PCI DSS 3.0 HA LLEGADO!!

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PCI DSS 3.0 HA LLEGADO!!"

Transcripción

1 PCI DSS 3.0 HA LLEGADO!! Evolución continua en la Seguridad de Medios de Pago 14 de Noviembre 2013 Germán Franco, PCI QSA R. Fabian Garzón, CISM, CISSP, + Agenda CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS Definiciones Previas, ingresando al mundo PCI DSS Cambios destacables en PCI DSS 3.0 Conclusiones Preguntas 1

2 ACLARACIÓN DE TÉRMINOS Safety Assurance Security Resilience Computer Security (Seguridad Informática) IT Security (Seguridad Informática ó Seguridad en TI) Information Security (Seguridad de la Información) Information Assurance (Seguridad de la Información ó Aseguramiento de la Información) Resilience y Survivality Network Security Internet Security Application Security CIBERSEGURIDAD (CYBERSAFETY vs CYBERSECURITY) SEGURIDAD DE LA INFORMACIÓN Y OTROS DOMINIOS INTERNET Cybercrime Information Security Application Security Cybersecurity CyberSafety CIBERESPACIO Network Security Internet Security CIIP (Critical Information Infrastructure Protection) 2

3 CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS Requerimiento 6.5 CERT Secure Coding Requerimiento 6.2 -> 6.1 El proceso para identificar nuevas vulnerabilidades de seguridad, incluyendo el uso de fuentes externas confiables para obtener información actualizada de vulnerabilidades. Ranking de Vulnerabilidades (CVSS) CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS 3

4 Requerimiento > CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS El Plan de Respuesta a Incidentes debe ser completo y contener todos los elementos clave que le permitan a su organización responder de manera efectiva en el evento de una brecha que pueda impactar los datos de tarjetahabiente Personal del equipo de respuesta a incidentes, debe estar entrenado y disponible para evitar que los daños se extiendan Desarrollar un proceso para modificar y evolucionar el plan de respuesta a incidentes de acuerdo a lecciones aprendidas y que incorpore desarrollos de la industria NIST (rev 1 y rev 2) ISO SANS Incident Handling Step by Step CERT/CC Centro de Desarrollo e Investigaciones. Propósito: ayudar a mejorar las capacidades en ingeniería de software, desarrollo y/o adquisición del software correcto, libre de defectos, dentro del presupuesto y a tiempo, todo el tiempo Visión: Liderar y promover software y ciberseguridad para resolver los problemas más duros de la nación Acquisition Support Measurement and Analysis Process & Performance Improvement Smart Grid Cyber-Physical Systems Performance & Dependability Risk Management Software Architecture Digital Intelligence and Forensic Pervasive Mobile Computing Security & Survivability Software Product Lines ACQUISITION SECURITY PROCESS MANAGEMENT SOFTWARE DEVELOPMENT RISK System of Systems Ultra-Large Scale Systems SYSTEM DESIGN 4

5 CERT Program, desde 1988 esta organización (subsidiaria del SEI,) trabaja en proyectos con un enfoque proactivo para la seguridad de los sistemas y cuyo propósito ha sido mejorar la capacidad y resiliencia de las redes y sistemas de cómputo. CERT/CC Secure Coding CERT/CC PROGRAM Software Assurance Malicious Code Analysis Vulnerability Analysis Forense Coordinated Response CSIRTs development National CSIRTs Secure Systems NetSA CyberSecurity Engineering Governance Training Organizational Security RMM Insider Threat Center SEI PARTNER 5

6 QUE SIGNIFICA SER SEI CERT/CC PARTNER? Somos una extensión del SEI (Software Engineering Institute) Licenciados para entregar servicios auténticos y con la misma calidad del SEI a través de personal entrenado directamente por SEI Permiso para usar la propiedad intelectual de SEI Acceso al estado del arte en Respuesta a Incidentes Entrenadores en Creación y Gestión de CSIRTs, y en Respuesta Avanzada de Incidentes MODELO DE LA GESTION DE INCIDENTES Preparación Estableciendo la capacidad y el proceso de manejo de incidentes Entrenamiento Guías, instructivos, formatos Listas de notificación Matrices Herramientas de manejo de incidentes Sistemas de seguimiento Manejo de Medios Políticas y procedimientos de respuesta Detección Reportes de los interesados Listas de privadas o públicas Monitoreo de redes y sistemas IPS /IDS Logs Triage Categorizar Correlacionar Priorizar Asignar Escalar Respuesta (técnica, legal, administrativa) Verificar Contener Investigar Erradicar y mitigar Recuperar Seguimiento Protección Defensas internas y externas actualizadas basados en amenazas nuevas Gestión de parches, cambios y configuraciones Evaluaciones de infraestructura Análisis de riesgos Scans de vulnerabilidades 6

