El Estndar de Seguridad de Datos de la
- Slides: 26
El Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI DSS)
Perfil de la presentación n ¿Por qué PCI DSS? n Cumplimiento y niveles de validación n Información de titulares de tarjeta n Perspectiva legal n Realizar una auditoría PCI DSS n Reducir los costes mediante la automatización
¿Qué es el Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI DSS)? n PCI DSS es un conjunto de estándares de seguridad redactados por las principales empresas de tarjetas de crédito del mundo, incluyendo VISA y Master. Card, para proteger la información de tarjetas de crédito y débito. n Hasta la fecha, estos requerimientos controlan todos los canales de pago incluyendo al detalle, pedidos por correo, por teléfono y comercio electrónico. n Anteriormente eran diferentes estándares de seguridad de la información, sin embargo han pasado a ser un estándar global.
¿Por qué se necesita PCI DSS? n El robo y el fraude de información de titulares de tarjeta lleva ahí desde mediados de los 80 y esto impulsó a VISA a establecer el primer programa de seguridad. n La reciente brecha de seguridad de TJX por la que al menos 45, 6 millones de números de tarjetas de crédito y débito fueron robados por hackers que penetraron en su red, destaca la imperiosa necesidad de una mayor seguridad. n De acuerdo con Information. Week, los hackers pueden vender la información de tarjetas de crédito robada en el mercado negro a un promedio de 490 USD por cada número de tarjeta con PIN.
PCI Data Security Standard v 1. 1 (1/3) n El marco PCI DSS está dividido en 12 requerimientos de seguridad que se pueden agrupar en tres áreas principales: > > > Recogida y almacenamiento de todos los datos de registros de forma que estén disponibles para análisis Generación de informes sobre toda la actividad para poder probar el cumplimiento en el acto Monitorización y alerta con las cuales los administradores puedan monitorizar constantemente el acceso y uso de información y ser avisados inmediatamente de problemas
PCI Data Security Standard v 1. 1 (2/3) n El marco PCI DSS también consta de seis categorías como sigue: Categorías PCI DSS Construir y mantener una red segura Proteger la información de titulares de tarjeta Mantener un programa de gestión de vulnerabilidad Implementar fuertes medidas de control de acceso Monitorizar y probar regularmente las redes Mantener una directiva de seguridad de la información
PCI Data Security Standard v 1. 1 (3/3) Requerimientos PCI DSS 1. Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta 2. No utilizar las contraseñas ni otros parámetros de seguridad predefinidos por el fabricante 3. Proteger la información almacenada de titulares de tarjeta 4. Encriptar la transmisión de información de titulares de tarjeta por redes abiertas, públicas 5. Utilizar y actualizar regularmente las aplicaciones anti-virus 6. Desarrollar y mantener sistemas y aplicaciones seguras 7. Restringir el acceso a información de titulares de tarjetas según la necesidad de su conocimiento 8. Asignar un ID único a cada persona con acceso a ordenadores 9. Restringir el acceso físico a la información de titulares de tarjeta 10. Rastrear y monitorizar todo acceso a los recursos de red y a la información de titulares de tarjeta 11. Probar regularmente los sistemas y procesos de seguridad 12. Mantener una política que atienda la seguridad de la información de empleados y contratistas
¿Qué es la “información de titulares de tarjeta”? Toda la información de una tarjeta de crédito/débito utilizada en una transacción - pcianswers. com n Elementos de la información de titulares de tarjeta > > > Número Primario de Cuenta (PAN) Nombre del titular Fecha de caducidad 1234 n Información Sensible de Autenticación (SAD) > > > Información de la banda magnética Código de Validación de Tarjeta (CVC) Número de Identificación Personal (PIN) 123
