SlideShare una empresa de Scribd logo

11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS

Descargar como PPTX, PDF
Luis Fernando Aguas Bucheli
Luis Fernando Aguas Bucheli

Este documento proporciona información sobre el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Explica que el PCI DSS establece requisitos mínimos de seguridad para proteger los datos de titulares de tarjetas. También cubre conceptos clave como el almacenamiento y transmisión segura de datos de tarjetas y las consecuencias de incumplir con los estándares PCI DSS.

Ingeniería
1 de 46
Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS Seguridad de la Información Modalidad de estudios: Semi Presencial Mg. Luis Fernando Aguas Bucheli +593 984015184 @Aguaszoft Laguas@uisrael.edu.ec aguaszoft@icloud.com
Objetivos del encuentro: 1. Adquirir los conceptos básicos relacionados con la tendencia de SI 2. Reconocer las características de la tendencia de SI Semana Nro. 11
Frase Motivacional “Siempre que ves una persona exitosa percibes sus glorias, y nunca los sacrificios que la llevaron hasta allí” – Vaibhav Shah.
Los Datos de las Tarjetas de Pago son un Objetivo muy deseable para los Delincuentes...
...siempre han estado en la parte superior de la lista de datos más robados Los Datos de las Tarjetas de Pago son un Objetivo muy deseable para los Delincuentes...
Los métodos más utilizados explotan debilidades de seguridad presentes en el medio ambiente.
2005 40 millones de tarjetas perdidas 2007 45,7 millones de tarjetas perdidas 2009 160 millones de tarjetas perdidas 2013 1,8 millones de tarjetas perdidas Procesador de tarjetas de pago • Acceden a base de datos con conectividad directa a Internet. • Empresa ya no está en el negocio. Importante minorista Retail • Malware no detectado por 18 meses. • Informes sugieren costos directos del orden de 256 millones de dólares. Procesador de pagos • Malware se utilizó para capturar datos de los tarjetahabientes, ya procesados. • Informes sugieren costos directos cercanos 171 millones de dólares. Minorista de alimentos • Malware instalado en POS robo datos cuando estos eran capturados. • Costos estimados podrían superar los 80 millones de dólares. Mayores Robos de tarjetas
Métodos más usados para el robo de datos de tarjetas Explotación de credenciales débiles o robados Involucra algún tipo de piratería Incorpora malware Involucra agresiones físicas Uso de tácticas sociales 29%
• Contraseñas débiles o por defecto • Falta de educación de los empleados • Deficiencias de seguridad introducidas por terceros • Lenta autodetección Principales Errores Revelados por auditorías forenses
Riesgos para el negocio
Fecha de vencimiento de tarjetas Números de tarjetas Códigos de verificación Datos de banda Otro 16% 81% 73% 71% 57% Una encuesta en Europa y U.S. reveló que muchas empresas almacenan información de tarjetahabientes
Una encuesta de PwC efectuada a 9.700 empresas encontró que habían detectados casi 43 millones de incidentes de seguridad en 2014, una tasa de crecimiento anual compuesto del 66% desde 2009
De los ejecutivos de US están preocupados por el impacto de las amenazas cibernéticas en el crecimiento. Nuevas iniciativas están aumentando los ingresos, pero 69%
69% La fuerza de ventas se esfuerza por mejorar la experiencia cliente, pero De los consumidores dijo que una brecha de seguridad los inclinaría a comprar menos en la organización involucrada.
Payment Card Industr y Data Security Standard (PCI DSS)
Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar las medidas de seguridad consistentes a nivel mundial.
EMPRESAS FUNDADORAS
• Ofrece una línea de base de requisitos técnicos y operativos diseñados para proteger los datos de titulares de tarjetas. • Comprende conjunto mínimo de requisitos para la protección de datos de tarjeta, puede ser reforzada por controles y prácticas para mitigar aún más riesgos adicionales. • Se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago - incluyendo comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. • Se aplica donde se almacenan los datos de cuenta, procesan o transmiten. Payment Card Industry Data Security Standard (PCI DSS)
Ecosistema de dispositivos de pago, aplicaciones, infraestructura y usuarios ESTÁNDARES EN LA INDUSTRIA PCI Fabricantes PCI PTS (PIN Entry Device) Dispositivos de ingreso de PIN Desarrolladores de software PCI PA DSS Implementadores de aplicaciones de pago Comerciosy procesadores PCI DSS Estándar de Seguridad de datos P2PE PCI Security & Compliance
UN PROCESO DE MEJORA CONTINUA Remediar Evaluar Informar Resolver vulnerabilidades y no almacenar datos de titulares de tarjeta a menos que sea estrictamente necesario. Identificar datos de tarjetahabientes, hacer un inventario de activos de TI y los procesos de negocio para procesamiento de tarjetas de pago, analizarlos para determinar vulnerabilidades que podrían exponer los datos de los tarjetahabientes. Compilar y presentar los registros de validación de remediales (si aplican),presentar informes de conformidad a banco adquirente y marcas de tarjetas involucradas.
123 0000 0001 2345 6789 02/10 Mi tarjeta de crédito Tarjeta de crédito 123 PAN Fecha vencimiento CID (American Express) Banda magnética (Información en track 1 y 2) CAV2/CID/CVC2/CVV2 (Discover,JCB, MasterCard, Visa) TIPOS DE DATO EN TARJETAS DE PAGO
Elementos de datos Almacenamiento permitido Hace que los datos de la cuenta almacenados no se puedan leer según requisito 3.4 Datos de titular del tarjeta Número de cuenta principal (PAN) Sí Sí Nombre del titular de tarjeta Sí No Código de servicio Sí No Fecha de vencimiento Sí No Datos confidenciales de autenticación Datos completos de la banda magnética No No se pueden almacenar (req3.2) CAV2/CVC2/CVV2/CID No No se pueden almacenar (req3.2) PIN/Bloqueo de PIN No No se pueden almacenar (req3.2) Datosdelacuenta Los requisitos 3.3 y 3.4 sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, únicamente el PAN debe ser ilegible (Req3.4).
• Mucha gente se refiere a toda la data de la tarjeta simplemente como la data del tarjetahabiente o la data del propietario de tarjeta. • Los requisitos de PCI DSS son aplicables si el PAN o data sensible de autenticación (Sensitive Authentication data, SAD) son almacenados, procesados o trasmitidos. • Los requisitos de PCI DSS también aplican a sistemas que proveen servicios de seguridad o podrían impactar en la seguridad de los datos de cuenta. • D a t o s d e c u e n t a i n c l u y e n t o d a l a información impresa sobre la tarjeta física y también sobre bandas magnéticas o chip. • Data sensible de autenticación no puede s e r a l m a c e n a d a autorización. d e s p u é s d e l a ¿A qué se le llama "data del propietario de tarjeta"?
• No está permitido almacenar Tracks u otros datos sensibles después de la autorización. • Esto se aplica incluso si los datos están protegidos por: • Cifrado • Protección por contraseña • Codificación de datos / ofuscación • Enmascaramiento • Formatos de datos propietarios • Otros mecanismos Almacenamiento de tracks NO está permitido
Almacenamiento de tracks NO está permitido Emisores y procesadores están autorizados a conservar datos sensibles, si son necesarios para efectos de correcciones.
• Bases de datos • Archivos planos • Archivos de registro (logs) • Archivos de depuración (debug files) • Unllocated cluster Los datos de tracks se pueden encontrar en una variedad de ubicaciones:
• Servidores de soluciones POS • POS • Servidores de autorización • Equipos de autoservicios como ATMs y quioscos ¿ D o n d e c o m ú n m e n t e s e almacena información de tracks de tarjetas?