7 SERVICIOS PROFESIONALES EN RESPUESTA A INCIDENTES DE SEGURIDAD Diagnóstico de sus capacidades de gestión de incidentes (AS-IS state) Asesorías en planeación, implementación, operación y mejora en sus capacidades de respuesta a incidentes de seguridad Servicios para apoyarlo a desarrollar, establecer, operar, mantener y mejorar un equipo de respuesta a incidentes de seguridad(csirt) Entrenamiento avanzado Brecha Compromiso Carders CHD PCI SSC PCI DSS PA DSS QSA ASV BIN CDE PIN PAN CVV CVV2 Truncar Banco Emisor Tokenizar El Mundo PCI Enmascarar ISO 7813 P2PE TRACK HSM Autorización Conciliación CVSS Formula de Luhn ó Modulo 10 ISO 8583 EPP Adquirente Compensación FIM WAF OWASP WIPS Control Compensatorio Inspección de Código PFI PTS PED POS CWE/SANS ATM TDE Proveedores de Servicio PCIP ISA POI 7

8 LA INDUSTRIA EL PCI SSC Entidades Financieras Asesores Comercios Fabricantes Gateways Redes ACH Proveedores de Servicios Procesadores 8

9 LATINOAMERICA EN EL PCI SSC NORMAS PCI 9

10 Qué tienen en común? PCI DSS Payment Card Industry Data Security Standard Norma de seguridad que deben cumplir las organizaciones que Procesan, Transportan o Almacenan datos de cuenta (Account Data). La mejor línea de Defensa contra la Exposición y compromiso a los datos de cuenta. 10

11 DATOS DE CUENTA = CHD + SAD EL CICLO DE VIDA PCI DSS PCI DSS ver 1.0 del 2005, es la evolución del más maduro estándar de VISA. PCI DSS ver 1.1 válido a partir de Septiembre del 2006 PCI DSS ver 1.2 válido a partir de Octubre 2008 PCI DSS ver 2.0 Divulgada el 28 de Octubre de 2010, válida a partir de Enero 2011 PCI DSS ver 3.0 Divulgada el 7 de Noviembre de 2013, válida a partir de 1 de Enero

12 Feedbacks Más de 200 Feedbacks Queries directos a bases de datos Pen testing por empresas avaladas por el PCI SSC, tipo ASV Scan de vulnerabilidades interno por una ASV Guía sobre scoping y segmentación Más prescriptivo sobre los service providers en acuerdos contractuales y cumplimiento Llaves de encripción vinculadas a cuentas de usuarios, una guía adicional Passwords más exigentes, expandir la autenticación más allá de passwords Requerimiento 12 se vuelva Requerimiento 1 Las revisiones diarias de logs son irreales sin un sistema de alertas establecido y funcional SAD no pueden ser almacenados después de la autorización, pero cuanto tiempo es demasiado tiempo? SAD sin PANS Dejar usar el Logo del PCI SSC DLP(IPS) La Seguridad y el Negocio Funcionalidad (Características) Seguridad (Restricciones) Usabilidad (GUI) 12

13 Premisas La versión 3.0 introduce más cambios que la versión 2.0. Los 12 requerimientos principales permanecen, hay nuevos subrequerimientos El estándar actualizado pretende ayudar a las organizaciones no haciendo requerimientos más prescriptivos, sino agregando más flexibilidad y guía para integrar la seguridad de los datos de cuenta dentro de las actividades cotidianas de negocio (business-as-usual) Los cambios están diseñados para darle a las organizaciones una fuerte pero flexible arquitectura de seguridad basada en principios Tipos de Cambios CLARIFICACIONES Se clarifica el propósito del requerimiento. Palabras precisas y concisas en la norma que muestren el propósito deseado del requerimiento. 74 GUIA ADICIONAL Explicaciones y/o definiciones adicionales para aumentar el entendimiento o brindar información adicional sobre un tópico particular 5 REQUERIMIENTO MEJORADO EVOLUCIÓN Cambios para asegurar que la norma se mantiene actualizada con amenazas emergentes y cambios en el mercado 19 13

14 La Estructura de la Norma La Estructura de la Norma Procedimientos de prueba mejorados para clarificar el nivel de validación esperado para cada requerimiento 14

