SlideShare una empresa de Scribd logo

Norm PCI acceso remoto red

P
Pablo
1 de 7
Descargar para leer sin conexión
Impacto de la normativa PCI en el acceso remoto a la red Tópicos a desarrollar: • Breve introducción a la normativa PCI • Modos de acceso a la red • Principales Amenazas por OWA OWASP • Recomendaciones de Protección
Breve introducción a la normativa PCI (Payment Card Industry) Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta de crédito y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Dónde encontrar información sobre la Normativa En el siguiente link está disponible para todos aquellos que quieran consultar: http://es.pcisecuritystandards.org Además hay algunos documentos que complementan la regla y asisten en su cumplimiento.
Modos de acceso a la red Hemos organizado la actividad “Impacto de la normativa PCI en el acceso remoto a la red”, con la intención de tratar dos formas distintas de acceso: • por medio de VPN • por acceso a aplicaciones web Conexiones VPN Estas son requeridas para aquellos puntos de venta que utilizan redes públicas, es decir Internet. La norma en su punto 4.1 exige cifrado fuerte, recomendando los protocolos IPSec y/o SSL. Vale la pena mencionar, que la norma exige este tipo de conexiones para redes públicas y abarca también a las redes MPLS, dependiendo del tipo de contrato que se tenga con el proveedor. Véase lo incluido en el documento PCI-DSS-v-1-2
Aplicaciones Web La normativa exige en los puntos 6.5 y 6.6 el control para que no existan vulnerabilidades en los sitios web accesibles desde internet que realicen transacciones. Esos puntos están descriptos con mayor detalle en el documento Application Reviews and Web Application Firewall versión 1.2. En este documento se dan dos opciones a las empresas que realizan transacciones por medio de la web. La primera es controlar que no exista ninguna vulnerabilidad en los sitios web y la segunda es proteger los sitios web de vulnerabilidades conocidas. Otra forma de proteger la información es mediante la implementación de soluciones de protección contra ataques web. En particular Web Application Firewalls, estos dispositivos se basan en firmas y en ataques conocidos. Pero permiten además quitarle carga a los servidores web, autenticar usuarios, etc. Caso de Análisis En la Argentina recientemente ha sucedido un caso emblemático de una empresa que dice cumplir con los requerimientos de la norma, pero sufrió un ataque que la obligó a interrumpir sus operaciones por unas horas y difícilmente pueda seguir operando a largo plazo. Como última mención a este caso, el cifrado fuerte no es el algoritmo base64 y no deberían existir usuarios de prueba en la base de datos. Más información: http://blog.geelbe.com/ar/2010/03/24/nuevamente-en-linea/
Principales Amenazas por OWA OWASP El Open Web Application Security Project (OWASP) es una organización mundial sin fines de lucro enfocada en mejorar la seguridad del software de aplicación. Alineados con ellos, proponemos que al menos se protejan las diez principales amenazas descriptas a continuación.
Recomendaciones de Protección Es un punto a considerar que conviene más en cada caso particular y no aplicar controles solamente para cumplir con la norma, estos controles deben estar orientados a no sufrir ataques que pueden traer resultados lamentables para el negocio. Por tal motivo y teniendo en cuenta que se trata de aplicaciones de negocio, recomendamos que se realicen los dos tipos de controles: • Análisis de vulnerabilidades y compliance con PCI realizado por auditores certificados y externos a toda solución de seguridad presente en la empresa. • Protección en tiempo real, con la implementación de Web Application Firewalls. En RAN ofrecemos soluciones para todas las problemáticas presentadas. Para los puntos de venta, ofrecemos soluciones de manejo de VPNs y cifrado fuerte. Integrando diferentes fabricantes y soluciones que van desde la seguridad del endpoint (pudiendo ofrecer hasta el mismo sistema operativo) hasta la aplicación que procesa las transacciones. En ese sentido disponemos de las siguientes soluciones: McAfee Solidcore: Solidificador de los puntos de ventas Novell POS: Solución integral para puntos de venta SonicWall Secure Remote Access: Terminador de VPNs por IPSec y SSL que incluye el cliente SonicWall Netextender. Novell Access Manager: Terminador de VPNs y Proxy. Para proteger las aplicaciones publicadas en internet, RAN ofrece: McAfee Secure: análisis de vulnerabilidades y PCI compliance en la nube (cuenta con la certificación PCI para ofrecer este servicio) SonicWall Web Application Firewall: Solución compliance con PCI que protege en tiempo real de ataques web.
Resumen Ejecutivo Modos de Principales Recomendación Normativa PCI Acceso a la amenazas por de Red OWASP Protección Implementa estándares seguridad para transacciones Ranking con tarjetas de crédito SSL-VPN http://www.owasp.org/images/0/ 0f/OWASP_T10_-_2010_rc1.pdf Aplicaciones Web Mayor Información http://es.pcisecuritystandards.org

