Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones"

Transcripción

1 Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

2 Descripción general El requisito 6.6 de PCI DSS brinda dos opciones que tienen como objetivo abordar las amenazas comunes para los datos de los titulares de tarjetas de crédito y garantizar que la entrada que reciben las aplicaciones web de entornos que no son seguros sea inspeccionada de arriba abajo. Los detalles de cómo cumplir este requisito variarán según la implementación específica de una aplicación en particular. Los análisis forenses sobre los riesgos de los datos de titulares de tarjetas de crédito han demostrado que las aplicaciones web son, con frecuencia, el punto inicial de ataque contra los datos de titulares de tarjetas de crédito, principalmente mediante la inyección SQL. El objetivo del requisito 6.6 es garantizar que las aplicaciones web expuestas a la Internet pública estén protegidas contra los tipos más comunes de entrada maliciosa. Existe una gran cantidad de información pública disponible sobre las vulnerabilidades de las aplicaciones web. Las mínimas vulnerabilidades que deben considerarse están descritas en el requisito 6.5. (Consulte la sección Referencias para obtener otras fuentes de información sobre las pruebas de aplicaciones web). La correcta implementación de ambas opciones proporcionaría la mejor defensa de múltiples capas. Las normas PCI SSC reconocen que el costo y la complejidad operativa que implica la implementación de las dos opciones quizá no sean factibles. Además, tanto una opción como la otra tal vez no sean posibles en algunas situaciones (por ejemplo, si no se puede acceder al código fuente). Sin embargo, debe ser posible aplicar, por lo menos, una de las alternativas descritas en este documento, y la correcta implementación puede satisfacer el objetivo del requisito. Este documento brinda orientación para ayudarlo a determinar cuál es la mejor opción, que puede variar según los productos que se utilicen, cómo una organización adquiere o desarrolla sus aplicaciones web y otros factores en el entorno. Opción 1 del requisito 6.6: revisiones de códigos de aplicaciones La opción de revisión del código de aplicaciones no requiere necesariamente una revisión manual del código fuente. Si se tiene en cuenta que el objetivo del requisito 6.6 es evitar la explotación de vulnerabilidades comunes (como aquellas mencionadas en el requisito 6.5), se podrán considerar varias soluciones posibles. Estas son dinámicas y anticipadas, lo que requiere el inicio específico de un proceso manual o automático. Si se implementan correctamente, una o más de estas cuatro alternativas pueden cumplir el objetivo de la opción 1 y proporcionar el mínimo nivel de protección contra las amenazas típicas para las aplicaciones web: 1. Revisión manual del código fuente de las aplicaciones. 2. Uso correcto de herramientas automatizadas de análisis del código fuente de las aplicaciones (herramientas de escaneo). 3. Evaluación manual de vulnerabilidades de la seguridad de las aplicaciones web. 2

3 4. Uso correcto de herramientas automatizadas de evaluación de vulnerabilidades de la seguridad de las aplicaciones web (herramientas de escaneo). Todo esto debe estar diseñado para probar la presencia de vulnerabilidades en aplicaciones web, como se indicó anteriormente en Descripción general. Tenga en cuenta que una evaluación de vulnerabilidades simplemente identifica y notifica las vulnerabilidades, mientras que una prueba de penetración intenta explotar las vulnerabilidades para determinar la posibilidad de que ocurra un acceso no autorizado u otra actividad maliciosa. Las evaluaciones o revisiones manuales deben ser llevadas a cabo por un recurso interno calificado o por un tercero calificado. En cualquier caso, el/los individuo/s debe/n contar con las habilidades y la experiencia adecuadas para comprender el código fuente y/o la aplicación web, saber cómo evaluar las vulnerabilidades de cada uno y entender las conclusiones. De igual modo, los individuos que utilicen herramientas automatizadas deben contar con las habilidades y el conocimiento necesarios para configurar correctamente la herramienta y el entorno de prueba, utilizar la herramienta y evaluar los resultados. Si se utilizan recursos internos, deben estar separados, desde el punto de vista organizativo, de la administración de la aplicación que se está evaluando. Por ejemplo, el equipo que escribe el software no debe realizar la revisión o la evaluación finales ni verificar si el código es seguro. Existen varias formas de realizar la revisión de un código o la evaluación de una aplicación que proporcionarían el mismo nivel de protección (o uno mejor) que el proporcionado por el firewall de una aplicación (discutido abajo, en la opción 2). Dos ejemplos que pueden cumplir el objetivo de la primera opción son los siguientes: 1. Una organización que cuente, como parte del ciclo de vida de desarrollo del software (SDLC), con un proceso por medio del cual se le realice una revisión de seguridad independiente al código fuente de una aplicación web. La revisión de seguridad debe consistir en examinar aplicaciones para detectar si cuentan con controles que se ocupen de las típicas vulnerabilidades de las aplicaciones web. Estas revisiones de códigos pueden implementarse como procesos manuales o automáticos. 2. Uso de un proceso manual o de herramientas especializadas para probar la presencia de vulnerabilidades y defectos expuestos en una aplicación web que se está ejecutando. Este enfoque implica la creación de entrada maliciosa o no estándar y el envío de esta a la aplicación para simular un ataque. Las respuestas a esas entradas se examinan para determinar si la aplicación puede ser vulnerable ante ciertos ataques. Las revisiones o evaluaciones deben incorporarse en el SDLC y deben realizarse antes de que la aplicación sea implementada en el entorno de producción. El SDLC debe proteger constantemente la información, de acuerdo con el requisito 6.3. Los procesos de control de cambios deben garantizar que los desarrolladores de software no puedan omitir el paso de evaluación de aplicaciones o revisión de códigos ni implementar nuevo software directamente en el entorno de producción. Los procesos de control de cambios 3

