Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Analisis del art. 37 de la Ley del Impuesto a la Renta
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
1. Compliance-
*[PCI DSS Compliance-
Payment Card Industry Data Security
Standard]
Vanesa Gil Laredo
Consultorí
Manager Consultoría
26 de Noviembre de 2009
2. Indice
S21Sec, Servicios de Seguridad Informática
Payment Card Industry Data Security Standard.
Objetivos de PCI DSS.
Alcance de PCI DSS.
Beneficios de PCI DSS.
Requerimientos establecidos por PCI DSS.
Cumplimiento de PCI DSS.
Auditoría PCI DSS.
3. Informá
S21sec, Servicios de Seguridad Informática
Compañía española únicamente dedicada a la Seguridad Informática.
“Misión: Prevenir y gestionar el riesgo de las organizaciones y las personas en la vida digital”.
Clientes:
Presente en 25 de las compañías del
IBEX 35.
20 % del índice europeo Eurostoxx 50.
90 % del sector financiero español.
Organismos e instituciones de las
Administraciones Públicas.
Principales compañías de
telecomunicaciones.
Compañías de comercio electrónico,
utilities y construcción.
Las mayores líneas aéreas nacionales y
compañías de transporte y logística.
Defensa y Fuerzas de Seguridad.
Sector sanitario. 8 oficinas en España
3 oficinas internacionales
4. Españ
El mayor equipo en España de Seguridad Digital: 200 Gestió
Un modelo de Gestión integral de la Seguridad
especialistas 24 horas. CIS
NUESTRA
DIFERENCIA
Desde los inicios,
apostando por la innovación
y el desarrollo de soluciones de
vanguardia.
Primer centro I+D+i de Europa
Y siempre, calidad y certificaciones
5. Payment Card Industry Data Security Standard
¿Qué es el Payment Card Industry Data Security Standard (PCI DSS)?
Qué
PCI DSS es un estándar que establece un conjunto de medidas, prácticas y herramientas de seguridad
que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos con tarjeta.
Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago,
con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de
cuentas bancarias, tarjetas, transacciones y datos de autenticación.
El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard
Worlwide, American Express, JCB y Discover Financial Services.
En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.
6. Objetivos de PCI DSS
¿Cuáles son los principales objetivos de PCI DSS?
Cuá
El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante
tarjetas, promoviendo la existencia de un entorno de pago seguro para la información de tarjetas.
PCI DSS ha sido específicamente desarrollado para:
Garantizar la protección de la información de titulares de tarjetas.
Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de
cuentas y tarjetas.
Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con
tarjetas.
Luchar contra la suplantación y otros fraudes que se producen en Internet.
7. Alcance de PCI DSS
¿Quiénes están obligados a cumplir PCI DSS?
Quié está
Entidades financieras.
Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de
tarjetas.
Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas.
¿Cuál es el alcance de PCI DSS?
Cuá
El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten
información de tarjetas de crédito o débito.
Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se
almacena, procesa o transmite.
PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas
(TPV Físico, TPV Virtual,…)
8. Alcance de PCI DSS
¿Qué se considera información de tarjetas?
Qué informació
Información relacionada con tarjetas de crédito o débito y sus titulares.
Esta información se clasifica en dos categorías:
Información de titulares de tarjetas:
• Primary Account Number (PAN)
• Nombre del titular
• Fecha de expiración
• Código de Servicio
Información sensible de autenticación:
• Banda magnética completa
• CVC2/CVV2/CID
• PIN / PIN Block
PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.
9. Beneficios de PCI DSS
¿Cuáles son los principales beneficios derivados de la implantación de PCI DSS?
Cuá implantació
Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos
asociados a un posible compromiso de la información de cuentas o titulares de tarjetas:
Impacto financiero.
Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca.
Costes de investigación y costes legales asociados a un posible compromiso de información.
El cumplimiento de PCI DSS permite:
Proteger los datos de los clientes.
Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos.
Salvaguardar la reputación de su marca.
Disminuir los riesgos derivados de pérdidas financieras.
En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un
elemento diferenciador que puede suponer una ventaja competitiva en el mercado.
10. Requerimientos establecidos por PCI DSS
El estándar PCI DSS está estructurado en los cuatro niveles que se describen en el siguiente gráfico.
