SlideShare una empresa de Scribd logo

Auditoría de Sistemas y reglamentacion PCI

Descargar como PPTX, PDF
Universidad de Panamá
Universidad de Panamá
1 de 55
Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara
PCI Security Standards Council Elementos para la alineación PCI DSS Requerimientos de PCI DSS Historia Actualizaciones e información adicional Cómo empezar PA DSS Requerimientos Gobernabilidad y cumplimiento Historia Futuro Estándares PCI
Quién debe cumplir con esta regulación Proceso de cumplimiento Asesores aprobados y fabricantes certificados Obligaciones de los comercios Comercios: Niveles Cuestiones a considerar de los comercios Qué se entiende por SP Proveedores de servicios: Niveles Entidades Adquirentes y Emisoras Desarrolladores de aplicaciones de pago Beneficios de cumplir con PCI
El Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago es un foro mundial abierto destinado a la formulación, mejora, almacenamiento, difusión y aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. Su misión es aumentar la seguridad de los datos de cuentas de pago mediante la promoción de la educación y el conocimiento sobre las Normas de seguridad de la PCI (Industria de tarjetas de pago).
Hasta octubre de 2006: Cada marca de tarjetas tenía su propio programa de requerimientos de seguridad. Actividad descoordinada
En octubre de 2006, se forma el PCI SSC para coordinar y administrar los esfuerzos conjuntamente para combatir el robo de datos de titulares de tarjetas.
Significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas. Los comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.
La versión actual de la norma es la versión 2.0, lanzada el 26 de octubre de 2010. PCI DSS versión 2.0 debe ser adoptada por todas las organizaciones con datos de tarjetas de pago antes del 1 de enero de 2011 y desde el 1 de enero de 2012 todas las evaluaciones deben estar conforme a la versión 2.0 de la norma. PCI DSS versión 2.0 tiene dos requisitos nuevos y está en desarrollo de 132 cambios.
La siguiente tabla resume los diferentes puntos de la versión 1.2 de 1 de octubre de 2008, y especifica los 12 requisitos para el cumplimiento, organizados en seis grupos relacionados lógicamente, que se denominan "objetivos de control".
PCI DSS comenzó originalmente como cinco programas diferentes: Programa de Seguridad de la Información de Tarjetas Visa, Sitio de Protección de Datos MasterCard, Política Operativa de Seguridad de Datos American Express, Información y Cumplimiento Discover, y el Programa de Seguridad de Datos de JCB. Las intenciones de cada compañía fueron más o menos similares: crear un nivel adicional de protección para los emisores de tarjetas, asegurando que los comerciantes cumplan con los niveles mínimos de seguridad cuando se almacenan, procesan y transmiten datos de titulares de tarjetas.
En septiembre de 2006, el estándar PCI se actualizó a la versión 1.1 para proporcionar aclaraciones y revisiones menores a la versión 1.0. La versión 1.2 fue lanzada el 1 de octubre de 2008. La versión 1.1 el 31 de diciembre de 2008. La v1.2 no cambió los requisitos, sólo mayor claridad, una mayor flexibilidad, y se dirigió a la evolución de los riesgos /amenazas. En agosto de 2009, el PCI SSC anunció el paso de la versión 1.2 a la versión 1.2.1 para el propósito de hacer pequeñas correcciones encaminadas a crear más claridad y coherencia entre las normas y los documentos de apoyo.
El PCI SSC ha lanzado varias piezas complementarias de información para aclarar diversos requisitos. Estos documentos incluyen la siguiente: •Suplemento informativo: Requisito 11.3 Pruebas de Penetración •Suplemento informativo: Requisito 6.6 revisiones de código y cortafuegos de aplicación Clarificado •Navegando por el PCI DSS - Comprensión del objetivo de los requisitos •Suplemento informativo: PCI DSS Directrices inalámbricas
Documento titular de flujo de datos - Uno de los primeros pasos en el cumplimiento de PCI es documentar el flujo de los datos de los tarjetahabientes. Los flujos de datos de los tarjetahabientes entre y a través de aplicaciones, sistemas y dispositivos de red. Es muy importante documentar el flujo de todos los datos de los tarjetahabientes antes de comenzar cualquier actividad de evaluación.
Desarrollar un inventario del sistema - un inventario de todos los sistemas que almacenan, procesan y / o transmiten datos de tarjetas debe mantenerse. La siguiente información, como mínimo, se debe mantener en el inventario: •Nombre del sistema •Datos de tarjetas almacenados (campos de lista) •Motivo de almacenamiento •El período de retención •Mecanismo de protección (por ejemplo, hashing, encriptación, o truncamiento)
Es de señalar que cuando se está desarrollando el sistema de inventario se debe dividir las aplicaciones y componentes del sistema en categorías para efectos de la definición del alcance. •Categoría 1 aplicaciones y componentes del sistema: Aplicaciones y sistemas que directamente almacenan, procesan o transmiten datos de tarjetas o se encuentran en la misma red que dichas aplicaciones y sistemas •Categoría 2: Componentes del sistema: Componentes del sistema que apoyan el entorno (es decir, Active Directory, NTP, DNS, Anti-virus, los servidores de parches, etc) •Categoría 3 Componentes del sistema: Todos los demás componentes del sistema que no sean de Nivel 1 y Nivel 2
Las Normas de Seguridad de Datos para las Aplicaciones de Pago. Anteriormente conocido como las Mejores Prácticas de Aplicaciones de Pago (PABP), es el estándar de seguridad global creado por el Payment Card Industry Security Standards Council (PCI SSC). PA-DSS se puso en práctica en un esfuerzo por proporcionar un estándar para los proveedores de software que desarrollan aplicaciones de pago.
La norma tiene por objeto evitar que las aplicaciones de pago desarrolladas por cuenta de terceros practiquen el almacenamiento seguro de datos prohibidos, incluyendo banda magnética, CVV2 o PIN. En ese proceso, la norma también establece que los proveedores de software que desarrollan aplicaciones de pago deben asegurarse de que estas son compatibles con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Para que una aplicación de pago se considere compatible con PA-DSS, los proveedores de software deben asegurarse de que su software incluye las siguientes 14 protecciones
7. Someter a prueba las aplicaciones de pago para identificar vulnerabilidades. 10. Implementar actualizaciones de software remotas seguras. 14. Mantener la documentación de instrucción y programas de formación para clientes, revendedores e integradores.
PCI SSC ha compilado una lista de las aplicaciones de pago que han sido validadas como conformes con PA-DSS, para reflejar quienes cumplen en la medida que se desarrollan. La creación y aplicación de estas normas se apoya en la actualidad con PCI SSC a través de los Asesores de Seguridad Calificados de Aplicaciones de Pago (PA-QSA). PA-QSA que aplican revisiones periódicas a las aplicaciones de pago que ayudan a los proveedores de software a asegurarse que las aplicaciones son compatibles con los estándares PCI.
Gobernado originalmente por Visa Inc., bajo el nombre de PABP, PA-DSS se puso en marcha el 15 de abril de 2008 y fue actualizado el 15 de octubre de 2008. PA-DSS se distinguió a través de la "versión 1.1" y "versión 1.2".
El futuro de estas normas es algo vago, con la atención del Congreso Estadounidense que da lugar a la posibilidad de la intervención gubernamental. En cualquier caso, el cumplimiento de las normas puede resultar costoso y consume tiempo para los proveedores de software, con el gasto actual de la certificación PA-DSS superando a otros métodos de cumplimiento. Dado el costo de cumplimiento y certificación, las alternativas actuales o aún indeterminadas podrían surgir en el mercado de cumplimiento de las normas PCI. Visa USA anunció un impulso más agresivo en este tipo de tecnología (chip y pin) en agosto de 2011. Visa Press Release
El PCI SSC ha publicado materiales que aclaran aún más PA-DSS, incluyendo las siguientes: •Requisitos PA-DSS y procedimientos de evaluación de seguridad. •Los cambios de las normas anteriores. •Guía de programación General para QSA.
Cualquier compañía (comercios, procesadores, entidades adquirentes, emisoras, proveedores de servicio) que almacene, procese, o transmita información de un tarjetahabiente debe cumplir con PCI y realizar auditorías periódicas.
Participantes en la regulación PCI Aplicaciones de pago
