Compliance-
       *[PCI DSS Compliance-
  Payment Card Industry Data Security
             Standard]



Vanesa Gil Laredo...
Indice

S21Sec, Servicios de Seguridad Informática
Payment Card Industry Data Security Standard.
Objetivos de PCI DSS.
Alc...
Informá
            S21sec, Servicios de Seguridad Informática

Compañía española únicamente dedicada a la Seguridad Infor...
Españ
El mayor equipo en España de Seguridad Digital: 200                   Gestió
                                       ...
Payment Card Industry Data Security Standard

¿Qué es el Payment Card Industry Data Security Standard (PCI DSS)?
 Qué

   ...
Objetivos de PCI DSS
¿Cuáles son los principales objetivos de PCI DSS?
 Cuá

   El principal objetivo de PCI DSS es mejora...
Alcance de PCI DSS

¿Quiénes están obligados a cumplir PCI DSS?
 Quié    está

    Entidades financieras.
    Proveedores ...
Alcance de PCI DSS

¿Qué se considera información de tarjetas?
 Qué              informació
    Información relacionada co...
Beneficios de PCI DSS
¿Cuáles son los principales beneficios derivados de la implantación de PCI DSS?
 Cuá                ...
Requerimientos establecidos por PCI DSS

El estándar PCI DSS está estructurado en los cuatro niveles que se describen en e...
Requerimientos establecidos por PCI DSS


Los Objetivos de Control establecidos en PCI DSS son los que se indican a contin...
Requerimientos establecidos por PCI DSS

Los Requerimientos establecidos por PCI DSS son los siguientes:

    Requerimient...
Requerimientos establecidos por PCI DSS

Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls par...
Requerimientos establecidos por PCI DSS

Requerimiento 3: Protección de los datos almacenados.

     Mantenimiento del alm...
Requerimientos establecidos por PCI DSS

Requerimiento 4: Cifrado de la transmisión de la información del titular de tarje...
Requerimientos establecidos por PCI DSS

Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en funci...
Requerimientos establecidos por PCI DSS

Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos.

 ...
Cumplimiento de PCI DSS

 Validació
 Validación de Cumplimiento de PCI DSS.

    Las propias marcas (Visa, MasterCard,…) s...
Cumplimiento de PCI DSS
  Implicaciones para los Comercios: Niveles Definidos y Requerimientos de Validación.
            ...
Cumplimiento de PCI DSS
                                                         Definidos                     Validació
I...
Auditorí
                                   Auditoría PCI DSS

Los servicios relacionados con la validación de cumplimient...
Auditorí
                                   Auditoría PCI DSS

Auditoría Anual On-site.

     Determinación del alcance de...
Auditorí
                                                         Auditoría PCI DSS

             Requerimientos          ...
*[Muchas Gracias]
   *[Muchas Gracias]

Contacto: Vanesa Gil Laredo
     vgil@s21sec.
     vgil@s21sec.com
  Telé
  Teléfo...
Upcoming SlideShare
Loading in …5
×

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC

5,228 views

Published on

Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.