15 Procedimientos de prueba mejorados (muestra) Procedimientos de prueba mejorados (muestra) 15

16 La Estructura de la Norma La plantilla para elaborar el PCI DSS ROC se emite en el primer trimestre del 2014 ROC REPORTING TEMPLATE Fuente: https://www.pcisecuritystandards.org/documents/pci_dss_2.0_roc_reporting_instructions.pdf 16

17 Educación y Concientización Temas clave Flexibilidad Mejores prácticas Business-as-usual Navigating PCI DSS se incorpora Educación a usuarios en cuanto a Passwords (8.4) Entrenamiento a los PA-DSS vendors Políticas de seguridad y procedimientos operacionales integrados en cada Requerimiento Entrenamiento y seguridad en POS security (9.9) La Seguridad como una responsabilidad compartida Seguridad en terminales POS Password de los proveedores de servicio Definir las Responsabilidades de los Proveedores y Clientes Balance entre lo prescriptivo y la flexibilidad mientras no se debilite la integridad, la fortaleza o efectividad del estándar, y sin restringir a las organizaciones a que utilicen métodos específicos Fortaleza/Complejidad de Passwords Detección de cambios Revisión de logs basado en riesgos WAF o mecanismo similar Respuesta a Nuevas Amenazas Cambios de passwords default aplica a cuentas de servicio, cuentas de aplicaciones y cuentas de usuarios Vulnerabilidades en código para ser evitadas en los procesos de desarrollo de software Aclaraciones iniciales (A) SAD (Datos Sensibles de Autenticación) no deben ser almacenados después de la autorización, incluso si están cifrados. Esto aplica incluso donde no hay PAN en el entorno. Las organizaciones deben contactar directamente a su adquirente o a las marcas para entender si SAD es permitido ser almacenado antes de la autorización, por cuanto tiempo, y cualquier requisito de uso y protección. 17

18 Aclaraciones iniciales (B) CDE Componentes de Sistema incluyen dispositivos de red, servidores, dispositivos de cómputo y aplicaciones. Componentes de sistema incluyen pero no están limitados a los siguientes: Sistemas que proveen servicios de seguridad (por ejemplo, servidores de autenticación), que facilitan la segmentación (por ejemplo, firewalls internos), o pueden impactar la seguridad del CDE. Componentes de Virtualización tales como máquinas virtuales, switches/routers virtuales, appliances virtuales e hypervisors. Aclaraciones iniciales (B) CDE Componentes de red incluyendo pero no limitados afirewalls, switches, routers, wireless access points, network appliances, y otros security appliances. Tipos de Servidores, incluyendo pero no limitados a web, aplicación, base de datos, autenticación, mail, proxy, NTP, and DNS. Aplicaciones incluyendo las compradas y personalizadas, incluyendo internas y externas Cualquier otro componente o dispositivos ubicado dentro o conectado al CDE 18

19 Sección nueva Mejores prácticas para la Implementación de PCI DSS dentro de los procesos de negocio normales/cotidianos Best Practices for Implementing PCI DSS into Business-as-Usual Processes Monitoreo de los controles de seguridad Si un control falla: Restauración, Identificar la causa de la falla, resolver los asuntos de seguridad que surgieron durante la falla, evitar que falla del control vuelva a ocurrir, monitoreo mejorado por un periodo de tiempo para verificar la restauración efectiva del control Cambios en el entorno PCI DSS como parte de la estrategia de seguridad corporativa Comunicaciones y revisiones periódicas Revisiones anuales de hardware y software (soporte) Políticas y procedimientos operacionales Documentados, en uso y conocidos La política de seguridad debe abordar todos los requerimientos de PCI DSS 12.2 Desarrollar procedimientos de seguridad operacionales diarios que sean consistentes con los requerimientos (por ejemplo, procedimientos de mantenimiento de cuentas de usuarios, procedimientos de revisión de logs) 1.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar firewalls estén documentados, en uso y sean conocidos por todas las partes afectadas 2.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar parámetros de seguridad y otros valores por defecto de los fabricantes estén documentados, en uso y sean conocidos por todas las partes afectadas 3.7 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger datos de tarjetahabiente almacenados estén documentados, en uso y sean conocidos por todas las partes afectadas 19

20 Políticas y procedimientos operacionales Documentados, en uso y conocidos 4.3 Asegurese que las políticas de seguridad y procedimientos operacionales para cifrar las transmisiones de datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 6.7 Asegurese que las políticas de seguridad y procedimientos operacionales para desarrollar y mantener sistemas seguros y aplicaciones estén documentados, en uso y sean conocidos por todas las partes afectadas 5.4 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger sistemas contra malware estén documentados, en uso y sean conocidos por todas las partes afectadas Políticas y procedimientos operacionales Documentados, en uso y conocidos 7.3 Asegurese que las políticas de seguridad y procedimientos operacionales para restringir acceso a datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 8.8 Asegurese que las políticas de seguridad y procedimientos operacionales para la identificación y autenticación estén documentados, en uso y sean conocidos por todas las partes afectadas 9.10 Asegurese que las políticas de seguridad y procedimientos operacionales para la restricción de acceso físico a los datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 20

