SlideShare a Scribd company logo

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC

AECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
AECEM - Asociación Española de Comercio Electrónico y Marketing Relacional

Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.

BusinessTechnologyEconomy & Finance
1 of 24
Download to read offline
Compliance- *[PCI DSS Compliance- Payment Card Industry Data Security Standard] Vanesa Gil Laredo Consultorí Manager Consultoría 26 de Noviembre de 2009
Indice S21Sec, Servicios de Seguridad Informática Payment Card Industry Data Security Standard. Objetivos de PCI DSS. Alcance de PCI DSS. Beneficios de PCI DSS. Requerimientos establecidos por PCI DSS. Cumplimiento de PCI DSS. Auditoría PCI DSS.
Informá S21sec, Servicios de Seguridad Informática Compañía española únicamente dedicada a la Seguridad Informática. “Misión: Prevenir y gestionar el riesgo de las organizaciones y las personas en la vida digital”. Clientes: Presente en 25 de las compañías del IBEX 35. 20 % del índice europeo Eurostoxx 50. 90 % del sector financiero español. Organismos e instituciones de las Administraciones Públicas. Principales compañías de telecomunicaciones. Compañías de comercio electrónico, utilities y construcción. Las mayores líneas aéreas nacionales y compañías de transporte y logística. Defensa y Fuerzas de Seguridad. Sector sanitario. 8 oficinas en España 3 oficinas internacionales
Españ El mayor equipo en España de Seguridad Digital: 200 Gestió Un modelo de Gestión integral de la Seguridad especialistas 24 horas. CIS NUESTRA DIFERENCIA Desde los inicios, apostando por la innovación y el desarrollo de soluciones de vanguardia. Primer centro I+D+i de Europa Y siempre, calidad y certificaciones
Payment Card Industry Data Security Standard ¿Qué es el Payment Card Industry Data Security Standard (PCI DSS)? Qué PCI DSS es un estándar que establece un conjunto de medidas, prácticas y herramientas de seguridad que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos con tarjeta. Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago, con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de cuentas bancarias, tarjetas, transacciones y datos de autenticación. El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard Worlwide, American Express, JCB y Discover Financial Services. En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.
Objetivos de PCI DSS ¿Cuáles son los principales objetivos de PCI DSS? Cuá El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, promoviendo la existencia de un entorno de pago seguro para la información de tarjetas. PCI DSS ha sido específicamente desarrollado para: Garantizar la protección de la información de titulares de tarjetas. Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de cuentas y tarjetas. Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con tarjetas. Luchar contra la suplantación y otros fraudes que se producen en Internet.
Alcance de PCI DSS ¿Quiénes están obligados a cumplir PCI DSS? Quié está Entidades financieras. Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas. Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas. ¿Cuál es el alcance de PCI DSS? Cuá El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten información de tarjetas de crédito o débito. Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se almacena, procesa o transmite. PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas (TPV Físico, TPV Virtual,…)
Alcance de PCI DSS ¿Qué se considera información de tarjetas? Qué informació Información relacionada con tarjetas de crédito o débito y sus titulares. Esta información se clasifica en dos categorías: Información de titulares de tarjetas: • Primary Account Number (PAN) • Nombre del titular • Fecha de expiración • Código de Servicio Información sensible de autenticación: • Banda magnética completa • CVC2/CVV2/CID • PIN / PIN Block PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.
Beneficios de PCI DSS ¿Cuáles son los principales beneficios derivados de la implantación de PCI DSS? Cuá implantació Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos asociados a un posible compromiso de la información de cuentas o titulares de tarjetas: Impacto financiero. Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca. Costes de investigación y costes legales asociados a un posible compromiso de información. El cumplimiento de PCI DSS permite: Proteger los datos de los clientes. Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos. Salvaguardar la reputación de su marca. Disminuir los riesgos derivados de pérdidas financieras. En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un elemento diferenciador que puede suponer una ventaja competitiva en el mercado.
Requerimientos establecidos por PCI DSS El estándar PCI DSS está estructurado en los cuatro niveles que se describen en el siguiente gráfico. El nivel de detalle aumenta a medida que se desciende. Objetivos de Control Requerimientos Principales Requerimientos y Subquerimientos Detallados Procedimientos de Test
Requerimientos establecidos por PCI DSS Los Objetivos de Control establecidos en PCI DSS son los que se indican a continuación: A. Creación y mantenimiento de una red segura. B. Protección de los datos almacenados. C. Mantenimiento de un programa de gestión de vulnerabilidades. D. Implantación de medidas de control de acceso. E. Monitorización y revisión periódica de las redes. F. Mantenimiento de una Política de Seguridad de la Información.
Requerimientos establecidos por PCI DSS Los Requerimientos establecidos por PCI DSS son los siguientes: Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos. Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por los proveedores. Requerimiento 3: Protección de los datos almacenados. Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas. Requerimiento 5: Empleo y actualización periódica de programas y software antivirus. Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones. Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer. Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema. Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas. Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas. Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos. Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
