SlideShare una empresa de Scribd logo

Requisitos de seguridad PCI DSS, SOX y LOPD en firewall DB

Jesús Vázquez González
Jesús Vázquez González

Este documento resume el trabajo realizado para obtener los requisitos de seguridad necesarios para cumplir con los estándares PCI DSS, SOX y LOPD, que pueden automatizarse en un firewall de base de datos. Identifica 106 requisitos específicos de estas normativas relacionados con el acceso a datos. El documento proporciona contexto sobre estas normativas y cómo un firewall puede ayudar a las organizaciones a cumplir con ellas. El resultado servirá como base para un proyecto de adecuación de sistemas a estas normas de seguridad

Tecnología
1 de 8
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos Jesús Vázquez González Universidad de Alcalá de Henares, Alcalá de Henares, Madrid, España Resumen. En este artículo se presenta un resumen del trabajo realizado para la obtención de los requisitos necesarios para el cumplimiento de los estándares y normas de seguridad de la industria de tarjetas de pago (Payment Card Industry Data Security Standard – PCI DSS), la ley federal de Estados Unidos Sarbanes– Oxley (SOX) y la Ley Orgánica de Protección de Datos (LOPD), automatizables en un firewall de base de datos. Con la obtención de estos requisitos, se establece un punto de partida para la adecuación de los sistemas de información de las organizaciones a las mencionadas normativas, utilizando para ello tecnología de firewalls de bases de datos. Palabras clave: Requisitos, seguridad, PCI DSS, SOX, LOPD, firewall, base de datos. 1 Introducción Las organizaciones almacenan, en sus bases de datos, información crítica para el negocio, y en muchos casos han de cumplir con las cada vez más numerosas normativas de seguridad. De entre las normativas de seguridad existentes hay tres con una alta probabilidad de aplicación en nuestro entorno, y que son:  Estándares y normas de seguridad de la industria de tarjetas de pago (Payment Card Industry Data Security Standard – PCI DSS)  Ley federal de Estados Unidos Sarbanes–Oxley (SOX), también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista  Ley Orgánica de Protección de Datos (LOPD) Todas estas normativas deben, por tanto, ser implantadas y automatizadas por un cortafuegos de base de datos (database firewall en inglés, usualmente denominado
firewall de base de datos), que garantice el cumplimiento de los mencionados estándares y legislaciones. 1.1 Contexto El contexto de aplicabilidad del trabajo realizado se correspondería con el de una compañía establecida en España que quiere adecuar sus sistemas de información, desde la perspectiva del acceso a los datos, a los estándares de seguridad y legislaciones referenciados. Con el objetivo de mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, la compañía de este supuesto quiere cumplir con el estándar PCI DSS, evitando así las posibles sanciones que su incumplimiento puede conllevar por parte de las principales marcas de tarjetas de pago. Con el objetivo de mejorar los controles financieros y garantizar la transparencia en la gestión financiera, incrementando la credibilidad de la organización en materia de seguridad de contabilidad y auditoría, y que la información sea realmente confiable evitando el fraude, fuga de inversores, etc., la compañía quiere adecuarse también a los procedimientos establecidos por la ley Sarbanes–Oxley. Con el cumplimiento de esta ley se pretende además que la empresa y/o sus filiales puedan cotizar en la bolsa de valores de Nueva York (NYSE). Por último, por imperativo legal, la compañía también está obligada a implantar los controles y procedimientos exigidos por la Ley Orgánica de Protección de Datos. 1.2 Alcance y objetivos El objetivo de este trabajo consiste en la obtención de la lista de requisitos automatizables en un firewall de base de datos, de acuerdo a los estándares y legislaciones PCI DSS, SOX y LOPD. El alcance del trabajo no consiste por tanto en elaborar una lista con todos los requisitos de los estándares y legislaciones mencionados, sino sólo de aquellos que dentro del ámbito de un firewall de base de datos deberían ser automatizados. 1.3 Estándares Los estándares y legislaciones que sirven de base al desarrollo del trabajo son los referenciados PCI DSS, SOX y LOPD.
2 Componentes involucrados 2.1 Firewall de base de datos Un firewall de base de datos es un dispositivo capaz de supervisar el comportamiento de usuarios y aplicaciones que acceden a la base de datos en tiempo real, y de prevenir ataques y accesos no autorizados a la información sensible. El firewall ha de poder alertar, bloquear y registrar los intentos de acceso basado en las políticas de seguridad definidas. La implementación de estas políticas no ha de requerir cambios en las aplicaciones, ni en las infraestructuras de bases de datos y sistemas operativos existentes. La siguiente ilustración muestra un sencillo esquema de utilización de un firewall de base de datos: 2.2 PCI DSS Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta, y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Ilustración 1. Esquema de firewall de base de datos
Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Se aplican a todas las entidades que participan en los procesos de las tarjetas de pago, así como a las que almacenan, procesan o transmiten datos de titulares de tarjetas. Estas normas constituyen un conjunto mínimo de requisitos para proteger datos de titulares de tarjetas, que se pueden mejorar con el uso de controles y prácticas adicionales, para mitigar otros riesgos. A continuación, se presenta una descripción general de las 12 normas PCI DSS: Tabla 1. Normas de seguridad de datos de la PCI: descripción de alto nivel Norma Nº Descripción Desarrollar y mantener una red segura 1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Proteger los datos del titular de la tarjeta 3. Proteja los datos del titular de la tarjeta que fueron almacenados 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Mantener un programa de administración de vulnerabilidad 5. Utilice y actualice con regularidad los programas de software antivirus 6. Desarrolle y mantenga sistemas y aplicaciones seguras Implementar medidas sólidas de control de acceso 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa 8. Asignar una ID exclusiva a cada persona que tenga acceso por computador 9. Restringir el acceso físico a los datos del titular de la tarjeta Supervisar y evaluar las redes con seguridad 10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11. Pruebe con regularidad los sistemas y procesos de seguridad Mantener una política de seguridad de información 12. Mantenga una política que aborde la seguridad de la información para todo el personal 2.3 SOX La Ley Sarbanes–Oxley, que surgió después de los escándalos financieros en Estados Unidos acontecidos a finales del 2001, que hicieron desconfiar a los inversionistas de
