SlideShare a Scribd company logo

Cumplimiento estándar PCI DSS en RSI - Caja Rural

Internet Security Auditors
Internet Security Auditors

Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.

1 of 79
Download to read offline
RSI 1
ProyectoProyecto Cumplimiento estándar PCICumplimiento estándar PCI DSS en RSIDSS en RSI –– CAJA RURALCAJA RURAL 2ª Jornada Seguridad Medios de Pago ITSA Noviembre 2010
ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 3
CAJA RURAL ESTRUCTURA 4 ENTIDADES (73)ENTIDADES (73)COMPAÑÍAS (3)COMPAÑÍAS (3) OutsourcingOutsourcing TITI SegurosSeguros Banco BackBanco Back--OfficeOffice
CAJA RURAL VOLUMENES NEGOCIO 5 CLIENTES 7.429.785 CUENTAS 5.040.728 CRÉDITOS 855.700 DEPÓSITOS RENTA FIJA 869.882 TARJETAS 3.069.448 TPV’S 75.118 BANCA ONLINE 426.724 CAJEROS 3.686 TERMINALES 14.525 TRANSAC.DIA 13.200.000
ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 6
1 2 Valores de las Personas en la Sociedad Revolución Tecnológica y Científica 3 4 Cambios en Mercados y Negocios Nuevas Fronteras Geográficas y Legales PLANTEAMIENTOSPLANTEAMIENTOS Nuevo Paradigma GlobalNuevo Paradigma Global 7 Incremento de CONTROL Mitigación de RIESGOS Necesidad de CONFIANZA
PLANTEAMIENTOSPLANTEAMIENTOS Principios Básicos del Proceso de GestiónPrincipios Básicos del Proceso de Gestión FIABILIDAD INFORMACIÓN Y DE SU TRATAMIENTO PROTEGER (Activos con Medidas Seguridad y Controles) OPTIMIZAR (Analizar y Auditar Riesgos, Controles, Calidad Activos y Componentes) SIMPLIFICAR (Modelar Eficientemente Procesos) 8
PREOCUPACIONESPREOCUPACIONES Fraude Interno / ExternoFraude Interno / Externo • ASOCIADO A EMPLEADOS • ASOCIADO A PERSONAL EXTERNO QUE TRABAJA EN PROYECTOS • ASOCIADO A PROCESOS • ASOCIADO A FUNCIONES • ASOCIADO A ATRIBUCIONES • FRAUDE COMBINADO O EN CONNIVENCIA • ASOCIADO A TECNOLOGÍA Y EQUIPOS • ASOCIADO AL TIPO DE NEGOCIO • FRAUDE TRADICIONAL EN GENERAL (CONTABLE, VENTAS, COMERCIAL, LOGISTICO, INFORMACIÓN, MATERIAL, etc.) 9
ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 10
MEDIDAS A APLICARMEDIDAS A APLICAR Medidas Globales alineadas con PCI/DSS y..... Arquitecturas Modulares Basadas en Web Services Sistemas de Autenticación y Validación AVF Sistemas de Información por Doble Canal Sistemas de AutoServicio por Desafio/Respuesta Sistemas de Geolocalización de la Conexión y Tipo de Dispositivo Sistemas de Patrones y Comportamiento del Cliente y de las Operaciones Sistemas de Filtros de Tipos de Operaciones, Importes, Franjas Horarias Sistemas de Bloqueo Online de Operaciones 24x7 Sistemas Automáticos de Comunicación y Alerta Sistemas Expertos de Estudio de la Psicología Digital y Comportamiento Estandarización de una Base de Medidas Tecnológicas Mínimas 11
MEDIDAS A APLICARMEDIDAS A APLICAR Medidas Globales (Ámbito Estratégico) LEGALES DIVULGATIVAS INFORMATIVAS FORMATIVAS ORGANIZATIVAS OPERATIVAS TÉCNICAS CONTROL SEGUIMIENTO Y ANÁLISIS AUDITORÍA 12
MEDIDAS A APLICARMEDIDAS A APLICAR 13 Medidas Globales (Ámbito Tiempo) Medidas PREVENTIVAS: Concienciar al Usuario (La Seguridad Empieza por Uno Mismo) Monitorizar Operaciones, Casos y “Modus Operandi” Instalar Herramientas de Análisis. Medidas DETECTIVAS: Herramientas Detección Temprana y Aviso Medidas de RESPUESTA (Servicios, Protocolos, CFS) Medidas de INVESTIGACIÓN (Análisis de LOG’s, Modus Operandi, etc.) Medidas FORENSES (Trazabilidad de Evidencias y Hechos)
SGBG (Buen Gobierno) SGSI (Seguridad Información) SGAR (Análisis Riesgos) SGCN (Continuidad de Negocio) SGSTI (Servicios TI) SGCVS (Ciclo de Vida de Software) SGC (Calidad) SGRH (Recursos Humanos) Política LOPD (Privacidad) Política PCI/DSS (Tarjetas) Política LOG’s (Evidencias) Política CERTIFICACIÓN (PKI’S) Política CLASIFICACIÓN (Información) ...... gestionados SISTEMA DE CALIDAD Políticas Alto Nivel Políticas por SG o Normativa Procedimientos Instrucciones de Trabajo Estándares Modelos Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y Políticas MEDIDAS A APLICARMEDIDAS A APLICAR 14
Normativa de Referencia - LEG’S & REG’S FRAMEWORK RIESGOS Y CONTROLES COMÚN 15
Conformidad. Actividades Cuadro Mandos 16 Escenarios Mapeo Controles Ranking Controles Cuadro Mandos Benchmarc Inventario Leg’s@Reg’s Estimación Cumplimiento Basada en ISO27002
La Certificación. Sello de Cumplimiento ISO 14000 Medio Ambiente ISO 26000 RSC 17 ISO 15504 Calidad de Software ISO 9001 Calidad ISO 18000 Comunicaciones ISO 20000 ITIL ISO 31000 Riesgos BS/ISO 25999 PCN ISO 27001, 2, 3, 4 SGSI
Metodologías de Referencia y Apoyo El Timón de la Gobernanza 18
ENFOQUE A PROCESOS, HERRAMIENTAS YENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS 19
ENFOQUE A PROCESOS, HERRAMIENTAS YENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS 20
MINIMICE IMPACTOMINIMICE IMPACTO ECONÓMICO Y SOCIALECONÓMICO Y SOCIAL 21
CONSIGA UN MÍNIMO IMPACTOCONSIGA UN MÍNIMO IMPACTO OPERATIVOOPERATIVO 22
SE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIASE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIA TECNOLÓGICO Y DETECNOLÓGICO Y DE INFRAESTRUCTURASINFRAESTRUCTURAS 23
24 E IMPACTEN LO MENOS POSIBLE EN ELE IMPACTEN LO MENOS POSIBLE EN EL ÁÁMBITOMBITO HUMANO EN LAS PERSONAS QUE OPERANHUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS
25 CON: Proyectos, Protocolos y Planes Cada vez más Globales e Interdependientes. REQUIEREN VISIÓN HOLÍSTICA
26 CAOS Evitar CAOSEvitar CAOS PARA LIDERAZGO y COORDINACIÓN EQUILIBRIO MEDIDAS/CONTROLES PASO A PASO GESTIÓN DE RIESGOS PARTITURA = PLAN GESTIÓN CRISIS
CONTROL DE COSTES y ESTABILIDAD EN EL TIEMPO ORDEN 27
28 OBJETIVOS EN DEFINITIVA BUSCAR Y GARANTIZAR LA “CONFIANZA Y FIABILIDAD” MEDIANTE “El CUMPLIMIENTO”
MEDIANTEMEDIANTE 29 producto POLÍTICAS yPOLÍTICAS y PROTOCOLOS DEPROTOCOLOS DE GESTIÓN YGESTIÓN Y RESPUESTARESPUESTA Acciones Preparatorias Acciones Informativas Acciones Preventivas Acciones Detectivas Acciones de Respuesta Acciones de Revisión, Seguimiento y Mejora
ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 30
LA NORMATIVA DE PCI DSS SOLO APLICA SI LOS PAN (Primary Account Number): 1. SE ALMACENAN 2. SE PROCESAN 3. SE TRANSMITEN 31
Ficha del ProyectoFicha del Proyecto 32 Fase I: Análisis Preliminar Fase II: Valoración de Riesgos Fase III: Programa de Cumplimiento Fase IV: ImplementaciFase IV: Implementacióón Plan den Plan de AcciAccióónn Fase 0: Escaneos ASV Fase V: Auditoría Fase VI: Certificación y Oficina Soporte PCI a ENTIDADES Métricas (KPI)
Esquematización del Proyecto (Jul/2010) 33 1. Identificación Entorno (CHDM) 2. Revisión Documental 3. Implementación controles lógicos 4. Implementación controles físicos 01 1. Identificación Entorno 2. Revisión documental 3. Controles lógicos 4. Controles físicos 5. Tareas recurrentes Ficha del Proyecto Esquematización del Proyecto 5. Desarrollo tareas recurrentes
2. Comentarios adicionales 34 Visa Europe Member Letter Giro en el Proyecto
2. Comentarios adicionalesGiro en el Proyecto 35 Visa Europe Member Letter
Fechas Payment Card Industry (PCI) Data Security Standard 36 • 1 de Octubre de 2010: Las Entidades Financieras deben asegurarse de que todos los Agentes y proveedores de servicios con los que trabajen están certificados en PCI DSS • 31 de diciembre de 2010: Fecha límite para las Entidades Adquirentes para comunicar su plan para cumplir con PCI DSS Es importante tener en cuenta que: a finales de Octubre de 2010 el PCI SSC ha publicado la versión 2.0 de PCI DSS, que entra en vigor en Enero de 2011.