Requerimientos establecidos por PCI DSS Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos. Establecimiento de los estándares de configuración del firewall que incluyan los aspectos exigidos por PCI DSS. Configuración del firewall: Restricción de todo el tráfico de redes o host “no confiables”, restricción de las conexiones entre los servidores públicamente accesibles y los componentes del sistema que almacenen datos del titular de tarjetas, prohibición de acceso público directo entre las redes externas y cualquier componente de red que almacene información sobre el titular de tarjetas,… Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por los proveedores. Modificación de los parámetros y contraseñas establecidos por defecto por el proveedor antes de la instalación de un sistema en la red. Existencia de estándares de configuración para todos los componentes del sistema que consideren las vulnerabilidades de seguridad conocidas y las mejores prácticas de la industria. Cifrado de todos los accesos de administrador que no se realicen a través de consola.
Requerimientos establecidos por PCI DSS Requerimiento 3: Protección de los datos almacenados. Mantenimiento del almacenamiento de la información del titular de tarjetas al mínimo. Política de retención y disposición de datos. No almacenamiento de datos de autenticación sensibles después de la autorización. Enmascaramiento del PAN cuando es mostrado (los primeros seis y los últimos cuatro es el máximo número de dígitos que puede ser mostrado). Mantenimiento del PAN ilegible en cualquier lugar donde sea almacenado. Protección de las claves de cifrado utilizadas para el cifrado de información de titulares de tarjetas contra revelación o uso no autorizado. Documentación e implantación de los procedimientos de gestión de las claves utilizadas para el cifrado de información de titulares de tarjetas.
Requerimientos establecidos por PCI DSS Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas. Requerimiento 5: Empleo y actualización periódica de programas y software antivirus. Instalación de software antivirus en todos los sistemas comúnmente afectados por virus. Garantía de que todos los mecanismos antivirus están actualizados y activos y permiten generar logs de auditoría. Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones. Desarrollo de software de aplicaciones basado en las mejores prácticas de la industria y consideración de la seguridad de la información a lo largo de todo el ciclo de desarrollo de software. Implantación de procedimientos de control de cambios para todos los cambios en la configuración de sistemas y software. Desarrollo de aplicaciones web basado en directrices de codificación segura. Revisión del código de aplicaciones de clientes para identificar vulnerabilidades de código. Proceso para conocer vulnerabilidades de seguridad recientemente descubiertas. Instalación de parches.
Requerimientos establecidos por PCI DSS Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer. Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema. Procedimiento de control de acceso lógico a los sistemas de información. Mecanismos de identificación y autenticación para el acceso al sistema. Identificación de todos los usuarios con un identificador de usuario único. Gestión de contraseñas de acceso a los sistemas. Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas. Control de acceso físico a los sistemas de información Gestión de soportes con datos de tarjetas (etiquetado e inventariado de soportes, distribución de soportes, copias de respaldo,…) Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas. Mantenimiento de registros de acceso a los sistemas incluidos en el alcance de PCI DSS. Registro de determinada información, para cada evento, para todos los componentes del sistema. Securización de los registros de auditoría, de forma que no puedan ser alterados. Revisión de los logs de todos los componentes del sistema al menos diariamente.
Requerimientos establecidos por PCI DSS Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos. Realización de escaneos de vulnerabilidades de red internos y externos al menos trimestralmente y después de cualquier cambio significativo en la red. Realización de tests de intrusión al menos una vez al año y después de cualquier cambio o actualización significativo de la infraestructura o las aplicaciones. Empleo de sistemas de detección de intrusos para monitorizar todo el tráfico de red y alertar al personal de cualquier posible compromiso. Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas. Desarrollo, publicación, mantenimiento y distribución de una Política de Seguridad. Desarrollo de procedimientos operativos de seguridad que sean consistentes con los requerimientos establecidos por PCI. Solicitud contractual de que todas las terceras partes con acceso a datos de titulares de tarjetas se adhieran a determinados requerimientos de seguridad. Plan de respuesta ante incidencias.
Cumplimiento de PCI DSS Validació Validación de Cumplimiento de PCI DSS. Las propias marcas (Visa, MasterCard,…) son las que establecen los requisitos que se deben cumplir para el proceso de certificación, en función de sus respectivos programas. Las marcas han establecido diferentes niveles de clasificación para los comercios y proveedores de servicios. Las implicaciones y requisitos necesarios para la certificación difieren en función de estos niveles. Implicaciones para las Entidades Financieras. Todos los miembros de Visa o MasterCard deben cumplir con PCI DSS. Son responsables de la seguridad de sus propios sistemas. No se requiere que los miembros emisores o adquirentes validen su cumplimiento, salvo que también actúen como proveedores de servicios. Los bancos adquirentes son los responsables de garantizar: El cumplimiento PCI DSS de sus comercios. El cumplimiento PCI DSS de todos los proveedores de servicios mediante los cuales ellos o sus comercios almacenen, procesen o transmitan información de pagos con tarjeta.