  • Be the first to comment

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC

  1. 1. Compliance- *[PCI DSS Compliance- Payment Card Industry Data Security Standard] Vanesa Gil Laredo Consultorí Manager Consultoría 26 de Noviembre de 2009
  2. 2. Indice S21Sec, Servicios de Seguridad Informática Payment Card Industry Data Security Standard. Objetivos de PCI DSS. Alcance de PCI DSS. Beneficios de PCI DSS. Requerimientos establecidos por PCI DSS. Cumplimiento de PCI DSS. Auditoría PCI DSS.
  3. 3. Informá S21sec, Servicios de Seguridad Informática Compañía española únicamente dedicada a la Seguridad Informática. “Misión: Prevenir y gestionar el riesgo de las organizaciones y las personas en la vida digital”. Clientes: Presente en 25 de las compañías del IBEX 35. 20 % del índice europeo Eurostoxx 50. 90 % del sector financiero español. Organismos e instituciones de las Administraciones Públicas. Principales compañías de telecomunicaciones. Compañías de comercio electrónico, utilities y construcción. Las mayores líneas aéreas nacionales y compañías de transporte y logística. Defensa y Fuerzas de Seguridad. Sector sanitario. 8 oficinas en España 3 oficinas internacionales
  4. 4. Españ El mayor equipo en España de Seguridad Digital: 200 Gestió Un modelo de Gestión integral de la Seguridad especialistas 24 horas. CIS NUESTRA DIFERENCIA Desde los inicios, apostando por la innovación y el desarrollo de soluciones de vanguardia. Primer centro I+D+i de Europa Y siempre, calidad y certificaciones
  5. 5. Payment Card Industry Data Security Standard ¿Qué es el Payment Card Industry Data Security Standard (PCI DSS)? Qué PCI DSS es un estándar que establece un conjunto de medidas, prácticas y herramientas de seguridad que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos con tarjeta. Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago, con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de cuentas bancarias, tarjetas, transacciones y datos de autenticación. El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard Worlwide, American Express, JCB y Discover Financial Services. En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.
  6. 6. Objetivos de PCI DSS ¿Cuáles son los principales objetivos de PCI DSS? Cuá El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, promoviendo la existencia de un entorno de pago seguro para la información de tarjetas. PCI DSS ha sido específicamente desarrollado para: Garantizar la protección de la información de titulares de tarjetas. Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de cuentas y tarjetas. Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con tarjetas. Luchar contra la suplantación y otros fraudes que se producen en Internet.
  7. 7. Alcance de PCI DSS ¿Quiénes están obligados a cumplir PCI DSS? Quié está Entidades financieras. Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas. Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas. ¿Cuál es el alcance de PCI DSS? Cuá El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten información de tarjetas de crédito o débito. Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se almacena, procesa o transmite. PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas (TPV Físico, TPV Virtual,…)
  8. 8. Alcance de PCI DSS ¿Qué se considera información de tarjetas? Qué informació Información relacionada con tarjetas de crédito o débito y sus titulares. Esta información se clasifica en dos categorías: Información de titulares de tarjetas: • Primary Account Number (PAN) • Nombre del titular • Fecha de expiración • Código de Servicio Información sensible de autenticación: • Banda magnética completa • CVC2/CVV2/CID • PIN / PIN Block PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.
  9. 9. Beneficios de PCI DSS ¿Cuáles son los principales beneficios derivados de la implantación de PCI DSS? Cuá implantació Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos asociados a un posible compromiso de la información de cuentas o titulares de tarjetas: Impacto financiero. Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca. Costes de investigación y costes legales asociados a un posible compromiso de información. El cumplimiento de PCI DSS permite: Proteger los datos de los clientes. Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos. Salvaguardar la reputación de su marca. Disminuir los riesgos derivados de pérdidas financieras. En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un elemento diferenciador que puede suponer una ventaja competitiva en el mercado.
