El documento resume las Normas PCI DSS, que establecen requisitos de seguridad para proteger datos de tarjetas de crédito. Explica que la norma aplica a cualquier empresa que procese, almacene o transmita dichos datos. Luego analiza el estado de cumplimiento de la empresa y los riesgos de no cumplir, concluyendo que se debe mejorar la postura de seguridad de la información mediante un enfoque de mejora continua y un compromiso de toda la organización.
2. 1. ¿Qué son las Normas PCI DSS?
2. ¿Donde se Aplica PCI DSS?
3. Objetivos de Control/Requerimientos
4. Alcance de la Norma PCI- DSS en la empresa
5. Evolución de la norma en Grupo Carsa
6. PCI-DSS v 3.0- Nueva Versión
7. Status de cumplimiento de normas en Grupo
Carsa- Gráficos.
8. ¿Qué hacer para cumplir con la NORMAS PCI
DSS?
9. Estudio Realizado por Consultora de Bs As. BDO
10. Riesgos
11. Conclusiones
3. PCI DSS (significa Estándar de Seguridad de Datos
para la Industria de Tarjeta de Pago ) : Conjunto
uniforme de Requerimientos de Seguridad de la
información para todas las marcas
de tarjetas.
4. PCI DSS Aplica como ESTANDAR a todos los
Comercios y Proveedores de Servicio que:
Trasmitan
Almacenen o
Procesen
INFORMACION DE TARJETAS DE CREDITO
5. 6 Objetivos de Control 12 Requerimientos
1. Desarrollar y Mantener una Red Segura 1.Instalar y Mantener la configuración del Firewall
2. No utilizar claves ni contraseñas por defecto
2. Proteger los Datos de los Propietarios
de Tarjetas
3. Proteger los datos almacenados de
Tarjetahabiente
4. Cifrar los datos de tarjetahabiente enviados por
redes publicas
3. Mantener un Programa de Gestión de
Vulnerabilidades
5. Utilizar y Mantener un Software Antivirus
6. Desarrollar y mantener Aplicaciones Seguras
4. Implementar Medidas Solidas de
Control de Acceso
7. Implementar medidas sólidas de control de
acceso.
8. Identificar y autenticar el acceso a los
componentes del sistema
9. Restringir el acceso Físico a los Datos
5. Monitorear (Monitorizar) y probar
regularmente las redes
10. Rastrear y Monitorear todos los accesos a
recursos de Red
11. Testear regularmente la Seguridad de los
sistemas y Procesos
6. Mantener una Política de Seguridad de
la Información
12. Mantener una Política de Seguridad de la
Información
7. 2. Toda la Organización: Ejemplos
◦ 9.4.2.a Observe las personas dentro de las
instalaciones para verificar que se usen placas para
visitantes u otro tipo de identificación, y que los
visitantes se puedan distinguir fácilmente de los
empleados que trabajan en la empresa.
◦ 12.7 Consulte con la gerencia de Recursos
Humanos y verifique que se realiza un control de
los antecedentes de los posibles empleados (dentro
de los límites de las leyes locales).
8. 2007 PCI
versión 2.0
•Homologa
ción/polít
icas
generales
2012 PCI versión 2.0
•Re homologación
2014 Normas
PCI versión 3.0
•Actualización
de la norma,
nuevos ítems
para cumplir
9. Se agregaron 31 Nuevos Items o puntos a
cumplir distribuidos en los 12.
De los cuales tenemos un 0% de
cumplimiento de estos nuevos puntos.
Estos nuevos controles se deben implementar
para JULIO de 2015, y la próxima
Autoevaluación es en Septiembre de 2015
10. El impacto podría valorarse en aprox. un 31%
de cambio en relación a la versión 2.0
Siguen siendo 12 capítulos. Los capítulos 8 y
11 son los que tienen un mayor impacto de
cambio en la nueva versión.
PCI-DSS V
1.2
PCI-DSS V
2.0
PCI-DSS V
3.0
N° de Pag. 73
N° Cont. Aprox.180
N° de Pag. 85
N° Cont. Aprox 288
N° de Pag. 122
N° Cont. Aprox 379
14. Marco
Normativo
•Políticas, Normas, Procedimientos,
•Estándares,
•Planes de Contingencia.
Implementacion
es
•Herramientas de Monitoreo
•Herramientas de Vulnerabilidades
•Herramienta de control de Integridad de Archivos
Controles
•Informes de cumplimiento de Items. periódicos definido por la
NORMA. Ej. Reporte semestral de nuevas regalas agregadas al Firewall
con la justificación.
•Reportes que evidencien el cumplimiento de las Normas
Concientización
•Dar a conocer dichos controles e implementaciones a las personas
involucradas
15. La nueva versión V 3.0 de las Normas PCI DSS a nivel de
CERITIFICACIÓN U HOMOLOGACIÓN Exige que se cumpla el
100% de los controles, mas allá de que pueden existir
controles compensatorios.
Estos deben cumplir con los objetivos de control antes
mencionados para poder pasar a la instancia de auditoría.
100 %
cumplido
• % Cumplimiento Marco Normativo
• % Cumplimiento de Implementación
de Herramientas
• %Cumplimiento Controles periódicos
• % Concientización de áreas afectadas
18. Ataques a los sistemas de la empresa por no tener una
Gestión formal y control de las vulnerabilidades tanto
internas como externas.
Multas de parte de las empresas de Tarjetas de Pagos
por el no cumplimiento de las normas PCI-DSS.
Imposibilidad de seguir operando con datos de tarjetas
de pagos en los sistemas de la empresa, si se descubre
el no cumplimiento de las Normas PCI-DSS
Perdida de prestigio de la empresa si se descubre que
la autoevaluación no refleja la realidad de
cumplimiento y si se produce algún ataque.
Todo lo mencionado anteriormente trae perdidas de
Dinero, por las multas y la imposibilidad de seguir
operando con tarjetas de pagos en los sistemas de la
empresa.
19. ¿Qué Enfoque debemos seguir?
Buscar Mejorar la Postura de Seguridad de la
Información de la empresa: Buscar una
mejora continua de todos los requerimientos
para cumplir PCI DSS y NO solamente pensar
en pasar una Auditoria u Homologación
20. Propuestas
1. Armar un Grupo de Trabajo dedicado para
todos los temas de Seguridad de la Información
de todo Grupo Carsa, y un referente del Grupo.
2. Armar un Comité de Seguridad de la
información de GRUPO CARSA, donde tratar en
forma mensual todos los temas referentes a
seguridad de la Información de toda la empresa.
Definir áreas y responsables para este tema.
3. Tomar conciencia de que Cumplir con las
NORMAS PCI-DSS NO es un Proyecto de
Tecnología o de Seguridad Informática, sino que
es un proyecto del área de Negocios y que debe
involucrar a TODA la Organización