4 también deben exigir la corrección y la reevaluación de las vulnerabilidades antes de la implementación. Si bien la aprobación final de los resultados del análisis o de la revisión debe ser realizada por una organización independiente, se recomienda que las revisiones y los análisis también sean realizados lo antes posible en el proceso de desarrollo. Las herramientas deben ponerse a disposición de los desarrolladores de software y deben integrarse en su paquete de desarrollo de la forma más práctica posible. Los proveedores pueden reunir las capacidades de evaluación de vulnerabilidades o análisis de códigos en productos que tienen otros objetivos, como la validación del cumplimiento de las mejores prácticas de arquitectura relacionadas con un idioma específico. Al evaluar estas herramientas, es importante confirmar la capacidad que tienen para probar las vulnerabilidades habituales de las aplicaciones web antes de suponer que se pueden utilizar para cumplir el objetivo del requisito 6.6. Además, para hacer frente a amenazas nuevas y emergentes, las herramientas deben tener la capacidad de incorporar nuevas normas de análisis. Las personas que llevan a cabo las revisiones o evaluaciones manuales deben estar al tanto de las tendencias del sector, con el fin de garantizar que sus habilidades de prueba o evaluación sigan siendo efectivas para hacer frente a nuevas vulnerabilidades. Opción 2 del requisito 6.6: firewalls de aplicaciones En el contexto del requisito 6.6, un firewall de aplicaciones es un Firewall de Aplicaciones Web (WAF), que es un punto de aplicación de políticas de seguridad colocado entre una aplicación web y el punto final del cliente. Esta funcionalidad se puede implementar en un software o un hardware que se ejecuta en un dispositivo o en un servidor típico que ejecuta un sistema operativo habitual. Puede ser un dispositivo independiente o un dispositivo integrado en otros componentes de la red. Los firewalls de red habituales se implementan en el perímetro de la red o entre segmentos de la red (zonas) y constituyen la primera línea de defensa contra muchos tipos de ataques. Sin embargo, estos deben permitir que los mensajes lleguen a las aplicaciones web que una organización escoge para exponer a la Internet pública. Los firewalls de red, por lo general, no están diseñados para inspeccionar ni evaluar las partes de un mensaje del Protocolo de Internet (IP) (paquete) utilizado por aplicaciones web ni para reaccionar ante ellas; por lo tanto, las aplicaciones públicas reciben con frecuencia entrada que no ha sido inspeccionada. Como resultado, se crea un nuevo perímetro de seguridad lógico, la misma aplicación web, y las mejores prácticas de seguridad exigen que los mensajes sean inspeccionados cuando pasan de un entorno no seguro a un entorno seguro. Existen muchos ataques conocidos contra aplicaciones web y, como todos sabemos, las aplicaciones web no siempre están diseñadas ni escritas para defenderse contra estos ataques. Además, el hecho de que estas aplicaciones estén disponibles para prácticamente cualquier persona que tenga una conexión a Internet intensifica el riesgo. 4