• Solucionar lectura erróneas de pista • Errores de red • Problemas de codificación • Otros ¿ P o r q u é e s t á almacenamiento datos de tracks? p e r m i t i d o temporal e l de
• Recopilación de datos sólo cuando sea necesario para resolver un problema específico. • Recolección mínima de datos. • Almacenamiento de datos en ubicaciones específicas, seguras y con acceso limitado. • Cifrado de datos cuando se almacenan / transmiten. • Eliminación de datos de forma segura, inmediatamente solucionado el problema. • Verificación que la data no puede ser recuperada una solucionado el problema. Procedimientos de recopilación de data documentados incluyen:
6 Objetivos 12 Requerimientos
Objetivos Requisitos Desarrollar y mantener una red segura Requisito 1. Instalar y mantener una configuración de cortafuegos para proteger los datos de propietarios de tarjetas. Requisito 2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores. Proteger los datos de los propietarios de las tarjetas (tarjetahabientes). Requisito 3. Proteger los datos almacenados de los propietarios de tarjetas. Requisito 4. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas. Mantener un programa de gestión de vulnerabilidades Requisito 5. Usar y actualizar periódicamente un software antivirus. Requisito 6. Desarrollar y mantener aplicaciones seguras. Implementar medidas sólidas de control de acceso Requisito 7. Restringir el acceso a los datos, tomando como base la necesidad del funcionario a conocer la información. Requisito 8. Asignar una identificación única a cada persona que tenga acceso a un computador. Monitorear y probar regularmente las redes Requisito 9. Restringir el acceso físico a los datos de los propietarios de tarjetas. Requisito 10. Rastrear y monitorear todo el acceso a los recursos de la red y datos de propietarios de tarjetas. Mantener una política de seguridad de la información Requisito 11. Probar regularmente los sistemas y procesos de seguridad. Requisito 12. Mantener una política que contemple la seguridad de la información. Tabla de requisitos PCI DSS
La forma más segura de reducir el alcance de PCI DSS es NO almacenar los datos de los tarjetahabientes
FORMATO PCI DSSV3 • Requerimiento PCI DSS: Esta columna define los requisitos de la norma de seguridad de datos; El cumplimiento de PCI DSS se valida con estos requisitos. • Procedimiento de prueba: Esta columna muestra los procesos a seguir por el evaluador para validar que se han cumplido los requisitos de PCI DSS y están "en su lugar". • Guía: Esta columna describe la intención o la seguridad objetiva detrás de cada uno de los requisitos de PCI DSS. Esta columna contiene orientativo, y está destinado a facilitar la comprensión del propósito de cada requisito. la guía en esta columna no pretende sustituir o ampliar los requisitos de PCI DSS y procedimientos de prueba. Requerimiento PCI DSS Procedimiento de prueba Guía 1.1 Establezca e implemente normas de configuración para firewalls y routers que incluyan lo siguiente: 1.1Inspeccione las normas de configuración de firewalls y routers y otros documentos especificados a continuación para verificar el cumplimiento e implementación de las normas. Los firewalls y los routers son componentes clave de la arquitectura que controla la entrada a y la salida de la red. stos dispositivos son unidades de software o hardware que bloquean el acceso no deseado y administran el acceso autorizado hacia dentro y fuera de la red.
0 22,5 45 67,5 90 Req1 Req2 Req3 Req4 Req5 Req6 Req7 Req8 Req9 Req10 Req11 Req12 2013 2014 Cumplimiento PCI DSS
PaymentApplication Data Security Standard (PA DSS)
El objetivo de PA-DSS es ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguras y que den cumplimiento a PCI-DSS
Aplicaciones que se venden, distribuyen o autorizan bajo licencia a terceros están sujetas a los requisitos de la PA-DSS
La forma más segura de reducir el alcance de PCI DSS es NO almacenar los datos de los tarjetahabientes Un software aprobado no es equivalente a ser "PCI Compliance"
"Mi software está aprobado, por lo que debería estar en conformidad con PCI“. Esto es incorrecto, cualquier comercio que hace que esta conclusión errónea podría estar abierto a vulnerabilidades, que negarían la posibilidad de cumplimiento de PCI.
Un software de PA-DSS aprobado es un componente crucial de PCI DSS, pero si la seguridad de la red no se implementó correctamente, entonces la aplicación será vulnerable.
• El uso de aplicaciones PA-DSS por sí m i s m o n o h a c e a u n a e n t i d a d conforme con PCI-DSS. • Las aplicaciones PA-DSS están dentro del alcance de PCI-DSS. • Las evaluaciones de PCI-DSS para a p l i c a c i o n e s d e p a g o d e b e r í a n verificar que: Las aplicaciones de pago se implementan en un entorno compatible con PCI-DSS. L a s a p l i c a c i o n e s d e p a g o e s t á n configuradas para cumplid los requisitos de PCI-DSS, de acuerdo con la Guía de aplicación PA-DSS. ¿Cómo impacta una aplicación PA-DSS en PCI-DSS?
• PA-DSS se aplica a las software de terceros: • Si la aplicación realiza autorizaciones o pagos (POS, carritos de la compra, ATMs, etc.) • PA-DSS garantiza que una aplicación de pago, funciona de manera compatible con PCI-DSS: • Para apoyar el cumplimiento de PCI-DSS. • Las aplicaciones de pago PA-DSS se deben instalar: • S e g ú n i n s t r u c c i ó n d e l a g u í a d e implementación PA-DSS proporcionados por el proveedor. • De una manera compatible con PCI-DSS . PaymentApplication Data Security Standard
Requisitos PA DSS Requisito 1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2), ni los datos de PIN block Requisito 2. Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 3. Provea funciones de autenticación segura Requisito 4. Registre la actividad de la aplicación de pago Requisito 5. Desarrolle aplicaciones de pago seguras Requisito 6. Proteja las transmisiones inalámbricas Requisito 7. Pruebe las aplicaciones de pago para tratar las vulnerabilidades Requisito 8. Facilite la implementación de una red segura Requisito 9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a Internet Requisito 10. Facilite actualizaciones de software remotas y seguras Requisito 11. Facilite un acceso remoto seguro a la aplicación de pago Requisito 12. Cifre el tráfico sensitivo de las redes públicas Requisito 13. Cifre el acceso administrativo que no sea de consola Requisito 14. Mantenga la documentación instructiva y los programas de capacitación para clientes, revendedores e integradores Tabla de requisitos PA DSS
Referencias • Verizon 2015 PCI Compliance Report • Verizon 2012 Informe sobre investigación de brechas en los datos de 2012 • US cybercrime: Rising risks, reduced readiness Key findings from the 2014 US State of Cybercrime Survey, PwC 2014 • PCI DSS Quick Reference Guide, Understanding the Payment Card Industry Data Security Standard v3.1 • Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures, v3.0, November 2013 • Summary of Feedback Received for PCI DSS v2.0 and PA-DSS, v2.0, August 2012 • Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security Standard, v3.0 Change Highlights August 2013 • Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad, v2.0, Octubre de 2010 • Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and Security Assessment Procedures, V2.0, October • Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and Security Assessment Procedures, v3.0, November 2013 • International standards ISO 7813 (tracks 1 and 2) and ISO 4909 (track 3).
Direccionamiento actividades de aprendizaje Actividades: • Revisar el aula virtual • Realizar las actividades y tareas planteadas. Se recomienda describir por ejemplo: • Tomar apuntes esenciales, revisar el material de clases
GRACIAS