El nivel de detalle aumenta a medida que se desciende.
Objetivos de
Control
Requerimientos
Principales
Requerimientos y
Subquerimientos Detallados
Procedimientos de Test
11. Requerimientos establecidos por PCI DSS
Los Objetivos de Control establecidos en PCI DSS son los que se indican a continuación:
A. Creación y mantenimiento de una red segura.
B. Protección de los datos almacenados.
C. Mantenimiento de un programa de gestión de vulnerabilidades.
D. Implantación de medidas de control de acceso.
E. Monitorización y revisión periódica de las redes.
F. Mantenimiento de una Política de Seguridad de la Información.
12. Requerimientos establecidos por PCI DSS
Los Requerimientos establecidos por PCI DSS son los siguientes:
Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los
datos.
Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por
los proveedores.
Requerimiento 3: Protección de los datos almacenados.
Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes
públicas.
Requerimiento 5: Empleo y actualización periódica de programas y software antivirus.
Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones.
Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de
conocer.
Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema.
Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas.
Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de
titulares de tarjetas.
Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos.
Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los
empleados y contratistas.
13. Requerimientos establecidos por PCI DSS
Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos.
Establecimiento de los estándares de configuración del firewall que incluyan los aspectos exigidos por
PCI DSS.
Configuración del firewall: Restricción de todo el tráfico de redes o host “no confiables”, restricción de
las conexiones entre los servidores públicamente accesibles y los componentes del sistema que
almacenen datos del titular de tarjetas, prohibición de acceso público directo entre las redes externas y
cualquier componente de red que almacene información sobre el titular de tarjetas,…
Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por
los proveedores.
Modificación de los parámetros y contraseñas establecidos por defecto por el proveedor antes de la
instalación de un sistema en la red.
Existencia de estándares de configuración para todos los componentes del sistema que consideren las
vulnerabilidades de seguridad conocidas y las mejores prácticas de la industria.
Cifrado de todos los accesos de administrador que no se realicen a través de consola.
14. Requerimientos establecidos por PCI DSS
Requerimiento 3: Protección de los datos almacenados.
Mantenimiento del almacenamiento de la información del titular de tarjetas al mínimo. Política de retención y
disposición de datos.
No almacenamiento de datos de autenticación sensibles después de la autorización.
Enmascaramiento del PAN cuando es mostrado (los primeros seis y los últimos cuatro es el máximo número
de dígitos que puede ser mostrado).
Mantenimiento del PAN ilegible en cualquier lugar donde sea almacenado.
Protección de las claves de cifrado utilizadas para el cifrado de información de titulares de tarjetas contra
revelación o uso no autorizado.
Documentación e implantación de los procedimientos de gestión de las claves utilizadas para el cifrado de
información de titulares de tarjetas.
15. Requerimientos establecidos por PCI DSS
Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas.
Requerimiento 5: Empleo y actualización periódica de programas y software antivirus.
Instalación de software antivirus en todos los sistemas comúnmente afectados por virus.
Garantía de que todos los mecanismos antivirus están actualizados y activos y permiten generar logs de
auditoría.
Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones.
Desarrollo de software de aplicaciones basado en las mejores prácticas de la industria y consideración de la
seguridad de la información a lo largo de todo el ciclo de desarrollo de software.
Implantación de procedimientos de control de cambios para todos los cambios en la configuración de
sistemas y software.
Desarrollo de aplicaciones web basado en directrices de codificación segura. Revisión del código de
aplicaciones de clientes para identificar vulnerabilidades de código.
Proceso para conocer vulnerabilidades de seguridad recientemente descubiertas. Instalación de parches.
16. Requerimientos establecidos por PCI DSS
Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de
conocer.
Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema.
Procedimiento de control de acceso lógico a los sistemas de información.
Mecanismos de identificación y autenticación para el acceso al sistema.
Identificación de todos los usuarios con un identificador de usuario único.
Gestión de contraseñas de acceso a los sistemas.
Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas.
Control de acceso físico a los sistemas de información
Gestión de soportes con datos de tarjetas (etiquetado e inventariado de soportes, distribución de
soportes, copias de respaldo,…)
Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de
titulares de tarjetas.
Mantenimiento de registros de acceso a los sistemas incluidos en el alcance de PCI DSS.
