REQUISITOS DE LA PCI-DSS

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "REQUISITOS DE LA PCI-DSS"

Transcripción

1 TRADUCCIÓN REQUISITOS DE LA PCI-DSS Versión 1.1 Lanzamiento: Septiembre, 2006 Preparado por: HQS International Contacto: Joseph M Handschu JUNIO 2007

2 Construir y mantener una Red Segura Requisito 1: Instalar y mantener una configuración para proteger los datos del titular de la tarjeta Requisito 2: No utilice los defectos provistos del vendedor para las contraseñas del sistema y otros parámetros de la seguridad Proteger los datos del titular de la tarjeta Requisito 3: Proteger los datos del titular de la tarjeta almacenados Requisito 4: Cifre la transmisión de los datos del titular de la tarjeta a través de redes abiertas o de redes públicas Mantenga un Programa de Gerencia de la Vulnerabilidad Requisito 5: Utilice y regularmente actualice programas de antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones de seguridad Desarrollo y mantenga fuertes medidas para Control de Acceso Requisito 7: Acceso restringido para datos del titular de la tarjeta por negocio a saber Requisito 8: Asignar una Identificación única a cada persona con acceso a una computadora Requisito 9: Restringir acceso físico a los datos del titular de la tarjeta Supervise y pruebe regularmente las Redes Requisito 10: Rastree y monitoree todo acceso a los recursos de la red y datos del titular de la tarjeta Requisito 11: Pruebe regularmente los sistemas y procesos de seguridad Mantenga una Política de Seguridad de la Información Requisito 12: Mantenga una política direccionada de información de seguridad TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 2

3 Prólogo Este documento describe los 12 requisitos estándar de la Seguridad de Datos de la Industria de la Tarjeta de Pago (PCI) (DSS). Estos requisitos PCI DSS están organizados en 6 grupos relacionados lógicamente, los cuales son objetivos de control. La tabla siguiente ilustra los usos comúnmente utilizados por el titular de la tarjeta y datos sensibles de autentificación; ya sea que el almacenaje de cada elemento esté permitido o prohibido y si cada elemento de datos debe estar protegido. Esta tabla no es exhaustiva, más bien presenta los diferentes tipos de requerimientos que aplican para cada elemento de datos. Los requisitos PCI DSS son aplicables si se almacenan, si se procesan o se transmiten a un Número de Cuenta Primario (PAN). Si un PAN no se almacena, se procesa o no se transmite, los requisitos del PCI DSS no se aplican. Datos del Titular de la Tarjeta Elemento de Datos Almacenaje permitido Protección Requerida PCI DSS Req Número de Cuenta Primario (PAN) SI SI SI Nombre del Titular de la tarjeta SI SI * NO Código de Servicio SI SI * NO Fecha Expiración SI SI * NO Datos Sensibles de autenticidad ** Banda Magnética total NO N/A N/A CVC2/CVV2/CID NO N/A N/A PIN / PIN Block NO N/A NA * Estos elementos de datos deben ser protegidos si están almacenados conjuntamente con el PAN. Esta protección debe ser consistente conjuntamente con los requisitos PCI DSS para la protección general del titular de la tarjeta. Adicionalmente, la otra legislación (por ejemplo, relacionada con la protección de datos del consumidor, hurto de la identidad, ó seguridad de datos personal), pueden requerir una protección específica de estos datos o el acceso apropiado de las prácticas de una compañía si los datos personales del consumidor están siendo recolectados durante el curso de un negocio. PCI DSS, sin embargo, no aplica si el PAN no se almacena, no se procesa o no se transmite. ** Los Datos sensibles de autentificación no deben ser almacenados subsecuentemente a autorización (incluso cifrada) TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 3

4 Estos requisitos de seguridad aplican a todos los componentes del sistema. Los componentes del sistema están definidos como cualquier componente de red, servidor o uso que se incluya dentro o esté conectado con el ambiente de datos del titular de la tarjeta. El ambiente de los datos del titular de la tarjeta es la parte de la red que posee los datos del titular de la tarjeta o datos sensibles de autentificación. Una segmentación adecuada de la red, la cual aísla los sistemas de almacenamiento, de proceso o transmisión de datos del titular de la tarjeta de aquellos que no lo son, pueden reducir el alcance de los datos del titular de la tarjeta. Los componentes de Red incluyen pero no son limitados a los cortafuegos, a los interruptores, a los rastreadores, a los puntos de acceso inalámbricos, a las aplicaciones de la red y a otras aplicaciones de seguridad. Los tipos de servidor incluyen pero no son limitados a lo siguiente: Web, bases de datos, autentificación, correo, proxy, Network Time Protocol, (NTP) y, Domain Name Server (DNS). Las aplicaciones incluyen todos los usos adquiridos incluyendo aplicaciones tanto internas como externas (Internet). Construir y mantener una Red Segura Requisito 1: Instalar y mantener una configuración para proteger los datos del titular de la tarjeta Los cortafuegos son los dispositivos de la computadora en los cuales el software de la computadora de control tanto interna como externamente son permitidos, así como el software dentro de áreas más sensibles dentro de la red interna de la compañía. Los cortafuegos examinan todos los software de la red y bloquea aquellas transmisiones que no encuentran criterios específicos de seguridad. Todos los sistemas deben ser protegidos a accesos no autorizados del Internet, ya sea si incorporan el sistema como acceso de los browsers como e-comercio, acceso de los empleados a Internet a través de browsers, o acceso de los empleados al correo electrónico. A menudo las trayectorias aparentemente insignificantes a y desde Internet, pueden proveer caminos desprotegidos en los sistemas claves. Los cortafuegos son un mecanismo clave de protección para cualquier red Establezca los estándares de la configuración del cortafuego que incluye lo siguiente: Un proceso formal para aprobar y probar todas las conexiones de red externas y cambios a la configuración del cortafuegos Un diagrama actual de la red con todas las conexiones a los datos del titular de la tarjeta, incluyendo cualquier red inalámbrica Requisitos para un cortafuego en cada conexión de Internet y entre cualquier zona desmilitarizada y la zona interna de la red Descripción de grupos, los papeles, las responsabilidades para el manejo lógico de los componentes de la red Lista documentada de los servicios de la red y de los puertos necesarios para el negocio Justificación y documentación para cualquier protocolo disponible además del protocolo de transferencia de hypertext (http), asegurar hendidura (SSL), asegurar las cortezas (SSH), y la justificación privada virtual (VPN) Justificación y documentación para cualquier riesgo (por ejemplo, protocolo de transferencia de archivo (FTP), el cual incluye las razones para uso de las características del protocolo y de las características de seguridad implementadas Revisión trimestral de los cortafuegos y rutas establecidas. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 4

