Your SlideShare is downloading. ×
0
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Cumplimiento estándar PCI DSS en RSI - Caja Rural

484

Published on

Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI …

Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
484
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. RSI 1
  • 2. ProyectoProyecto Cumplimiento estándar PCICumplimiento estándar PCI DSS en RSIDSS en RSI –– CAJA RURALCAJA RURAL 2ª Jornada Seguridad Medios de Pago ITSA Noviembre 2010
  • 3. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 3
  • 4. CAJA RURAL ESTRUCTURA 4 ENTIDADES (73)ENTIDADES (73)COMPAÑÍAS (3)COMPAÑÍAS (3) OutsourcingOutsourcing TITI SegurosSeguros Banco BackBanco Back--OfficeOffice
  • 5. CAJA RURAL VOLUMENES NEGOCIO 5 CLIENTES 7.429.785 CUENTAS 5.040.728 CRÉDITOS 855.700 DEPÓSITOS RENTA FIJA 869.882 TARJETAS 3.069.448 TPV’S 75.118 BANCA ONLINE 426.724 CAJEROS 3.686 TERMINALES 14.525 TRANSAC.DIA 13.200.000
  • 6. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 6
  • 7. 1 2 Valores de las Personas en la Sociedad Revolución Tecnológica y Científica 3 4 Cambios en Mercados y Negocios Nuevas Fronteras Geográficas y Legales PLANTEAMIENTOSPLANTEAMIENTOS Nuevo Paradigma GlobalNuevo Paradigma Global 7 Incremento de CONTROL Mitigación de RIESGOS Necesidad de CONFIANZA
  • 8. PLANTEAMIENTOSPLANTEAMIENTOS Principios Básicos del Proceso de GestiónPrincipios Básicos del Proceso de Gestión FIABILIDAD INFORMACIÓN Y DE SU TRATAMIENTO PROTEGER (Activos con Medidas Seguridad y Controles) OPTIMIZAR (Analizar y Auditar Riesgos, Controles, Calidad Activos y Componentes) SIMPLIFICAR (Modelar Eficientemente Procesos) 8
  • 9. PREOCUPACIONESPREOCUPACIONES Fraude Interno / ExternoFraude Interno / Externo • ASOCIADO A EMPLEADOS • ASOCIADO A PERSONAL EXTERNO QUE TRABAJA EN PROYECTOS • ASOCIADO A PROCESOS • ASOCIADO A FUNCIONES • ASOCIADO A ATRIBUCIONES • FRAUDE COMBINADO O EN CONNIVENCIA • ASOCIADO A TECNOLOGÍA Y EQUIPOS • ASOCIADO AL TIPO DE NEGOCIO • FRAUDE TRADICIONAL EN GENERAL (CONTABLE, VENTAS, COMERCIAL, LOGISTICO, INFORMACIÓN, MATERIAL, etc.) 9
  • 10. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 10
  • 11. MEDIDAS A APLICARMEDIDAS A APLICAR Medidas Globales alineadas con PCI/DSS y..... Arquitecturas Modulares Basadas en Web Services Sistemas de Autenticación y Validación AVF Sistemas de Información por Doble Canal Sistemas de AutoServicio por Desafio/Respuesta Sistemas de Geolocalización de la Conexión y Tipo de Dispositivo Sistemas de Patrones y Comportamiento del Cliente y de las Operaciones Sistemas de Filtros de Tipos de Operaciones, Importes, Franjas Horarias Sistemas de Bloqueo Online de Operaciones 24x7 Sistemas Automáticos de Comunicación y Alerta Sistemas Expertos de Estudio de la Psicología Digital y Comportamiento Estandarización de una Base de Medidas Tecnológicas Mínimas 11
  • 12. MEDIDAS A APLICARMEDIDAS A APLICAR Medidas Globales (Ámbito Estratégico) LEGALES DIVULGATIVAS INFORMATIVAS FORMATIVAS ORGANIZATIVAS OPERATIVAS TÉCNICAS CONTROL SEGUIMIENTO Y ANÁLISIS AUDITORÍA 12