Dependiendo del tipo de compañía se requerirá de pasar por una auditoría PCI cada año o completar un cuestionario de autoevaluación con el fin de poder validar el cumplimiento de dicha auditoría. Además de esta actividad, se tendrán que presentar los resultados trimestrales del análisis de vulnerabilidades del perímetro de red (el cual tiene que ser realizado por un fabricante debidamente certificado para la realización de auditorías PCI), el cual es evidencia del desarrollo de esta actividad. Se busca con estas pruebas de vulnerabilidad demostrar que su compañía posee las mejores prácticas en lo relacionado con la remedición y la gestión de vulnerabilidades. Este será, pues, el objetivo principal de la auditoría PCI.
Verificaciones técnicas de seguridad PCI DSS requiere la realización de 5 tipos de verificaciones técnicas de seguridad periódicas a la infraestructura de datos de tarjetas
Verificaciones técnicas de seguridad
PCI Co, ahora controla qué compañías le son permitidas conducir una auditoría PCI. Estas compañías, conocidas oficialmente como •Qualified Security Assessor Companies (QSACs), son organizaciones que han sido calificados por el Council para que sus empleados puedan evaluar el cumplimiento de la norma PCI DSS. Estos deben recorrer un proceso de aplicaciones y calificaciones con el fin de demostrar su cumplimiento a través de la calidad de sus procesos operativos y administrativos.
Los QSACs también deben invertir en entrenamiento y certificación del personal con el fin de construir un equipo de: Qualified Security Assesors (QSAs), cuyo objetivo principal es llevar a cabo una evaluación de una empresa que maneja los datos de tarjetas de crédito en contra de los objetivos de control de alto nivel de la Norma de Seguridad de Datos PCI (PCI DSS). Approved Scanning Vendor (ASV), son organizaciones que validan el cumplimiento de determinados requisitos DSS mediante la realización de análisis de vulnerabilidades de Internet a las que se enfrentan entornos de comerciantes y prestadores de servicios.
Asesores de Seguridad Calificados(QSA)
Estas compañías deben recorrer un proceso similar al de los QSAC. La diferencia radica en que en el caso de los QSAC, los cuales deben atender entrenamientos periódicos y anuales, los ASVs deben enviar un informe de resultados contra un perímetro de red. Una compañía puede elegir ser tanto QSAC como ASV, lo que le permitirá ser un único fabricante en capacidad de ofrecer la auditoría completa PCI.
En general, las marcas de tarjetas (VISA, MASTER, JCB, AMEX, DISCOVER) definen unos niveles de cumplimiento para los comercios. Para cada nivel de cumplimiento de los comercios, se establecen una serie de obligaciones. En general, se definen 4 niveles para el caso de los comercios, atendiendo principalmente al número de transacciones por año.
Implica la realización de una Auditoria anual por parte de un QSA (Qualified Security Assesor) que rellenaría un ROC (Report Of Compliance) que se enviaría a cada una de las marcas. En esta auditoría se realiza un estudio exhaustivo del estado de cumplimiento del comercio, así como diversos controles de seguridad (Escaneos de red trimestrales por un ASV Approved Scanning Vendor). Se entiende como comercio de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 6 millones de transacciones VISA, MASTER o DISCOVER. •Más de 2,5 millones de transacciones AMEX •Más de 1 millón de transacciones JCB Adicionalmente, se consideran también comercios Nivel-1 a aquellos que han sufrido un ataque en el que se hayan puesto en compromiso datos de tarjeta o cualesquiera que una marca considere debe ser de Nivel-1.
Se entiende como comercio de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER. •Entre 50K y 2,5 millones de transacciones AMEX •Menos de 1 millón de transacciones JCB En este nivel, los comercios no están obligados a llevar a cabo una auditoria PCI-DSS anual; en su lugar, deben rellenar un formulario de autoevaluación conocido como SAQ (Self-Assessment Questionnarie). Sin embargo, las cosas no son tan fáciles; En el caso de MASTER, desde Junio de 2012 es de obligado cumplimiento que si quieren presentar un SAQ, éste sea rellenado por un persona que tenga el certificado PCI SSC ISA (Internal Security Auditor) y para ello, deberá asistir a los cursos organizados por el Council. En caso contrario, deberá llevarse a cabo una Auditoria anual por parte de un QSA. Esto todavía se puede complicar más si resulta que un comercio que por número de transacciones no sea Nivel-2 en MASTER, pero sí lo sea para VISA, automáticamente se considera también Nivel-2 de MASTER.
Este nivel está específicamente diseñado para transacciones de e-commerce y además, no todas las marcas lo consideran. Se entiende como comercio de Nivel-3 a los que procesen el siguiente número de transacciones/año: •Entre 20K y 1 millón de transacciones de comercio electrónico de VISA, MASTER o DISCOVER. •Menos de 50K transacciones AMEX
Se trata del nivel menos restrictivo de todos. La única obligación en estos casos es rellenar el SAQ y se recomienda el realizar un escaneo trimestral de red, aunque se deja a consideración de la entidad adquirente el obligar o no a los comercios a llevarlo a cabo. Evidentemente, esto implica que ninguna entidad lo haga.
Los SP son organizaciones que prestan servicios a los comercios, entidades financieras y/o a otras entidades relacionados con el procesamiento de las transacciones. Los SP incluyen los Procesadores, los Third-Party processors y los Gateway providers, entre otros. En general, cualquier entidad que realice o proporcione servicios relacionados con los medios de pago a terceros. En este apartado también se encuentra Entidades Financieras que realizan determinados servicios: por ejemplo Clearing & Settlement, Autorizaciones en backup, etc a otras entidades financieras.
Se entiende como SP de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 300K transacciones VISA, MASTER. •Cualquier número de transacciones DISCOVER, AMEX o JCB Implica la realización de una Auditoria anual por parte de un QSA generando el ROC (Report Of Compliance) que se envía a cada una de las marcas con las que opera y a la realización de escaneos de red trimestrales por parte de un ASV.
Se entiende como SP de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Menos de 300K transacciones VISA, MASTER. En este nivel sólo es necesario rellenar el ROC y realizar escaneos de red trimestrales por parte de un ASV.
En primer lugar, todas las Entidades (Adquirentes o Emisoras) están obligadas a cumplir PCI-DSS. Las marcas no obligan a las entidades a pasar auditorias anuales. La única marca que realiza tal consideración es DISCOVER, que califica a las Entidades Adquirentes como ‘Proveedores de Servicio’ (SP). También existe una mención por parte de VISA USA en la que se indica que todos los Emisores miembros de VISA que estén conectados directamente a VISANET o que procesen en nombre de otro miembro de VISA deben validar de forma anual su cumplimiento con PCI-DSS, lo cual implica una Auditoria.
Todas las empresas que comercialicen soluciones de software para pagos con tarjetas deben cumplir PA DSS Se certifica una versión específica de software. Las marcas de tarjetas definen el requisito a los clientes de utilizar aplicaciones certificadas. Entre las aplicaciones que aparecen en el listado oficial de aplicaciones certificadas, se encuentran: •E-Payment Integrator •FDMS Integrator •Paymentech Integrator •TSYS Integrator •SmartHUB Kiosk •911 Software CreditLine Secure •Ability OMS •MARKET2
•Promover la integridad del comercio y aumentar la confianza de los consumidores en el negocio. •Incrementar las ventas como consecuencia del aumento en la confianza de los consumidores. •Proteger al comercio de posibles pérdidas de ingresos, investigaciones no deseadas y costos legales. •Reducir el riesgo de atención no deseada de la prensa como resultado de un compromiso o fuga de información de clientes. •Proyectar mayor conciencia de los controles y medidas preventivas de seguridad disponibles para el comercio. •Reducir las disputas de Tarjetahabientes y costos asociados a transacciones fraudulentas resultantes de un compromiso de información. •Prevenir el robo masivo de información de clientes. •Facilitar la adopción de estándares de seguridad válidos a nivel global. •Generar una herramienta que establece las posibles vulnerabilidades que tiene el sistema de información.
Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara ¡GRACIAS!