5 Configuración de los estándares de las rutas Construya una configuración del cortafuego que restrinja todo software no confiable de redes y anfitriones, excepto para los protocolos necesarios para el ambiente de los datos del titular de la tarjeta Construya una configuración del cortafuego que restrinja conexiones entre los servidores públicos accesibles y cualquier componente del sistema que almacena datos del titular de la tarjeta, incluyendo conexiones de redes inalámbricas. Este cortafuego debe incluir lo siguiente: El software de entrada de restricción del Internet a las direcciones de Protocolo de Internet(IP) dentro DMZ (filtros de ingreso) Direcciones internas que no permitan el paso de Internet dentro de DMZ Implementación de una inspección, también conocida como paquete dinámico que filtra (la cual es, solamente una conexión establecida dentro de la red) Colocar la base de datos en una zona interna de red, segregada de DMZ Restricción de software de entrada y salida al que sea necesario para el ambiente del titular de la tarjeta Asegurar y sincronizar archivos de la configuración de las rutas. Por ejemplo, (los archivos de funcionamiento de la configuración, para el funcionamiento normal de rutas), y los archivos de encendido (cuando se reanudan las máquinas), deben tener la misma configuración de seguridad Negar todas las otras entradas y salidas no específicamente permitidas Instalar perímetros entre cualquier red inalámbrica y el ambiente de datos del titular de la tarjeta, y configurar estos cortafuegos para restringir cualquier software del ambiente inalámbrico o controlador de cualquier software (si tal software es necesario para los propósitos del negocio) Instalar software personal del cortafuego en cualquier móvil y las computadoras del personal con conectividad directa a Internet (por ejemplo, computadoras portátiles usadas por los empleados) que se utilizan para acceso a la red de la organización Prohíba el acceso público directo entre redes externas y cualquier componente del sistema que almacena información del titular de la tarjeta (por ejemplo, base de datos, logos, rastreo de archivos) Implementar un DMZ en ejecución para filtrar y defender todo el software y prohibir las rutas directas para el software de entrada y de salida Restrinja el software de salida de usos de la tarjeta de pago a las direcciones del IP dentro del DMZ Implemente el IP en ejecución disimuladamente para evitar que las direcciones internas sean traducidas y reveladas en Internet. Use las tecnologías para implementar la dirección en ejecución del RFC 1918, como conversión de dirección portuaria de la conversión de dirección (PAT) o de la red (NAT). Requisito 2: No utilice los defectos provistos del vendedor para las contraseñas del sistema y otros parámetros de la seguridad Piratas cibernéticos (externos e internos a la compañía) a menudo utilizan contraseñas defectuosas y otras fallas establecidas para comprometer los sistemas. Estas contraseñas y regulaciones son muy bien conocidas en las comunidades de los piratas cibernéticos y fácilmente determinadas por información pública. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 5

6 2.1. Siempre cambie de proveedor de ítems antes de instalar un sistema en la red (por ejemplo, incluya contraseñas, protocolo simple del manejo de la red (SNMP) y eliminación de cuentas innecesarias) Para ambientes inalámbricos, cambie las defectos inalámbricos del vendedor, incluyendo pero no limitado a, llaves de aislamiento equivalentes (WEP), omitir al identificador determinado del servicio (SSID), contraseñas y secuencias de la comunidad SNMP. Inhabilitar las difusiones SSID. Permitir acceso protegido de la tecnología WiFi (WPA y WPA2) para el cifrado y la autentificación cuando es WPA-idóneo Desarrollar los estándares de configuración para todos los componentes del sistema. Asegurarse que estos estándares manejan todas las vulnerabilidades conocidas de la seguridad y son consistentes con el sistema aceptado en la industria que endurece estándares según lo definido, por ejemplo, por la seguridad de la red de SysAdmin audit. (SANS), el Instituto Nacional de los Estándares de la Tecnología (NIST) y el Centro para la Seguridad del Internet (CIS) Implementar solamente una función primaria por servidor (por ejemplo, servidores web, base de datos de servidores, y el DNA debe ser implementado en servidores separados) Inhabilitar todos los servicios y protocolos innecesarios e inseguros (los servicios y los protocolos no necesariamente útiles para realizar la función especificada de los dispositivos) Configurar los sistemas de seguridad para prevenir usos erróneos Remover toda funcionalidad innecesaria, tal como escritos, conductores, características, subsistemas, archivos del sistema, y servidores de la web innecesarios Encriptar todo el acceso administrativo de la no-consola. Utilizar tecnologías tales como SSH, VPN o SSL/TLS (transporte de seguridad) para manejo de la base web y otros accesos administrativos de no-consola La recepción de proveedores debe proteger cada ambiente recibido y los datos de cada entidad. Estos proveedores deben reunir requisitos específicos como se detalle en el Apéndice A: PCU DSS Aplicabilidad Para Proveedores. Proteger los datos del titular de la tarjeta Requisito 3: Proteger los datos almacenados del titular de la tarjeta Encriptación es un componente crítico de la protección de datos del titular de la tarjeta. Si un intruso engaña otros controles de la seguridad de la red y accede a los datos cifrados, sin las llaves criptográficas apropiadas, los datos son ilegibles e inutilizables a esa persona. Otros métodos eficaces para proteger datos almacenados se deben considerar como oportunidades potenciales para mitigar riesgos. Por ejemplo, los métodos para reducir al mínimo riesgo incluyen no almacenar datos del titular de la tarjeta a menos que sea absolutamente necesario, los datos del titular de la tarjeta se cortan si el PAN no es necesario y no envían PAN a correos no encriptados Mantener y almacenar datos del titular de la tarjeta a un mínimo grado. Desarrollar una política de la retención y de la disposición de los datos. Limitar la cantidad de almacenaje y retención al que se requiera para los propósitos del negocio, legales y/o regulatorios, según lo documentado en la política de retención de los datos. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 6

7 3.2. No almacene los datos sensibles de autentificación subsecuentes a la autorización (aunque cifrada). Los datos sensibles de autentificación incluyen los datos según lo citado en los siguientes requisitos: No almacenar el contenido completo de ningún rastreador de la banda magnética (la cual está en la parte posterior de una tarjeta, en un chip o en otro lugar). Estos datos alternativamente se llaman rastreo total, rastreo, rastreo 1, rastreo 2, y los datos de la banda magnética. En el curso normal del negocio, los elementos de datos siguientes de la banda magnética pueden necesitar ser conservados: el nombre del titular de la cuenta, el número de cuenta primario (PAN), la fecha de vencimiento y el código del servicio. Para minimizar los riesgos almacenar solamente estos elementos de datos necesarios para el negocio. NUNCA almacene el código o el valor o el PIN de verificación de la tarjeta de datos. Nota: Vea el Glosario para información adicional No almacene el código de validación de la tarjeta (número de tres dígitos o de cuatro dígitos impresos en el frente o parte posterior de la tarjeta de pago) utilizado para verificar las transacciones de la tarjeta. Nota: Vea el Glosario para información adicional No almacenar el número de identificación personal (PIN) o el bloque de PIN encriptado Disimule el PIN cuando está exhibido (los primeros seis o los últimos cuatro dígitos pasados son el número máximo de los dígitos que se mostrarán). Nota: Este requisito no aplica a los empleados y a otras partes con una necesidad específica para considerar el PIN lleno; tampoco el requisito invalida requisitos en el lugar para la exhibición de los datos del titular de la tarjeta (por ejemplo, para los recibos en el punto de venta [POS]) Suministre el PIN a un nivel mínimo, ilegible donde quiera esté almacenado (incluyendo datos sobre medios digitales portátiles, backup de medios, en registros y datos recibidos de o almacenados por las redes inalámbricas) por el uso de aproximaciones a las siguientes accesos: Funciones unidireccionales fuertes del hash (índices hashed) Limitaciones Índices de señales y respaldos (los respaldos deben ser almacenados con seguridad) Fuertes caracteres con procesos dominantes asociados a los procesos y procedimientos de administración. La información MINIMA de la cuenta que debe ser ilegible es el PAN. Si por alguna razón, una compañía no es capaz de cifrar datos del titular de la tarjeta, referirse al Apéndice B: Controles de Compensación para Almacenaje de Datos Encriptados Si se utiliza la encriptación del disco (más que archivos o nivel de base de datos encripatados), accesos lógicos deben ser administrados independientemente de mecanismos originales del sistema de acceso de control operativo (por ejemplo, no a través del uso del sistema local o cuentas activas del directorio). Las llaves de desciframiento no deben atarse a las cuentas del usuario) Proteger las claves de encriptamiento utilizadas para el cifrado de datos del titular de la tarjeta contra el acceso y mal uso de las mismas Accesos restringido al menor número posible de cuidadores necesarios Almacenar las claves con seguridad en pocas lugares y configuraciones. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 7

