En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
El presente curso se enfoca en brindar una metodología teórica y práctica
para comprender la necesidad de implementar las PCI DSS, sus beneficios para el negocio
y el cumplimiento del "Reglamento de Tarjetas de Crédito y Debito" publicado por la
Superintendencia de Banca y Seguros bajo la Resolución SBS N° 6523-2013.
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
El curso PCI es un programa que proporciona una visión general de la Industria de Tarjetas
de Pago (PCI) y de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago
(PCI DSS).
Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.
PCI DSS se ha convertido estos últimos años en una de las normas más nombradas dentro de los mensajes de ventas relacionadas con Seguridad TIC y el cumplimiento normativo. Pero, aun así, se siguen produciendo incidentes de seguridad que han situado el año 2013 en uno donde mayor cantidad de datos de pago se han comprometido y las expectativas son que el 2014 todavía lo supere. La pregunta es ¿es realmente útil PCI DSS para impedir esto? La respuesta podría ser otra pregunta ¿se está realmente implantando correctamente PCI DSS? En esta presentación se tratan estos aspectos con el particular punto de vista del Perú y la regulación emitida por su Superintendencia Bancaria y de Seguros.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
En su presentación, Carlos Prieto responsable de Seguridad de Caja Rioja, señaló los requisitos y pasos que se están siguiendo dentro de su entidad para avanzar en el cumplimiento de PCI DSS. Destacó la importancia del apoyo de la dirección así como de la asignación de un responsable interno que lidere el proyecto de implantación de PCI DSS.
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.
Protección de las Infraestructuras CríticasSIA Group
La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
La administración electrónica es una realidad tanto en las AAPP como en el sector privado, apoyada por el margo legal y normativo que la hacen confiable y más próxima a los ciudadanos.
Para poder prestar servicios de administración y firma electrónica es preciso que las Instituciones se doten de nuevas aplicaciones, y productos que les permitan dar ese importante paso.
SIA, consciente de esta situación, pionera en España en la introducción de certificados digitales, dispone del más completo catálogo de Productos y servicios para cubrir las necesidades de cualquier organización en este ámbito.
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
El presente curso se enfoca en brindar una metodología teórica y práctica
para comprender la necesidad de implementar las PCI DSS, sus beneficios para el negocio
y el cumplimiento del "Reglamento de Tarjetas de Crédito y Debito" publicado por la
Superintendencia de Banca y Seguros bajo la Resolución SBS N° 6523-2013.
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
El curso PCI es un programa que proporciona una visión general de la Industria de Tarjetas
de Pago (PCI) y de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago
(PCI DSS).
Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.
PCI DSS se ha convertido estos últimos años en una de las normas más nombradas dentro de los mensajes de ventas relacionadas con Seguridad TIC y el cumplimiento normativo. Pero, aun así, se siguen produciendo incidentes de seguridad que han situado el año 2013 en uno donde mayor cantidad de datos de pago se han comprometido y las expectativas son que el 2014 todavía lo supere. La pregunta es ¿es realmente útil PCI DSS para impedir esto? La respuesta podría ser otra pregunta ¿se está realmente implantando correctamente PCI DSS? En esta presentación se tratan estos aspectos con el particular punto de vista del Perú y la regulación emitida por su Superintendencia Bancaria y de Seguros.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
En su presentación, Carlos Prieto responsable de Seguridad de Caja Rioja, señaló los requisitos y pasos que se están siguiendo dentro de su entidad para avanzar en el cumplimiento de PCI DSS. Destacó la importancia del apoyo de la dirección así como de la asignación de un responsable interno que lidere el proyecto de implantación de PCI DSS.
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.
Protección de las Infraestructuras CríticasSIA Group
La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
La administración electrónica es una realidad tanto en las AAPP como en el sector privado, apoyada por el margo legal y normativo que la hacen confiable y más próxima a los ciudadanos.
Para poder prestar servicios de administración y firma electrónica es preciso que las Instituciones se doten de nuevas aplicaciones, y productos que les permitan dar ese importante paso.
