Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
1. 34ª CHARLA TÉCNICA, 28 de Abril de 2011
PCI DSS – Algo más que 12 requisitos de
seguridad
Juan Manuel Nieto Moreno
CISA, CISM, LA BS7799, PCI-DSS QSA, ITIL v3 Foundations
jmnieto@sia.es
2. Objetivos de la presentación
• Explicar los principales conceptos y estándares sobre la PCI.
• Identificar a los principales actores que intervienen en los procesos
de pago con tarjetas.
• Explicar las funciones, responsabilidades y obligaciones de cada
uno de los anteriores actores.
• Explicar las diferentes certificaciones relacionadas con PCI.
• Introducir los 12 requisitos de PCI DSS.
2
3. ÍNDICE
PCI – Origen y conceptos principales 1
Aplicabilidad de PCI DSS y principales actores 2
Certificaciones relacionadas con PCI 3
La norma PCI DSS y sus requisitos 4
Conclusiones 5
4. PCI – Origen y conceptos principales
• PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la
Industria de Tarjeta de Pagos, formado en 2006 por:
• Su objetivo es aunar esfuerzos en la securización del entorno de las tarjetas de
pago, facilitar la adopción de medidas de seguridad consistentes a nivel mundial y
reducir los casos de fraude.
• Para ello han creado varios estándares y mecanismos de certificación:
4
5. PCI DSS – Data Security Standard
• PCI DSS se aplican a todas las entidades que
participan en los procesos de las tarjetas de
pago (comerciantes, instituciones financieras,
entidades adquirentes, entidades emisoras,
proveedores de servicios…) y, en general, toda
organización que almacene, procese o transmita
datos de cuentas, siendo el número de cuenta
(PAN) el factor que determina la aplicabilidad
5
6. PCI PA-DSS – Payment Application
• PA-DSS se aplican a proveedores de software y
demás que desarrollan aplicaciones de pago que
almacenan, procesan o transmiten datos de
titulares de tarjetas
• Aplica siempre que dichas aplicaciones se vendan,
distribuyan u otorguen bajo licencia a terceros.
• Los comercios y proveedores de servicios deberían
utilizar únicamente aplicaciones que cumplen con
PA-DSS.
• La lista de aplicaciones validadas está disponible en:
www.pcisecuritystandards.org/security_standards/pa_dss.shtml
6
7. PCI PTS – PIN Transaction Security
• PCI PTS (anterior PCI PED) define un conjunto de
requisitos de seguridad orientados a las
características y mecanismos de gestión de los
dispositivos utilizados para la protección de los PIN
de las tarjetas, así como otras actividades
relacionadas con el procesamiento de pagos.
• Los requisitos son para los fabricantes en el
ámbito del diseño, fabricación y transporte de
los dispositivos hasta las entidades que los utilizan.
• Requisitos de seguridad disponibles:
– POI Modular Security Requirements v3.0
– Encrypting PIN Pad Devices v2.1
– Point of Sale Devices v2.1
– Hardware Security Module (HSM) v1.0
– Unattended Payment Terminals (UPT) v1.0
• La lista de dispositivos aprobados por el PCI SSC está disponible
en: www.pcisecuritystandards.org/security_standards/ped/pedapprovallist.html
7
8. ÍNDICE
PCI – Origen y conceptos principales 1
Aplicabilidad de PCI DSS y principales actores 2
Certificaciones relacionadas con PCI 3
La norma PCI DSS y sus requisitos 4
Conclusiones 5
12. ¿A quiénes afecta PCI DSS?
PCI DSS afecta a todo aquel que
almacene, procese y/o transmita
datos de cuentas, siendo el número de
cuenta (PAN) el factor que determina
la aplicabilidad.
12
13. Entorno afectado por PCI DSS
• Los requisitos de las PCI DSS aplican a todos los
componentes del sistema.
• Entendemos por “componente” como cualquier elemento
de red, servidor o aplicación
incluida en el entorno de los datos de
tarjetas o que esté conectado a éste.
• El entorno de los datos de tarjetas consta
de personas, procesos y tecnología
que almacenan, procesan o transmiten
datos de tarjetas o datos confidenciales de autenticación.
Sin una adecuada segmentación de red,
todos los elementos conectados a los
componentes donde se procesen,
transmitan o almacenen datos de
tarjeta, estarían afectados por PCI DSS.