21 Políticas y procedimientos operacionales Documentados, en uso y conocidos 10.8 Asegurese que las políticas de seguridad y procedimientos operacionales para monitorear todos los accesos a recursos de red y datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 11.6 Asegurese que las políticas de seguridad y procedimientos operacionales para el monitoreo y las pruebas de seguridad estén documentados, en uso y sean conocidos por todas las partes afectadas Novedades: Requerimiento Diagrama de red actualizado con todas las conexiones a datos de tarjetahabiente, incluyendo cualquier red inalámbrica a Verificar que el diagrama de red actual (por ejemplo, uno que muestre los flujos de datos de tarjetahabiente en la red) existe y que documenta todas las conexiones a datos de tarjetahabiente Diagrama de red actualizado que muestra todos los flujos de datos de tarjetahabiente a través de sistemas y redes Mostrar todos los flujos de datos de tarjetahabiente a través de sistemas y redes SNMP v1 and v2 inseguros Archivos de configuración de routers asegurados de accesos no autorizados Implementar medidas anti-spoofing para detectar y bloquear IPs fuentes falsificadas 21

22 Novedades: Requerimiento 2 Guías de Hardening 2.1 Siempre cambie los valores default entregados por los fabricantes y remueva o deshablite cuentas default innecesarias antes de instalar un sistema en la red. Esto aplica a TODOS los passwords default, incluyendo pero no limitados a aquellos usados en Sistemas operativos, software que provee servicios de seguridad, aplicaciones y cuentas de sistema, terminales POS, cadenas SNMP, etc 2.2.d Verificar que los estándares de configuración incluyen los siguientes procedimientos para todos los tipos de componentes de sistema: Cambio de todos los valores default suministrados por los fabricantes y eliminación de cuentas default innecesarias Implementación de solo una función principal por servidor Habilitar solo servicios necesarios, protocolos, etc Remover todas las funcionalidades innecesarias, tales como scripts, drivers, propiedades, subsistemss, file systems, y servidores web innecesarios 2.4 Mantener un inventario de componentes de sistema que están en el alcance de PCI DSS Novedades: Requerimiento No almacene datos sensibles de autenticación después de la autorización (incluso si están cifrados) Si datos sensibles de autenticación son recibidos, deje todos estos datos irrecuperables (unrecoverable) hasta que se complete el proceso de autorización 3.2.c. Si datos sensibles de autenticación son recibidos, revisar las políticas y procedimientos, y examinar las configuraciones de los sistemas para verificar que los datos no son retenidos después de la autorización 3.3.a Examinar las políticas y procedimientos para enmascarar el despliegue de PANs para verificar: Una lista de roles que necesitan acceso a despliegues de full PANs está documentada, junto con una necesidad legítima de negocio para cada rol que tiene dicho acceso. 22

23 Novedades: Requerimiento 4 Ejemplos de redes públicas abiertas incluyen pero no están limitadas a Internet Tecnologías Wireless ( y Bluetooth ) Tecnologías de Cellular, por ejemplo Global System for Mobile communications (GSM), Code division multiple access (CDMA) General Packet Radio Service (GPRS). Comunicaciones satelitales Novedades: Requerimiento 5 Requerimiento 5: Utilice y regularmente actualice el software o los programas anti-virus Requerimiento 5: Proteja todos los sistemas contra malware y regularmente actualice el software o los programas anti-virus Para aquellos sistemas que se consideran no ser generalmente afectados por software malicioso, desempeñe evaluaciones periódicas para identificar y evaluar amenazas de malware evolucionadas, para confirmar si dichos sistemas continuan ó no requiriendo software anti-virus 5.3 Asegurarse que los mecanismos de anti-virus estén activos continuamente y no pueden ser deshabilitados ó alterados por los usuarios 23

