Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.
7. 1
2
Valores de las Personas en la Sociedad
Revolución Tecnológica y Científica
3
4
Cambios en Mercados y Negocios
Nuevas Fronteras Geográficas y Legales
PLANTEAMIENTOSPLANTEAMIENTOS
Nuevo Paradigma GlobalNuevo Paradigma Global
7
Incremento de
CONTROL
Mitigación de
RIESGOS
Necesidad de
CONFIANZA
8. PLANTEAMIENTOSPLANTEAMIENTOS
Principios Básicos del Proceso de GestiónPrincipios Básicos del Proceso de Gestión
FIABILIDAD
INFORMACIÓN Y
DE SU TRATAMIENTO
PROTEGER (Activos con
Medidas Seguridad y
Controles)
OPTIMIZAR
(Analizar y Auditar
Riesgos, Controles,
Calidad Activos y Componentes)
SIMPLIFICAR (Modelar
Eficientemente Procesos)
8
9. PREOCUPACIONESPREOCUPACIONES
Fraude Interno / ExternoFraude Interno / Externo
• ASOCIADO A EMPLEADOS
• ASOCIADO A PERSONAL EXTERNO QUE
TRABAJA EN PROYECTOS
• ASOCIADO A PROCESOS
• ASOCIADO A FUNCIONES
• ASOCIADO A ATRIBUCIONES
• FRAUDE COMBINADO O EN CONNIVENCIA
• ASOCIADO A TECNOLOGÍA Y EQUIPOS
• ASOCIADO AL TIPO DE NEGOCIO
• FRAUDE TRADICIONAL EN GENERAL
(CONTABLE, VENTAS, COMERCIAL,
LOGISTICO, INFORMACIÓN, MATERIAL, etc.)
9
11. MEDIDAS A APLICARMEDIDAS A APLICAR
Medidas Globales alineadas con PCI/DSS y.....
Arquitecturas Modulares Basadas en Web Services
Sistemas de Autenticación y Validación AVF
Sistemas de Información por Doble Canal
Sistemas de AutoServicio por Desafio/Respuesta
Sistemas de Geolocalización de la Conexión y Tipo de Dispositivo
Sistemas de Patrones y Comportamiento del Cliente y de las Operaciones
Sistemas de Filtros de Tipos de Operaciones, Importes, Franjas Horarias
Sistemas de Bloqueo Online de Operaciones 24x7
Sistemas Automáticos de Comunicación y Alerta
Sistemas Expertos de Estudio de la Psicología Digital y Comportamiento
Estandarización de una Base de Medidas Tecnológicas Mínimas
11
12. MEDIDAS A APLICARMEDIDAS A APLICAR
Medidas Globales (Ámbito Estratégico)
LEGALES
DIVULGATIVAS
INFORMATIVAS
FORMATIVAS
ORGANIZATIVAS
OPERATIVAS
TÉCNICAS
CONTROL
SEGUIMIENTO Y ANÁLISIS
AUDITORÍA
12
13. MEDIDAS A APLICARMEDIDAS A APLICAR
13
Medidas Globales (Ámbito Tiempo)
Medidas PREVENTIVAS:
Concienciar al Usuario (La Seguridad Empieza por Uno Mismo)
Monitorizar Operaciones, Casos y “Modus Operandi”
Instalar Herramientas de Análisis.
Medidas DETECTIVAS:
Herramientas Detección Temprana y Aviso
Medidas de RESPUESTA (Servicios, Protocolos, CFS)
Medidas de INVESTIGACIÓN (Análisis de LOG’s, Modus Operandi,
etc.)
Medidas FORENSES (Trazabilidad de Evidencias y Hechos)
14. SGBG (Buen Gobierno)
SGSI (Seguridad Información)
SGAR (Análisis Riesgos)
SGCN (Continuidad de Negocio)
SGSTI (Servicios TI)
SGCVS (Ciclo de Vida de Software)
SGC (Calidad)
SGRH (Recursos Humanos)
Política LOPD (Privacidad)
Política PCI/DSS (Tarjetas)
Política LOG’s (Evidencias)
Política CERTIFICACIÓN (PKI’S)
Política CLASIFICACIÓN (Información)
......