Recomendados

OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
Internet Security Auditors
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Internet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Juan Jose Rider Jimenez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
Internet Security Auditors
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Internet Security Auditors
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Internet Security Auditors
 

Recomendados

OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
Internet Security Auditors
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Internet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Juan Jose Rider Jimenez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
Internet Security Auditors
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Internet Security Auditors
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Internet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Jesús Vázquez González
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Juan Manuel Nieto
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
Internet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
Internet Security Auditors
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
AECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
Manuel Fernandez Barcell
 
Tecnologia de la información
Tecnologia de la informaciónTecnologia de la información
Tecnologia de la informaciónmis materias en ucasal
 
T04 02 dnielectronico
T04 02 dnielectronicoT04 02 dnielectronico
T04 02 dnielectronico
Manuel Fernandez Barcell
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
Jefersonguetio
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Internet Security Auditors
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
Internet Security Auditors
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
Raúl Díaz
 
Caso práctico1
Caso práctico1Caso práctico1
Caso práctico1
natylindis
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
--------------
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
Alvaro Machaca Tola
 
8 prospectiva del e commerce
8 prospectiva del e commerce8 prospectiva del e commerce
8 prospectiva del e commerceRocio Alvear
 
01 7n2is trabajo-tecnica-de-captura-de-datos
01 7n2is trabajo-tecnica-de-captura-de-datos01 7n2is trabajo-tecnica-de-captura-de-datos
01 7n2is trabajo-tecnica-de-captura-de-datos
Manuel Mujica
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
SIA Group
 
Tarjetas inteligentes
Tarjetas inteligentesTarjetas inteligentes
Tarjetas inteligentes
Ozkar Mwerxs Sxey
 

Más contenido relacionado

La actualidad más candente

Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Jesús Vázquez González
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Juan Manuel Nieto
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
Internet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
Internet Security Auditors
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
AECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
Manuel Fernandez Barcell
 

La actualidad más candente (11)

Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
 
Tecnologia de la información
Tecnologia de la informaciónTecnologia de la información
Tecnologia de la información
 