5 Los WAF están diseñados para inspeccionar el contenido de la capa de aplicación de un paquete IP y el contenido de cualquier otra capa que pueda ser utilizada para atacar a una aplicación web. No obstante, debe observarse que el requisito 6.6 no tiene como finalidad implementar controles redundantes. El contenido del paquete IP inspeccionado adecuadamente (es decir, proporcionando protección equivalente) por firewalls de red, servidores proxy u otros componentes no tiene que volver a ser inspeccionado por un WAF. La estructura de un paquete IP sigue un modelo en capas, donde cada capa contiene información definida que es puesta en práctica por componentes o nodos de red específicos (físicos o basados en software) que permiten el flujo de información a través de Internet o intranet. La capa que contiene el contenido procesado por la aplicación se denomina capa de aplicación. La tecnología WAF se integra cada vez con más frecuencia en soluciones que incluyen otras funciones, como filtrado de paquetes, uso de proxy, terminación SSL, balanceo de carga, captura de objetos, etc. Estos dispositivos se comercializan de diversas maneras como firewalls, puertas de enlace de aplicaciones, sistema de entrega de aplicaciones, proxy de seguridad o con alguna otra descripción. Es importante comprender plenamente las capacidades de inspección de datos de dicho producto a fin de determinar si puede satisfacer el objetivo del requisito 6.6. Tenga en cuenta que el cumplimiento no está garantizado con solo implementar un producto con las capacidades descritas en este documento. La ubicación, la configuración, la administración y la monitorización adecuadas también son aspectos clave de una solución que cumple los requisitos. La implementación de un WAF es una opción para cumplir el requisito 6.6, pero no elimina la necesidad de realizar un proceso seguro de desarrollo de software (requisito 6.3). 5

6 Capacidades recomendadas Un firewall de aplicaciones web debe: Cumplir todos los requisitos aplicables de PCI DSS relacionados con los componentes del sistema en el entorno de datos de titulares de tarjetas de crédito. Reaccionar de forma adecuada (según normas o políticas activas) ante amenazas contra las vulnerabilidades pertinentes identificadas, como mínimo, en el OWASP Top Ten y/o el requisito 6.5 de PCI DSS. Inspeccionar la entrada de aplicaciones web y responder (permitir, bloquear y/o alertar) según normas o políticas activas, y registrar medidas adoptadas. Evitar la fuga de datos, lo que implica tener la capacidad de inspeccionar la salida de aplicaciones web y responder (permitir, bloquear, ocultar y/o alertar) según normas o políticas activas, y registrar medidas adoptadas. Aplicar modelos de seguridad, tanto positivos como negativos. El modelo positivo ( lista blanca ) define comportamientos, entradas, rangos de datos, etc. aceptables y permitidos, y rechaza todo lo demás. El modelo negativo ( lista negra ) define aquello que NO está permitido; los mensajes que coincidan con esas firmas serán bloqueados y el tráfico que no coincida con las firmas (no incluidas en la lista negra ) será permitido. Inspeccionar el contenido de páginas web, como el Lenguaje de Marcado de Hipertexto (HTML), el HTML Dinámico (DHTML) y las Hojas de Estilo en Cascada (CSS), y los protocolos subyacentes que entregan contenido, como el Protocolo de Transferencia de Hipertexto (HTTP) y el Protocolo de Transferencia de Hipertexto sobre SSL (HTTPS). (Además del SSL, el HTTPS incluye el Protocolo de Transferencia de Hipertexto sobre TLS). Inspeccionar los mensajes de servicios web, si estos servicios web están expuestos a la Internet pública. Generalmente, esto incluirá el Protocolo Simple de Acceso a Objetos (SOAP) y el Lenguaje Extensible de Marcas (XML), tanto los modelos orientados a RPC como los orientados a documentos, además del HTTP. Inspeccionar cualquier protocolo (propietario o estándar) o construcción de datos (propietaria o estándar) que se utilice para transferir datos hacia una aplicación web, o desde ella, cuando dichos protocolos o datos no son inspeccionados en otro punto en el flujo del mensaje. Nota: Los protocolos propietarios presentan desafíos para los productos actuales de firewall de aplicaciones, de modo que pueden requerirse cambios personalizados. Si los mensajes de una aplicación no siguen los protocolos ni las construcciones de datos estándares, quizá no sea razonable solicitar que el firewall de una aplicación inspeccione ese flujo específico del mensaje. En estos casos, la implementación de la opción de evaluación de vulnerabilidades y revisión de códigos del requisito 6.6 probablemente sea la mejor alternativa. Brindar protección contra amenazas para el mismo WAF. 6