24 Novedades: Requerimiento 6 Cambió el órden: 6.1 y Nota: esto aplica a todo el software desarrollado internamente así como software desarrollado por un tercero (bespoke or custom software) 6.5.b Entrevistar una muestra de personal de desarrollo y obtener evidencia de que ellos conocen técnicas de codificación segura 6.5.c Registros de entrenamiento para verificar que los desarrolladores de software recibieron entrenamiento en técnicas de codificación segura, incluyendo como evitar vulnerabilidades de seguridad comunes y entiendan como los datos sensibles son manejados en memoria Coding techniques document how PAN/SAD is handled in memory, to minimize potential exposure. Novedades: Requerimiento Broken authentication and session management 6.6 Para public-facing web applications Flagging session tokens (por ejemplo cookies) as secure No exponer session IDs en el URL Incorporar time-outs adecuados y rotación de session IDs después de login exitosos Métodos: Métodos manuales o automáticos de valoración de vulnerabilidades a aplicaciones Nota: Diferente al Instalar una solución técnica que detecte y evite ataques basados en web (por ejemplo, un web-application firewall) 24

25 Novedades: Requerimiento 7 Clarificaciones respecto al manejo de roles y las necesidades de acceso Novedades: Requerimiento 8 Requerimiento 8: Asignar un Único ID a cada persona con acceso a computadores Requerimiento 8: Identificar y autenticar accesos a los componentes de sistema 8.3 Combinó la complejidad mínima para passwords y fortaleza en un único requerimiento, e incrementó la flexibilidad respecto a alternativas que sean equivalentes a la complejidad y fortaleza: Longitud mínima 7 caracteres Contener caracteres numéricos y alfabéticos De manera alterna, los passwords/phrases deben tener complejidad y fortaleza, al menos equivalente a los parámetros arriba especificados 25

26 Novedades: Requerimiento Comunicar las políticas y procedimientos de autenticación a todos los usuarios que tienen acceso a CHD 8.4 Documentar y comunicar las políticas y procedimientos de autenticación a todos los usuarios incluyendo: Guía sobre seleccionar credenciales de autenticación fuertes Guía sobre como los usuarios deben proteger sus credenciales de autenticación Instrucciones para no reutilizar passwords previamente usados Instrucciones para cambiar passwords si hay sospechas que el password pudo ser comprometido Novedades: Requerimiento Requerimiento adicional para proveedores de servicio: Proveedores de Servicio con acceso remoto a instalaciones del cliente (por ejemplo, para soporte a sistemas POS o servidores) deben usar una única credencial de autenticación (tal como password/phrase) para cada cliente 26

27 Novedades: Requerimiento Control de Acceso Físico para personal en sitio a las áreas sensibles, de esta manera: Acceso debe ser autorizado y basado en la función del individuo Acceso es revocado inmediatamente al terminar el empleo, y todas las llaves, tarjetas de acceso y mecanismos de acceso físico deben ser regresados o deshabilitados Novedades: Requerimiento Proteger dispositivos que capturan CHD vía interacción directa con la tarjeta, de alteración y sustitución 9.9 Examinar políticas y procedimientos documentados para verificar que estos incluyan: Mantenimiento de una lista de dispositivos Inspeccionar periodicamente dispositivos para buscar manipulacions o sustituciones Entrenar al personal para que sepan identificar comportamientos sospechosos y para reportar las alteraciones o sustituciones de los dispositivos 27

28 Suplemento Novedades: Requerimiento Uso de mecanismos de identifcación y autenticación Uso de y cambios a los mecanismos de identificación y autenticación incluyendo pero no limitado a la creación de nuevas cuentas o elevación de privilegios- y todos los cambios, adiciones o borrados de cuentas con privilegios administrativos o tipo root 28

29 Novedades: Requerimiento Inicialización de los logs de auditoría Inicialización, apagado o pausa de los logs de auditoría Revisión de logs al menos diariamente: Todos los eventos de seguridad Logs de todos los componentes de sistema que almacenan, procesan o transmiten CHD y/o SAD, o que pueden impactar la seguridad del CHD y/o SAD Logs de todos los componentes de sistema críticos Logs de todos los servidores y componentes de sistema que desempeñan funciones de seguridad Revisión de logs periódica de otros componentes de sistema basado en las políticas y estrategia de gestión de riesgos, como se determinó en la valoración anual de riesgos Novedades: Requerimiento Mantener un inventario de los access points inalámbricos autorizados incluyendo la justificación de negocio documentada 11.2 Nota: Múltiples reportes de escans pueden ser combinados que muestren que todos los sistemas fueron escneados y que las vulnerabilidades aplicables fueron resueltas. Documentación adicional pude ser requerida para verificar las vulnerabilidades no remediadas y que están en proceso de ser remediadas 29