  10. 10. Requerimientos establecidos por PCI DSS El estándar PCI DSS está estructurado en los cuatro niveles que se describen en el siguiente gráfico. El nivel de detalle aumenta a medida que se desciende. Objetivos de Control Requerimientos Principales Requerimientos y Subquerimientos Detallados Procedimientos de Test
  11. 11. Requerimientos establecidos por PCI DSS Los Objetivos de Control establecidos en PCI DSS son los que se indican a continuación: A. Creación y mantenimiento de una red segura. B. Protección de los datos almacenados. C. Mantenimiento de un programa de gestión de vulnerabilidades. D. Implantación de medidas de control de acceso. E. Monitorización y revisión periódica de las redes. F. Mantenimiento de una Política de Seguridad de la Información.
  12. 12. Requerimientos establecidos por PCI DSS Los Requerimientos establecidos por PCI DSS son los siguientes: Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos. Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por los proveedores. Requerimiento 3: Protección de los datos almacenados. Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas. Requerimiento 5: Empleo y actualización periódica de programas y software antivirus. Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones. Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer. Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema. Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas. Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas. Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos. Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
  13. 13. Requerimientos establecidos por PCI DSS Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos. Establecimiento de los estándares de configuración del firewall que incluyan los aspectos exigidos por PCI DSS. Configuración del firewall: Restricción de todo el tráfico de redes o host “no confiables”, restricción de las conexiones entre los servidores públicamente accesibles y los componentes del sistema que almacenen datos del titular de tarjetas, prohibición de acceso público directo entre las redes externas y cualquier componente de red que almacene información sobre el titular de tarjetas,… Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por los proveedores. Modificación de los parámetros y contraseñas establecidos por defecto por el proveedor antes de la instalación de un sistema en la red. Existencia de estándares de configuración para todos los componentes del sistema que consideren las vulnerabilidades de seguridad conocidas y las mejores prácticas de la industria. Cifrado de todos los accesos de administrador que no se realicen a través de consola.
  14. 14. Requerimientos establecidos por PCI DSS Requerimiento 3: Protección de los datos almacenados. Mantenimiento del almacenamiento de la información del titular de tarjetas al mínimo. Política de retención y disposición de datos. No almacenamiento de datos de autenticación sensibles después de la autorización. Enmascaramiento del PAN cuando es mostrado (los primeros seis y los últimos cuatro es el máximo número de dígitos que puede ser mostrado). Mantenimiento del PAN ilegible en cualquier lugar donde sea almacenado. Protección de las claves de cifrado utilizadas para el cifrado de información de titulares de tarjetas contra revelación o uso no autorizado. Documentación e implantación de los procedimientos de gestión de las claves utilizadas para el cifrado de información de titulares de tarjetas.
  15. 15. Requerimientos establecidos por PCI DSS Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas. Requerimiento 5: Empleo y actualización periódica de programas y software antivirus. Instalación de software antivirus en todos los sistemas comúnmente afectados por virus. Garantía de que todos los mecanismos antivirus están actualizados y activos y permiten generar logs de auditoría. Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones. Desarrollo de software de aplicaciones basado en las mejores prácticas de la industria y consideración de la seguridad de la información a lo largo de todo el ciclo de desarrollo de software. Implantación de procedimientos de control de cambios para todos los cambios en la configuración de sistemas y software. Desarrollo de aplicaciones web basado en directrices de codificación segura. Revisión del código de aplicaciones de clientes para identificar vulnerabilidades de código. Proceso para conocer vulnerabilidades de seguridad recientemente descubiertas. Instalación de parches.