Registro de determinada información, para cada evento, para todos los componentes del sistema.
Securización de los registros de auditoría, de forma que no puedan ser alterados.
Revisión de los logs de todos los componentes del sistema al menos diariamente.
17. Requerimientos establecidos por PCI DSS
Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos.
Realización de escaneos de vulnerabilidades de red internos y externos al menos trimestralmente y
después de cualquier cambio significativo en la red.
Realización de tests de intrusión al menos una vez al año y después de cualquier cambio o
actualización significativo de la infraestructura o las aplicaciones.
Empleo de sistemas de detección de intrusos para monitorizar todo el tráfico de red y alertar al
personal de cualquier posible compromiso.
Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los
empleados y contratistas.
Desarrollo, publicación, mantenimiento y distribución de una Política de Seguridad.
Desarrollo de procedimientos operativos de seguridad que sean consistentes con los requerimientos
establecidos por PCI.
Solicitud contractual de que todas las terceras partes con acceso a datos de titulares de tarjetas se
adhieran a determinados requerimientos de seguridad.
Plan de respuesta ante incidencias.
18. Cumplimiento de PCI DSS
Validació
Validación de Cumplimiento de PCI DSS.
Las propias marcas (Visa, MasterCard,…) son las que establecen los requisitos que se deben cumplir
para el proceso de certificación, en función de sus respectivos programas.
Las marcas han establecido diferentes niveles de clasificación para los comercios y proveedores de
servicios. Las implicaciones y requisitos necesarios para la certificación difieren en función de estos
niveles.
Implicaciones para las Entidades Financieras.
Todos los miembros de Visa o MasterCard deben cumplir con PCI DSS. Son responsables de la seguridad
de sus propios sistemas.
No se requiere que los miembros emisores o adquirentes validen su cumplimiento, salvo que también
actúen como proveedores de servicios.
Los bancos adquirentes son los responsables de garantizar:
El cumplimiento PCI DSS de sus comercios.
El cumplimiento PCI DSS de todos los proveedores de servicios mediante los cuales ellos o sus
comercios almacenen, procesen o transmitan información de pagos con tarjeta.
19. Cumplimiento de PCI DSS
Implicaciones para los Comercios: Niveles Definidos y Requerimientos de Validación.
Requerimientos Validació
Los comercios que aceptan pagos con tarjetas se encuentran clasificados en diferentes niveles, en base al
volumen de transacciones que realizan anualmente.
En función del nivel en el que se encuentre clasificado el comercio, se exigen diferentes requisitos para la
validación de cumplimiento.
Clasificació
Clasificación Descripció
Descripción Validació
Requerimientos de Validación
Cualquier comercio que procese más de 6.000.000 de Auditoría de Seguridad on-site.
transacciones VISA o MasterCard por año (independientemente • Realizada por un Qualified Security
del canal de aceptación). Assessor (QSA) o bien un auditor interno
que cumpla determinados requisitos.
Nivel 1 Cualquier comercio que haya sufrido un ataque que haya
Escaneos de red trimestrales.
resultado en un compromiso de datos de tarjetas en el último • Realizados por un Approved Scanning
año. Vendor (ASV).
Cualquier comercio identificado por otra marca como Nivel 1.
Cualquier comercio que procese entre 1.000.000 y 6.000.000 de
Nivel 2 transacciones Visa o MasterCard por año (independientemente Cuestionario de Autoevaluación anual.
del canal de aceptación). • Realizado por el propio comercio
Escaneos de red trimestrales.
Cualquier comercio que procese a través de Internet entre • Realizados por un Approved Scanning
Nivel 3 20.000 y 1.000.000 de transacciones VISA o MasterCard por Vendor (ASV).
año.
Cualquier comercio que procese a través de Internet menos de Cuestionario de Autoevaluación
• Realizado por el propio comercio
20.000 transacciones por año.
Nivel 4 Escaneos de red trimestrales
El resto de comercios que procesen hasta 1.000.000 de
• Realizado por un Approved Scanning
transacciones VISA o Mastercard por año. Vendor (ASV)
20. Cumplimiento de PCI DSS
Definidos Validació
Implicaciones para los Proveedores de Servicios: Niveles Definidos y Requerimientos de Validación.