la información financiera publicada por las empresas, fue propuesta por Michael G. Oxley y el Senador Paul S. Sarbanes en el Congreso estadounidense. Fue aprobada en Julio de 2002, por el gobierno estadounidense, para mejorar el control realizado a las empresas y recuperar la confianza de los inversores. Su alcance afecta a las responsabilidades de los administradores de las empresas, a las limitaciones de las auditorías y a la transparencia de las empresas. La trama del caso Enron, que fue la que generó los escándalos mencionados, consistió en crear una contabilidad ficticia utilizando técnicas de ingeniería financiera. La empresa parecía ganar cada vez más dinero, pero realmente sus cuentas eran deficitarias. Básicamente el esquema utilizado consistía en contabilizar las deudas y pérdidas en entidades situadas en paraísos fiscales, que no entraban dentro del sistema financiero de la compañía. La Ley Sarbanes-Oxley introduce una serie de novedades que básicamente consisten en:  Creación de una compañía encargada de supervisar las auditorías de las compañías que cotizan en bolsa  Prohibición de préstamos personales a los directivos de la compañía  Transparencia en la declaración de opciones y acciones de los empleados  Endurecimiento de las penas, ante el incumplimiento de la ley, en lo relacionado con los informes financieros  Protección a los empleados en caso de fraude corporativo En la sección 302, es donde se establece la responsabilidad de la compañía por los informes financieros, y en la sección 404 la evaluación de la gerencia de los controles internos. Ambas secciones son por tanto las que han de ser tenidas en consideración para poder alcanzar los objetivos perseguidos. En la sección 302 es donde se establecen las responsabilidades penales que recaen sobre la directiva de la empresa. Es la directiva quien firma el informe de estado de cuentas de la empresa, sobre el que trabaja la auditoría externa. Con este cambio, la responsabilidad en caso de fraude pasa de la auditoría externa a las personas de la directiva de la empresa que han firmado el informe con el estado de las cuentas. La ley establece pues, un responsable o conjunto de responsables sobre los que recaerán las culpas en caso de fraude. Desde la perspectiva de la solución técnica, en lo referente a la sección 302, ésta ha de facilitar a la gerencia de la compañía la implantación de medidas y controles que garanticen que la información financiera es confiable e íntegra, ha de prevenir por tanto la realización de actividades fraudulentas. En la sección 404, se introduce la exigencia de presentar un informe de control al cierre de cada ejercicio fiscal. En este informe se establece la responsabilidad del equipo directivo, acerca de asegurar que la estructura de control interno es la adecuada.
Desde la perspectiva de la solución técnica, en lo referente a la sección 404, ésta ha de facilitar a la auditoría externa la evaluación del control interno. Para ello es de vital ayuda la elaboración automática de auditorías de los accesos realizados a los datos financieros. 2.4 LOPD La Ley Orgánica de Protección de Datos, de acuerdo a su artículo 1, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. La Agencia Española de Protección de Datos, que es el ente encargado de vigilar el cumplimiento de la LOPD, clasifica las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales en tres niveles acumulativos: básico, medio y alto.1 Esta clasificación se realiza atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la misma. A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el Reglamento de desarrollo de la LOPD. NIVEL ALTO. Ficheros o tratamientos con datos:  de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;  recabados con fines policiales sin consentimiento de las personas afectadas; y  derivados de actos de violencia de género. NIVEL MEDIO. Ficheros o tratamientos con datos:  relativos a la comisión de infracciones administrativas o penales;  que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);  de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;  de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;  de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; 1 En la “Guía para el cumplimiento de la LOPD” puede ampliarse esta información.
 de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;  que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y  de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.2 NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:  los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;  se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y  en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos. Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel medio complementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen también las de nivel básico y medio. En el trabajo realizado se han supuesto necesarias las medidas correspondientes al nivel alto, es decir las más exigentes. 3 Conclusiones y trabajos futuros Como resultado del trabajo realizado se han presentado los requisitos automatizables en un firewall de base de datos, de acuerdo a los estándares y legislaciones en estudio. En concreto se han obtenido:  PCI DSS. 70 requisitos, de diferentes niveles, que soportan el estándar de seguridad  SOX. 12 requisitos, que abarcan las secciones 302 y 404  LOPD. 24 requisitos, que dan cobertura a la ley 2 Para esta categoría de ficheros además deberá disponerse de un registro de accesos.
El resultado obtenido es además la base para la realización de un proyecto de adecuación de sistemas de información de una organización a los estándares y legislaciones de seguridad más exigentes. Tomando como punto de partida los requisitos obtenidos, se elaborará un marco de trabajo para la “Adecuación de sistemas de información a las normativas de seguridad PCI DSS, SOX y LOPD. Una aproximación PMI”. Referencias 1. Agencia Española de Protección de Datos. (2010). Guía para el cumplimiento de la LOPD. 2. Agrawal, R., Johnson, C., Kiernan, J., & Leymann, F. (2005). Taming Compliance with Sarbanes-Oxley Internal Controls. 650 Harry Road, San Jose, CA 95120 & Universitätsstraße 38, 70569 Stuttgart, Germany: IBM Almaden Research Center & University of Stuttgart. 3. BOE num. 17, de fecha sábado 19 de enero de 2008. (19 de enero de 2008). REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter. BOE, pág. 34. 4. Cortes Generales de España. (1999). Ley Orgánica 15/91999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Madrid. 5. Kost, S. (2006). DBA Guide to Understanding Sarbanes-Oxley. Integrity Corporation. Li, J., Singhal, S., Swaminathan, R., & H. Karp, A. (2010). Managing Data Retention Policies at Scale. 1501 Page Mill Road, Palo Alto, CA 94304, USA: Hewlett-Packard Laboratories. 6. Namiri, K., & Stojanovic, N. (2007). A Formal Approach for Internal Controls Compliance in Business Processes. 76131 Karlsruhe, Germany: SAP Research Center CEC Karlsruhe, SAP AG, Vincenz-Prießnitz-Str.1. 7. PCI Security Standards Council. (Octubre 2010). Industria de Tarjetas de Pago (PCI). Norma de seguridad de datos. Requisitos y procedimientos de evaluación de seguridad. Versión 2.0. 8. Robertson, N. (2005). Use Best Practices for Keeping Your SOX in Compliance. Developer.com. 9. Vázquez, E. R. (2004). Sarbanes Oxley Acta del 2002, traducción al castellano del documento original en inglés. FERREYROS S.A.A. Lima- Perú.