Recomendados

Microsoft forefront threat management gateway_TMG
Microsoft forefront threat management gateway_TMGMicrosoft forefront threat management gateway_TMG
Microsoft forefront threat management gateway_TMGChristian_1924
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19majitoer
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
CSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
 
Barracuda
BarracudaBarracuda
BarracudaGaby Mc
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redperita p
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Internet Security Auditors
 
Palo alto Networks
Palo alto NetworksPalo alto Networks
Palo alto NetworksZary Flores Castillo
 

Recomendados

Microsoft forefront threat management gateway_TMG
Microsoft forefront threat management gateway_TMGMicrosoft forefront threat management gateway_TMG
Microsoft forefront threat management gateway_TMGChristian_1924
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19majitoer
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
CSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
 
Barracuda
BarracudaBarracuda
BarracudaGaby Mc
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redperita p
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Internet Security Auditors
 
Palo alto Networks
Palo alto NetworksPalo alto Networks
Palo alto NetworksZary Flores Castillo
 
¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...
¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...
¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...Nextel S.A.
 
Firewall de aplicaciones web
Firewall de aplicaciones webFirewall de aplicaciones web
Firewall de aplicaciones webAdam Datacenter
 
Introduccion a la seguridad en Windows Azure
Introduccion a la seguridad en Windows AzureIntroduccion a la seguridad en Windows Azure
Introduccion a la seguridad en Windows AzureJuan Pablo
 
Protección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoProtección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoJosé Moreno
 
Argopolis Seguridad Digital
Argopolis Seguridad DigitalArgopolis Seguridad Digital
Argopolis Seguridad DigitalmjuanS2
 
Tmg
TmgTmg
Tmgxwilberhp
 
Mapa mental mariadejesus
Mapa mental mariadejesusMapa mental mariadejesus
Mapa mental mariadejesusMaria de Jesus Reyes Betancourt
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosLuis Silva
 
Seguridad en las redes de máquinas virtuales
Seguridad en las redes de máquinas virtualesSeguridad en las redes de máquinas virtuales
Seguridad en las redes de máquinas virtualesOmega Peripherals
 
Los diez mandamientos del administrador de la red zuleima
Los diez mandamientos del administrador de la red zuleimaLos diez mandamientos del administrador de la red zuleima
Los diez mandamientos del administrador de la red zuleimamirian
 
Los Diez Mandamientos Del Administrador De La Red Zuleima
Los Diez Mandamientos Del Administrador De La Red ZuleimaLos Diez Mandamientos Del Administrador De La Red Zuleima
Los Diez Mandamientos Del Administrador De La Red Zuleimatkm21
 
Ciberseguridad en la Transformación Digital de los negocios CA
Ciberseguridad en la Transformación Digital de los negocios CACiberseguridad en la Transformación Digital de los negocios CA
Ciberseguridad en la Transformación Digital de los negocios CACristian Garcia G.
 
