Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant.

385 views
290 views

Published on

Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
385
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant.

  1. 1. 1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE DESARROLLO NEGOCIO MM.PP. WINCOR-NIXDORF
  2. 2. 2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Indice Guía de ImplementaciónI Integración de la Seguridad en el ciclo de vida del Software II Laboratorio de Pruebas PCI DSS CompliantIII
  3. 3. 3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 • Resultado final del proceso de desarrollo seguro de una aplicación que gestiona datos de tarjeta. • Explica cómo instalar la aplicación de forma segura a: – Clientes – Distribuidores – Integradores. • Describe la forma en la que el administrador del sistema debe activar y configurar los parámetros de seguridad de los distintos componentes para que la aplicación funcione correctamente en un entorno PCI DSS. La Guía de Implementación
  4. 4. 4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 • La V2.0 de PA DSS, da a la Guía de Implementación mayor relevancia, exigiendo explicar los mecanismos de seguridad a implementar de forma más extensa y explícita. • Tener una aplicación certificada PA DSS, no exime al cliente de que su entorno cumpla con PCI DSS. • Se entiende mejor la Guía de Implementación si se ha hecho previamente la preparación del entorno donde la aplicación va a instalarse. La Guía de Implementación
  5. 5. 5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 • La preparación de una guía clara y concisa, no siendo sólo un manual de instalación, debe tener en cuenta aspectos tales como: – Configuración segura de firewalls/routers. – Configuración segura de tecnología inalámbrica. – Diseño de red. – Política segura de asignación de usuarios y contraseñas. – Configuración de acceso remoto. – Requisitos mínimos del administrador de base de datos para instalar la aplicación. – Gestión de claves criptográficas. – Borrado seguro de datos. – Activación de pistas de auditoría. – Integración de registros en plataformas de control de logs. – Gestión de actualizaciones. La Guía de Implementación
  6. 6. 6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 • Los puntos de PA DSS que la Guía de Implementación cubre son: – Req. 01: No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2) ni los datos de bloqueo del PIN. – Req. 02: Proteja los datos del titular de la tarjeta que fueron almacenados. – Req. 03: Provea las funciones de autenticación segura. – Req. 04: Registre la actividad de la aplicación de pago. – Req. 05: Desarrolle aplicaciones de pago seguras. – Req. 06: Proteja las transmisiones inalámbricas. – Req. 09: No almacene los datos de titulares de tarjetas en un servidor conectado a Internet. – Req. 10: Facilite actualizaciones de software remotas y seguras. – Req. 11: Facilite un acceso remoto seguro a la aplicación de pago. – Req. 12: Cifre el tráfico sensible en las redes públicas. La Guía de Implementación
  7. 7. 7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 • Generalmente el software es el origen más común de los problemas relativos a la seguridad informática. • Un hacker no crea agujeros en la seguridad, sólo los explota. • Las causas reales de los problemas son el resultado de un mal diseño y una mala implantación del software. • Si el software no se comporta adecuadamente, surgirán problemas de: – Fiabilidad. – Disponibilidad. – Criticidad. – Seguridad. Seguridad en el ciclo de vida del Software
  8. 8. 8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 • ¿La seguridad es una característica que puede añadirse a un sistema existente? • ¿Es una propiedad estática del software que permanece inmutable en cualquier entorno en que este se utilice? NO: LA SEGURIDAD NO ES UNA CARACTERÍSTICA QUE PUEDA AÑADIRSE AL SISTEMA EN CUALQUIER MOMENTO. REQUIERE UNA PLANIFICACIÓN PREVIA, UN DISEÑO CUIDADOSO Y DEPENDE DE CADA ENTORNO EN PARTICULAR Seguridad en el ciclo de vida del Software
  9. 9. 9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 9 • Lo que Wincor-Nixdorf persigue en su ciclo de desarrollo es: – Procesos adecuados. – Ciclo de vida seguro del software. – Plan de calidad. Seguridad en el ciclo de vida del Software
  10. 10. 10 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 10 Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación Ciclo de Vida de Desarrollo de Software Tradicional Revisión de la Seguridad. Aprobación de la Seguridad. Mantenimiento Correctivo. Liberación de Parches. Gestión de Incidencias. Seguridad en el ciclo de vida del Software
  11. 11. 11 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 11 Ciclo de Vida de Desarrollo de Software Seguro SEGURIDAD A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios. Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación Seguridad en el ciclo de vida del Software
  12. 12. 12 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 12 • Ámbito de actuación: • Identificación de las áreas de seguridad de la aplicación. • Consideraciones de seguridad respecto en el diseño. • Requisitos funcionales de seguridad. • Aspectos a tener en cuenta:  Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc.  Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc.  Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc.  Consideraciones en la Capa de Seguridad: autenticación y autorización, validación de datos, tratamiento de errores y excepciones, etc. Definición Y Diseño Desarrollo Despliegue Mantenimiento Y Operación Seguridad en el ciclo de vida del Software