Plan de Trabajo PCI DSS: Entidades 37 Cada Entidad debe desarrollar las siguientes tareas: 1. Identificación del alcance: Reuniones con las áreas involucradas y ubicación de operativas en donde se almacene, procese y/o transmita el PAN 2. Creación de inventario (CHDM) y flujos de comunicación (diagramas): que permitirán comprender e identificar los activos involucrados en el alcance, sus interfases, entradas y salidas de información con PAN. 3. Diferenciales de documentación: comparativa entre los soportes documentales (políticas, estándares, guías, procedimientos, etc.) con lo requerido por el estándar PCI DSS 4. Inicio de las actividades de implementación conforme con Prioritized Approach for DSS 1.2 (Documento Council agilizar Proceso)
Plan de Trabajo PCI DSS: Entidades 38 Prioritizad Approach for DSS 1.2: • Fase 1: Eliminar la información relativa a la autenticación y limitar la retención de información • Fase 2: Proteger el entorno (perímetro) así como las intranets y las redes wireless • Fase 3: Aplicaciones Seguras • Fase 4: Monitorización y control de acceso a las aplicaciones • Fase 5: Proteger la información del titular almacenada (número de tarjeta) • Fase 6: Todos los demás requisitos De todo ello, se deben establecer fechas y asignar actividades. Redactarlo como un plan de trabajo y presentarlo a SERMEPA en nombre de cada Entidad.
Plan de Trabajo PCI DSS: Entidades-Comercios 39 Es responsabilidad de cada Entidad validar que sus comercios (Merchants) cumplan con los requisitos exigidos por la normativa conforme con la cantidad de transacciones anuales realizadas. Siendo así, se deben desarrollar las siguientes actividades (por cada Entidad): • Notificación a los comercios de la presentación de reportes (SAQ) • Definición de fechas límite a cada comercio para la presentación de reportes • Recepción y validación de SAQ por parte de cada Entidad (mantener un inventario de SAQs recibidos y pendientes) De igual manera, la Entidad debe establecer un canal de comunicación con su comercio para la resolución de dudas, soporte y escalamiento en caso de problemas.
Proyecto TOKENIZACIÓN. “REQUERIMIENTO” Para cumplir con el requerimiento 3.4, RSI ha definido una estrategia basada en tokenización: 40
Proyecto TOKENIZACIÓN. “REQUERIMIENTO” Requerimiento 3.4. Enfocado a la protección del PAN durante el almacenamiento: 41
Proyecto TOKENIZACIÓN. “MECANISMO” Protección del PAN mediante token: 42 EntidadesPAN Table ID PAN PAN (t) 1 4607751234565432 4607758104705432 Clientes In PCI DSS scope 46077581047054321 PAN (t)ID Query Copias de seguridad Procesos Internos Ficheros Out of PCI DSS scope
Proyecto TOKENIZACIÓN. “VENTAJAS” 43 Mediante el uso de la TOKENIZACIÓN se obtienen las siguientes ventajas: • Los datos tokenizados (obtenidos como salida de la “token database”) no son interpretados como PAN ni su PAN relacionado puede ser inferido(*), por lo tanto no son afectados por el cumplimiento de PCI DSS, minimizando el alcance de cumplimiento y el riesgo de almacenamiento tanto a nivel interno como en Entidades y clientes finales, proporcionando un nivel de seguridad mayor en la transmisión y procesamiento. • El token puede tener la misma longitud o ser parte de un PAN, con lo cual no se afecta la estructura de datos en el almacenamiento (base de datos) • Todo ello supone gran ahorro de costes tanto de implantación como de mantenimiento y proceso posterior, al minimizar tanto el SCOPE (Alcance) como el consumo de ciclos de CPU en cifrado y descifrado de datos continuo en el tiempo.
Proyecto TOKENIZACIÓN. “RETOS” 44 Con el empleo de la TOKENIZACIÓN, nos enfrentamos a los siguientes retos: • Un token no puede ser usado como un instrumento financiero y en términos de trazabilidad y conciliación no se tiene otro valor más que la referencia a la transacción original • La relación entre un token y un PAN es única para el proveedor de servicios (Service Provider) • Si alguien compromete la base de datos de tokens (token database) de forma que pueda hacer trazabilidad de transacciones, el sistema completo pierde validez. • Un token no puede revelar información ni permitir inferir el PAN al que hace referencia
Proyecto TOKENIZACIÓN. “SCOPE” 45 Los controles de PCI DSS deben ser aplicados de forma obligatoria a todos los activos que procesen, almacenen y transmitan datos de tarjetas de pago, así como también a aquellos dispositivos que de forma directa o indirecta ofrecen servicios a dichos activos. Esto se denomina CardHolder Data Environment (CDE). Debido a los costes asociados en tiempo, recursos, herramientas y mantenimiento de los controles de PCI DSS, cuanto mayor sea el CDE mayores serán los costes de implementación y mantenimiento de PCI DSS en la organización. Por el contrario: si el CDE es limitado, dichos costes se minimizan, de igual forma que el riesgo asociado al PAN.
Proyecto TOKENIZACIÓN. “Gráfico SCOPE” Firewall 543142536176 ENTIDAD Identificación de procesos que requieren el uso de PAN en texto claro (fraude, incidencias, etc.). Serán tratados como excepciones. Firewall In PCI DSS scope PROVEEDOR SERVICIOS Informáticos Almacenamiento de PAN cifrado en Bases de Datos (BD2 – Oracle) ID PAN (Cifrado) Token 1 ADE3452f$637Af$ 123456789012 2 Afteuy&3726SGFE 543142536176 3 ER5$·7ashuGRETA 534671098365 4 TRT%)?98jGtyags 435244162763778 … … … Out of PCI DSS scope ENTIDAD Operativa con PAN tokenizado Subrutinas de Tokenización / Destokenización 46
Proyecto TOKENIZACIÓN. “Estado Post-Tokenización” 47 Con la implementación de una solución de Tokenización, el alcance se reduce: • Únicamente en operativas identificadas, justificadas y securizadas se procesa/almacena/transmite el PAN en texto claro. • Se eliminan los repositorios de datos de PAN locales de cada Entidad • Se aislan los activos relacionados con datos de tarjetas de pago En promedio, el alcance de cumplimiento (activos afectados) se reduce en un 60-75%. Riesgo: BAJO (Posterior a la implementación de controles) Tiempo estimado de implementación: Menor conforme complejidad Entidad Costes asociados implementación y mantenimiento: BAJO
Proyecto TOKENIZACIÓN. “Consideraciones Adicionales” 48 Se deberán tener en cuenta: • Cifrado: el campo PAN (donde reside el PAN en texto claro en la base de datos) debe ser cifrado. • Rutinas de recuperación: se deberán identificar procesos, servicios y aplicaciones que requieren el uso del PAN en texto claro (por ejemplo: fraude) y establecer rutinas (webservices, vistas, etc.) que permitan extraer el PAN en texto claro con un token definido. • • Estas rutinas deberán ser securizadas (controles de acceso, auditoría, codificación, integridad, etc.) En caso de utilizar una herramienta de mercado para Tokenización, es posible que algunos temas como webservices, generación de tokens, etc. estén ya resueltos
Proyecto TOKENIZACIÓN. “Implantación en RSI” 49 RSI (Rural Servicios Informáticos), siguiendo con la línea de proveer confianza a Entidades y clientes en transacciones con datos de tarjetas de pago, está empezando a definir una serie de actividades para el uso de tokenización, con el fin de minimizar el ámbito de cumplimiento de PCI DSS y reducir el riesgo de compromiso de datos durante la transmisión y procesamiento. Para ello, se han definido una serie de fases de implementación que conllevan ciertos cambios en la estructura y procesamiento de información de tarjetas de pago. Datos en uso Altas Nuevas HistóricosDefinición
Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 50 En proceso implementación: una solución de Tokenización. Se están analizando dos opciones: • Adquisición de una solución comercial que provea cifrado y tokenización, así como las interfaces necesarias y conectores para procesos de tokenización/des- tokenización • Desarrollo (MMPP) para proceder con cambios en la base de datos central que contemple cifrado del PAN y rutinas de tokenización/des-tokenización Ambas soluciones deben cumplir de forma íntegra con los preceptos fijados por el PCI SSC respecto: tokenización (generación, asignación, transmisión y almacenamiento)
Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición La idea detrás del proyecto es la siguiente: Entendiendo que un PAN tokenizado no es un dato afectado por PCI DSS, los controles dejan de ser obligatorios a ser recomendados. Así mismo – y a pesar de ya no ser obligatorio – se pretende continuar con las rutinas de enmascaramiento. 51
Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 52 Dentro del proceso de implementación progresiva, se empezará con las “altas nuevas”. A partir de una fecha corte, TODAS las nuevas tarjetas en el momento de su generación tendrán asociado un token que se almacenará conjuntamente con el resto de información en la base de datos. Este proceso aplicará tanto a altas nuevas online y masivas (batch). En el momento en que se inicie este proceso, todas las aplicaciones, programas batch, procesos y subprocesos deberán estar en la capacidad de recibir y procesar tokens y PAN de forma indistinta hasta que se finalice la migración.
Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 53 En cuanto a “datos en uso” (es decir: el parque de tarjetas de pago que se encuentra actualmente válido previo al proceso de “altas nuevas”), se procederá con una migración progresiva y paralela, generando token a cada PAN almacenado.
Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 54 Para “históricos”, se procederá de dos formas: • Se definirá y revisará una “política de retención” para establecer umbrales máximos de almacenamiento histórico de datos de tarjetas conforme con las necesidades legales y de negocio. Cualquier dato fuera de este umbral de retención será eliminado de forma segura. • Se procederá con la generación de tokens asociados a PAN en históricos (en bases de datos y copias de respaldo) hasta donde sea posible. Esto para permitir la interacción de herramientas de consulta y estadísticas (data warehousing) en procesos en los cuales se requiere el PAN.
Proyecto OFICINA PCI. “Principales Actividades” 55 La Oficina Técnica de PCI DSS de RSI (Rural Servicios Informáticos) es un servicio que RSI pone a disposición de Entidades, cuyo funcionamiento es similar a la Oficina de LOPD. Algunas de las funciones que la Oficina de PCI DSS ofrecerá a sus asociados son: • Ayuda (técnica y documental) en el proceso de implantación • Consultoría y diagnóstico de cumplimiento previo y por fases • Desarrollo de formularios para obtención de información interna • Soporte en la redacción de cláusulas relacionadas con PCI DSS • Revisiones y auditorías periódicas • Acceso a plantillas de documentación, formularios, diagramas, etc. • Soporte en la evaluación de alternativas técnicas de implementación. Entre otros.
DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE I: Definición del Entorno PCI DSS 56
DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE II: Análisis de estado de cumplimiento FASE III: Priorización de Acciones Correctivas 57
DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE IV: Elaboración del Plan de Acción 58
ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 59
CONCLUSIONESCONCLUSIONES Acciones a Tomar Ante el Fraude Globalizado y Organizado solo cabe una Respuesta: Globalizar y Coordinar Acciones entre todos:Council, QSA, ISP, Entidades, Comercios Autoregular Mejores Prácticas en Materia de Seguridad y Respuesta y PCI/DSS es una MUY BUENA solución para armonizar Medidas de Seguridad en TARJETAS, junto con ISO27001 y LOPD, entre otras normativas y Legislaciones. Informar, Formar y Concienciarnos de que la Seguridad es parte de nuestra Vida y de los Procesos. Todo el Personal involucrado desde ámbito Técnico hasta en el propio Comercio debe estar alineado con el Cumplimiento. La CULTURA es mejor que la mayoría de las Medidas. Compartir Información y Definir Flujos y Circuitos de la misma entre Grupos de Trabajo y Mejores Prácticas en Entidades, ISP’s, Comercios y Usuarios Finales Medir el Progreso de las Acciones y Generar Indicadores y Estándares de Cumplimiento y del seguimiento y evolución del Fraude Evitar la Impunidad de Quienes cometen Fraude coordinando con CFSE y Autonómicos. Elegir las Soluciones más Sencillas y menos Costosas como TOKENIZACIÓN que aportan beneficios en el Cumplimiento y en la Adopción del mismo en las Entidades, ISP’s y Comercios. 60
CONCLUSIONESCONCLUSIONES El Fraude siempre ha estado ahí y permanecerá.… Como el Mundo existe, el Fraude existe 61
CONCLUSIONESCONCLUSIONES 62 Como el Mundo Digital es Global, el Fraude Digital cada vez es más Global
CONCLUSIONESCONCLUSIONES La Seguridad Total es un Mito;no puede alcanzarse a un coste razonable. El 100% de protección no existe. 63
CONCLUSIONESCONCLUSIONES … pero nosotros debemos invertir en la lucha contra el Fraude, por encima de todo, para prevenirlo 64
CONCLUSIONESCONCLUSIONES SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y la evolución de los ataques de Fraude, tu inviertes más para prevenirlos, por lo que tienes menos fraude que otros, pero eso dificulta justificar tu presupuesto 65
CONCLUSIONESCONCLUSIONES Con una Plataforma Común de TI (Core Banking y otras Aplicaciones) teniendo una Seguridad robusta es más sencillo y más eficiente en costes 66
En la Lucha contra el Fraude, el tamaño también importa CONCLUSIONESCONCLUSIONES 67
CONCLUSIONESCONCLUSIONES 68 En el Sector Bancario, COLABORACION contra Fraude es un “deber”
CONCLUSIONESCONCLUSIONES Acciones a Tomar 69 INVERTIR en SEGURIDAD Obtener el BENEFICIO de poder CONFIAR en las AUTOPISTAS de la INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y EL CONOCIMIENTO...
CONCLUSIONESCONCLUSIONES Acciones a Tomar 70 “COOPERAR, COORDINAR, COMUNICAR, COLABORAR” IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN. 1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y Personas Críticas del Sector Público y Privado. 2. Estabilidad y Confianza de Mercados 3. Alineamiento de Buenas Prácticas 4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social) 5. Capacidad de Respuesta y Remediación 6. Vuelta a la normalidad en menor Tiempo. 7. Sostenibilidad Global 8. Protección ante Responsabilidades 9. Minimizar Costes 10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios 11. Superar Crisis 12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA) 13. Crear Cultura de Continuidad y Resiliencia. 14. Aumento de la Confianza de los Clientes y Ciudadanos. 15. Mayor Progreso En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y demandando ante los Riesgos existentes y futuros. 71
TENDENCIAS Y EVOLUCIÓN Objetivo Final. SEGURIDAD INTEGRAL “LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO” Pedro P. López 72
ENFOQUES Satisfacción Fiabilidad Mejora Continua Causa Raíz Procesos Y Componentes < Coste P R E V E N C I Ó N Calidad Auditorias Control Interno Gestión de Seguridad Arquitectura de Seguridad Medidas Seguridad y Controles Información Canales Y Dispositivos Procesos Infraestructuras Personas 73 Detección Temprana y Respuesta
MODELO DE SEGURIDAD (MIGS) Marco de Referencia y Metodología a Seguir. – Objetivos de SeguridadObjetivos de SeguridadObjetivos de Seguridad Políticas / Estrategias Normativas Procedimientos Normativas Procedimientos Para lograr los objetivos Control Interno Negocio Legales Otros Auditoria •TECNICOS •NO TECNICOS Nivel de Riesgo Nivel de Seguridad Continuidad del negocio Aplicando ESTANDARES, para obtener: • Calidad • Fiabilidad Del Método y de la Información Consideraciones / Requisitos Marco Operativo Funciones de Control 74
Evolución de Seguridad. Objetivo Final. SEGURIDAD GLOBAL ANTE UN MUNDO GLOBAL 75
76 “I look to the future because that's where I'm going to spend the rest of my life” Woody Allen
Muchas Gracias Pedro Pablo López Bernal Gerente Infraestructura Seguridad, Auditoria y Normalización R.S.I. (Grupo Caja Rural) pedro_pablo_lopez_rsi@cajarural.com 77
Preguntas 78
RSI 79