I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...COIICV
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJose Alvarado Robles
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Ransomware protect yourself with check point sand blast
Ransomware protect yourself with check point sand blastRansomware protect yourself with check point sand blast
Ransomware protect yourself with check point sand blastCristian Garcia G.
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
SEGURIDAD
SEGURIDADSEGURIDAD
SEGURIDADpasavergas
 
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitalesCorp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitalesCorporacion de Industrias Tecnologicas S.A.
 
Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 
Presentación del aprendizaje movil rodríguez 123
Presentación del aprendizaje movil rodríguez 123Presentación del aprendizaje movil rodríguez 123
Presentación del aprendizaje movil rodríguez 123esmerlim
 
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...RicardoSanchezCoelho
 

Más contenido relacionado

La actualidad más candente

¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...
¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...
¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...Nextel S.A.
 
Firewall de aplicaciones web
Firewall de aplicaciones webFirewall de aplicaciones web
Firewall de aplicaciones webAdam Datacenter
 
Introduccion a la seguridad en Windows Azure
Introduccion a la seguridad en Windows AzureIntroduccion a la seguridad en Windows Azure
Introduccion a la seguridad en Windows AzureJuan Pablo
 
Protección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoProtección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoJosé Moreno
 
Argopolis Seguridad Digital
Argopolis Seguridad DigitalArgopolis Seguridad Digital
Argopolis Seguridad DigitalmjuanS2
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosLuis Silva
 
Seguridad en las redes de máquinas virtuales
Seguridad en las redes de máquinas virtualesSeguridad en las redes de máquinas virtuales
Seguridad en las redes de máquinas virtualesOmega Peripherals
 
Los diez mandamientos del administrador de la red zuleima
Los diez mandamientos del administrador de la red zuleimaLos diez mandamientos del administrador de la red zuleima
Los diez mandamientos del administrador de la red zuleimamirian
 
Los Diez Mandamientos Del Administrador De La Red Zuleima
Los Diez Mandamientos Del Administrador De La Red ZuleimaLos Diez Mandamientos Del Administrador De La Red Zuleima
Los Diez Mandamientos Del Administrador De La Red Zuleimatkm21
 
Ciberseguridad en la Transformación Digital de los negocios CA
Ciberseguridad en la Transformación Digital de los negocios CACiberseguridad en la Transformación Digital de los negocios CA
Ciberseguridad en la Transformación Digital de los negocios CACristian Garcia G.
 
I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...COIICV
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Ransomware protect yourself with check point sand blast
Ransomware protect yourself with check point sand blastRansomware protect yourself with check point sand blast
Ransomware protect yourself with check point sand blastCristian Garcia G.
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 

La actualidad más candente (20)

¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...
¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...
¿Es suficiente la infraestructura de seguridad tradicional para luchar contra...
 
Firewall de aplicaciones web
Firewall de aplicaciones webFirewall de aplicaciones web
Firewall de aplicaciones web
 
Introduccion a la seguridad en Windows Azure
Introduccion a la seguridad en Windows AzureIntroduccion a la seguridad en Windows Azure
Introduccion a la seguridad en Windows Azure
 
Protección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoProtección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF Lógico
 
Argopolis Seguridad Digital
Argopolis Seguridad DigitalArgopolis Seguridad Digital
Argopolis Seguridad Digital
 
Tmg
TmgTmg
Tmg
 
Mapa mental mariadejesus
Mapa mental mariadejesusMapa mental mariadejesus
Mapa mental mariadejesus
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Seguridad en las redes de máquinas virtuales
Seguridad en las redes de máquinas virtualesSeguridad en las redes de máquinas virtuales
Seguridad en las redes de máquinas virtuales
 
Los diez mandamientos del administrador de la red zuleima
Los diez mandamientos del administrador de la red zuleimaLos diez mandamientos del administrador de la red zuleima
Los diez mandamientos del administrador de la red zuleima
 