  • 13. MEDIDAS A APLICARMEDIDAS A APLICAR 13 Medidas Globales (Ámbito Tiempo) Medidas PREVENTIVAS: Concienciar al Usuario (La Seguridad Empieza por Uno Mismo) Monitorizar Operaciones, Casos y “Modus Operandi” Instalar Herramientas de Análisis. Medidas DETECTIVAS: Herramientas Detección Temprana y Aviso Medidas de RESPUESTA (Servicios, Protocolos, CFS) Medidas de INVESTIGACIÓN (Análisis de LOG’s, Modus Operandi, etc.) Medidas FORENSES (Trazabilidad de Evidencias y Hechos)
  • 14. SGBG (Buen Gobierno) SGSI (Seguridad Información) SGAR (Análisis Riesgos) SGCN (Continuidad de Negocio) SGSTI (Servicios TI) SGCVS (Ciclo de Vida de Software) SGC (Calidad) SGRH (Recursos Humanos) Política LOPD (Privacidad) Política PCI/DSS (Tarjetas) Política LOG’s (Evidencias) Política CERTIFICACIÓN (PKI’S) Política CLASIFICACIÓN (Información) ...... gestionados SISTEMA DE CALIDAD Políticas Alto Nivel Políticas por SG o Normativa Procedimientos Instrucciones de Trabajo Estándares Modelos Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y Políticas MEDIDAS A APLICARMEDIDAS A APLICAR 14
  • 15. Normativa de Referencia - LEG’S & REG’S FRAMEWORK RIESGOS Y CONTROLES COMÚN 15
  • 16. Conformidad. Actividades Cuadro Mandos 16 Escenarios Mapeo Controles Ranking Controles Cuadro Mandos Benchmarc Inventario Leg’s@Reg’s Estimación Cumplimiento Basada en ISO27002
  • 17. La Certificación. Sello de Cumplimiento ISO 14000 Medio Ambiente ISO 26000 RSC 17 ISO 15504 Calidad de Software ISO 9001 Calidad ISO 18000 Comunicaciones ISO 20000 ITIL ISO 31000 Riesgos BS/ISO 25999 PCN ISO 27001, 2, 3, 4 SGSI
  • 18. Metodologías de Referencia y Apoyo El Timón de la Gobernanza 18
  • 19. ENFOQUE A PROCESOS, HERRAMIENTAS YENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS 19
  • 20. ENFOQUE A PROCESOS, HERRAMIENTAS YENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS 20
  • 21. MINIMICE IMPACTOMINIMICE IMPACTO ECONÓMICO Y SOCIALECONÓMICO Y SOCIAL 21
  • 22. CONSIGA UN MÍNIMO IMPACTOCONSIGA UN MÍNIMO IMPACTO OPERATIVOOPERATIVO 22
  • 23. SE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIASE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIA TECNOLÓGICO Y DETECNOLÓGICO Y DE INFRAESTRUCTURASINFRAESTRUCTURAS 23
  • 24. 24 E IMPACTEN LO MENOS POSIBLE EN ELE IMPACTEN LO MENOS POSIBLE EN EL ÁÁMBITOMBITO HUMANO EN LAS PERSONAS QUE OPERANHUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS
  • 25. 25 CON: Proyectos, Protocolos y Planes Cada vez más Globales e Interdependientes. REQUIEREN VISIÓN HOLÍSTICA
  • 26. 26 CAOS Evitar CAOSEvitar CAOS PARA LIDERAZGO y COORDINACIÓN EQUILIBRIO MEDIDAS/CONTROLES PASO A PASO GESTIÓN DE RIESGOS PARTITURA = PLAN GESTIÓN CRISIS
  • 27. CONTROL DE COSTES y ESTABILIDAD EN EL TIEMPO ORDEN 27
  • 28. 28 OBJETIVOS EN DEFINITIVA BUSCAR Y GARANTIZAR LA “CONFIANZA Y FIABILIDAD” MEDIANTE “El CUMPLIMIENTO”
  • 29. MEDIANTEMEDIANTE 29 producto POLÍTICAS yPOLÍTICAS y PROTOCOLOS DEPROTOCOLOS DE GESTIÓN YGESTIÓN Y RESPUESTARESPUESTA Acciones Preparatorias Acciones Informativas Acciones Preventivas Acciones Detectivas Acciones de Respuesta Acciones de Revisión, Seguimiento y Mejora