7 Admitir la terminación SSL y/o TLS, o ubicarse de tal modo que las transmisiones cifradas sean descifradas antes de que el WAF las inspeccione. Los flujos de datos cifrados no pueden inspeccionarse, salvo que el SSL sea terminado antes que el motor de inspección. Capacidades adicionales recomendadas para determinados entornos Evitar y/o detectar la alteración de los tokens de sesiones, por ejemplo, al cifrar cookies de sesiones, campos ocultos de formularios u otros elementos de datos utilizados para el mantenimiento del estado de sesiones. Recibir y aplicar automáticamente actualizaciones dinámicas de firmas de un proveedor u otra fuente. Ante la ausencia de esta capacidad, se debe contar con procedimientos para garantizar la actualización frecuente de las firmas u otros parámetros de configuración del WAF. Apertura en caso de error (un dispositivo que ha fallado permite el ingreso de tráfico sin inspección) o Cierre en caso de error (un dispositivo que ha fallado bloquea todo el tráfico), según la política activa. Nota: La decisión de permitir que un WAF quede abierto en caso de error debe evaluarse cuidadosamente en cuanto al riesgo que implica la exposición de aplicaciones web sin protección a la Internet pública. El modo Omisión, en el cual no se realiza ningún tipo de modificación al tráfico que lo atraviesa, puede ser aplicable en algunas circunstancias. (Incluso en el modo Apertura en caso de error, algunos WAF agregan encabezados de seguimiento, limpian los HTML de los cuales consideran que no cumplen las normas o realizan otras acciones. Esto puede tener una consecuencia negativa cuando se intente solucionar problemas). En determinados entornos, el WAF debe admitir los certificados SSL del cliente y realizar la autenticación del cliente mediante certificados utilizando un proxy. Muchas aplicaciones web modernas utilizan certificados SSL de clientes para identificar usuarios finales. Sin esta capacidad, estas aplicaciones no pueden alojarse detrás del firewall de una aplicación. Muchos firewalls modernos de aplicaciones se integrarán con el Protocolo Ligero de Acceso a Directorios (LDAP) o con directorios de otros usuarios, e incluso podrán realizar la autenticación inicial en nombre de la aplicación subyacente. Algunas aplicaciones de comercio electrónico pueden requerir el uso de un depósito de claves de hardware FIPS. Si esto se aplica a su entorno, asegúrese de que el proveedor del WAF cuente con este requisito en uno de sus sistemas, y tenga en cuenta que esta característica puede aumentar significativamente el costo de la solución. Consideraciones adicionales Si bien los WAF pueden brindar protección contra muchas amenazas de seguridad, también pueden exponer problemas técnicos dentro de una infraestructura. Asegúrese 7

8 de tener cuidado con los siguientes problemas que pueden dificultar la implementación satisfactoria: Los sitios que dependen de encabezados, URL o cookies atípicos pueden requerir un ajuste especial. Los WAF, con frecuencia, aplican ajustes máximos para estos componentes. Además, las firmas que buscan pueden filtrar cadenas específicas consideradas como puntos vulnerables que, en realidad, pueden ser perfectamente válidas para una aplicación específica. El contenido que no cumple los RFC del HTML/HTTP o es atípico también puede ser bloqueado si no se ajustan los filtros predeterminados. Esto puede incluir cualquier cosa, desde cargas de archivos demasiado grandes hasta contenido enviado en lenguajes o conjuntos de caracteres externos. DHTML, JavaScript Asíncrono y XML (AJAX), y otras tecnologías dinámicas pueden requerir consideración, pruebas y ajustes especiales. Algunas veces, estas aplicaciones suponen que tienen acceso a un sitio web que es percibido como malicioso por un WAF. Las aplicaciones que requieren información sobre la sesión de red subyacente, como la dirección IP del cliente, pueden requerir modificación si el WAF actúa como un proxy inverso. Generalmente, estos WAF colocarán la información del cliente en un encabezado HTTP tal vez no esperado por las aplicaciones existentes. Consideraciones importantes Las revisiones de códigos y las evaluaciones de vulnerabilidades de las aplicaciones descritas en este documento deben realizarse antes de que la aplicación sea implementada en el entorno de producción. Si se considera el uso de un WAF en modo Apertura en caso de error o modo Omisión, se deben establecer procedimientos y criterios específicos que definan el uso de estos modos de mayor riesgo antes de la implementación. Las aplicaciones web no están protegidas mientras estos modos están activos, por lo que no se recomienda su uso por períodos largos. Se debe evaluar el impacto de los cambios en el firewall de aplicaciones web para determinar el posible impacto en aplicaciones web relevantes, y viceversa. Se deben comunicar el tiempo y el alcance de los cambios de producción en el firewall de las aplicaciones web a todas las partes afectadas de la organización. Es necesario adherirse a todas las políticas y todos los procedimientos, incluidos el control de cambios, la continuidad de la actividad empresarial y la recuperación después de un desastre. Los cambios en el entorno de producción deben realizarse durante el período de mantenimiento monitorizado. Fuentes adicionales de información Esta lista se proporciona como punto de partida para obtener más información sobre la seguridad de las aplicaciones web. 8