Almacenamiento de información de titulares n PCI DSS proporciona protección de la información de titulares de tarjeta n Se permite almacenar los siguientes datos siempre que estén encriptados, despiezados o truncados: > PAN, Nombre del titular, Fecha de caducidad, Código de Servicio
Flujo habitual de una transacción Ž Œ Œ Ž Un La A El cliente continuación pasarela comercio usa deuna envía pago el banco tarjeta la pasa transacción del de la crédito comercio transacción de para tarjeta examina pagar mediante desus el Intercambio una conexión crédito de Tarjeta compras segura a la de Pasarela con al. Crédito comercio el Banco depara Pago della. Comercio aprobación de la transacción
¿Quién debe acatar PCI DSS? n A partir del 30 de Septiembre de 2007 todos los negocios que manejen información sobre titulares de tarjetas – sin tener en cuenta el tamaño – tienen que cumplir completamente los estrictos estándares de seguridad redactados por las principales empresas de tarjetas de crédito n Esto se aplica a todas las entidades donde la información de titulares sea > > > Almacenada Transmitida Procesada n Todas las entidades descritas como comercios o proveedores de servicios deben cumplirla
Comercios n Entidades que aceptan pagos con tarjetas de crédito n Ejemplos de sectores afectados > > > > Comercio online (p. ej. ebay. com) Al detalle (p. ej. Wal-Mart) Educación Superior (p. ej. Universidades) Salud (p. ej. Hospitales) Viajes y entretenimiento (p. ej. Restaurantes) Energía (p. ej. Estaciones de Servicio) Finanzas (p. ej. Aseguradoras)
Niveles de cumplimiento de comercios NIVELES DE COMERCIO Nivel 1 n Comercios cuya información de titulares de tarjeta ha estado comprometida n Comercios con más de 6 millones de transacciones anuales con tarjeta de crédito Nivel 2 n Comercios con entre 1 y 6 millones de transacciones anuales con tarjeta de crédito Nivel 3 n Comercios con entre 20. 000 y 1 millones de transacciones anuales con tarjeta de crédito Nivel 4 n El resto de comercios
Proveedores de servicio n Entidades que proporcionan servicios a los comercios n Ejemplos de servicios > > > > Pasarelas de pago (p. ej. Pay. Pal) Procesadores de pago Alojamiento de comercio electrónico Proveedores de servicios gestionados Agencias de información de crédito Empresas de gestión de copias de seguridad Empresas de destrucción de papel
Niveles de cumplimiento de proveedor de servicios NIVELES DE PROVEEDOR DE SERVICIOS Nivel 1 n Todos los procesadores o pasarelas de pago Nivel 2 n Proveedores de servicio que no estén en el nivel 1, con más de 1 millón de cuentas/transacciones anuales con tarjeta de crédito Nivel 3 n Proveedores de servicio que no estén en el nivel 1, con menos de 1 millón de cuentas/transacciones anuales con tarjeta de crédito
Procedimientos de cumplimiento PCI DSS Comercio Nivel 1 In situ auditoría de seguridad Auto evaluación questionario Requerido Anualmente Análisis de Red Requerido Trimestralmente Nivel 2 Requerido Anualmente Requerido Trimestralmente Nivel 3 Requerido Anualmente Requerido Trimestralmente Nivel 4 Requerido Anualmente Requerido Trimestralmente Proveedor de Servicios Nivel 1 Requerido Anualmente Requerido Trimestralmente Nivel 2 Requerido Anualmente Requerido Trimestralmente Nivel 3 Requerido Anualmente Requerido Trimestralmente Por: Asesor de Seguridad Cualificado (QSA) Interno Fabricante de Escáner Aprobado (ASV) Entregable: Informe sobre Cumplimiento (ROC) Cuestionario de Auto Evaluación Informe de Análisis
Información de titulares de tarjeta comprometida “Intrusion en sistemas informáticos donde se sospecha la revelación, modificación o destrucción de información de titulares de tarjeta” - glosario PCI DSS n Plan de respuesta a incidencias > Requerimiento 12. 9 n ¿Por qué informar? > Limitar los daños n Canales de información > > > Equipo interno de respuesta a incidencia Asociaciones y adquirentes de tarjetas de crédito Cumplimiento de la ley local n ¿Quién se arriesga?