SIA, consciente de esta situación, pionera en España en la introducción de certificados digitales, dispone del más completo catálogo de Productos y servicios para cubrir las necesidades de cualquier organización en este ámbito.
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
Presentación de Zane Ryan de Dot Force España y Bruce Mac Nab de SafeNet sobre los requerimientos de PCI DSS y las soluciones que permiten ir un paso más allá en la pura implementación de PCI DSS.
Análisis del Repositorio de Datos (CardHolder Data Matrix) y Adaptación a la ...Internet Security Auditors
Mario Rueda, responsable de Seguridad de Abertis Autopistas, baso su presentación en explicar el desarrollo del marco normativo y del repositorio de datos realizados ambos durante la implementación de la normativa PCI DSS.
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
Implicancias del marco regulatorio en los servicios de Cloud y recomendaciones sobre las mejores prácticas para las empresas que necesitan lograr cumplimiento al desplegar en la nube, basado en el modelo de riesgo compartido que le ayudarán a asegurar sus datos para la elección de soluciones y proveedores de nube de terceros.
Servidor criptográfico de altas prestaciones y seguridad para servicios de cifrado y aplicaciones de firma digital en red, independiente del sistema operativo dónde éstas residan.
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Las fuentes abiertas y las habilidades del analista OSINT, juegan un papel clave en la detección, defensa y respuesta ante las nuevas amenazas como la desinformación, las fake news o ataques a infraestructuras críticas, en los que intervienen actores tan diversos como el crimen organizado, el hacktivismo, el ciberterrorismo o los propios Estados, con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
En la exposición, se mostrarán ejemplos prácticos del uso de diversas técnicas OSINT e inteligencia artificial para adquirir y procesar grandes volúmenes de datos (tanto texto como contenido multimedia), con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
La ISO cuenta con estándares que especifican los requerimientos necesarios para las organizaciones al implementar sistemas de gestión, entre los cuales se tiene el estándar ISO/IEC 27001:2013 (Implementación de un Sistema de Gestión de Seguridad de la Información) el cual brinda un apoyo para poder lograr un cumplimiento de seguridad de la información en las compañías. Para esto, se debe seguir un proceso específico para poder lograr establecer de forma adecuada el sistema de gestión. Así mismo, el estándar ISO 22301:2012 plantea la gestión de continuidad del negocio el cual ayuda a buscar una operación continua del negocio a las compañías y es un ítem que hace parte de un SGSI. Se observarán el proceso de implementación de estos dos estándares para poder lograr un nivel de cumplimiento en cuanto a las mejores prácticas de seguridad de la información.
Durante el proceso de implementación de un SGSI o de un SGCN en contact centers o en BPOs, se presentan retos específicos de las realidades cambiantes de este tipo de negocios. El dinamismo que presentan hace que la implementación de estos sistemas requiera de una especial atención en los diferentes proyectos a los cuales se enfrentan las organizaciones, exploraremos de forma breve algunos de estos retos.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
En la presentación expuesta se puede apreciar los resultados de las auditorias efectuadas a los dispositivos Smart TV (LG 43uf6407, SAMSUNG UE32F5500AW, Panasonic TX-40CX680E) y la Barra de sonido OKI SB Media Player 1g. Durante el workshop se pudieron apreciar fugas de información en las cabeceras de respuesta, servicios expuestos y componentes desactualizados. En el caso de la Barra de sonido OKI y en todos los mediacenter InOut TV las carencias en seguridad son acentuadas, ya que disponen de servicios como XAMPP, con credenciales por defecto, esto sumado la falta de actualizaciones supone un potencial riesgo que ello conlleva. Durante la auditoría también se efectuó una captura del tráfico, llegando en algunos casos a enviar la lista total de canales sintonizados y el orden en que están ordenados en el Smart TV.