Cumplimiento de PCI DSS Implicaciones para los Comercios: Niveles Definidos y Requerimientos de Validación. Requerimientos Validació Los comercios que aceptan pagos con tarjetas se encuentran clasificados en diferentes niveles, en base al volumen de transacciones que realizan anualmente. En función del nivel en el que se encuentre clasificado el comercio, se exigen diferentes requisitos para la validación de cumplimiento. Clasificació Clasificación Descripció Descripción Validació Requerimientos de Validación Cualquier comercio que procese más de 6.000.000 de Auditoría de Seguridad on-site. transacciones VISA o MasterCard por año (independientemente • Realizada por un Qualified Security del canal de aceptación). Assessor (QSA) o bien un auditor interno que cumpla determinados requisitos. Nivel 1 Cualquier comercio que haya sufrido un ataque que haya Escaneos de red trimestrales. resultado en un compromiso de datos de tarjetas en el último • Realizados por un Approved Scanning año. Vendor (ASV). Cualquier comercio identificado por otra marca como Nivel 1. Cualquier comercio que procese entre 1.000.000 y 6.000.000 de Nivel 2 transacciones Visa o MasterCard por año (independientemente Cuestionario de Autoevaluación anual. del canal de aceptación). • Realizado por el propio comercio Escaneos de red trimestrales. Cualquier comercio que procese a través de Internet entre • Realizados por un Approved Scanning Nivel 3 20.000 y 1.000.000 de transacciones VISA o MasterCard por Vendor (ASV). año. Cualquier comercio que procese a través de Internet menos de Cuestionario de Autoevaluación • Realizado por el propio comercio 20.000 transacciones por año. Nivel 4 Escaneos de red trimestrales El resto de comercios que procesen hasta 1.000.000 de • Realizado por un Approved Scanning transacciones VISA o Mastercard por año. Vendor (ASV)
Cumplimiento de PCI DSS Definidos Validació Implicaciones para los Proveedores de Servicios: Niveles Definidos y Requerimientos de Validación. Todas las marcas de tarjetas exigen que los proveedores de servicios cumplan con los requerimientos de PCI DSS. Visa y MasterCard clasifican a los proveedores de servicios en función del volumen de transacciones y/o del tipo de proveedor de servicios. Los requerimientos de validación y cumplimiento varían en función de las diferentes marcas de tarjetas. VISA Clasificación Clasificaci n Descripción Descripci n Validación Requerimientos de Validaci n Auditoría de Seguridad on-site Todos los procesadores VisaNet y proveedores de servicios que • Realizada por un Qualified Security almacenen, procesen o transmitan más de 300.000 transacciones Assessor (QSA). Nivel 1 al año. Escaneos de red trimestrales • Realizados por un Approved Scanning Vendor (ASV). Cuestionario de Autoevaluación anual Cualquier proveedor de servicios que almacene, procese o transmita • Realizado por el propio proveedor de servicios. Nivel 2 menos de 300.000 transacciones al año. Escaneos de red trimestrales • Realizados por un Approved Scanning Vendor (ASV).
Auditorí Auditoría PCI DSS Los servicios relacionados con la validación de cumplimiento de PCI DSS deben ser realizados por organizaciones homologadas por el PCI Security Standards Council: Qualified Security Assessor Company (QSAC): Auditorías on-site Approved Scanning Vendor (ASV): Escaneos de red trimestrales. Los servicios prestados por S21sec con el fin de ayudar a las organizaciones a garantizar el cumplimiento de PCI DSS son los siguientes: Auditorías anuales on-site. Escaneos de red trimestrales. Evaluación de Cumplimiento PCI DSS. S21sec ha sido la primera empresa española certificada para la prestación de servicios de cumplimiento PCI DSS.
Auditorí Auditoría PCI DSS Auditoría Anual On-site. Determinación del alcance de la Auditoría: Sistemas que almacenan, procesan o transmiten datos de tarjetas. Revisión de cumplimiento de los requerimientos establecidos en PCI DSS (en función de los Procedimientos de Test establecidos). Desarrollo del Informe de Auditoría PCI DSS. Propuesta de recomendaciones para subsanar las posibles deficiencias detectadas. Escaneos de Red Trimestrales. Los escaneos de vulnerabilidades pretenden garantizar que los sistemas estén protegidos frente a amenazas externas (como hacking o código malicioso) Las herramientas empleadas buscan vulnerabilidades conocidas en los sistemas incluidos en el alcance de la Auditoría (servidores, equipos de red, aplicaciones,…) Los escaneos se realizan en función de los procedimientos establecidos en PCI DSS.
Auditorí Auditoría PCI DSS Requerimientos Procedimiento de Test Valoración Descripción Valoración A. CREACIÓN Y MANTENIMIENTO DE UNA RED SEGURA R1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 1.1 Establecer estándares de 1.1 Obtener y examinar los estándares de configuración del firewall del firewall y configuración del firewall con objeto de el router que incluyan: verificar que los estándares están completos. 1.1.1. Proceso formal para aprobar y 1.1.1 Verificar que los estándares de probar todas las conexiones configuración del firewall incluyen un proceso externas a la red y cambios en formal para la realización de cambios del la configuración del firewall. firewall, incluyendo la prueba y la autorización S de la gestión de todos los cambios a conexiones externas y configuración del firewall. 1.1.2. Diagrama de red actualizado 1.1.2.a Verificar que existe un diagrama de con todas las conexiones a los red actualizado que documenta todas las S datos del titular de tarjetas, conexiones a los datos del titular de la tarjeta, incluyendo las conexiones incluyendo toda conexión de red inalámbrica. inalámbricas. 1.1.2.b. Verificar que el diagrama se mantiene NO actualizado. 1.1.3. Requerimientos para el firewall 1.1.3. Verificar que los estándares de en cada conexión de Internet y configuración del firewall incluyen requisitos entre la DMZ y la Intranet. del firewall para cada conexión a Internet y S entre cualquier DMZ e Internet. Verificar que el diagrama de red actual es consistente con los estándares de configuración del firewall.
*[Muchas Gracias] *[Muchas Gracias] Contacto: Vanesa Gil Laredo vgil@s21sec. vgil@s21sec.com Telé Teléfono: 91 661 59 19

