Este documento proporciona información sobre el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Explica que el PCI DSS establece requisitos mínimos de seguridad para proteger los datos de titulares de tarjetas. También cubre conceptos clave como el almacenamiento y transmisión segura de datos de tarjetas y las consecuencias de incumplir con los estándares PCI DSS.
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
PCI DSS se ha convertido estos últimos años en una de las normas más nombradas dentro de los mensajes de ventas relacionadas con Seguridad TIC y el cumplimiento normativo. Pero, aun así, se siguen produciendo incidentes de seguridad que han situado el año 2013 en uno donde mayor cantidad de datos de pago se han comprometido y las expectativas son que el 2014 todavía lo supere. La pregunta es ¿es realmente útil PCI DSS para impedir esto? La respuesta podría ser otra pregunta ¿se está realmente implantando correctamente PCI DSS? En esta presentación se tratan estos aspectos con el particular punto de vista del Perú y la regulación emitida por su Superintendencia Bancaria y de Seguros.
Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
PCI DSS se ha convertido estos últimos años en una de las normas más nombradas dentro de los mensajes de ventas relacionadas con Seguridad TIC y el cumplimiento normativo. Pero, aun así, se siguen produciendo incidentes de seguridad que han situado el año 2013 en uno donde mayor cantidad de datos de pago se han comprometido y las expectativas son que el 2014 todavía lo supere. La pregunta es ¿es realmente útil PCI DSS para impedir esto? La respuesta podría ser otra pregunta ¿se está realmente implantando correctamente PCI DSS? En esta presentación se tratan estos aspectos con el particular punto de vista del Perú y la regulación emitida por su Superintendencia Bancaria y de Seguros.
Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
Mario Rueda, responsable de Seguridad de Abertis Autopistas, baso su presentación en explicar el desarrollo del marco normativo y del repositorio de datos realizados ambos durante la implementación de la normativa PCI DSS.
Presentación de Zane Ryan de Dot Force España y Bruce Mac Nab de SafeNet sobre los requerimientos de PCI DSS y las soluciones que permiten ir un paso más allá en la pura implementación de PCI DSS.
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
Mario Rueda, responsable de Seguridad de Abertis Autopistas, baso su presentación en explicar el desarrollo del marco normativo y del repositorio de datos realizados ambos durante la implementación de la normativa PCI DSS.
Presentación de Zane Ryan de Dot Force España y Bruce Mac Nab de SafeNet sobre los requerimientos de PCI DSS y las soluciones que permiten ir un paso más allá en la pura implementación de PCI DSS.
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
Charla impartida por Juan Garrido de Informática 64, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña.
Esta es una presentación acerca de la seguridad en la red, ya sea con las redes sociales, operaciones bancarias, homebanking, chat, entre otros. peligros y precauciones que deben ser tomados en cuenta
Protección de activos digitales a través de herramientas de software anti fuga de información de Trend Micro.
Corporación de Industrias Tecnológicas S.A. ( www.CorpintecSA.com - contacto@CorpintecSA.com ) es representante comercial certificado de E.D.S.I. Trend Argentina S.A.
Bdo tecnica operatoria de los medios de pago digitalesFabián Descalzo
En el día de ayer cumplimos con nuestra participación en la 3º Conferencia Técnica Operatoria de los Medios de Pago Digitales, donde nuestra disertación trato sobre la seguridad en los medios de pago con una visión integral entre gestión y técnica. Las principales reflexiones sobre nuestro enfoque fueron:
1. Inculcar metodología en el desarrollo de nuevas tecnologías
2. Pensar en modo "terrenal" antes de subir a la "nube"
3. Cuidar al usuario, ya que debe ser consiente de la seguridad de sus dispositivos
4. Lo que necesitamos es conocer las tecnologías que utilizamos, y entender los datos que gestionamos
Similar a 11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS (20)
ascensor o elevador es un sistema de transporte vertical u oblicuo, diseñado...LuisLobatoingaruca
Un ascensor o elevador es un sistema de transporte vertical u oblicuo, diseñado para mover principalmente personas entre diferentes niveles de un edificio o estructura. Cuando está destinado a trasladar objetos grandes o pesados, se le llama también montacargas.