30 Novedades: Requerimiento Implementar una metodología para pruebas de penetración (intrusión) que incluya lo siguiente: Basada en enfoques de industria (por ejemplo, NIST SP ) Incluya pruebas tanto desde adentro como afuera de la red Incluya pruebas para validar cualquier segmentación y controles de reducción de alcance Verificación de la segmentación y aislamiento de sistemas fuera del alcance Defina las pruebas de penetración a la capa de aplicación, como mínimo las vulnerabilidades del requerimiento 6.5 Novedades: Requerimiento Despliegue de mecanismos de detección de cambios (por ejemplo herramientas FIM) para alertar al personal de modificaciones no autorizadas de archivos de sistema críticos,..; y configurar el software para ejecutar la comparación al menos semanalmanete Implementar un proceso para responder a cualquier alerta generada por la solución de detección de cambios 30

31 Novedades: Requerimiento Mantener información sobre cuales requerimientos PCI DSS son gestionados por cada proveedor de servicio, y cuales son gestionados por la entidad 12.9 Requerimiento adicional para los proveedores de servicio: Los proveedores de servicio reconocen por escrito a sus clientes, que ellos son responsables por la seguridad de los datos de tarjetahabiente que el proveedor posee, o almacena, procesa o transmite en nombre del cliente, o al grado en que ellos puedan impactar la seguridad del CDE del cliente Aclaración: Requerimiento Any such authorized personnel are responsible for ensuring that cardholder data in their possession is handled in accordance with all PCI DSS requirements, as that remote personnel s environment is now considered a part of the organization s cardholder data environment. 31

32 Grupos de interés especial (SIG) 2012 Grupos de interés especial (SIG) 2014 Best Practices for Implementing a Formal Security Awareness Program Best Practices for Merchants: Skimming Prevention Best Practices for Small Merchants 2013 Encryption Key Management Guidance Guidance on Securing Admin Access to CDE Guidance on Steps to Obtain PCI DSS Certification Third Party Security Assurance Incident Response Plan Toolkit Best Practices for Maintaining PCI DSS Compliance Increase Security at Retail Stores PCI DSS as it relates to "Mainframe Type" Environments Penetration Testing Scoping Guidance 32

33 Making payment security business-as-usual Best Practices for Maintaining PCI DSS Compliance Qué PCI DSS sea un programa que facilite y soporte la seguridad de manera constante y a largo plazo de los datos de tarjetahabiente de la organización Disminuir el conflicto que surge cuando las prioridades del negocio inhiben el cumplimiento continuo de PCI después del cumplimiento inicial alcanzado Combinar PCI DSS con objetivos de negocio y formular los controles de gobierno apropiados, en ambientes de constante cambio Best Practices for Maintaining PCI DSS Compliance Explorar varias estructuras de gobierno (COSO, 27001, 27002, COBIT, ITIL) y desarrollar una guía que incluya: Integración PCI DSS en el negocio y los procesos de cambio Mejores prácticas y controles que ayuden la cumplimiento constante y como parte de BAU 33

34 LA SOBRECARGA DEL CUMPLIMIENTO Regulación Internacional SOX SARO Circu lares Regulación Nacional Leyes de Proteccion de Datos Regulación de Industria SARC, SARLAFT PCI DSS Intromisión Externa No Deseada? COBIT, ISO 27002, ISO ITIL PROYECTOS PMI ORGANIZACION GRC GESTION DE RIESGOS y CUMPLIMIENTO CONSIDERACIONES FINALES Determine con Precisión el Alcance y actualice flujos de CHD El Cumplimiento es resultado de la Seguridad (Integración con un SGSI) Aunque haya tiempo, adopte PCI 3.0 lo más pronto posible Aproveche los recursos del PCI Security Standards Council https://www.pcisecuritystandards.org/index.shtml Un Estándar de Seguridad lo suficientemente maduro, que ha ayudado en la reducción de fugas y fraudes 34

35 Germán Franco, PCI QSA R. Fabian Garzón, CISM, + Gracias Calle 109 No. 18 B-31, Of. 205 Tel: (57 1) / 81 Fax: (57 1) Bogotá, Colombia 35

Evolución Continua en la Seguridad de Medios de Pago. Los Reconocen?