13
14. Esquema básico de funcionamiento
Actores en el proceso de pago
PROVEEDOR
Open Network
Discover Network
JCB Network
BankNet
VisaNet
PROVEEDOR ADQUIRIENTE
(Merchant Bank)
CARD NETWORK
COMERCIO
PROVEEDOR
CLIENTE EMISOR
14
15. Comercios
Niveles establecidos y requisitos
• Los requisitos y mecanismos de reporte para comercios afectados por PCI DSS
varían según la marca de tarjeta.
• Niveles establecidos por VISA y Mastercard:
COMERCIOS:
Resumen de condiciones y niveles Obligaciones
• Si procesan más de seis millones de transacciones anuales, • Auditoría anual por un QSA.
con independencia del canal. • Escaneo de red trimestral con
1
• Si se hubiera comprometido la información de tarjetas. un ASV.
• Si fuera considerado de nivel 1 por cualquier miembro de PCI.
• Si procesan entre uno y seis millones de transacciones • Cuestionario de autoevaluación
2
anuales, con independencia del canal. anual (SAQ).
• Si procesan entre 20.000 y un millón de transacciones • Escaneo de red trimestral con
3
anuales a través de Internet. un ASV.
4 • El resto*
* En el caso de Visa, los requisitos indicados para el nivel 4 son sólo recomendaciones
15
16. Proveedores de servicio
Niveles establecidos y requisitos
• Los requisitos y mecanismos de reporte para proveedores de servicio afectados por
PCI DSS varían según la marca de tarjeta.
• Niveles establecidos por VISA y Mastercard:
PROVEEDORES DE SERVICIOS:
Resumen de condiciones y niveles Obligaciones
• Si almacenan, procesan o transmiten más de • Auditoría anual por un QSA.
1 300.000 transacciones anuales, con independencia • Escaneo trimestral con un ASV.
del canal. *
• Si almacenan, procesan o transmiten menos de • Cuestionario de autoevaluación anual
300.000 transacciones anuales, con independencia (SAQ).
2
del canal. • Escaneo de red trimestral (con un ASV
en el caso de Visa).
* Mastercard: Los TPP (Third Party Processors) siempre nivel 1
16
17. Elegir el cuestionario de
autoevaluación aplicable (SAQ)
https://www.pcisecuritystandards.org/pdfs/instructions_guidelines_v1-1.pdf
17
18. Selección del cuestionario
de autoevaluación (SAQ)
• Según la naturaleza del negocio, las entidades deben responder a uno u otro
cuestionario SAQ (Self Assessment Questionnaire):
SAQ Descripción Requisitos PCI DSS
A Comerciantes con tarjetas ausentes (comercio electrónico, pedido 13 preguntas
por correo o pedido por teléfono); todas las funciones que (req. 9, 12)
impliquen el manejo de tarjetas externalizadas. Nunca aplicable a
comerciantes cara a cara.
B Comerciantes que usan solamente máquinas impresoras, sin 29 preguntas
almacenamiento electrónico de tarjetas, o comerciantes que (req. 3, 4, 7, 9, 12)
tienen terminales independientes con discado externo y no
almacena electrónicamente datos de los titulares de tarjetas.
C-VT Comerciantes que tienen terminales independientes con discado 51 preguntas
externo y no almacenan electrónicamente datos de tarjetas. (req. 1,2, 3, 4, 6, 7, 9, 12)
C Comerciantes con sistemas de aplicaciones de pago conectados a 40 preguntas
Internet, sin almacenamiento electrónico de tarjetas. (req. 1,2, 3, 4, 6, 7, 8, 9,
11, 12)
D Todos los demás comerciantes, no incluidos en las descripciones 288 preguntas
correspondientes a las versiones de A a C; y todos los proveedores (todos los req.)
de servicio definidos por una marca de pago como elegibles para
completar un SAQ.
18
19. Entidades financieras
• Al igual que comercios y proveedores de servicios, tienen que proteger el
entorno donde almacenen, procesen o transmitan datos de cuentas, siendo
el número de cuenta (PAN) el factor que determina la aplicabilidad.
• Pero además, pueden ser ENTIDADES ADQUIRIENTES, siendo como tal responsables
del cumplimiento de los comercios y proveedores, por lo que deben:
• Garantizar que los comercios entienden los requerimientos de PCI DSS.
• Realizar un seguimiento del cumplimiento en cada comercio.