Metodología - Proyecto de ingeniería "Dispensador automático"cristiaansabi19
Esta presentación contiene la metodología del proyecto de la materia "Introducción a la ingeniería". Dicho proyecto es sobre un dispensador de medicamentos automáticos.
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
1. Unidad 3: Marcos de Referencia para Seguridad
de la Información
3.3 PCI DSS
Seguridad de la Información
Modalidad de estudios: Semi Presencial
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
aguaszoft@icloud.com
2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con la
tendencia de SI
2. Reconocer las características de la tendencia de SI
Semana Nro. 11
3. Frase Motivacional
“Siempre que ves una persona
exitosa percibes sus glorias, y nunca
los sacrificios que la llevaron hasta
allí” – Vaibhav Shah.
4. Los Datos de las
Tarjetas de Pago son
un Objetivo muy
deseable para los
Delincuentes...
5. ...siempre han estado en la
parte superior de la lista
de datos más robados
Los Datos de las
Tarjetas de Pago son
un Objetivo muy
deseable para los
Delincuentes...
6. Los métodos más utilizados explotan debilidades de seguridad
presentes en el medio ambiente.
7. 2005
40 millones
de tarjetas perdidas
2007
45,7 millones
de tarjetas perdidas
2009
160 millones
de tarjetas perdidas
2013
1,8 millones
de tarjetas perdidas
Procesador de tarjetas de
pago
• Acceden a base de datos
con conectividad directa a
Internet.
• Empresa ya no está en el
negocio.
Importante minorista Retail
• Malware no detectado por 18
meses.
• Informes sugieren costos
directos del orden de 256
millones de dólares.
Procesador de pagos
• Malware se utilizó para
capturar datos de los
tarjetahabientes, ya
procesados.
• Informes sugieren costos
directos cercanos 171
millones de dólares.
Minorista de alimentos
• Malware instalado en POS
robo datos cuando estos
eran capturados.
• Costos estimados podrían
superar los 80 millones de
dólares.
Mayores Robos de tarjetas
8. Métodos más usados para el robo de datos
de tarjetas
Explotación de credenciales débiles o robados
Involucra algún tipo de piratería
Incorpora malware
Involucra agresiones físicas
Uso de tácticas sociales 29%
9. • Contraseñas débiles o por defecto
• Falta de educación de los empleados
• Deficiencias de seguridad introducidas por terceros
• Lenta autodetección
Principales Errores
Revelados por auditorías forenses
11. Fecha de vencimiento de tarjetas
Números de tarjetas
Códigos de verificación
Datos de banda
Otro 16%
81%
73%
71%
57%
Una encuesta en Europa y U.S. reveló que muchas empresas
almacenan información de tarjetahabientes
12. Una encuesta de PwC efectuada a 9.700 empresas
encontró que habían detectados casi 43 millones de
incidentes de seguridad en 2014, una tasa de crecimiento
anual compuesto del 66% desde 2009
13. De los ejecutivos de US están preocupados por el impacto de las
amenazas cibernéticas en el crecimiento.
Nuevas iniciativas están aumentando los ingresos, pero
69%
14. 69%
La fuerza de ventas se esfuerza por mejorar la experiencia
cliente, pero
De los consumidores dijo que una brecha de seguridad los
inclinaría a comprar menos en la organización involucrada.
16. Las Normas de Seguridad
de Datos (DSS) de la
Industria de Tarjetas
de Pago (PCI) se
desarrollaron para fomentar
y mejorar la seguridad
de los datos del titular de la
tarjeta y facilitar las
medidas de seguridad
consistentes a nivel mundial.
18. • Ofrece una línea de base de requisitos
técnicos y operativos diseñados para
proteger los datos de titulares de tarjetas.
• Comprende conjunto mínimo de
requisitos para la protección de datos de
tarjeta, puede ser reforzada por controles
y prácticas para mitigar aún más riesgos
adicionales.
• Se aplica a todas las entidades
involucradas en el procesamiento de
tarjetas de pago - incluyendo
comerciantes, procesadores,
adquirentes, emisores y proveedores de
servicios.