8 3.6 Documento completo e implementación de todos los procesos y procedimientos de las claves administrativas para el uso de claves de encriptación de la información del titular de la tarjeta, incluyendo lo siguiente: Creación de claves Distribución segura de claves Almacenaje seguro de claves Cambio periódico de claves Considerado como necesario y recomendado para las aplicaciones asociadas (por ejemplo, reintroducción, preferiblemente automática) Al menos anualmente Destrucción de claves antiguas Conocimiento y establecimiento de control dual de claves (requiere dos o tres personas, cada cual conoce su parte de la clave, para reconstruir toda la clave) Prevención no autorizada de sustitución de claves Reemplazo de conocidas o comprometidas claves Revocación de antiguas o inválidas claves Requerimiento de cuidadores de claves que entiendan y aceptan sus responsabilidades como guardianes de las claves Requisito 4: Encripte la transmisión de los datos del titular de la tarjeta a través de redes abiertas o de redes públicas Información sensible debe ser encriptada durante la transmisión sobre redes que son fáciles y campo común para los piratas cibernéticos para interceptar, modificar y diversificar la información cuando está en proceso Utilizar la criptografía y protocolos de seguridad tales como hendiduras seguras (SSL)/transporte seguro de acodos (TLS) y protocolos seguros de Internet (IPSEC) para salvaguardar información del titular de la tarjeta durante la transmisión sobre redes pública abiertas. Ejemplos de redes públicas abiertas que están al alcance de PCI DSS están en Internet, WiFi (IEEE x), sistemas globales de comunicaciones de móviles (GSM) y paquetes generales de servicio de radio (GPRS) Para las redes inalámbricas de transmisión de información del titular de la tarjeta encriptar la transmisión utilizar transmisiones de tecnología protegida WiFi (WPA o WPA2), IPSEC VPN o SSL/TLS. Nunca confíe exclusivamente en la equivalencia atada con alambre (WEP) para proteger confidencialidad y acceso a LAN inalámbrico. Si WEP es utilizado, haga lo siguiente: Utilizar una clave encriptada de 104-bit y 24 valores de bip Utilice conjuntamente SOLO con WiFi acceso protegido (WPA o WPA), tecnología VPN o SSL/TLS Rotar trimestralmente claves compartidas WEP (o automáticamente si la tecnología lo permite) Rotar claves compartidas WEP cuando hay cambios en personal con acceso a las mismas Restringir el acceso basado en la dirección del código de acceso de los medios (MAC) Nunca envíe por correo PANs no encriptados TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 8

9 Mantenga un Programa de Gerencia de la Vulnerabilidad Requisito 5: Utilice y regularmente actualice programas de antivirus Muchas vulnerabilidades y virus maliciosos se incorporan a la red a través de correo de los empleados. El software del antivirus se debe utilizar en todos los sistemas comúnmente afectados por los virus para proteger los sistemas contra software malicioso Desplegar el software del antivirus en todos los sistemas comúnmente afectados por los virus (particularmente los ordenadores personales y los servidores). Nota: los sistemas afectados por los virus no incluyen típicamente sistemas operativos UNIX o mainframes Asegurarse que el programa de antivirus sea capaz de detectar, remover y proteger contra otras formas de software malicioso, incluyendo spyware y adware Asegurarse que todos los mecanismos antivirus estén vigentes, activamente en funcionamiento y capacitado para generar auditorias. Requisito 6: Desarrolle y mantenga sistemas y aplicaciones de seguridad Individuos sin escrúpulos utilizan las vulnerabilidades de seguridad para tener acceso privilegiado a los sistemas. Muchas de estas son arregladas por piezas provistas por el vendedor de la seguridad. Todos los sistemas deben tener las piezas más recientemente lanzadas, apropiadas del software para proteger contra la explotación de los empleados, los piratas cibernéticos externos y los virus. Nota: las piezas apropiadas del software son las piezas que se han evaluado y se han probado suficientemente para determinar que no están en conflicto con la configuración existente de seguridad. Para los usos internos desarrollados, las numerosas vulnerabilidades pueden ser evitadas utilizando procesos estándares del desarrollo del sistema seguridad de las técnicas de codificación Asegurarse que todos los componentes y software del sistema tienen las piezas provistas por el vendedor más recientes de seguridad instaladas. Instalar las piezas relevantes de seguridad dentro del mes de su lanzamiento 6.2. Establezca un proceso para identificar recientemente vulnerabilidades de seguridad (por ejemplo, suscribirse a servicios gratuitos de alerta disponibles en Internet). Actualice estándares para tratar nuevas ediciones de vulnerabilidades 6.3. Desarrolle aplicaciones de software basadas en las mejores prácticas de la industria e incorpore información de seguridad a través del desarrollo del ciclo de vida del software Probar todas las piezas de seguridad y cambios de configuración del sistema y del software antes de desplegarlo Separar, desarrollar, producir y probar ambientes Separar responsabilidades dentro del desarrollo y prueba de ambientes Datos de producción (PANs vivos) no se utilizan para pruebas o desarrollos Retiro de pruebas de datos y cuentas antes que el sistema de producción se active Retiro de las cuentas del cliente, nombres y contraseñas antes que las aplicaciones se activen o sean lanzadas Revisar los códigos antes del lanzamiento para producción a fin de identificar cualquier vulnerabilidad del código 6.4. Seguir los procedimientos de control de cambios para todos los sistemas y configuración del software. Los procedimientos deben incluir lo siguiente: Documentación del impacto TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 9

10 Administración sign-off para partes apropiadas Prueba de funcionabilidad operacional Procedimientos de respaldo 6.5. Desarrollar aplicaciones web basadas en parámetros de codificación seguros tales como Aplicaciones de Proyectos Web Abiertas. Repasar el código de aplicación para identificar vulnerabilidades de la codificación en procesos de desarrollo del software que incluye lo siguiente: Entrada invalidada Control de acceso dañado (por ejemplo, uso malicioso de IDs) Administración dañada de la autentificación y de la sesión (uso de credenciales de la cuenta y de las sesiones cookies) Ataques scripting (XSS) Excesos del almacenados intermediario Defectos de de inyección (por ejemplo, inyección estructurada del lenguaje (SQL) Manejo impropio de errores Almacenaje inseguro Rechazo del servicio 6.6. Asegurar que todos los usos de las aplicaciones WEB estén protegidas contra ataques ya sea aplicando cualquiera de los siguiente métodos: Obteniendo todos los códigos de aplicación revisados para comunes vulnerabilidades por una organización que se especializa en aplicaciones de seguridad Instalación de un cortafuego en frente de las aplicaciones Web Nota: Este método está considerado como la mejor práctica hasta Junio 30, 2008, luego de lo cual llegará a ser un requerimiento. Desarrollo y mantenga fuertes medidas para Control de Acceso Requisito 7: Acceso restringido para datos del titular de la tarjeta por negocio a saber Este requerimiento que información importante puede ser asequible únicamente a personal autorizado Acceso limitado a recursos de computación y a información del titular de la tarjeta sólo a aquellos individuos que requieren dicho acceso 7.2. Establecer un mecanismo para sistemas con múltiples usuarios que restringe acceso basado en la necesidad del usuario y está establecido para rechazar todas a menos que sea permitido específicamente. Requisito 8: Asignar una Identificación única a cada persona con acceso a una computadora Asignar una identificación única a cada persona con acceso a la computadora, asegura que acciones tomadas de datos y sistemas críticos están ejecutados y pueden ser rastreados a usuarios conocidos y autorizados Identificar a todos los usuarios con un nombre único antes de permitir que tengan acceso a los componentes del sistema o a los datos del titular de la tarjeta. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 10