Recommended

PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 

Recommended

PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSInternet Security Auditors
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoInternet Security Auditors
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORDoble Factor
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Idreader nsi gen_2014
Idreader nsi gen_2014Idreader nsi gen_2014
Idreader nsi gen_2014Eloy Hernandez Sanchez
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIA Group
 
Firma electronica
Firma electronicaFirma electronica
Firma electronicaSIA Group
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearningChristian Patricio Vaca Benalcázar
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadInformation Security Services SA
 
Javier Candau_Ciberseg14
Javier Candau_Ciberseg14Javier Candau_Ciberseg14
Javier Candau_Ciberseg14Ingeniería e Integración Avanzadas (Ingenia)
 
Plataforma TVEO - Digital Transformation Through Mobility
Plataforma TVEO - Digital Transformation Through MobilityPlataforma TVEO - Digital Transformation Through Mobility
Plataforma TVEO - Digital Transformation Through MobilityPedro Gala Zapatero ©
 
Trabajo final analitica
Trabajo final analiticaTrabajo final analitica
Trabajo final analiticaDanielSamanoOsornio
 
Transacciones on line
Transacciones on lineTransacciones on line
Transacciones on lineAgencia Exportadora®
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 

More Related Content

What's hot

PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORDoble Factor
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIA Group
 
Firma electronica
Firma electronicaFirma electronica
Firma electronicaSIA Group
 
Plataforma TVEO - Digital Transformation Through Mobility
Plataforma TVEO - Digital Transformation Through MobilityPlataforma TVEO - Digital Transformation Through Mobility
Plataforma TVEO - Digital Transformation Through MobilityPedro Gala Zapatero ©
 

What's hot (20)

PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTOR
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridad
 
Idreader nsi gen_2014
Idreader nsi gen_2014Idreader nsi gen_2014
Idreader nsi gen_2014
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICES
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearning
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
 
Javier Candau_Ciberseg14
Javier Candau_Ciberseg14Javier Candau_Ciberseg14
Javier Candau_Ciberseg14
 
Plataforma TVEO - Digital Transformation Through Mobility
Plataforma TVEO - Digital Transformation Through MobilityPlataforma TVEO - Digital Transformation Through Mobility
Plataforma TVEO - Digital Transformation Through Mobility
 
Trabajo final analitica
Trabajo final analiticaTrabajo final analitica
Trabajo final analitica
 
Transacciones on line
Transacciones on lineTransacciones on line
Transacciones on line
 

Similar to Cumplimiento estándar PCI DSS en RSI - Caja Rural

Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsLibreCon
 
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...COIICV
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Introducción a la Inteligencia Operacional de Vitria Technology
Introducción a la Inteligencia Operacional de Vitria TechnologyIntroducción a la Inteligencia Operacional de Vitria Technology
Introducción a la Inteligencia Operacional de Vitria TechnologyJuan Carlos Palacios Derqui
 
Presentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de ServiciosPresentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de ServiciosJordi Civit Vives, CISA
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
Tema 3 conceptos segun el pmbok del pmi
Tema 3 conceptos segun el pmbok del pmiTema 3 conceptos segun el pmbok del pmi
Tema 3 conceptos segun el pmbok del pmiGénesis Vargas
 
ACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIA
ACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIAACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIA
ACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIAJuan Carlos Castillo Sanchez
 
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras Digitales
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras DigitalesConferencia Prevención de riesgos tecnológicos en el uso de Billeteras Digitales
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras DigitalesFabián Descalzo
 
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfU2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfGaboi7Casti
 

Similar to Cumplimiento estándar PCI DSS en RSI - Caja Rural (20)

Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Esquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceEsquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and compliance
 
SYSDE Minds
SYSDE MindsSYSDE Minds
SYSDE Minds
 
Sysde Minds
Sysde MindsSysde Minds
Sysde Minds
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
Introducción a la Inteligencia Operacional de Vitria Technology
Introducción a la Inteligencia Operacional de Vitria TechnologyIntroducción a la Inteligencia Operacional de Vitria Technology
Introducción a la Inteligencia Operacional de Vitria Technology
 
Memoria administrativa
Memoria administrativaMemoria administrativa
Memoria administrativa
 
Presentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de ServiciosPresentación Comercial CIV IT AUDIT - Catalogo de Servicios
Presentación Comercial CIV IT AUDIT - Catalogo de Servicios
 
Tics
TicsTics
Tics
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastres
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Tema 3 conceptos segun el pmbok del pmi
Tema 3 conceptos segun el pmbok del pmiTema 3 conceptos segun el pmbok del pmi
Tema 3 conceptos segun el pmbok del pmi
 
ACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIA
ACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIAACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIA
ACTA DE CONSTITUCION DE PROYECTO CMAC MAYNAS S.A 2015 FICTICIA
 
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras Digitales
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras DigitalesConferencia Prevención de riesgos tecnológicos en el uso de Billeteras Digitales
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras Digitales
 
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfU2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
 