Recomendados

MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?
MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?
MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?
Italo Villanueva
 
Nia 315
Nia 315Nia 315
Nia 315
Herimileth Bocanegra
 
Existen cuatro tipos de opinión en auditoría
Existen cuatro tipos de opinión en auditoríaExisten cuatro tipos de opinión en auditoría
Existen cuatro tipos de opinión en auditoríaJohn Ajila
 
presentación sección 23 ingresos ordinarios
presentación sección 23 ingresos ordinarios presentación sección 23 ingresos ordinarios
presentación sección 23 ingresos ordinarios
KiaraReyes7
 
Introducción a las NICSP
Introducción a las NICSPIntroducción a las NICSP
Introducción a las NICSP
International Federation of Accountants
 
Presentación sobre los indicadores financieros.
Presentación sobre los indicadores financieros.Presentación sobre los indicadores financieros.
Presentación sobre los indicadores financieros.
Gabi Sc
 
Planificación de auditoría para empresas constructoras
Planificación de auditoría para empresas constructorasPlanificación de auditoría para empresas constructoras
Planificación de auditoría para empresas constructorasJuan Gajardo
 
Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...
Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...
Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...
miguelserrano5851127
 

Recomendados

MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?
MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?
MWA - Papeles Comerciales: ¿Cuál es el adecuado para mi compañía?
Italo Villanueva
 
Nia 315
Nia 315Nia 315
Nia 315
Herimileth Bocanegra
 
Existen cuatro tipos de opinión en auditoría
Existen cuatro tipos de opinión en auditoríaExisten cuatro tipos de opinión en auditoría
Existen cuatro tipos de opinión en auditoríaJohn Ajila
 
presentación sección 23 ingresos ordinarios
presentación sección 23 ingresos ordinarios presentación sección 23 ingresos ordinarios
presentación sección 23 ingresos ordinarios
KiaraReyes7
 
Introducción a las NICSP
Introducción a las NICSPIntroducción a las NICSP
Introducción a las NICSP
International Federation of Accountants
 
Presentación sobre los indicadores financieros.
Presentación sobre los indicadores financieros.Presentación sobre los indicadores financieros.
Presentación sobre los indicadores financieros.
Gabi Sc
 
