PCI DSS 3.0 HA LLEGADO!!
|
|
- José Ángel Henríquez Miranda
- hace 8 años
- Vistas:
Transcripción
1 PCI DSS 3.0 HA LLEGADO!! Evolución continua en la Seguridad de Medios de Pago 14 de Noviembre 2013 Germán Franco, PCI QSA R. Fabian Garzón, CISM, CISSP, + Agenda CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS Definiciones Previas, ingresando al mundo PCI DSS Cambios destacables en PCI DSS 3.0 Conclusiones Preguntas 1
2 ACLARACIÓN DE TÉRMINOS Safety Assurance Security Resilience Computer Security (Seguridad Informática) IT Security (Seguridad Informática ó Seguridad en TI) Information Security (Seguridad de la Información) Information Assurance (Seguridad de la Información ó Aseguramiento de la Información) Resilience y Survivality Network Security Internet Security Application Security CIBERSEGURIDAD (CYBERSAFETY vs CYBERSECURITY) SEGURIDAD DE LA INFORMACIÓN Y OTROS DOMINIOS INTERNET Cybercrime Information Security Application Security Cybersecurity CyberSafety CIBERESPACIO Network Security Internet Security CIIP (Critical Information Infrastructure Protection) 2
3 CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS Requerimiento 6.5 CERT Secure Coding Requerimiento 6.2 -> 6.1 El proceso para identificar nuevas vulnerabilidades de seguridad, incluyendo el uso de fuentes externas confiables para obtener información actualizada de vulnerabilidades. Ranking de Vulnerabilidades (CVSS) CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS 3
4 Requerimiento > CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS El Plan de Respuesta a Incidentes debe ser completo y contener todos los elementos clave que le permitan a su organización responder de manera efectiva en el evento de una brecha que pueda impactar los datos de tarjetahabiente Personal del equipo de respuesta a incidentes, debe estar entrenado y disponible para evitar que los daños se extiendan Desarrollar un proceso para modificar y evolucionar el plan de respuesta a incidentes de acuerdo a lecciones aprendidas y que incorpore desarrollos de la industria NIST (rev 1 y rev 2) ISO SANS Incident Handling Step by Step CERT/CC Centro de Desarrollo e Investigaciones. Propósito: ayudar a mejorar las capacidades en ingeniería de software, desarrollo y/o adquisición del software correcto, libre de defectos, dentro del presupuesto y a tiempo, todo el tiempo Visión: Liderar y promover software y ciberseguridad para resolver los problemas más duros de la nación Acquisition Support Measurement and Analysis Process & Performance Improvement Smart Grid Cyber-Physical Systems Performance & Dependability Risk Management Software Architecture Digital Intelligence and Forensic Pervasive Mobile Computing Security & Survivability Software Product Lines ACQUISITION SECURITY PROCESS MANAGEMENT SOFTWARE DEVELOPMENT RISK System of Systems Ultra-Large Scale Systems SYSTEM DESIGN 4
5 CERT Program, desde 1988 esta organización (subsidiaria del SEI,) trabaja en proyectos con un enfoque proactivo para la seguridad de los sistemas y cuyo propósito ha sido mejorar la capacidad y resiliencia de las redes y sistemas de cómputo. CERT/CC Secure Coding CERT/CC PROGRAM Software Assurance Malicious Code Analysis Vulnerability Analysis Forense Coordinated Response CSIRTs development National CSIRTs Secure Systems NetSA CyberSecurity Engineering Governance Training Organizational Security RMM Insider Threat Center SEI PARTNER 5
6 QUE SIGNIFICA SER SEI CERT/CC PARTNER? Somos una extensión del SEI (Software Engineering Institute) Licenciados para entregar servicios auténticos y con la misma calidad del SEI a través de personal entrenado directamente por SEI Permiso para usar la propiedad intelectual de SEI Acceso al estado del arte en Respuesta a Incidentes Entrenadores en Creación y Gestión de CSIRTs, y en Respuesta Avanzada de Incidentes MODELO DE LA GESTION DE INCIDENTES Preparación Estableciendo la capacidad y el proceso de manejo de incidentes Entrenamiento Guías, instructivos, formatos Listas de notificación Matrices Herramientas de manejo de incidentes Sistemas de seguimiento Manejo de Medios Políticas y procedimientos de respuesta Detección Reportes de los interesados Listas de privadas o públicas Monitoreo de redes y sistemas IPS /IDS Logs Triage Categorizar Correlacionar Priorizar Asignar Escalar Respuesta (técnica, legal, administrativa) Verificar Contener Investigar Erradicar y mitigar Recuperar Seguimiento Protección Defensas internas y externas actualizadas basados en amenazas nuevas Gestión de parches, cambios y configuraciones Evaluaciones de infraestructura Análisis de riesgos Scans de vulnerabilidades 6
