SlideShare una empresa de Scribd logo

Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos

Jesús Vázquez González
Jesús Vázquez González
1 de 14
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 1 Autor: Jesús Vázquez González
Agenda 1. Presentación 2. Introducción 3. Alcance y objetivos 4. Firewall de base de datos 5. PCI DSS 6. SOX 7. LOPD 8. Resultados 9. Conclusiones y trabajos futuros 20/06/2013 2Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos
1. Presentación – Jesús Vázquez González 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 3 Perfil • Profesional con dilatada experiencia en TI, adquirida trabajando en grandes multinacionales, dirigiendo empresas, departamentos, equipos, portafolios, programas y proyectos • IT freelance http://www.linkedin.com/in/jesusvazquezgonzalez • Vicepresidente primero del PMI Madrid Spain Chapter http://www.pmi-mad.org/ • Socio Director en www.compraentubarrio.com Formación • Cursando Máster en Dirección de Proyectos Informáticos, en la UAH • PMP (Project Management Professional), por el PMI (Project Management Institute) • Executive MBA, por el IDE-CESEM • Licenciado en Informática, por la UPM
2. Introducción Las organizaciones almacenan en sus bases de datos, información crítica para el negocio, y han de cumplir con las normativas de seguridad existentes. De entre ellas, en nuestro entorno, hay 3 con una alta probabilidad de aplicación:  Estándares y normas de seguridad de la industria de tarjetas de pago (Payment Card Industry Data Security Standard – PCI DSS)  Ley federal de Estados Unidos Sarbanes–Oxley (SOX), también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista  Ley Orgánica de Protección de Datos (LOPD) 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 4
3. Alcance y objetivos El objetivo de este trabajo consiste en la obtención de la lista de requisitos automatizables en un firewall de base de datos, de acuerdo a los estándares y legislaciones PCI DSS, SOX y LOPD. El alcance del trabajo no consiste por tanto en elaborar una lista con todos los requisitos de los estándares y legislaciones mencionados, sino sólo de aquellos que dentro del ámbito de un firewall de base de datos deberían ser automatizados. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 5
4. Firewall de base de datos Dispositivo capaz de:  Supervisar el comportamiento de usuarios y aplicaciones  Prevenir ataques y accesos no autorizados a la información sensible  Alertar, bloquear y registrar los intentos de acceso basado en las políticas de seguridad definidas 12/05/2012 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 6
5. PCI DSS (1/2) Fomentar y mejorar la seguridad de los datos del titular de la tarjeta, y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 7 Estas normas constituyen un conjunto mínimo de requisitos para proteger datos de titulares de tarjetas, que se pueden mejorar con el uso de controles y prácticas adicionales, para mitigar otros riesgos.
5. PCI DSS (2/2) 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 8 Norma Nº Descripción Desarrollar y mantener una red segura 1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Proteger los datos del titular de la tarjeta 3. Proteja los datos del titular de la tarjeta que fueron almacenados 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Mantener un programa de administración de vulnerabilidad 5. Utilice y actualice con regularidad los programas de software antivirus 6. Desarrolle y mantenga sistemas y aplicaciones seguras Implementar medidas sólidas de control de acceso 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa 8. Asignar una ID exclusiva a cada persona que tenga acceso por computador 9. Restringir el acceso físico a los datos del titular de la tarjeta Supervisar y evaluar las redes con seguridad 10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11. Pruebe con regularidad los sistemas y procesos de seguridad Mantener una política de seguridad de información 12. Mantenga una política que aborde la seguridad de la información para todo el personal
6. SOX (1/2) Mejorar el control realizado a las empresas y recuperar la confianza de los inversores. Afecta a los administradores de las empresas, a las limitaciones de las auditorías y a la transparencia de las empresas. Introduce una serie de novedades que consisten en:  Creación de una compañía encargada de supervisar las auditorías  Prohibición de préstamos personales a los directivos de la compañía  Transparencia en la declaración de opciones y acciones de los empleados  Endurecimiento de las penas (informes financieros)  Protección a los empleados en caso de fraude corporativo 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 9
6. SOX (2/2) 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 10 Sección 302 • Establece la responsabilidad de la compañía por los informes financieros • La solución técnica ha de permitir implantar medidas y controles que garanticen que la información financiera es confiable e íntegra, ha de prevenir por tanto la realización de actividades fraudulentas Sección 404 • Establece la evaluación de la gerencia de los controles internos. Introduce la exigencia de presentar un informe de control al cierre de cada ejercicio fiscal. En este informe se establece la responsabilidad del equipo directivo, acerca de asegurar que la estructura de control interno es la adecuada • La solución técnica ha de facilitar a la auditoría externa la evaluación del control interno. Para ello es de vital ayuda la elaboración automática de auditorías de los accesos realizados a los datos financieros
7. LOPD Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. La AEPD clasifica las as medidas de seguridad exigibles en tres niveles acumulativos: básico, medio y alto. En este trabajo se han considerado de aplicabilidad las medidas de nivel alto, cubriendo así los casos más exigentes. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 11
8. Resultados Requisitos de seguridad PCI DSS, SOX y LOPD, automati- zables en un firewall de base de datos  PCI DSS. 70 requisitos, de diferentes niveles, que soportan el estándar de seguridad  SOX. 12 requisitos, que abarcan las secciones 302 y 404  LOPD. 24 requisitos, que dan cobertura a la ley 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 12
9. Conclusiones y trabajos futuros El trabajo realizado sirve de base para los proyectos de adecuación de los sistemas de información, a las más exigentes normas de seguridad. Punto de partida para la realización de un trabajo de “Adecuación de sistemas de información a las normativas de seguridad PCI DSS, SOX y LOPD. Una aproximación PMI”. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 13
20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 14 Fin Muchas gracias por la atención prestada