  • 30. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 30
  • 31. LA NORMATIVA DE PCI DSS SOLO APLICA SI LOS PAN (Primary Account Number): 1. SE ALMACENAN 2. SE PROCESAN 3. SE TRANSMITEN 31
  • 32. Ficha del ProyectoFicha del Proyecto 32 Fase I: Análisis Preliminar Fase II: Valoración de Riesgos Fase III: Programa de Cumplimiento Fase IV: ImplementaciFase IV: Implementacióón Plan den Plan de AcciAccióónn Fase 0: Escaneos ASV Fase V: Auditoría Fase VI: Certificación y Oficina Soporte PCI a ENTIDADES Métricas (KPI)
  • 33. Esquematización del Proyecto (Jul/2010) 33 1. Identificación Entorno (CHDM) 2. Revisión Documental 3. Implementación controles lógicos 4. Implementación controles físicos 01 1. Identificación Entorno 2. Revisión documental 3. Controles lógicos 4. Controles físicos 5. Tareas recurrentes Ficha del Proyecto Esquematización del Proyecto 5. Desarrollo tareas recurrentes
  • 34. 2. Comentarios adicionales 34 Visa Europe Member Letter Giro en el Proyecto
  • 35. 2. Comentarios adicionalesGiro en el Proyecto 35 Visa Europe Member Letter
  • 36. Fechas Payment Card Industry (PCI) Data Security Standard 36 • 1 de Octubre de 2010: Las Entidades Financieras deben asegurarse de que todos los Agentes y proveedores de servicios con los que trabajen están certificados en PCI DSS • 31 de diciembre de 2010: Fecha límite para las Entidades Adquirentes para comunicar su plan para cumplir con PCI DSS Es importante tener en cuenta que: a finales de Octubre de 2010 el PCI SSC ha publicado la versión 2.0 de PCI DSS, que entra en vigor en Enero de 2011.
  • 37. Plan de Trabajo PCI DSS: Entidades 37 Cada Entidad debe desarrollar las siguientes tareas: 1. Identificación del alcance: Reuniones con las áreas involucradas y ubicación de operativas en donde se almacene, procese y/o transmita el PAN 2. Creación de inventario (CHDM) y flujos de comunicación (diagramas): que permitirán comprender e identificar los activos involucrados en el alcance, sus interfases, entradas y salidas de información con PAN. 3. Diferenciales de documentación: comparativa entre los soportes documentales (políticas, estándares, guías, procedimientos, etc.) con lo requerido por el estándar PCI DSS 4. Inicio de las actividades de implementación conforme con Prioritized Approach for DSS 1.2 (Documento Council agilizar Proceso)
  • 38. Plan de Trabajo PCI DSS: Entidades 38 Prioritizad Approach for DSS 1.2: • Fase 1: Eliminar la información relativa a la autenticación y limitar la retención de información • Fase 2: Proteger el entorno (perímetro) así como las intranets y las redes wireless • Fase 3: Aplicaciones Seguras • Fase 4: Monitorización y control de acceso a las aplicaciones • Fase 5: Proteger la información del titular almacenada (número de tarjeta) • Fase 6: Todos los demás requisitos De todo ello, se deben establecer fechas y asignar actividades. Redactarlo como un plan de trabajo y presentarlo a SERMEPA en nombre de cada Entidad.