Planificación de auditoría para empresas constructoras
Planificación de auditoría para empresas constructorasPlanificación de auditoría para empresas constructoras
Planificación de auditoría para empresas constructorasJuan Gajardo
 
Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...
Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...
Curso Marco Integrado de Control Interno COSO 2013 - segunda clase - MAR.20...
miguelserrano5851127
 
Relación de las NAGAs y NIAAs
Relación de las NAGAs y NIAAsRelación de las NAGAs y NIAAs
Relación de las NAGAs y NIAAs
vanesitachangoluisa
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Ciclo de nomina en la auditoria
Ciclo de nomina en la auditoriaCiclo de nomina en la auditoria
Ciclo de nomina en la auditoriaLa_Nenixz
 
Nic 10
Nic 10Nic 10
Nic 10Luis Alfredo Gómez Rodríguez
 
Nia-330-402-450-expo
Nia-330-402-450-expo Nia-330-402-450-expo
Nia-330-402-450-expo
Angelica Marmolejo Urriago
 
Elasticidad precio
Elasticidad precioElasticidad precio
Elasticidad precioEidy Muñoz
 
6 i capitulo 2
6 i capitulo 26 i capitulo 2
6 i capitulo 2
Alfredo Hernandez
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
Hector Chajón
 
Control de acceso a red
Control de acceso a redControl de acceso a red
Control de acceso a red
Maria L Cortez C
 
Auditoria a obras publicas
Auditoria a obras publicasAuditoria a obras publicas
Auditoria a obras publicas
aydeepeazerrillo
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
Alexander Cruz
 
Normatividad contable en México y el mundo
Normatividad contable en México y el mundoNormatividad contable en México y el mundo
Normatividad contable en México y el mundo
Narcy Soraya Flores Soto
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
Carlos Ledesma
 
8. NIC SP 26.pptx
8. NIC SP 26.pptx8. NIC SP 26.pptx
8. NIC SP 26.pptx
KarolJhulizapurihuam
 
Régimen sobre Ingresos ene2017
Régimen sobre Ingresos ene2017Régimen sobre Ingresos ene2017
Régimen sobre Ingresos ene2017
billod
 
Conclusiones
ConclusionesConclusiones
Conclusiones
Brian Garrido
 
Sección 10 niif pyme
Sección 10 niif pymeSección 10 niif pyme
Sección 10 niif pyme
Líder Activo
 
Edt desarrollo de software
Edt desarrollo de softwareEdt desarrollo de software
Edt desarrollo de software
Jaime Margarito Rivas
 
Marco conceptual 2010
Marco conceptual 2010Marco conceptual 2010
Marco conceptual 2010Luis Alfredo Gómez Rodríguez
 
Independencia del auditor
Independencia del auditorIndependencia del auditor
Independencia del auditorJuan José Sandoval Zapata
 
Gestión de Redes
Gestión de RedesGestión de Redes
Gestión de RedesUniversidad de Panamá
 
Esquema del PCI 2017.
Esquema del PCI 2017.Esquema del PCI 2017.
Esquema del PCI 2017.
Marly Rodriguez
 

Más contenido relacionado

La actualidad más candente

Relación de las NAGAs y NIAAs
Relación de las NAGAs y NIAAsRelación de las NAGAs y NIAAs
Relación de las NAGAs y NIAAs
vanesitachangoluisa
 
Ciclo de nomina en la auditoria
Ciclo de nomina en la auditoriaCiclo de nomina en la auditoria
Ciclo de nomina en la auditoriaLa_Nenixz
 
Nia-330-402-450-expo
Nia-330-402-450-expo Nia-330-402-450-expo
Nia-330-402-450-expo
Angelica Marmolejo Urriago
 
Elasticidad precio
Elasticidad precioElasticidad precio
Elasticidad precioEidy Muñoz
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
Hector Chajón
 
Control de acceso a red
Control de acceso a redControl de acceso a red
Control de acceso a red
Maria L Cortez C
 
Auditoria a obras publicas
Auditoria a obras publicasAuditoria a obras publicas
Auditoria a obras publicas
aydeepeazerrillo
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
Alexander Cruz
 
Normatividad contable en México y el mundo
Normatividad contable en México y el mundoNormatividad contable en México y el mundo
Normatividad contable en México y el mundo
Narcy Soraya Flores Soto
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
Carlos Ledesma
 
8. NIC SP 26.pptx
8. NIC SP 26.pptx8. NIC SP 26.pptx
8. NIC SP 26.pptx
KarolJhulizapurihuam
 
Régimen sobre Ingresos ene2017
Régimen sobre Ingresos ene2017Régimen sobre Ingresos ene2017
Régimen sobre Ingresos ene2017
billod
 
Conclusiones
ConclusionesConclusiones
Conclusiones
Brian Garrido
 
Sección 10 niif pyme
Sección 10 niif pymeSección 10 niif pyme
Sección 10 niif pyme
Líder Activo
 
Edt desarrollo de software
Edt desarrollo de softwareEdt desarrollo de software
Edt desarrollo de software
Jaime Margarito Rivas
 

La actualidad más candente (20)

Relación de las NAGAs y NIAAs
Relación de las NAGAs y NIAAsRelación de las NAGAs y NIAAs
Relación de las NAGAs y NIAAs
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Ciclo de nomina en la auditoria
Ciclo de nomina en la auditoriaCiclo de nomina en la auditoria
Ciclo de nomina en la auditoria
 
Nic 10
Nic 10Nic 10
Nic 10
 
Nia-330-402-450-expo
Nia-330-402-450-expo Nia-330-402-450-expo
Nia-330-402-450-expo
 
Elasticidad precio
Elasticidad precioElasticidad precio
Elasticidad precio
 
6 i capitulo 2
6 i capitulo 26 i capitulo 2
6 i capitulo 2
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
 
Control de acceso a red
Control de acceso a redControl de acceso a red
Control de acceso a red
 
Auditoria a obras publicas
Auditoria a obras publicasAuditoria a obras publicas
Auditoria a obras publicas
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
 