gestionados
SISTEMA DE CALIDAD
Políticas Alto Nivel
Políticas por SG o
Normativa
Procedimientos
Instrucciones de Trabajo
Estándares
Modelos
Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y Políticas
MEDIDAS A APLICARMEDIDAS A APLICAR
14
17. La Certificación. Sello de Cumplimiento
ISO 14000
Medio Ambiente
ISO 26000
RSC
17
ISO 15504
Calidad de Software
ISO 9001
Calidad
ISO 18000
Comunicaciones
ISO 20000
ITIL
ISO 31000
Riesgos
BS/ISO 25999
PCN
ISO 27001, 2, 3, 4
SGSI
22. CONSIGA UN MÍNIMO IMPACTOCONSIGA UN MÍNIMO IMPACTO
OPERATIVOOPERATIVO
22
23. SE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIASE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIA
TECNOLÓGICO Y DETECNOLÓGICO Y DE
INFRAESTRUCTURASINFRAESTRUCTURAS
23
24. 24
E IMPACTEN LO MENOS POSIBLE EN ELE IMPACTEN LO MENOS POSIBLE EN EL ÁÁMBITOMBITO
HUMANO EN LAS PERSONAS QUE OPERANHUMANO EN LAS PERSONAS QUE OPERAN
PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS
31. LA NORMATIVA DE PCI DSS SOLO APLICA SI
LOS PAN (Primary Account Number):
1. SE ALMACENAN
2. SE PROCESAN
3. SE TRANSMITEN
31
32. Ficha del ProyectoFicha del Proyecto
32
Fase I: Análisis Preliminar
Fase II: Valoración de Riesgos
Fase III: Programa de Cumplimiento
Fase IV: ImplementaciFase IV: Implementacióón Plan den Plan de
AcciAccióónn
Fase 0: Escaneos ASV
Fase V: Auditoría
Fase VI: Certificación y Oficina Soporte
PCI a ENTIDADES
Métricas (KPI)
36. Fechas
Payment Card Industry (PCI) Data Security Standard
36
• 1 de Octubre de 2010: Las Entidades Financieras deben asegurarse de que todos los
Agentes y proveedores de servicios con los que trabajen están certificados en PCI DSS
• 31 de diciembre de 2010: Fecha límite para las Entidades Adquirentes para comunicar
su plan para cumplir con PCI DSS
Es importante tener en cuenta que:
a finales de Octubre de 2010 el PCI SSC ha publicado la versión
2.0 de PCI DSS,
que entra en vigor en Enero de 2011.
37. Plan de Trabajo PCI DSS: Entidades
37
Cada Entidad debe desarrollar las siguientes tareas:
1. Identificación del alcance: Reuniones con las áreas involucradas y ubicación
de operativas en donde se almacene, procese y/o transmita el PAN
2. Creación de inventario (CHDM) y flujos de comunicación (diagramas): que
permitirán comprender e identificar los activos involucrados en el alcance, sus
interfases, entradas y salidas de información con PAN.
3. Diferenciales de documentación: comparativa entre los soportes
documentales (políticas, estándares, guías, procedimientos, etc.) con lo
requerido por el estándar PCI DSS
4. Inicio de las actividades de implementación conforme con Prioritized
Approach for DSS 1.2 (Documento Council agilizar Proceso)
38. Plan de Trabajo PCI DSS: Entidades
38
Prioritizad Approach for DSS 1.2:
• Fase 1: Eliminar la información relativa a la autenticación y limitar la retención
de información
• Fase 2: Proteger el entorno (perímetro) así como las intranets y las redes
wireless
• Fase 3: Aplicaciones Seguras
• Fase 4: Monitorización y control de acceso a las aplicaciones
• Fase 5: Proteger la información del titular almacenada (número de tarjeta)
• Fase 6: Todos los demás requisitos
De todo ello, se deben establecer fechas y asignar actividades. Redactarlo como un plan de
trabajo y presentarlo a SERMEPA en nombre de cada Entidad.
39. Plan de Trabajo PCI DSS: Entidades-Comercios
39
Es responsabilidad de cada Entidad validar que sus comercios (Merchants) cumplan con
los requisitos exigidos por la normativa conforme con la cantidad de transacciones anuales
realizadas.