Los Diez Mandamientos Del Administrador De La Red Zuleima
Los Diez Mandamientos Del Administrador De La Red ZuleimaLos Diez Mandamientos Del Administrador De La Red Zuleima
Los Diez Mandamientos Del Administrador De La Red Zuleima
 
Ciberseguridad en la Transformación Digital de los negocios CA
Ciberseguridad en la Transformación Digital de los negocios CACiberseguridad en la Transformación Digital de los negocios CA
Ciberseguridad en la Transformación Digital de los negocios CA
 
I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Ransomware protect yourself with check point sand blast
Ransomware protect yourself with check point sand blastRansomware protect yourself with check point sand blast
Ransomware protect yourself with check point sand blast
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
 
SEGURIDAD
SEGURIDADSEGURIDAD
SEGURIDAD
 
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitalesCorp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
 
Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCO
 

Destacado

Presentación del aprendizaje movil rodríguez 123
Presentación del aprendizaje movil rodríguez 123Presentación del aprendizaje movil rodríguez 123
Presentación del aprendizaje movil rodríguez 123esmerlim
 
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...RicardoSanchezCoelho
 
Comercio electrónico
Comercio electrónicoComercio electrónico
Comercio electrónicofercorfon1
 
Tu personalidad
Tu personalidadTu personalidad
Tu personalidadeduardo
 
Conclusiones del eje Temático 01
Conclusiones del eje Temático 01Conclusiones del eje Temático 01
Conclusiones del eje Temático 01VLADEMIRSS
 

Destacado (7)

Presentación del aprendizaje movil rodríguez 123
Presentación del aprendizaje movil rodríguez 123Presentación del aprendizaje movil rodríguez 123
Presentación del aprendizaje movil rodríguez 123
 
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...
Ricardo Coelho - La Historia del Profesor que Utilizó el Ordenador en Clase y...
 
Comercio electrónico
Comercio electrónicoComercio electrónico
Comercio electrónico
 
Formularios con html5
Formularios con html5Formularios con html5
Formularios con html5
 
Tu personalidad
Tu personalidadTu personalidad
Tu personalidad
 
Conclusiones del eje Temático 01
Conclusiones del eje Temático 01Conclusiones del eje Temático 01
Conclusiones del eje Temático 01
 
Moodle2 Formulario
Moodle2 FormularioMoodle2 Formulario
Moodle2 Formulario
 

Similar a Norm PCI acceso remoto red

Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
asegurar la conexión a internet
asegurar la conexión a internetasegurar la conexión a internet
asegurar la conexión a internetFabio Chavez
 
U4_Aplicaciones Web.pdf
U4_Aplicaciones Web.pdfU4_Aplicaciones Web.pdf
U4_Aplicaciones Web.pdfVICTORMORO11
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño MovistarUPS
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSCore2014
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaDavid Thomas
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud CSA Argentina
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redMonica Acevedo
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
Microsoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft ForefrontMicrosoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft ForefrontChema Alonso
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 

Similar a Norm PCI acceso remoto red (20)

Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
asegurar la conexión a internet
asegurar la conexión a internetasegurar la conexión a internet
asegurar la conexión a internet
 
U4_Aplicaciones Web.pdf
U4_Aplicaciones Web.pdfU4_Aplicaciones Web.pdf
U4_Aplicaciones Web.pdf
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Diseño Movistar
Diseño MovistarDiseño Movistar
Diseño Movistar
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKS
 
Informe de solución XG Firewall v18
Informe de solución XG Firewall v18Informe de solución XG Firewall v18
Informe de solución XG Firewall v18
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la red
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 
Microsoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft ForefrontMicrosoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft Forefront
 
Security
SecuritySecurity
Security
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Firewall palo alto
Firewall palo altoFirewall palo alto
Firewall palo alto
 

Más de Pablo

Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Administracion De Eventos
Administracion De EventosAdministracion De Eventos
Administracion De EventosPablo
 
Raw whitepaper7abr
Raw whitepaper7abrRaw whitepaper7abr
Raw whitepaper7abrPablo
 
Raw whitepaper 5abr
Raw whitepaper 5abrRaw whitepaper 5abr
Raw whitepaper 5abrPablo
 