9 OWASP Top Ten Referencia de medidas preventivas de OWASP Preguntas más frecuentes sobre la seguridad de aplicaciones de OWASP Build Security In (Departamento de Seguridad Nacional, División Nacional de Seguridad Cibernética [NCSD]) Analizadores de vulnerabilidades de aplicaciones web (Instituto Nacional de Estándares y Tecnología [NIST]) Criterios de evaluación de firewalls de aplicaciones web (Consorcio de Seguridad de Aplicaciones Web [WASC]) Acerca del PCI Security Standards Council (Consejo sobre Normas de Seguridad de la Industria de Tarjetas de Pago) El objetivo del PCI Security Standards Council es mejorar la seguridad de las cuentas de pago impulsando la educación y la concienciación sobre las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago y otras normas que aumentan la seguridad de los datos de pago. El PCI Security Standards Council fue creado por las principales marcas de tarjetas de pago, American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc., con el fin de proporcionar un foro transparente en el cual todas las partes interesadas pudieran proporcionar información sobre el desarrollo, la mejora y la difusión continuos de las Normas de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS), los requisitos de seguridad para los Dispositivos de Entrada de PIN (PED) y las Normas de Seguridad de Datos para las Aplicaciones de Pago (PA-DSS). Los comerciantes, los bancos, los procesadores y los proveedores de puntos de venta son alentados a asociarse como organizaciones participantes. 9

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy Diplomado Desarrollo de Aplicaciones para Internet Ingeniero Germán A. Chavarro F., M.Sc Pontificia Universidad Javeriana Julio 2004 Qué

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados

Más detalles

PCI Day Today PCI DSS. WebSphere DataPower. 2008 IBM Corporation

PCI Day Today PCI DSS. WebSphere DataPower. 2008 IBM Corporation PCI DSS WebSphere DataPower AGENDA Necesidades DataPower y PCI Demo Línea de productos LO QUE BUSCAN LOS EJECUTIVOS Flexibilidad crecer mas rápido Eficacia gastar menos Capacidad de Reacción aumentar la

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) rmas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas

Más detalles

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara 12º Unidad Didáctica Microsoft Internet Security and Acceleration Server ISA SERVER 2006 Eduard Lara 1 ISA SERVER Es un firewall de stateful packet inspection (analiza el encabezado de los paquetes IP)

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Requerimiento Tecnológico para acceso a Sistemas del SIAF

Requerimiento Tecnológico para acceso a Sistemas del SIAF Requerimiento Tecnológico para acceso a Sistemas del SIAF Lineamientos de infraestructura tecnológica para la operación de Sistemas Financieros Ver. 3.0 Guatemala, Diciembre de 2008 PAG. 1/7 INDICE ANTECEDENTES...3

Más detalles

Sage CRM. 7.2 Guía de autoservicio

Sage CRM. 7.2 Guía de autoservicio Sage CRM 7.2 Guía de autoservicio Copyright 2013 Sage Technologies Limited, editor de este trabajo. Todos los derechos reservados. Quedan prohibidos la copia, el fotocopiado, la reproducción, la traducción,

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Para entornos con más de un equipo conectados en red es necesario que el programa de firewall conceda paso a los servicios de Microsoft SQL Server.

Para entornos con más de un equipo conectados en red es necesario que el programa de firewall conceda paso a los servicios de Microsoft SQL Server. ET-SEGURIDAD SQL INSTRUCCIONES DE USO IMPORTANTE Este software puede ser bloqueado por software antivirus. Asegúrese de añadir la excepción correspondiente si fuese necesario. Se recomienda deshabilitar

Más detalles

A continuación, se establece la política del WCEPS en relación con la recopilación y el uso de su información a través de este Sitio web.