Todas las marcas de tarjetas exigen que los proveedores de servicios cumplan con los requerimientos de PCI
DSS.
Visa y MasterCard clasifican a los proveedores de servicios en función del volumen de transacciones y/o del
tipo de proveedor de servicios. Los requerimientos de validación y cumplimiento varían en función de las
diferentes marcas de tarjetas.
VISA
Clasificación
Clasificaci n Descripción
Descripci n Validación
Requerimientos de Validaci n
Auditoría de Seguridad on-site
Todos los procesadores VisaNet y proveedores de servicios que • Realizada por un Qualified Security
almacenen, procesen o transmitan más de 300.000 transacciones Assessor (QSA).
Nivel 1
al año. Escaneos de red trimestrales
• Realizados por un Approved Scanning
Vendor (ASV).
Cuestionario de Autoevaluación anual
Cualquier proveedor de servicios que almacene, procese o transmita • Realizado por el propio proveedor de
servicios.
Nivel 2 menos de 300.000 transacciones al año.
Escaneos de red trimestrales
• Realizados por un Approved Scanning
Vendor (ASV).
21. Auditorí
Auditoría PCI DSS
Los servicios relacionados con la validación de cumplimiento de PCI DSS deben ser realizados por
organizaciones homologadas por el PCI Security Standards Council:
Qualified Security Assessor Company (QSAC): Auditorías on-site
Approved Scanning Vendor (ASV): Escaneos de red trimestrales.
Los servicios prestados por S21sec con el fin de ayudar a las organizaciones a garantizar el cumplimiento de
PCI DSS son los siguientes:
Auditorías anuales on-site.
Escaneos de red trimestrales.
Evaluación de Cumplimiento PCI DSS.
S21sec ha sido la primera empresa española certificada
para la prestación de servicios de cumplimiento PCI DSS.
22. Auditorí
Auditoría PCI DSS
Auditoría Anual On-site.
Determinación del alcance de la Auditoría: Sistemas que almacenan, procesan o transmiten datos de
tarjetas.
Revisión de cumplimiento de los requerimientos establecidos en PCI DSS (en función de los
Procedimientos de Test establecidos).
Desarrollo del Informe de Auditoría PCI DSS.
Propuesta de recomendaciones para subsanar las posibles deficiencias detectadas.
Escaneos de Red Trimestrales.
Los escaneos de vulnerabilidades pretenden garantizar que los sistemas estén protegidos frente a
amenazas externas (como hacking o código malicioso)
Las herramientas empleadas buscan vulnerabilidades conocidas en los sistemas incluidos en el alcance
de la Auditoría (servidores, equipos de red, aplicaciones,…)
Los escaneos se realizan en función de los procedimientos establecidos en PCI DSS.
23. Auditorí
Auditoría PCI DSS
Requerimientos Procedimiento de Test Valoración Descripción Valoración
A. CREACIÓN Y MANTENIMIENTO DE UNA RED SEGURA
R1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos
1.1 Establecer estándares de 1.1 Obtener y examinar los estándares de
configuración del firewall del firewall y configuración del firewall con objeto de
el router que incluyan: verificar que los estándares están completos.
1.1.1. Proceso formal para aprobar y 1.1.1 Verificar que los estándares de
probar todas las conexiones configuración del firewall incluyen un proceso
externas a la red y cambios en formal para la realización de cambios del
la configuración del firewall. firewall, incluyendo la prueba y la autorización S
de la gestión de todos los cambios a
conexiones externas y configuración del
firewall.
1.1.2. Diagrama de red actualizado 1.1.2.a Verificar que existe un diagrama de
con todas las conexiones a los red actualizado que documenta todas las
S
datos del titular de tarjetas, conexiones a los datos del titular de la tarjeta,
incluyendo las conexiones incluyendo toda conexión de red inalámbrica.
inalámbricas. 1.1.2.b. Verificar que el diagrama se mantiene
NO
actualizado.
1.1.3. Requerimientos para el firewall 1.1.3. Verificar que los estándares de
en cada conexión de Internet y configuración del firewall incluyen requisitos
entre la DMZ y la Intranet. del firewall para cada conexión a Internet y
S
entre cualquier DMZ e Internet. Verificar que
el diagrama de red actual es consistente con
los estándares de configuración del firewall.