11 8.2. Además de asignar una identificación única, emplear por lo menos uno de los métodos siguientes para autenticar a todos los usuarios: Contraseña Dispositivos simbólicos (por ejemplo, Identificación de seguridad, certificados o claves de uso público) Biométrica 8.3. Implementar un factor doble de autentificación para el acceso remoto de la red por parte de los empleados, administradores y otras partes. Use tecnologías tales como remotas autentificaciones y marque en el sistema de control del servicio (RADIUS) o sistema de control de acceso del Terminal Access Controller con símbolos; o VPN (basado en SSL/TLS o IPSEC) con certificados individuales Encriptar todas las contraseñas durante la transmisión y almacenaje en todos los componentes del sistema 8.5. Asegurar la autentificación del usuario y administración de la contraseña para los nousuarios en todos los componentes del sistema como sigue: Control, cancelación y modificación de identificaciones del usuario, credenciales y otras objetos de identificación Verificar la identidad del usuario antes de resetear una contraseña Establecer contraseñas con un valor único para cada usuario y cambio inmediato luego de su primer uso Revocar inmediatamente accesos a usuarios cancelados Retirar cuentas inactivas de usuarios al menos cada 90 días Habilitar cuentas utilizadas por vendedores para mantenimientos remotos sólo durante el período de tiempo necesarios Comunicar procedimientos de contraseñas y políticas a todos los usuarios que tienen acceso a la información del titular de la tarjeta No utilice grupos compartidos, o cuentas y contraseñas genéricas Cambio de contraseña del usuario al menos cada 90 días Requerimiento de un mínimo de siete caracteres numéricos para la contraseña del usuario Utilice contraseñas que contengan tanto caracteres numéricos como alfabéticos No permita a ningún individuo someta una nueva contraseña que sea la misma como cualquiera de las últimas cuatro que él o ella han utilizado Limitar tentativas de acceso bloqueando la identificación del usuario luego de no más de seis intentos Fijar la duración del cierre a treinta minutos o hasta que el administrador del usuario lo permite Si una sesión ha sido desocupada por más de 15 minutos, requiere que el usuario reingrese la contraseña para reactivar la Terminal Autentificar todo el acceso a cualquier base de datos que contenga datos del titular de la tarjeta. Esto incluye accesos por aplicación de usos, de administradores y todos los otros usuarios Requisito 9: Restringir acceso físico a los datos del titular de la tarjeta Restringir el acceso físico a los datos del titular de la tarjeta. Cualquier acceso a los datos o a los sistemas que contienen datos del titular de la tarjeta proporciona la oportunidad a individuos a los dispositivos o a los datos de acceso para retirar sistemas o disco duro y debe ser restringido apropiadamente. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 11

12 9.1. Utilizar los controles de entrada apropiados para limitar y supervisar el acceso físico a los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta Utilice cámaras o monitores en áreas sensibles. Revisar los datos recogidos y correlacionarlos con otras entradas. Almacene por lo menos por tres meses, a menos que sea restringido de otra manera por ley Restringir acceso físico a los gastos públicos accesibles de la red Restringir acceso físico a los puntos de acceso inalámbricos, a las entradas y a los dispositivos de mantenimiento 9.2. Desarrollar procedimientos para ayudar al personal para que fácilmente distinga entre empleados y visitantes, especialmente en áreas donde están accesibles los datos del titular de la tarjeta. Empleado se refiere a empleados a tiempo completo y por horas, a empleados y a personal temporal y a los consultores que son residentes en el sitio de la entidad. Definen a un visitante como un vendedor, huésped o personal de servicio o cualquier persona que necesite ingresar a la locación por un período corto de duración, usualmente no más de un día Asegurarse que todo visitante sea manejado como sigue: Autorizado antes de ingresar a áreas donde la información del titular de la tarjeta es procesada o mantenida Entregar un símbolo físico (por ejemplo, placas o dispositivos de acceso) que expiran y que lo identifican como visitante y no empleado Solicitar la entrega del símbolo físico antes de que salga de la locación o en la fecha de expiración 9.4. Utilice un logo de visitante para mantener una auditoria de la actividad del visitante. Retenga este logo por un mínimo de tres meses, a menos que sea restringido por ley 9.5. Almacene respaldos en una locación segura, preferiblemente en un sitio tal como una alternativa de respaldos del sitio o una facilidad de almacenamiento comercial Asegurar físicamente todo el papel y medios electrónicos (computadoras, incluyendo los medios electrónicos, hardware del establecimiento de una red y de las comunicaciones, recibos, reportes y faxes) que contienen la información del titular de la tarjeta 9.7. Mantenga un estricto control sobre la distribución interna y externa de cualquier tipo de medios que contengan información del titular de la tarjeta incluyendo lo siguiente: Clasificar los medios así que puedan ser identificados como confidencial Enviar a través de un courier seguro y otro tipo de entrega que pueda ser rastreada con exactitud 9.8. Asegurar aprobaciones administrativas de cualquier y todos los medios que son movidos de un área segura (especialmente cuando son distribuidos por individuos) 9.9. Mantener un control estricto sobre el almacenamiento y accesibilidad de medios que contienen información del titular de la tarjeta 9.1. Inventario de todos los medios y asegurarse que están bien almacenados Destruir medios que contienen información del titular de la tarjeta cuando no es ya necesitada para negocios o por razones legales como sigue: Fragmentar, incinerar o triturar materiales de disco duro Purgar, neutralizar, fragmentar o destruir electrónicamente medios que no permitan que la información del titular de la tarjeta sea reconstruida Supervise y pruebe regularmente las Redes Requisito 10: Rastree y monitoree todo acceso a los recursos de la red y datos del titular de la tarjeta TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 12

13 Los mecanismos de registro y la habilidad de las actividades de rastreo del usuario son críticos. La presencia de logs en todos los ambientes permite a través del rastreo identificar si algo está mal. Determinar la causa de un compromiso es muy difícil sin un sistema de logs Establezca un proceso para unir todos los accesos del sistema (especialmente accesos realizados con privilegios administrativos tales como rutas) para cada usuario individualmente Implemente pistas automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos: Todos los accesos de usuario individuales a los datos del titular de la tarjeta Todas las acciones tomadas por el individuo con rutas o privilegios administrativos Acceso a todas las revisiones de la cuenta Intentos inválidos de acceso lógico Uso de mecanismos de identificación y autentificación Inicialización de registros Creación y cancelación de objetos a nivel del sistema Registrar por lo menos las siguientes entradas para todos los componentes del sistema para cada evento: Identificación del usuario Tipo de evento Fecha y hora Indicación de éxito o fracaso Origen del evento Identificación o nombre de datos afectada, del componente del sistema o del recurso Sincronizar todos los relojes y horas críticas del sistema Asegurar registros a fin de que no puedan ser alterados Limitar la vista de los registros a aquellos con una necesidad relativa al trabajo Proteger archivos de registros de modificaciones no autorizadas Hacer registros de respaldo en un servidor centralizado o medio que sea difícil de alterar Copiar registros de logs para redes inalámbricas dentro de un servidor en LAN Utilizar un archivo de monitoreo y detección de cambios de software o logs para asegurar que existe una información Log que no puede ser cambiada sin generar alertas (aunque nueva información sea agregada no debe causar una alerta) Repasar los registros para todos los componentes del sistema diariamente. Esta revisión puede incluir aquellos servidores que realicen funciones de seguridad como el sistema de detección de intromisión (IDS) y autentificación, autorización y protocolo de servidores de cuenta (AAA), (por ejemplo RADIUS). Nota: El registro de log, análisis y alerta de herramientas pueden ser utilizados de conformidad con el Requerimiento Mantener el registro histórico por lo menos un año, con un mínimo de tres meses de disponibilidad en línea Requisito 11: Pruebe regularmente los sistemas y procesos de seguridad Vulnerabilidades son descubiertas continuamente por piratas cibernéticos y buscadores e introducidas por nuevo software. Los sistemas, procesos y el software desarrollado se deben probar con frecuencia para asegurar que la seguridad de mantenga sobre el tiempo y con algunos cambios en el software. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 13