More from Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 

More from Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 

Cumplimiento estándar PCI DSS en RSI - Caja Rural

  • 2. ProyectoProyecto Cumplimiento estándar PCICumplimiento estándar PCI DSS en RSIDSS en RSI –– CAJA RURALCAJA RURAL 2ª Jornada Seguridad Medios de Pago ITSA Noviembre 2010
  • 3. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 3
  • 4. CAJA RURAL ESTRUCTURA 4 ENTIDADES (73)ENTIDADES (73)COMPAÑÍAS (3)COMPAÑÍAS (3) OutsourcingOutsourcing TITI SegurosSeguros Banco BackBanco Back--OfficeOffice
  • 5. CAJA RURAL VOLUMENES NEGOCIO 5 CLIENTES 7.429.785 CUENTAS 5.040.728 CRÉDITOS 855.700 DEPÓSITOS RENTA FIJA 869.882 TARJETAS 3.069.448 TPV’S 75.118 BANCA ONLINE 426.724 CAJEROS 3.686 TERMINALES 14.525 TRANSAC.DIA 13.200.000
  • 6. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 6
  • 7. 1 2 Valores de las Personas en la Sociedad Revolución Tecnológica y Científica 3 4 Cambios en Mercados y Negocios Nuevas Fronteras Geográficas y Legales PLANTEAMIENTOSPLANTEAMIENTOS Nuevo Paradigma GlobalNuevo Paradigma Global 7 Incremento de CONTROL Mitigación de RIESGOS Necesidad de CONFIANZA
  • 8. PLANTEAMIENTOSPLANTEAMIENTOS Principios Básicos del Proceso de GestiónPrincipios Básicos del Proceso de Gestión FIABILIDAD INFORMACIÓN Y DE SU TRATAMIENTO PROTEGER (Activos con Medidas Seguridad y Controles) OPTIMIZAR (Analizar y Auditar Riesgos, Controles, Calidad Activos y Componentes) SIMPLIFICAR (Modelar Eficientemente Procesos) 8
  • 9. PREOCUPACIONESPREOCUPACIONES Fraude Interno / ExternoFraude Interno / Externo • ASOCIADO A EMPLEADOS • ASOCIADO A PERSONAL EXTERNO QUE TRABAJA EN PROYECTOS • ASOCIADO A PROCESOS • ASOCIADO A FUNCIONES • ASOCIADO A ATRIBUCIONES • FRAUDE COMBINADO O EN CONNIVENCIA • ASOCIADO A TECNOLOGÍA Y EQUIPOS • ASOCIADO AL TIPO DE NEGOCIO • FRAUDE TRADICIONAL EN GENERAL (CONTABLE, VENTAS, COMERCIAL, LOGISTICO, INFORMACIÓN, MATERIAL, etc.) 9
  • 10. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 10
  • 11. MEDIDAS A APLICARMEDIDAS A APLICAR Medidas Globales alineadas con PCI/DSS y..... Arquitecturas Modulares Basadas en Web Services Sistemas de Autenticación y Validación AVF Sistemas de Información por Doble Canal Sistemas de AutoServicio por Desafio/Respuesta Sistemas de Geolocalización de la Conexión y Tipo de Dispositivo Sistemas de Patrones y Comportamiento del Cliente y de las Operaciones Sistemas de Filtros de Tipos de Operaciones, Importes, Franjas Horarias Sistemas de Bloqueo Online de Operaciones 24x7 Sistemas Automáticos de Comunicación y Alerta Sistemas Expertos de Estudio de la Psicología Digital y Comportamiento Estandarización de una Base de Medidas Tecnológicas Mínimas 11
  • 12. MEDIDAS A APLICARMEDIDAS A APLICAR Medidas Globales (Ámbito Estratégico) LEGALES DIVULGATIVAS INFORMATIVAS FORMATIVAS ORGANIZATIVAS OPERATIVAS TÉCNICAS CONTROL SEGUIMIENTO Y ANÁLISIS AUDITORÍA 12
  • 13. MEDIDAS A APLICARMEDIDAS A APLICAR 13 Medidas Globales (Ámbito Tiempo) Medidas PREVENTIVAS: Concienciar al Usuario (La Seguridad Empieza por Uno Mismo) Monitorizar Operaciones, Casos y “Modus Operandi” Instalar Herramientas de Análisis. Medidas DETECTIVAS: Herramientas Detección Temprana y Aviso Medidas de RESPUESTA (Servicios, Protocolos, CFS) Medidas de INVESTIGACIÓN (Análisis de LOG’s, Modus Operandi, etc.) Medidas FORENSES (Trazabilidad de Evidencias y Hechos)
  • 14. SGBG (Buen Gobierno) SGSI (Seguridad Información) SGAR (Análisis Riesgos) SGCN (Continuidad de Negocio) SGSTI (Servicios TI) SGCVS (Ciclo de Vida de Software) SGC (Calidad) SGRH (Recursos Humanos) Política LOPD (Privacidad) Política PCI/DSS (Tarjetas) Política LOG’s (Evidencias) Política CERTIFICACIÓN (PKI’S) Política CLASIFICACIÓN (Información) ...... gestionados SISTEMA DE CALIDAD Políticas Alto Nivel Políticas por SG o Normativa Procedimientos Instrucciones de Trabajo Estándares Modelos Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y Políticas MEDIDAS A APLICARMEDIDAS A APLICAR 14
  • 15. Normativa de Referencia - LEG’S & REG’S FRAMEWORK RIESGOS Y CONTROLES COMÚN 15
  • 16. Conformidad. Actividades Cuadro Mandos 16 Escenarios Mapeo Controles Ranking Controles Cuadro Mandos Benchmarc Inventario Leg’s@Reg’s Estimación Cumplimiento Basada en ISO27002
  • 17. La Certificación. Sello de Cumplimiento ISO 14000 Medio Ambiente ISO 26000 RSC 17 ISO 15504 Calidad de Software ISO 9001 Calidad ISO 18000 Comunicaciones ISO 20000 ITIL ISO 31000 Riesgos BS/ISO 25999 PCN ISO 27001, 2, 3, 4 SGSI
  • 18. Metodologías de Referencia y Apoyo El Timón de la Gobernanza 18
  • 19. ENFOQUE A PROCESOS, HERRAMIENTAS YENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS 19
  • 20. ENFOQUE A PROCESOS, HERRAMIENTAS YENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS 20
  • 21. MINIMICE IMPACTOMINIMICE IMPACTO ECONÓMICO Y SOCIALECONÓMICO Y SOCIAL 21
  • 22. CONSIGA UN MÍNIMO IMPACTOCONSIGA UN MÍNIMO IMPACTO OPERATIVOOPERATIVO 22
  • 23. SE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIASE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIA TECNOLÓGICO Y DETECNOLÓGICO Y DE INFRAESTRUCTURASINFRAESTRUCTURAS 23
  • 24. 24 E IMPACTEN LO MENOS POSIBLE EN ELE IMPACTEN LO MENOS POSIBLE EN EL ÁÁMBITOMBITO HUMANO EN LAS PERSONAS QUE OPERANHUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS
  • 25. 25 CON: Proyectos, Protocolos y Planes Cada vez más Globales e Interdependientes. REQUIEREN VISIÓN HOLÍSTICA
  • 26. 26 CAOS Evitar CAOSEvitar CAOS PARA LIDERAZGO y COORDINACIÓN EQUILIBRIO MEDIDAS/CONTROLES PASO A PASO GESTIÓN DE RIESGOS PARTITURA = PLAN GESTIÓN CRISIS
  • 27. CONTROL DE COSTES y ESTABILIDAD EN EL TIEMPO ORDEN 27
  • 28. 28 OBJETIVOS EN DEFINITIVA BUSCAR Y GARANTIZAR LA “CONFIANZA Y FIABILIDAD” MEDIANTE “El CUMPLIMIENTO”
  • 29. MEDIANTEMEDIANTE 29 producto POLÍTICAS yPOLÍTICAS y PROTOCOLOS DEPROTOCOLOS DE GESTIÓN YGESTIÓN Y RESPUESTARESPUESTA Acciones Preparatorias Acciones Informativas Acciones Preventivas Acciones Detectivas Acciones de Respuesta Acciones de Revisión, Seguimiento y Mejora
  • 30. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 30
  • 31. LA NORMATIVA DE PCI DSS SOLO APLICA SI LOS PAN (Primary Account Number): 1. SE ALMACENAN 2. SE PROCESAN 3. SE TRANSMITEN 31
  • 32. Ficha del ProyectoFicha del Proyecto 32 Fase I: Análisis Preliminar Fase II: Valoración de Riesgos Fase III: Programa de Cumplimiento Fase IV: ImplementaciFase IV: Implementacióón Plan den Plan de AcciAccióónn Fase 0: Escaneos ASV Fase V: Auditoría Fase VI: Certificación y Oficina Soporte PCI a ENTIDADES Métricas (KPI)
  • 33. Esquematización del Proyecto (Jul/2010) 33 1. Identificación Entorno (CHDM) 2. Revisión Documental 3. Implementación controles lógicos 4. Implementación controles físicos 01 1. Identificación Entorno 2. Revisión documental 3. Controles lógicos 4. Controles físicos 5. Tareas recurrentes Ficha del Proyecto Esquematización del Proyecto 5. Desarrollo tareas recurrentes
  • 34. 2. Comentarios adicionales 34 Visa Europe Member Letter Giro en el Proyecto
  • 35. 2. Comentarios adicionalesGiro en el Proyecto 35 Visa Europe Member Letter
  • 36. Fechas Payment Card Industry (PCI) Data Security Standard 36 • 1 de Octubre de 2010: Las Entidades Financieras deben asegurarse de que todos los Agentes y proveedores de servicios con los que trabajen están certificados en PCI DSS • 31 de diciembre de 2010: Fecha límite para las Entidades Adquirentes para comunicar su plan para cumplir con PCI DSS Es importante tener en cuenta que: a finales de Octubre de 2010 el PCI SSC ha publicado la versión 2.0 de PCI DSS, que entra en vigor en Enero de 2011.