Dados los diversos cambios en las tecnologías y el creciente número de amenazas al sector de medios de pago, el PCI SSC emite, en ciclos definidos, actualizaciones a todo su ecosistema de normas. Asimismo, es muy importante conocer cuales son los requerimientos de validación y reporte del cumplimiento y tener en cuenta que los comercios o proveedores de servicios por sus procesos de pago, arquitectura, etc. deben considerar que controles de la norma PCI DSS les apliquen. Debido a esto, es necesario entender cuales son los diferentes cuestionarios de Autoevaluación (SAQ), que no es más que un subconjunto de controles de la norma aplicados a un escenario especifico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento, abarcando sus principales inconvenientes al llenarlo y los retos más importantes.
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
Esta presentación se centra, por un lado, en los aspectos más sensibles o complejos del registro en el RNDB, mostrando tanto los errores habituales en el proceso de registro como los puntos donde este proceso puede ser ambigüo o conducir a error y, por tanto, generar una incorrecta declaración de las bases de datos en el Registro; por otro lado, se presentan errores habituales y recomendaciones, basadas en nuestra experiencia en el cumplimiento de Protección de Datos, más allá del registro de BBDD. Una empresa puede haber llevado a cabo esta declaración pero no cumplir con la Ley y, por lo tanto, verse sujeta a sanciones.
En esta presentación se analizan resoluciones de la SIC en casos de incumplimiento de la Ley 1581/2012 desde un punto de vista técnico y jurídico. El objetivo de esta presentación es entender en qué fallaron las empresas que pudieron ser sancionadas, tanto por los aspectos de cumplimiento que no se trataron adecuadamente, como los errores y aciertos comentidos en el proceso de investigación de la SIC que pudieron empeorar o mejorar el resultado. Aprender de los errores cometidos ayuda a no comenterlos de nuevo o mejorar en el proceso de cumplimiento en la Protección de Datos.
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
Estamos acostumbrados a utilizar diferentes redes sociales de manera habitual. Aprovechamos sus características, tanto a nivel particular como profesional. Sin embargo, no siempre somos conscientes de los detalles que una tercera persona u organización puede obtener sobre nosotros o nuestro entorno. ¿Hasta qué punto se puede hacer un uso abusivo de las redes sociales para conseguir información que no hemos hecho pública? Esta charla intentará encontrar respuestas a esta y otras cuestiones sobre los riesgos derivados en el uso de las redes sociales.
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
Vicente Aguilera vuelve en la NcN 2015 impartiendo el taller: Técnicas OSINT para investigadores de seguridad. El taller pretende dar a conocer, de forma práctica, como utilizar fuentes de acceso público en Internet para recopilar información detallada sobre un objetivo. Además de las redes sociales de uso masivo, se mostrarán recursos online y herramientas útiles en la búsqueda de información como parte del proceso de investigación en distintos ámbitos. Dirigido a investigadores, pentesters, ingenieros sociales, personal de cuerpos y fuerzas de seguridad, analistas de mercado y estudios sociológicos, así como cualquier persona interesada en evaluar su reputación online.
En la primera edición Hack& Beers Barcelona, Vicente Aguilera impartió la presentación "Vulnerabilidades animadas de ayer y hoy", en la que realizó una rápida enumeración de los riesgos clásicos que sufren las aplicaciones web en los últimos años, y se centró en la vulnerabilidad CSRF (Cross-Site Request Forgery) mostrando casos de explotación producidos en aplicaciones de uso masivo (como Gmail, Facebook y Twitter) y detectados por miembros del equipo de auditoría de Internet Security Auditors. Por último, expuso el mecanismo de protección adoptado por Facebook en la actualidad para hacer frente esta amenaza, comentando deficiencias identificadas en dicho mecanismo.
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
No cON Name: el congreso de seguridad más antiguo de España. Se presenta una nueva versión de la herramienta OSINT Tinfoleak, que permite extraer información detallada sobre la actividad de un usuario en Twitter, mostrando nuevas funcionalidades que permiten ampliar el análisis de la información disponible. Dicha información resulta de gran utilidad en distintos ámbitos: ingeniería social, pentesting y vigilancia digital. La ponencia tiene como objeto hacer visible, de forma práctica, el nivel de exposición de nuestras vidas en las redes sociales, y el abuso que puede realizarse de dicha exposición pública que, en la mayoría de casos, su alcance es totalmente desconocido por el usuario.