Recommended

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Juan Manuel Nieto
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Jesús Vázquez González
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
Santiago Sánchez
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Jesús Vázquez González
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
SIA Group
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
Internet Security Auditors
 

Recommended

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Internet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Juan Manuel Nieto
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Jesús Vázquez González
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
Santiago Sánchez
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Jesús Vázquez González
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
SIA Group
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
Internet Security Auditors
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
Internet Security Auditors
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Internet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
Internet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
Internet Security Auditors
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Internet Security Auditors
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Protiviti Peru
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
Internet Security Auditors
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Protiviti Peru
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
TrustID
TrustIDTrustID
TrustID
VaniOs
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCI
Internet Security Auditors
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Protiviti Peru
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
Luis Fernando Aguas Bucheli
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
SIA Group
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras Críticas
SIA Group
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICES
SIA Group
 
netBytes
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de seguros
Fabián Descalzo
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
Jefersonguetio
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Internet Security Auditors
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
--------------
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
ControlCase
 

More Related Content

What's hot

PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
Internet Security Auditors
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Protiviti Peru
 

What's hot (20)

OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Jornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSSJornada sobre Seguridad en Medios de Pago: PCI DSS
Jornada sobre Seguridad en Medios de Pago: PCI DSS
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
Cumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja RuralCumplimiento estándar PCI DSS en RSI - Caja Rural
Cumplimiento estándar PCI DSS en RSI - Caja Rural
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
TrustID
TrustIDTrustID
TrustID
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCI
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
 
Protección de las Infraestructuras Críticas
Protección de las Infraestructuras CríticasProtección de las Infraestructuras Críticas
Protección de las Infraestructuras Críticas
 
SIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICESSIACERT TRUSTED SERVICES
SIACERT TRUSTED SERVICES
 
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de seguros
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 

Similar to Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC

Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
Universidad de Panamá
 
Raw wtithepaper 6 abr
Raw wtithepaper 6 abrRaw wtithepaper 6 abr
Raw wtithepaper 6 abr
Pablo
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
Internet Security Auditors
 

Similar to Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC (20)

Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
Certificación auditoria informática
Certificación auditoria informáticaCertificación auditoria informática
Certificación auditoria informática
 
Raw wtithepaper 6 abr
Raw wtithepaper 6 abrRaw wtithepaper 6 abr
Raw wtithepaper 6 abr
 
Certificación auditoria informática
Certificación auditoria informáticaCertificación auditoria informática
Certificación auditoria informática
 
BROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTORBROCHURE DOBLEFACTOR
BROCHURE DOBLEFACTOR
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Certificado PCI
Certificado PCICertificado PCI
Certificado PCI
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 
Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22Win Magic Spanish 2009 10 22
Win Magic Spanish 2009 10 22
 
Certificaciones existentes para medios físicos
Certificaciones existentes para medios físicosCertificaciones existentes para medios físicos
Certificaciones existentes para medios físicos
 
Curso Implantador PCI DSS
Curso Implantador PCI DSSCurso Implantador PCI DSS
Curso Implantador PCI DSS
 
Ca riskminder-ds-esn
Ca riskminder-ds-esnCa riskminder-ds-esn
Ca riskminder-ds-esn
 

More from AECEM - Asociación Española de Comercio Electrónico y Marketing Relacional

More from AECEM - Asociación Española de Comercio Electrónico y Marketing Relacional (20)

Medios de pago Alternativos - María González, Paysafecard
Medios de pago Alternativos - María González, PaysafecardMedios de pago Alternativos - María González, Paysafecard
Medios de pago Alternativos - María González, Paysafecard
 
Paypal medios de pago e innovación - Susana Voces, Paypal
Paypal medios de pago e innovación - Susana Voces, PaypalPaypal medios de pago e innovación - Susana Voces, Paypal
Paypal medios de pago e innovación - Susana Voces, Paypal
 
Caso Buy Vip- Adyen, El proceso de pago de una tienda online global -
Caso Buy Vip- Adyen, El proceso de pago de una tienda online global - Caso Buy Vip- Adyen, El proceso de pago de una tienda online global -
Caso Buy Vip- Adyen, El proceso de pago de una tienda online global -
 
El papel de los bancos adquirientes - Jordi Pascual, Caixa catalunya aecem
El papel de los bancos adquirientes - Jordi Pascual, Caixa catalunya aecem El papel de los bancos adquirientes - Jordi Pascual, Caixa catalunya aecem
El papel de los bancos adquirientes - Jordi Pascual, Caixa catalunya aecem
 
WebSphere Commerce: apuesta de futuro para tu negocio on-line Miguel Nobre IBM
WebSphere Commerce: apuesta de futuro para tu negocio on-line Miguel Nobre IBMWebSphere Commerce: apuesta de futuro para tu negocio on-line Miguel Nobre IBM
WebSphere Commerce: apuesta de futuro para tu negocio on-line Miguel Nobre IBM
 
Soluciones Opensource eCommerce/CMS: Magento, osCommerce, Joomla, Prestasoft,...
Soluciones Opensource eCommerce/CMS: Magento, osCommerce, Joomla, Prestasoft,...Soluciones Opensource eCommerce/CMS: Magento, osCommerce, Joomla, Prestasoft,...
Soluciones Opensource eCommerce/CMS: Magento, osCommerce, Joomla, Prestasoft,...
 
Self-service: Optimice cada interacción con el cliente - Ana del Amo, Oracle
Self-service: Optimice cada interacción con el cliente - Ana del Amo, OracleSelf-service: Optimice cada interacción con el cliente - Ana del Amo, Oracle
Self-service: Optimice cada interacción con el cliente - Ana del Amo, Oracle
 
Comercio multicanal - Alfonso García, ATG
Comercio multicanal - Alfonso García, ATGComercio multicanal - Alfonso García, ATG
Comercio multicanal - Alfonso García, ATG
 
Creando experiencias eficaces - Rafa Mérida, Ideup
Creando experiencias eficaces - Rafa Mérida, IdeupCreando experiencias eficaces - Rafa Mérida, Ideup
Creando experiencias eficaces - Rafa Mérida, Ideup
 
Webs que convierten de forma inteligente, teniendo contentos a sus usuarios -...
Webs que convierten de forma inteligente, teniendo contentos a sus usuarios -...Webs que convierten de forma inteligente, teniendo contentos a sus usuarios -...
Webs que convierten de forma inteligente, teniendo contentos a sus usuarios -...
 