  • 37. Plan de Trabajo PCI DSS: Entidades 37 Cada Entidad debe desarrollar las siguientes tareas: 1. Identificación del alcance: Reuniones con las áreas involucradas y ubicación de operativas en donde se almacene, procese y/o transmita el PAN 2. Creación de inventario (CHDM) y flujos de comunicación (diagramas): que permitirán comprender e identificar los activos involucrados en el alcance, sus interfases, entradas y salidas de información con PAN. 3. Diferenciales de documentación: comparativa entre los soportes documentales (políticas, estándares, guías, procedimientos, etc.) con lo requerido por el estándar PCI DSS 4. Inicio de las actividades de implementación conforme con Prioritized Approach for DSS 1.2 (Documento Council agilizar Proceso)
  • 38. Plan de Trabajo PCI DSS: Entidades 38 Prioritizad Approach for DSS 1.2: • Fase 1: Eliminar la información relativa a la autenticación y limitar la retención de información • Fase 2: Proteger el entorno (perímetro) así como las intranets y las redes wireless • Fase 3: Aplicaciones Seguras • Fase 4: Monitorización y control de acceso a las aplicaciones • Fase 5: Proteger la información del titular almacenada (número de tarjeta) • Fase 6: Todos los demás requisitos De todo ello, se deben establecer fechas y asignar actividades. Redactarlo como un plan de trabajo y presentarlo a SERMEPA en nombre de cada Entidad.
  • 39. Plan de Trabajo PCI DSS: Entidades-Comercios 39 Es responsabilidad de cada Entidad validar que sus comercios (Merchants) cumplan con los requisitos exigidos por la normativa conforme con la cantidad de transacciones anuales realizadas. Siendo así, se deben desarrollar las siguientes actividades (por cada Entidad): • Notificación a los comercios de la presentación de reportes (SAQ) • Definición de fechas límite a cada comercio para la presentación de reportes • Recepción y validación de SAQ por parte de cada Entidad (mantener un inventario de SAQs recibidos y pendientes) De igual manera, la Entidad debe establecer un canal de comunicación con su comercio para la resolución de dudas, soporte y escalamiento en caso de problemas.
  • 40. Proyecto TOKENIZACIÓN. “REQUERIMIENTO” Para cumplir con el requerimiento 3.4, RSI ha definido una estrategia basada en tokenización: 40
  • 41. Proyecto TOKENIZACIÓN. “REQUERIMIENTO” Requerimiento 3.4. Enfocado a la protección del PAN durante el almacenamiento: 41
  • 42. Proyecto TOKENIZACIÓN. “MECANISMO” Protección del PAN mediante token: 42 EntidadesPAN Table ID PAN PAN (t) 1 4607751234565432 4607758104705432 Clientes In PCI DSS scope 46077581047054321 PAN (t)ID Query Copias de seguridad Procesos Internos Ficheros Out of PCI DSS scope
  • 43. Proyecto TOKENIZACIÓN. “VENTAJAS” 43 Mediante el uso de la TOKENIZACIÓN se obtienen las siguientes ventajas: • Los datos tokenizados (obtenidos como salida de la “token database”) no son interpretados como PAN ni su PAN relacionado puede ser inferido(*), por lo tanto no son afectados por el cumplimiento de PCI DSS, minimizando el alcance de cumplimiento y el riesgo de almacenamiento tanto a nivel interno como en Entidades y clientes finales, proporcionando un nivel de seguridad mayor en la transmisión y procesamiento. • El token puede tener la misma longitud o ser parte de un PAN, con lo cual no se afecta la estructura de datos en el almacenamiento (base de datos) • Todo ello supone gran ahorro de costes tanto de implantación como de mantenimiento y proceso posterior, al minimizar tanto el SCOPE (Alcance) como el consumo de ciclos de CPU en cifrado y descifrado de datos continuo en el tiempo.
  • 44. Proyecto TOKENIZACIÓN. “RETOS” 44 Con el empleo de la TOKENIZACIÓN, nos enfrentamos a los siguientes retos: • Un token no puede ser usado como un instrumento financiero y en términos de trazabilidad y conciliación no se tiene otro valor más que la referencia a la transacción original • La relación entre un token y un PAN es única para el proveedor de servicios (Service Provider) • Si alguien compromete la base de datos de tokens (token database) de forma que pueda hacer trazabilidad de transacciones, el sistema completo pierde validez. • Un token no puede revelar información ni permitir inferir el PAN al que hace referencia
  • 45. Proyecto TOKENIZACIÓN. “SCOPE” 45 Los controles de PCI DSS deben ser aplicados de forma obligatoria a todos los activos que procesen, almacenen y transmitan datos de tarjetas de pago, así como también a aquellos dispositivos que de forma directa o indirecta ofrecen servicios a dichos activos. Esto se denomina CardHolder Data Environment (CDE). Debido a los costes asociados en tiempo, recursos, herramientas y mantenimiento de los controles de PCI DSS, cuanto mayor sea el CDE mayores serán los costes de implementación y mantenimiento de PCI DSS en la organización. Por el contrario: si el CDE es limitado, dichos costes se minimizan, de igual forma que el riesgo asociado al PAN.
  • 46. Proyecto TOKENIZACIÓN. “Gráfico SCOPE” Firewall 543142536176 ENTIDAD Identificación de procesos que requieren el uso de PAN en texto claro (fraude, incidencias, etc.). Serán tratados como excepciones. Firewall In PCI DSS scope PROVEEDOR SERVICIOS Informáticos Almacenamiento de PAN cifrado en Bases de Datos (BD2 – Oracle) ID PAN (Cifrado) Token 1 ADE3452f$637Af$ 123456789012 2 Afteuy&3726SGFE 543142536176 3 ER5$·7ashuGRETA 534671098365 4 TRT%)?98jGtyags 435244162763778 … … … Out of PCI DSS scope ENTIDAD Operativa con PAN tokenizado Subrutinas de Tokenización / Destokenización 46
  • 47. Proyecto TOKENIZACIÓN. “Estado Post-Tokenización” 47 Con la implementación de una solución de Tokenización, el alcance se reduce: • Únicamente en operativas identificadas, justificadas y securizadas se procesa/almacena/transmite el PAN en texto claro. • Se eliminan los repositorios de datos de PAN locales de cada Entidad • Se aislan los activos relacionados con datos de tarjetas de pago En promedio, el alcance de cumplimiento (activos afectados) se reduce en un 60-75%. Riesgo: BAJO (Posterior a la implementación de controles) Tiempo estimado de implementación: Menor conforme complejidad Entidad Costes asociados implementación y mantenimiento: BAJO
  • 48. Proyecto TOKENIZACIÓN. “Consideraciones Adicionales” 48 Se deberán tener en cuenta: • Cifrado: el campo PAN (donde reside el PAN en texto claro en la base de datos) debe ser cifrado. • Rutinas de recuperación: se deberán identificar procesos, servicios y aplicaciones que requieren el uso del PAN en texto claro (por ejemplo: fraude) y establecer rutinas (webservices, vistas, etc.) que permitan extraer el PAN en texto claro con un token definido. • • Estas rutinas deberán ser securizadas (controles de acceso, auditoría, codificación, integridad, etc.) En caso de utilizar una herramienta de mercado para Tokenización, es posible que algunos temas como webservices, generación de tokens, etc. estén ya resueltos
  • 49. Proyecto TOKENIZACIÓN. “Implantación en RSI” 49 RSI (Rural Servicios Informáticos), siguiendo con la línea de proveer confianza a Entidades y clientes en transacciones con datos de tarjetas de pago, está empezando a definir una serie de actividades para el uso de tokenización, con el fin de minimizar el ámbito de cumplimiento de PCI DSS y reducir el riesgo de compromiso de datos durante la transmisión y procesamiento. Para ello, se han definido una serie de fases de implementación que conllevan ciertos cambios en la estructura y procesamiento de información de tarjetas de pago. Datos en uso Altas Nuevas HistóricosDefinición
  • 50. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 50 En proceso implementación: una solución de Tokenización. Se están analizando dos opciones: • Adquisición de una solución comercial que provea cifrado y tokenización, así como las interfaces necesarias y conectores para procesos de tokenización/des- tokenización • Desarrollo (MMPP) para proceder con cambios en la base de datos central que contemple cifrado del PAN y rutinas de tokenización/des-tokenización Ambas soluciones deben cumplir de forma íntegra con los preceptos fijados por el PCI SSC respecto: tokenización (generación, asignación, transmisión y almacenamiento)