Recomendados

PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance ChecklistControlCase
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityDirettiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityGiulio Coraggio
 
SCADA Security
SCADA SecuritySCADA Security
SCADA Securityamiable_indian
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
Network Security Risk
Network Security RiskNetwork Security Risk
Network Security RiskDedi Dwianto
 

Recomendados

PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance ChecklistControlCase
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityDirettiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityGiulio Coraggio
 
SCADA Security
SCADA SecuritySCADA Security
SCADA Securityamiable_indian
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
Network Security Risk
Network Security RiskNetwork Security Risk
Network Security RiskDedi Dwianto
 
5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware5 Amenazas que no son Ransomware
5 Amenazas que no son RansomwareESET Latinoamérica
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & ComplianceAmazon Web Services
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Vpn exposicion
Vpn exposicionVpn exposicion
Vpn exposicionCristy Ponciano
 
Top 5 Cybersecurity Trends in 2021 and Beyond
Top 5 Cybersecurity Trends in 2021 and BeyondTop 5 Cybersecurity Trends in 2021 and Beyond
Top 5 Cybersecurity Trends in 2021 and BeyondNandita Nityanandam
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
Penetration Testing Procedures & Methodologies.pdf
Penetration Testing Procedures & Methodologies.pdfPenetration Testing Procedures & Methodologies.pdf
Penetration Testing Procedures & Methodologies.pdfHimalaya raj Sinha
 
Information security management system
Information security management systemInformation security management system
Information security management systemArani Srinivasan
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterNIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterTuan Phan
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Wireless networking
Wireless networkingWireless networking
Wireless networkingOnline
 
virtualizacion de servidores completo
virtualizacion de servidores completo virtualizacion de servidores completo
virtualizacion de servidores completoAnderson Alcántara
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Metodologia orientada a objetos
Metodologia orientada a objetosMetodologia orientada a objetos
Metodologia orientada a objetosMariana Rodríguez
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de tiRuben Robles
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 

Más contenido relacionado

La actualidad más candente

5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware5 Amenazas que no son Ransomware
5 Amenazas que no son RansomwareESET Latinoamérica
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
Top 5 Cybersecurity Trends in 2021 and Beyond
Top 5 Cybersecurity Trends in 2021 and BeyondTop 5 Cybersecurity Trends in 2021 and Beyond
Top 5 Cybersecurity Trends in 2021 and BeyondNandita Nityanandam
 
Penetration Testing Procedures & Methodologies.pdf
Penetration Testing Procedures & Methodologies.pdfPenetration Testing Procedures & Methodologies.pdf
Penetration Testing Procedures & Methodologies.pdfHimalaya raj Sinha
 
Information security management system
Information security management systemInformation security management system
Information security management systemArani Srinivasan
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterNIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterTuan Phan
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 
Wireless networking
Wireless networkingWireless networking
Wireless networkingOnline
 
virtualizacion de servidores completo
virtualizacion de servidores completo virtualizacion de servidores completo
virtualizacion de servidores completoAnderson Alcántara
 
Metodologia orientada a objetos
Metodologia orientada a objetosMetodologia orientada a objetos
Metodologia orientada a objetosMariana Rodríguez
 

La actualidad más candente (20)

5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & Compliance
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Vpn exposicion
Vpn exposicionVpn exposicion
Vpn exposicion
 