  16. 16. Requerimientos establecidos por PCI DSS Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer. Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema. Procedimiento de control de acceso lógico a los sistemas de información. Mecanismos de identificación y autenticación para el acceso al sistema. Identificación de todos los usuarios con un identificador de usuario único. Gestión de contraseñas de acceso a los sistemas. Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas. Control de acceso físico a los sistemas de información Gestión de soportes con datos de tarjetas (etiquetado e inventariado de soportes, distribución de soportes, copias de respaldo,…) Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas. Mantenimiento de registros de acceso a los sistemas incluidos en el alcance de PCI DSS. Registro de determinada información, para cada evento, para todos los componentes del sistema. Securización de los registros de auditoría, de forma que no puedan ser alterados. Revisión de los logs de todos los componentes del sistema al menos diariamente.
  17. 17. Requerimientos establecidos por PCI DSS Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos. Realización de escaneos de vulnerabilidades de red internos y externos al menos trimestralmente y después de cualquier cambio significativo en la red. Realización de tests de intrusión al menos una vez al año y después de cualquier cambio o actualización significativo de la infraestructura o las aplicaciones. Empleo de sistemas de detección de intrusos para monitorizar todo el tráfico de red y alertar al personal de cualquier posible compromiso. Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas. Desarrollo, publicación, mantenimiento y distribución de una Política de Seguridad. Desarrollo de procedimientos operativos de seguridad que sean consistentes con los requerimientos establecidos por PCI. Solicitud contractual de que todas las terceras partes con acceso a datos de titulares de tarjetas se adhieran a determinados requerimientos de seguridad. Plan de respuesta ante incidencias.
  18. 18. Cumplimiento de PCI DSS Validació Validación de Cumplimiento de PCI DSS. Las propias marcas (Visa, MasterCard,…) son las que establecen los requisitos que se deben cumplir para el proceso de certificación, en función de sus respectivos programas. Las marcas han establecido diferentes niveles de clasificación para los comercios y proveedores de servicios. Las implicaciones y requisitos necesarios para la certificación difieren en función de estos niveles. Implicaciones para las Entidades Financieras. Todos los miembros de Visa o MasterCard deben cumplir con PCI DSS. Son responsables de la seguridad de sus propios sistemas. No se requiere que los miembros emisores o adquirentes validen su cumplimiento, salvo que también actúen como proveedores de servicios. Los bancos adquirentes son los responsables de garantizar: El cumplimiento PCI DSS de sus comercios. El cumplimiento PCI DSS de todos los proveedores de servicios mediante los cuales ellos o sus comercios almacenen, procesen o transmitan información de pagos con tarjeta.
  19. 19. Cumplimiento de PCI DSS Implicaciones para los Comercios: Niveles Definidos y Requerimientos de Validación. Requerimientos Validació Los comercios que aceptan pagos con tarjetas se encuentran clasificados en diferentes niveles, en base al volumen de transacciones que realizan anualmente. En función del nivel en el que se encuentre clasificado el comercio, se exigen diferentes requisitos para la validación de cumplimiento. Clasificació Clasificación Descripció Descripción Validació Requerimientos de Validación Cualquier comercio que procese más de 6.000.000 de Auditoría de Seguridad on-site. transacciones VISA o MasterCard por año (independientemente • Realizada por un Qualified Security del canal de aceptación). Assessor (QSA) o bien un auditor interno que cumpla determinados requisitos. Nivel 1 Cualquier comercio que haya sufrido un ataque que haya Escaneos de red trimestrales. resultado en un compromiso de datos de tarjetas en el último • Realizados por un Approved Scanning año. Vendor (ASV). Cualquier comercio identificado por otra marca como Nivel 1. Cualquier comercio que procese entre 1.000.000 y 6.000.000 de Nivel 2 transacciones Visa o MasterCard por año (independientemente Cuestionario de Autoevaluación anual. del canal de aceptación). • Realizado por el propio comercio Escaneos de red trimestrales. Cualquier comercio que procese a través de Internet entre • Realizados por un Approved Scanning Nivel 3 20.000 y 1.000.000 de transacciones VISA o MasterCard por Vendor (ASV). año. Cualquier comercio que procese a través de Internet menos de Cuestionario de Autoevaluación • Realizado por el propio comercio 20.000 transacciones por año. Nivel 4 Escaneos de red trimestrales El resto de comercios que procesen hasta 1.000.000 de • Realizado por un Approved Scanning transacciones VISA o Mastercard por año. Vendor (ASV)
