Este documento explica el estándar PCI DSS para la seguridad de datos de tarjetas de pago. Describe los principales actores en los pagos con tarjeta, los 12 requisitos de PCI DSS, y cómo la seguridad debe integrarse en todo el ciclo de vida del desarrollo de software para cumplir con el estándar. El objetivo final es definir medidas para proteger la infraestructura que maneja datos de tarjetas de pago.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Topics Covered In Webinar
Basics of PCI DSS
Lifecycle changes to PCI DSS
Evolution of PCI DSS Version 1.1 to version 3.21
Introduction of PCI DSS 4.0
PCI DSS 4.0 Implementation Timeline
Upgrading from PCI DSS 3.21 to PCI DSS 4.0
Key changes anticipated in the latest pci dss 4.0
PCI DSS Implementation: A Five Step GuideAlienVault
Payment Card Industry Data Security Standard (PCI DSS) compliance can be both hard and expensive. For most small to medium sized organizations, it doesn’t have to be as long you have the right plan and tools in place. In this guide you’ll learn five steps that you can take to implement and maintain PCI DSS compliance at your organization.
AlienVault PCI DSS Compliance:
https://www.alienvault.com/solutions/pci-dss-compliance
Have a question? Ask it in our forum:
http://forums.alienvault.com
More videos: http://www.youtube.com/user/alienvaulttv
AlienVault Blogs: http://www.alienvault.com/blogs
AlienVault: http://www.alienvault.com
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Topics Covered In Webinar
Basics of PCI DSS
Lifecycle changes to PCI DSS
Evolution of PCI DSS Version 1.1 to version 3.21
Introduction of PCI DSS 4.0
PCI DSS 4.0 Implementation Timeline
Upgrading from PCI DSS 3.21 to PCI DSS 4.0
Key changes anticipated in the latest pci dss 4.0
PCI DSS Implementation: A Five Step GuideAlienVault
Payment Card Industry Data Security Standard (PCI DSS) compliance can be both hard and expensive. For most small to medium sized organizations, it doesn’t have to be as long you have the right plan and tools in place. In this guide you’ll learn five steps that you can take to implement and maintain PCI DSS compliance at your organization.
AlienVault PCI DSS Compliance:
https://www.alienvault.com/solutions/pci-dss-compliance
Have a question? Ask it in our forum:
http://forums.alienvault.com
More videos: http://www.youtube.com/user/alienvaulttv
AlienVault Blogs: http://www.alienvault.com/blogs
AlienVault: http://www.alienvault.com
Curso introductorio a la norma PCI-DSS.
Se establecen los conceptos básicos, su estructura, las fases de un proyecto de certificación, la documentación relacionada y las buenas prácticas para garantizar el cumplimiento de la norma.
• Overview of changes and clarification
• Additional requirements for service providers
• Additional requirements for change control processes
• Multifactor authentication
• Penetration testing changes
• SSL/TLS changes and implications
• Timing of changes
ControlCase covers the following:
•What is PCI DSS?
•What does PCI DSS stand for?
•What is the purpose of PCI DSS?
•Who does PCI DSS apply to?
•What are the 12 requirements of PCI DSS?
•What are the 6 Principles of PCI DSS?
•What are the potential liabilities for not complying with PCI DSS?
•How can we achieve compliance in a cost effective manner?
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
This talk was presented in NULL Delhi chapter meet in 2014, as an insight into the world of PCI (Payment Card Industry) and the 12 requirements of PCI DSS
A high level guide on practical suggestions on how to best implement a GRC (governance / Risk / Compliance) software package and have it adopted by the Company. Includes Worfklows, screen-shots, Training samples, RACI Matrix, Use-Cases, Migration-Plan content advice, etc.
PCI DSS mandates organizations to make compliance a business as usual activity instead of an annual audit. ControlCase covers the following in this presentation:
- PCI DSS requirements that can be made business as usual
- PCI DSS processes that can be made business as usual
- Techniques and methodologies
- Evidence to be provided to QSA for compliance
- Key success factors
- Challenges
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Curso introductorio a la norma PCI-DSS.
Se establecen los conceptos básicos, su estructura, las fases de un proyecto de certificación, la documentación relacionada y las buenas prácticas para garantizar el cumplimiento de la norma.
• Overview of changes and clarification
• Additional requirements for service providers
• Additional requirements for change control processes
• Multifactor authentication
• Penetration testing changes
• SSL/TLS changes and implications
• Timing of changes
ControlCase covers the following:
•What is PCI DSS?
•What does PCI DSS stand for?
•What is the purpose of PCI DSS?
•Who does PCI DSS apply to?