De la Usabilidad al Diseño de Servicios, o cómo el usuario se ha ido incluyen...
De la Usabilidad al Diseño de Servicios, o cómo el usuario se ha ido incluyen...De la Usabilidad al Diseño de Servicios, o cómo el usuario se ha ido incluyen...
De la Usabilidad al Diseño de Servicios, o cómo el usuario se ha ido incluyen...
 
Terremark: The enterprise Cloud - Pedro prestel. Terremark
Terremark: The enterprise Cloud - Pedro prestel. TerremarkTerremark: The enterprise Cloud - Pedro prestel. Terremark
Terremark: The enterprise Cloud - Pedro prestel. Terremark
 
Marketing y comercio electrónico en la nube. La visión de NTT Europe - Álvaro...
Marketing y comercio electrónico en la nube. La visión de NTT Europe - Álvaro...Marketing y comercio electrónico en la nube. La visión de NTT Europe - Álvaro...
Marketing y comercio electrónico en la nube. La visión de NTT Europe - Álvaro...
 
Akamai: Acelerando las aplicaciones en la nube - Miguel Serrano, Akamai
Akamai: Acelerando las aplicaciones en la nube - Miguel Serrano, AkamaiAkamai: Acelerando las aplicaciones en la nube - Miguel Serrano, Akamai
Akamai: Acelerando las aplicaciones en la nube - Miguel Serrano, Akamai
 
Facturación electrónica - Ignacio Marijuán, Camerfirma
Facturación electrónica - Ignacio Marijuán, CamerfirmaFacturación electrónica - Ignacio Marijuán, Camerfirma
Facturación electrónica - Ignacio Marijuán, Camerfirma
 
Certificados digitales y firma electrónica - Guillermo Gil-Delgado, Camerfirma
Certificados digitales y firma electrónica - Guillermo Gil-Delgado, CamerfirmaCertificados digitales y firma electrónica - Guillermo Gil-Delgado, Camerfirma
Certificados digitales y firma electrónica - Guillermo Gil-Delgado, Camerfirma
 
Jornada de Coolhunting y Web 2.0 - Víctor Gil
Jornada de Coolhunting y Web 2.0 - Víctor GilJornada de Coolhunting y Web 2.0 - Víctor Gil
Jornada de Coolhunting y Web 2.0 - Víctor Gil
 
La importancia de la certificación digital de las empresas - Luis María Latas...
La importancia de la certificación digital de las empresas - Luis María Latas...La importancia de la certificación digital de las empresas - Luis María Latas...
La importancia de la certificación digital de las empresas - Luis María Latas...
 
Jornada de Medios de Pago Online - Jordi Pascual, Caixa Catalunya
Jornada de Medios de Pago Online - Jordi Pascual, Caixa CatalunyaJornada de Medios de Pago Online - Jordi Pascual, Caixa Catalunya
Jornada de Medios de Pago Online - Jordi Pascual, Caixa Catalunya
 
Jornada de Medios de Pago Online - Susana Voces, Paypal
Jornada de Medios de Pago Online - Susana Voces, PaypalJornada de Medios de Pago Online - Susana Voces, Paypal
Jornada de Medios de Pago Online - Susana Voces, Paypal
 

Recently uploaded

senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
nathalypaolaacostasu
 
GUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docxGUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docx
AmyKleisinger
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
geuster2
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
Evafabi
 
Hiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptxHiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptx
salazarsilverio074
 
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptxDIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
7500222160
 
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocxCARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
WILIANREATEGUI
 

Recently uploaded (20)

2 Tipo Sociedad comandita por acciones.pptx
2 Tipo Sociedad comandita por acciones.pptx2 Tipo Sociedad comandita por acciones.pptx
2 Tipo Sociedad comandita por acciones.pptx
 
Empresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercadoEmpresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercado
 
Distribuciones de frecuencia cuarto semestre
Distribuciones de frecuencia cuarto semestreDistribuciones de frecuencia cuarto semestre
Distribuciones de frecuencia cuarto semestre
 
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedadesLas sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
 
Correcion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptxCorrecion del libro al medio hay sitio.pptx
Correcion del libro al medio hay sitio.pptx
 
Contabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableContabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contable
 
liderazgo guia.pdf.............................
liderazgo guia.pdf.............................liderazgo guia.pdf.............................
liderazgo guia.pdf.............................
 