Evolución Continua en la Seguridad de Medios de Pago. Los Reconocen? PCI DSS v 3.0 Evolución Continua en la Seguridad de Medios de Pago 19 de Febrero 2014 R. Fabian Garzón, PCI QSA, CISM, CISSP, + Los Reconocen? http://www.nydailynews.com/news/national/target-executive-apologies-retailer-action-security-article-1.1601733

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

La Evolución de la Seguridad en Aplicaciones de Pago

La Evolución de la Seguridad en Aplicaciones de Pago La Evolución de la Seguridad en Aplicaciones de Pago 1 Agenda Objetivo Antecedentes Casos Famosos Consecuencia de una compromiso Aplicaciones de Pago y su evolución Mejores Practicas en desarrollo seguro

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

PCI DSS, UN PROCESO CONTINUO

PCI DSS, UN PROCESO CONTINUO Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com

Más detalles

Seguridad en medios de pagos

Seguridad en medios de pagos Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA INFORMACIÓN Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA AGENDA Una mirada actual Regulaciones Requerimientos de Gestión de Riesgo Requerimientos PCI Payment

Más detalles

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems Temario Casos reales de robo de información

Más detalles

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation y el cumplimiento normativo: PCI-DSS y PA-DSS 13/09/2011 Juan Jose Rider Jimenez member Spain Chapter Juan.Rider@owasp.org Copyright The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Boletín Asesoría Gerencial*

Boletín Asesoría Gerencial* Boletín Asesoría Gerencial* Agosto 2007 Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas? el? *connectedthinking ? el? El entorno de

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014 Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina Guatemala Julio 2014 Agenda Introducción Tendencias Seguridad 2014 Conclusiones 2014 - Deloitte Introducción

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Seguridad en el desarrollo

Seguridad en el desarrollo OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Comerciantes con sistemas de aplicaciones de pago conectados a Internet.

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

Security Management. Control identity access information

Security Management. Control identity access information Security Management Control identity access information El poder de los usuarios privilegiados, como gestionar, controlar su actividad y cumplir con las exigencias regulatorias Qué representan estos números

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina Estado del arte de la seguridad de la información Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina Agenda Incidentes de seguridad El rol del CISO Presión de las regulaciones

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard PCI DSS: Las leyes de Seguridad de VISA y Mastercard Daniel Fernández Bleda CISA, CISSP, ISO27001 Lead Auditor OPST/A Trainer, CHFI Instructor Internet Security Auditors Socio Fundador dfernandez@isecauditors.com

Más detalles

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Métricas para la Seguridad de las Aplicaciones MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Expositor About Me MAI. Andrés Casas, Director de Gestión de Riesgo de

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011 Sistemas de Detección y Prevención de Intrusos Estado del Arte Charles Ware cware@uy.ibm.com Agosto 2011 Agenda Concientización y estate del arte Historia Detección de Intrusos Prevención de Intrusos IDPS

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

6445 Implementing and Administering Windows Small Business Server 2008

6445 Implementing and Administering Windows Small Business Server 2008 6445 Implementing and Administering Windows Small Business Server 2008 Introducción Este taller práctico de cinco días impartido por instructor, provee a estudiantes con el conocimiento necesario para

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) rmas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas

Más detalles

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Evolución de la estrategia de seguridad de la información basada en indicadores Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Agenda Planeación estratégica de seguridad Gobierno de Seguridad Indicadores

Más detalles

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A.

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 1 Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 2 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Servicios en seguridad de la información Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción a la seguridad Evaluación de Riesgo. Implementación de la seguridad Planes para

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

SEGURIDAD ataques riesgos tipos de amenazas

SEGURIDAD ataques riesgos tipos de amenazas SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014 Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad de la Información Andrés L. Gil Rosario, Diciembre 2014 Agenda Seguridad de la Información y Cyber Riesgos Hoy Principales tendencias en Gestión

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Webcast Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Network & Security Solutions Manager - LATAM El Problema: La Protección de sus Puntos Finales Control de Laptops / Netbooks Uso no controlado del

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Álvaro Rodríguez @alvrod PayTrue

Álvaro Rodríguez @alvrod PayTrue Álvaro Rodríguez @alvrod PayTrue Desarrolla soluciones para la industria de medios de pago (PCI) desde 2003 Sistemas integrales de procesamiento de tarjetas (crédito, débito, prepago) Sistemas de prevención

Más detalles

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude?