T04 02 dnielectronico
T04 02 dnielectronicoT04 02 dnielectronico
T04 02 dnielectronico
 

Similar a 11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS

Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
Jefersonguetio
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Internet Security Auditors
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
Internet Security Auditors
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
Raúl Díaz
 
Caso práctico1
Caso práctico1Caso práctico1
Caso práctico1
natylindis
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
--------------
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
Alvaro Machaca Tola
 
8 prospectiva del e commerce
8 prospectiva del e commerce8 prospectiva del e commerce
8 prospectiva del e commerceRocio Alvear
 
01 7n2is trabajo-tecnica-de-captura-de-datos
01 7n2is trabajo-tecnica-de-captura-de-datos01 7n2is trabajo-tecnica-de-captura-de-datos
01 7n2is trabajo-tecnica-de-captura-de-datos
Manuel Mujica
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
SIA Group
 
Tarjetas inteligentes
Tarjetas inteligentesTarjetas inteligentes
Tarjetas inteligentes
Ozkar Mwerxs Sxey
 
Mesas Redondas A - Delitos Ciberneticos
Mesas Redondas A - Delitos CiberneticosMesas Redondas A - Delitos Ciberneticos
Mesas Redondas A - Delitos CiberneticosEmily Mermell
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
Information Security Services SA
 
Análisis Forense de teléfonos Android y tarjeta SIM
Análisis Forense de teléfonos Android y tarjeta SIMAnálisis Forense de teléfonos Android y tarjeta SIM
Análisis Forense de teléfonos Android y tarjeta SIM
Eventos Creativos
 
Sistemas De Informacion Seguridad En La Red
Sistemas De Informacion Seguridad En La RedSistemas De Informacion Seguridad En La Red
Sistemas De Informacion Seguridad En La Red
iojer
 
Formas de Pago y Seguridad
Formas de Pago y SeguridadFormas de Pago y Seguridad
Formas de Pago y Seguridadjuan
 
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitalesCorp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corporacion de Industrias Tecnologicas S.A.
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Bdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitalesBdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitales
Fabián Descalzo
 

Similar a 11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS (20)

Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Caso práctico1
Caso práctico1Caso práctico1
Caso práctico1
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
8 prospectiva del e commerce
8 prospectiva del e commerce8 prospectiva del e commerce
8 prospectiva del e commerce
 
01 7n2is trabajo-tecnica-de-captura-de-datos
01 7n2is trabajo-tecnica-de-captura-de-datos01 7n2is trabajo-tecnica-de-captura-de-datos
01 7n2is trabajo-tecnica-de-captura-de-datos
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Tarjetas inteligentes
Tarjetas inteligentesTarjetas inteligentes
Tarjetas inteligentes
 
Mesas Redondas A - Delitos Ciberneticos
Mesas Redondas A - Delitos CiberneticosMesas Redondas A - Delitos Ciberneticos
Mesas Redondas A - Delitos Ciberneticos
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
 
Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22
 
Análisis Forense de teléfonos Android y tarjeta SIM
Análisis Forense de teléfonos Android y tarjeta SIMAnálisis Forense de teléfonos Android y tarjeta SIM
Análisis Forense de teléfonos Android y tarjeta SIM
 
Sistemas De Informacion Seguridad En La Red
Sistemas De Informacion Seguridad En La RedSistemas De Informacion Seguridad En La Red
Sistemas De Informacion Seguridad En La Red
 
Formas de Pago y Seguridad
Formas de Pago y SeguridadFormas de Pago y Seguridad
Formas de Pago y Seguridad
 
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitalesCorp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
Corp. In. Tec. S.A. - Trend Partners - Protección de activos digitales
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
Bdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitalesBdo tecnica operatoria de los medios de pago digitales
Bdo tecnica operatoria de los medios de pago digitales
 

Más de Luis Fernando Aguas Bucheli

EFC-ISW-Luis Fernando Aguas.pptx
EFC-ISW-Luis Fernando Aguas.pptxEFC-ISW-Luis Fernando Aguas.pptx
EFC-ISW-Luis Fernando Aguas.pptx
Luis Fernando Aguas Bucheli
 

Más de Luis Fernando Aguas Bucheli (20)

EFC-ISW-Luis Fernando Aguas.pptx
EFC-ISW-Luis Fernando Aguas.pptxEFC-ISW-Luis Fernando Aguas.pptx
EFC-ISW-Luis Fernando Aguas.pptx
 