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptxsenati-powerpoint_5TOS-_ALUMNOS (1).pptx
senati-powerpoint_5TOS-_ALUMNOS (1).pptx
 
GUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docxGUIA UNIDAD 3 costeo variable fce unc.docx
GUIA UNIDAD 3 costeo variable fce unc.docx
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
 
HIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptx
HIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptxHIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptx
HIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptx
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
 
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
Caja nacional de salud 0&!(&:(_5+:;?)8-!!(
 
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
 
mapa-conceptual-evidencias-de-auditoria_compress.pdf
mapa-conceptual-evidencias-de-auditoria_compress.pdfmapa-conceptual-evidencias-de-auditoria_compress.pdf
mapa-conceptual-evidencias-de-auditoria_compress.pdf
 
Hiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptxHiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptx
 
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptxDIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
 
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocxCARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
CARPETA PEDAGOGICA 2024 ARITA.sadasdasddocx
 
Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdf
 
Analisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la RentaAnalisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la Renta
 

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC

  • 1. Compliance- *[PCI DSS Compliance- Payment Card Industry Data Security Standard] Vanesa Gil Laredo Consultorí Manager Consultoría 26 de Noviembre de 2009
  • 2. Indice S21Sec, Servicios de Seguridad Informática Payment Card Industry Data Security Standard. Objetivos de PCI DSS. Alcance de PCI DSS. Beneficios de PCI DSS. Requerimientos establecidos por PCI DSS. Cumplimiento de PCI DSS. Auditoría PCI DSS.
  • 3. Informá S21sec, Servicios de Seguridad Informática Compañía española únicamente dedicada a la Seguridad Informática. “Misión: Prevenir y gestionar el riesgo de las organizaciones y las personas en la vida digital”. Clientes: Presente en 25 de las compañías del IBEX 35. 20 % del índice europeo Eurostoxx 50. 90 % del sector financiero español. Organismos e instituciones de las Administraciones Públicas. Principales compañías de telecomunicaciones. Compañías de comercio electrónico, utilities y construcción. Las mayores líneas aéreas nacionales y compañías de transporte y logística. Defensa y Fuerzas de Seguridad. Sector sanitario. 8 oficinas en España 3 oficinas internacionales
  • 4. Españ El mayor equipo en España de Seguridad Digital: 200 Gestió Un modelo de Gestión integral de la Seguridad especialistas 24 horas. CIS NUESTRA DIFERENCIA Desde los inicios, apostando por la innovación y el desarrollo de soluciones de vanguardia. Primer centro I+D+i de Europa Y siempre, calidad y certificaciones
  • 5. Payment Card Industry Data Security Standard ¿Qué es el Payment Card Industry Data Security Standard (PCI DSS)? Qué PCI DSS es un estándar que establece un conjunto de medidas, prácticas y herramientas de seguridad que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos con tarjeta. Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago, con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de cuentas bancarias, tarjetas, transacciones y datos de autenticación. El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard Worlwide, American Express, JCB y Discover Financial Services. En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.
  • 6. Objetivos de PCI DSS ¿Cuáles son los principales objetivos de PCI DSS? Cuá El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante tarjetas, promoviendo la existencia de un entorno de pago seguro para la información de tarjetas. PCI DSS ha sido específicamente desarrollado para: Garantizar la protección de la información de titulares de tarjetas. Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de cuentas y tarjetas. Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con tarjetas. Luchar contra la suplantación y otros fraudes que se producen en Internet.
  • 7. Alcance de PCI DSS ¿Quiénes están obligados a cumplir PCI DSS? Quié está Entidades financieras. Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas. Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas. ¿Cuál es el alcance de PCI DSS? Cuá El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten información de tarjetas de crédito o débito. Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se almacena, procesa o transmite. PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas (TPV Físico, TPV Virtual,…)
  • 8. Alcance de PCI DSS ¿Qué se considera información de tarjetas? Qué informació Información relacionada con tarjetas de crédito o débito y sus titulares. Esta información se clasifica en dos categorías: Información de titulares de tarjetas: • Primary Account Number (PAN) • Nombre del titular • Fecha de expiración • Código de Servicio Información sensible de autenticación: • Banda magnética completa • CVC2/CVV2/CID • PIN / PIN Block PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.
  • 9. Beneficios de PCI DSS ¿Cuáles son los principales beneficios derivados de la implantación de PCI DSS? Cuá implantació Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos asociados a un posible compromiso de la información de cuentas o titulares de tarjetas: Impacto financiero. Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca. Costes de investigación y costes legales asociados a un posible compromiso de información. El cumplimiento de PCI DSS permite: Proteger los datos de los clientes. Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos. Salvaguardar la reputación de su marca. Disminuir los riesgos derivados de pérdidas financieras. En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un elemento diferenciador que puede suponer una ventaja competitiva en el mercado.
  • 10. Requerimientos establecidos por PCI DSS El estándar PCI DSS está estructurado en los cuatro niveles que se describen en el siguiente gráfico. El nivel de detalle aumenta a medida que se desciende. Objetivos de Control Requerimientos Principales Requerimientos y Subquerimientos Detallados Procedimientos de Test
  • 11. Requerimientos establecidos por PCI DSS Los Objetivos de Control establecidos en PCI DSS son los que se indican a continuación: A. Creación y mantenimiento de una red segura. B. Protección de los datos almacenados. C. Mantenimiento de un programa de gestión de vulnerabilidades. D. Implantación de medidas de control de acceso. E. Monitorización y revisión periódica de las redes. F. Mantenimiento de una Política de Seguridad de la Información.