A continuación, se establece la política del WCEPS en relación con la recopilación y el uso de su información a través de este Sitio web. Política de privacidad Última actualización: 14 de octubre de 2013 El Centro para Productos y Servicios Educativos de Wisconsin (Wisconsin Center for Education Products and Services, WCEPS ) comercializa

Más detalles

Versión 1.0 Enero de 2011. Xerox Phaser 3635MFP Extensible Interface Platform

Versión 1.0 Enero de 2011. Xerox Phaser 3635MFP Extensible Interface Platform Versión 1.0 Enero de 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX y XEROX and Design son marcas comerciales de Xerox Corporation en los Estados Unidos y/o en otros países. Se realizan cambios

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

Distribución y Ventas Globales de IBM Guía de habilitación del cliente

Distribución y Ventas Globales de IBM Guía de habilitación del cliente Distribución y Ventas Globales de IBM Guía de habilitación del cliente Guía para efectuar transacciones electrónicas con IBM 1.0 Acerca de esta guía 3 2.0 Mejores prácticas para un proyecto exitoso 3 2.1

Más detalles

Cómo impedir la entrada a la red a través de vulnerabilidades en las aplicaciones

Cómo impedir la entrada a la red a través de vulnerabilidades en las aplicaciones Cómo impedir la entrada a la red a través de vulnerabilidades en las aplicaciones Protección de servidores web y Angelo Comazzetto, director ejecutivo de productos de seguridad para redes Las nuevas técnicas

Más detalles

NEXT GENERATION FIREWALL

NEXT GENERATION FIREWALL NEXT GENERATION FIREWALL Los modelos NG1000-A y NG5000-A han sido diseñados para proteger servidores de comercio electrónico de alto tráfico, redes universitarias dinámicas o cualquier otro entorno en

Más detalles

We Care For Your Business Security

We Care For Your Business Security We Care For Your Business Security Warriors Defender Firewall es una sólida solución de cortafuego y control, fácil de utilizar y económica para empresas de cualquier tamaño. Warriors Defender Firewall

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas

Más detalles

La Evolución de la Seguridad en Aplicaciones de Pago

La Evolución de la Seguridad en Aplicaciones de Pago La Evolución de la Seguridad en Aplicaciones de Pago 1 Agenda Objetivo Antecedentes Casos Famosos Consecuencia de una compromiso Aplicaciones de Pago y su evolución Mejores Practicas en desarrollo seguro

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Descripción de servicio. Firewall en Red de Nueva Generación

Descripción de servicio. Firewall en Red de Nueva Generación Descripción de servicio. Firewall en Red de Nueva Generación Interoute, Walbrook Building, 195 Marsh Wall, London, E14 9SG, UK Tel: +800 4683 7681 Email: info@interoute.com 1 Introducción Este documento

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red Configuración del acceso a Internet en una red Contenido Descripción general 1 Opciones para conectar una red a Internet 2 Configuración del acceso a Internet utilizando un router 12 Configuración del

Más detalles

Experiencia 5 : Firewall

Experiencia 5 : Firewall Experiencia 5 : Firewall 1 Material para utilizar: Cable de red (patch cord) construído en el laboratorio. Switch Cisco, modelo Catalyst 2912XL Router Cisco, modelo 2600 PC con FreeBSD 2 Firewalls 2.1

Más detalles

TEMA: DESARROLLO DE APLICACIONES WEB INTERACTIVAS UTILIZANDO LA TÉCNICA AJAX AUTOR: MERY SUSANA ZAMBONINO BAUTISTA

TEMA: DESARROLLO DE APLICACIONES WEB INTERACTIVAS UTILIZANDO LA TÉCNICA AJAX AUTOR: MERY SUSANA ZAMBONINO BAUTISTA TEMA: DESARROLLO DE APLICACIONES WEB INTERACTIVAS UTILIZANDO LA TÉCNICA AJAX AUTOR: MERY SUSANA ZAMBONINO BAUTISTA AREA DEL TEMA: INGENIERÍA DE SOFTWARE OBJETIVO GENERAL Desarrollar aplicaciones web utilizando

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

TPV Virtual Santander Elavon 3D Secure. Información general del servicio

TPV Virtual Santander Elavon 3D Secure. Información general del servicio TPV Virtual Santander Elavon 3D Secure Información general del servicio Servicio de autentificación del pagador Qué es la autentificación del pagador? Cuando se vende a través de Internet y se aceptan

Más detalles

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10

Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top 10 Principales riesgos de seguridad en aplicaciones móviles OWASP Mobile Top Mauro Flores mauflores@deloitte.com mauro_fcib UySeg Modelo de Amenazas (Threat Model) Mobile Top La Lista 1 Almacenamiento Inseguro

Más detalles

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Industria de Tarjetas de Pago (PCI) rma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Versión Descripción

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

El iphone en la empresa Guía de configuración para usuarios

El iphone en la empresa Guía de configuración para usuarios El iphone en la empresa Guía de configuración para usuarios El iphone está listo para los negocios. Es compatible con Exchange ActiveSync de Microsoft y admite servicios basados en estándares, por lo que