•What are the 12 requirements of PCI DSS?
•What are the 6 Principles of PCI DSS?
•What are the potential liabilities for not complying with PCI DSS?
•How can we achieve compliance in a cost effective manner?
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
This talk was presented in NULL Delhi chapter meet in 2014, as an insight into the world of PCI (Payment Card Industry) and the 12 requirements of PCI DSS
A high level guide on practical suggestions on how to best implement a GRC (governance / Risk / Compliance) software package and have it adopted by the Company. Includes Worfklows, screen-shots, Training samples, RACI Matrix, Use-Cases, Migration-Plan content advice, etc.
PCI DSS mandates organizations to make compliance a business as usual activity instead of an annual audit. ControlCase covers the following in this presentation:
- PCI DSS requirements that can be made business as usual
- PCI DSS processes that can be made business as usual
- Techniques and methodologies
- Evidence to be provided to QSA for compliance
- Key success factors
- Challenges
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinAnton Chuvakin
PCI DSS and Logging: What YOU Need To Know by Dr Anton Chuvakin
Logging is a critical element in your security program, and it features prominently in PCI. Many merchants, including Higher Ed institutions, can have difficulty implementing all the requirements. In this session one of the leading Logging and SEIM experts will map the PCI DSS logging requirements to a set of actionable procedures and tasks that you can use to achieve and maintain compliance. Bring your questions!
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...iFour Consultancy
This presentation focuses on the annexure controls of ISO 27001:2013 standards. The annexure control A12 relates to 'Operations Security'. - by Software development company in india http://www.ifourtechnolab.com/
PCI DSS Simplified: What You Need to KnowAlienVault
Maintaining, verifying, and demonstrating PCI DSS compliance is far from a trivial exercise. Those 12 requirements often translate into a lot of manual and labor-intensive tasks – chasing down discrepancies in asset inventory spreadsheets, removing false positives from network vulnerability assessment reports, and weeding through log data trying to make sense of it all. In fact, you may need to consult at least a dozen different tools for those dozen requirements.
Thankfully, there’s a simpler alternative. AlienVault Unified Security Management (USM) consolidates the five essential capabilities you need for PCI DSS compliance. As a nearly complete PCI compliance solution, AlienVault’s USM delivers the security visibility you need in a single pane-of-glass. And it solves more than the single purpose PCI DSS compliance software alternatives do. During this webcast, you will learn how to:
Achieve, demonstrate and maintain PCI DSS compliance
Consolidate and simplify SIEM, log management, vulnerability assessment, IDS, and file integrity monitoring in a single platform
Implement effective incident response with emerging threat intelligence
Plus, you'll see how quickly and easily you can simplify and accelerate PCI DSS compliance. Register Now to secure your spot.
Iso 27001 2013 clause 6 - planning - by Software development company in indiaiFour Consultancy
This video focuses on the management clauses of ISO 27001:2013 standards. The management clause 6 of ISMS framework relates to 'Planning'.
The 'General' and 'Risk Assessment' sections are explained in this presentation.- by Software development company in india
Ref:
http://www.ifour-consultancy.com
http://www.ifourtechnolab.com
** Custom software development companies
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...iFour Consultancy
This PPT focuses on the management clauses of ISO 27001:2013 standards. The management clause 4 of ISMS framework relates to 'Context of the organization'. - by Software development company in india
Reference:
http://www.ifour-consultancy.com
http://www.ifourtechnolab.com
ControlCase discusses the following:
- PCI DSS, HIPAA, FERC/ NERC, EI3PA and ISO 27001 requirements
- Why is continual compliance a challenge
- PCI DSS, HIPAA, FERC/ NERC, EI3PA and ISO 27001 recurring activity calendar
Here are the ISO 27001:2013 documentation, implementation and audit requirements.
This document specified documentation, implementation and audit requirements for only ISO 27001, but not 114 controls specified in Annex A.
I request IS practitioners to comment and suggest improvements.
In this article I will provide an Overview of A new Information Security Management System
Standard ISO/IEC 27001:2013 , The new standard just Published from a few Days Earlier .
ISO/IEC 27001:2013 Provides requirements for Establishing, Implementing, Maintaining
and Continually Improving an Information Security Management System.
ISO/IEC 27001:2013 gives Organization a Perfect Information Security management framework for implementing
and maintaining security.
In this Article, I tried to shed some light on new standard and its Mandatory Requirements, Optional Requirements ,
Structure , Benefits , Certification Process and Estimated time for Implementation and Certification.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Presentación de Zane Ryan de Dot Force España y Bruce Mac Nab de SafeNet sobre los requerimientos de PCI DSS y las soluciones que permiten ir un paso más allá en la pura implementación de PCI DSS.