Recomendados

James hall ch 10
James hall ch 10James hall ch 10
James hall ch 10David Julian
 
Treasury Management
Treasury ManagementTreasury Management
Treasury ManagementWalter Cirillo
 
Pp 03-new
Pp 03-newPp 03-new
Pp 03-newSri Apriyanti Husain
 
Ethics fraud & internal control ppt @ dom s
Ethics fraud & internal control ppt @ dom sEthics fraud & internal control ppt @ dom s
Ethics fraud & internal control ppt @ dom sBabasab Patil
 
James hall ch 4
James hall ch 4James hall ch 4
James hall ch 4David Julian
 
Commercial law (1990 2006)
Commercial law (1990 2006)Commercial law (1990 2006)
Commercial law (1990 2006)Karen Cate Pinto
 
Chapter 1 - The Information System: An Accountant's Perspective
Chapter 1 - The Information System: An Accountant's PerspectiveChapter 1 - The Information System: An Accountant's Perspective
Chapter 1 - The Information System: An Accountant's Perspectiveermin08
 
James hall ch 5
James hall ch 5James hall ch 5
James hall ch 5David Julian
 

Recomendados

James hall ch 10
James hall ch 10James hall ch 10
James hall ch 10David Julian
 
Treasury Management
Treasury ManagementTreasury Management
Treasury ManagementWalter Cirillo
 
Pp 03-new
Pp 03-newPp 03-new
Pp 03-newSri Apriyanti Husain
 
Ethics fraud & internal control ppt @ dom s
Ethics fraud & internal control ppt @ dom sEthics fraud & internal control ppt @ dom s
Ethics fraud & internal control ppt @ dom sBabasab Patil
 
James hall ch 4
James hall ch 4James hall ch 4
James hall ch 4David Julian
 
Commercial law (1990 2006)
Commercial law (1990 2006)Commercial law (1990 2006)
Commercial law (1990 2006)Karen Cate Pinto
 
Chapter 1 - The Information System: An Accountant's Perspective
Chapter 1 - The Information System: An Accountant's PerspectiveChapter 1 - The Information System: An Accountant's Perspective
Chapter 1 - The Information System: An Accountant's Perspectiveermin08
 
James hall ch 5
James hall ch 5James hall ch 5
James hall ch 5David Julian
 
James hall ch 3
James hall ch 3James hall ch 3
James hall ch 3David Julian
 
Cash Flow Statement with examples
Cash Flow Statement with examples Cash Flow Statement with examples
Cash Flow Statement with examples Gunjan Rastogi
 