Siendo así, se deben desarrollar las siguientes actividades (por cada Entidad):
• Notificación a los comercios de la presentación de reportes (SAQ)
• Definición de fechas límite a cada comercio para la presentación de reportes
• Recepción y validación de SAQ por parte de cada Entidad (mantener un
inventario de SAQs recibidos y pendientes)
De igual manera, la Entidad debe establecer un canal de comunicación con su comercio
para la resolución de dudas, soporte y escalamiento en caso de problemas.
42. Proyecto TOKENIZACIÓN. “MECANISMO”
Protección del PAN mediante token:
42
EntidadesPAN Table
ID PAN PAN (t)
1 4607751234565432 4607758104705432 Clientes
In PCI DSS
scope
46077581047054321
PAN (t)ID
Query
Copias de seguridad
Procesos Internos
Ficheros
Out of PCI
DSS scope
43. Proyecto TOKENIZACIÓN. “VENTAJAS”
43
Mediante el uso de la TOKENIZACIÓN se obtienen las siguientes ventajas:
• Los datos tokenizados (obtenidos como salida de la “token database”) no son
interpretados como PAN ni su PAN relacionado puede ser inferido(*), por lo tanto
no son afectados por el cumplimiento de PCI DSS, minimizando el alcance de
cumplimiento y el riesgo de almacenamiento tanto a nivel interno como en
Entidades y clientes finales, proporcionando un nivel de seguridad mayor en la
transmisión y procesamiento.
• El token puede tener la misma longitud o ser parte de un PAN, con lo cual no se
afecta la estructura de datos en el almacenamiento (base de datos)
• Todo ello supone gran ahorro de costes tanto de implantación como de
mantenimiento y proceso posterior, al minimizar tanto el SCOPE (Alcance) como
el consumo de ciclos de CPU en cifrado y descifrado de datos continuo en el
tiempo.
44. Proyecto TOKENIZACIÓN. “RETOS”
44
Con el empleo de la TOKENIZACIÓN, nos enfrentamos a los siguientes retos:
• Un token no puede ser usado como un instrumento financiero y en términos de
trazabilidad y conciliación no se tiene otro valor más que la referencia a la
transacción original
• La relación entre un token y un PAN es única para el proveedor de servicios
(Service Provider)
• Si alguien compromete la base de datos de tokens (token database) de forma
que pueda hacer trazabilidad de transacciones, el sistema completo pierde
validez.
• Un token no puede revelar información ni permitir inferir el PAN al que hace
referencia
45. Proyecto TOKENIZACIÓN. “SCOPE”
45
Los controles de PCI DSS deben ser aplicados de forma obligatoria a todos los
activos que procesen, almacenen y transmitan datos de tarjetas de pago, así
como también a aquellos dispositivos que de forma directa o indirecta ofrecen
servicios a dichos activos. Esto se denomina CardHolder Data Environment
(CDE).
Debido a los costes asociados en tiempo, recursos, herramientas y mantenimiento
de los controles de PCI DSS, cuanto mayor sea el CDE mayores serán los costes
de implementación y mantenimiento de PCI DSS en la organización.
Por el contrario: si el CDE es limitado, dichos costes se minimizan, de igual forma
que el riesgo asociado al PAN.
46. Proyecto TOKENIZACIÓN. “Gráfico SCOPE”
Firewall
543142536176
ENTIDAD
Identificación de procesos que requieren el uso de PAN
en texto claro (fraude, incidencias, etc.). Serán tratados
como excepciones.
Firewall
In PCI DSS
scope
PROVEEDOR SERVICIOS Informáticos
Almacenamiento de PAN cifrado en Bases de
Datos (BD2 – Oracle)
ID PAN (Cifrado) Token
1 ADE3452f$637Af$ 123456789012
2 Afteuy&3726SGFE 543142536176
3 ER5$·7ashuGRETA 534671098365
4 TRT%)?98jGtyags 435244162763778
… … …
Out of PCI
DSS scope
ENTIDAD
Operativa con PAN tokenizado
Subrutinas de Tokenización / Destokenización
46
47. Proyecto TOKENIZACIÓN. “Estado Post-Tokenización”
47
Con la implementación de una solución de Tokenización, el alcance se reduce:
• Únicamente en operativas identificadas, justificadas y securizadas se
procesa/almacena/transmite el PAN en texto claro.
• Se eliminan los repositorios de datos de PAN locales de cada Entidad
• Se aislan los activos relacionados con datos de tarjetas de pago
En promedio, el alcance de cumplimiento (activos afectados) se reduce
en un 60-75%.
