Gestión de Riesgos de Compliance en medios de pagos de tarjetas

Transcripción

1 Gestión de Riesgos de Compliance en medios de pagos de tarjetas JORNADA TÉCNICA 2013 Israel Hernández Ortiz. Director - Riesgos Tecnológicos

2 Objetivos 1. Analizar el estado actual de respuesta a los programas de cumplimiento de los Medios de Pago de tarjetas. 2. Analizar el marco regulatorio internacional de los medios de pago de tarjetas, propuestos por las principales asociaciones internacionales. 3. Evolución de los modelos de cumplimiento según las necesidades del mercado. (nuevo estándar PCI-DSS V3.0). 4. Identificar los riesgos derivados de la falta de atención a la seguridad en la gestión de información en los procesos de medios de pago: trasmisión, almacenamiento, procesamiento, etc. 2

3 Objetivos 5. Exponer el bajo nivel de cumplimiento de casi todos los actores (bancos, comercios, proveedores, fabricantes). 6. Los estándares han venido para quedarse y tenemos ante nosotros una tarea/reto pendiente. 7. Sabes lo que tienes firmado? 8.El alineamiento con los estándares, es inversión o coste?. 3

4 Gestión de Riesgos de Compliance en medios de pagos de tarjetas Antecedentes 4

5 1. Antecedentes En los últimos años se han producido algunos incidentes con datos de tarjetas: En noviembre 2009, los bancos alemanes bloquean tarjetas de crédito en Alemania tras la alerta emitida por Visa y Mastercard de que se ha producido un robo de datos en España. Fuente: En abril de 2011, Sony admite que un intruso accedió a datos de millones de usuarios de PlayStation. En España había 3 millones de cuentas de PSN y con tarjeta de crédito. Fuente: A principios del 2012, Global Payments Inc. anunció que había identificado accesos no autorizados a sus sistemas. El nº de tarjetas afectadas ascendió a 1,5 millones y los gastos a 94$ millones. Fuente: 5

6 1. Antecedentes En octubre de 2013, Adobe ha confirmado que 38 millones de sus clientes podrían haber sido afectados por una fuga de datos. El mismo grupo que realizó el sonado ataque a Adobe, se ha hecho con información personal y de tarjetas de crédito de más de clientes (entre ellos congresistas, celebridades y CEOs de compañías Fortune 500), El mayor robo de tarjetas en Europa. Un grupo de hackers roba más de un millón de tarjetas a la empresa irlandesa LoyaltyBuild (noticia de anoche) Fuente: html Fuente: report/ 6

7 1. Antecedentes Las redes de mafias tienen un negocio floreciente con alto rendimiento y bajo riesgo. Sabemos que existen markets clandestinos donde se comercia con listados inmensos de números de tarjetas robados (presencial, no presencial, clonación, etc.) Esto es una fábrica de hacer dinero, señores!!!. 7

8 Gestión de Riesgos de Compliance en medios de pagos de tarjetas AARR e impactos 8

9 2. Riesgos singulares e impactos Entre los principales riesgos e impactos derivados del marco normativo de los medios de pagos de tarjetas, se encuentran: Algunos riesgos singulares No estar preparado para la gestión de crisis ante un compromiso. No responder a la gestión de compromisos en tiempo y forma de VISA y resto de marcas: 24/48 horas. Incapacidad de operación temporal con tarjetas de pago. Como pueden ser: Se prohíbe el procesamiento de tarjetas internacionales y/0 nacionales. Se prohíbe el procesamiento de tarjetas Mastercard o Visa. Impactos Reputacional / Imagen Penalizaciones contractuales. Confianza con tus terceros y supervisores Económico: Lucro cesante debido a que puedes dejar de operar durante X tiempo. Ventana de exposición, el banco adquirente tiene que asumir el fraude de resto de bancos emisores. (penalizaciones, multas). 9

10 Gestión de Riesgos de Compliance en medios de pagos de tarjetas Marco regulatorio 10

11 3. Marco regulatorio El marco de cumplimiento de los medios de pagos con tarjeta en Europa, se basa en estándares, guías, leyes y recomendaciones publicadas por los diferente organismos internacionales, que ayudan a reducir los riesgos de seguridad y operacionales en el proceso de pagos. 11

12 3. Marco regulatorio European Payments Council (EPC), ha emitido recomendaciones Recommendations for the security of internet payments Será de obligado cumplimiento en febrero del

13 3. Marco regulatorio Visa Europa, también dispone de programas de cumplimiento y guías adicionales que deben de cumplirse, entre ellas: Nombre Descripción What to do if compromised Definición del procedimiento de actuación, para compromiso de datos de tarjetas. Mobile Acceptance Security Best Practice guidelines PCI Encrypting PIN Pad Security Requirements VEOR: Visa Europe Operating Regulations Visa Global Security Requirements for Secure Element Vendors and OTA Service Providers Visa Europe's best practices for data field encryption Guía de buenas prácticas aceptadas en seguridad para móviles. Requerimientos de seguridad para los PIN Pad. Obligaciones y responsabilidades de cada actor en el esquema de pagos. Programas de cumplimiento para proveedores de servicio OTA (Over the air) / NFC. Buenas prácticas para el cifrado de los datos. 13

14 3. Marco regulatorio nuevas tecnologías Visa Europa y Mastercard disponen de normativas que deben cumplir las entidades que utilicen nuevas tecnologías como por ejemplo Contactless. Entre estos estándares destacan: 1. Visa Contactless Payment Specification 2.1 (no públicas, pago) 2. MasterCard PayPass-M/Chip Requirements Además existen otros estándares que deben cumplir las personalizadoras y estampadoras de tarjetas, estos estándares son confidenciales y son las marcas las que se encargan de distribuirlos antes de realizar el proceso de certificación. 14

15 3. Marco regulatorio El marco de control más extendido a nivel internacional son los estándares y las buenas prácticas publicados por el PCI Security Standards Council. Desde 2006, la función del PCI SSC, es incrementar la seguridad de los datos de tarjeta mediante la concienciación y el conocimiento de las normas de seguridad de la industria de tarjetas de pago. La empresas que conforman este foro son: Mastercard Worldwide, Visa Inc American Express, Discover Financial Services y JCB International,. Datos afectados por el cumplimiento: PAN (Personal Account Number). Datos sensibles: banda, pista 1, 2, CID / CAV2/CID/ CVC2/CVV2. Fuente: 15

16 3. Marco regulatorio El PCI SSC, establece controles a través de sus estándares y publicaciones para proteger los siguientes datos: Datos de titular de tarjeta Datos confidenciales de autenticación (1) Datos de tarjeta Almacenamiento permitido Requiere protección? PAN: Número de tarjeta Si Si Nombre del titular de tarjeta Código de servicio Si Si Fecha de caducidad Si Si Datos completos de la banda magnética (2) CAV2/CVC2/CVV2/CI D Si No No Si No permitido No permitido PIN/Bloqueo de PIN No No permitido (1) No se deben almacenar los datos confidenciales de autenticación después de la autorización (incluso si están cifrados). (2) Contenido completo de la pista de banda magnética, datos equivalentes que están en el chip o en cualquier otro dispositivo. 16

17 3. Marco regulatorio Listado de estándares publicados por el PCI Security Standards Council. Estándares PCI DSS PCI- Data Security Standard. PA-DSS Payment Application Data Security Standard. PCI-PTS PIN Entry Devices P2PE Point to Point Encryption. Card production Producción de tarjetas. A quien aplica? Toda empresa que procesa, transmite o almacene datos de tarjeta. Afecta a bancos, e-commerce, redes, comercios, proveedores, procesadoras, etc. Desarrolladores software comercial es un subconjunto de PCI DSS Fabricantes y bancos que desarrollan dispositivos de entrada de PIN, HSM (High Security Module). Fabricantes de soluciones móviles. A todos los participantes del proceso de emisión de tarjetas. Como pueden ser fabricantes, estampadoras, entidades bancarias, etc. 17

18 3. Marco regulatorio El PCI SSC, pública constantemente información complementaria que ayuda a las empresas a alinearse con el cumplimiento. Información complementarios Mobile Payment Acceptance Security Guidelines for Merchants v1.0 ATM Security Guidelines PCI DSS 2.0 ecommerce Guidelines PCI DSS 2.0 Cloud Computing Guidelines PCI DSS 2.0 Risk Assessment Guidelines PCI DSS 2.0 Wireless Guidelines PCI DSS Tokenization Guidelines Descripción Guía para comercios, para el uso de soluciones aceptadas de pagos con móviles. Directrices para mitigar los ataques a ATM, orientado al robo de PIN y datos de la cuenta. Guías para el uso adecuado de las tecnologías y pagos por internet. Guía que ayuda a identificar las responsabilidades del cumplimiento de los requisitos entre proveedor y organización. Información de ayuda, para poder cubrir con éxito el análisis de riesgos que requiere PCI en el punto Guía de ayuda para el despliegue de redes inalámbricas. Guía de soporte para el desarrollo, implementación o evaluación de los modelos de tokenización. 18

19 Gestión de Riesgos de Compliance en medios de pagos de tarjetas Responsabilidades y deadlines 19

20 4. Responsabilidades y deadlines Las marcas establecen un flujo de responsabilidades que se inicia en los bancos adquirientes. Cada entidad es responsable de la siguiente y debe definir la obligación de cumplimiento de forma contractual. Marcas Entidades /Bancos Comercios Transacciones Redsys, Euro 6000, 4B, Ingenico (FirstData) Proveedores del comercio Proveedores del banco Cadena de responsabilidad Reporte (ROC, SAQ, QSA, ASV) 20

21 4. Responsabilidades y deadlines Las marcas de pago (VISA Europa y Mastercard), definen requerimientos y establecen sus plazos de cumplimiento afectando a todos los actores que intervienen en el esquema de medios de pago: Requerimientos de las marcas Presentación Requerimiento genérico Cumplimiento de nivel PCI-DSS en contratos 2008 Cumplimiento de nivel 2. Registro de agentes 2009 Cumplimiento de comercio electrónico Almacenamiento datos bancos 2010 Reporte de Cumplimiento para Bancos adquirentes 2012 Validación de comercios niveles 1,2 y 3 Validación de PA-DSS Requerir el cumplimiento de PCI-DSS a aquellos agentes que se encuentren en la cadena de responsabilidad. Verificación del no almacenamiento de datos sensibles de autenticación. Verificación de cumplimiento de comercios de niveles 1, 2 y comercio electrónico (3 y 4). Registro de los proveedores de los comercios (agentes). Verificación del cumplimiento de las aplicaciones de pago de todos los comercios. Plan de acción para adecuación en circuitos de adquirencia (bancos), también en emisión de Amex. Enero Visa Europa exige el registro de proveedores de soluciones Noviembre Validación de soluciones móviles. Uso de proveedores registrados tanto en VISA como en Mastercard. Validación de soluciones móviles por las marcas de pago. 21

22 4. Responsabilidades y multas: Existen grupos de trabajo, ej: RedSyS (Servired, 4B). Reuniones periódicas y members letters VISA. Existe una alternativa ante incumplimiento de control, mediante la gestión de controles compensatorios. What To Do If Compromised y su homónimo para el resto de marcas es desconocido por el mercado español. 22

23 4. Responsabilidades y multas: Para el cálculo del impacto financiero ante un compromiso se deben tener en cuenta tres factores: Coste de penalizaciones por compromiso de datos = CP Coste por el compromiso estándar (arranca desde euros). Coste por el incumplimiento: coste incremental hasta cumplir PCI mes a mes. Coste de investigación = CI Aprox. 600 /hora (2-3 semanas) FTE = entre y Coste de la investigación se divide entre las entidades adquirientes. Estimación de fraude = EF Responsabilidad por adquirente por derechos de contracargo (reclamaciones de otras entidades financieras). El cálculo se realizará mediante el fraude medio tarjeta en compromisos por el nº de tarjetas comprometidas durante la venta de compromiso. 23

24 4. Responsabilidades y multas: = CP + CI + EF 24

25 Gestión de Riesgos de Compliance en medios de pagos de tarjetas PCI-DSS V3.0 25

26 5. PCI-DSS V3.0 - Hitos Noviembre 2013 Publicación oficial del nuevo estándar. Enero 2014 Entra en vigor el nuevo estándar. V2.0 será valida todo Enero 2015 V3.0 de obligado cumplimiento. Julio 2015 Se requiere el cumplimiento de los nuevos controles, identificados como buenas prácticas. Slide 26

27 5. PCI-DSS V3.0 - Hitos La versión publicada recientemente por el PCI Security Standard Council (SSC) es la versión con modificaciones más relevantes: El impacto podría valorarse en aprox. un 31% de cambio en relación a la versión 2.0 Siguen siendo 12 capítulos. Los capítulos 8 y 11 son los que tienen un mayor impacto de cambio en la nueva versión. PCI-DSS v1.2 PCI-DSS v2.0 PCI-DSS v3.0 Nº pág. 73 /Nº cont. 180 Nº pág. 85 /Nº cont. 288 Nº pág. 112/Nº cont. aprox.379 Impacto mínimo. Aunque el nº de controles se incrementó considerablemente no se requería ninguna evaluación adicional a las ya existentes. Por lo que el cambio no fue relevante. Impacto relevante Cambios que impactan en el cumplimiento de los controles ya definidos y nuevos requerimientos. De los 90 controles considerados nuevos. 20 son nuevos controles y 60 son aclaraciones de controles ya existentes. Se han añadido las guías suprimiendo el Navigation. Slide 27

28 5. PCI-DSS V3.0 - Hitos El capítulo 8 ha cambiado su nombre 28

29 5. PCI-DSS V3.0 Extracto resumen por capítulo de las principales diferencias entre la versión 2.0 y la v3.0 publicada por el PCI SSC. Capítulo Diferencias entre V2.0 y V3.0 Fuente: PCI DSS Summary of Changes v2.0 to v3.0 1 Se definen aclaraciones sobre controles ya existentes y se añade un nuevo requisito que consiste en realizar la comprobación de los diagramas de los flujos de datos de tarjetas. 2 Se definen aclaraciones sobre controles ya existentes y se añade un nuevo requisito que consiste en mantener un inventario de los componentes hardware y software en alcance PCI. 3 No se identifican nuevos controles. Sin embargo si que existen un número elevado de aclaraciones sobre controles existentes. Grado de esfuerzo /Impacto Medio Medio 4 No se identifican nuevos controles. Sólo se realiza una aclaración. Muy bajo Bajo 5 Se requiere un par de nuevos controles, relacionados con la configuración y la revisión periódica del antivirus. 6 Se definen numerosas aclaraciones sobre controles ya existentes. Nuevo control relacionado con la realización de pruebas de código orientadas a la autenticación y gestión de la sesión. (Efectivo Julio 2015). Medio Medio/alto

30 5. PCI-DSS V3.0 Capítulo Diferencias entre V2.0 y V3.0 Fuente: PCI DSS Summary of Changes v2.0 to v3.0 7 No se identifican nuevos controles. Sin embargo si que existen un número elevado de aclaraciones sobre controles existentes. 8 Es uno de los capítulos más afectado por el cambio de versión. Como nuevo control se requiere que los proveedores que se conecten por acceso remoto, lo hagan con un único usuario por cliente. (Efectivo Julio 2015). 9 Incrementar controles físicos para personal cuando acceden a áreas sensibles. Nuevos requisitos para proteger los dispositivos que capturan pago datos de la tarjeta a través de la interacción física directa con la tarjeta de manipulación y sustitución. 10 Se incrementan dos nuevos controles relacionados con el registro de los logs de auditoría, por un lado se requiere que se registren el estado del log (activo, pausa, desactivado). Y por otro lado que se registren todos las elevaciones de cambios de privilegios. 11 Es uno de los capítulos mas afectados por el cambio de versión. Afectan a la metodología de los test de penetración. Como nuevo control se requiere realizar test de penetración tanto fuera como dentro de la red de PCI. (Efectivo Julio 2015). Grado de esfuerzo /Impacto Bajo Alto Medio Medio/alto Alto 12 Se requiere que proveedores firmen su responsabilidad a cumplir con PCI. Medio