Business taxes
Business taxesBusiness taxes
Business taxesGia Ignaco
 
MANUAL DEL CONCAR 2015
MANUAL DEL CONCAR 2015MANUAL DEL CONCAR 2015
MANUAL DEL CONCAR 2015Luis A. Cardoza Castro
 
1588408638-ifm11e-ch03.pptx
1588408638-ifm11e-ch03.pptx1588408638-ifm11e-ch03.pptx
1588408638-ifm11e-ch03.pptxssuserea8f08
 
System flow charts @ doms
System flow charts @ domsSystem flow charts @ doms
System flow charts @ domsBabasab Patil
 
02 Chapter 3 01 Gross Estate Taxation 2
02 Chapter 3 01 Gross Estate Taxation 202 Chapter 3 01 Gross Estate Taxation 2
02 Chapter 3 01 Gross Estate Taxation 2Flab Villasencio
 
James hall ch 2
James hall ch 2James hall ch 2
James hall ch 2David Julian
 
The Revenue Cycle
The Revenue Cycle The Revenue Cycle
The Revenue Cycle Qamar Farooq
 
NIIF 5 Y NIIF 13
NIIF 5 Y NIIF 13 NIIF 5 Y NIIF 13
NIIF 5 Y NIIF 13 Jhon Christian Nepo Villano
 
Guia niif para pymes casos practicos
Guia niif para pymes casos practicosGuia niif para pymes casos practicos
Guia niif para pymes casos practicosLuis Carbal Vasquez
 
James hall ch 8
James hall ch 8James hall ch 8
James hall ch 8David Julian
 
Introduction to Transaction Processing Chapter No. 2
Introduction to Transaction Processing Chapter No. 2Introduction to Transaction Processing Chapter No. 2
Introduction to Transaction Processing Chapter No. 2Qamar Farooq
 
Proceso contable minive
Proceso contable miniveProceso contable minive
Proceso contable minivemloborret
 
Incorporation and organization
Incorporation and organizationIncorporation and organization
Incorporation and organizationLea Dela Cruz
 
Informatica contable
Informatica contableInformatica contable
Informatica contableJuan Jose Cotrado
 
TGS inHouse: NIIF 9 - instrumentos financieros
TGS inHouse: NIIF 9 - instrumentos financierosTGS inHouse: NIIF 9 - instrumentos financieros
TGS inHouse: NIIF 9 - instrumentos financierosTGS
 
Casos de dictamenes
Casos de dictamenesCasos de dictamenes
Casos de dictamenesLeslye Utuy
 
Kingdom of Lemuria - Philippines
Kingdom of Lemuria - Philippines Kingdom of Lemuria - Philippines
Kingdom of Lemuria - Philippines ICJ-ICC
 
Metodo calpa contabilidad de costos
Metodo calpa contabilidad de costosMetodo calpa contabilidad de costos
Metodo calpa contabilidad de costosKleber Ronald Támara Ramírez
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 

Más contenido relacionado

La actualidad más candente

Cash Flow Statement with examples
Cash Flow Statement with examples Cash Flow Statement with examples
Cash Flow Statement with examples Gunjan Rastogi
 
Business taxes
Business taxesBusiness taxes
Business taxesGia Ignaco
 
1588408638-ifm11e-ch03.pptx
1588408638-ifm11e-ch03.pptx1588408638-ifm11e-ch03.pptx
1588408638-ifm11e-ch03.pptxssuserea8f08
 
System flow charts @ doms
System flow charts @ domsSystem flow charts @ doms
System flow charts @ domsBabasab Patil
 
02 Chapter 3 01 Gross Estate Taxation 2
02 Chapter 3 01 Gross Estate Taxation 202 Chapter 3 01 Gross Estate Taxation 2
02 Chapter 3 01 Gross Estate Taxation 2Flab Villasencio
 
The Revenue Cycle
The Revenue Cycle The Revenue Cycle
The Revenue Cycle Qamar Farooq
 
Guia niif para pymes casos practicos
Guia niif para pymes casos practicosGuia niif para pymes casos practicos
Guia niif para pymes casos practicosLuis Carbal Vasquez
 
Introduction to Transaction Processing Chapter No. 2
Introduction to Transaction Processing Chapter No. 2Introduction to Transaction Processing Chapter No. 2
Introduction to Transaction Processing Chapter No. 2Qamar Farooq
 
Proceso contable minive
Proceso contable miniveProceso contable minive
Proceso contable minivemloborret
 
Incorporation and organization
Incorporation and organizationIncorporation and organization
Incorporation and organizationLea Dela Cruz
 
TGS inHouse: NIIF 9 - instrumentos financieros
TGS inHouse: NIIF 9 - instrumentos financierosTGS inHouse: NIIF 9 - instrumentos financieros
TGS inHouse: NIIF 9 - instrumentos financierosTGS
 
Casos de dictamenes
Casos de dictamenesCasos de dictamenes
Casos de dictamenesLeslye Utuy
 