14 11.1. Probar los controles de seguridad, las limitaciones, las conexiones de red y las restricciones anualmente para asegurar la capacidad de identificar y de detener adecuadamente cualquier tentativa no autorizada de acceso. Utilice un analizador inalámbrico por lo menos trimestralmente para identificar todos los dispositivos inalámbricos en uso Explore vulnerabilidades de la red interna y externa al menos trimestralmente y luego de cualquier cambio significativo en la red (tales como instalación de nuevos componentes del sistema, cambios de topología en la red, modificaciones de cortafuegos, mejoras de productos). Nota: las exploraciones externas trimestrales de vulnerabilidad se deben realizar por un vendedor calificado por la industria de la tarjeta de pago. Exploraciones conducidas luego de cambios en la red pueden ser ejecutados por personal interno de la compañía Realizar pruebas de penetración por lo menos una vez al año y después de cualquier aplicación mejorada significativa de la infraestructura o modificación (tal como mejora del sistema operativo, una sub-red añadida al ambiente, o un servidor web también agregado) Penetración de pruebas de la red Aplicación de pruebas de penetración Utilice los sistemas de detección de intromisión de la red, los sistemas de detección de intromisión host y sistemas de prevención de intromisión para supervisar todo el tráfico de la red y alertar al personal de compromisos sospechosos. Mantenga toda detección de intromisión y prevención actualizada Desplegar la integridad del archivo que supervisa el software para alertar al personal de modificaciones no autorizadas del sistema o archivos; configurar el software para realizar comparaciones críticas del archivo por lo menos semanalmente. Los archivos críticos no son necesariamente sólo aquellos que contienen datos del titular de la tarjeta. Para propósitos de monitoreo, los archivos críticos no son aquellos que regularmente cambian, pero la modificación de los cuales puede indicar un compromiso del sistema o un riesgo del compromiso. La integridad del archivo que supervisa productos viene generalmente pre-configurado con los archivos críticos para el sistema operativo relacionado. Otros archivos críticos, tales como aquellos para los usos de encargo, se deben evaluar y definir por la entidad (que es el comerciante o el abastecedor del servicio). Mantenga una Política de Seguridad de la Información Requisito 12: Mantenga una política direccionada de información de seguridad Una política fuerte de seguridad establece el tono de seguridad para la compañía e informa a los empleados qué espera de ellos. Todos los empleados deben estar advertidos de la sensibilidad de datos y de su responsabilidad de protegerlos Establecer, publicar, mantener y difundir una política de seguridad que compromete lo siguiente: Destinar todos los requisitos en esta especificación Incluir un proceso anual que identifique amenazas y vulnerabilidades y resultados de riesgo TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 14

15 Incluir una revisión de por lo menos una vez al año y actualizarlos cuando el ambiente cambie Desarrollar diariamente procedimientos de seguridad operativos que sean consistentes con los requerimientos en esta especificación (por ejemplo: procedimientos de mantenimiento del usuario de la cuenta, y procedimientos de revisión de logs) Desarrollar políticas de uso para empleados que manejan tecnologías (tales como módems e inalámbricos) para definir uso apropiado de esas tecnologías para los empleados y contratistas. El uso de estas políticas requiere lo siguiente: Aprobación explícita administrativa Autentificación para el uso de tecnología Lista de todos los dispositivos y personal con acceso a ellos Etiquetado del dueño de los dispositivos, información de contacto y propósito Usos aceptables de la tecnología Locaciones aceptables de red para las tecnologías Lista de productos aprobados por la compañía Desconexión automática de las sesiones de modem luego de un específico tiempo de inactividad Activación de módems para vendedores solo cuando sea necesario para ellos, con inmediata desactivación luego de su uso Cuando se accede remotamente vía modem a la información del titular de la tarjeta, prohibición de almacenaje de la información del titular de la tarjeta en cursores locales, discos floppy u otros medios externos. Prohibición de cortar y pegar e imprimir funciones durante accesos remotos Asegurar que la política y procedimientos de seguridad claramente definan responsabilidades de seguridad de la información a todos los empleados y contratistas Asignar a un individuo o equipo las responsabilidades administrativas de seguridad de la información: Establecer, documentar y distribuir políticas y procedimientos de seguridad Monitorear y analizar alertas e información de seguridad y distribuir al personal apropiado Establecer, documentar y distribuir respuestas de incidentes de seguridad y escala para asegurar oportuna y efectivamente el manejo de todas las situaciones Administrar cuentas de usuario, incluyendo adiciones, cancelaciones y modificaciones Monitorear y control todo acceso a la información Implementar un programa de seguridad formal para que todos los empleados adviertan la importancia de la seguridad de información del titular de la tarjeta Instruir a los empleados contratados al menos anualmente (por ejemplo, por cartas, carteles, memorandum, reuniones y promociones) Requerir por escrito que el empleado conozca y que haya leído y entendido las políticas y procedimientos de seguridad de la compañía Minimizar los riesgos de ataques de fuentes internas. Se recomienda este requerimiento para aquellos empleados tales como cajeros de almacén quienes sólo tienen acceso a un número de tarjeta a la vez cuando faciliten una transacción Si la información del titular de la tarjeta es compartida con el proveedor del servicio, lo siguiente es requerido: El proveedor del servicio debe apegarse a los requisitos PCI DSS TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 15

16 Acuerdos que incluyan un conocimiento de que el proveedor del servicio es responsable por la seguridad del la información del titular de la cuenta que el proveedor procesa Implementar un plan de respuesta en ejecución del incidente Crear un plan de respuesta del incidente a ser implementado en el caso que comprometa al sistema. Asegurar la dirección del plan en procedimientos mínimos específicos de respuesta del incidente, procedimientos de la recuperación del negocio y de continuidad, procesos de la reserva de datos, papeles y responsabilidades y comunicaciones y estrategias de contacto (por ejemplo, informar a los adquirientes y a las asociaciones de tarjeta de crédito) Probar el plan por lo menos una vez al año Designar personal específico disponible 24 horas los siete días para responder alertas Proveer entrenamiento apropiado al personal con fallas en las respuestas de responsabilidades Incluir alertas de detección de intromisión, prevención de intromisiones y de sistemas de integridad del archivo Desarrollar procesos para modificar y desplegar plan de respuestas de incidentes de acuerdo a las lecciones aprendidas e incorporarla en la industria Todos los procesadores y abastecedores de servicios deben mantener y poner políticas y procedimientos en ejecución para manejar entidades relacionadas, que incluyan lo siguiente: Mantener una lista de entidades relacionadas Asegurar una diligencia debida antes de contactarse con la entidad Asegurar que la entidad es PCI DSS Conectar y desconectar entidades siguiendo procesos establecidos TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 16