Epo 450 reporting_guide_es-es
Epo 450 reporting_guide_es-esEpo 450 reporting_guide_es-es
Epo 450 reporting_guide_es-esPablo
 
Epo 450 logfile_reference_es-es
Epo 450 logfile_reference_es-esEpo 450 logfile_reference_es-es
Epo 450 logfile_reference_es-esPablo
 
Epo 450 product_guide_es-es
Epo 450 product_guide_es-esEpo 450 product_guide_es-es
Epo 450 product_guide_es-esPablo
 
Epo 450 cluster_install_guide_es-es
Epo 450 cluster_install_guide_es-esEpo 450 cluster_install_guide_es-es
Epo 450 cluster_install_guide_es-esPablo
 
Epo 450 installguide_es-es
Epo 450 installguide_es-esEpo 450 installguide_es-es
Epo 450 installguide_es-esPablo
 
Release note 4.5
Release note 4.5Release note 4.5
Release note 4.5Pablo
 
Release note 4.0
Release note 4.0Release note 4.0
Release note 4.0Pablo
 
Epo 400 installguide_es-es
Epo 400 installguide_es-esEpo 400 installguide_es-es
Epo 400 installguide_es-esPablo
 
Brote virus
Brote virusBrote virus
Brote virusPablo
 

Más de Pablo (13)

Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Administracion De Eventos
Administracion De EventosAdministracion De Eventos
Administracion De Eventos
 
Raw whitepaper7abr
Raw whitepaper7abrRaw whitepaper7abr
Raw whitepaper7abr
 
Raw whitepaper 5abr
Raw whitepaper 5abrRaw whitepaper 5abr
Raw whitepaper 5abr
 
Epo 450 reporting_guide_es-es
Epo 450 reporting_guide_es-esEpo 450 reporting_guide_es-es
Epo 450 reporting_guide_es-es
 
Epo 450 logfile_reference_es-es
Epo 450 logfile_reference_es-esEpo 450 logfile_reference_es-es
Epo 450 logfile_reference_es-es
 
Epo 450 product_guide_es-es
Epo 450 product_guide_es-esEpo 450 product_guide_es-es
Epo 450 product_guide_es-es
 
Epo 450 cluster_install_guide_es-es
Epo 450 cluster_install_guide_es-esEpo 450 cluster_install_guide_es-es
Epo 450 cluster_install_guide_es-es
 
Epo 450 installguide_es-es
Epo 450 installguide_es-esEpo 450 installguide_es-es
Epo 450 installguide_es-es
 
Release note 4.5
Release note 4.5Release note 4.5
Release note 4.5
 
Release note 4.0
Release note 4.0Release note 4.0
Release note 4.0
 
Epo 400 installguide_es-es
Epo 400 installguide_es-esEpo 400 installguide_es-es
Epo 400 installguide_es-es
 