P-S2.pptx
P-S2.pptxP-S2.pptx
P-S2.pptx
 
EBTS-S1.pptx
EBTS-S1.pptxEBTS-S1.pptx
EBTS-S1.pptx
 
P-S3.pptx
P-S3.pptxP-S3.pptx
P-S3.pptx
 
EBTS-S4.pptx
EBTS-S4.pptxEBTS-S4.pptx
EBTS-S4.pptx
 
P-S4.pptx
P-S4.pptxP-S4.pptx
P-S4.pptx
 
P-S1.pptx
P-S1.pptxP-S1.pptx
P-S1.pptx
 
EBTS-S3.pptx
EBTS-S3.pptxEBTS-S3.pptx
EBTS-S3.pptx
 
EBTS-S2.pptx
EBTS-S2.pptxEBTS-S2.pptx
EBTS-S2.pptx
 
PDIDTI-S7.pptx
PDIDTI-S7.pptxPDIDTI-S7.pptx
PDIDTI-S7.pptx
 
PDIDTI-S4.pptx
PDIDTI-S4.pptxPDIDTI-S4.pptx
PDIDTI-S4.pptx
 
PDIDTI-S2.pptx
PDIDTI-S2.pptxPDIDTI-S2.pptx
PDIDTI-S2.pptx
 
PDIDTI-S1.pptx
PDIDTI-S1.pptxPDIDTI-S1.pptx
PDIDTI-S1.pptx
 
PDIDTI-S8.pptx
PDIDTI-S8.pptxPDIDTI-S8.pptx
PDIDTI-S8.pptx
 
PDIDTI-S6.pptx
PDIDTI-S6.pptxPDIDTI-S6.pptx
PDIDTI-S6.pptx
 
PDIDTI-S5.pptx
PDIDTI-S5.pptxPDIDTI-S5.pptx
PDIDTI-S5.pptx
 
PDIDTI-S3.pptx
PDIDTI-S3.pptxPDIDTI-S3.pptx
PDIDTI-S3.pptx
 
TIC-S4.pptx
TIC-S4.pptxTIC-S4.pptx
TIC-S4.pptx
 
TIC-S3.pptx
TIC-S3.pptxTIC-S3.pptx
TIC-S3.pptx
 
TIC-S2.pptx
TIC-S2.pptxTIC-S2.pptx
TIC-S2.pptx
 

Último

Aspectos Generales Alcantarillado Sanitario.pdf
Aspectos Generales Alcantarillado Sanitario.pdfAspectos Generales Alcantarillado Sanitario.pdf
Aspectos Generales Alcantarillado Sanitario.pdf
MaryamDeLen
 
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
DiegoAlexanderChecaG
 
Relieve, Cuencas y curvas de nivel representación gráfica
Relieve, Cuencas y curvas de nivel representación gráficaRelieve, Cuencas y curvas de nivel representación gráfica
Relieve, Cuencas y curvas de nivel representación gráfica
paulsurvey
 
ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...
ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...
ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...
LuisLobatoingaruca
 
ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........
ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........
ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........
IVANBRIANCHOQUEHUANC
 
dibujo tecnico.pdf-....................................
dibujo tecnico.pdf-....................................dibujo tecnico.pdf-....................................
dibujo tecnico.pdf-....................................
adrianaramoslopez903
 
Metodología - Proyecto de ingeniería "Dispensador automático"
Metodología - Proyecto de ingeniería "Dispensador automático"Metodología - Proyecto de ingeniería "Dispensador automático"
Metodología - Proyecto de ingeniería "Dispensador automático"
cristiaansabi19
 
Cuadro sinoptico de clasificacion de las industrias.pdf
Cuadro sinoptico de clasificacion de las industrias.pdfCuadro sinoptico de clasificacion de las industrias.pdf
Cuadro sinoptico de clasificacion de las industrias.pdf
LizetGuadalupeHernan
 
Uso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en líneaUso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en línea
CarlosBryden1
 
COMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCE
COMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCECOMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCE
COMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCE
jhunior lopez rodriguez
 
Ventajas y desventaja de la biotecnología
Ventajas y desventaja de la biotecnologíaVentajas y desventaja de la biotecnología
Ventajas y desventaja de la biotecnología
luiscentenocalderon
 
Matriz de Evaluación de Factores Externos-MEFE
Matriz de Evaluación de Factores Externos-MEFEMatriz de Evaluación de Factores Externos-MEFE
Matriz de Evaluación de Factores Externos-MEFE
Elsa Molto
 
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- ConstruccionA3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
manuelalejandro238
 
ESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdf
ESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdfESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdf
ESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdf
AlexTicona11
 
Infografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdfInfografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdf
DanielMelndez19
 
armadura_vigas.pptx.....................
armadura_vigas.pptx.....................armadura_vigas.pptx.....................
armadura_vigas.pptx.....................
Acletti Ammina
 
Organizacion-y-direccion-de-los-centros-de-informatica.pptx
Organizacion-y-direccion-de-los-centros-de-informatica.pptxOrganizacion-y-direccion-de-los-centros-de-informatica.pptx
Organizacion-y-direccion-de-los-centros-de-informatica.pptx
GuillerminaReyesJuar
 
kupdf.net_copia-de-manual-agroislentildea.pdf
kupdf.net_copia-de-manual-agroislentildea.pdfkupdf.net_copia-de-manual-agroislentildea.pdf
kupdf.net_copia-de-manual-agroislentildea.pdf
nachososa8
 
La gestión y administración de almacenes
La gestión y administración de almacenesLa gestión y administración de almacenes
La gestión y administración de almacenes
RicardoCruzHernndez1
 
Flujo vehicular en análisis de trafico vial
Flujo vehicular en análisis de trafico vialFlujo vehicular en análisis de trafico vial
Flujo vehicular en análisis de trafico vial
SamuelMendozaS
 

Último (20)

Aspectos Generales Alcantarillado Sanitario.pdf
Aspectos Generales Alcantarillado Sanitario.pdfAspectos Generales Alcantarillado Sanitario.pdf
Aspectos Generales Alcantarillado Sanitario.pdf
 
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
 
Relieve, Cuencas y curvas de nivel representación gráfica
Relieve, Cuencas y curvas de nivel representación gráficaRelieve, Cuencas y curvas de nivel representación gráfica
Relieve, Cuencas y curvas de nivel representación gráfica
 
ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...
ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...
ascensor o elevador​ es un sistema de transporte vertical u oblicuo, diseñado...
 
ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........
ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........
ABR-FUNDAMENTOS DEL CALCULO uc 2024 ........
 
dibujo tecnico.pdf-....................................
dibujo tecnico.pdf-....................................dibujo tecnico.pdf-....................................
dibujo tecnico.pdf-....................................
 