17 Apéndice A: Aplicabilidad del PCI DSS para recibir proveedores Requerimiento A1: Aceptar proveedores que protejan el ambiente de los datos del titular de la tarjeta Según lo referido al requisito 12.8, todos los proveedores de servicio con acceso a los datos del titular de la cuenta (incluyendo aceptación de proveedores), deben apegarse al PCI DSS. Adicionalmente, el Requisito 2.4 indica que la aceptación de proveedores debe proteger cada entidad de ambiente e información. Por lo tanto, la aceptación de proveedores debe tener consideraciones especiales a lo siguiente: A.1. Proteger cada ambiente e información de la entidad ( sea mercantil, proveedor de servicio u otra entidad) A.1.1. Asegurar que cada entidad tenga acceso sólo al propio ambiente de los datos del titular de la tarjeta A.1.2. Restringir el acceso y los privilegios de cada entidad al propio ambiente de los datos del titular de la tarjeta A.1.3. Asegurar que el registro y rastreo de intervención sean habilitados para cada entidad del titular de la tarjeta y consistente con lo indicado en el Requisito 10 con PCI DSS A.1.4. Habilitar procesos para proveer oportunamente investigación forense en el caso de comprometer cualquier comerciante proveedor del servicio recibido Un proveedor debe satisfacer estos requisitos así como el resto de secciones relevantes del PCI DSS. Nota: Aunque un proveedor cumpla estos requisitos, la conformidad de la entidad que utiliza este proveedor no está garantizada necesariamente. Cada entidad debe llenar todas las necesidades con PCI DSS y validad su cumplimiento como aplicable. TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 17

18 Apéndice B: Controles de Compensación Compensación de Controles General Los controles de compensación pueden ser considerados para la mayoría de requisitos del PCI DSS cuando una entidad no puede resolver una especificación técnica requeridos, pero que han atenuado los riesgos asociados. Ver el Glosario PCI DSS para la completa definición de controles de compensación. La efectividad de un control de compensación esta sujeto a un específico ambiente en el cual el control es implementado, a los controles de seguridad que le rodean y a la configuración del control. Las compañías deben estar advertidas que una compensación particular de control no puede ser efectiva en todos los ambientes. Cada compensación de control debe ser evaluada y luego implementada para asegurar su efectividad. Las siguientes direcciones proveen controles de compensación cuando las compañías están inhabilitadas para rendir datos del titular de la tarjeta no legibles por el requerimiento 3.4. Compensación de Controles para Requisito 3.4. Para compañías inhabilitadas para rendir datos del titular de la tarjeta no legibles (por ejemplo, por encriptación), debido a limitaciones o necesidades técnicas del negocio, controles de compensación pueden ser considerados. Sólo empresas que han emprendido un análisis del riesgo y tienen tecnología legítima o necesidades documentadas del negocio, el uso de los controles de compensación pueden ser utilizados para adquirir un cumplimiento. Las empresas que consideran la compensación de controles para representar necesidades ilegibles de los datos del titular de la tarjeta, entienden el riesgo de la información manteniendo un lector de información de datos del titular de la tarjeta. Generalmente los controles pueden proveer protecciones adicionales para atenuar cualquier riesgo adicional particular por mantener un lector de información de datos del titular de la tarjeta. Los controles considerados deben constar además de los controles requeridos en PCI DSS y deben satisfacer la Compensación de Controles en el Glosario de PCI DSS. Los Controles de compensación pueden consistir en un dispositivo o en la combinación de dispositivos, aplicaciones y controles que cumplan todas las condiciones siguientes: 1. Proveer adicional segmentación/abstracción (por ejemplo, en la red) 2. Proveer capacidad de restringir el acceso a los datos a las bases de datos del titular de la tarjeta basados en los siguientes criterios Dirección IP / Dirección MAC Aplicaciones / servicios Cuentas de usuarios / grupos Tipo de información (filtración del paquete) 3. Restringir el acceso lógico a la base de datos Acceso lógico de acceso de control de la base de datos independiente del Directorio Activo o Lightweight Directorio Protocolo de Acceso (LDAP) 4. Prevenir/ detectar aplicaciones comunes de ataques de bases de datos (por ejemplo, inyección SQL). TRADUCCION REQUISITOS DE LA PCI-DSS PÁG 18

19 SOLICITUD DE INFORMACION EMPRESA: SITIO WEB: NOMBRE: DIRECCION DE DESCRIBA SU INTERES: Gracias Enviar vía fax a: (919) por a

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

Descripción general printeract, Servicios remotos de Xerox

Descripción general printeract, Servicios remotos de Xerox Descripción general de printeract, Servicios remotos de Xerox 701P28670 Descripción general printeract, Servicios remotos de Xerox Un paso en la dirección correcta Diagnostica problemas Evalúa datos de

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD Diciembre de 2005 INDICE DEL CONTENIDO 1. OBJETO... 1 2. AMBITO DE APLICACIÓN... 2 2.1 Ambito jurídico... 2 2.2 Ambito personal... 2 2.3 Ambito material... 2 3. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD. MEDIDAS

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las

Más detalles

MANUAL DE USUARIO DE OFICINA CONECTADA

MANUAL DE USUARIO DE OFICINA CONECTADA MANUAL DE USUARIO DE OFICINA CONECTADA 1 OFICINA CONECTADA INDICE 1 INTRODUCCIÓN...3 2 USO DEL SERVICIO...4 2.1 CONFIGURACIÓN EQUIPO CLIENTE...4 2.2 ADMINISTRACIÓN AVANZADA...5 2.2.1 Gestión de usuarios...7

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

POLÍTICAS DE USO DEL SERVICIO DE INTERNET ANEXO H

POLÍTICAS DE USO DEL SERVICIO DE INTERNET ANEXO H ANEXO H El acceso a Internet, es un medio importante de comunicación para la Universidad, puesto que provee un medio eficiente para potenciar las tareas de investigación y estudio por parte de docentes

Más detalles

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de

Más detalles

Manual de buenas prácticas Política de Seguridad de la Información

Manual de buenas prácticas Política de Seguridad de la Información Manual de buenas prácticas Política de Seguridad de la Información 1 Introducción La información que es elaborada y generada por los procesos de la institución es un activo, que como otros bienes de nuestra

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

PROCEDIMIENTO DEL ANÁLISIS DE RIESGO Y ESTABLECIMIENTO DEL PROGRAMA DE SALUD Y SEGURIDAD OCUPACIONAL INTEGRAL

PROCEDIMIENTO DEL ANÁLISIS DE RIESGO Y ESTABLECIMIENTO DEL PROGRAMA DE SALUD Y SEGURIDAD OCUPACIONAL INTEGRAL PROCEDIMIENTO DEL ANÁLISIS DE RIESGO Y ESTABLECIMIENTO DEL PROGRAMA DE SALUD Y SEGURIDAD OCUPACIONAL INTEGRAL El propósito de realizar un Análisis de Riesgo o Mapeo de Riesgo dentro de las empresas, es

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Comerciantes con tarjetas ausentes, todas las funciones que impliquen

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Aero Owen, S. A. de C. V. (OWEN) se compromete a ofrecer el mejor servicio posible a sus clientes y proteger la privacidad de los datos e información que proporcionan los clientes

Más detalles

Attachments: Archivos adjuntos a los mensajes de correo electrónico.

Attachments: Archivos adjuntos a los mensajes de correo electrónico. 10/12/2014 Página 1 de 8 1. OBJETIVO Describir el uso adecuado de los servicios, software, equipos de computación y redes de datos en La Entidad. Estas políticas buscan proteger la información, las personas

Más detalles

REQUERIMIENTOS NO FUNCIONALES

REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES A continuación se describen las principales características no funcionales que debe contener el sistema de información. Interfaces de usuario.