• Se aplica donde se almacenan los datos
de cuenta, procesan o transmiten.
Payment Card Industry
Data Security Standard
(PCI DSS)
19. Ecosistema de dispositivos de pago, aplicaciones, infraestructura y usuarios
ESTÁNDARES EN LA INDUSTRIA PCI
Fabricantes
PCI PTS (PIN Entry
Device)
Dispositivos de ingreso
de PIN
Desarrolladores de
software
PCI PA DSS
Implementadores de
aplicaciones de pago
Comerciosy procesadores
PCI DSS
Estándar de Seguridad de datos
P2PE
PCI Security
& Compliance
20. UN PROCESO DE MEJORA CONTINUA
Remediar
Evaluar
Informar
Resolver vulnerabilidades y no
almacenar datos de titulares de tarjeta a
menos que sea estrictamente necesario.
Identificar datos de tarjetahabientes,
hacer un inventario de activos de TI y los
procesos de negocio para
procesamiento de tarjetas de pago,
analizarlos para determinar
vulnerabilidades que podrían exponer
los datos de los tarjetahabientes.
Compilar y presentar los registros de validación de remediales (si
aplican),presentar informes de conformidad a banco adquirente y
marcas de tarjetas involucradas.
21. 123
0000 0001 2345 6789
02/10
Mi tarjeta de crédito
Tarjeta de crédito
123
PAN
Fecha vencimiento
CID
(American Express)
Banda magnética
(Información en track 1 y 2)
CAV2/CID/CVC2/CVV2
(Discover,JCB, MasterCard, Visa)
TIPOS DE DATO EN TARJETAS DE PAGO
22. Elementos de datos Almacenamiento permitido
Hace que los datos de la
cuenta almacenados no se
puedan leer según requisito 3.4
Datos de titular del
tarjeta
Número de cuenta principal
(PAN) Sí Sí
Nombre del titular de tarjeta Sí No
Código de servicio Sí No
Fecha de vencimiento Sí No
Datos confidenciales de
autenticación
Datos completos de la banda
magnética No
No se pueden almacenar
(req3.2)
CAV2/CVC2/CVV2/CID No
No se pueden almacenar
(req3.2)
PIN/Bloqueo de PIN No
No se pueden almacenar
(req3.2)
Datosdelacuenta
Los requisitos 3.3 y 3.4 sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta,
únicamente el PAN debe ser ilegible (Req3.4).
23. • Mucha gente se refiere a toda la data de la
tarjeta simplemente como la data del
tarjetahabiente o la data del propietario de
tarjeta.
• Los requisitos de PCI DSS son aplicables si
el PAN o data sensible de autenticación
(Sensitive Authentication data, SAD) son
almacenados, procesados o trasmitidos.
• Los requisitos de PCI DSS también aplican
a sistemas que proveen servicios de
seguridad o podrían impactar en la
seguridad de los datos de cuenta.
• D a t o s d e c u e n t a i n c l u y e n t o d a l a
información impresa sobre la tarjeta física y
también sobre bandas magnéticas o chip.
• Data sensible de autenticación no puede
s e r a l m a c e n a d a
autorización.
d e s p u é s d e l a
¿A qué se le llama
"data del propietario de tarjeta"?
24. • No está permitido almacenar
Tracks u otros datos sensibles
después de la autorización.
• Esto se aplica incluso si los datos
están protegidos por:
• Cifrado
• Protección por contraseña
• Codificación de datos /
ofuscación
• Enmascaramiento
• Formatos de datos propietarios
• Otros mecanismos
Almacenamiento de tracks
NO está permitido
25. Almacenamiento de tracks
NO está permitido
Emisores y procesadores están autorizados a conservar
datos sensibles, si son necesarios para efectos de
correcciones.
26. • Bases de datos
• Archivos planos
• Archivos de registro (logs)
• Archivos de depuración (debug files)
• Unllocated cluster
Los datos de tracks se pueden
encontrar en una variedad de
ubicaciones:
27. • Servidores de soluciones POS
• POS
• Servidores de autorización
• Equipos de autoservicios como ATMs y quioscos
¿ D o n d e c o m ú n m e n t e s e
almacena información de tracks
de tarjetas?