  20. 20. Cumplimiento de PCI DSS Definidos Validació Implicaciones para los Proveedores de Servicios: Niveles Definidos y Requerimientos de Validación. Todas las marcas de tarjetas exigen que los proveedores de servicios cumplan con los requerimientos de PCI DSS. Visa y MasterCard clasifican a los proveedores de servicios en función del volumen de transacciones y/o del tipo de proveedor de servicios. Los requerimientos de validación y cumplimiento varían en función de las diferentes marcas de tarjetas. VISA Clasificación Clasificaci n Descripción Descripci n Validación Requerimientos de Validaci n Auditoría de Seguridad on-site Todos los procesadores VisaNet y proveedores de servicios que • Realizada por un Qualified Security almacenen, procesen o transmitan más de 300.000 transacciones Assessor (QSA). Nivel 1 al año. Escaneos de red trimestrales • Realizados por un Approved Scanning Vendor (ASV). Cuestionario de Autoevaluación anual Cualquier proveedor de servicios que almacene, procese o transmita • Realizado por el propio proveedor de servicios. Nivel 2 menos de 300.000 transacciones al año. Escaneos de red trimestrales • Realizados por un Approved Scanning Vendor (ASV).
  21. 21. Auditorí Auditoría PCI DSS Los servicios relacionados con la validación de cumplimiento de PCI DSS deben ser realizados por organizaciones homologadas por el PCI Security Standards Council: Qualified Security Assessor Company (QSAC): Auditorías on-site Approved Scanning Vendor (ASV): Escaneos de red trimestrales. Los servicios prestados por S21sec con el fin de ayudar a las organizaciones a garantizar el cumplimiento de PCI DSS son los siguientes: Auditorías anuales on-site. Escaneos de red trimestrales. Evaluación de Cumplimiento PCI DSS. S21sec ha sido la primera empresa española certificada para la prestación de servicios de cumplimiento PCI DSS.
  22. 22. Auditorí Auditoría PCI DSS Auditoría Anual On-site. Determinación del alcance de la Auditoría: Sistemas que almacenan, procesan o transmiten datos de tarjetas. Revisión de cumplimiento de los requerimientos establecidos en PCI DSS (en función de los Procedimientos de Test establecidos). Desarrollo del Informe de Auditoría PCI DSS. Propuesta de recomendaciones para subsanar las posibles deficiencias detectadas. Escaneos de Red Trimestrales. Los escaneos de vulnerabilidades pretenden garantizar que los sistemas estén protegidos frente a amenazas externas (como hacking o código malicioso) Las herramientas empleadas buscan vulnerabilidades conocidas en los sistemas incluidos en el alcance de la Auditoría (servidores, equipos de red, aplicaciones,…) Los escaneos se realizan en función de los procedimientos establecidos en PCI DSS.
  23. 23. Auditorí Auditoría PCI DSS Requerimientos Procedimiento de Test Valoración Descripción Valoración A. CREACIÓN Y MANTENIMIENTO DE UNA RED SEGURA R1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 1.1 Establecer estándares de 1.1 Obtener y examinar los estándares de configuración del firewall del firewall y configuración del firewall con objeto de el router que incluyan: verificar que los estándares están completos. 1.1.1. Proceso formal para aprobar y 1.1.1 Verificar que los estándares de probar todas las conexiones configuración del firewall incluyen un proceso externas a la red y cambios en formal para la realización de cambios del la configuración del firewall. firewall, incluyendo la prueba y la autorización S de la gestión de todos los cambios a conexiones externas y configuración del firewall. 1.1.2. Diagrama de red actualizado 1.1.2.a Verificar que existe un diagrama de con todas las conexiones a los red actualizado que documenta todas las S datos del titular de tarjetas, conexiones a los datos del titular de la tarjeta, incluyendo las conexiones incluyendo toda conexión de red inalámbrica. inalámbricas. 1.1.2.b. Verificar que el diagrama se mantiene NO actualizado. 1.1.3. Requerimientos para el firewall 1.1.3. Verificar que los estándares de en cada conexión de Internet y configuración del firewall incluyen requisitos entre la DMZ y la Intranet. del firewall para cada conexión a Internet y S entre cualquier DMZ e Internet. Verificar que el diagrama de red actual es consistente con los estándares de configuración del firewall.
  24. 24. *[Muchas Gracias] *[Muchas Gracias] Contacto: Vanesa Gil Laredo vgil@s21sec. vgil@s21sec.com Telé Teléfono: 91 661 59 19

×