Top 5 Cybersecurity Trends in 2021 and Beyond
Top 5 Cybersecurity Trends in 2021 and BeyondTop 5 Cybersecurity Trends in 2021 and Beyond
Top 5 Cybersecurity Trends in 2021 and Beyond
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Penetration Testing Procedures & Methodologies.pdf
Penetration Testing Procedures & Methodologies.pdfPenetration Testing Procedures & Methodologies.pdf
Penetration Testing Procedures & Methodologies.pdf
 
Information security management system
Information security management systemInformation security management system
Information security management system
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond ChapterNIST Cybersecurity Framework Intro for ISACA Richmond Chapter
NIST Cybersecurity Framework Intro for ISACA Richmond Chapter
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricas
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
Wireless networking
Wireless networkingWireless networking
Wireless networking
 
virtualizacion de servidores completo
virtualizacion de servidores completo virtualizacion de servidores completo
virtualizacion de servidores completo
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Metodologia orientada a objetos
Metodologia orientada a objetosMetodologia orientada a objetos
Metodologia orientada a objetos
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de ti
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 

Similar a Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018SolidQ
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSCore2014
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
 
Gestion de la seguridad tema2
Gestion de la seguridad tema2Gestion de la seguridad tema2
Gestion de la seguridad tema2Gisella Rios
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 

Similar a Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos (20)

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Webinar: Soluciones Oracle para el cumplimiento de GDPR
Webinar: Soluciones Oracle para el cumplimiento de GDPRWebinar: Soluciones Oracle para el cumplimiento de GDPR
Webinar: Soluciones Oracle para el cumplimiento de GDPR
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
¿Qué viene GDPR? Mi SQL está preparado- SolidQ Summit 2018
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKS
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Cap6
Cap6Cap6
Cap6
 
Cap6
Cap6Cap6
Cap6
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
 
Gestion de la seguridad tema2
Gestion de la seguridad tema2Gestion de la seguridad tema2
Gestion de la seguridad tema2
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorio
 
Trabajo
TrabajoTrabajo
Trabajo
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 

Más de Jesús Vázquez González

Project Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdfProject Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdfJesús Vázquez González
 
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdfPMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdfJesús Vázquez González
 
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...Jesús Vázquez González
 
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...Jesús Vázquez González
 
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018Jesús Vázquez González
 
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018Jesús Vázquez González
 

Más de Jesús Vázquez González (20)

Resolucion de disputas - PMI.pdf
Resolucion de disputas - PMI.pdfResolucion de disputas - PMI.pdf
Resolucion de disputas - PMI.pdf
 
Project Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdfProject Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdf
 
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdfPMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
 
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
 
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
 
Proud chapter leader badge
Proud chapter leader badgeProud chapter leader badge
Proud chapter leader badge
 
Humanización 4.0. madrid pmi
Humanización 4.0. madrid pmiHumanización 4.0. madrid pmi
Humanización 4.0. madrid pmi
 
Pmp certificate 1302373 2009 2024
Pmp certificate 1302373 2009 2024Pmp certificate 1302373 2009 2024
Pmp certificate 1302373 2009 2024
 