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS
1. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS
para facilitar el Cumplimiento y Certificación PCI DSS.
2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
JOSÉ GARCÍA GONZÁLEZ
PCI Manager/Consultor CEX de MM. PP.
Informática el Corte Inglés (IECI)
PCI DSS – PA DSS
2. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
INDICE
• PCI DSS y PA DSS.
• Cómo se interrelacionan.
• Qué queda cubierto con PA DSS.
• Hacia dónde hay que ir.
• Estructura de la norma PCI DSS.
• Por dónde empezar.
• Cómo abordar el estándar.
3. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
PA DSS Y PCI DSS
PA DSS (Payment Aplications Data Security Standard)
• Desarrollos de software que almacenen, procesen o transmitan
datos de titulares de tarjeta bajo licencia.
• La aplicación recibe datos de titulares de tarjeta de un datáfono u
otro dispositivo y comienza la transacción.
• La aplicación funciona bajo entornos PCI DSS.
• PCI SSC no envía correos sobre la actualización de la norma.
• En Octubre se ha presentado la versión 2.0.
4. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
PA DSS Y PCI DSS (II)
PCI DSS (Payment Card Industry Data Security
Estándar):
• Define medidas de protección para la infraestructura que interviene en el
tratamiento, procesamiento, transmisión y almacenamiento de
información de tarjetas de pago.
• El objetivo de la norma es prevenir el fraude y cualquier tipo de acciones
malintencionadas sobre los datos de titulares de tarjeta.
• Cumplir con PCI DSS implica un proceso continuo de implantación y
gestión de controles de seguridad que minimicen al máximo los riesgos
potenciales de pérdida de datos de titulares de tarjeta.
• PCI SSC no envía correos sobre la actualización de la norma.
5. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
COMO SE INTERRELACIONAN (I)
• El proceso simplificado …
El usuario hace una
compra
La aplicación almacena,
procesa, transmite los datos
de tarjeta
Los sistemas del comercio o
del proveedor de servicio
procesan, almacenan o
trasmiten los datos de tarjeta
6. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
COMO SE INTERRELACIONAN (II)
• PA DSS está formada por requerimientos de PCI DSS reestructurados
y orientados al desarrollo seguro de aplicaciones (exceptuando los
requerimientos 7.2 y 13).
• Desarrollar una aplicación para luego certificarla por PA DSS implica
conocer la norma PCI DS.
• De hecho, las máquinas donde se prueba la aplicación PA DSS deben
cumplir con PCI DSS en relación a:
– Bastionado de las máquinas.
– Política de cuentas de usuario y contraseñas.
– Configuración segura de las comunicaciones.
– Correlación de logs.
– Desarrollo seguro de aplicaciones.
7. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
QUE QUEDA CUBIERTO CON PA DSS (I)
Apartados Requerimientos
Construir y Mantener una Red Segura
1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor
(CAV2, CID, CVC2, CVV2), ni los datos de bloqueo del PIN.
2. Proteja los datos del titular de la tarjeta que fueron almacenados.
3. Provea las funciones de autenticación segura.
4. Registre la actividad de la aplicación de pago.
5. Desarrolle aplicaciones de pago seguras.
6. Proteja las transmisiones inalámbricas.
7. Pruebe las aplicaciones de pago para tratar las vulnerabilidades.
8. Facilite la implementación de una red segura.
9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a
Internet.
10. Facilite actualizaciones de software remotas y seguras.
11. Cifre el tráfico sensitivo de las redes públicas.
12. Cifre el acceso administrativo que no sea de consola.
13. Mantenga la documentación instructiva y los programas de capacitación para clientes,
revendedores e integradores.
ANEXO B
PA DSS v2.0
ANEXO A Resumen de contenidos para la guía de implementación de las PA DSS.
Confirmación de la configuración específica del laboratorio de pruebas de la evaluación de
las PA DSS.
8. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
• Si bien es cierto que PA DSS aplica a un número menor
de departamentos y procesos, el trabajo realizado por
IECISA cubre los siguientes apartados de PCI DSS:
– Desarrollo de software.