  • 12. Requerimientos establecidos por PCI DSS Los Requerimientos establecidos por PCI DSS son los siguientes: Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos. Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por los proveedores. Requerimiento 3: Protección de los datos almacenados. Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas. Requerimiento 5: Empleo y actualización periódica de programas y software antivirus. Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones. Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer. Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema. Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas. Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas. Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos. Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
  • 13. Requerimientos establecidos por PCI DSS Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos. Establecimiento de los estándares de configuración del firewall que incluyan los aspectos exigidos por PCI DSS. Configuración del firewall: Restricción de todo el tráfico de redes o host “no confiables”, restricción de las conexiones entre los servidores públicamente accesibles y los componentes del sistema que almacenen datos del titular de tarjetas, prohibición de acceso público directo entre las redes externas y cualquier componente de red que almacene información sobre el titular de tarjetas,… Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por los proveedores. Modificación de los parámetros y contraseñas establecidos por defecto por el proveedor antes de la instalación de un sistema en la red. Existencia de estándares de configuración para todos los componentes del sistema que consideren las vulnerabilidades de seguridad conocidas y las mejores prácticas de la industria. Cifrado de todos los accesos de administrador que no se realicen a través de consola.
  • 14. Requerimientos establecidos por PCI DSS Requerimiento 3: Protección de los datos almacenados. Mantenimiento del almacenamiento de la información del titular de tarjetas al mínimo. Política de retención y disposición de datos. No almacenamiento de datos de autenticación sensibles después de la autorización. Enmascaramiento del PAN cuando es mostrado (los primeros seis y los últimos cuatro es el máximo número de dígitos que puede ser mostrado). Mantenimiento del PAN ilegible en cualquier lugar donde sea almacenado. Protección de las claves de cifrado utilizadas para el cifrado de información de titulares de tarjetas contra revelación o uso no autorizado. Documentación e implantación de los procedimientos de gestión de las claves utilizadas para el cifrado de información de titulares de tarjetas.
  • 15. Requerimientos establecidos por PCI DSS Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas. Requerimiento 5: Empleo y actualización periódica de programas y software antivirus. Instalación de software antivirus en todos los sistemas comúnmente afectados por virus. Garantía de que todos los mecanismos antivirus están actualizados y activos y permiten generar logs de auditoría. Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones. Desarrollo de software de aplicaciones basado en las mejores prácticas de la industria y consideración de la seguridad de la información a lo largo de todo el ciclo de desarrollo de software. Implantación de procedimientos de control de cambios para todos los cambios en la configuración de sistemas y software. Desarrollo de aplicaciones web basado en directrices de codificación segura. Revisión del código de aplicaciones de clientes para identificar vulnerabilidades de código. Proceso para conocer vulnerabilidades de seguridad recientemente descubiertas. Instalación de parches.
  • 16. Requerimientos establecidos por PCI DSS Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer. Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema. Procedimiento de control de acceso lógico a los sistemas de información. Mecanismos de identificación y autenticación para el acceso al sistema. Identificación de todos los usuarios con un identificador de usuario único. Gestión de contraseñas de acceso a los sistemas. Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas. Control de acceso físico a los sistemas de información Gestión de soportes con datos de tarjetas (etiquetado e inventariado de soportes, distribución de soportes, copias de respaldo,…) Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas. Mantenimiento de registros de acceso a los sistemas incluidos en el alcance de PCI DSS. Registro de determinada información, para cada evento, para todos los componentes del sistema. Securización de los registros de auditoría, de forma que no puedan ser alterados. Revisión de los logs de todos los componentes del sistema al menos diariamente.
  • 17. Requerimientos establecidos por PCI DSS Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos. Realización de escaneos de vulnerabilidades de red internos y externos al menos trimestralmente y después de cualquier cambio significativo en la red. Realización de tests de intrusión al menos una vez al año y después de cualquier cambio o actualización significativo de la infraestructura o las aplicaciones. Empleo de sistemas de detección de intrusos para monitorizar todo el tráfico de red y alertar al personal de cualquier posible compromiso. Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas. Desarrollo, publicación, mantenimiento y distribución de una Política de Seguridad. Desarrollo de procedimientos operativos de seguridad que sean consistentes con los requerimientos establecidos por PCI. Solicitud contractual de que todas las terceras partes con acceso a datos de titulares de tarjetas se adhieran a determinados requerimientos de seguridad. Plan de respuesta ante incidencias.
  • 18. Cumplimiento de PCI DSS Validació Validación de Cumplimiento de PCI DSS. Las propias marcas (Visa, MasterCard,…) son las que establecen los requisitos que se deben cumplir para el proceso de certificación, en función de sus respectivos programas. Las marcas han establecido diferentes niveles de clasificación para los comercios y proveedores de servicios. Las implicaciones y requisitos necesarios para la certificación difieren en función de estos niveles. Implicaciones para las Entidades Financieras. Todos los miembros de Visa o MasterCard deben cumplir con PCI DSS. Son responsables de la seguridad de sus propios sistemas. No se requiere que los miembros emisores o adquirentes validen su cumplimiento, salvo que también actúen como proveedores de servicios. Los bancos adquirentes son los responsables de garantizar: El cumplimiento PCI DSS de sus comercios. El cumplimiento PCI DSS de todos los proveedores de servicios mediante los cuales ellos o sus comercios almacenen, procesen o transmitan información de pagos con tarjeta.