Metodología - Proyecto de ingeniería "Dispensador automático"
Metodología - Proyecto de ingeniería "Dispensador automático"Metodología - Proyecto de ingeniería "Dispensador automático"
Metodología - Proyecto de ingeniería "Dispensador automático"
 
Cuadro sinoptico de clasificacion de las industrias.pdf
Cuadro sinoptico de clasificacion de las industrias.pdfCuadro sinoptico de clasificacion de las industrias.pdf
Cuadro sinoptico de clasificacion de las industrias.pdf
 
Uso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en líneaUso de WireShark.pdf - capturando paquetes en línea
Uso de WireShark.pdf - capturando paquetes en línea
 
COMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCE
COMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCECOMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCE
COMPARACION DE PRECIOS TENIENDO COMO REFERENTE LA OSCE
 
Ventajas y desventaja de la biotecnología
Ventajas y desventaja de la biotecnologíaVentajas y desventaja de la biotecnología
Ventajas y desventaja de la biotecnología
 
Matriz de Evaluación de Factores Externos-MEFE
Matriz de Evaluación de Factores Externos-MEFEMatriz de Evaluación de Factores Externos-MEFE
Matriz de Evaluación de Factores Externos-MEFE
 
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- ConstruccionA3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
 
ESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdf
ESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdfESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdf
ESTRUCTURACIÓN Y PREDIMENSIONAMIENTO, GRUPO 4.pdf
 
Infografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdfInfografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdf
 
armadura_vigas.pptx.....................
armadura_vigas.pptx.....................armadura_vigas.pptx.....................
armadura_vigas.pptx.....................
 
Organizacion-y-direccion-de-los-centros-de-informatica.pptx
Organizacion-y-direccion-de-los-centros-de-informatica.pptxOrganizacion-y-direccion-de-los-centros-de-informatica.pptx
Organizacion-y-direccion-de-los-centros-de-informatica.pptx
 
kupdf.net_copia-de-manual-agroislentildea.pdf
kupdf.net_copia-de-manual-agroislentildea.pdfkupdf.net_copia-de-manual-agroislentildea.pdf
kupdf.net_copia-de-manual-agroislentildea.pdf
 
La gestión y administración de almacenes
La gestión y administración de almacenesLa gestión y administración de almacenes
La gestión y administración de almacenes
 
Flujo vehicular en análisis de trafico vial
Flujo vehicular en análisis de trafico vialFlujo vehicular en análisis de trafico vial
Flujo vehicular en análisis de trafico vial
 