Más detalles

Implementación y administración de Microsoft Exchange Server 2003

Implementación y administración de Microsoft Exchange Server 2003 2404A Implementación y administración de Microsoft Exchange Server 2003 Fabricante: Microsoft Grupo: Servidores Subgrupo: Microsoft Exchange Server 2003 Formación: Descataloga dos Horas: 25 Introducción

Más detalles

Política de Privacidad de Usuarios

Política de Privacidad de Usuarios Política de Privacidad de Usuarios 1. Introducción La privacidad es esencial para el ejercicio de la libre expresión, el libre pensamiento, y la libre asociación. En el Distrito Bibliotecario de Las Vegas-Condado

Más detalles

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008 CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN

Más detalles

Aspectos relevantes relacionados con la seguridad

Aspectos relevantes relacionados con la seguridad Aspectos relevantes relacionados con la seguridad En BBVA, somos conscientes de la necesidad de garantizar la seguridad durante la transferencia de datos entre el banco y sus clientes. Por ello, disponemos

Más detalles

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red... Guía de Instalación Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...5 3.Proceso de instalación...7 Paso

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Comerciantes con sistemas de aplicaciones de pago conectados a Internet.

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1 Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1 Publicada Septiembre del 2006 Desarrollar y Mantener una Red Segura Requisito 1: Requisito 2: Instalar y mantener una

Más detalles

PROGRAMA DE ESTUDIO Área de Formación : Optativa Programa elaborado por:

PROGRAMA DE ESTUDIO Área de Formación : Optativa Programa elaborado por: PROGRAMA DE ESTUDIO Programa Educativo: Área de Formación : Licenciatura en Ciencias Computacionales Integral Profesional Horas teóricas: 2 Horas prácticas: 2 Total de Horas: 4 SEGURIDAD EN REDES DE COMPUTADORAS

Más detalles

TÍTULO : NORMAS TÉCNICAS PARA LA SEGURIDAD E INTEGRIDAD DE LA INFORMACIÓN QUE SE PROCESA EN EL SENCICO

TÍTULO : NORMAS TÉCNICAS PARA LA SEGURIDAD E INTEGRIDAD DE LA INFORMACIÓN QUE SE PROCESA EN EL SENCICO DIRECTIVA CODIGO: GG-OAF-DI-020-2004 SENCICO TÍTULO : NORMAS TÉCNICAS PARA LA SEGURIDAD E INTEGRIDAD DE LA INFORMACIÓN QUE SE PROCESA EN EL SENCICO Aprobado por : Reemplaza a: Gerencia General Ninguna

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus

Más detalles

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com Productos Web Hosting Costo: tipo de facturación por cantidad de facturas emitidas. $6,000 $5,000 $4,000 $3,000 Tradicional $2,000 Electrónica $1,000 12 24 75 100 150 200 100% en línea, ya que no requiere

Más detalles

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 Este documento proporciona información sobre la función de soporte remoto seguro de

Más detalles

CAPÍTULO 14 COMERCIO ELECTRÓNICO

CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones Para los efectos del presente Capítulo: CAPÍTULO 14 COMERCIO ELECTRÓNICO instalaciones informáticas significa servidores y dispositivos de almacenamiento para el procesamiento

Más detalles

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR VICERRECTORADO OFICINA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DETALLADA DE USUARIO FINAL PARA LA SEGURIDAD DE LA INFORMACIÓN OSI-PDUF VERSIÓN: 1.0: Aprobada

Más detalles

CONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación

CONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación CONTROL DE CAMBIOS FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación 01 02/07/07 Primera versión del Anexo Requerimientos Para La Elaboración Del Plan De Calidad Elaboró: Revisó: Aprobó:

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS 5 ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS Contenido: 5.1 Conceptos Generales Administración de Bases de Datos Distribuidas 5.1.1 Administración la Estructura de la Base de Datos 5.1.2 Administración

Más detalles

Cardio. smile. Política de Privacidad

Cardio. smile. Política de Privacidad Política de Privacidad Esta Política de Privacidad describe los tipos de información recolectados por Smile en este sitio web y cómo los usamos y protegemos. Esta Política de Privacidad solo se aplica

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Resolución N 00759del 26 de febrero de 2008

Resolución N 00759del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico III Nivel 32 Grado 27 No.

Más detalles

Soho Chile Julio 2013

Soho Chile Julio 2013 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales... 4 1. Introducción... 6 2. Objetivos... 6 3. Alcances...

Más detalles

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

Configuración de Aspel-SAE 6.0 para trabajar Remotamente Configuración de Aspel-SAE 6.0 para trabajar Remotamente Para configurar Aspel-SAE 6.0 como servidor remoto, es necesario realizar los siguientes pasos: 1. Instalar IIS de acuerdo al Sistema Operativo.

Más detalles

CAPÍTULO 14 COMERCIO ELECTRÓNICO

CAPÍTULO 14 COMERCIO ELECTRÓNICO CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones Para los efectos del presente Capítulo: autenticación electrónica significa el proceso o acción de verificar la identidad de una parte en una

Más detalles

La información personal es procesada en los servidores de TEAM.

La información personal es procesada en los servidores de TEAM. El presente documento tiene como fin dar a conocer la política de privacidad y seguridad para la página web del programa de fidelización PANICLUB, el cual está dirigido a los clientes de panaderías y pastelerías

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

PROGRAMA FORMATIVO CÓDIGO: G13613 CURSO: SEGURIDAD INFORMATICA. Modalidad: Distancia Duración: 150 h. Objetivos: Contenidos:

PROGRAMA FORMATIVO CÓDIGO: G13613 CURSO: SEGURIDAD INFORMATICA. Modalidad: Distancia Duración: 150 h. Objetivos: Contenidos: PROGRAMA FORMATIVO CÓDIGO: G13613 CURSO: SEGURIDAD INFORMATICA Modalidad: Distancia Duración: 150 h Objetivos: En la actualidad existe cada vez más sensibilidad hacia la seguridad informática ya que cada

Más detalles

Política de Control de Acceso CAPUAL. Hoja 1 / 5

Política de Control de Acceso CAPUAL. Hoja 1 / 5 Política de Control de Acceso CAPUAL Hoja 1 / 5 I.- OBJETIVO La presente política tiene como objetivo: Proporcionar seguridad razonable con respecto a la integridad y seguridad de los sistemas y recursos

Más detalles

Q-expeditive Publicación vía Internet

Q-expeditive Publicación vía Internet How to Q-expeditive Publicación vía Internet Versión: 2.0 Fecha de publicación 11-04-2011 Aplica a: Q-expeditive 3 Índice Introducción... 3 Publicación de servicios... 3 Ciudadanos... 3 Terminales de auto

Más detalles

Preguntas frecuentes (FAQs)

Preguntas frecuentes (FAQs) Preguntas frecuentes (FAQs) 1. En qué consiste el servicio de red privada virtual (VPN)? Es un servicio por el cual nos podemos conectar desde cualquier dispositivo conectado a Internet, a los servicios

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Seguridad y Alta Disponibilidad

Seguridad y Alta Disponibilidad IES Camp de Morvedre Avda. Fausto Caruana, s/n, 46500 Sagunto Tlf: 96 2617720 Fax: 962617721 e-mail - 46007748@edu.gva.es http://www.iescamp.es/ Tlf: 96 311 88 20 Fax: 96 267 12 65 Seguridad y Alta Disponibilidad

Más detalles

AUDITORIA DE REDES Ing. Victor Andres Ochoa Correa DEFINICION Son una serie de mecanismos mediante los cuales se prueba una Red Informàtica, evaluando su desempeño y seguridad, logrando una utilizacion

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Política de Privacidad, Términos y Condiciones

Política de Privacidad, Términos y Condiciones Política de Privacidad, Términos y Condiciones 1. PLAY POLLS En cumplimiento con el deber de información recogido en artículo 10 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información

Más detalles

ANEXO 6 FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A DATOS DE CARÁCTER PERSONAL

ANEXO 6 FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A DATOS DE CARÁCTER PERSONAL FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A DATOS DE CARÁCTER PERSONAL Responsable del Fichero Responsable de Seguridad HOSPITALINTERMUTUAL DE LEVANTE D. Federico Beltrán Carbonell El propósito

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines:

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines: Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus datos personales, en

Más detalles

IFCT0510 Gestión de Sistemas Informáticos (Online)

IFCT0510 Gestión de Sistemas Informáticos (Online) IFCT0510 Gestión de Sistemas Informáticos (Online) TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES IFCT0510 Gestión de Sistemas Informáticos (Online)

Más detalles

Las cuentas de acceso al CORREO ELECTRONICO identifican al CLIENTE en forma personal, a través de los siguientes elementos:

Las cuentas de acceso al CORREO ELECTRONICO identifican al CLIENTE en forma personal, a través de los siguientes elementos: CUENTAS DE CORREO El CLIENTE reconoce y acepta que la contratación del SERVICIO en cualquiera de sus modalidades, le otorga una cuenta principal y cuentas secundarias de correo electrónico cuya configuración

Más detalles

RESPONSABLE DE LA PROTECCIÓN DE SUS DATOS PERSONALES.