7 SERVICIOS PROFESIONALES EN RESPUESTA A INCIDENTES DE SEGURIDAD Diagnóstico de sus capacidades de gestión de incidentes (AS-IS state) Asesorías en planeación, implementación, operación y mejora en sus capacidades de respuesta a incidentes de seguridad Servicios para apoyarlo a desarrollar, establecer, operar, mantener y mejorar un equipo de respuesta a incidentes de seguridad(csirt) Entrenamiento avanzado Brecha Compromiso Carders CHD PCI SSC PCI DSS PA DSS QSA ASV BIN CDE PIN PAN CVV CVV2 Truncar Banco Emisor Tokenizar El Mundo PCI Enmascarar ISO 7813 P2PE TRACK HSM Autorización Conciliación CVSS Formula de Luhn ó Modulo 10 ISO 8583 EPP Adquirente Compensación FIM WAF OWASP WIPS Control Compensatorio Inspección de Código PFI PTS PED POS CWE/SANS ATM TDE Proveedores de Servicio PCIP ISA POI 7
8 LA INDUSTRIA EL PCI SSC Entidades Financieras Asesores Comercios Fabricantes Gateways Redes ACH Proveedores de Servicios Procesadores 8
9 LATINOAMERICA EN EL PCI SSC NORMAS PCI 9
10 Qué tienen en común? PCI DSS Payment Card Industry Data Security Standard Norma de seguridad que deben cumplir las organizaciones que Procesan, Transportan o Almacenan datos de cuenta (Account Data). La mejor línea de Defensa contra la Exposición y compromiso a los datos de cuenta. 10
11 DATOS DE CUENTA = CHD + SAD EL CICLO DE VIDA PCI DSS PCI DSS ver 1.0 del 2005, es la evolución del más maduro estándar de VISA. PCI DSS ver 1.1 válido a partir de Septiembre del 2006 PCI DSS ver 1.2 válido a partir de Octubre 2008 PCI DSS ver 2.0 Divulgada el 28 de Octubre de 2010, válida a partir de Enero 2011 PCI DSS ver 3.0 Divulgada el 7 de Noviembre de 2013, válida a partir de 1 de Enero
12 Feedbacks Más de 200 Feedbacks Queries directos a bases de datos Pen testing por empresas avaladas por el PCI SSC, tipo ASV Scan de vulnerabilidades interno por una ASV Guía sobre scoping y segmentación Más prescriptivo sobre los service providers en acuerdos contractuales y cumplimiento Llaves de encripción vinculadas a cuentas de usuarios, una guía adicional Passwords más exigentes, expandir la autenticación más allá de passwords Requerimiento 12 se vuelva Requerimiento 1 Las revisiones diarias de logs son irreales sin un sistema de alertas establecido y funcional SAD no pueden ser almacenados después de la autorización, pero cuanto tiempo es demasiado tiempo? SAD sin PANS Dejar usar el Logo del PCI SSC DLP(IPS) La Seguridad y el Negocio Funcionalidad (Características) Seguridad (Restricciones) Usabilidad (GUI) 12
13 Premisas La versión 3.0 introduce más cambios que la versión 2.0. Los 12 requerimientos principales permanecen, hay nuevos subrequerimientos El estándar actualizado pretende ayudar a las organizaciones no haciendo requerimientos más prescriptivos, sino agregando más flexibilidad y guía para integrar la seguridad de los datos de cuenta dentro de las actividades cotidianas de negocio (business-as-usual) Los cambios están diseñados para darle a las organizaciones una fuerte pero flexible arquitectura de seguridad basada en principios Tipos de Cambios CLARIFICACIONES Se clarifica el propósito del requerimiento. Palabras precisas y concisas en la norma que muestren el propósito deseado del requerimiento. 74 GUIA ADICIONAL Explicaciones y/o definiciones adicionales para aumentar el entendimiento o brindar información adicional sobre un tópico particular 5 REQUERIMIENTO MEJORADO EVOLUCIÓN Cambios para asegurar que la norma se mantiene actualizada con amenazas emergentes y cambios en el mercado 19 13
14 La Estructura de la Norma La Estructura de la Norma Procedimientos de prueba mejorados para clarificar el nivel de validación esperado para cada requerimiento 14
15 Procedimientos de prueba mejorados (muestra) Procedimientos de prueba mejorados (muestra) 15
16 La Estructura de la Norma La plantilla para elaborar el PCI DSS ROC se emite en el primer trimestre del 2014 ROC REPORTING TEMPLATE Fuente: 16
17 Educación y Concientización Temas clave Flexibilidad Mejores prácticas Business-as-usual Navigating PCI DSS se incorpora Educación a usuarios en cuanto a Passwords (8.4) Entrenamiento a los PA-DSS vendors Políticas de seguridad y procedimientos operacionales integrados en cada Requerimiento Entrenamiento y seguridad en POS security (9.9) La Seguridad como una responsabilidad compartida Seguridad en terminales POS Password de los proveedores de servicio Definir las Responsabilidades de los Proveedores y Clientes Balance entre lo prescriptivo y la flexibilidad mientras no se debilite la integridad, la fortaleza o efectividad del estándar, y sin restringir a las organizaciones a que utilicen métodos específicos Fortaleza/Complejidad de Passwords Detección de cambios Revisión de logs basado en riesgos WAF o mecanismo similar Respuesta a Nuevas Amenazas Cambios de passwords default aplica a cuentas de servicio, cuentas de aplicaciones y cuentas de usuarios Vulnerabilidades en código para ser evitadas en los procesos de desarrollo de software Aclaraciones iniciales (A) SAD (Datos Sensibles de Autenticación) no deben ser almacenados después de la autorización, incluso si están cifrados. Esto aplica incluso donde no hay PAN en el entorno. Las organizaciones deben contactar directamente a su adquirente o a las marcas para entender si SAD es permitido ser almacenado antes de la autorización, por cuanto tiempo, y cualquier requisito de uso y protección. 17
18 Aclaraciones iniciales (B) CDE Componentes de Sistema incluyen dispositivos de red, servidores, dispositivos de cómputo y aplicaciones. Componentes de sistema incluyen pero no están limitados a los siguientes: Sistemas que proveen servicios de seguridad (por ejemplo, servidores de autenticación), que facilitan la segmentación (por ejemplo, firewalls internos), o pueden impactar la seguridad del CDE. Componentes de Virtualización tales como máquinas virtuales, switches/routers virtuales, appliances virtuales e hypervisors. Aclaraciones iniciales (B) CDE Componentes de red incluyendo pero no limitados afirewalls, switches, routers, wireless access points, network appliances, y otros security appliances. Tipos de Servidores, incluyendo pero no limitados a web, aplicación, base de datos, autenticación, mail, proxy, NTP, and DNS. Aplicaciones incluyendo las compradas y personalizadas, incluyendo internas y externas Cualquier otro componente o dispositivos ubicado dentro o conectado al CDE 18
19 Sección nueva Mejores prácticas para la Implementación de PCI DSS dentro de los procesos de negocio normales/cotidianos Best Practices for Implementing PCI DSS into Business-as-Usual Processes Monitoreo de los controles de seguridad Si un control falla: Restauración, Identificar la causa de la falla, resolver los asuntos de seguridad que surgieron durante la falla, evitar que falla del control vuelva a ocurrir, monitoreo mejorado por un periodo de tiempo para verificar la restauración efectiva del control Cambios en el entorno PCI DSS como parte de la estrategia de seguridad corporativa Comunicaciones y revisiones periódicas Revisiones anuales de hardware y software (soporte) Políticas y procedimientos operacionales Documentados, en uso y conocidos La política de seguridad debe abordar todos los requerimientos de PCI DSS 12.2 Desarrollar procedimientos de seguridad operacionales diarios que sean consistentes con los requerimientos (por ejemplo, procedimientos de mantenimiento de cuentas de usuarios, procedimientos de revisión de logs) 1.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar firewalls estén documentados, en uso y sean conocidos por todas las partes afectadas 2.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar parámetros de seguridad y otros valores por defecto de los fabricantes estén documentados, en uso y sean conocidos por todas las partes afectadas 3.7 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger datos de tarjetahabiente almacenados estén documentados, en uso y sean conocidos por todas las partes afectadas 19
20 Políticas y procedimientos operacionales Documentados, en uso y conocidos 4.3 Asegurese que las políticas de seguridad y procedimientos operacionales para cifrar las transmisiones de datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 6.7 Asegurese que las políticas de seguridad y procedimientos operacionales para desarrollar y mantener sistemas seguros y aplicaciones estén documentados, en uso y sean conocidos por todas las partes afectadas 5.4 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger sistemas contra malware estén documentados, en uso y sean conocidos por todas las partes afectadas Políticas y procedimientos operacionales Documentados, en uso y conocidos 7.3 Asegurese que las políticas de seguridad y procedimientos operacionales para restringir acceso a datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 8.8 Asegurese que las políticas de seguridad y procedimientos operacionales para la identificación y autenticación estén documentados, en uso y sean conocidos por todas las partes afectadas 9.10 Asegurese que las políticas de seguridad y procedimientos operacionales para la restricción de acceso físico a los datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 20
21 Políticas y procedimientos operacionales Documentados, en uso y conocidos 10.8 Asegurese que las políticas de seguridad y procedimientos operacionales para monitorear todos los accesos a recursos de red y datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 11.6 Asegurese que las políticas de seguridad y procedimientos operacionales para el monitoreo y las pruebas de seguridad estén documentados, en uso y sean conocidos por todas las partes afectadas Novedades: Requerimiento Diagrama de red actualizado con todas las conexiones a datos de tarjetahabiente, incluyendo cualquier red inalámbrica a Verificar que el diagrama de red actual (por ejemplo, uno que muestre los flujos de datos de tarjetahabiente en la red) existe y que documenta todas las conexiones a datos de tarjetahabiente Diagrama de red actualizado que muestra todos los flujos de datos de tarjetahabiente a través de sistemas y redes Mostrar todos los flujos de datos de tarjetahabiente a través de sistemas y redes SNMP v1 and v2 inseguros Archivos de configuración de routers asegurados de accesos no autorizados Implementar medidas anti-spoofing para detectar y bloquear IPs fuentes falsificadas 21
22 Novedades: Requerimiento 2 Guías de Hardening 2.1 Siempre cambie los valores default entregados por los fabricantes y remueva o deshablite cuentas default innecesarias antes de instalar un sistema en la red. Esto aplica a TODOS los passwords default, incluyendo pero no limitados a aquellos usados en Sistemas operativos, software que provee servicios de seguridad, aplicaciones y cuentas de sistema, terminales POS, cadenas SNMP, etc 2.2.d Verificar que los estándares de configuración incluyen los siguientes procedimientos para todos los tipos de componentes de sistema: Cambio de todos los valores default suministrados por los fabricantes y eliminación de cuentas default innecesarias Implementación de solo una función principal por servidor Habilitar solo servicios necesarios, protocolos, etc Remover todas las funcionalidades innecesarias, tales como scripts, drivers, propiedades, subsistemss, file systems, y servidores web innecesarios 2.4 Mantener un inventario de componentes de sistema que están en el alcance de PCI DSS Novedades: Requerimiento No almacene datos sensibles de autenticación después de la autorización (incluso si están cifrados) Si datos sensibles de autenticación son recibidos, deje todos estos datos irrecuperables (unrecoverable) hasta que se complete el proceso de autorización 3.2.c. Si datos sensibles de autenticación son recibidos, revisar las políticas y procedimientos, y examinar las configuraciones de los sistemas para verificar que los datos no son retenidos después de la autorización 3.3.a Examinar las políticas y procedimientos para enmascarar el despliegue de PANs para verificar: Una lista de roles que necesitan acceso a despliegues de full PANs está documentada, junto con una necesidad legítima de negocio para cada rol que tiene dicho acceso. 22
23 Novedades: Requerimiento 4 Ejemplos de redes públicas abiertas incluyen pero no están limitadas a Internet Tecnologías Wireless ( y Bluetooth ) Tecnologías de Cellular, por ejemplo Global System for Mobile communications (GSM), Code division multiple access (CDMA) General Packet Radio Service (GPRS). Comunicaciones satelitales Novedades: Requerimiento 5 Requerimiento 5: Utilice y regularmente actualice el software o los programas anti-virus Requerimiento 5: Proteja todos los sistemas contra malware y regularmente actualice el software o los programas anti-virus Para aquellos sistemas que se consideran no ser generalmente afectados por software malicioso, desempeñe evaluaciones periódicas para identificar y evaluar amenazas de malware evolucionadas, para confirmar si dichos sistemas continuan ó no requiriendo software anti-virus 5.3 Asegurarse que los mecanismos de anti-virus estén activos continuamente y no pueden ser deshabilitados ó alterados por los usuarios 23
24 Novedades: Requerimiento 6 Cambió el órden: 6.1 y Nota: esto aplica a todo el software desarrollado internamente así como software desarrollado por un tercero (bespoke or custom software) 6.5.b Entrevistar una muestra de personal de desarrollo y obtener evidencia de que ellos conocen técnicas de codificación segura 6.5.c Registros de entrenamiento para verificar que los desarrolladores de software recibieron entrenamiento en técnicas de codificación segura, incluyendo como evitar vulnerabilidades de seguridad comunes y entiendan como los datos sensibles son manejados en memoria Coding techniques document how PAN/SAD is handled in memory, to minimize potential exposure. Novedades: Requerimiento Broken authentication and session management 6.6 Para public-facing web applications Flagging session tokens (por ejemplo cookies) as secure No exponer session IDs en el URL Incorporar time-outs adecuados y rotación de session IDs después de login exitosos Métodos: Métodos manuales o automáticos de valoración de vulnerabilidades a aplicaciones Nota: Diferente al Instalar una solución técnica que detecte y evite ataques basados en web (por ejemplo, un web-application firewall) 24
25 Novedades: Requerimiento 7 Clarificaciones respecto al manejo de roles y las necesidades de acceso Novedades: Requerimiento 8 Requerimiento 8: Asignar un Único ID a cada persona con acceso a computadores Requerimiento 8: Identificar y autenticar accesos a los componentes de sistema 8.3 Combinó la complejidad mínima para passwords y fortaleza en un único requerimiento, e incrementó la flexibilidad respecto a alternativas que sean equivalentes a la complejidad y fortaleza: Longitud mínima 7 caracteres Contener caracteres numéricos y alfabéticos De manera alterna, los passwords/phrases deben tener complejidad y fortaleza, al menos equivalente a los parámetros arriba especificados 25
26 Novedades: Requerimiento Comunicar las políticas y procedimientos de autenticación a todos los usuarios que tienen acceso a CHD 8.4 Documentar y comunicar las políticas y procedimientos de autenticación a todos los usuarios incluyendo: Guía sobre seleccionar credenciales de autenticación fuertes Guía sobre como los usuarios deben proteger sus credenciales de autenticación Instrucciones para no reutilizar passwords previamente usados Instrucciones para cambiar passwords si hay sospechas que el password pudo ser comprometido Novedades: Requerimiento Requerimiento adicional para proveedores de servicio: Proveedores de Servicio con acceso remoto a instalaciones del cliente (por ejemplo, para soporte a sistemas POS o servidores) deben usar una única credencial de autenticación (tal como password/phrase) para cada cliente 26
27 Novedades: Requerimiento Control de Acceso Físico para personal en sitio a las áreas sensibles, de esta manera: Acceso debe ser autorizado y basado en la función del individuo Acceso es revocado inmediatamente al terminar el empleo, y todas las llaves, tarjetas de acceso y mecanismos de acceso físico deben ser regresados o deshabilitados Novedades: Requerimiento Proteger dispositivos que capturan CHD vía interacción directa con la tarjeta, de alteración y sustitución 9.9 Examinar políticas y procedimientos documentados para verificar que estos incluyan: Mantenimiento de una lista de dispositivos Inspeccionar periodicamente dispositivos para buscar manipulacions o sustituciones Entrenar al personal para que sepan identificar comportamientos sospechosos y para reportar las alteraciones o sustituciones de los dispositivos 27
28 Suplemento Novedades: Requerimiento Uso de mecanismos de identifcación y autenticación Uso de y cambios a los mecanismos de identificación y autenticación incluyendo pero no limitado a la creación de nuevas cuentas o elevación de privilegios- y todos los cambios, adiciones o borrados de cuentas con privilegios administrativos o tipo root 28
29 Novedades: Requerimiento Inicialización de los logs de auditoría Inicialización, apagado o pausa de los logs de auditoría Revisión de logs al menos diariamente: Todos los eventos de seguridad Logs de todos los componentes de sistema que almacenan, procesan o transmiten CHD y/o SAD, o que pueden impactar la seguridad del CHD y/o SAD Logs de todos los componentes de sistema críticos Logs de todos los servidores y componentes de sistema que desempeñan funciones de seguridad Revisión de logs periódica de otros componentes de sistema basado en las políticas y estrategia de gestión de riesgos, como se determinó en la valoración anual de riesgos Novedades: Requerimiento Mantener un inventario de los access points inalámbricos autorizados incluyendo la justificación de negocio documentada 11.2 Nota: Múltiples reportes de escans pueden ser combinados que muestren que todos los sistemas fueron escneados y que las vulnerabilidades aplicables fueron resueltas. Documentación adicional pude ser requerida para verificar las vulnerabilidades no remediadas y que están en proceso de ser remediadas 29
30 Novedades: Requerimiento Implementar una metodología para pruebas de penetración (intrusión) que incluya lo siguiente: Basada en enfoques de industria (por ejemplo, NIST SP ) Incluya pruebas tanto desde adentro como afuera de la red Incluya pruebas para validar cualquier segmentación y controles de reducción de alcance Verificación de la segmentación y aislamiento de sistemas fuera del alcance Defina las pruebas de penetración a la capa de aplicación, como mínimo las vulnerabilidades del requerimiento 6.5 Novedades: Requerimiento Despliegue de mecanismos de detección de cambios (por ejemplo herramientas FIM) para alertar al personal de modificaciones no autorizadas de archivos de sistema críticos,..; y configurar el software para ejecutar la comparación al menos semanalmanete Implementar un proceso para responder a cualquier alerta generada por la solución de detección de cambios 30
31 Novedades: Requerimiento Mantener información sobre cuales requerimientos PCI DSS son gestionados por cada proveedor de servicio, y cuales son gestionados por la entidad 12.9 Requerimiento adicional para los proveedores de servicio: Los proveedores de servicio reconocen por escrito a sus clientes, que ellos son responsables por la seguridad de los datos de tarjetahabiente que el proveedor posee, o almacena, procesa o transmite en nombre del cliente, o al grado en que ellos puedan impactar la seguridad del CDE del cliente Aclaración: Requerimiento Any such authorized personnel are responsible for ensuring that cardholder data in their possession is handled in accordance with all PCI DSS requirements, as that remote personnel s environment is now considered a part of the organization s cardholder data environment. 31
32 Grupos de interés especial (SIG) 2012 Grupos de interés especial (SIG) 2014 Best Practices for Implementing a Formal Security Awareness Program Best Practices for Merchants: Skimming Prevention Best Practices for Small Merchants 2013 Encryption Key Management Guidance Guidance on Securing Admin Access to CDE Guidance on Steps to Obtain PCI DSS Certification Third Party Security Assurance Incident Response Plan Toolkit Best Practices for Maintaining PCI DSS Compliance Increase Security at Retail Stores PCI DSS as it relates to "Mainframe Type" Environments Penetration Testing Scoping Guidance 32
33 Making payment security business-as-usual Best Practices for Maintaining PCI DSS Compliance Qué PCI DSS sea un programa que facilite y soporte la seguridad de manera constante y a largo plazo de los datos de tarjetahabiente de la organización Disminuir el conflicto que surge cuando las prioridades del negocio inhiben el cumplimiento continuo de PCI después del cumplimiento inicial alcanzado Combinar PCI DSS con objetivos de negocio y formular los controles de gobierno apropiados, en ambientes de constante cambio Best Practices for Maintaining PCI DSS Compliance Explorar varias estructuras de gobierno (COSO, 27001, 27002, COBIT, ITIL) y desarrollar una guía que incluya: Integración PCI DSS en el negocio y los procesos de cambio Mejores prácticas y controles que ayuden la cumplimiento constante y como parte de BAU 33
34 LA SOBRECARGA DEL CUMPLIMIENTO Regulación Internacional SOX SARO Circu lares Regulación Nacional Leyes de Proteccion de Datos Regulación de Industria SARC, SARLAFT PCI DSS Intromisión Externa No Deseada? COBIT, ISO 27002, ISO ITIL PROYECTOS PMI ORGANIZACION GRC GESTION DE RIESGOS y CUMPLIMIENTO CONSIDERACIONES FINALES Determine con Precisión el Alcance y actualice flujos de CHD El Cumplimiento es resultado de la Seguridad (Integración con un SGSI) Aunque haya tiempo, adopte PCI 3.0 lo más pronto posible Aproveche los recursos del PCI Security Standards Council Un Estándar de Seguridad lo suficientemente maduro, que ha ayudado en la reducción de fugas y fraudes 34
35 Germán Franco, PCI QSA R. Fabian Garzón, CISM, + fabian.garzon@iqcol.com Gracias Calle 109 No. 18 B-31, Of. 205 Tel: (57 1) / 81 Fax: (57 1) Bogotá, Colombia 35
Evolución Continua en la Seguridad de Medios de Pago. Los Reconocen?
PCI DSS v 3.0 Evolución Continua en la Seguridad de Medios de Pago 19 de Febrero 2014 R. Fabian Garzón, PCI QSA, CISM, CISSP, + Los Reconocen? http://www.nydailynews.com/news/national/target-executive-apologies-retailer-action-security-article-1.1601733
Más detallesNorma de seguridad de datos de la Industria de tarjetas de pago (PCI)
Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesLa Evolución de la Seguridad en Aplicaciones de Pago
La Evolución de la Seguridad en Aplicaciones de Pago 1 Agenda Objetivo Antecedentes Casos Famosos Consecuencia de una compromiso Aplicaciones de Pago y su evolución Mejores Practicas en desarrollo seguro
Más detallesInformación de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)
PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por
Más detallesPCI (industria de tarjetas de pago) Normas de seguridad de datos
PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación
Más detallesNorma de seguridad de datos de la Industria de tarjetas de pago (PCI)
rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre
Más detallesResumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)
Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesPCI (industria de tarjetas de pago) Normas de seguridad de datos
PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesPCI DSS v 3.1 Un enfoque práctico para su aplicación
PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesIngeniería de Software. Pruebas
Ingeniería de Software Pruebas Niveles de prueba Pruebas unitarias Niveles Pruebas de integración Pruebas de sistema Pruebas de aceptación Alpha Beta Niveles de pruebas Pruebas unitarias Se enfocan en
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesIndustria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago
Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración
Más detallesPresentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA
Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,
Más detallesPCI (industria de tarjetas de pago) Normas de seguridad de datos
PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información
Más detallesPCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.
PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesCiber-ataques en la Industria y sus Oportunidades
Ciber-ataques en la Industria y sus Oportunidades Lecciones en el Campo de batalla Ing. Kristian Ayala, M.C. / 11 de Septiembre de 2014 AGENDA Situación actual Organismos contribuyentes Estadísticas de
Más detallesSeguridad en el desarrollo
OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo
Más detallesBeneficios estratégicos para su organización. Beneficios. Características V.2.0907
Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detallesRoles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue
Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesLINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN
LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN Tabla de Contenidos LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN... 1 Tabla de Contenidos... 1 General... 2 Uso de los Lineamientos Estándares...
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesGUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000
1 INTRODUCCIÓN Dos de los objetivos más importantes en la revisión de la serie de normas ISO 9000 han sido: desarrollar un grupo simple de normas que sean igualmente aplicables a las pequeñas, a las medianas
Más detallesUNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES DESCRIPCIÓN DE CURSO DE LA CARRERA DE MAESTRÍA Y POSTGRADO EN AUDITORÍA DE SISTEMAS Y EVALUACIÓN
Más detallesServicios Administrados de Infraestructura
Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesNormas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesJavier Bastarrica Lacalle Auditoria Informática.
Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A
Más detallesNorma de uso Identificación y autentificación Ministerio del Interior N02
Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesInformation Security Network Management Solutions
SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesSoporte Técnico de Software HP
Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesTema 1: Organización, funciones y responsabilidades de la función de TI.
Tema 1: Organización, funciones y responsabilidades de la función de TI. 1- Se le han definido objetivos específicos a la función de TI? 2- Se ha identificado claramente de quién depende jerárquicamente
Más detallesPROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS
P-06-05 Marzo 2009 03 1 de 7 1. OBJETIVO Asegurar el funcionamiento eficiente y seguro de la Local Area Network (LAN) y de las telecomunicaciones en la Comisión Nacional de los Salarios Mínimos (CONASAMI),
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesITIL FOUNDATION V3 2011
ITIL FOUNDATION V3 2011 Examen de Certificación Instrucciones 1. Revise su Hoja de Respuesta, debe contener espacio para responder 40 preguntas y una sección para incorporar su Nombre 2. Espere por la
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesDOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe
Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las
Más detallesMestrado em Tecnologia da Informação. Segurança da Informação
Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,
Más detalles6445 Implementing and Administering Windows Small Business Server 2008
6445 Implementing and Administering Windows Small Business Server 2008 Introducción Este taller práctico de cinco días impartido por instructor, provee a estudiantes con el conocimiento necesario para
Más detallesMidiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014
Midiendo la efectividad de su programa de seguridad de información Iván Campos 28 de Mayo de 2014 Contenido Conversemos Cuál es tu experiencia? 3 Retos identificados 4 # Definiciones 5 Programa de Medición
Más detallesNombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: 4.2.2 DIRECCIÓN GENERAL DE EVALUACIÓN
Página 1 de 8 DIRECCIÓN GENERAL DE EVALUACIÓN 7.1 Planificación de la realización del servicio En la Dirección General de Evaluación (DGE) la planificación de la realización del servicio está sustentada
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesPolíticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica
Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica 2007 Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional
Más detallesLa Administración n de Servicios ITIL
La Administración n de Servicios ITIL Noviembre, 2006 1 1 ITIL y Administración n de Servicios IT DEFINICIONES ITIL: Infraestructure Technology Infraestructure Library Brinda un conjunto detallado de mejores
Más detallesREGISTRO DE PEDIDOS DE CLIENTES MÓDULO DE TOMA DE PEDIDOS E INTEGRACIÓN CON ERP
REGISTRO DE PEDIDOS DE CLIENTES MÓDULO DE TOMA DE PEDIDOS E INTEGRACIÓN CON ERP Visual Sale posee módulos especializados para el método de ventas transaccional, donde el pedido de parte de un nuevo cliente
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesAlgunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Más detallesSMV. Superintendencia del Mercado de Valores
INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE Nº 007--/09 MONITOREO DE SERVIDORES Y ADMINISTRACIÓN DE LOGS 1. NOMBRE DEL AREA: OFICINA DE TECNOLOGÍAS DE INFORMACIÓN 2. RESPONSABLE DE LA EVALUACIÓN:
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesManual de Procedimientos
1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.
SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos
Más detallesMACROPROCESO GESTIÓN TECNOLÓGICA
Versión 1.0 Página 1 de 5 1. OBJETIVO Suministrar las fases para la puesta en producción de aplicaciones y sistemas de información desarrollados o adquiridos por el Instituto Colombiano de Bienestar Familiar
Más detallesMODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA
MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN
Más detallesInformación sobre seguridad
Información sobre seguridad SMART kapp incluye características de protección de datos diseñadas para mantener el contenido controlador de forma predecible. En esta página se explican las características
Más detallesBanco de la República Bogotá D. C., Colombia
Banco de la República Bogotá D. C., Colombia Subgerencia de Informática Departamento de Seguridad Informática MANUAL DE USUARIO PARA EL SERVICIO - SISTEMA DE GESTIÓN PKI DE USUARIOS ROAMING - USI-GI-56
Más detallesiphone en la empresa Administración de dispositivos móviles
iphone en la empresa Administración de dispositivos móviles iphone es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones a escala
Más detallesSeguridad en medios de pagos
Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida
Más detallesIBM Tivoli Asset Management for IT. IBM Tivoli Service Request Manager
for IT & IBM Tivoli Service Request Manager Optimice sus procesos IT, maximice sus activos y mejore el nivel de servicio. Para obtener altos niveles de servicio, reducir costes y alcanzar las metas del
Más detallesCMMI (Capability Maturity Model Integrated)
CMMI (Capability Maturity Model Integrated) El SEI (software engineering institute) a mediados de los 80 desarrolló el CMM (modelo de madurez de la capacidad de software). CMMI: CMM integrado, una mezcla
Más detallesOBLIGACIONES DE HACER INSTITUCIONES PÚBLICAS (INSTITUCIONES EDUCATIVAS, HOSPITALES Y CENTROS DE SALUD) DECRETO 2044 DE 2013
OBLIGACIONES DE HACER INSTITUCIONES PÚBLICAS (INSTITUCIONES EDUCATIVAS, HOSPITALES Y CENTROS DE SALUD) DECRETO 2044 DE 2013 ANEXO 5 MONITOREO Y SISTEMAS DE INFORMACION JUNIO 2014 ÍNDICE DE CONTENIDOS MONITOREO
Más detallesInformación sobre seguridad
Información sobre seguridad SMART kapp iq incluye características de seguridad de datos diseñadas para mantener su contenido de controlado de forma predecible. En esta página se explican las características
Más detallesProcedimiento de Gestión de Incidentes de Seguridad de la Información
SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:
Más detallesCONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL
I. Datos Generales de la Calificación CINF0286.01 Título Análisis y diseño de redes de datos Propósito Proporcionar un referente para evaluar la competencia en las funciones relativas al análisis y diseño
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesINFORME Nº 032-2010-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
INFORME Nº 03-00-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE. Nombre del Área El área encargada de la evaluación técnica para la adquisición de la solución de seguridad de información es el Departamento
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesPOLITICA DE SISTEMA DE CONTROL INTERNO
POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detalles