Kingdom of Lemuria - Philippines
Kingdom of Lemuria - Philippines Kingdom of Lemuria - Philippines
Kingdom of Lemuria - Philippines ICJ-ICC
 

La actualidad más candente (20)

James hall ch 3
James hall ch 3James hall ch 3
James hall ch 3
 
Cash Flow Statement with examples
Cash Flow Statement with examples Cash Flow Statement with examples
Cash Flow Statement with examples
 
Business taxes
Business taxesBusiness taxes
Business taxes
 
MANUAL DEL CONCAR 2015
MANUAL DEL CONCAR 2015MANUAL DEL CONCAR 2015
MANUAL DEL CONCAR 2015
 
1588408638-ifm11e-ch03.pptx
1588408638-ifm11e-ch03.pptx1588408638-ifm11e-ch03.pptx
1588408638-ifm11e-ch03.pptx
 
System flow charts @ doms
System flow charts @ domsSystem flow charts @ doms
System flow charts @ doms
 
02 Chapter 3 01 Gross Estate Taxation 2
02 Chapter 3 01 Gross Estate Taxation 202 Chapter 3 01 Gross Estate Taxation 2
02 Chapter 3 01 Gross Estate Taxation 2
 
James hall ch 2
James hall ch 2James hall ch 2
James hall ch 2
 
The Revenue Cycle
The Revenue Cycle The Revenue Cycle
The Revenue Cycle
 
NIIF 5 Y NIIF 13
NIIF 5 Y NIIF 13 NIIF 5 Y NIIF 13
NIIF 5 Y NIIF 13
 
Guia niif para pymes casos practicos
Guia niif para pymes casos practicosGuia niif para pymes casos practicos
Guia niif para pymes casos practicos
 
James hall ch 8
James hall ch 8James hall ch 8
James hall ch 8
 
Introduction to Transaction Processing Chapter No. 2
Introduction to Transaction Processing Chapter No. 2Introduction to Transaction Processing Chapter No. 2
Introduction to Transaction Processing Chapter No. 2
 
Proceso contable minive
Proceso contable miniveProceso contable minive
Proceso contable minive
 
Incorporation and organization
Incorporation and organizationIncorporation and organization
Incorporation and organization
 
Informatica contable
Informatica contableInformatica contable
Informatica contable
 
TGS inHouse: NIIF 9 - instrumentos financieros
TGS inHouse: NIIF 9 - instrumentos financierosTGS inHouse: NIIF 9 - instrumentos financieros
TGS inHouse: NIIF 9 - instrumentos financieros
 
Casos de dictamenes
Casos de dictamenesCasos de dictamenes
Casos de dictamenes
 
Kingdom of Lemuria - Philippines
Kingdom of Lemuria - Philippines Kingdom of Lemuria - Philippines
Kingdom of Lemuria - Philippines
 
Metodo calpa contabilidad de costos
Metodo calpa contabilidad de costosMetodo calpa contabilidad de costos
Metodo calpa contabilidad de costos
 

Destacado

Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...
Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...
Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...Hernan Huwyler, MBA CPA
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaIng. LucioJAP
 
Introduccion Nube de Amazon Web Services Espanol
Introduccion Nube de Amazon Web Services EspanolIntroduccion Nube de Amazon Web Services Espanol
Introduccion Nube de Amazon Web Services EspanolAmazon Web Services LATAM
 

Destacado (8)

Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...
Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...
Requisitos de SOX y FCPA para diseñar un sistema de control interno para cump...
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Introduccion Nube de Amazon Web Services Espanol
Introduccion Nube de Amazon Web Services EspanolIntroduccion Nube de Amazon Web Services Espanol
Introduccion Nube de Amazon Web Services Espanol
 

Similar a Requisitos de seguridad PCI DSS, SOX y LOPD en firewall DB

Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionJesus Ponce
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzuryessidmanzur
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacionislenagarcia
 
Ser compliance o pagar mas
Ser compliance o pagar masSer compliance o pagar mas
Ser compliance o pagar masFabián Descalzo
 

Similar a Requisitos de seguridad PCI DSS, SOX y LOPD en firewall DB (20)

Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
 
Ley sox
Ley soxLey sox
Ley sox
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzur
 
Sie modelo 3 capas
Sie modelo 3 capasSie modelo 3 capas
Sie modelo 3 capas
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Sie modelo 3 capas
Sie modelo 3 capasSie modelo 3 capas
Sie modelo 3 capas
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
LFPDPPP
LFPDPPPLFPDPPP
LFPDPPP
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
 
Confidencialidad
ConfidencialidadConfidencialidad
Confidencialidad
 
Ser compliance o pagar mas
Ser compliance o pagar masSer compliance o pagar mas
Ser compliance o pagar mas
 

Más de Jesús Vázquez González

Project Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdfProject Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdfJesús Vázquez González
 
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdfPMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdfJesús Vázquez González
 
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...Jesús Vázquez González
 
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...Jesús Vázquez González
 
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018Jesús Vázquez González
 
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018Jesús Vázquez González
 
Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018Jesús Vázquez González
 

Más de Jesús Vázquez González (20)

Resolucion de disputas - PMI.pdf
Resolucion de disputas - PMI.pdfResolucion de disputas - PMI.pdf
Resolucion de disputas - PMI.pdf
 
Project Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdfProject Management vs Change Management - PMI Madrid.pdf
Project Management vs Change Management - PMI Madrid.pdf
 
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdfPMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
PMI MSC - Webinar_Dirigir_Proyectos_Sin_Conocer_El_Servicio_Producto_ERROR.pdf
 
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
Webinar PMI Madrid, Spain - 21-Abril-2022 - Maximizar el valor aportado por e...
 