– Gestión de parches y actualizaciones.
– Almacenamiento y destrucción de datos de tarjeta.
– Gestión de claves criptográficas.
– Gestión de cambios.
– Política de usuarios y contraseñas.
QUE QUEDA CUBIERTO CON PA DSS (II)
9. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
HACIA DONDE HAY QUE IR
• En el negocio de medios de pago, IECISA tiene un doble papel
como proveedor de servicios:
– Como desarrollador de software, desarrollar una aplicación segura.
– Como valor añadido a la aplicación, IECISA ofrece a sus clientes la
posibilidad de administrar y alojar la aplicación Conexflow en su Centro
de Operaciones y Redes, permitiéndoles desentenderse en gran
medida de PCI DSS.
• Este doble papel empuja a IECISA a obtener la certificación PCI
DSS como “Shared Hosting Provider”.
10. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
ESTRUCTURA DE LA NORMA PCI DSS
Principios Requerimientos
Construir y Mantener una Red Segura
1. Instalar y mantener un cortafuegos y su configuración para proteger la
información de tarjetas.
2. No emplear parámetros de seguridad y usuarios del sistema por defecto.
Proteger los Datos de Tarjetas
3. Proteger los datos almacenados de tarjetas.
4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas.
Mantener un Programa de Gestión de
Vulnerabilidades
5. Usar y actualizar regularmente software antivirus.
6. Desarrollar y mantener de forma segura sistemas y aplicaciones.
Implementar Medidas de Control de Acceso
7. Restringir el acceso a la información de tarjetas según la premisa “need–to–
know”.
8. Asignar un único ID a cada persona con acceso a computadores.
9. Restringir el acceso físico a la información de tarjetas.
Monitorizar y Testear Regularmente las Redes
10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas.
11. Testear de forma regular la seguridad de los sistemas y procesos.
Mantener una Política de Seguridad de la
Información
12. Mantener una política que gestione la seguridad de la información.
PCI DSS v1.2
ANEXO A Requisitos PCI DSS adicionales para proveedores de hosting compartido.
11. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
POR DONDE EMPEZAR (I)
• Eliminar los datos prohibidos:
– El contenido de la banda magnética (p.e.: Pista1, Pista2), CVV2
y PIN BLOCKs no deben retenerse tras la autorización de la
transacción.
– En este sentido, Conexflow v4.0 no almacena los datos
sensibles de la tarjeta.
12. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
POR DONDE EMPEZAR (II)
• Eliminar los datos de tarjeta no necesarios:
– Almacenar la menor cantidad de datos que sea posible, en el
menor número de ubicaciones posibles, de forma ilegible.
– La información que se almacene debe seguir las políticas de
retención y eliminación, y estar inventariada → Matriz de Datos
de Tarjeta.
– Esto también afecta al papel.
SI NO ES NECESARIO
ALMACENAR EL PAN
MEJOR ELIMINARLO
13. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
POR DONDE EMPEZAR (III)
• Proteger los datos de tarjeta utilizando aplicaciones
seguras de pago:
– Utilizar aplicaciones certificadas por PA
DSS garantiza que:
• La aplicación ha sido desarrollada con una
metodología de desarrollo seguro del
software.
• Cumple con todas las exigencias de los
fabricantes de tarjeta.
• Una preocupación menos para la empresa
de cara a la certificación.
14. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
• Proteger los sistemas que procesan, almacenan o
transmiten los datos de tarjeta de acuerdo al estándar
PCI DSS v2.0:
– Establecer una Política de Seguridad.
– Cumplir con el estándar.
– Formar a los empleados.
– Validar el cumplimiento en los sistemas donde se almacena,
procesa o trasmiten datos de titulares de tarjetas de pago.
POR DONDE EMPEZAR (IV)
15. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
POR DONDE EMPEZAR (V)
• Segmentación de Red:
– Permite reducir el alcance, costes y envergadura de la
auditoría.
– Sin una segmentación adecuada, toda la red y sistemas de
IECISA o del cliente deberían cumplir con PCI DSS.
– Instalar protección perimetral.