31 Gestión de Riesgos de Compliance en medios de pagos de tarjetas Enfoques PCI-DSS 31

32 6. Enfoque PCI-DSS Algunos enfoques que ayudan a entender y delimitar el cumplimiento del estándar PCI-DSS. Identificación del ciclo de vida del PAN y resto de datos de tarjetas. Restringir al mínimo el almacenamiento del PAN. Reducir el alcance PCI: En muchos entornos, todos los recursos se encuentran en una misma red interconectada (red plana). La segmentación: es el método recomendado para aislar parte de la red o segmentos incluidos en el alcance PCI y reducir el impacto de cumplimiento en la Entidad. Complicado en determinadas compañías y sectores. 32

33 6. Enfoque PCI-DSS PCI-DSS, no prohíbe el uso del número de tarjeta, sin embargo recomienda las siguientes pautas a elegir: Finalmente donde se almace el PAN se debe de utilizar: Cifrado. Truncamiento (irreversible). Hash (irreversible): permite búsqueda de un PAN conocido. Tokenización: Se sustituye el PAN por otro número (token). Debería cumplir el algoritmo de Luhn (código de control). La tokenización permite sacar del alcance de PCI aquellos sistemas que sólo tengan acceso al token (no se puede relacionar con el PAN original). 33

34 6. Enfoque PCI-DSS El estándar PCI-DSS exige verificaciones técnicas de seguridad: Test de penetración. Periodicidad anual Escaneos ASV (Approved Scanning Vendors). Periodicidad trimestral. Escaneos de vulnerabilidades internas. Periodicidad trimestral. Escaneos inalámbricos. Periodicidad trimestral. 34

35 6. Enfoque PCI-DSS Algunas alternativas disponibles complementarias para reducir el cumplimiento del estándar PCI-DSS en comercios. EMV (Europay, Mastercard and VISA). Si el comercio realiza más del 95% de sus transacciones se puede justificar la adaptación a PCI-DSS al no procesar localmente datos de tarjeta. SNCP (Sistema Nacional de Cifrado de Pista). El uso de SNCP reduce el cumplimiento del estándar PCI-DSS. Utilizar proveedores certificados y registrados en VISA y Mastercard. Tanto VISA como Mastercard disponen de listados de proveedores actualizados. ( y iders.html ). 35

36 Gestión de Riesgos de Compliance en medios de pagos de tarjetas Conclusiones PCI-DSS 36

37 7. Conclusiones PCI-DSS Los sectores más afectados por el cumplimiento del estándar PCI son banca, e-commerce, telco, retail, líneas aéreas, cadenas hoteleras y resto de sectores debido a que las entidades financieras deben reportar a las marcas el estado de cumplimiento de las empresas de dichos sectores. PCI- DSS es el estándar más conocido de la familia, pero existen otros estándares que también se deben cumplir como PA-DSS, p2pe, PTS, etc. PCI-DSS es uno de los estándares más exigentes del mercado y que requiere una plan de adecuación al estándar específico. PCI-DSS aumenta la seguridad de los sistemas donde se almacenan datos de tarjetas reduciendo las posibilidades de sufrir compromisos (robo de información de tarjetas), pero no reduce el fraude. 37

38 7. Conclusiones PCI-DSS Uno de los errores más frecuente es enfrentarse sólo a estos estándares. Se recomienda contar con personal cualificado que conozca el estado del arte. Para el éxito del proyecto en una organización debe realizarse un enfrentamiento coral (asesoría jurídica, medios de pago, recursos humanos, desarrollo, tecnología, seguridad, etc), similar a la LOPD. Y todos deben actuar sincronizados y con una voz única. Y después de todo esto, inversión o un coste? 38

39 GRACIAS!!! Puedes contactarme en: Director Riesgos Tecnológicos. 39

40 preguntas? 40