28. • Solucionar lectura erróneas de pista
• Errores de red
• Problemas de codificación
• Otros
¿ P o r q u é e s t á
almacenamiento
datos de tracks?
p e r m i t i d o
temporal
e l
de
29. • Recopilación de datos sólo cuando sea necesario para resolver un
problema específico.
• Recolección mínima de datos.
• Almacenamiento de datos en ubicaciones específicas, seguras y con
acceso limitado.
• Cifrado de datos cuando se almacenan / transmiten.
• Eliminación de datos de forma segura, inmediatamente solucionado
el problema.
• Verificación que la data no puede ser recuperada una solucionado
el problema.
Procedimientos de recopilación
de data documentados incluyen:
31. Objetivos Requisitos
Desarrollar y mantener una red segura
Requisito 1. Instalar y mantener una configuración de cortafuegos para proteger los datos de
propietarios de tarjetas.
Requisito 2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados
provistos por los proveedores.
Proteger los datos de los propietarios de las tarjetas
(tarjetahabientes).
Requisito 3. Proteger los datos almacenados de los propietarios de tarjetas.
Requisito 4. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida
a través de redes públicas abiertas.
Mantener un programa de gestión de
vulnerabilidades
Requisito 5. Usar y actualizar periódicamente un software antivirus.
Requisito 6. Desarrollar y mantener aplicaciones seguras.
Implementar medidas sólidas de control de acceso
Requisito 7. Restringir el acceso a los datos, tomando como base la necesidad del funcionario a
conocer la información.
Requisito 8. Asignar una identificación única a cada persona que tenga acceso a un
computador.
Monitorear y probar regularmente las redes
Requisito 9. Restringir el acceso físico a los datos de los propietarios de tarjetas.
Requisito 10. Rastrear y monitorear todo el acceso a los recursos de la red y datos de
propietarios de tarjetas.
Mantener una política de seguridad de la
información
Requisito 11. Probar regularmente los sistemas y procesos de seguridad.
Requisito 12. Mantener una política que contemple la seguridad de la información.
Tabla de requisitos PCI DSS
32. La forma más
segura de reducir
el alcance de PCI
DSS es
NO almacenar
los datos de los
tarjetahabientes
33. FORMATO PCI DSSV3
• Requerimiento PCI DSS: Esta columna define los requisitos de la norma de seguridad de datos; El cumplimiento
de PCI DSS se valida con estos requisitos.
• Procedimiento de prueba: Esta columna muestra los procesos a seguir por el evaluador para validar que se han
cumplido los requisitos de PCI DSS y están "en su lugar".
• Guía: Esta columna describe la intención o la seguridad objetiva detrás de cada uno de los requisitos de PCI DSS.
Esta columna contiene orientativo, y está destinado a facilitar la comprensión del propósito de cada requisito. la
guía en esta columna no pretende sustituir o ampliar los requisitos de PCI DSS y procedimientos de prueba.
Requerimiento PCI DSS Procedimiento de prueba Guía
1.1 Establezca e implemente normas de
configuración para firewalls y routers que
incluyan lo siguiente:
1.1Inspeccione las normas de configuración
de firewalls y routers y otros documentos
especificados a
continuación para verificar el cumplimiento e
implementación de las normas.
Los firewalls y los routers son componentes
clave de la arquitectura que controla la
entrada a y la salida de la
red. stos dispositivos son unidades de
software o hardware que bloquean el acceso
no deseado y administran
el acceso autorizado hacia dentro y fuera de la
red.
36. El objetivo de PA-DSS
es ayudar a los
proveedores de
software y otros a
desarrollar aplicaciones
de pago seguras y que
den cumplimiento a
PCI-DSS
37. Aplicaciones que se
venden, distribuyen o
autorizan bajo licencia
a terceros están
sujetas a los requisitos
de la PA-DSS
38. La forma más
segura de reducir
el alcance de PCI
DSS es
NO almacenar
los datos de los
tarjetahabientes
Un software
aprobado no es
equivalente a ser
"PCI Compliance"
39. "Mi software está aprobado, por lo que debería estar en conformidad con PCI“.