• Gestionar las comunicaciones con los comercios.
• Trabajar con los comercios hasta que consigan la validación de PCI DSS.
• Informar del estado de cumplimiento de los comercios a las marcas de tarjetas.
• Responder ante responsabilidades que resulten del no cumplimiento de los programas
de las marcas de tarjetas.
Fuentes:
http://www.mastercard.com/us/company/en/whatwedo/sdp_acquirers.html
http://www.visaeurope.es/es/visa_para_comercios/seguridad_de_la_informacion.aspx
http://usa.visa.com/merchants/risk_management/cisp_merchants.html
19
20. ÍNDICE
PCI – Origen y conceptos principales 1
Aplicabilidad de PCI DSS y principales actores 2
Certificaciones relacionadas con PCI 3
La norma PCI DSS y sus requisitos 4
Conclusiones 5
21. Certificaciones de empresas
emitidas por PCI SSC
Datos de 13 de abril 2011
Título Objetivo Total
QSA - Evalúan cumplimiento PCI DSS.
267
Qualified Security Assessor
ASV - Realizan los análisis de vulnerabilidades de los sistemas.
153
Approved Scanning Vendors
PA-QSA - Evalúan el cumplimiento de PCI PA-DSS.
62
Payment Application Qualified
Security Assessor
ISA - Permite a las entidades afectadas por PCI DSS participar
-
Internal Security Assessors en un programa de formación, mejorando así su
entendimiento de PCI DSS, facilitar la interacción con los
QSA y formarse para la realización de los SAQ.
PFI - Habilitados para investigar incidentes de seguridad.
11
PCI Forensic Investigator
Fuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php
21
22. Certificaciones de productos
Objetivo Descripción
Aplicaciones Aplicaciones validadas por un PA-QSA que cumplen los requisitos de PA-
DSS. Información incluida:
Total 785
• Versión de PA-DSS respecto a la
que están validadas.
• Versión, tipo, mercado objetivo
• Fecha de revalidación.
• Fecha de expiración.
• PA-QSA que lo valida.
Dispositivos Dispositivos de pago validados por PCI SSC.
• Tipo de producto
Total 421
• Fecha de expiración
• Otros: PIN Support, Key Management, Prompt Control, PIN Entry
Technology…
Fuente: https://www.pcisecuritystandards.org/approved_companies_providers/index.php
22
23. Proveedores de servicios
• Las marcas de tarjetas mantienen actualizada una lista de proveedores de servicios
que cumplen con PCI DSS (sólo aparecen los Level 1).
• El cumplimiento de PCI DSS por parte de los proveedores deben validarlo y reportarlo
las empresas QSA.
• Enlaces VISA y MASTERCARD:
www.visaeurope.com/en/businesses__retailers/payment_security/service_providers.aspx
www.mastercard.com/us/sdp/serviceproviders/compliant_serviceprovider.html
23
24. ÍNDICE
PCI – Origen y conceptos principales 1
Aplicabilidad de PCI DSS y principales actores 2
Certificaciones relacionadas con PCI 3
La norma PCI DSS y sus requisitos 4
Conclusiones 5
25. Organización del estándar
Muestra los procesos que el
asesor debe seguir a los
efectos de validar que los
requisitos de las PCI DSS se
implementaron.
25
26. Requisitos de PCI DSS v2.0
Desarrollar y mantener 1. Instale y mantenga una configuración de firewalls para proteger los datos de los
una red segura. titulares de las tarjetas.
2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los
proveedores.
Proteger los datos del 3. Proteja los datos del titular de la tarjeta que fueron almacenados.
titular de la tarjeta. 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas
abiertas.
Mantener un programa de 5. Utilice y actualice regularmente el software o los programas antivirus.
administración de 6. Desarrolle y mantenga sistemas y aplicaciones seguras.
vulnerabilidad.
Implementar medidas 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber
sólidas de control de del negocio.
acceso. 8. Asignar una ID exclusiva a cada persona que tenga acceso por computadora.
9. Restringir el acceso físico a los datos del titular de la tarjeta.
Supervisar y evaluar las 10. Rastree y supervise todos los accesos a los
redes con regularidad. recursos de red y a los datos de los titulares
de las tarjetas.
11. Pruebe con regularidad los sistemas y
procesos de seguridad.
Mantener una política de 12. Mantenga una política que aborde la
seguridad de información. seguridad de la información para todo
el personal.