11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS

  • 1. Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS Seguridad de la Información Modalidad de estudios: Semi Presencial Mg. Luis Fernando Aguas Bucheli +593 984015184 @Aguaszoft Laguas@uisrael.edu.ec aguaszoft@icloud.com
  • 2. Objetivos del encuentro: 1. Adquirir los conceptos básicos relacionados con la tendencia de SI 2. Reconocer las características de la tendencia de SI Semana Nro. 11
  • 3. Frase Motivacional “Siempre que ves una persona exitosa percibes sus glorias, y nunca los sacrificios que la llevaron hasta allí” – Vaibhav Shah.
  • 4. Los Datos de las Tarjetas de Pago son un Objetivo muy deseable para los Delincuentes...
  • 5. ...siempre han estado en la parte superior de la lista de datos más robados Los Datos de las Tarjetas de Pago son un Objetivo muy deseable para los Delincuentes...
  • 6. Los métodos más utilizados explotan debilidades de seguridad presentes en el medio ambiente.
  • 7. 2005 40 millones de tarjetas perdidas 2007 45,7 millones de tarjetas perdidas 2009 160 millones de tarjetas perdidas 2013 1,8 millones de tarjetas perdidas Procesador de tarjetas de pago • Acceden a base de datos con conectividad directa a Internet. • Empresa ya no está en el negocio. Importante minorista Retail • Malware no detectado por 18 meses. • Informes sugieren costos directos del orden de 256 millones de dólares. Procesador de pagos • Malware se utilizó para capturar datos de los tarjetahabientes, ya procesados. • Informes sugieren costos directos cercanos 171 millones de dólares. Minorista de alimentos • Malware instalado en POS robo datos cuando estos eran capturados. • Costos estimados podrían superar los 80 millones de dólares. Mayores Robos de tarjetas
  • 8. Métodos más usados para el robo de datos de tarjetas Explotación de credenciales débiles o robados Involucra algún tipo de piratería Incorpora malware Involucra agresiones físicas Uso de tácticas sociales 29%
  • 9. • Contraseñas débiles o por defecto • Falta de educación de los empleados • Deficiencias de seguridad introducidas por terceros • Lenta autodetección Principales Errores Revelados por auditorías forenses
  • 10. Riesgos para el negocio
  • 11. Fecha de vencimiento de tarjetas Números de tarjetas Códigos de verificación Datos de banda Otro 16% 81% 73% 71% 57% Una encuesta en Europa y U.S. reveló que muchas empresas almacenan información de tarjetahabientes
  • 12. Una encuesta de PwC efectuada a 9.700 empresas encontró que habían detectados casi 43 millones de incidentes de seguridad en 2014, una tasa de crecimiento anual compuesto del 66% desde 2009
  • 13. De los ejecutivos de US están preocupados por el impacto de las amenazas cibernéticas en el crecimiento. Nuevas iniciativas están aumentando los ingresos, pero 69%
  • 14. 69% La fuerza de ventas se esfuerza por mejorar la experiencia cliente, pero De los consumidores dijo que una brecha de seguridad los inclinaría a comprar menos en la organización involucrada.
  • 15. Payment Card Industr y Data Security Standard (PCI DSS)
  • 16. Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar las medidas de seguridad consistentes a nivel mundial.
  • 18. • Ofrece una línea de base de requisitos técnicos y operativos diseñados para proteger los datos de titulares de tarjetas. • Comprende conjunto mínimo de requisitos para la protección de datos de tarjeta, puede ser reforzada por controles y prácticas para mitigar aún más riesgos adicionales. • Se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago - incluyendo comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. • Se aplica donde se almacenan los datos de cuenta, procesan o transmiten. Payment Card Industry Data Security Standard (PCI DSS)
  • 19. Ecosistema de dispositivos de pago, aplicaciones, infraestructura y usuarios ESTÁNDARES EN LA INDUSTRIA PCI Fabricantes PCI PTS (PIN Entry Device) Dispositivos de ingreso de PIN Desarrolladores de software PCI PA DSS Implementadores de aplicaciones de pago Comerciosy procesadores PCI DSS Estándar de Seguridad de datos P2PE PCI Security & Compliance
  • 20. UN PROCESO DE MEJORA CONTINUA Remediar Evaluar Informar Resolver vulnerabilidades y no almacenar datos de titulares de tarjeta a menos que sea estrictamente necesario. Identificar datos de tarjetahabientes, hacer un inventario de activos de TI y los procesos de negocio para procesamiento de tarjetas de pago, analizarlos para determinar vulnerabilidades que podrían exponer los datos de los tarjetahabientes. Compilar y presentar los registros de validación de remediales (si aplican),presentar informes de conformidad a banco adquirente y marcas de tarjetas involucradas.
  • 21. 123 0000 0001 2345 6789 02/10 Mi tarjeta de crédito Tarjeta de crédito 123 PAN Fecha vencimiento CID (American Express) Banda magnética (Información en track 1 y 2) CAV2/CID/CVC2/CVV2 (Discover,JCB, MasterCard, Visa) TIPOS DE DATO EN TARJETAS DE PAGO
  • 22. Elementos de datos Almacenamiento permitido Hace que los datos de la cuenta almacenados no se puedan leer según requisito 3.4 Datos de titular del tarjeta Número de cuenta principal (PAN) Sí Sí Nombre del titular de tarjeta Sí No Código de servicio Sí No Fecha de vencimiento Sí No Datos confidenciales de autenticación Datos completos de la banda magnética No No se pueden almacenar (req3.2) CAV2/CVC2/CVV2/CID No No se pueden almacenar (req3.2) PIN/Bloqueo de PIN No No se pueden almacenar (req3.2) Datosdelacuenta Los requisitos 3.3 y 3.4 sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, únicamente el PAN debe ser ilegible (Req3.4).
  • 23. • Mucha gente se refiere a toda la data de la tarjeta simplemente como la data del tarjetahabiente o la data del propietario de tarjeta. • Los requisitos de PCI DSS son aplicables si el PAN o data sensible de autenticación (Sensitive Authentication data, SAD) son almacenados, procesados o trasmitidos. • Los requisitos de PCI DSS también aplican a sistemas que proveen servicios de seguridad o podrían impactar en la seguridad de los datos de cuenta. • D a t o s d e c u e n t a i n c l u y e n t o d a l a información impresa sobre la tarjeta física y también sobre bandas magnéticas o chip. • Data sensible de autenticación no puede s e r a l m a c e n a d a autorización. d e s p u é s d e l a ¿A qué se le llama "data del propietario de tarjeta"?
  • 24. • No está permitido almacenar Tracks u otros datos sensibles después de la autorización. • Esto se aplica incluso si los datos están protegidos por: • Cifrado • Protección por contraseña • Codificación de datos / ofuscación • Enmascaramiento • Formatos de datos propietarios • Otros mecanismos Almacenamiento de tracks NO está permitido
  • 25. Almacenamiento de tracks NO está permitido Emisores y procesadores están autorizados a conservar datos sensibles, si son necesarios para efectos de correcciones.
  • 26. • Bases de datos • Archivos planos • Archivos de registro (logs) • Archivos de depuración (debug files) • Unllocated cluster Los datos de tracks se pueden encontrar en una variedad de ubicaciones:
  • 27. • Servidores de soluciones POS • POS • Servidores de autorización • Equipos de autoservicios como ATMs y quioscos ¿ D o n d e c o m ú n m e n t e s e almacena información de tracks de tarjetas?
  • 28. • Solucionar lectura erróneas de pista • Errores de red • Problemas de codificación • Otros ¿ P o r q u é e s t á almacenamiento datos de tracks? p e r m i t i d o temporal e l de