Riesgo: BAJO (Posterior a la implementación de controles)
Tiempo estimado de implementación: Menor conforme complejidad Entidad
Costes asociados implementación y mantenimiento: BAJO
48. Proyecto TOKENIZACIÓN. “Consideraciones Adicionales”
48
Se deberán tener en cuenta:
• Cifrado: el campo PAN (donde reside el PAN en texto claro en la base de datos) debe ser
cifrado.
• Rutinas de recuperación: se deberán identificar procesos, servicios y aplicaciones que
requieren el uso del PAN en texto claro (por ejemplo: fraude) y establecer rutinas
(webservices, vistas, etc.) que permitan extraer el PAN en texto claro con un token definido.
•
• Estas rutinas deberán ser securizadas (controles de acceso, auditoría, codificación,
integridad, etc.)
En caso de utilizar una herramienta de mercado para Tokenización, es posible que algunos
temas como webservices, generación de tokens, etc. estén ya resueltos
49. Proyecto TOKENIZACIÓN. “Implantación en RSI”
49
RSI (Rural Servicios Informáticos), siguiendo con la línea de proveer confianza a
Entidades y clientes en transacciones con datos de tarjetas de pago, está empezando a
definir una serie de actividades para el uso de tokenización, con el fin de minimizar el
ámbito de cumplimiento de PCI DSS y reducir el riesgo de compromiso de datos durante la
transmisión y procesamiento.
Para ello, se han definido una serie de fases de implementación que conllevan ciertos
cambios en la estructura y procesamiento de información de tarjetas de pago.
Datos
en uso
Altas
Nuevas
HistóricosDefinición
50. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
50
En proceso implementación: una solución de Tokenización. Se están analizando dos
opciones:
• Adquisición de una solución comercial que provea cifrado y tokenización, así
como las interfaces necesarias y conectores para procesos de tokenización/des-
tokenización
• Desarrollo (MMPP) para proceder con cambios en la base de datos central que
contemple cifrado del PAN y rutinas de tokenización/des-tokenización
Ambas soluciones deben cumplir de forma íntegra con los preceptos fijados por el PCI
SSC respecto: tokenización (generación, asignación, transmisión y almacenamiento)
51. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
La idea detrás del proyecto es la siguiente:
Entendiendo que un PAN tokenizado no es un dato afectado por PCI DSS, los controles
dejan de ser obligatorios a ser recomendados. Así mismo – y a pesar de ya no ser
obligatorio – se pretende continuar con las rutinas de enmascaramiento.
51
52. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
52
Dentro del proceso de implementación progresiva, se empezará con las “altas nuevas”. A
partir de una fecha corte, TODAS las nuevas tarjetas en el momento de su generación
tendrán asociado un token que se almacenará conjuntamente con el resto de información
en la base de datos.
Este proceso aplicará tanto a altas nuevas online y masivas (batch).
En el momento en que se inicie este proceso, todas las aplicaciones, programas batch,
procesos y subprocesos deberán estar en la capacidad de recibir y procesar tokens y PAN
de forma indistinta hasta que se finalice la migración.
53. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
53
En cuanto a “datos en uso” (es decir: el parque de tarjetas de pago que se encuentra
actualmente válido previo al proceso de “altas nuevas”), se procederá con una migración
progresiva y paralela, generando token a cada PAN almacenado.
54. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
54
Para “históricos”, se procederá de dos formas:
• Se definirá y revisará una “política de retención” para establecer umbrales máximos de
almacenamiento histórico de datos de tarjetas conforme con las necesidades legales y de
negocio. Cualquier dato fuera de este umbral de retención será eliminado de forma segura.
• Se procederá con la generación de tokens asociados a PAN en históricos (en bases de
datos y copias de respaldo) hasta donde sea posible. Esto para permitir la interacción de
herramientas de consulta y estadísticas (data warehousing) en procesos en los cuales se
requiere el PAN.
55. Proyecto OFICINA PCI. “Principales Actividades”
55
La Oficina Técnica de PCI DSS de RSI (Rural Servicios Informáticos) es un servicio que
RSI pone a disposición de Entidades, cuyo funcionamiento es similar a la Oficina de LOPD.