Brote virus
Brote virusBrote virus
Brote virus
 

Norm PCI acceso remoto red

  • 1. Impacto de la normativa PCI en el acceso remoto a la red Tópicos a desarrollar: • Breve introducción a la normativa PCI • Modos de acceso a la red • Principales Amenazas por OWA OWASP • Recomendaciones de Protección
  • 2. Breve introducción a la normativa PCI (Payment Card Industry) Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta de crédito y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Dónde encontrar información sobre la Normativa En el siguiente link está disponible para todos aquellos que quieran consultar: http://es.pcisecuritystandards.org Además hay algunos documentos que complementan la regla y asisten en su cumplimiento.
  • 3. Modos de acceso a la red Hemos organizado la actividad “Impacto de la normativa PCI en el acceso remoto a la red”, con la intención de tratar dos formas distintas de acceso: • por medio de VPN • por acceso a aplicaciones web Conexiones VPN Estas son requeridas para aquellos puntos de venta que utilizan redes públicas, es decir Internet. La norma en su punto 4.1 exige cifrado fuerte, recomendando los protocolos IPSec y/o SSL. Vale la pena mencionar, que la norma exige este tipo de conexiones para redes públicas y abarca también a las redes MPLS, dependiendo del tipo de contrato que se tenga con el proveedor. Véase lo incluido en el documento PCI-DSS-v-1-2
  • 4. Aplicaciones Web La normativa exige en los puntos 6.5 y 6.6 el control para que no existan vulnerabilidades en los sitios web accesibles desde internet que realicen transacciones. Esos puntos están descriptos con mayor detalle en el documento Application Reviews and Web Application Firewall versión 1.2. En este documento se dan dos opciones a las empresas que realizan transacciones por medio de la web. La primera es controlar que no exista ninguna vulnerabilidad en los sitios web y la segunda es proteger los sitios web de vulnerabilidades conocidas. Otra forma de proteger la información es mediante la implementación de soluciones de protección contra ataques web. En particular Web Application Firewalls, estos dispositivos se basan en firmas y en ataques conocidos. Pero permiten además quitarle carga a los servidores web, autenticar usuarios, etc. Caso de Análisis En la Argentina recientemente ha sucedido un caso emblemático de una empresa que dice cumplir con los requerimientos de la norma, pero sufrió un ataque que la obligó a interrumpir sus operaciones por unas horas y difícilmente pueda seguir operando a largo plazo. Como última mención a este caso, el cifrado fuerte no es el algoritmo base64 y no deberían existir usuarios de prueba en la base de datos. Más información: http://blog.geelbe.com/ar/2010/03/24/nuevamente-en-linea/
  • 5. Principales Amenazas por OWA OWASP El Open Web Application Security Project (OWASP) es una organización mundial sin fines de lucro enfocada en mejorar la seguridad del software de aplicación. Alineados con ellos, proponemos que al menos se protejan las diez principales amenazas descriptas a continuación.
  • 6. Recomendaciones de Protección Es un punto a considerar que conviene más en cada caso particular y no aplicar controles solamente para cumplir con la norma, estos controles deben estar orientados a no sufrir ataques que pueden traer resultados lamentables para el negocio. Por tal motivo y teniendo en cuenta que se trata de aplicaciones de negocio, recomendamos que se realicen los dos tipos de controles: • Análisis de vulnerabilidades y compliance con PCI realizado por auditores certificados y externos a toda solución de seguridad presente en la empresa. • Protección en tiempo real, con la implementación de Web Application Firewalls. En RAN ofrecemos soluciones para todas las problemáticas presentadas. Para los puntos de venta, ofrecemos soluciones de manejo de VPNs y cifrado fuerte. Integrando diferentes fabricantes y soluciones que van desde la seguridad del endpoint (pudiendo ofrecer hasta el mismo sistema operativo) hasta la aplicación que procesa las transacciones. En ese sentido disponemos de las siguientes soluciones: McAfee Solidcore: Solidificador de los puntos de ventas Novell POS: Solución integral para puntos de venta SonicWall Secure Remote Access: Terminador de VPNs por IPSec y SSL que incluye el cliente SonicWall Netextender. Novell Access Manager: Terminador de VPNs y Proxy. Para proteger las aplicaciones publicadas en internet, RAN ofrece: McAfee Secure: análisis de vulnerabilidades y PCI compliance en la nube (cuenta con la certificación PCI para ofrecer este servicio) SonicWall Web Application Firewall: Solución compliance con PCI que protege en tiempo real de ataques web.
  • 7. Resumen Ejecutivo Modos de Principales Recomendación Normativa PCI Acceso a la amenazas por de Red OWASP Protección Implementa estándares seguridad para transacciones Ranking con tarjetas de crédito SSL-VPN http://www.owasp.org/images/0/ 0f/OWASP_T10_-_2010_rc1.pdf Aplicaciones Web Mayor Información http://es.pcisecuritystandards.org