Normatividad contable en México y el mundo
Normatividad contable en México y el mundoNormatividad contable en México y el mundo
Normatividad contable en México y el mundo
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
8. NIC SP 26.pptx
8. NIC SP 26.pptx8. NIC SP 26.pptx
8. NIC SP 26.pptx
 
Régimen sobre Ingresos ene2017
Régimen sobre Ingresos ene2017Régimen sobre Ingresos ene2017
Régimen sobre Ingresos ene2017
 
Conclusiones
ConclusionesConclusiones
Conclusiones
 
Sección 10 niif pyme
Sección 10 niif pymeSección 10 niif pyme
Sección 10 niif pyme
 
Edt desarrollo de software
Edt desarrollo de softwareEdt desarrollo de software
Edt desarrollo de software
 
Marco conceptual 2010
Marco conceptual 2010Marco conceptual 2010
Marco conceptual 2010
 
Independencia del auditor
Independencia del auditorIndependencia del auditor
Independencia del auditor
 

Destacado

Esquema del PCI 2017.
Esquema del PCI 2017.Esquema del PCI 2017.
Esquema del PCI 2017.
Marly Rodriguez
 
2014session6 3
2014session6 32014session6 3
2014session6 3acvq
 
Prosto dientes anteriores
Prosto dientes anterioresProsto dientes anteriores
Prosto dientes anterioresklauklau
 
Navidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran CanariaNavidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran Canariaguest977cd4
 
Parque Forestal
Parque ForestalParque Forestal
Parque Forestalcatamacro
 
Dossier Andriani Lee 2010
Dossier Andriani Lee 2010Dossier Andriani Lee 2010
Dossier Andriani Lee 2010
Andriani Lee Consultores
 
5 claves del exito avg
5 claves del exito avg5 claves del exito avg
5 claves del exito avg
Universidad Nacional Mayor de San Marcos
 
Los 3 Cerditos
Los 3 CerditosLos 3 Cerditos
Los 3 Cerditosyanete
 
Trabajo con cam studio
Trabajo con cam studioTrabajo con cam studio
Trabajo con cam studio
educ.ar
 
SOCIAL MEDIA
SOCIAL MEDIASOCIAL MEDIA
SOCIAL MEDIA
CREACTIVE
 
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Salainversion
 
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Salainversion
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuela
IAPEM
 
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoCortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoSalainversion
 
Zoom sur le management qualité
Zoom sur le management qualité Zoom sur le management qualité
Zoom sur le management qualité
Visiativ Africa
 
Instalacion Del DNS
Instalacion Del DNSInstalacion Del DNS
Instalacion Del DNS
Protrabaj
 

Destacado (20)

Gestión de Redes
Gestión de RedesGestión de Redes
Gestión de Redes
 
Esquema del PCI 2017.
Esquema del PCI 2017.Esquema del PCI 2017.
Esquema del PCI 2017.
 
2014session6 3
2014session6 32014session6 3
2014session6 3
 
Prosto dientes anteriores
Prosto dientes anterioresProsto dientes anteriores
Prosto dientes anteriores
 
Navidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran CanariaNavidaden Las Canteras2006 Gran Canaria
Navidaden Las Canteras2006 Gran Canaria
 
Hey usted, feliz navidad
Hey usted, feliz navidadHey usted, feliz navidad
Hey usted, feliz navidad
 
Parque Forestal
Parque ForestalParque Forestal
Parque Forestal
 
Ch01 e
Ch01 eCh01 e
Ch01 e
 
Dossier Andriani Lee 2010
Dossier Andriani Lee 2010Dossier Andriani Lee 2010
Dossier Andriani Lee 2010
 
5 claves del exito avg
5 claves del exito avg5 claves del exito avg
5 claves del exito avg
 
Les avantages du Saas
Les avantages du SaasLes avantages du Saas
Les avantages du Saas
 
Los 3 Cerditos
Los 3 CerditosLos 3 Cerditos
Los 3 Cerditos
 
Trabajo con cam studio
Trabajo con cam studioTrabajo con cam studio
Trabajo con cam studio
 
SOCIAL MEDIA
SOCIAL MEDIASOCIAL MEDIA
SOCIAL MEDIA
 
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010 Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
Informe semanal de Análisis Técnico de Cortal Consors - 27 de julio de 2010
 
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111 Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
Informe semanal de Análisis Técnico de Cortal Consors - 18 de enero de 20111
 
Resoluciones conatec venezuela
Resoluciones conatec venezuelaResoluciones conatec venezuela
Resoluciones conatec venezuela
 
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayoCortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
Cortal Consors - Informe Semanal de Análisis Técnico del 10 de mayo
 
Zoom sur le management qualité
Zoom sur le management qualité Zoom sur le management qualité
Zoom sur le management qualité
 
Instalacion Del DNS
Instalacion Del DNSInstalacion Del DNS
Instalacion Del DNS
 

Similar a Auditoría de Sistemas y reglamentacion PCI

PCI DSS
PCI DSSPCI DSS
PCI DSS
SIA Group
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
ControlCase
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
AECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Protiviti Peru
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
Alvaro Machaca Tola
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Internet Security Auditors
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Juan Manuel Nieto
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
Internet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
Internet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Jesús Vázquez González
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
--------------
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Juan Jose Rider Jimenez
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
Jefersonguetio
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
Internet Security Auditors
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
Marcos Harasimowicz
 

Similar a Auditoría de Sistemas y reglamentacion PCI (20)

PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 

Más de Universidad de Panamá

Proyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaProyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaUniversidad de Panamá
 
Sistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivosSistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivosUniversidad de Panamá
 
Sistemas de gestión de bases de datos
Sistemas de gestión de bases de datosSistemas de gestión de bases de datos
Sistemas de gestión de bases de datosUniversidad de Panamá
 

Más de Universidad de Panamá (15)

Diseño asistido por computadora
Diseño asistido por computadoraDiseño asistido por computadora
Diseño asistido por computadora
 
Software libre aspectos legales
Software libre aspectos legalesSoftware libre aspectos legales
Software libre aspectos legales
 
Clases abstractas en JAVA
Clases abstractas en JAVAClases abstractas en JAVA
Clases abstractas en JAVA
 