Algunas de las funciones que la Oficina de PCI DSS ofrecerá a sus asociados son:
• Ayuda (técnica y documental) en el proceso de implantación
• Consultoría y diagnóstico de cumplimiento previo y por fases
• Desarrollo de formularios para obtención de información interna
• Soporte en la redacción de cláusulas relacionadas con PCI DSS
• Revisiones y auditorías periódicas
• Acceso a plantillas de documentación, formularios, diagramas, etc.
• Soporte en la evaluación de alternativas técnicas de implementación.
Entre otros.
56. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES
FASE I: Definición del Entorno PCI DSS
56
57. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES
FASE II: Análisis de estado de cumplimiento
FASE III: Priorización de Acciones Correctivas
57
58. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES
FASE IV: Elaboración del Plan de Acción
58
60. CONCLUSIONESCONCLUSIONES Acciones a Tomar
Ante el Fraude Globalizado y Organizado solo cabe una Respuesta:
Globalizar y Coordinar Acciones entre todos:Council, QSA, ISP, Entidades, Comercios
Autoregular Mejores Prácticas en Materia de Seguridad y Respuesta y PCI/DSS es una
MUY BUENA solución para armonizar Medidas de Seguridad en TARJETAS, junto con
ISO27001 y LOPD, entre otras normativas y Legislaciones.
Informar, Formar y Concienciarnos de que la Seguridad es parte de nuestra Vida y de los
Procesos. Todo el Personal involucrado desde ámbito Técnico hasta en el propio Comercio
debe estar alineado con el Cumplimiento. La CULTURA es mejor que la mayoría de las
Medidas.
Compartir Información y Definir Flujos y Circuitos de la misma entre Grupos de Trabajo y
Mejores Prácticas en Entidades, ISP’s, Comercios y Usuarios Finales
Medir el Progreso de las Acciones y Generar Indicadores y Estándares de Cumplimiento y
del seguimiento y evolución del Fraude
Evitar la Impunidad de Quienes cometen Fraude coordinando con CFSE y Autonómicos.
Elegir las Soluciones más Sencillas y menos Costosas como TOKENIZACIÓN que aportan
beneficios en el Cumplimiento y en la Adopción del mismo en las Entidades, ISP’s y
Comercios.
60
65. CONCLUSIONESCONCLUSIONES
SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y la
evolución de los ataques de Fraude, tu inviertes más para
prevenirlos, por lo que tienes menos fraude que otros,
pero eso dificulta justificar tu presupuesto
65
69. CONCLUSIONESCONCLUSIONES
Acciones a Tomar
69
INVERTIR en SEGURIDAD
Obtener el BENEFICIO de
poder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para
el DESARROLLO y SOSTENIBILIDAD de
la SOCIEDAD de la INFORMACIÓN DIGITAL Y
EL CONOCIMIENTO...
71. INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza.
Disponer del PLAN.
1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y
Personas Críticas del Sector Público y Privado.
2. Estabilidad y Confianza de Mercados
3. Alineamiento de Buenas Prácticas
4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social)
5. Capacidad de Respuesta y Remediación
6. Vuelta a la normalidad en menor Tiempo.
7. Sostenibilidad Global
8. Protección ante Responsabilidades
9. Minimizar Costes
10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios
11. Superar Crisis
12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA)
13. Crear Cultura de Continuidad y Resiliencia.
14. Aumento de la Confianza de los Clientes y Ciudadanos.
15. Mayor Progreso
En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y
demandando ante los Riesgos existentes y futuros.
71
72. TENDENCIAS Y EVOLUCIÓN
Objetivo Final. SEGURIDAD INTEGRAL
“LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS
DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE
TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE
MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO
DE LOS PROCESOS DEL NEGOCIO”
Pedro P. López
72
74. MODELO DE SEGURIDAD (MIGS)
Marco de Referencia y Metodología a Seguir.
–
Objetivos de SeguridadObjetivos de SeguridadObjetivos de Seguridad
Políticas / Estrategias
Normativas
Procedimientos
Normativas
Procedimientos
Para lograr
los
objetivos
Control Interno
Negocio Legales Otros
Auditoria
•TECNICOS
•NO TECNICOS
Nivel de Riesgo Nivel de Seguridad
Continuidad del negocio
Aplicando
ESTANDARES, para
obtener:
• Calidad
• Fiabilidad
Del Método y de
la Información
Consideraciones /
Requisitos
Marco
Operativo
Funciones de
Control
74