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? NCR Security le facilita cumplir con los requisitos de la Industria

Más detalles

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM Security Information and Event Management (SIEM) está diseñado para brindar monitoreo de TI continuo, inteligencia

Más detalles

La historia de Imperva

La historia de Imperva La historia de Imperva La misión de Imperva es sencilla: Proteger la información que impulsa a las empresas de nuestros clientes Para lograr eso, Imperva es la empresa líder en la creación de una nueva

Más detalles

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones

Más detalles

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Alcance y descripción del servicio ANTIVIRUS IPLAN

Alcance y descripción del servicio ANTIVIRUS IPLAN Alcance y descripción del servicio ANTIVIRUS IPLAN 1. Introducción. El servicio de Antivirus IPLAN ofrece una amplia cobertura contra distintos tipos de detecciones, permitiendo de forma cotidiana, efectiva

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Ciber-ataques en la Industria y sus Oportunidades

Ciber-ataques en la Industria y sus Oportunidades Ciber-ataques en la Industria y sus Oportunidades Lecciones en el Campo de batalla Ing. Kristian Ayala, M.C. / 11 de Septiembre de 2014 AGENDA Situación actual Organismos contribuyentes Estadísticas de

Más detalles

PCI DSS: Data Security Standard. Noviembre 09 Evento Política digital

PCI DSS: Data Security Standard. Noviembre 09 Evento Política digital PCI DSS: Data Security Standard Noviembre 09 Evento Política digital Fraude un problema permanente Sofisticación Falsificación Robo de datos (tarjeta no presente) Velocidad Volumen Fraude en cajeros Fraudes

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Mayor seguridad en las transacciones con tarjetas

Mayor seguridad en las transacciones con tarjetas Mayor seguridad en las transacciones con tarjetas Hoy en día, a nadie se le escapa que el principal medio de pago en todo el mundo es la tarjeta de crédito. Ante el aumento de los fraudes en los últimos

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

Bootcamp de Certificación 2015

Bootcamp de Certificación 2015 CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014 Experiencias i de Seguridad d en SAP Julio C. Ardita, CISM jardita@cybsec.com 9 de Abril de 2014 Agenda - Seguridad en la arquitectura - Seguridad en el SO y DB del entorno SAP - Seguridad a nivel técnico

Más detalles

Seguridad Integral de la Información.

Seguridad Integral de la Información. Seguridad Integral de la Información. VP Empresas Fecha: Octubre de 2009 Cesar.farro@t-empersas.com.pe BSI Lead Auditor, GIAC GSNA y GFWA - SANS Local Mentor Program Product Manager de Seguridad TI 01

Más detalles

Gestión de Riesgos de Compliance en medios de pagos de tarjetas

Gestión de Riesgos de Compliance en medios de pagos de tarjetas www.pwc.es Gestión de Riesgos de Compliance en medios de pagos de tarjetas JORNADA TÉCNICA 2013 Israel Hernández Ortiz. Director - Riesgos Tecnológicos Objetivos 1. Analizar el estado actual de respuesta

Más detalles

NEXT GENERATION FIREWALL

NEXT GENERATION FIREWALL NEXT GENERATION FIREWALL Los modelos NG1000-A y NG5000-A han sido diseñados para proteger servidores de comercio electrónico de alto tráfico, redes universitarias dinámicas o cualquier otro entorno en

Más detalles

Estado de la Seguridad Informática

Estado de la Seguridad Informática 1 Estado de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com CIASFI 2004 23 de Abril de 2004 Córdoba - ARGENTINA 2 Temario - Situación en la Argentina. - Realidades - Qué pasa con la seguridad

Más detalles

Desafíos y Tendencias en Seguridad Informática. Miguel Pérez Arata CEO Novared

Desafíos y Tendencias en Seguridad Informática. Miguel Pérez Arata CEO Novared Desafíos y Tendencias en Seguridad Informática Miguel Pérez Arata CEO Novared 13 de Octubre 2004 Agenda Novared: Introducción Cuál es el desafío de seguridad Como se enfrentan estos desafíos Como ayuda

Más detalles

Retorno de Inversión en la Adecuación a la normativa PCI DSS

Retorno de Inversión en la Adecuación a la normativa PCI DSS Retorno de Inversión en la Adecuación a la normativa PCI DSS Septiembre 2011 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043

Más detalles

Servicios Administrados de Seguridad lógica

Servicios Administrados de Seguridad lógica Servicios Administrados de Seguridad lógica Índice Objetivos Alcance Servicios Administrados Soluciones propuestas Objetivo Mejorar y fortalecer las políticas de seguridad lógica que actualmente existen.

Más detalles

MDM: Un enfoque de productividad y seguridad

MDM: Un enfoque de productividad y seguridad MDM: Un enfoque de productividad y seguridad Armando Enrique Carvajal Rodríguez Gerente Arquitecto de Seguridad de la información - Globaltek Security S.A Master en seguridad informática - Universidad

Más detalles

PROGRAMA DE ASIGNATURA

PROGRAMA DE ASIGNATURA PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización X Lic. En Tecnología Informática Lic. En Administración

Más detalles

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Organiza: Patrocina: Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Abril 2011 Colabora: c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de 2008 1.2 Alinear

Más detalles