Consecuencias n Financieras > Puede llevar a sanciones de hasta 500. 000 USD y a caros costes de litigación n Reputación > > Un incidente negativo podría tener un gran impacto en la marca Implicación de agencias de cumplimiento de la ley n Operacional > > Nivel 2, 3 o 4 + comprometido = Nivel 1 Podría llevar a una pérdida potencial de los privilegios de procesamiento de tarjetas
Preparación para el cumplimiento PCI DSS n Familiarícese con los requerimientos PCI DSS n Identifique toda la información de titulares de tarjeta y elimine la información innecesaria n Realice un análisis de desviación de seguridad n Cree un plan de acción y llame a expertos para asesoramiento si es necesario
Costes del cumplimiento PCI DSS Comercio Nivel 1 In situ auditoría de seguridad Auto evaluación cuestionario Req. Anualmente Análisis de Red Req. Trimestralmente Nivel 2 Req. Anualmente Req. Trimestralmente Nivel 3 Req. Anualmente Req. Trimestralmente Nivel 4 Req. Anualmente Req. Trimestralmente Proveedor de Servicios Nivel 1 Req. Anualmente Req. Trimestralmente Nivel 2 Req. Anualmente Req. Trimestralmente Nivel 3 Req. Anualmente Req. Trimestralmente Por: Asesor de Seguridad Cualificado (QSA) Interno Fabricante de Escáner Aprobado (ASV) Entregable: Informe sobre Cumplimiento (ROC) Auto Evaluación Cuestionario Informe de Análisis
Inquietudes n Mantener sistemas y aplicaciones seguras > > > Auditar su red Buscar vulnerabilidades Implantar parches/service packs n Monitorizar la red > > > Registrar la actividad de usuarios Registrar el acceso a la información de titulares de tarjeta Avisar de sucesos importantes n Proporcionar evidencia documentada > > > Mantener sistemas seguros Monitorizar la actividad Tomar acciones correctoras
Automatización mediante software Reduce drásticamente las tareas manuales, repetitivas: n Auditorías de red n Gestión de vulnerabilidad n Monitorización de la actividad n Alertas en tiempo real n Acciones correctoras n Generación de informes
PCI DSS y los productos de seguridad de red GFI Requerimientos PCI DSS GFI Events. Manager LANguard N. S. S. 1. Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta n n 2. No utilizar las contraseñas ni otros parámetros de seguridad predefinidos por el fabricante n n 3. Proteger la información almacenada de titulares de tarjeta n 4. Encriptar la transmisión de información de titulares de tarjeta por redes abiertas, públicas 5. Utilizar y actualizar regularmente las aplicaciones anti-virus n 6. Desarrollar y mantener sistemas y aplicaciones seguras n 7. Restringir el acceso a información de titulares de tarjetas según la necesidad de su conocimiento n 8. Asignar un ID único a cada persona con acceso a ordenadores n n 9. Restringir el acceso físico a la información de titulares de tarjeta 10. Rastrear y monitorizar todo acceso a los recursos de red y a la información de titulares de tarjeta n n 11. Probar regularmente los sistemas y procesos de seguridad n n 12. Mantener una política que atienda la seguridad de la información de empleados y contratistas
ROI y beneficios para el negocio n Automatización > > > Reduzca las tareas manuales y repetitivas Reduzca la carga del administrador Active acciones correctoras proactivas n Protección > > > Complemente su directiva de seguridad Avísese de potenciales amenazas de seguridad Proporciónese tranquilidad n Ahorros > > > Sin sanciones PCI DSS Sin cuotas de consultoría externa Continuidad del negocio
Conclusión n Como las empresas están constantemente en riesgo de perder datos sensibles de titulares de tarjetas, que podrían suponer multas, acciones legales y mala publicidad, conseguir el cumplimiento de la PCI DSS debe ser una prioridad para las empresas que almacenan, transmiten o procesan datos de tarjetas de crédito n El cumplimiento PCI DSS necesita conseguirse para Septiembre de 2007 – esta es la fecha tope presentada por las empresas de tarjetas de crédito. n GFI Software ofrece a dichos negocios dos productos, GFI Events. Manager y GFI LANguard Network Security Scanner (N. S. S. ) para ayudarlos en su camino al cumplimiento
Visión empresarial n Fundada en 1992 n Más de 200 empleados en todo el mundo n Oficinas en Malta, Londres, Raleigh, Hong Kong y Adelaide n Productos GFI instalados en más de 200. 000 redes por todo el mundo, la mayoría Pymes n Empresa enfocada al canal con más de 10. 000 partners en todo el mundo n La visión Llegar a ser la tecnología preferida para soluciones de seguridad y productividad en TI. n La misión Proporcionar soluciones de calidad y eficaces en seguridad de contenido, seguridad de red y mensajería para los profesionales de TI de todo el mundo.
Datos subjetivos y objetivos enfermeria
Pangunahing datos
Conclusiones de inspecciones de seguridad
Plan integral de seguridad en edificios
Empresa de seguridad atlas
Qali warma
Encuesta de convivencia y seguridad ciudadana
Conclusión de la seguridad social en venezuela
Ines informe de estado de la seguridad
5 puntos de seguridad
Importancia de seguridad social
Cte cimientos
Seguridad ciudadana ejemplos
Lista de alimentos con calcio
Respuesta
Pilares de la seguridad alimentaria
Seguridad alimentaria
Nmap que es
Garantias de seguridad juridica
Resbalones tropiezos y caidas charla de seguridad
Instrumento andino
Firmas digitales seguridad informatica
Sistema general de seguridad y salud en el trabajo
Ciclo de seguridad stop
Norma iram 3620
Estandares de seguridad informatica
7 reglas de oro seguridad