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
 
Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020
 
Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020
 
Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019
 
Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019
 
Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019
 
Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019
 
Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019
 
Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019
 
Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018
 
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
 
Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018
 

Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos

  • 1. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 1 Autor: Jesús Vázquez González
  • 2. Agenda 1. Presentación 2. Introducción 3. Alcance y objetivos 4. Firewall de base de datos 5. PCI DSS 6. SOX 7. LOPD 8. Resultados 9. Conclusiones y trabajos futuros 20/06/2013 2Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos
  • 3. 1. Presentación – Jesús Vázquez González 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 3 Perfil • Profesional con dilatada experiencia en TI, adquirida trabajando en grandes multinacionales, dirigiendo empresas, departamentos, equipos, portafolios, programas y proyectos • IT freelance http://www.linkedin.com/in/jesusvazquezgonzalez • Vicepresidente primero del PMI Madrid Spain Chapter http://www.pmi-mad.org/ • Socio Director en www.compraentubarrio.com Formación • Cursando Máster en Dirección de Proyectos Informáticos, en la UAH • PMP (Project Management Professional), por el PMI (Project Management Institute) • Executive MBA, por el IDE-CESEM • Licenciado en Informática, por la UPM
  • 4. 2. Introducción Las organizaciones almacenan en sus bases de datos, información crítica para el negocio, y han de cumplir con las normativas de seguridad existentes. De entre ellas, en nuestro entorno, hay 3 con una alta probabilidad de aplicación:  Estándares y normas de seguridad de la industria de tarjetas de pago (Payment Card Industry Data Security Standard – PCI DSS)  Ley federal de Estados Unidos Sarbanes–Oxley (SOX), también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista  Ley Orgánica de Protección de Datos (LOPD) 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 4
  • 5. 3. Alcance y objetivos El objetivo de este trabajo consiste en la obtención de la lista de requisitos automatizables en un firewall de base de datos, de acuerdo a los estándares y legislaciones PCI DSS, SOX y LOPD. El alcance del trabajo no consiste por tanto en elaborar una lista con todos los requisitos de los estándares y legislaciones mencionados, sino sólo de aquellos que dentro del ámbito de un firewall de base de datos deberían ser automatizados. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 5
  • 6. 4. Firewall de base de datos Dispositivo capaz de:  Supervisar el comportamiento de usuarios y aplicaciones  Prevenir ataques y accesos no autorizados a la información sensible  Alertar, bloquear y registrar los intentos de acceso basado en las políticas de seguridad definidas 12/05/2012 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 6
  • 7. 5. PCI DSS (1/2) Fomentar y mejorar la seguridad de los datos del titular de la tarjeta, y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 7 Estas normas constituyen un conjunto mínimo de requisitos para proteger datos de titulares de tarjetas, que se pueden mejorar con el uso de controles y prácticas adicionales, para mitigar otros riesgos.
  • 8. 5. PCI DSS (2/2) 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 8 Norma Nº Descripción Desarrollar y mantener una red segura 1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Proteger los datos del titular de la tarjeta 3. Proteja los datos del titular de la tarjeta que fueron almacenados 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Mantener un programa de administración de vulnerabilidad 5. Utilice y actualice con regularidad los programas de software antivirus 6. Desarrolle y mantenga sistemas y aplicaciones seguras Implementar medidas sólidas de control de acceso 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa 8. Asignar una ID exclusiva a cada persona que tenga acceso por computador 9. Restringir el acceso físico a los datos del titular de la tarjeta Supervisar y evaluar las redes con seguridad 10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11. Pruebe con regularidad los sistemas y procesos de seguridad Mantener una política de seguridad de información 12. Mantenga una política que aborde la seguridad de la información para todo el personal
  • 9. 6. SOX (1/2) Mejorar el control realizado a las empresas y recuperar la confianza de los inversores. Afecta a los administradores de las empresas, a las limitaciones de las auditorías y a la transparencia de las empresas. Introduce una serie de novedades que consisten en:  Creación de una compañía encargada de supervisar las auditorías  Prohibición de préstamos personales a los directivos de la compañía  Transparencia en la declaración de opciones y acciones de los empleados  Endurecimiento de las penas (informes financieros)  Protección a los empleados en caso de fraude corporativo 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 9
  • 10. 6. SOX (2/2) 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 10 Sección 302 • Establece la responsabilidad de la compañía por los informes financieros • La solución técnica ha de permitir implantar medidas y controles que garanticen que la información financiera es confiable e íntegra, ha de prevenir por tanto la realización de actividades fraudulentas Sección 404 • Establece la evaluación de la gerencia de los controles internos. Introduce la exigencia de presentar un informe de control al cierre de cada ejercicio fiscal. En este informe se establece la responsabilidad del equipo directivo, acerca de asegurar que la estructura de control interno es la adecuada • La solución técnica ha de facilitar a la auditoría externa la evaluación del control interno. Para ello es de vital ayuda la elaboración automática de auditorías de los accesos realizados a los datos financieros
  • 11. 7. LOPD Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. La AEPD clasifica las as medidas de seguridad exigibles en tres niveles acumulativos: básico, medio y alto. En este trabajo se han considerado de aplicabilidad las medidas de nivel alto, cubriendo así los casos más exigentes. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 11
  • 12. 8. Resultados Requisitos de seguridad PCI DSS, SOX y LOPD, automati- zables en un firewall de base de datos  PCI DSS. 70 requisitos, de diferentes niveles, que soportan el estándar de seguridad  SOX. 12 requisitos, que abarcan las secciones 302 y 404  LOPD. 24 requisitos, que dan cobertura a la ley 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 12
  • 13. 9. Conclusiones y trabajos futuros El trabajo realizado sirve de base para los proyectos de adecuación de los sistemas de información, a las más exigentes normas de seguridad. Punto de partida para la realización de un trabajo de “Adecuación de sistemas de información a las normativas de seguridad PCI DSS, SOX y LOPD. Una aproximación PMI”. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 13
  • 14. 20/06/2013 Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos 14 Fin Muchas gracias por la atención prestada