– ¿Cómo segmentar la red?
• Utilizando dispositivos que
aíslen eficazmente los datos de
tarjeta del resto de la red:
cortafuegos, equipos de red,
listas de control de acceso
robustas …
16. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
POR DONDE EMPEZAR (VI)
• Restringir el acceso al entorno PCI DSS:
– Control de Acceso Lógico: Definir matriz de privilegios por
cada componente de sistema, esto servirá como procedimiento
para garantizar el acceso según el need-to-know e incluir qué
puesto de trabajo tiene acceso y en qué condiciones.
– Control de Acceso Físico: Las áreas donde se procesan
(CPD) y almacenan los datos de tarjeta deben tener controles
de acceso físico y cámaras de seguridad que monitoricen el
acceso a estas instalaciones.
17. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
POR DONDE EMPEZAR (VII)
• Configuración Segura de Equipos:
– Elaborar guías de bastionado para todos los componentes del
sistema.
– Establecer un proceso de actualización de parches.
– Establecer procesos de detección de nuevas vulnerabilidades.
– Instalar antivirus en servidores y equipos de usuarios
• Monitorización de los Eventos de Seguridad:
– Instalar una plataforma de
correlación de logs que rastree
cualquier acción que ocurra
dentro del entorno PCI DSS.
18. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
• Gestión de Copias de Seguridad:
– Las copias de seguridad del entorno PCI DSS deben ser
protegidas de accesos no deseados y de amenazas
medioambientales.
• Gestión de las Comunicaciones:
– Utilizar protocolos de comunicación seguros cuando los datos
viajen por redes no confiables.
– Restringir al máximo el tráfico entrante/saliente del entorno PCI
DSS.
• Desarrollo Seguro de Aplicaciones:
– Conexflow.
POR DONDE EMPEZAR (VIII)
19. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
• Gestión de la Seguridad:
– Establecer una Política de Seguridad que cubra todos los
requerimientos de PCI DSS.
– Realizar un Análisis de Riesgos todos los años.
– Elaborar procedimientos que regulen la relación con los proveedores
de servicios del entorno PCI DSS.
– Establecer procesos de detección y respuesta ante incidentes de
seguridad relacionados con los datos de tarjeta.
– Diseñar un Plan de Formación y Concienciación para el personal que
trabaje en el entorno PCI DSS.
– Definir los roles y responsabilidades del personal que trabaja en el
entorno PCI DSS.
– Establecer procedimientos de seguridad de operativa diaria.
– Establecer un procedimiento de gestión de cambios.
POR DONDE EMPEZAR (IX)
20. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
POR DONDE EMPEZAR (X)
• Auditorías y Revisiones Periódicas:
– Pasar la auditoría anual de certificación/recertificación.
– Realizar los escaneos de vulnerabilidades internos y externos (los externos
sólo podrán ser realizados por ASVs) trimestrales o tras un cambio significativo
en el entorno PCI DSS.
– Escaneos wifi trimestrales.
– Realizar un test de penetración interno y externo anualmente o tras un cambio
significativo en el entorno PCI DSS.
– Revisar la Política de Seguridad y procedimientos anualmente.
– Realizar un inventario de soportes extraíbles anualmente.
– Realizar una vez al año un Análisis de Riesgos.
– Revisión semestral de las reglas de los firewalls.
– Revisar el estado de las cuentas de usuarios trimestralmente.
– Revisión diaria de los logs.
21. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
EN RESUMEN
• PA DSS facilita la implantación de PCI DSS pero no lo
garantiza.
• Asegura que los datos son procesados y almacenados
en los sistemas de forma segura.
• Abordar la certificación PCI DSS exige un esfuerzo
grande y mayor número de recursos.
• Para implantar PCI DSS es necesario el apoyo de la
dirección.
22. 2ª JORNADA SOBRE SEGURIDAD EN MEDIOS DE PAGO
JOSÉ GARCÍA GONZÁLEZ
PCI Manager/Consultor CEX de MM. PP.
Informática el Corte Inglés (IECI)
PCI DSS – PA DSS
PREGUNTAS