Tsx-32 OS
Tsx-32 OSTsx-32 OS
Tsx-32 OS
 
Esteganografía y criptografía
Esteganografía y criptografíaEsteganografía y criptografía
Esteganografía y criptografía
 
Blackberry OS
Blackberry OSBlackberry OS
Blackberry OS
 
Sistema Experto Duprat
Sistema Experto DupratSistema Experto Duprat
Sistema Experto Duprat
 
Componentes del liderazgo
Componentes del liderazgoComponentes del liderazgo
Componentes del liderazgo
 
Proyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaProyecto administracion de una biblioteca
Proyecto administracion de una biblioteca
 
Proyecto de Base de Datos
Proyecto de Base de Datos Proyecto de Base de Datos
Proyecto de Base de Datos
 
Programacion dinamica
Programacion dinamicaProgramacion dinamica
Programacion dinamica
 
Lenguajes de bases de datos
Lenguajes de bases de datosLenguajes de bases de datos
Lenguajes de bases de datos
 
Estandarización
EstandarizaciónEstandarización
Estandarización
 
Sistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivosSistemas de base de datos vs sistemas de archivos
Sistemas de base de datos vs sistemas de archivos
 
Sistemas de gestión de bases de datos
Sistemas de gestión de bases de datosSistemas de gestión de bases de datos
Sistemas de gestión de bases de datos
 

Último

Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
jjfch3110
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
Luis Enrique Zafra Haro
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 

Último (20)

Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 

Auditoría de Sistemas y reglamentacion PCI

  • 1. Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara
  • 2. PCI Security Standards Council Elementos para la alineación PCI DSS Requerimientos de PCI DSS Historia Actualizaciones e información adicional Cómo empezar PA DSS Requerimientos Gobernabilidad y cumplimiento Historia Futuro Estándares PCI
  • 3. Quién debe cumplir con esta regulación Proceso de cumplimiento Asesores aprobados y fabricantes certificados Obligaciones de los comercios Comercios: Niveles Cuestiones a considerar de los comercios Qué se entiende por SP Proveedores de servicios: Niveles Entidades Adquirentes y Emisoras Desarrolladores de aplicaciones de pago Beneficios de cumplir con PCI
  • 4. El Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago es un foro mundial abierto destinado a la formulación, mejora, almacenamiento, difusión y aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. Su misión es aumentar la seguridad de los datos de cuentas de pago mediante la promoción de la educación y el conocimiento sobre las Normas de seguridad de la PCI (Industria de tarjetas de pago).
  • 5. Hasta octubre de 2006: Cada marca de tarjetas tenía su propio programa de requerimientos de seguridad. Actividad descoordinada
  • 6. En octubre de 2006, se forma el PCI SSC para coordinar y administrar los esfuerzos conjuntamente para combatir el robo de datos de titulares de tarjetas.
  • 7.
  • 8.
  • 9. Significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito.
  • 10. Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas. Los comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.
  • 11. La versión actual de la norma es la versión 2.0, lanzada el 26 de octubre de 2010. PCI DSS versión 2.0 debe ser adoptada por todas las organizaciones con datos de tarjetas de pago antes del 1 de enero de 2011 y desde el 1 de enero de 2012 todas las evaluaciones deben estar conforme a la versión 2.0 de la norma. PCI DSS versión 2.0 tiene dos requisitos nuevos y está en desarrollo de 132 cambios.
  • 12. La siguiente tabla resume los diferentes puntos de la versión 1.2 de 1 de octubre de 2008, y especifica los 12 requisitos para el cumplimiento, organizados en seis grupos relacionados lógicamente, que se denominan "objetivos de control".
  • 13.
  • 14.
  • 15.
  • 16. PCI DSS comenzó originalmente como cinco programas diferentes: Programa de Seguridad de la Información de Tarjetas Visa, Sitio de Protección de Datos MasterCard, Política Operativa de Seguridad de Datos American Express, Información y Cumplimiento Discover, y el Programa de Seguridad de Datos de JCB. Las intenciones de cada compañía fueron más o menos similares: crear un nivel adicional de protección para los emisores de tarjetas, asegurando que los comerciantes cumplan con los niveles mínimos de seguridad cuando se almacenan, procesan y transmiten datos de titulares de tarjetas.
  • 17. En septiembre de 2006, el estándar PCI se actualizó a la versión 1.1 para proporcionar aclaraciones y revisiones menores a la versión 1.0. La versión 1.2 fue lanzada el 1 de octubre de 2008. La versión 1.1 el 31 de diciembre de 2008. La v1.2 no cambió los requisitos, sólo mayor claridad, una mayor flexibilidad, y se dirigió a la evolución de los riesgos /amenazas. En agosto de 2009, el PCI SSC anunció el paso de la versión 1.2 a la versión 1.2.1 para el propósito de hacer pequeñas correcciones encaminadas a crear más claridad y coherencia entre las normas y los documentos de apoyo.
  • 18. El PCI SSC ha lanzado varias piezas complementarias de información para aclarar diversos requisitos. Estos documentos incluyen la siguiente: •Suplemento informativo: Requisito 11.3 Pruebas de Penetración •Suplemento informativo: Requisito 6.6 revisiones de código y cortafuegos de aplicación Clarificado •Navegando por el PCI DSS - Comprensión del objetivo de los requisitos •Suplemento informativo: PCI DSS Directrices inalámbricas
  • 19. Documento titular de flujo de datos - Uno de los primeros pasos en el cumplimiento de PCI es documentar el flujo de los datos de los tarjetahabientes. Los flujos de datos de los tarjetahabientes entre y a través de aplicaciones, sistemas y dispositivos de red. Es muy importante documentar el flujo de todos los datos de los tarjetahabientes antes de comenzar cualquier actividad de evaluación.
  • 20. Desarrollar un inventario del sistema - un inventario de todos los sistemas que almacenan, procesan y / o transmiten datos de tarjetas debe mantenerse. La siguiente información, como mínimo, se debe mantener en el inventario: •Nombre del sistema •Datos de tarjetas almacenados (campos de lista) •Motivo de almacenamiento •El período de retención •Mecanismo de protección (por ejemplo, hashing, encriptación, o truncamiento)
  • 21. Es de señalar que cuando se está desarrollando el sistema de inventario se debe dividir las aplicaciones y componentes del sistema en categorías para efectos de la definición del alcance. •Categoría 1 aplicaciones y componentes del sistema: Aplicaciones y sistemas que directamente almacenan, procesan o transmiten datos de tarjetas o se encuentran en la misma red que dichas aplicaciones y sistemas •Categoría 2: Componentes del sistema: Componentes del sistema que apoyan el entorno (es decir, Active Directory, NTP, DNS, Anti-virus, los servidores de parches, etc) •Categoría 3 Componentes del sistema: Todos los demás componentes del sistema que no sean de Nivel 1 y Nivel 2
  • 22. Las Normas de Seguridad de Datos para las Aplicaciones de Pago. Anteriormente conocido como las Mejores Prácticas de Aplicaciones de Pago (PABP), es el estándar de seguridad global creado por el Payment Card Industry Security Standards Council (PCI SSC). PA-DSS se puso en práctica en un esfuerzo por proporcionar un estándar para los proveedores de software que desarrollan aplicaciones de pago.
  • 23. La norma tiene por objeto evitar que las aplicaciones de pago desarrolladas por cuenta de terceros practiquen el almacenamiento seguro de datos prohibidos, incluyendo banda magnética, CVV2 o PIN. En ese proceso, la norma también establece que los proveedores de software que desarrollan aplicaciones de pago deben asegurarse de que estas son compatibles con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
  • 24. Para que una aplicación de pago se considere compatible con PA-DSS, los proveedores de software deben asegurarse de que su software incluye las siguientes 14 protecciones
  • 25.
  • 26.
  • 27. 7. Someter a prueba las aplicaciones de pago para identificar vulnerabilidades. 10. Implementar actualizaciones de software remotas seguras. 14. Mantener la documentación de instrucción y programas de formación para clientes, revendedores e integradores.
  • 28. PCI SSC ha compilado una lista de las aplicaciones de pago que han sido validadas como conformes con PA-DSS, para reflejar quienes cumplen en la medida que se desarrollan. La creación y aplicación de estas normas se apoya en la actualidad con PCI SSC a través de los Asesores de Seguridad Calificados de Aplicaciones de Pago (PA-QSA). PA-QSA que aplican revisiones periódicas a las aplicaciones de pago que ayudan a los proveedores de software a asegurarse que las aplicaciones son compatibles con los estándares PCI.
  • 29. Gobernado originalmente por Visa Inc., bajo el nombre de PABP, PA-DSS se puso en marcha el 15 de abril de 2008 y fue actualizado el 15 de octubre de 2008. PA-DSS se distinguió a través de la "versión 1.1" y "versión 1.2".
  • 30. El futuro de estas normas es algo vago, con la atención del Congreso Estadounidense que da lugar a la posibilidad de la intervención gubernamental. En cualquier caso, el cumplimiento de las normas puede resultar costoso y consume tiempo para los proveedores de software, con el gasto actual de la certificación PA-DSS superando a otros métodos de cumplimiento. Dado el costo de cumplimiento y certificación, las alternativas actuales o aún indeterminadas podrían surgir en el mercado de cumplimiento de las normas PCI. Visa USA anunció un impulso más agresivo en este tipo de tecnología (chip y pin) en agosto de 2011. Visa Press Release
  • 31. El PCI SSC ha publicado materiales que aclaran aún más PA-DSS, incluyendo las siguientes: •Requisitos PA-DSS y procedimientos de evaluación de seguridad. •Los cambios de las normas anteriores. •Guía de programación General para QSA.
  • 32.
  • 33. Cualquier compañía (comercios, procesadores, entidades adquirentes, emisoras, proveedores de servicio) que almacene, procese, o transmita información de un tarjetahabiente debe cumplir con PCI y realizar auditorías periódicas.
  • 34.
  • 35. Participantes en la regulación PCI Aplicaciones de pago