  • 29. • Recopilación de datos sólo cuando sea necesario para resolver un problema específico. • Recolección mínima de datos. • Almacenamiento de datos en ubicaciones específicas, seguras y con acceso limitado. • Cifrado de datos cuando se almacenan / transmiten. • Eliminación de datos de forma segura, inmediatamente solucionado el problema. • Verificación que la data no puede ser recuperada una solucionado el problema. Procedimientos de recopilación de data documentados incluyen:
  • 31. Objetivos Requisitos Desarrollar y mantener una red segura Requisito 1. Instalar y mantener una configuración de cortafuegos para proteger los datos de propietarios de tarjetas. Requisito 2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores. Proteger los datos de los propietarios de las tarjetas (tarjetahabientes). Requisito 3. Proteger los datos almacenados de los propietarios de tarjetas. Requisito 4. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas. Mantener un programa de gestión de vulnerabilidades Requisito 5. Usar y actualizar periódicamente un software antivirus. Requisito 6. Desarrollar y mantener aplicaciones seguras. Implementar medidas sólidas de control de acceso Requisito 7. Restringir el acceso a los datos, tomando como base la necesidad del funcionario a conocer la información. Requisito 8. Asignar una identificación única a cada persona que tenga acceso a un computador. Monitorear y probar regularmente las redes Requisito 9. Restringir el acceso físico a los datos de los propietarios de tarjetas. Requisito 10. Rastrear y monitorear todo el acceso a los recursos de la red y datos de propietarios de tarjetas. Mantener una política de seguridad de la información Requisito 11. Probar regularmente los sistemas y procesos de seguridad. Requisito 12. Mantener una política que contemple la seguridad de la información. Tabla de requisitos PCI DSS
  • 32. La forma más segura de reducir el alcance de PCI DSS es NO almacenar los datos de los tarjetahabientes
  • 33. FORMATO PCI DSSV3 • Requerimiento PCI DSS: Esta columna define los requisitos de la norma de seguridad de datos; El cumplimiento de PCI DSS se valida con estos requisitos. • Procedimiento de prueba: Esta columna muestra los procesos a seguir por el evaluador para validar que se han cumplido los requisitos de PCI DSS y están "en su lugar". • Guía: Esta columna describe la intención o la seguridad objetiva detrás de cada uno de los requisitos de PCI DSS. Esta columna contiene orientativo, y está destinado a facilitar la comprensión del propósito de cada requisito. la guía en esta columna no pretende sustituir o ampliar los requisitos de PCI DSS y procedimientos de prueba. Requerimiento PCI DSS Procedimiento de prueba Guía 1.1 Establezca e implemente normas de configuración para firewalls y routers que incluyan lo siguiente: 1.1Inspeccione las normas de configuración de firewalls y routers y otros documentos especificados a continuación para verificar el cumplimiento e implementación de las normas. Los firewalls y los routers son componentes clave de la arquitectura que controla la entrada a y la salida de la red. stos dispositivos son unidades de software o hardware que bloquean el acceso no deseado y administran el acceso autorizado hacia dentro y fuera de la red.
  • 34. 0 22,5 45 67,5 90 Req1 Req2 Req3 Req4 Req5 Req6 Req7 Req8 Req9 Req10 Req11 Req12 2013 2014 Cumplimiento PCI DSS
  • 35. PaymentApplication Data Security Standard (PA DSS)
  • 36. El objetivo de PA-DSS es ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguras y que den cumplimiento a PCI-DSS
  • 37. Aplicaciones que se venden, distribuyen o autorizan bajo licencia a terceros están sujetas a los requisitos de la PA-DSS
  • 38. La forma más segura de reducir el alcance de PCI DSS es NO almacenar los datos de los tarjetahabientes Un software aprobado no es equivalente a ser "PCI Compliance"
  • 39. "Mi software está aprobado, por lo que debería estar en conformidad con PCI“. Esto es incorrecto, cualquier comercio que hace que esta conclusión errónea podría estar abierto a vulnerabilidades, que negarían la posibilidad de cumplimiento de PCI.
  • 40. Un software de PA-DSS aprobado es un componente crucial de PCI DSS, pero si la seguridad de la red no se implementó correctamente, entonces la aplicación será vulnerable.
  • 41. • El uso de aplicaciones PA-DSS por sí m i s m o n o h a c e a u n a e n t i d a d conforme con PCI-DSS. • Las aplicaciones PA-DSS están dentro del alcance de PCI-DSS. • Las evaluaciones de PCI-DSS para a p l i c a c i o n e s d e p a g o d e b e r í a n verificar que: Las aplicaciones de pago se implementan en un entorno compatible con PCI-DSS. L a s a p l i c a c i o n e s d e p a g o e s t á n configuradas para cumplid los requisitos de PCI-DSS, de acuerdo con la Guía de aplicación PA-DSS. ¿Cómo impacta una aplicación PA-DSS en PCI-DSS?
  • 42. • PA-DSS se aplica a las software de terceros: • Si la aplicación realiza autorizaciones o pagos (POS, carritos de la compra, ATMs, etc.) • PA-DSS garantiza que una aplicación de pago, funciona de manera compatible con PCI-DSS: • Para apoyar el cumplimiento de PCI-DSS. • Las aplicaciones de pago PA-DSS se deben instalar: • S e g ú n i n s t r u c c i ó n d e l a g u í a d e implementación PA-DSS proporcionados por el proveedor. • De una manera compatible con PCI-DSS . PaymentApplication Data Security Standard
  • 43. Requisitos PA DSS Requisito 1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2), ni los datos de PIN block Requisito 2. Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 3. Provea funciones de autenticación segura Requisito 4. Registre la actividad de la aplicación de pago Requisito 5. Desarrolle aplicaciones de pago seguras Requisito 6. Proteja las transmisiones inalámbricas Requisito 7. Pruebe las aplicaciones de pago para tratar las vulnerabilidades Requisito 8. Facilite la implementación de una red segura Requisito 9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a Internet Requisito 10. Facilite actualizaciones de software remotas y seguras Requisito 11. Facilite un acceso remoto seguro a la aplicación de pago Requisito 12. Cifre el tráfico sensitivo de las redes públicas Requisito 13. Cifre el acceso administrativo que no sea de consola Requisito 14. Mantenga la documentación instructiva y los programas de capacitación para clientes, revendedores e integradores Tabla de requisitos PA DSS
  • 44. Referencias • Verizon 2015 PCI Compliance Report • Verizon 2012 Informe sobre investigación de brechas en los datos de 2012 • US cybercrime: Rising risks, reduced readiness Key findings from the 2014 US State of Cybercrime Survey, PwC 2014 • PCI DSS Quick Reference Guide, Understanding the Payment Card Industry Data Security Standard v3.1 • Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures, v3.0, November 2013 • Summary of Feedback Received for PCI DSS v2.0 and PA-DSS, v2.0, August 2012 • Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security Standard, v3.0 Change Highlights August 2013 • Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad, v2.0, Octubre de 2010 • Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and Security Assessment Procedures, V2.0, October • Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and Security Assessment Procedures, v3.0, November 2013 • International standards ISO 7813 (tracks 1 and 2) and ISO 4909 (track 3).
  • 45. Direccionamiento actividades de aprendizaje Actividades: • Revisar el aula virtual • Realizar las actividades y tareas planteadas. Se recomienda describir por ejemplo: • Tomar apuntes esenciales, revisar el material de clases