  • 19. Cumplimiento de PCI DSS Implicaciones para los Comercios: Niveles Definidos y Requerimientos de Validación. Requerimientos Validació Los comercios que aceptan pagos con tarjetas se encuentran clasificados en diferentes niveles, en base al volumen de transacciones que realizan anualmente. En función del nivel en el que se encuentre clasificado el comercio, se exigen diferentes requisitos para la validación de cumplimiento. Clasificació Clasificación Descripció Descripción Validació Requerimientos de Validación Cualquier comercio que procese más de 6.000.000 de Auditoría de Seguridad on-site. transacciones VISA o MasterCard por año (independientemente • Realizada por un Qualified Security del canal de aceptación). Assessor (QSA) o bien un auditor interno que cumpla determinados requisitos. Nivel 1 Cualquier comercio que haya sufrido un ataque que haya Escaneos de red trimestrales. resultado en un compromiso de datos de tarjetas en el último • Realizados por un Approved Scanning año. Vendor (ASV). Cualquier comercio identificado por otra marca como Nivel 1. Cualquier comercio que procese entre 1.000.000 y 6.000.000 de Nivel 2 transacciones Visa o MasterCard por año (independientemente Cuestionario de Autoevaluación anual. del canal de aceptación). • Realizado por el propio comercio Escaneos de red trimestrales. Cualquier comercio que procese a través de Internet entre • Realizados por un Approved Scanning Nivel 3 20.000 y 1.000.000 de transacciones VISA o MasterCard por Vendor (ASV). año. Cualquier comercio que procese a través de Internet menos de Cuestionario de Autoevaluación • Realizado por el propio comercio 20.000 transacciones por año. Nivel 4 Escaneos de red trimestrales El resto de comercios que procesen hasta 1.000.000 de • Realizado por un Approved Scanning transacciones VISA o Mastercard por año. Vendor (ASV)
  • 20. Cumplimiento de PCI DSS Definidos Validació Implicaciones para los Proveedores de Servicios: Niveles Definidos y Requerimientos de Validación. Todas las marcas de tarjetas exigen que los proveedores de servicios cumplan con los requerimientos de PCI DSS. Visa y MasterCard clasifican a los proveedores de servicios en función del volumen de transacciones y/o del tipo de proveedor de servicios. Los requerimientos de validación y cumplimiento varían en función de las diferentes marcas de tarjetas. VISA Clasificación Clasificaci n Descripción Descripci n Validación Requerimientos de Validaci n Auditoría de Seguridad on-site Todos los procesadores VisaNet y proveedores de servicios que • Realizada por un Qualified Security almacenen, procesen o transmitan más de 300.000 transacciones Assessor (QSA). Nivel 1 al año. Escaneos de red trimestrales • Realizados por un Approved Scanning Vendor (ASV). Cuestionario de Autoevaluación anual Cualquier proveedor de servicios que almacene, procese o transmita • Realizado por el propio proveedor de servicios. Nivel 2 menos de 300.000 transacciones al año. Escaneos de red trimestrales • Realizados por un Approved Scanning Vendor (ASV).
  • 21. Auditorí Auditoría PCI DSS Los servicios relacionados con la validación de cumplimiento de PCI DSS deben ser realizados por organizaciones homologadas por el PCI Security Standards Council: Qualified Security Assessor Company (QSAC): Auditorías on-site Approved Scanning Vendor (ASV): Escaneos de red trimestrales. Los servicios prestados por S21sec con el fin de ayudar a las organizaciones a garantizar el cumplimiento de PCI DSS son los siguientes: Auditorías anuales on-site. Escaneos de red trimestrales. Evaluación de Cumplimiento PCI DSS. S21sec ha sido la primera empresa española certificada para la prestación de servicios de cumplimiento PCI DSS.
  • 22. Auditorí Auditoría PCI DSS Auditoría Anual On-site. Determinación del alcance de la Auditoría: Sistemas que almacenan, procesan o transmiten datos de tarjetas. Revisión de cumplimiento de los requerimientos establecidos en PCI DSS (en función de los Procedimientos de Test establecidos). Desarrollo del Informe de Auditoría PCI DSS. Propuesta de recomendaciones para subsanar las posibles deficiencias detectadas. Escaneos de Red Trimestrales. Los escaneos de vulnerabilidades pretenden garantizar que los sistemas estén protegidos frente a amenazas externas (como hacking o código malicioso) Las herramientas empleadas buscan vulnerabilidades conocidas en los sistemas incluidos en el alcance de la Auditoría (servidores, equipos de red, aplicaciones,…) Los escaneos se realizan en función de los procedimientos establecidos en PCI DSS.
  • 23. Auditorí Auditoría PCI DSS Requerimientos Procedimiento de Test Valoración Descripción Valoración A. CREACIÓN Y MANTENIMIENTO DE UNA RED SEGURA R1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 1.1 Establecer estándares de 1.1 Obtener y examinar los estándares de configuración del firewall del firewall y configuración del firewall con objeto de el router que incluyan: verificar que los estándares están completos. 1.1.1. Proceso formal para aprobar y 1.1.1 Verificar que los estándares de probar todas las conexiones configuración del firewall incluyen un proceso externas a la red y cambios en formal para la realización de cambios del la configuración del firewall. firewall, incluyendo la prueba y la autorización S de la gestión de todos los cambios a conexiones externas y configuración del firewall. 1.1.2. Diagrama de red actualizado 1.1.2.a Verificar que existe un diagrama de con todas las conexiones a los red actualizado que documenta todas las S datos del titular de tarjetas, conexiones a los datos del titular de la tarjeta, incluyendo las conexiones incluyendo toda conexión de red inalámbrica. inalámbricas. 1.1.2.b. Verificar que el diagrama se mantiene NO actualizado. 1.1.3. Requerimientos para el firewall 1.1.3. Verificar que los estándares de en cada conexión de Internet y configuración del firewall incluyen requisitos entre la DMZ y la Intranet. del firewall para cada conexión a Internet y S entre cualquier DMZ e Internet. Verificar que el diagrama de red actual es consistente con los estándares de configuración del firewall.
  • 24. *[Muchas Gracias] *[Muchas Gracias] Contacto: Vanesa Gil Laredo vgil@s21sec. vgil@s21sec.com Telé Teléfono: 91 661 59 19