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
PMI Madrid, Spain Chapter. Webinar 17 de marzo de 2022: “Working In Multicult...
 
Proud chapter leader badge
Proud chapter leader badgeProud chapter leader badge
Proud chapter leader badge
 
Humanización 4.0. madrid pmi
Humanización 4.0. madrid pmiHumanización 4.0. madrid pmi
Humanización 4.0. madrid pmi
 
Pmp certificate 1302373 2009 2024
Pmp certificate 1302373 2009 2024Pmp certificate 1302373 2009 2024
Pmp certificate 1302373 2009 2024
 
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
Webinar PMI Madrid - 28 de septiembre de 2021 - Gestión de la calidad en ento...
 
Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020Reunion de socios pmi madrid spain chapter 27-febrero-2020
Reunion de socios pmi madrid spain chapter 27-febrero-2020
 
Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020Reunion de socios pmi madrid spain chapter 30-enero-2020
Reunion de socios pmi madrid spain chapter 30-enero-2020
 
Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019Reunion de socios pmi madrid spain chapter 19-diciembre-2019
Reunion de socios pmi madrid spain chapter 19-diciembre-2019
 
Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019Reunion de socios pmi madrid spain chapter 31-octubre-2019
Reunion de socios pmi madrid spain chapter 31-octubre-2019
 
Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019Reunion de socios pmi madrid spain chapter 18-julio-2019
Reunion de socios pmi madrid spain chapter 18-julio-2019
 
Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019Reunion de socios pmi madrid spain chapter 30-mayo-2019
Reunion de socios pmi madrid spain chapter 30-mayo-2019
 
Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019Reunion de socios pmi madrid spain chapter 25-abril-2019
Reunion de socios pmi madrid spain chapter 25-abril-2019
 
Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019Reunion de socios pmi madrid spain chapter 28-febrero-2019
Reunion de socios pmi madrid spain chapter 28-febrero-2019
 
Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018Reunion de socios pmi madrid spain chapter 20-diciembre-2018
Reunion de socios pmi madrid spain chapter 20-diciembre-2018
 
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
Reunión de socios PMI Madrid Spain Chapter - 25-octubre-2018
 
Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018Reunion de socios pmi madrid spain chapter 27-septiembre-2018
Reunion de socios pmi madrid spain chapter 27-septiembre-2018
 

Último

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Último (16)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Requisitos de seguridad PCI DSS, SOX y LOPD en firewall DB