  13. 13. 13 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 13 Definición y Diseño Desarrol lo Despliegu e Manteni miento Y Operació n • Es una fase muy crítica ya que en esta fase aparecen un mayor número de fallos de seguridad. • Para realizar una codificación segura es necesario conocer las amenazas con las que nos podemos encontrar y las buenas practicas para minimizarlas: • Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc. • Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc. Seguridad en el ciclo de vida del Software
  14. 14. 14 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 14 Definición Y Diseño Desarrollo Despliegue Mantenimiento Y Operación • En esta fase, la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante distintas actuaciones (comprobación de requisitos, análisis del diseño, revisión del código, etc.). • Actuaciones clave:  Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de las actuaciones realizadas y detectar posibles vulnerabilidades que no hayan sido contempladas anteriormente.  Comprobación de la Gestión de Configuraciones: Es necesario verificar cómo se han implementado y securizado los distintos componentes de la infraestructura. Seguridad en el ciclo de vida del Software
  15. 15. 15 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 15 Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación • Tras la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido:  Revisiones de la Gestión Operativa: Debe existir procedimientos que detallen como es gestionada la explotación de la aplicación y su infraestructura.  Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deberán realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.  Asegurar la Verificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado al nivel de seguridad de la aplicación y su infraestructura. • Se deben seguir los procedimientos de gestión de incidencias y gestión de vulnerabilidades que permitan dar un soporte adecuado a los clientes de la aplicación. Seguridad en el ciclo de vida del Software
  16. 16. 16 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 16 • Para verificar que la aplicación funciona de manera segura, y que va a permitir la correcta comunicación con agentes externos, se debe probar la aplicación en un entorno que sea PCI Compliant. • La idea es reproducir un entorno que simule el uso real de la aplicación de pago. • Eso significa que previo a la auditoría de certificación o recertificación se comprobará que los componentes del laboratorio de pruebas cumplen con los requerimientos PCI DSS. Laboratorio de Pruebas PCI Compliant
  17. 17. 17 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 17 • El laboratorio no tiene porque simular en complejidad todas las posibles arquitecturas imaginables. • Es un diseño estándar donde se incluyen los elementos básicos para que la aplicación funcione (firewall, servidor de aplicación, base de datos, cliente, antivirus, TPV, etc.). • El valor añadido que le da PA DSS al entorno de pruebas, es que, además de probar la funcionalidad y las medidas de seguridad de la implantación, garantiza que la aplicación funciona correctamente sin elementos o configuraciones inseguros. Laboratorio de Pruebas PCI Compliant
  18. 18. 18 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 18 • El laboratorio debe disponer de las máquinas necesarias para que se puedan probar todos los posibles entornos que admite la aplicación. • Los puntos clave que se tienen en cuenta al diseñar el laboratorio de pruebas PCI DSS compliant son:  Configuraciones de Seguridad: Se definen parámetros de seguridad de los sistemas como:  Política de contraseñas.  Asignación de derechos de acceso.  Activación de pistas de auditoría.  Utilización de puertos, servicios y protocolos seguros. Laboratorio de Pruebas PCI Compliant
  19. 19. 19 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 19  Políticas IPSec: Configuraciones de los servicios IPSec para autenticar o cifrar el tráfico de red garantizando una comunicación segura.  Tecnologías WiFi: Se definen los parámetros de seguridad que aseguren el uso de dispositivos inalámbricos:  Protocolos aceptados.  Dispositivos aceptados.  Configuraciones permitidas.  Ubicaciones desde donde se pueden utilizar tecnologías inalámbricas.  Restricción de Software: Se debe instalar el mínimo software imprescindible para que la aplicación funcione. Laboratorio de Pruebas PCI Compliant
  20. 20. 20 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 20  Gestión de Claves Criptográficas: Se debe definir un proceso de vida seguro de la generación, distribución, destrucción e instalación de componentes criptográficos.  Conexión con Redes No Confiables: Cualquier conexión entre el laboratorio y una red no segura dispondrá de un firewall que restrinja el tráfico. Laboratorio de Pruebas PCI Compliant
  21. 21. 21 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTAS

×