RESPONSABLE DE LA PROTECCIÓN DE SUS DATOS PERSONALES. Con fundamento en los artículos 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, en adelante la ley, y su reglamento, hacemos de su conocimiento que KAWASAKI DE

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

Protección de datos en la Fundación Progreso y Salud CÓDIGO DE BUENAS PRÁCTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES. Versión 1.

Protección de datos en la Fundación Progreso y Salud CÓDIGO DE BUENAS PRÁCTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES. Versión 1. Protección de datos en la Fundación Progreso y Salud CÓDIGO DE BUENAS PRÁCTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES Versión 1.0 1. INTRODUCCIÓN La Fundación Pública Andaluza Progreso y Salud está comprometida

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles

8 Conjunto de protocolos TCP/IP y direccionamiento IP

8 Conjunto de protocolos TCP/IP y direccionamiento IP 8 Conjunto de protocolos TCP/IP y direccionamiento IP 8.1 Introducción a TCP/IP 8.1.1 Historia de TCP/IP El Departamento de Defensa de EE.UU. (DoD) creó el modelo de referencia TCP/IP porque necesitaba

Más detalles

ORIENTACIÓN DE CALIFICACIONES PORTAL PADRES.doc

ORIENTACIÓN DE CALIFICACIONES PORTAL PADRES.doc ORIENTACIÓN DE CALIFICACIONES PORTAL PADRES Instrucción detallada paso a paso para crear una cuenta en el Portal para Padres de CPS. Primer paso: Crear una cuenta 1. Desde una computadora con acceso a

Más detalles

GESTIÓN DE LA DOCUMENTACIÓN

GESTIÓN DE LA DOCUMENTACIÓN Página: 1 de 8 Elaborado por: Revidado por: Aprobado por: Comité de calidad Responsable de calidad Director Misión: Controlar los documentos y registros del Sistema de Gestión de Calidad para garantizar

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

MANUAL SOFTWARE OPTILINK 3.0

MANUAL SOFTWARE OPTILINK 3.0 MANUAL SOFTWARE OPTILINK 3.0 El equipo le dá funcionalidades de control y monitoreo del ancho de banda de cada equipo de su red, así como también le da la posibilidad de hacer un filtrado de sitios web

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

TÉRMINOS Y CONDICIONES

TÉRMINOS Y CONDICIONES TÉRMINOS Y CONDICIONES La venta de nuestra Tienda online está basada en los siguientes Términos y Condiciones, los cuales deberán ser leídos y aceptados por el cliente antes de realizar un pedido. Realizar

Más detalles

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES En cumplimiento de la Ley 1581 de 2012, por la cual se dictan disposiciones para la protección de datos personales, el ICETEX, en su calidad de responsable del

Más detalles

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO CONTENIDO 1. Prefacio... 3 2. Misión... 3 3. Visión... 3 4. Planeación... 3 5. Inventario y adquisiciones...

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

NORMAS DE USO DE LOS SERVICIOS INFORMÁTICOS Y COMPROMISO DE CONFIDENCIALIDAD SOBRE TRATAMIENTO DE DATOS i

NORMAS DE USO DE LOS SERVICIOS INFORMÁTICOS Y COMPROMISO DE CONFIDENCIALIDAD SOBRE TRATAMIENTO DE DATOS i NORMAS DE USO DE LOS SERVICIOS INFORMÁTICOS Y COMPROMISO DE CONFIDENCIALIDAD SOBRE TRATAMIENTO DE DATOS i 1. JUSTIFICACIÓN Los activos de información y equipos informáticos, son recursos necesarios y vitales

Más detalles

Servicios remotos de Xerox Un paso en la dirección correcta

Servicios remotos de Xerox Un paso en la dirección correcta Servicios remotos de Xerox Un paso en la dirección correcta Diagnostica problemas Evalúa datos de la máquina Solución de problemas Seguridad de cliente garantizada 701P42953 Acerca de los Servicios remotos

Más detalles

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

RED TELEMATICA CINVESTAV-IPN UNIDAD MERIDA

RED TELEMATICA CINVESTAV-IPN UNIDAD MERIDA RED TELEMATICA CINVESTAV-IPN UNIDAD MERIDA Reglamento de uso del servicio de Correo electrónico e Internet El Centro de Investigaciones y de Estudios Avanzados del IPN Unidad Mérida, ofrece a la Comunidad

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: +57 1 242 2141 Fax: +57 1 342 3513

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: +57 1 242 2141 Fax: +57 1 342 3513 Resolución 3067 Seguridad en Red Modelos de Seguridad ETB desarrolla el modelo de seguridad basado en los requerimientos de los clientes y bajo el marco de las normas ISO 27001 y 27002. El modelo extiende

Más detalles

Para obtener una cuenta de padre

Para obtener una cuenta de padre Orientación de Calificaciones Portal Padres Temas Principales Características Para obtener una Cuenta de Padres Lineamientos sobre el uso Manejo de la Cuenta Información de apoyo Calificaciones en Portal

Más detalles

Procedimiento para el Monitoreo y Control de Tecnologías de Información

Procedimiento para el Monitoreo y Control de Tecnologías de Información Procedimiento para el Monitoreo y Control de Tecnologías de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-15 Índice 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 3 3. ALCANCE....

Más detalles

REGLAMENTO DE DESARROLLO LOPD V:1.0 2008-02-05 Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT

REGLAMENTO DE DESARROLLO LOPD V:1.0 2008-02-05 Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT REGLAMENTO DE DESARROLLO LOPD RESUMEN DE LAS M REGLAMENTO RD-1720/2007 MEDIDAS DE SEGURIDAD EN EL V:1.0 2008-02-05 Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT c/ Beato Tomás de Zumárraga,

Más detalles

REGLAMENTO GENERAL A LA LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS. No. 3496

REGLAMENTO GENERAL A LA LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS. No. 3496 REGLAMENTO GENERAL A LA LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS No. 3496 Gustavo Noboa Bejarano PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA Considerando: Que mediante Ley No.

Más detalles

Privacidad. <Nombre> <Institución> <e-mail>

Privacidad. <Nombre> <Institución> <e-mail> Privacidad Contenido Privacidad Riesgos principales Cuidados a tener en cuenta Fuentes Privacidad (1/3) En Internet tu privacidad puede verse expuesta: independientemente

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles

POLITÍCA DE SEGURIDAD INFORMATICA

POLITÍCA DE SEGURIDAD INFORMATICA POLITÍCA DE SEGURIDAD GESTIÓN DE INFORMACIÓN SISTEMAS CARTAGENA-BOLIVAR 2015 ELABORA REVISA APRUEBA Cargo: Coordinadora de Cargo: Auditor de Calidad Cargo: Director Administrativo Sistemas Nombre: Marllory

Más detalles