La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
PCI DSS en el Cloud: Transferencia Internacional Datos
1. C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
info@isecauditors.com
www.isecauditors.com
Calle 90 # 12-28
110221 Bogotá (Colombia)
Tel: +57 (1) 638 68 88
Fax: +57 (1) 638 68 88
TRANSFERENCIA INTERNACIONAL DE DATOS Y
CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA
NUBE
JAVIER ROBERTO AMAYA MADRID
CISM, PCI QSA, PCIP, ISO27001 LA, ISO9000 IA, MCP
2. Agenda
Introducción
Modelos de despliegue y servicio
Modelos de servicio
Responsabilidad
Seguridad como servicio
Consideraciones de segmentación
Retos de cumplimiento
Verificación de alcance
Gobierno, riesgo y cumplimiento
Consideraciones legales
Seguridad de los datos
Respuesta a incidentes
Transferencia y Transmisión a
Terceros Países
Conclusiones
8. Capa de la Nube
Modelos de
Servicio
IaaS PaaS SaaS
Datos
Interfaces (APIs, GUIs)
Aplicaciones
Capa de Solución (lenguajes de programación)
Sistemas Operativos (OS)
Máquinas virtuales
Infraestructura virtual de red
Hipervisores
Procesamiento y memoria
Almacenamiento de datos (discos duros, discos removibles,
copias de respaldo, etc.)
Red (interfaces y dispositivos, infraestructura de
comunicaciones)
Instalaciones físicas, centros de datos
Modelos de servicio
9. Responsabilidad
Un cliente de la nube no debe asumir nada acerca de
cualquier parte o tema del servicio, se debe escribir cada
elemento de responsabilidad por asegurar cada uno de los
procesos y componentes del sistema en los contratos,
memorandos de entendimiento y/o acuerdos de servicio.
14. Noessegmentación
Máquinas virtuales en el mismo servidor separadas por
control de acceso del sistema operativo o de la aplicación
Datos de la organización guardados en la misma instancia de
los datos del sistema
Consideraciones de segmentación
15. Retos de cumplimiento
Identificación de
Componentes
Responsabilidad de
Controles
Sistemas Dinámicos
Visibilidad de Seguridad
Control en Almacenamiento
Control de Acceso y
Monitoreo
Límites del Perímetro
Acceso desde Internet
Monitoreo de Acceso
Privilegio de Auditoría
16. Consideraciones para el cliente
• ¿Cuanto lleva certificado el CSP?
• ¿Qué servicios están incluidos en la validación?
• ¿Donde están físicamente los servicios validados?
• ¿Se usan componentes que no están validados en el servicio?
• ¿Cómo se asegura el CSP que los clientes no introducen componentes que no
cumplen?
El CSP debe proveer:
• Evidencia que identifique claramente lo que está en alcance
• Los requisitos contra los que fueron validados
• Aspectos no cubiertos por la verificación
• Identificación de los requerimientos que son responsabilidad del cliente o compartida
Verificación de alcance
17. El cliente debe revisar periódicamente:
• Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)
• Evidencia documentada de los componentes incluidos en la verificación
• Evidencia documentada de los componentes que fueron excluidos de la verificación
Si el CSP no está certificado, durante la verificación del cliente se
requiere verificar:
• Acceso a las instalaciones, entrevistas con el personal en sitio
• Políticas y procedimientos, documentación de procesos y estándares de configuración
• Registros de entrenamiento, planes de respuesta a incidentes, etc.
• Evidencia de que los componentes dentro del alcance cumplen con todos los requisitos
de la norma
Verificación de alcance
24. Países que cuentan con un nivel adecuado de protección de datos personales
25
25. Conclusión
Antes de escoger un proveedor en la nube se debe:
VERIFICAR el estado de cumplimiento de la normatividad requerida
ENTENDER los riesgos
ESCOGER el modelo adecuado de despliegue
EVALUAR las diferentes opciones de servicio
CONOCER lo que se requiere del CSP
COMPARAR proveedores y ofertas de servicio
PREGUNTAR en qué consiste cada servicio, que incluye y que no
DOCUMENTAR todo en acuerdos con el proveedor
SOLICITAR compromisos por escrito de que la seguridad se mantendrá
REVISAR periódicamente los acuerdos