  • 51. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición La idea detrás del proyecto es la siguiente: Entendiendo que un PAN tokenizado no es un dato afectado por PCI DSS, los controles dejan de ser obligatorios a ser recomendados. Así mismo – y a pesar de ya no ser obligatorio – se pretende continuar con las rutinas de enmascaramiento. 51
  • 52. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 52 Dentro del proceso de implementación progresiva, se empezará con las “altas nuevas”. A partir de una fecha corte, TODAS las nuevas tarjetas en el momento de su generación tendrán asociado un token que se almacenará conjuntamente con el resto de información en la base de datos. Este proceso aplicará tanto a altas nuevas online y masivas (batch). En el momento en que se inicie este proceso, todas las aplicaciones, programas batch, procesos y subprocesos deberán estar en la capacidad de recibir y procesar tokens y PAN de forma indistinta hasta que se finalice la migración.
  • 53. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 53 En cuanto a “datos en uso” (es decir: el parque de tarjetas de pago que se encuentra actualmente válido previo al proceso de “altas nuevas”), se procederá con una migración progresiva y paralela, generando token a cada PAN almacenado.
  • 54. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 54 Para “históricos”, se procederá de dos formas: • Se definirá y revisará una “política de retención” para establecer umbrales máximos de almacenamiento histórico de datos de tarjetas conforme con las necesidades legales y de negocio. Cualquier dato fuera de este umbral de retención será eliminado de forma segura. • Se procederá con la generación de tokens asociados a PAN en históricos (en bases de datos y copias de respaldo) hasta donde sea posible. Esto para permitir la interacción de herramientas de consulta y estadísticas (data warehousing) en procesos en los cuales se requiere el PAN.
  • 55. Proyecto OFICINA PCI. “Principales Actividades” 55 La Oficina Técnica de PCI DSS de RSI (Rural Servicios Informáticos) es un servicio que RSI pone a disposición de Entidades, cuyo funcionamiento es similar a la Oficina de LOPD. Algunas de las funciones que la Oficina de PCI DSS ofrecerá a sus asociados son: • Ayuda (técnica y documental) en el proceso de implantación • Consultoría y diagnóstico de cumplimiento previo y por fases • Desarrollo de formularios para obtención de información interna • Soporte en la redacción de cláusulas relacionadas con PCI DSS • Revisiones y auditorías periódicas • Acceso a plantillas de documentación, formularios, diagramas, etc. • Soporte en la evaluación de alternativas técnicas de implementación. Entre otros.
  • 56. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE I: Definición del Entorno PCI DSS 56
  • 57. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE II: Análisis de estado de cumplimiento FASE III: Priorización de Acciones Correctivas 57
  • 58. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE IV: Elaboración del Plan de Acción 58
  • 59. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 59
  • 60. CONCLUSIONESCONCLUSIONES Acciones a Tomar Ante el Fraude Globalizado y Organizado solo cabe una Respuesta: Globalizar y Coordinar Acciones entre todos:Council, QSA, ISP, Entidades, Comercios Autoregular Mejores Prácticas en Materia de Seguridad y Respuesta y PCI/DSS es una MUY BUENA solución para armonizar Medidas de Seguridad en TARJETAS, junto con ISO27001 y LOPD, entre otras normativas y Legislaciones. Informar, Formar y Concienciarnos de que la Seguridad es parte de nuestra Vida y de los Procesos. Todo el Personal involucrado desde ámbito Técnico hasta en el propio Comercio debe estar alineado con el Cumplimiento. La CULTURA es mejor que la mayoría de las Medidas. Compartir Información y Definir Flujos y Circuitos de la misma entre Grupos de Trabajo y Mejores Prácticas en Entidades, ISP’s, Comercios y Usuarios Finales Medir el Progreso de las Acciones y Generar Indicadores y Estándares de Cumplimiento y del seguimiento y evolución del Fraude Evitar la Impunidad de Quienes cometen Fraude coordinando con CFSE y Autonómicos. Elegir las Soluciones más Sencillas y menos Costosas como TOKENIZACIÓN que aportan beneficios en el Cumplimiento y en la Adopción del mismo en las Entidades, ISP’s y Comercios. 60
  • 61. CONCLUSIONESCONCLUSIONES El Fraude siempre ha estado ahí y permanecerá.… Como el Mundo existe, el Fraude existe 61
  • 62. CONCLUSIONESCONCLUSIONES 62 Como el Mundo Digital es Global, el Fraude Digital cada vez es más Global
  • 63. CONCLUSIONESCONCLUSIONES La Seguridad Total es un Mito;no puede alcanzarse a un coste razonable. El 100% de protección no existe. 63
  • 64. CONCLUSIONESCONCLUSIONES … pero nosotros debemos invertir en la lucha contra el Fraude, por encima de todo, para prevenirlo 64
  • 65. CONCLUSIONESCONCLUSIONES SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y la evolución de los ataques de Fraude, tu inviertes más para prevenirlos, por lo que tienes menos fraude que otros, pero eso dificulta justificar tu presupuesto 65
  • 66. CONCLUSIONESCONCLUSIONES Con una Plataforma Común de TI (Core Banking y otras Aplicaciones) teniendo una Seguridad robusta es más sencillo y más eficiente en costes 66
  • 67. En la Lucha contra el Fraude, el tamaño también importa CONCLUSIONESCONCLUSIONES 67
  • 68. CONCLUSIONESCONCLUSIONES 68 En el Sector Bancario, COLABORACION contra Fraude es un “deber”
  • 69. CONCLUSIONESCONCLUSIONES Acciones a Tomar 69 INVERTIR en SEGURIDAD Obtener el BENEFICIO de poder CONFIAR en las AUTOPISTAS de la INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y EL CONOCIMIENTO...
  • 70. CONCLUSIONESCONCLUSIONES Acciones a Tomar 70 “COOPERAR, COORDINAR, COMUNICAR, COLABORAR” IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
  • 71. INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN. 1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y Personas Críticas del Sector Público y Privado. 2. Estabilidad y Confianza de Mercados 3. Alineamiento de Buenas Prácticas 4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social) 5. Capacidad de Respuesta y Remediación 6. Vuelta a la normalidad en menor Tiempo. 7. Sostenibilidad Global 8. Protección ante Responsabilidades 9. Minimizar Costes 10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios 11. Superar Crisis 12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA) 13. Crear Cultura de Continuidad y Resiliencia. 14. Aumento de la Confianza de los Clientes y Ciudadanos. 15. Mayor Progreso En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y demandando ante los Riesgos existentes y futuros. 71
  • 72. TENDENCIAS Y EVOLUCIÓN Objetivo Final. SEGURIDAD INTEGRAL “LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO” Pedro P. López 72
  • 73. ENFOQUES Satisfacción Fiabilidad Mejora Continua Causa Raíz Procesos Y Componentes < Coste P R E V E N C I Ó N Calidad Auditorias Control Interno Gestión de Seguridad Arquitectura de Seguridad Medidas Seguridad y Controles Información Canales Y Dispositivos Procesos Infraestructuras Personas 73 Detección Temprana y Respuesta
  • 74. MODELO DE SEGURIDAD (MIGS) Marco de Referencia y Metodología a Seguir. – Objetivos de SeguridadObjetivos de SeguridadObjetivos de Seguridad Políticas / Estrategias Normativas Procedimientos Normativas Procedimientos Para lograr los objetivos Control Interno Negocio Legales Otros Auditoria •TECNICOS •NO TECNICOS Nivel de Riesgo Nivel de Seguridad Continuidad del negocio Aplicando ESTANDARES, para obtener: • Calidad • Fiabilidad Del Método y de la Información Consideraciones / Requisitos Marco Operativo Funciones de Control 74
  • 75. Evolución de Seguridad. Objetivo Final. SEGURIDAD GLOBAL ANTE UN MUNDO GLOBAL 75
  • 76. 76 “I look to the future because that's where I'm going to spend the rest of my life” Woody Allen
  • 77. Muchas Gracias Pedro Pablo López Bernal Gerente Infraestructura Seguridad, Auditoria y Normalización R.S.I. (Grupo Caja Rural) pedro_pablo_lopez_rsi@cajarural.com 77