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
El presente curso se enfoca en brindar una metodología teórica y práctica
para comprender la necesidad de implementar las PCI DSS, sus beneficios para el negocio
y el cumplimiento del "Reglamento de Tarjetas de Crédito y Debito" publicado por la
Superintendencia de Banca y Seguros bajo la Resolución SBS N° 6523-2013.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
2. Contenido
1. Explicar los principales conceptos sobre PCI DSS.
2. Identificar a los principales actores que intervienen en los
procesos de pago con tarjetas y explicar las funciones y
obligaciones de cada uno de ellos.
3. Los 12 Requisitos de PCI DSS.
4. PCI DSS y el Proceso Continuo.
5. PCI DSS y el Ciclo deVida de Desarrollo de Software.
6. Resumen.
3. 1. Principales Conceptos sobre PCI DSS
PCI SSC (Security Standards Council) es el Consejo de Normas de
Seguridad de la Industria deTarjeta de Pago, formado en 2006 por
las principales compañías emisoras de tarjetas de crédito:
PCI DSS es un Estándar de seguridad que aplica a todas las
entidades que participan en los procesos de las tarjetas de pago
compuesto por 6 objetivos de control y 12 requisitos para
Gestionar la Seguridad.
“El objetivo es definir medidas de protección para las
infraestructuras que intervienen en el tratamiento, procesado
o almacenamiento de información de tarjetas de pago”
4. 2. Actores que intervienen en los procesos de
pago con tarjetas y sus funciones
Adquirientes: (Entidades financieras), son las entidades con las que
tiene relación el comercio en el que hacemos el pago de algún bien o
servicio.
Emisores: (Entidades financieras), son las entidades con las que se ha
emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos
el importe de la compra realizada en nuestra cuenta.
Comercios: (super/hipermercados, e-commerce, agencias de viaje,
etc.), es la entidad a la que le pagamos algún tipo de bien o servicio
por medio de nuestra tarjeta de crédito o débito.
Procesadores de Pago: son entidades que prestan servicios de
autorización de pago y su posterior regularización, facilitando el
intercambio de información entre el adquiriente y el emisor.
7. Aplicación de los Requisitos de PCI DSS
Los requisitos de PCI DSS aplican a todos los
componentes del sistema.
Un componente es cualquier elemento de red,
servidor o aplicación incluida en el entorno
de los datos de tarjetas o que esté
conectado a éste.
El entorno de los datos de tarjetas consta de
personas, procesos y tecnología que
almacenan, procesan o transmiten datos de
tarjetas o datos confidenciales de autenticación.
9. Aplicación de los requisitos al entorno PCI DSS
Cortafuegos (control de tráfico, DMZ, aislamiento).
Hardening de sistemas (modificar configuraciones por defecto de
fábrica, segregación de servicios).
Protección de datos almacenados (cifrado/ofuscación del PAN,
gestión de claves).
Transmisión cifrada de datos en redes públicas e inalámbricas.
Antivirus yAntimalware.
Aplicaciones seguras (desarrollo seguro e implementar la seguridad
en todo el ciclo de vida, actualización de componentes).
10. Control de acceso (gestión de usuarios y privilegios).
Identificadores nominales (autenticación de doble factor en accesos
remotos, gestión de contraseñas).
Control de acceso físico (ID, cámaras, registros o bitácoras).
Monitorización accesos/pistas de auditoría (registros, revisiones).
Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas
de penetración de red y aplicaciones, IDS/IPS, software integridad de
archivos críticos.
Políticas, procedimientos de seguridad, gestión de riesgos,
concientización, gestión de proveedores, contratos, gestión de incidentes.
Aplicación de los requisitos al entorno PCI DSS
11. 4. PCI DSS y el Proceso Continuo (PDCA)
• Monitorear eventos
• Revisar la Política de
Seguridad y Riesgos
• Realizar Auditorias
• Ejecutar Escaneos ASV
• Acciones para
corregir el NO
Cumplimiento
• Prevenir
Incidentes.
• Reducción del
Entorno
• Implementación
de Controles
• Formación y
Divulgación
• Validación del
Cumplimiento
• Identificar el
Entorno
• Identificar Datos
Sensibles
• Análisis GAP
• Plan de Acción
Planificar
(PLAN)
Implementar
(DO)
Revisar
(CHECK)
Actuar
(ACT)
12. 5. PCI DSS y el Ciclo de Vida de Desarrollo de
Software
Uno de los recursos mas importantes que se debe asegurar son las
aplicaciones, ya que los atacantes no crean agujeros de seguridad,
solo las explotan.