  • 39. Plan de Trabajo PCI DSS: Entidades-Comercios 39 Es responsabilidad de cada Entidad validar que sus comercios (Merchants) cumplan con los requisitos exigidos por la normativa conforme con la cantidad de transacciones anuales realizadas. Siendo así, se deben desarrollar las siguientes actividades (por cada Entidad): • Notificación a los comercios de la presentación de reportes (SAQ) • Definición de fechas límite a cada comercio para la presentación de reportes • Recepción y validación de SAQ por parte de cada Entidad (mantener un inventario de SAQs recibidos y pendientes) De igual manera, la Entidad debe establecer un canal de comunicación con su comercio para la resolución de dudas, soporte y escalamiento en caso de problemas.
  • 40. Proyecto TOKENIZACIÓN. “REQUERIMIENTO” Para cumplir con el requerimiento 3.4, RSI ha definido una estrategia basada en tokenización: 40
  • 41. Proyecto TOKENIZACIÓN. “REQUERIMIENTO” Requerimiento 3.4. Enfocado a la protección del PAN durante el almacenamiento: 41
  • 42. Proyecto TOKENIZACIÓN. “MECANISMO” Protección del PAN mediante token: 42 EntidadesPAN Table ID PAN PAN (t) 1 4607751234565432 4607758104705432 Clientes In PCI DSS scope 46077581047054321 PAN (t)ID Query Copias de seguridad Procesos Internos Ficheros Out of PCI DSS scope
  • 43. Proyecto TOKENIZACIÓN. “VENTAJAS” 43 Mediante el uso de la TOKENIZACIÓN se obtienen las siguientes ventajas: • Los datos tokenizados (obtenidos como salida de la “token database”) no son interpretados como PAN ni su PAN relacionado puede ser inferido(*), por lo tanto no son afectados por el cumplimiento de PCI DSS, minimizando el alcance de cumplimiento y el riesgo de almacenamiento tanto a nivel interno como en Entidades y clientes finales, proporcionando un nivel de seguridad mayor en la transmisión y procesamiento. • El token puede tener la misma longitud o ser parte de un PAN, con lo cual no se afecta la estructura de datos en el almacenamiento (base de datos) • Todo ello supone gran ahorro de costes tanto de implantación como de mantenimiento y proceso posterior, al minimizar tanto el SCOPE (Alcance) como el consumo de ciclos de CPU en cifrado y descifrado de datos continuo en el tiempo.
  • 44. Proyecto TOKENIZACIÓN. “RETOS” 44 Con el empleo de la TOKENIZACIÓN, nos enfrentamos a los siguientes retos: • Un token no puede ser usado como un instrumento financiero y en términos de trazabilidad y conciliación no se tiene otro valor más que la referencia a la transacción original • La relación entre un token y un PAN es única para el proveedor de servicios (Service Provider) • Si alguien compromete la base de datos de tokens (token database) de forma que pueda hacer trazabilidad de transacciones, el sistema completo pierde validez. • Un token no puede revelar información ni permitir inferir el PAN al que hace referencia
  • 45. Proyecto TOKENIZACIÓN. “SCOPE” 45 Los controles de PCI DSS deben ser aplicados de forma obligatoria a todos los activos que procesen, almacenen y transmitan datos de tarjetas de pago, así como también a aquellos dispositivos que de forma directa o indirecta ofrecen servicios a dichos activos. Esto se denomina CardHolder Data Environment (CDE). Debido a los costes asociados en tiempo, recursos, herramientas y mantenimiento de los controles de PCI DSS, cuanto mayor sea el CDE mayores serán los costes de implementación y mantenimiento de PCI DSS en la organización. Por el contrario: si el CDE es limitado, dichos costes se minimizan, de igual forma que el riesgo asociado al PAN.