26
27. Aplicación de los requisitos al entorno PCI
1. Cortafuegos (control del tráfico, DMZ, aislamiento). Red de usuarios
2. Fortificación sistemas (segregación, cifrado accesos
administrativos).
3. Protección datos almacenados (cifrado/ofuscación
PAN, gestión claves). Red interna
4. Transmisión cifrada de datos en redes
públicas e inalámbricas.
Acceso WIFI
5. Antivirus.
6. Aplicaciones seguras (desarrollo y
parcheado).
7. Control de acceso (gestión de usuarios
y privilegios).
8. Identificadores nominales (autenticación
de doble factor en accesos remotos,
gestión de contraseñas). 10. Monitorización accesos / pistas de auditoría
9. Control de acceso físico (ID, (protección registros, revisión).
cámaras, registro, soportes). 11. Detección puntos inalámbricos, análisis
vulnerabilidades, pruebas penetración de red
y aplicación, IDS/IPS, software integridad
archivos críticos.
12. Políticas, procedimientos de seguridad, gestión de riesgos, concienciación,
gestión de proveedores, contratos, gestión incidentes.
27
28. ÍNDICE
PCI – Origen y conceptos principales 1
Aplicabilidad de PCI DSS y principales actores 2
Certificaciones relacionadas con PCI 3
La norma PCI DSS y sus requisitos 4
Conclusiones 5
29. Errores comunes en la
adecuación a PCI DSS
• No identificar todos los flujos de datos de tarjeta.
• No tener un inventario completo de todos los sistemas y localizaciones
afectadas por PCI.
• No identificar todas las conexiones de red con el entorno afectado.
• Tener una inadecuada segmentación de la red.
• Falta de apoyo de la Dirección (y presupuesto).
• Olvidar que PCI DSS es un proceso continuo.
29
30. ¿Por qué cumplir con PCI DSS?
• Mantener e incrementar la confianza de los clientes (control del riesgo de
pérdida de imagen).
• Facilita el cumplimiento con la legislación, estándares o requerimientos de
seguridad y privacidad.
• La asociación de entidades que apoyan PCI, así como las entidades
adquirientes, puede imponer pagos, sanciones o incrementos de tarifas por
incumplimiento de PCI, o peor aún, rescindir el servicio de utilización de las
tarjetas.
• Protección ante responsabilidades y costes potenciales vinculados al mal uso
de información de tarjetas de crédito, costes de investigación en caso de
incidente, costes legales, etc…
30
31. Resumen
• PCI SSC es el consorcio formado por
• Definen los estándares:
PCI DSS afecta a toda entidad que
almacene/procese/transmita
datos de titulares de tarjetas.
• Algunas de las actividades requeridas:
– Auditoría cumplimiento PCI DSS.
– Desarrollo políticas y procedimientos.
– Hacking cuatrimestral/anual. Comercios Todo comercio que acepte
– Segmentación de red. pagos con tarjeta, WEB o
presencialmente.
– Gestión de accesos.
– Seguridad perimetral. Instituciones Emisores de tarjetas (Issuer)
– Soluciones de financieras o adquirientes (acquirer),
entiedades que procesan las
cifrado, monitorización, autenticación,….
transacciones en
– Seguridad física. representación de otros.
• Razones para cumplir:
– Confianza de los clientes y mejora en seguridad. Empresas de Proveedores de servicio,
– Protección ante responsabilidades vinculadas al mal servicios siempre y cuando almacenen,
transmitan o procesen datos
uso de información de tarjetas, costes de de titulares.
investigación en caso de incidente, legales, etc.
– Sanciones o pagos por parte de las marcas.
– Rescisión del servicio de utilización de tarjetas.
31
32. Grupo SIA. La compañía
• Multinacional española con más de 20 años de experiencia.
• Oficinas en Madrid, Barcelona, Lisboa y Oporto.
• Volumen de negocio de 60M€ y 500 empleados.
• Modelo de negocio basado en la especialización y el compromiso de
servicio al cliente.
• Acuerdos estratégicos con líderes tecnológicos.
• Orientación a calidad, con varias certificaciones.
33. Nuestro foco
Generación de Valor como Objetivo,
Consultoría
Integración
Servicios gestionados
VALOR
Seguridad
Almacenamiento
Gestión de TI
Movilidad
… Sinergia como Cultura de Trabajo