Las causas de los problemas de seguridad en aplicaciones son el
resultado de un mal diseño y una mala implementación.
Si una aplicación no está desarrollada adecuadamente, seguirán
existiendo problemas de:
Fiabilidad
Disponibilidad
Criticidad
Seguridad
13. Ciclo de Vida de Desarrollo
Definición y
Diseño
Desarrollo Despliegue
Mantenimie
nto y
Operación
A lo largo del ciclo de vida, se cuenta con un procedimiento de
control y gestión de cambios.
La Seguridad debe estar presente en todo el Ciclo deVida de
Desarrollo
SEGURIDAD
14. Ámbito de actuación:
Identificación de las áreas de seguridad de la aplicación.
Consideraciones de seguridad en el diseño.
Requisitos funcionales de seguridad.
Aspecto a tener en cuenta:
Principios de Seguridad: minimizar el área de exposición, no
confiar en sistemas externos, etc.
Requisitos de Seguridad: gestión de errores, criptografía,
autenticación y autorización, registros de auditoría, etc.
Políticas y Procedimientos: políticas de contraseñas, políticas de
copias de seguridad, procedimientos de programación segura, etc.
Definición y Diseño
15. En esta fase aparecen un mayor número de fallos de seguridad.
Para realizar una codificación segura es necesario conocer las
amenazas con las que nos podemos encontrar y las buenas
prácticas para minimizarlas:
Clasificación de Amenazas: ataques de fuerza bruta, revelación de
información, deficiencias lógicas, autenticación insuficiente, etc.
Buenas Prácticas: autenticación y autorización, validación de datos,
gestión de sesiones, gestión de errores, configuraciones, etc.
Desarrollo
16. En esta fase la aplicación debe haber contemplado todas las
posibles deficiencias de seguridad mediante la comprobación
de requisitos, análisis del diseño, revisión del código, etc.
Se debe tomar en cuenta lo siguiente:
Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito
de un posible ataque, detectando vulnerabilidades que no hayan sido
contempladas anteriormente.
Comprobación de la Gestión de Configuraciones: Es necesario
verificar como se han implementado y asegurado los distintos
componentes de la infraestructura.
Despliegue
17. Luego de la puesta en marcha en producción, es necesario seguir
realizando acciones que permitan mantener el nivel de seguridad
requerido.
Se debe tomar en cuenta lo siguiente:
Comprobaciones Periódicas de Mantenimiento: De forma
periódica y dependiendo del nivel de criticidad, deben realizarse
comprobaciones de seguridad para verificar que no se hayan introducido
nuevos riesgos en la aplicación y su infraestructura.
Asegurar laVerificación de Cambios: Después de que un cambio
haya sido implementado en producción, se deberá verificar que dicho
cambio no haya afectado el nivel de seguridad de la aplicación y la
infraestructura.
Mantenimiento y Operación
18. PCI DSS y el Ciclo de Vida de Desarrollo
Instalación y Mantenimiento de Sistemas de Información
Securización de sistemas de información. (Req.6.1)
Protección de los datos y las comunicaciones
Identificación y eliminación de datos sensibles (CVV2,
Pistas,…). (Req.3)
Protección de bases de datos mediante cifrado. (Req.3)
Seguridad en el Ciclo deVida del Desarrollo de Software
Auditoría de aplicación, Revisión de código, Guía de buenas
prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)
19. PCI DSS y el Ciclo de Vida de Desarrollo
Control deAcceso
Control deAcceso al Sistema Operativo, Red, Bases de Datos y
Aplicaciones. (Req.7 y 8)
Revisión yTest de intrusión
Test de intrusión interno y externo (escanear las aplicaciones).
(Req.11)
21. OWASP y su aporte a PCI DSS
OWASP es un proyecto abierto de seguridad de aplicaciones web,
dedicado a determinar y combatir las causas que hacen que el
software sea inseguro. Está formada por empresas, organizaciones
educativas y particulares de todo el mundo.
En PCI DSS se nombra a OWASP en el cumplimiento del
requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores
prácticas de codificación segura”.
Recursos de OWASP:
Owasp Development Guide
OWASPTop 10
OWASPTesting Guide
OWASP Code Review Guide
OWASP ZAP
22. 6. Resumen
PCI DSS debe cumplirse
Si se procesa, almacena o transmite datos de tarjetas.
La implantación debe pensarse como un proceso
Definir procesos.
Asignar recursos.
Comprometer a la dirección.
Monitorizar y Revisar.
Integrar PCI DSS en la gestión de la seguridad de la compañía.
Contar con el apoyo de expertos
Asesorase con un QSA.
Realizar auditorías con empresas ASV.