Esto es incorrecto, cualquier comercio que hace que esta conclusión errónea
podría estar abierto a vulnerabilidades, que negarían la posibilidad de
cumplimiento de PCI.
40. Un software de PA-DSS aprobado es un componente crucial de PCI DSS,
pero si la seguridad de la red no se implementó correctamente, entonces la
aplicación será vulnerable.
41. • El uso de aplicaciones PA-DSS por sí
m i s m o n o h a c e a u n a e n t i d a d
conforme con PCI-DSS.
• Las aplicaciones PA-DSS están dentro
del alcance de PCI-DSS.
• Las evaluaciones de PCI-DSS para
a p l i c a c i o n e s d e p a g o d e b e r í a n
verificar que:
Las aplicaciones de pago se implementan
en un entorno compatible con PCI-DSS.
L a s a p l i c a c i o n e s d e p a g o e s t á n
configuradas para cumplid los requisitos de
PCI-DSS, de acuerdo con la Guía de
aplicación PA-DSS.
¿Cómo impacta una aplicación
PA-DSS en PCI-DSS?
42. • PA-DSS se aplica a las software de
terceros:
• Si la aplicación realiza autorizaciones o
pagos (POS, carritos de la compra, ATMs,
etc.)
• PA-DSS garantiza que una aplicación de
pago, funciona de manera compatible
con PCI-DSS:
• Para apoyar el cumplimiento de PCI-DSS.
• Las aplicaciones de pago PA-DSS se
deben instalar:
• S e g ú n i n s t r u c c i ó n d e l a g u í a d e
implementación PA-DSS proporcionados
por el proveedor.
• De una manera compatible con PCI-DSS .
PaymentApplication Data
Security Standard
43. Requisitos PA DSS
Requisito 1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2,
CVV2), ni los datos de PIN block
Requisito 2. Proteja los datos del titular de la tarjeta que fueron almacenados
Requisito 3. Provea funciones de autenticación segura
Requisito 4. Registre la actividad de la aplicación de pago
Requisito 5. Desarrolle aplicaciones de pago seguras
Requisito 6. Proteja las transmisiones inalámbricas
Requisito 7. Pruebe las aplicaciones de pago para tratar las vulnerabilidades
Requisito 8. Facilite la implementación de una red segura
Requisito 9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a Internet
Requisito 10. Facilite actualizaciones de software remotas y seguras
Requisito 11. Facilite un acceso remoto seguro a la aplicación de pago
Requisito 12. Cifre el tráfico sensitivo de las redes públicas
Requisito 13. Cifre el acceso administrativo que no sea de consola
Requisito 14. Mantenga la documentación instructiva y los programas de capacitación para clientes, revendedores e
integradores
Tabla de requisitos PA DSS
44. Referencias
• Verizon 2015 PCI Compliance Report
• Verizon 2012 Informe sobre investigación de brechas en los datos de 2012
• US cybercrime: Rising risks, reduced readiness Key findings from the 2014 US State of Cybercrime
Survey, PwC 2014
• PCI DSS Quick Reference Guide, Understanding the Payment Card Industry Data Security
Standard v3.1
• Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment
Procedures, v3.0, November 2013
• Summary of Feedback Received for PCI DSS v2.0 and PA-DSS, v2.0, August 2012
• Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security
Standard, v3.0 Change Highlights August 2013
• Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Requisitos y procedimientos de
evaluación de seguridad, v2.0, Octubre de 2010
• Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and
Security Assessment Procedures, V2.0, October
• Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and
Security Assessment Procedures, v3.0, November 2013
• International standards ISO 7813 (tracks 1 and 2) and ISO 4909 (track 3).
45. Direccionamiento actividades de aprendizaje
Actividades:
• Revisar el aula virtual
• Realizar las actividades y tareas planteadas.
Se recomienda describir por ejemplo:
• Tomar apuntes esenciales, revisar el material de clases