  • 46. Proyecto TOKENIZACIÓN. “Gráfico SCOPE” Firewall 543142536176 ENTIDAD Identificación de procesos que requieren el uso de PAN en texto claro (fraude, incidencias, etc.). Serán tratados como excepciones. Firewall In PCI DSS scope PROVEEDOR SERVICIOS Informáticos Almacenamiento de PAN cifrado en Bases de Datos (BD2 – Oracle) ID PAN (Cifrado) Token 1 ADE3452f$637Af$ 123456789012 2 Afteuy&3726SGFE 543142536176 3 ER5$·7ashuGRETA 534671098365 4 TRT%)?98jGtyags 435244162763778 … … … Out of PCI DSS scope ENTIDAD Operativa con PAN tokenizado Subrutinas de Tokenización / Destokenización 46
  • 47. Proyecto TOKENIZACIÓN. “Estado Post-Tokenización” 47 Con la implementación de una solución de Tokenización, el alcance se reduce: • Únicamente en operativas identificadas, justificadas y securizadas se procesa/almacena/transmite el PAN en texto claro. • Se eliminan los repositorios de datos de PAN locales de cada Entidad • Se aislan los activos relacionados con datos de tarjetas de pago En promedio, el alcance de cumplimiento (activos afectados) se reduce en un 60-75%. Riesgo: BAJO (Posterior a la implementación de controles) Tiempo estimado de implementación: Menor conforme complejidad Entidad Costes asociados implementación y mantenimiento: BAJO
  • 48. Proyecto TOKENIZACIÓN. “Consideraciones Adicionales” 48 Se deberán tener en cuenta: • Cifrado: el campo PAN (donde reside el PAN en texto claro en la base de datos) debe ser cifrado. • Rutinas de recuperación: se deberán identificar procesos, servicios y aplicaciones que requieren el uso del PAN en texto claro (por ejemplo: fraude) y establecer rutinas (webservices, vistas, etc.) que permitan extraer el PAN en texto claro con un token definido. • • Estas rutinas deberán ser securizadas (controles de acceso, auditoría, codificación, integridad, etc.) En caso de utilizar una herramienta de mercado para Tokenización, es posible que algunos temas como webservices, generación de tokens, etc. estén ya resueltos
  • 49. Proyecto TOKENIZACIÓN. “Implantación en RSI” 49 RSI (Rural Servicios Informáticos), siguiendo con la línea de proveer confianza a Entidades y clientes en transacciones con datos de tarjetas de pago, está empezando a definir una serie de actividades para el uso de tokenización, con el fin de minimizar el ámbito de cumplimiento de PCI DSS y reducir el riesgo de compromiso de datos durante la transmisión y procesamiento. Para ello, se han definido una serie de fases de implementación que conllevan ciertos cambios en la estructura y procesamiento de información de tarjetas de pago. Datos en uso Altas Nuevas HistóricosDefinición
  • 50. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 50 En proceso implementación: una solución de Tokenización. Se están analizando dos opciones: • Adquisición de una solución comercial que provea cifrado y tokenización, así como las interfaces necesarias y conectores para procesos de tokenización/des- tokenización • Desarrollo (MMPP) para proceder con cambios en la base de datos central que contemple cifrado del PAN y rutinas de tokenización/des-tokenización Ambas soluciones deben cumplir de forma íntegra con los preceptos fijados por el PCI SSC respecto: tokenización (generación, asignación, transmisión y almacenamiento)
  • 51. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición La idea detrás del proyecto es la siguiente: Entendiendo que un PAN tokenizado no es un dato afectado por PCI DSS, los controles dejan de ser obligatorios a ser recomendados. Así mismo – y a pesar de ya no ser obligatorio – se pretende continuar con las rutinas de enmascaramiento. 51
  • 52. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 52 Dentro del proceso de implementación progresiva, se empezará con las “altas nuevas”. A partir de una fecha corte, TODAS las nuevas tarjetas en el momento de su generación tendrán asociado un token que se almacenará conjuntamente con el resto de información en la base de datos. Este proceso aplicará tanto a altas nuevas online y masivas (batch). En el momento en que se inicie este proceso, todas las aplicaciones, programas batch, procesos y subprocesos deberán estar en la capacidad de recibir y procesar tokens y PAN de forma indistinta hasta que se finalice la migración.
