Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss

on

  • 1,364 views

Presentacion durante en InfoSecure 2011 de cómo ayuda OWASP al cumplimineto de PCI-DSS

Presentacion durante en InfoSecure 2011 de cómo ayuda OWASP al cumplimineto de PCI-DSS

Statistics

Views

Total Views
1,364
Views on SlideShare
1,130
Embed Views
234

Actions

Likes
0
Downloads
20
Comments
0

14 Embeds 234

http://seguridad-informacion.blogspot.com 144
http://lechona17.blogspot.com 37
http://seguridad-informacion.blogspot.mx 21
http://seguridad-informacion.blogspot.com.es 16
http://seguridad-informacion.blogspot.com.ar 5
http://seguridad-informacion.blogspot.pt 2
http://seguridad-informacion.blogspot.sg 2
http://seguridad-informacion.blogspot.it 1
http://seguridad-informacion.blogspot.nl 1
http://seguridad-informacion.blogspot.fr 1
http://lechona17.blogspot.com.ar 1
http://lechona17.blogspot.mx 1
http://lechona17.blogspot.com.es 1
http://seguridad-informacion.blogspot.jp 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss Presentation Transcript

  • 1. OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS Juan Jose Rider Jimenez OWASP member Spain Chapter [email_address] 13/09/2011
  • 2. Algo sobre mi
    • Profesional desde 2001.
    • Experto en e-commerce: Verified By VISA y SecureCode.
    • OWASP member desde 2010. Miembro del Spain Chapter.
    • Twitter: @jjriderWul4
    • Email: [email_address]
  • 3. PCI-DSS y PA-DSS
    • PCI-DSS es un estándar de obligado cumplimiento en la industria de los medios de pago. Es de obligado cumplimiento para comercios, entidades y proveedores de servicio.
    • PA-DSS está dirigido a las empresas desarrolladores de software y PCI-DSS a las instituciones (comercios, entidades y proveedores de servicios)
    • Su misión es proteger los datos de tarjetas de posibles usos malintencionados(robos, etc)
    • Ambas normativas están reguladas/definidas por el PCI SSC (Payment Card Industry – Security Standards Council)
  • 4. ¿Qué es PCI-DSS y PA-DSS? (II) PCI SSC Payment Card Industry Security Standards Council PA DSS Payment Application Data Security Standard PCI DSS Payment Card Industry Data Security Standards PCI PTS PIN Transaction Security Merchant Compliance Validation Acquirer Card Brands
  • 5. Los 12 requerimientos de PCI-DSS Categoría Requerimiento Construir y Mantener una red segura 1)Instalar y mantener una configuración de firewall para proteger datos de tarjetas 2) No usar passwords ni configuraciones de seguridad por defecto Proteger Datos de Tarjetas 3)Proteger los almacenes de datos de tarjetas 4) Encriptar transmisiones de datos de tarjetas que se produzcan en redes públicas. Programa de gestión de vulnerabilidades 5) Usar y actualizar regularmente un software antivirus 6) Desarrollar y mantener sistemas seguros y aplicaciones Implementar medidas de control de acceso 7) Restringir el acceso a los datos sensibles en base al ‘need-to-know’ 8) Asignar un único identificador a cada individuo con acceso 9) Restringir el acceso físico a los datos Monitorizar y probar regularmente las redes 10) Auditar y monitorizar todos los accesos a la red y a los datos sensibles 11) Testar regularmente sistemas y procesos Política de Seguridad de la Información 12) Mantener una política que tenga en cuenta la seguridad de la información
  • 6. Los 14 requerimientos de PA-DSS Requirement 1 Do not retain full magnetic stripe, card validation code or value (CAV2, CID, CVC2, CVV2), or PIN block data Requirement 2 Protect stored cardholder data Requirement 3 Provide secure authentication features Requirement 4 Log payment application activity Requirement 5 Develop secure payment applications (5.2 - OWASP Guide, SANS CWE Top 25, CERT Secure Coding) Requirement 6 Protect wireless transmissions Requirement 7 Test payment applications to address vulnerabilities Requirement 8 Facilitate secure network implementation Requirement 9 Cardholder data must never be stored on a server connected to the Internet Requirement 10 Facilitate secure remote software updates Requirement 11 Facilitate secure remote access to payment application Requirement 12 Encrypt sensitive traffic over public networks Requirement 13 Encrypt all non-console administrative access Requirement 14 Maintain instructional documentation and training programs for customers, resellers, and integrators
  • 7. ¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
    • Lo obvio : En la normativa PCI-DSS sólo se nombra a OWASP en el cumplimiento del requerimiento 6.5 : “Develop applications based on secure coding guidelines” (PA-DSS Req.5.2)
    •  “ OWASP Development Guide”
      • Secure coding principles
      • Threat Risk Modeling
      • Phishing, Web Services, Authentication, Session management, Cryptography, etc..
    •  “ OWASP Top 10”
  • 8. ¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
    • Req 6.2: “Risk Ranking” (PA-DSS Req.7.1)
    •  “ OWASP Development Guide”
    •  “ OWASP Testing Guide”
    • Req 6.3.2: “Review of code”(PA-DSS Req.5.1.4)
    •  “ OWASP Code Review Guide”
      • Authentication, Authorization, Session management, etc
      • OWASP Code review Top 9
    •  Herramientas: CodeCrawler, Orizon, LAPSE, YASCA, etc
  • 9. ¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
    • Req 11.2: “ Run internal and external network vulnerability scans ”
    •  Herramientas: OWASP ZAP, WebScarab
    •  “ OWASP Testing Guide”
    • Req 11.3: “Penetration Testing”
    •  Herramientas: OWASP ZAP, WebScarab
    •  “ OWASP Testing Guide”
    • Req 11.4: “IDS”
    •  Herramientas: AppSensor
  • 10. ¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
    • Existen aportaciones que no son tan obvias.
    • Formación
      • A/P: WebGoat, OWASP Top Ten.
      • Testers: Testing Guide, OWASP Live CD, ZAP, etc.
      • Jefes de Proyecto: Development Guide, ASVS
      • Arquitectos: ASVS, SAMM
      • Managers y Ejecutivos:
      • Para todos: www.owaspa.org
        • CBT ( https://www.owasp.org/index.php/Category:OWASP_CBT_Project )
    • APIs que mejoran la calidad/seguridad:
      • ESAPI, AntiSamy, etc
    • Ciclo de Vida: CLASP
  • 11. ¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
    • Y algunas más:
    • Seguridad a todos los niveles: SAMM
      • Entra a todos los niveles: Política, Métricas, Requerimientos, Diseño, Despliegue seguro, etc..
  • 12. ¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
    • Finalmente, otras iniciativas:
    • OWASP PCI Project
      • https://www.owasp.org/index.php/Key_Project_Information:OWASP_PCI_Project .
    • OWASP: Congresos, conferencias, podcasts, mailing lists, etc…
    • Colaboración en proyectos nuevos: OWASP DNIe ( https://www.owasp.org/index.php/Spain/Projects/DNIe ), etc
      • Hacer la encuesta!!!: http://www.surveymonkey.com/s/3SP5Z88
  • 13. Conclusiones
    • El cumplimiento del estándar PCI-DSS y PA-DSS no se puede alcanzar totalmente usando exclusivamente contenidos de OWASP, sin embargo, sí que se puede facilitar el cumplimiento en gran medida.
    • Facilita y mejora el desarrollo, la calidad del software y el conocimiento de todas las partes: desarrolladores, testadores, responsables de sistemas, etc.
  • 14. ¿Preguntas?