  • 1. Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un firewall de base de datos Jesús Vázquez González Universidad de Alcalá de Henares, Alcalá de Henares, Madrid, España Resumen. En este artículo se presenta un resumen del trabajo realizado para la obtención de los requisitos necesarios para el cumplimiento de los estándares y normas de seguridad de la industria de tarjetas de pago (Payment Card Industry Data Security Standard – PCI DSS), la ley federal de Estados Unidos Sarbanes– Oxley (SOX) y la Ley Orgánica de Protección de Datos (LOPD), automatizables en un firewall de base de datos. Con la obtención de estos requisitos, se establece un punto de partida para la adecuación de los sistemas de información de las organizaciones a las mencionadas normativas, utilizando para ello tecnología de firewalls de bases de datos. Palabras clave: Requisitos, seguridad, PCI DSS, SOX, LOPD, firewall, base de datos. 1 Introducción Las organizaciones almacenan, en sus bases de datos, información crítica para el negocio, y en muchos casos han de cumplir con las cada vez más numerosas normativas de seguridad. De entre las normativas de seguridad existentes hay tres con una alta probabilidad de aplicación en nuestro entorno, y que son:  Estándares y normas de seguridad de la industria de tarjetas de pago (Payment Card Industry Data Security Standard – PCI DSS)  Ley federal de Estados Unidos Sarbanes–Oxley (SOX), también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista  Ley Orgánica de Protección de Datos (LOPD) Todas estas normativas deben, por tanto, ser implantadas y automatizadas por un cortafuegos de base de datos (database firewall en inglés, usualmente denominado
  • 2. firewall de base de datos), que garantice el cumplimiento de los mencionados estándares y legislaciones. 1.1 Contexto El contexto de aplicabilidad del trabajo realizado se correspondería con el de una compañía establecida en España que quiere adecuar sus sistemas de información, desde la perspectiva del acceso a los datos, a los estándares de seguridad y legislaciones referenciados. Con el objetivo de mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, la compañía de este supuesto quiere cumplir con el estándar PCI DSS, evitando así las posibles sanciones que su incumplimiento puede conllevar por parte de las principales marcas de tarjetas de pago. Con el objetivo de mejorar los controles financieros y garantizar la transparencia en la gestión financiera, incrementando la credibilidad de la organización en materia de seguridad de contabilidad y auditoría, y que la información sea realmente confiable evitando el fraude, fuga de inversores, etc., la compañía quiere adecuarse también a los procedimientos establecidos por la ley Sarbanes–Oxley. Con el cumplimiento de esta ley se pretende además que la empresa y/o sus filiales puedan cotizar en la bolsa de valores de Nueva York (NYSE). Por último, por imperativo legal, la compañía también está obligada a implantar los controles y procedimientos exigidos por la Ley Orgánica de Protección de Datos. 1.2 Alcance y objetivos El objetivo de este trabajo consiste en la obtención de la lista de requisitos automatizables en un firewall de base de datos, de acuerdo a los estándares y legislaciones PCI DSS, SOX y LOPD. El alcance del trabajo no consiste por tanto en elaborar una lista con todos los requisitos de los estándares y legislaciones mencionados, sino sólo de aquellos que dentro del ámbito de un firewall de base de datos deberían ser automatizados. 1.3 Estándares Los estándares y legislaciones que sirven de base al desarrollo del trabajo son los referenciados PCI DSS, SOX y LOPD.
  • 3. 2 Componentes involucrados 2.1 Firewall de base de datos Un firewall de base de datos es un dispositivo capaz de supervisar el comportamiento de usuarios y aplicaciones que acceden a la base de datos en tiempo real, y de prevenir ataques y accesos no autorizados a la información sensible. El firewall ha de poder alertar, bloquear y registrar los intentos de acceso basado en las políticas de seguridad definidas. La implementación de estas políticas no ha de requerir cambios en las aplicaciones, ni en las infraestructuras de bases de datos y sistemas operativos existentes. La siguiente ilustración muestra un sencillo esquema de utilización de un firewall de base de datos: 2.2 PCI DSS Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta, y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Ilustración 1. Esquema de firewall de base de datos
  • 4. Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Se aplican a todas las entidades que participan en los procesos de las tarjetas de pago, así como a las que almacenan, procesan o transmiten datos de titulares de tarjetas. Estas normas constituyen un conjunto mínimo de requisitos para proteger datos de titulares de tarjetas, que se pueden mejorar con el uso de controles y prácticas adicionales, para mitigar otros riesgos. A continuación, se presenta una descripción general de las 12 normas PCI DSS: Tabla 1. Normas de seguridad de datos de la PCI: descripción de alto nivel Norma Nº Descripción Desarrollar y mantener una red segura 1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Proteger los datos del titular de la tarjeta 3. Proteja los datos del titular de la tarjeta que fueron almacenados 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Mantener un programa de administración de vulnerabilidad 5. Utilice y actualice con regularidad los programas de software antivirus 6. Desarrolle y mantenga sistemas y aplicaciones seguras Implementar medidas sólidas de control de acceso 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa 8. Asignar una ID exclusiva a cada persona que tenga acceso por computador 9. Restringir el acceso físico a los datos del titular de la tarjeta Supervisar y evaluar las redes con seguridad 10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11. Pruebe con regularidad los sistemas y procesos de seguridad Mantener una política de seguridad de información 12. Mantenga una política que aborde la seguridad de la información para todo el personal 2.3 SOX La Ley Sarbanes–Oxley, que surgió después de los escándalos financieros en Estados Unidos acontecidos a finales del 2001, que hicieron desconfiar a los inversionistas de
  • 5. la información financiera publicada por las empresas, fue propuesta por Michael G. Oxley y el Senador Paul S. Sarbanes en el Congreso estadounidense. Fue aprobada en Julio de 2002, por el gobierno estadounidense, para mejorar el control realizado a las empresas y recuperar la confianza de los inversores. Su alcance afecta a las responsabilidades de los administradores de las empresas, a las limitaciones de las auditorías y a la transparencia de las empresas. La trama del caso Enron, que fue la que generó los escándalos mencionados, consistió en crear una contabilidad ficticia utilizando técnicas de ingeniería financiera. La empresa parecía ganar cada vez más dinero, pero realmente sus cuentas eran deficitarias. Básicamente el esquema utilizado consistía en contabilizar las deudas y pérdidas en entidades situadas en paraísos fiscales, que no entraban dentro del sistema financiero de la compañía. La Ley Sarbanes-Oxley introduce una serie de novedades que básicamente consisten en:  Creación de una compañía encargada de supervisar las auditorías de las compañías que cotizan en bolsa  Prohibición de préstamos personales a los directivos de la compañía  Transparencia en la declaración de opciones y acciones de los empleados  Endurecimiento de las penas, ante el incumplimiento de la ley, en lo relacionado con los informes financieros  Protección a los empleados en caso de fraude corporativo En la sección 302, es donde se establece la responsabilidad de la compañía por los informes financieros, y en la sección 404 la evaluación de la gerencia de los controles internos. Ambas secciones son por tanto las que han de ser tenidas en consideración para poder alcanzar los objetivos perseguidos. En la sección 302 es donde se establecen las responsabilidades penales que recaen sobre la directiva de la empresa. Es la directiva quien firma el informe de estado de cuentas de la empresa, sobre el que trabaja la auditoría externa. Con este cambio, la responsabilidad en caso de fraude pasa de la auditoría externa a las personas de la directiva de la empresa que han firmado el informe con el estado de las cuentas. La ley establece pues, un responsable o conjunto de responsables sobre los que recaerán las culpas en caso de fraude. Desde la perspectiva de la solución técnica, en lo referente a la sección 302, ésta ha de facilitar a la gerencia de la compañía la implantación de medidas y controles que garanticen que la información financiera es confiable e íntegra, ha de prevenir por tanto la realización de actividades fraudulentas. En la sección 404, se introduce la exigencia de presentar un informe de control al cierre de cada ejercicio fiscal. En este informe se establece la responsabilidad del equipo directivo, acerca de asegurar que la estructura de control interno es la adecuada.
  • 6. Desde la perspectiva de la solución técnica, en lo referente a la sección 404, ésta ha de facilitar a la auditoría externa la evaluación del control interno. Para ello es de vital ayuda la elaboración automática de auditorías de los accesos realizados a los datos financieros. 2.4 LOPD La Ley Orgánica de Protección de Datos, de acuerdo a su artículo 1, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. La Agencia Española de Protección de Datos, que es el ente encargado de vigilar el cumplimiento de la LOPD, clasifica las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales en tres niveles acumulativos: básico, medio y alto.1 Esta clasificación se realiza atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la misma. A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el Reglamento de desarrollo de la LOPD. NIVEL ALTO. Ficheros o tratamientos con datos:  de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;  recabados con fines policiales sin consentimiento de las personas afectadas; y  derivados de actos de violencia de género. NIVEL MEDIO. Ficheros o tratamientos con datos:  relativos a la comisión de infracciones administrativas o penales;  que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);  de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;  de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;  de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; 1 En la “Guía para el cumplimiento de la LOPD” puede ampliarse esta información.
  • 7.  de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;  que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y  de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.2 NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:  los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;  se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y  en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos. Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel medio complementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen también las de nivel básico y medio. En el trabajo realizado se han supuesto necesarias las medidas correspondientes al nivel alto, es decir las más exigentes. 3 Conclusiones y trabajos futuros Como resultado del trabajo realizado se han presentado los requisitos automatizables en un firewall de base de datos, de acuerdo a los estándares y legislaciones en estudio. En concreto se han obtenido:  PCI DSS. 70 requisitos, de diferentes niveles, que soportan el estándar de seguridad  SOX. 12 requisitos, que abarcan las secciones 302 y 404  LOPD. 24 requisitos, que dan cobertura a la ley 2 Para esta categoría de ficheros además deberá disponerse de un registro de accesos.
  • 8. El resultado obtenido es además la base para la realización de un proyecto de adecuación de sistemas de información de una organización a los estándares y legislaciones de seguridad más exigentes. Tomando como punto de partida los requisitos obtenidos, se elaborará un marco de trabajo para la “Adecuación de sistemas de información a las normativas de seguridad PCI DSS, SOX y LOPD. Una aproximación PMI”. Referencias 1. Agencia Española de Protección de Datos. (2010). Guía para el cumplimiento de la LOPD. 2. Agrawal, R., Johnson, C., Kiernan, J., & Leymann, F. (2005). Taming Compliance with Sarbanes-Oxley Internal Controls. 650 Harry Road, San Jose, CA 95120 & Universitätsstraße 38, 70569 Stuttgart, Germany: IBM Almaden Research Center & University of Stuttgart. 3. BOE num. 17, de fecha sábado 19 de enero de 2008. (19 de enero de 2008). REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter. BOE, pág. 34. 4. Cortes Generales de España. (1999). Ley Orgánica 15/91999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Madrid. 5. Kost, S. (2006). DBA Guide to Understanding Sarbanes-Oxley. Integrity Corporation. Li, J., Singhal, S., Swaminathan, R., & H. Karp, A. (2010). Managing Data Retention Policies at Scale. 1501 Page Mill Road, Palo Alto, CA 94304, USA: Hewlett-Packard Laboratories. 6. Namiri, K., & Stojanovic, N. (2007). A Formal Approach for Internal Controls Compliance in Business Processes. 76131 Karlsruhe, Germany: SAP Research Center CEC Karlsruhe, SAP AG, Vincenz-Prießnitz-Str.1. 7. PCI Security Standards Council. (Octubre 2010). Industria de Tarjetas de Pago (PCI). Norma de seguridad de datos. Requisitos y procedimientos de evaluación de seguridad. Versión 2.0. 8. Robertson, N. (2005). Use Best Practices for Keeping Your SOX in Compliance. Developer.com. 9. Vázquez, E. R. (2004). Sarbanes Oxley Acta del 2002, traducción al castellano del documento original en inglés. FERREYROS S.A.A. Lima- Perú.