  • 53. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 53 En cuanto a “datos en uso” (es decir: el parque de tarjetas de pago que se encuentra actualmente válido previo al proceso de “altas nuevas”), se procederá con una migración progresiva y paralela, generando token a cada PAN almacenado.
  • 54. Proyecto TOKENIZACIÓN. “Implantación en RSI” Datos en uso Altas Nuevas HistóricosDefinición 54 Para “históricos”, se procederá de dos formas: • Se definirá y revisará una “política de retención” para establecer umbrales máximos de almacenamiento histórico de datos de tarjetas conforme con las necesidades legales y de negocio. Cualquier dato fuera de este umbral de retención será eliminado de forma segura. • Se procederá con la generación de tokens asociados a PAN en históricos (en bases de datos y copias de respaldo) hasta donde sea posible. Esto para permitir la interacción de herramientas de consulta y estadísticas (data warehousing) en procesos en los cuales se requiere el PAN.
  • 55. Proyecto OFICINA PCI. “Principales Actividades” 55 La Oficina Técnica de PCI DSS de RSI (Rural Servicios Informáticos) es un servicio que RSI pone a disposición de Entidades, cuyo funcionamiento es similar a la Oficina de LOPD. Algunas de las funciones que la Oficina de PCI DSS ofrecerá a sus asociados son: • Ayuda (técnica y documental) en el proceso de implantación • Consultoría y diagnóstico de cumplimiento previo y por fases • Desarrollo de formularios para obtención de información interna • Soporte en la redacción de cláusulas relacionadas con PCI DSS • Revisiones y auditorías periódicas • Acceso a plantillas de documentación, formularios, diagramas, etc. • Soporte en la evaluación de alternativas técnicas de implementación. Entre otros.
  • 56. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE I: Definición del Entorno PCI DSS 56
  • 57. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE II: Análisis de estado de cumplimiento FASE III: Priorización de Acciones Correctivas 57
  • 58. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES FASE IV: Elaboración del Plan de Acción 58
  • 59. ÍNDICEÍNDICE CAJA RURAL PLANTEAMIENTOS Y PREOCUPACIONES MEDIDAS A APLICAR Y VISIÓN RSI EL PROYECTO PCI/DSS CONCLUSIONES 59
  • 60. CONCLUSIONESCONCLUSIONES Acciones a Tomar Ante el Fraude Globalizado y Organizado solo cabe una Respuesta: Globalizar y Coordinar Acciones entre todos:Council, QSA, ISP, Entidades, Comercios Autoregular Mejores Prácticas en Materia de Seguridad y Respuesta y PCI/DSS es una MUY BUENA solución para armonizar Medidas de Seguridad en TARJETAS, junto con ISO27001 y LOPD, entre otras normativas y Legislaciones. Informar, Formar y Concienciarnos de que la Seguridad es parte de nuestra Vida y de los Procesos. Todo el Personal involucrado desde ámbito Técnico hasta en el propio Comercio debe estar alineado con el Cumplimiento. La CULTURA es mejor que la mayoría de las Medidas. Compartir Información y Definir Flujos y Circuitos de la misma entre Grupos de Trabajo y Mejores Prácticas en Entidades, ISP’s, Comercios y Usuarios Finales Medir el Progreso de las Acciones y Generar Indicadores y Estándares de Cumplimiento y del seguimiento y evolución del Fraude Evitar la Impunidad de Quienes cometen Fraude coordinando con CFSE y Autonómicos. Elegir las Soluciones más Sencillas y menos Costosas como TOKENIZACIÓN que aportan beneficios en el Cumplimiento y en la Adopción del mismo en las Entidades, ISP’s y Comercios. 60
  • 61. CONCLUSIONESCONCLUSIONES El Fraude siempre ha estado ahí y permanecerá.… Como el Mundo existe, el Fraude existe 61
  • 62. CONCLUSIONESCONCLUSIONES 62 Como el Mundo Digital es Global, el Fraude Digital cada vez es más Global
  • 63. CONCLUSIONESCONCLUSIONES La Seguridad Total es un Mito;no puede alcanzarse a un coste razonable. El 100% de protección no existe. 63
  • 64. CONCLUSIONESCONCLUSIONES … pero nosotros debemos invertir en la lucha contra el Fraude, por encima de todo, para prevenirlo 64
  • 65. CONCLUSIONESCONCLUSIONES SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y la evolución de los ataques de Fraude, tu inviertes más para prevenirlos, por lo que tienes menos fraude que otros, pero eso dificulta justificar tu presupuesto 65
  • 66. CONCLUSIONESCONCLUSIONES Con una Plataforma Común de TI (Core Banking y otras Aplicaciones) teniendo una Seguridad robusta es más sencillo y más eficiente en costes 66
  • 67. En la Lucha contra el Fraude, el tamaño también importa CONCLUSIONESCONCLUSIONES 67
  • 68. CONCLUSIONESCONCLUSIONES 68 En el Sector Bancario, COLABORACION contra Fraude es un “deber”
  • 69. CONCLUSIONESCONCLUSIONES Acciones a Tomar 69 INVERTIR en SEGURIDAD Obtener el BENEFICIO de poder CONFIAR en las AUTOPISTAS de la INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y EL CONOCIMIENTO...
  • 70. CONCLUSIONESCONCLUSIONES Acciones a Tomar 70 “COOPERAR, COORDINAR, COMUNICAR, COLABORAR” IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
  • 71. INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN. 1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y Personas Críticas del Sector Público y Privado. 2. Estabilidad y Confianza de Mercados 3. Alineamiento de Buenas Prácticas 4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social) 5. Capacidad de Respuesta y Remediación 6. Vuelta a la normalidad en menor Tiempo. 7. Sostenibilidad Global 8. Protección ante Responsabilidades 9. Minimizar Costes 10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios 11. Superar Crisis 12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA) 13. Crear Cultura de Continuidad y Resiliencia. 14. Aumento de la Confianza de los Clientes y Ciudadanos. 15. Mayor Progreso En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y demandando ante los Riesgos existentes y futuros. 71
  • 72. TENDENCIAS Y EVOLUCIÓN Objetivo Final. SEGURIDAD INTEGRAL “LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO” Pedro P. López 72
  • 73. ENFOQUES Satisfacción Fiabilidad Mejora Continua Causa Raíz Procesos Y Componentes < Coste P R E V E N C I Ó N Calidad Auditorias Control Interno Gestión de Seguridad Arquitectura de Seguridad Medidas Seguridad y Controles Información Canales Y Dispositivos Procesos Infraestructuras Personas 73 Detección Temprana y Respuesta
  • 74. MODELO DE SEGURIDAD (MIGS) Marco de Referencia y Metodología a Seguir. – Objetivos de SeguridadObjetivos de SeguridadObjetivos de Seguridad Políticas / Estrategias Normativas Procedimientos Normativas Procedimientos Para lograr los objetivos Control Interno Negocio Legales Otros Auditoria •TECNICOS •NO TECNICOS Nivel de Riesgo Nivel de Seguridad Continuidad del negocio Aplicando ESTANDARES, para obtener: • Calidad • Fiabilidad Del Método y de la Información Consideraciones / Requisitos Marco Operativo Funciones de Control 74
  • 75. Evolución de Seguridad. Objetivo Final. SEGURIDAD GLOBAL ANTE UN MUNDO GLOBAL 75
  • 76. 76 “I look to the future because that's where I'm going to spend the rest of my life” Woody Allen
  • 77. Muchas Gracias Pedro Pablo López Bernal Gerente Infraestructura Seguridad, Auditoria y Normalización R.S.I. (Grupo Caja Rural) pedro_pablo_lopez_rsi@cajarural.com 77
  • 78. Preguntas 78
  • 79. RSI 79

×