Más detalles

etpv Deutsche Bank Guía descripción

etpv Deutsche Bank Guía descripción etpv Deutsche Bank Guía descripción Versión: 2.1 Índice Descripción del etpv de Deutsche Bank 3 Funcionalidades del servicio 4 Características técnicas 5 Tarjetas aceptadas 5 Condiciones comerciales 6

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Q-expeditive Publicación vía Internet

Q-expeditive Publicación vía Internet How to Q-expeditive Publicación vía Internet Versión: 2.0 Fecha de publicación 11-04-2011 Aplica a: Q-expeditive 3 Índice Introducción... 3 Publicación de servicios... 3 Ciudadanos... 3 Terminales de auto

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

Mondopad v1.8. Inicio rápido 009-1488-00

Mondopad v1.8. Inicio rápido 009-1488-00 Mondopad v1.8 Inicio rápido 009-1488-00 Contenido Configuración del equipo... 3 Proceso de configuración y registro de Windows... 3 Configuración de Microsoft Windows... 3 Registro del software de Mondopad...

Más detalles

qué es comercio electrónico?

qué es comercio electrónico? Clientes qué es comercio electrónico? Es la solución que BANORTE le ofrece para que pueda recibir pagos en línea a través de Internet Tiene un negocio en Internet y no sabe como recibir pagos en línea?,

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

Evaluar el rendimiento de los servicios de comunicaciones. ANEXO CLIV

Evaluar el rendimiento de los servicios de comunicaciones. ANEXO CLIV 746 Miércoles 5 octubre 2005 Suplemento del BOE núm. 238 CE2.1 Identificar los distintos sistemas de archivo utilizables en un dispositivo de almacenamiento dado para optimizar los procesos de registro

Más detalles

(Actos no legislativos) REGLAMENTOS

(Actos no legislativos) REGLAMENTOS 18.11.2011 Diario Oficial de la Unión Europea L 301/3 II (Actos no legislativos) REGLAMENTOS REGLAMENTO DE EJECUCIÓN (UE) N o 1179/2011 DE LA COMISIÓN de 17 de noviembre de 2011 por el que se establecen

Más detalles

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Descripción general de la solución Cisco Advanced Malware Protection Prevención y detección de violaciones, respuesta y corrección para el mundo real El malware avanzado de la actualidad es sigiloso, persistente

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos TRITON AP-ENDPOINT Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos La fuga de datos puede tener consecuencias devastadoras, desde una reputación dañada hasta

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de 2008 1.2 Alinear

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

Tableau Online Seguridad en la nube

Tableau Online Seguridad en la nube Tableau Online Seguridad en la nube Autor: Ellie Fields Directora sénior, marketing de productos, Tableau Software Junio de 2013 p2 Tableau Software comprende que los datos están dentro de los recursos

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

ANEXO I. Módulo profesional. Lengua extranjera

ANEXO I. Módulo profesional. Lengua extranjera ANEXO I Módulo profesional. Lengua extranjera CAPACIDADES TERMINALES CRITERIOS DE EVALUACIÓN Comunicarse oralmente con un interlocutor en A partir de una conversación telefónica simulada: lengua extranjera

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

McAfee Web Gateway 7.4.0

McAfee Web Gateway 7.4.0 Notas de la versión Revisión A McAfee Web Gateway 7.4.0 Contenido Acerca de esta versión Nuevas funciones y mejoras Problemas resueltos Instrucciones de instalación Problemas conocidos Documentación del

Más detalles

La Seguridad de la Web es un Problema? La Respuesta está en la Arquitectura. Copyright 2015 Blue Coat Systems, Inc. Reservados todos los derechos.

La Seguridad de la Web es un Problema? La Respuesta está en la Arquitectura. Copyright 2015 Blue Coat Systems, Inc. Reservados todos los derechos. La Seguridad de la Web es un Problema? La Respuesta está en la Arquitectura Copyright 2015 Blue Coat Systems, Inc. Reservados todos los derechos. 1 Presentada por: Andrés García Director de Ingeniería

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015)

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015) AVG File Server Manual del usuario Revisión del documento 2015.08 (22.09.2015) C opyright AVG Technologies C Z, s.r.o. Reservados todos los derechos. El resto de marcas comerciales son propiedad de sus

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

Verificación de usuario integrada Guía de implementación del Cliente 2015-05-04 Confidencial Versión 2.9

