestral con 3 anuales a través de Internet. un ASV. 4 • El resto* * En el caso de Visa, los requisitos indicados para el nivel 4 son sólo recomendaciones 15
Proveedores de servicio Niveles establecidos y requisitos • Los requisitos y mecanismos de reporte para proveedores de servicio afectados por PCI DSS varían según la marca de tarjeta. • Niveles establecidos por VISA y Mastercard: PROVEEDORES DE SERVICIOS: Resumen de condiciones y niveles Obligaciones • Si almacenan, procesan o transmiten más de • Auditoría anual por un QSA. 1 300.000 transacciones anuales, con independencia • Escaneo trimestral con un ASV. del canal. * • Si almacenan, procesan o transmiten menos de • Cuestionario de autoevaluación anual 300.000 transacciones anuales, con independencia (SAQ). 2 del canal. • Escaneo de red trimestral (con un ASV en el caso de Visa). * Mastercard: Los TPP (Third Party Processors) siempre nivel 1 16
Elegir el cuestionario de autoevaluación aplicable (SAQ) https://www.pcisecuritystandards.org/pdfs/instructions_guidelines_v1-1.pdf 17
Selección del cuestionario de autoevaluación (SAQ) • Según la naturaleza del negocio, las entidades deben responder a uno u otro cuestionario SAQ (Self Assessment Questionnaire): SAQ Descripción Requisitos PCI DSS A Comerciantes con tarjetas ausentes (comercio electrónico, pedido 13 preguntas por correo o pedido por teléfono); todas las funciones que (req. 9, 12) impliquen el manejo de tarjetas externalizadas. Nunca aplicable a comerciantes cara a cara. B Comerciantes que usan solamente máquinas impresoras, sin 29 preguntas almacenamiento electrónico de tarjetas, o comerciantes que (req. 3, 4, 7, 9, 12) tienen terminales independientes con discado externo y no almacena electrónicamente datos de los titulares de tarjetas. C-VT Comerciantes que tienen terminales independientes con discado 51 preguntas externo y no almacenan electrónicamente datos de tarjetas. (req. 1,2, 3, 4, 6, 7, 9, 12) C Comerciantes con sistemas de aplicaciones de pago conectados a 40 preguntas Internet, sin almacenamiento electrónico de tarjetas. (req. 1,2, 3, 4, 6, 7, 8, 9, 11, 12) D Todos los demás comerciantes, no incluidos en las descripciones 288 preguntas correspondientes a las versiones de A a C; y todos los proveedores (todos los req.) de servicio definidos por una marca de pago como elegibles para completar un SAQ. 18
Entidades financieras • Al igual que comercios y proveedores de servicios, tienen que proteger el entorno donde almacenen, procesen o transmitan datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad. • Pero además, pueden ser ENTIDADES ADQUIRIENTES, siendo como tal responsables del cumplimiento de los comercios y proveedores, por lo que deben: • Garantizar que los comercios entienden los requerimientos de PCI DSS. • Realizar un seguimiento del cumplimiento en cada comercio. • Gestionar las comunicaciones con los comercios. • Trabajar con los comercios hasta que consigan la validación de PCI DSS. • Informar del estado de cumplimiento de los comercios a las marcas de tarjetas. • Responder ante responsabilidades que resulten del no cumplimiento de los programas de las marcas de tarjetas. Fuentes: http://www.mastercard.com/us/company/en/whatwedo/sdp_acquirers.html http://www.visaeurope.es/es/visa_para_comercios/seguridad_de_la_informacion.aspx http://usa.visa.com/merchants/risk_management/cisp_merchants.html 19
ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
Certificaciones de empresas emitidas por PCI SSC Datos de 13 de abril 2011 Título Objetivo Total QSA - Evalúan cumplimiento PCI DSS. 267 Qualified Security Assessor ASV - Realizan los análisis de vulnerabilidades de los sistemas. 153 Approved Scanning Vendors PA-QSA - Evalúan el cumplimiento de PCI PA-DSS. 62 Payment Application Qualified Security Assessor ISA - Permite a las entidades afectadas por PCI DSS participar - Internal Security Assessors en un programa de formación, mejorando así su entendimiento de PCI DSS, facilitar la interacción con los QSA y formarse para la realización de los SAQ. PFI - Habilitados para investigar incidentes de seguridad. 11 PCI Forensic Investigator Fuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php 21
Certificaciones de productos Objetivo Descripción Aplicaciones Aplicaciones validadas por un PA-QSA que cumplen los requisitos de PA- DSS. Información incluida: Total 785 • Versión de PA-DSS respecto a la que están validadas. • Versión, tipo, mercado objetivo • Fecha de revalidación. • Fecha de expiración. • PA-QSA que lo valida. Dispositivos Dispositivos de pago validados por PCI SSC. • Tipo de producto Total 421 • Fecha de expiración • Otros: PIN Support, Key Management, Prompt Control, PIN Entry Technology… Fuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php 22
Proveedores de servicios • Las marcas de tarjetas mantienen actualizada una lista de proveedores de servicios que cumplen con PCI DSS (sólo aparecen los Level 1). • El cumplimiento de PCI DSS por parte de los proveedores deben validarlo y reportarlo las empresas QSA. • Enlaces VISA y MASTERCARD: www.visaeurope.com/en/businesses__retailers/payment_security/service_providers.aspx www.mastercard.com/us/sdp/serviceproviders/compliant_serviceprovider.html 23
ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
Organización del estándar Muestra los procesos que el asesor debe seguir a los efectos de validar que los requisitos de las PCI DSS se implementaron. 25
Requisitos de PCI DSS v2.0 Desarrollar y mantener 1. Instale y mantenga una configuración de firewalls para proteger los datos de los una red segura. titulares de las tarjetas. 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores. Proteger los datos del 3. Proteja los datos del titular de la tarjeta que fueron almacenados. titular de la tarjeta. 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Mantener un programa de 5. Utilice y actualice regularmente el software o los programas antivirus. administración de 6. Desarrolle y mantenga sistemas y aplicaciones seguras. vulnerabilidad. Implementar medidas 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber sólidas de control de del negocio. acceso. 8. Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9. Restringir el acceso físico a los datos del titular de la tarjeta. Supervisar y evaluar las 10. Rastree y supervise todos los accesos a los redes con regularidad. recursos de red y a los datos de los titulares de las tarjetas. 11. Pruebe con regularidad los sistemas y procesos de seguridad. Mantener una política de 12. Mantenga una política que aborde la seguridad de información. seguridad de la información para todo el personal. 26
Aplicación de los requisitos al entorno PCI 1. Cortafuegos (control del tráfico, DMZ, aislamiento). Red de usuarios 2. Fortificación sistemas (segregación, cifrado accesos administrativos). 3. Protección datos almacenados (cifrado/ofuscación PAN, gestión claves). Red interna 4. Transmisión cifrada de datos en redes públicas e inalámbricas. Acceso WIFI 5. Antivirus. 6. Aplicaciones seguras (desarrollo y parcheado). 7. Control de acceso (gestión de usuarios y privilegios). 8. Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas). 10. Monitorización accesos / pistas de auditoría 9. Control de acceso físico (ID, (protección registros, revisión). cámaras, registro, soportes). 11. Detección puntos inalámbricos, análisis vulnerabilidades, pruebas penetración de red y aplicación, IDS/IPS, software integridad archivos críticos. 12. Políticas, procedimientos de seguridad, gestión de riesgos, concienciación, gestión de proveedores, contratos, gestión incidentes. 27
ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
Errores comunes en la adecuación a PCI DSS • No identificar todos los flujos de datos de tarjeta. • No tener un inventario completo de todos los sistemas y localizaciones afectadas por PCI. • No identificar todas las conexiones de red con el entorno afectado. • Tener una inadecuada segmentación de la red. • Falta de apoyo de la Dirección (y presupuesto). • Olvidar que PCI DSS es un proceso continuo. 29
¿Por qué cumplir con PCI DSS? • Mantener e incrementar la confianza de los clientes (control del riesgo de pérdida de imagen). • Facilita el cumplimiento con la legislación, estándares o requerimientos de seguridad y privacidad. • La asociación de entidades que apoyan PCI, así como las entidades adquirientes, puede imponer pagos, sanciones o incrementos de tarifas por incumplimiento de PCI, o peor aún, rescindir el servicio de utilización de las tarjetas. • Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito, costes de investigación en caso de incidente, costes legales, etc… 30
Resumen • PCI SSC es el consorcio formado por • Definen los estándares: PCI DSS afecta a toda entidad que almacene/procese/transmita datos de titulares de tarjetas. • Algunas de las actividades requeridas: – Auditoría cumplimiento PCI DSS. – Desarrollo políticas y procedimientos. – Hacking cuatrimestral/anual. Comercios Todo comercio que acepte – Segmentación de red. pagos con tarjeta, WEB o presencialmente. – Gestión de accesos. – Seguridad perimetral. Instituciones Emisores de tarjetas (Issuer) – Soluciones de financieras o adquirientes (acquirer), entiedades que procesan las cifrado, monitorización, autenticación,…. transacciones en – Seguridad física. representación de otros. • Razones para cumplir: – Confianza de los clientes y mejora en seguridad. Empresas de Proveedores de servicio, – Protección ante responsabilidades vinculadas al mal servicios siempre y cuando almacenen, transmitan o procesen datos uso de información de tarjetas, costes de de titulares. investigación en caso de incidente, legales, etc. – Sanciones o pagos por parte de las marcas. – Rescisión del servicio de utilización de tarjetas. 31
Grupo SIA. La compañía • Multinacional española con más de 20 años de experiencia. • Oficinas en Madrid, Barcelona, Lisboa y Oporto. • Volumen de negocio de 60M€ y 500 empleados. • Modelo de negocio basado en la especialización y el compromiso de servicio al cliente. • Acuerdos estratégicos con líderes tecnológicos. • Orientación a calidad, con varias certificaciones.
Nuestro foco Generación de Valor como Objetivo, Consultoría Integración Servicios gestionados VALOR Seguridad Almacenamiento Gestión de TI Movilidad … Sinergia como Cultura de Trabajo
Muchas gracias

Recomendados

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 

Recomendados

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la NubeInternet Security Auditors
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Sistemas operativos modernos
Sistemas operativos modernosSistemas operativos modernos
Sistemas operativos modernosSandra M Martinez H
 
Firma electronica
Firma electronicaFirma electronica
Firma electronicaSIA Group
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Guia para el examen de unidad ii administracion de la seguridad
Guia para el examen de unidad ii administracion de la seguridadGuia para el examen de unidad ii administracion de la seguridad
Guia para el examen de unidad ii administracion de la seguridadLucy Gonzalez Hernandez
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIA Group
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualKimberly Simon MBA
 
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...Congreso Sociedad Digital
 

Más contenido relacionado

La actualidad más candente

Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralInternet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Firma electronica
Firma electronicaFirma electronica
Firma electronicaSIA Group
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Guia para el examen de unidad ii administracion de la seguridad
Guia para el examen de unidad ii administracion de la seguridadGuia para el examen de unidad ii administracion de la seguridad
Guia para el examen de unidad ii administracion de la seguridadLucy Gonzalez Hernandez
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIA Group
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 

La actualidad más candente (20)

Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSS
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCI
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
Sistemas operativos modernos
Sistemas operativos modernosSistemas operativos modernos
Sistemas operativos modernos
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive Defense
 
Guia para el examen de unidad ii administracion de la seguridad
Guia para el examen de unidad ii administracion de la seguridadGuia para el examen de unidad ii administracion de la seguridad
Guia para el examen de unidad ii administracion de la seguridad
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICES
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorio
 

Destacado

PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualKimberly Simon MBA
 
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...Congreso Sociedad Digital
 
Isaca ws-bcn-130604
Isaca ws-bcn-130604Isaca ws-bcn-130604
Isaca ws-bcn-130604Chema López
 
PCI DSS Essential Guide
PCI DSS Essential GuidePCI DSS Essential Guide
PCI DSS Essential GuideKim Jensen
 
Tarjetas de credito visa mastercard
Tarjetas de credito visa mastercardTarjetas de credito visa mastercard
Tarjetas de credito visa mastercardJacinto Ake Ek
 
Información empresas
Información empresasInformación empresas
Información empresasiocariz
 
Eleccions per a Cap General de Color
Eleccions per a Cap General de ColorEleccions per a Cap General de Color
Eleccions per a Cap General de ColorPere Vergés
 
VIHA STEEL & FORGING
VIHA STEEL & FORGINGVIHA STEEL & FORGING
VIHA STEEL & FORGINGSuman Jain
 
Presentación educación centro de enseñanza lania
Presentación educación centro de enseñanza laniaPresentación educación centro de enseñanza lania
Presentación educación centro de enseñanza laniaLANIA Mx
 
800 recetas thermomix
800 recetas thermomix800 recetas thermomix
800 recetas thermomixLucasin
 
Analisis de pelicula ike
Analisis de pelicula ikeAnalisis de pelicula ike
Analisis de pelicula ikeVivi Colmenarez
 

Destacado (20)

PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as Usual
 
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...
Actas I Congreso Internacional de la Sociedad Digital: Oportunidades y riesgo...
 
Pci V2
Pci V2Pci V2
Pci V2
 
Isaca ws-bcn-130604
Isaca ws-bcn-130604Isaca ws-bcn-130604
Isaca ws-bcn-130604
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
PCI DSS Essential Guide
PCI DSS Essential GuidePCI DSS Essential Guide
PCI DSS Essential Guide
 
Tarjetas de credito visa mastercard
Tarjetas de credito visa mastercardTarjetas de credito visa mastercard
Tarjetas de credito visa mastercard
 
Ejemplo pci
Ejemplo pciEjemplo pci
Ejemplo pci
 
PCI Compliance NOT for Dummies epb 30MAR2016
PCI Compliance NOT for Dummies epb 30MAR2016PCI Compliance NOT for Dummies epb 30MAR2016
PCI Compliance NOT for Dummies epb 30MAR2016
 
Información empresas
Información empresasInformación empresas
Información empresas
 
Eleccions per a Cap General de Color
Eleccions per a Cap General de ColorEleccions per a Cap General de Color
Eleccions per a Cap General de Color
 
Curriculum 1
Curriculum 1 Curriculum 1
Curriculum 1
 
VIHA STEEL & FORGING
VIHA STEEL & FORGINGVIHA STEEL & FORGING
VIHA STEEL & FORGING
 
Teoria admin. fayol
Teoria admin. fayolTeoria admin. fayol
Teoria admin. fayol
 
2013 Ford Mustang - Bloomington Indiana
2013 Ford Mustang - Bloomington Indiana2013 Ford Mustang - Bloomington Indiana
2013 Ford Mustang - Bloomington Indiana
 
2015-02-12 FM World
2015-02-12 FM World2015-02-12 FM World
2015-02-12 FM World
 
PCI DSS 3.2
PCI DSS 3.2PCI DSS 3.2
PCI DSS 3.2
 
Presentación educación centro de enseñanza lania
Presentación educación centro de enseñanza laniaPresentación educación centro de enseñanza lania
Presentación educación centro de enseñanza lania
 
800 recetas thermomix
800 recetas thermomix800 recetas thermomix
800 recetas thermomix
 
Analisis de pelicula ike
Analisis de pelicula ikeAnalisis de pelicula ike
Analisis de pelicula ike
 

Similar a Presentación ISACA Madrid PCI DSS - 28 abril 2011

Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Raw wtithepaper 6 abr
Raw wtithepaper 6 abrRaw wtithepaper 6 abr
Raw wtithepaper 6 abrPablo
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Pagos sin contacto – Tarjetas “Contactless”
Pagos sin contacto – Tarjetas “Contactless”Pagos sin contacto – Tarjetas “Contactless”
Pagos sin contacto – Tarjetas “Contactless”Thaynie Hernández
 
Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre linenoise
 
Conekta seguridad
Conekta seguridadConekta seguridad
Conekta seguridadconektame
 

Similar a Presentación ISACA Madrid PCI DSS - 28 abril 2011 (20)

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Curso Implantador PCI DSS
Curso Implantador PCI DSSCurso Implantador PCI DSS
Curso Implantador PCI DSS
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Certificado PCI
Certificado PCICertificado PCI
Certificado PCI
 
Raw wtithepaper 6 abr
Raw wtithepaper 6 abrRaw wtithepaper 6 abr
Raw wtithepaper 6 abr
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
 
Idreader nsi gen_2014
Idreader nsi gen_2014Idreader nsi gen_2014
Idreader nsi gen_2014
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
Cxo Seguridad Cloud V2
Cxo Seguridad Cloud V2Cxo Seguridad Cloud V2
Cxo Seguridad Cloud V2
 
Pagos sin contacto – Tarjetas “Contactless”
Pagos sin contacto – Tarjetas “Contactless”Pagos sin contacto – Tarjetas “Contactless”
Pagos sin contacto – Tarjetas “Contactless”
 
Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre Control de Acceso a la Red en entornos corporativos con Software Libre
Control de Acceso a la Red en entornos corporativos con Software Libre
 
Esquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceEsquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and compliance
 
Conekta seguridad
Conekta seguridadConekta seguridad
Conekta seguridad
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 

Último (11)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

Presentación ISACA Madrid PCI DSS - 28 abril 2011

  • 1. 34ª CHARLA TÉCNICA, 28 de Abril de 2011 PCI DSS – Algo más que 12 requisitos de seguridad Juan Manuel Nieto Moreno CISA, CISM, LA BS7799, PCI-DSS QSA, ITIL v3 Foundations jmnieto@sia.es
  • 2. Objetivos de la presentación • Explicar los principales conceptos y estándares sobre la PCI. • Identificar a los principales actores que intervienen en los procesos de pago con tarjetas. • Explicar las funciones, responsabilidades y obligaciones de cada uno de los anteriores actores. • Explicar las diferentes certificaciones relacionadas con PCI. • Introducir los 12 requisitos de PCI DSS. 2
  • 3. ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
  • 4. PCI – Origen y conceptos principales • PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la Industria de Tarjeta de Pagos, formado en 2006 por: • Su objetivo es aunar esfuerzos en la securización del entorno de las tarjetas de pago, facilitar la adopción de medidas de seguridad consistentes a nivel mundial y reducir los casos de fraude. • Para ello han creado varios estándares y mecanismos de certificación: 4
  • 5. PCI DSS – Data Security Standard • PCI DSS se aplican a todas las entidades que participan en los procesos de las tarjetas de pago (comerciantes, instituciones financieras, entidades adquirentes, entidades emisoras, proveedores de servicios…) y, en general, toda organización que almacene, procese o transmita datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad 5
  • 6. PCI PA-DSS – Payment Application • PA-DSS se aplican a proveedores de software y demás que desarrollan aplicaciones de pago que almacenan, procesan o transmiten datos de titulares de tarjetas • Aplica siempre que dichas aplicaciones se vendan, distribuyan u otorguen bajo licencia a terceros. • Los comercios y proveedores de servicios deberían utilizar únicamente aplicaciones que cumplen con PA-DSS. • La lista de aplicaciones validadas está disponible en: www.pcisecuritystandards.org/security_standards/pa_dss.shtml 6
  • 7. PCI PTS – PIN Transaction Security • PCI PTS (anterior PCI PED) define un conjunto de requisitos de seguridad orientados a las características y mecanismos de gestión de los dispositivos utilizados para la protección de los PIN de las tarjetas, así como otras actividades relacionadas con el procesamiento de pagos. • Los requisitos son para los fabricantes en el ámbito del diseño, fabricación y transporte de los dispositivos hasta las entidades que los utilizan. • Requisitos de seguridad disponibles: – POI Modular Security Requirements v3.0 – Encrypting PIN Pad Devices v2.1 – Point of Sale Devices v2.1 – Hardware Security Module (HSM) v1.0 – Unattended Payment Terminals (UPT) v1.0 • La lista de dispositivos aprobados por el PCI SSC está disponible en: www.pcisecuritystandards.org/security_standards/ped/pedapprovallist.html 7
  • 8. ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
  • 9. Información existente en las tarjetas 9
  • 10. Campos de la pista 1 10
  • 11. Restricciones sobre el almacenamiento y requisito de proteger y cifrar (req. 3.4) 11
  • 12. ¿A quiénes afecta PCI DSS? PCI DSS afecta a todo aquel que almacene, procese y/o transmita datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad. 12
  • 13. Entorno afectado por PCI DSS • Los requisitos de las PCI DSS aplican a todos los componentes del sistema. • Entendemos por “componente” como cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que esté conectado a éste. • El entorno de los datos de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación. Sin una adecuada segmentación de red, todos los elementos conectados a los componentes donde se procesen, transmitan o almacenen datos de tarjeta, estarían afectados por PCI DSS. 13
  • 14. Esquema básico de funcionamiento Actores en el proceso de pago PROVEEDOR Open Network Discover Network JCB Network BankNet VisaNet PROVEEDOR ADQUIRIENTE (Merchant Bank) CARD NETWORK COMERCIO PROVEEDOR CLIENTE EMISOR 14
  • 15. Comercios Niveles establecidos y requisitos • Los requisitos y mecanismos de reporte para comercios afectados por PCI DSS varían según la marca de tarjeta. • Niveles establecidos por VISA y Mastercard: COMERCIOS: Resumen de condiciones y niveles Obligaciones • Si procesan más de seis millones de transacciones anuales, • Auditoría anual por un QSA. con independencia del canal. • Escaneo de red trimestral con 1 • Si se hubiera comprometido la información de tarjetas. un ASV. • Si fuera considerado de nivel 1 por cualquier miembro de PCI. • Si procesan entre uno y seis millones de transacciones • Cuestionario de autoevaluación 2 anuales, con independencia del canal. anual (SAQ). • Si procesan entre 20.000 y un millón de transacciones • Escaneo de red trimestral con 3 anuales a través de Internet. un ASV. 4 • El resto* * En el caso de Visa, los requisitos indicados para el nivel 4 son sólo recomendaciones 15
  • 16. Proveedores de servicio Niveles establecidos y requisitos • Los requisitos y mecanismos de reporte para proveedores de servicio afectados por PCI DSS varían según la marca de tarjeta. • Niveles establecidos por VISA y Mastercard: PROVEEDORES DE SERVICIOS: Resumen de condiciones y niveles Obligaciones • Si almacenan, procesan o transmiten más de • Auditoría anual por un QSA. 1 300.000 transacciones anuales, con independencia • Escaneo trimestral con un ASV. del canal. * • Si almacenan, procesan o transmiten menos de • Cuestionario de autoevaluación anual 300.000 transacciones anuales, con independencia (SAQ). 2 del canal. • Escaneo de red trimestral (con un ASV en el caso de Visa). * Mastercard: Los TPP (Third Party Processors) siempre nivel 1 16
  • 17. Elegir el cuestionario de autoevaluación aplicable (SAQ) https://www.pcisecuritystandards.org/pdfs/instructions_guidelines_v1-1.pdf 17
  • 18. Selección del cuestionario de autoevaluación (SAQ) • Según la naturaleza del negocio, las entidades deben responder a uno u otro cuestionario SAQ (Self Assessment Questionnaire): SAQ Descripción Requisitos PCI DSS A Comerciantes con tarjetas ausentes (comercio electrónico, pedido 13 preguntas por correo o pedido por teléfono); todas las funciones que (req. 9, 12) impliquen el manejo de tarjetas externalizadas. Nunca aplicable a comerciantes cara a cara. B Comerciantes que usan solamente máquinas impresoras, sin 29 preguntas almacenamiento electrónico de tarjetas, o comerciantes que (req. 3, 4, 7, 9, 12) tienen terminales independientes con discado externo y no almacena electrónicamente datos de los titulares de tarjetas. C-VT Comerciantes que tienen terminales independientes con discado 51 preguntas externo y no almacenan electrónicamente datos de tarjetas. (req. 1,2, 3, 4, 6, 7, 9, 12) C Comerciantes con sistemas de aplicaciones de pago conectados a 40 preguntas Internet, sin almacenamiento electrónico de tarjetas. (req. 1,2, 3, 4, 6, 7, 8, 9, 11, 12) D Todos los demás comerciantes, no incluidos en las descripciones 288 preguntas correspondientes a las versiones de A a C; y todos los proveedores (todos los req.) de servicio definidos por una marca de pago como elegibles para completar un SAQ. 18
  • 19. Entidades financieras • Al igual que comercios y proveedores de servicios, tienen que proteger el entorno donde almacenen, procesen o transmitan datos de cuentas, siendo el número de cuenta (PAN) el factor que determina la aplicabilidad. • Pero además, pueden ser ENTIDADES ADQUIRIENTES, siendo como tal responsables del cumplimiento de los comercios y proveedores, por lo que deben: • Garantizar que los comercios entienden los requerimientos de PCI DSS. • Realizar un seguimiento del cumplimiento en cada comercio. • Gestionar las comunicaciones con los comercios. • Trabajar con los comercios hasta que consigan la validación de PCI DSS. • Informar del estado de cumplimiento de los comercios a las marcas de tarjetas. • Responder ante responsabilidades que resulten del no cumplimiento de los programas de las marcas de tarjetas. Fuentes: http://www.mastercard.com/us/company/en/whatwedo/sdp_acquirers.html http://www.visaeurope.es/es/visa_para_comercios/seguridad_de_la_informacion.aspx http://usa.visa.com/merchants/risk_management/cisp_merchants.html 19
  • 20. ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
  • 21. Certificaciones de empresas emitidas por PCI SSC Datos de 13 de abril 2011 Título Objetivo Total QSA - Evalúan cumplimiento PCI DSS. 267 Qualified Security Assessor ASV - Realizan los análisis de vulnerabilidades de los sistemas. 153 Approved Scanning Vendors PA-QSA - Evalúan el cumplimiento de PCI PA-DSS. 62 Payment Application Qualified Security Assessor ISA - Permite a las entidades afectadas por PCI DSS participar - Internal Security Assessors en un programa de formación, mejorando así su entendimiento de PCI DSS, facilitar la interacción con los QSA y formarse para la realización de los SAQ. PFI - Habilitados para investigar incidentes de seguridad. 11 PCI Forensic Investigator Fuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php 21
  • 22. Certificaciones de productos Objetivo Descripción Aplicaciones Aplicaciones validadas por un PA-QSA que cumplen los requisitos de PA- DSS. Información incluida: Total 785 • Versión de PA-DSS respecto a la que están validadas. • Versión, tipo, mercado objetivo • Fecha de revalidación. • Fecha de expiración. • PA-QSA que lo valida. Dispositivos Dispositivos de pago validados por PCI SSC. • Tipo de producto Total 421 • Fecha de expiración • Otros: PIN Support, Key Management, Prompt Control, PIN Entry Technology… Fuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php 22
  • 23. Proveedores de servicios • Las marcas de tarjetas mantienen actualizada una lista de proveedores de servicios que cumplen con PCI DSS (sólo aparecen los Level 1). • El cumplimiento de PCI DSS por parte de los proveedores deben validarlo y reportarlo las empresas QSA. • Enlaces VISA y MASTERCARD: www.visaeurope.com/en/businesses__retailers/payment_security/service_providers.aspx www.mastercard.com/us/sdp/serviceproviders/compliant_serviceprovider.html 23
  • 24. ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
  • 25. Organización del estándar Muestra los procesos que el asesor debe seguir a los efectos de validar que los requisitos de las PCI DSS se implementaron. 25
  • 26. Requisitos de PCI DSS v2.0 Desarrollar y mantener 1. Instale y mantenga una configuración de firewalls para proteger los datos de los una red segura. titulares de las tarjetas. 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores. Proteger los datos del 3. Proteja los datos del titular de la tarjeta que fueron almacenados. titular de la tarjeta. 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Mantener un programa de 5. Utilice y actualice regularmente el software o los programas antivirus. administración de 6. Desarrolle y mantenga sistemas y aplicaciones seguras. vulnerabilidad. Implementar medidas 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber sólidas de control de del negocio. acceso. 8. Asignar una ID exclusiva a cada persona que tenga acceso por computadora. 9. Restringir el acceso físico a los datos del titular de la tarjeta. Supervisar y evaluar las 10. Rastree y supervise todos los accesos a los redes con regularidad. recursos de red y a los datos de los titulares de las tarjetas. 11. Pruebe con regularidad los sistemas y procesos de seguridad. Mantener una política de 12. Mantenga una política que aborde la seguridad de información. seguridad de la información para todo el personal. 26
  • 27. Aplicación de los requisitos al entorno PCI 1. Cortafuegos (control del tráfico, DMZ, aislamiento). Red de usuarios 2. Fortificación sistemas (segregación, cifrado accesos administrativos). 3. Protección datos almacenados (cifrado/ofuscación PAN, gestión claves). Red interna 4. Transmisión cifrada de datos en redes públicas e inalámbricas. Acceso WIFI 5. Antivirus. 6. Aplicaciones seguras (desarrollo y parcheado). 7. Control de acceso (gestión de usuarios y privilegios). 8. Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas). 10. Monitorización accesos / pistas de auditoría 9. Control de acceso físico (ID, (protección registros, revisión). cámaras, registro, soportes). 11. Detección puntos inalámbricos, análisis vulnerabilidades, pruebas penetración de red y aplicación, IDS/IPS, software integridad archivos críticos. 12. Políticas, procedimientos de seguridad, gestión de riesgos, concienciación, gestión de proveedores, contratos, gestión incidentes. 27
  • 28. ÍNDICE  PCI – Origen y conceptos principales 1  Aplicabilidad de PCI DSS y principales actores 2  Certificaciones relacionadas con PCI 3  La norma PCI DSS y sus requisitos 4  Conclusiones 5
  • 29. Errores comunes en la adecuación a PCI DSS • No identificar todos los flujos de datos de tarjeta. • No tener un inventario completo de todos los sistemas y localizaciones afectadas por PCI. • No identificar todas las conexiones de red con el entorno afectado. • Tener una inadecuada segmentación de la red. • Falta de apoyo de la Dirección (y presupuesto). • Olvidar que PCI DSS es un proceso continuo. 29
  • 30. ¿Por qué cumplir con PCI DSS? • Mantener e incrementar la confianza de los clientes (control del riesgo de pérdida de imagen). • Facilita el cumplimiento con la legislación, estándares o requerimientos de seguridad y privacidad. • La asociación de entidades que apoyan PCI, así como las entidades adquirientes, puede imponer pagos, sanciones o incrementos de tarifas por incumplimiento de PCI, o peor aún, rescindir el servicio de utilización de las tarjetas. • Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito, costes de investigación en caso de incidente, costes legales, etc… 30
  • 31. Resumen • PCI SSC es el consorcio formado por • Definen los estándares: PCI DSS afecta a toda entidad que almacene/procese/transmita datos de titulares de tarjetas. • Algunas de las actividades requeridas: – Auditoría cumplimiento PCI DSS. – Desarrollo políticas y procedimientos. – Hacking cuatrimestral/anual. Comercios Todo comercio que acepte – Segmentación de red. pagos con tarjeta, WEB o presencialmente. – Gestión de accesos. – Seguridad perimetral. Instituciones Emisores de tarjetas (Issuer) – Soluciones de financieras o adquirientes (acquirer), entiedades que procesan las cifrado, monitorización, autenticación,…. transacciones en – Seguridad física. representación de otros. • Razones para cumplir: – Confianza de los clientes y mejora en seguridad. Empresas de Proveedores de servicio, – Protección ante responsabilidades vinculadas al mal servicios siempre y cuando almacenen, transmitan o procesen datos uso de información de tarjetas, costes de de titulares. investigación en caso de incidente, legales, etc. – Sanciones o pagos por parte de las marcas. – Rescisión del servicio de utilización de tarjetas. 31
  • 32. Grupo SIA. La compañía • Multinacional española con más de 20 años de experiencia. • Oficinas en Madrid, Barcelona, Lisboa y Oporto. • Volumen de negocio de 60M€ y 500 empleados. • Modelo de negocio basado en la especialización y el compromiso de servicio al cliente. • Acuerdos estratégicos con líderes tecnológicos. • Orientación a calidad, con varias certificaciones.
  • 33. Nuestro foco Generación de Valor como Objetivo, Consultoría Integración Servicios gestionados VALOR Seguridad Almacenamiento Gestión de TI Movilidad … Sinergia como Cultura de Trabajo