  • 36. Dependiendo del tipo de compañía se requerirá de pasar por una auditoría PCI cada año o completar un cuestionario de autoevaluación con el fin de poder validar el cumplimiento de dicha auditoría. Además de esta actividad, se tendrán que presentar los resultados trimestrales del análisis de vulnerabilidades del perímetro de red (el cual tiene que ser realizado por un fabricante debidamente certificado para la realización de auditorías PCI), el cual es evidencia del desarrollo de esta actividad. Se busca con estas pruebas de vulnerabilidad demostrar que su compañía posee las mejores prácticas en lo relacionado con la remedición y la gestión de vulnerabilidades. Este será, pues, el objetivo principal de la auditoría PCI.
  • 37.
  • 38. Verificaciones técnicas de seguridad PCI DSS requiere la realización de 5 tipos de verificaciones técnicas de seguridad periódicas a la infraestructura de datos de tarjetas
  • 40. PCI Co, ahora controla qué compañías le son permitidas conducir una auditoría PCI. Estas compañías, conocidas oficialmente como •Qualified Security Assessor Companies (QSACs), son organizaciones que han sido calificados por el Council para que sus empleados puedan evaluar el cumplimiento de la norma PCI DSS. Estos deben recorrer un proceso de aplicaciones y calificaciones con el fin de demostrar su cumplimiento a través de la calidad de sus procesos operativos y administrativos.
  • 41. Los QSACs también deben invertir en entrenamiento y certificación del personal con el fin de construir un equipo de: Qualified Security Assesors (QSAs), cuyo objetivo principal es llevar a cabo una evaluación de una empresa que maneja los datos de tarjetas de crédito en contra de los objetivos de control de alto nivel de la Norma de Seguridad de Datos PCI (PCI DSS). Approved Scanning Vendor (ASV), son organizaciones que validan el cumplimiento de determinados requisitos DSS mediante la realización de análisis de vulnerabilidades de Internet a las que se enfrentan entornos de comerciantes y prestadores de servicios.
  • 42. Asesores de Seguridad Calificados(QSA)
  • 43. Estas compañías deben recorrer un proceso similar al de los QSAC. La diferencia radica en que en el caso de los QSAC, los cuales deben atender entrenamientos periódicos y anuales, los ASVs deben enviar un informe de resultados contra un perímetro de red. Una compañía puede elegir ser tanto QSAC como ASV, lo que le permitirá ser un único fabricante en capacidad de ofrecer la auditoría completa PCI.
  • 44. En general, las marcas de tarjetas (VISA, MASTER, JCB, AMEX, DISCOVER) definen unos niveles de cumplimiento para los comercios. Para cada nivel de cumplimiento de los comercios, se establecen una serie de obligaciones. En general, se definen 4 niveles para el caso de los comercios, atendiendo principalmente al número de transacciones por año.
  • 45. Implica la realización de una Auditoria anual por parte de un QSA (Qualified Security Assesor) que rellenaría un ROC (Report Of Compliance) que se enviaría a cada una de las marcas. En esta auditoría se realiza un estudio exhaustivo del estado de cumplimiento del comercio, así como diversos controles de seguridad (Escaneos de red trimestrales por un ASV Approved Scanning Vendor). Se entiende como comercio de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 6 millones de transacciones VISA, MASTER o DISCOVER. •Más de 2,5 millones de transacciones AMEX •Más de 1 millón de transacciones JCB Adicionalmente, se consideran también comercios Nivel-1 a aquellos que han sufrido un ataque en el que se hayan puesto en compromiso datos de tarjeta o cualesquiera que una marca considere debe ser de Nivel-1.
  • 46. Se entiende como comercio de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER. •Entre 50K y 2,5 millones de transacciones AMEX •Menos de 1 millón de transacciones JCB En este nivel, los comercios no están obligados a llevar a cabo una auditoria PCI-DSS anual; en su lugar, deben rellenar un formulario de autoevaluación conocido como SAQ (Self-Assessment Questionnarie). Sin embargo, las cosas no son tan fáciles; En el caso de MASTER, desde Junio de 2012 es de obligado cumplimiento que si quieren presentar un SAQ, éste sea rellenado por un persona que tenga el certificado PCI SSC ISA (Internal Security Auditor) y para ello, deberá asistir a los cursos organizados por el Council. En caso contrario, deberá llevarse a cabo una Auditoria anual por parte de un QSA. Esto todavía se puede complicar más si resulta que un comercio que por número de transacciones no sea Nivel-2 en MASTER, pero sí lo sea para VISA, automáticamente se considera también Nivel-2 de MASTER.
  • 47. Este nivel está específicamente diseñado para transacciones de e-commerce y además, no todas las marcas lo consideran. Se entiende como comercio de Nivel-3 a los que procesen el siguiente número de transacciones/año: •Entre 20K y 1 millón de transacciones de comercio electrónico de VISA, MASTER o DISCOVER. •Menos de 50K transacciones AMEX
  • 48. Se trata del nivel menos restrictivo de todos. La única obligación en estos casos es rellenar el SAQ y se recomienda el realizar un escaneo trimestral de red, aunque se deja a consideración de la entidad adquirente el obligar o no a los comercios a llevarlo a cabo. Evidentemente, esto implica que ninguna entidad lo haga.
  • 49. Los SP son organizaciones que prestan servicios a los comercios, entidades financieras y/o a otras entidades relacionados con el procesamiento de las transacciones. Los SP incluyen los Procesadores, los Third-Party processors y los Gateway providers, entre otros. En general, cualquier entidad que realice o proporcione servicios relacionados con los medios de pago a terceros. En este apartado también se encuentra Entidades Financieras que realizan determinados servicios: por ejemplo Clearing & Settlement, Autorizaciones en backup, etc a otras entidades financieras.
  • 50. Se entiende como SP de Nivel-1 a los que procesen el siguiente número de transacciones/año: •Más de 300K transacciones VISA, MASTER. •Cualquier número de transacciones DISCOVER, AMEX o JCB Implica la realización de una Auditoria anual por parte de un QSA generando el ROC (Report Of Compliance) que se envía a cada una de las marcas con las que opera y a la realización de escaneos de red trimestrales por parte de un ASV.
  • 51. Se entiende como SP de Nivel-2 a los que procesen el siguiente número de transacciones/año: •Menos de 300K transacciones VISA, MASTER. En este nivel sólo es necesario rellenar el ROC y realizar escaneos de red trimestrales por parte de un ASV.
  • 52. En primer lugar, todas las Entidades (Adquirentes o Emisoras) están obligadas a cumplir PCI-DSS. Las marcas no obligan a las entidades a pasar auditorias anuales. La única marca que realiza tal consideración es DISCOVER, que califica a las Entidades Adquirentes como ‘Proveedores de Servicio’ (SP). También existe una mención por parte de VISA USA en la que se indica que todos los Emisores miembros de VISA que estén conectados directamente a VISANET o que procesen en nombre de otro miembro de VISA deben validar de forma anual su cumplimiento con PCI-DSS, lo cual implica una Auditoria.
  • 53. Todas las empresas que comercialicen soluciones de software para pagos con tarjetas deben cumplir PA DSS Se certifica una versión específica de software. Las marcas de tarjetas definen el requisito a los clientes de utilizar aplicaciones certificadas. Entre las aplicaciones que aparecen en el listado oficial de aplicaciones certificadas, se encuentran: •E-Payment Integrator •FDMS Integrator •Paymentech Integrator •TSYS Integrator •SmartHUB Kiosk •911 Software CreditLine Secure •Ability OMS •MARKET2
  • 54. •Promover la integridad del comercio y aumentar la confianza de los consumidores en el negocio. •Incrementar las ventas como consecuencia del aumento en la confianza de los consumidores. •Proteger al comercio de posibles pérdidas de ingresos, investigaciones no deseadas y costos legales. •Reducir el riesgo de atención no deseada de la prensa como resultado de un compromiso o fuga de información de clientes. •Proyectar mayor conciencia de los controles y medidas preventivas de seguridad disponibles para el comercio. •Reducir las disputas de Tarjetahabientes y costos asociados a transacciones fraudulentas resultantes de un compromiso de información. •Prevenir el robo masivo de información de clientes. •Facilitar la adopción de estándares de seguridad válidos a nivel global. •Generar una herramienta que establece las posibles vulnerabilidades que tiene el sistema de información.
  • 55. Mayo 29, 2013 Solineth Batista - Carlos Pretelt Luigi Ruiz - Ezequiel Vergara ¡GRACIAS!