Verificación de usuario integrada Guía de implementación del Cliente 2015-05-04 Confidencial Versión 2.9 Verificación de usuario integrada Guía de implementación del Cliente 2015-05-04 Confidencial Versión 2.9 TABLA DE CONTENIDOS Introducción... 2 Propósito y destinatarios... 2 Sobre Este Documento... 2 Términos

Más detalles

Pos-TMG: El suministro de aplicaciones Microsoft de forma segura

Pos-TMG: El suministro de aplicaciones Microsoft de forma segura Pos-TMG: El suministro de aplicaciones Microsoft de forma segura Los clientes de Microsoft Forefront Threat Management Gateway necesitan una alternativa para proteger sus aplicaciones Microsoft conectadas

Más detalles

BlackBerry Enterprise Server Express for IBM Lotus Domino Versión: 5.0 Service Pack: 2. Guía de administración

BlackBerry Enterprise Server Express for IBM Lotus Domino Versión: 5.0 Service Pack: 2. Guía de administración BlackBerry Enterprise Server Express for IBM Lotus Domino Versión: 5.0 Service Pack: 2 Guía de administración Publicado: 2010-10-19 SWDT487521-1188261-1019040248-005 Contenido 1 BlackBerry Enterprise Server

Más detalles

We Care For Your Business Security

We Care For Your Business Security We Care For Your Business Security Warriors Defender FIM es una sólida solución de cortafuego, filtrado de Contenido y Limpieza de Mail, fácil de utilizar y económica para empresas pequeñas y medianas.

Más detalles

Qlik Sense capacita la nueva empresa

Qlik Sense capacita la nueva empresa Nota técnica Qlik Sense capacita la nueva empresa Generaciones de Business Intelligence La evolución del mercado de BI puede describirse como una serie de alteraciones. Cada cambio se producía cuando una

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3 Indice 1) Proxy, Cortafuegos, que son? Pág.2 2) Funcionamiento de un proxy Pág.3 3) Proxy NAT / Enmascaramiento Pág.3 4) Servidores proxy / Servidores de Sockets Pág.4 5) Proxy de web / Proxy cache de

Más detalles

Cursos de DISEÑO DE PÁGINAS WEB. Empresa Colaboradora: [ ] Diseño de Páginas Web

Cursos de DISEÑO DE PÁGINAS WEB. Empresa Colaboradora: [ ] Diseño de Páginas Web Cursos de DISEÑO DE PÁGINAS WEB [ ] Diseño de Páginas Web DISEÑO DE PÁGINAS WEB El Curso de Diseño de Páginas Web permite dotar a los trabajadores de la formación necesaria que les capacite y prepare para

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

BlackBerry Enterprise Server Express for Microsoft Exchange

BlackBerry Enterprise Server Express for Microsoft Exchange BlackBerry Enterprise Server Express for Microsoft Exchange Versión: 5.0 Service Pack: 3 Guía de administración Publicado: 2011-05-01 SWDT487521-1547341-0501100720-005 Contenido 1 BlackBerry Enterprise

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Guía rápida de instalación

Guía rápida de instalación Guía rápida de instalación Microsoft Windows Vista / XP / 2000 / 2003 / 2008 Protegemos su Mundo Digital ESET Smart Security le provee a su computadora protección de última generación contra códigos maliciosos.

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

DATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET.

DATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET. MÓDULO FORMATIVO DATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET. Duración 90 Código MF0493_3 Familia profesional INFORMÁTICA Y COMUNICACIONES

Más detalles

Configuración y mantenimiento de herramientas de asistencia al cliente

Configuración y mantenimiento de herramientas de asistencia al cliente Configuración y mantenimiento de herramientas de asistencia al cliente Guía del usuario, Summer 15 @salesforcedocs Copyright 2000 2015 salesforce.com, inc. Todos los derechos reservados. Salesforce es

Más detalles

Dirección de Infraestructura Tecnológica Dirección Desarrollo de Soluciones Manual de Usuario MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0. Pág.

Dirección de Infraestructura Tecnológica Dirección Desarrollo de Soluciones Manual de Usuario MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0. Pág. MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0 Pág. 1 Tabla de contenido Objetivo... 3 Alcance... 3 Definiciones, acrónimos y abreviaciones... 3 Referencias... 4 Descripción... 4 Funcionalidad... 5 Prerrequitos

Más detalles

Sistemas y aplicaciones informáticas

Sistemas y aplicaciones informáticas Sistemas y aplicaciones informáticas 1. Representación y comunicación de la información. 1.1 Sistemas de numeración y codificación. Unidades y magnitudes informáticas. 1.2 Arquitectura de un sistema microinformático.

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles