PCI DSS, UN PROCESO CONTINUO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PCI DSS, UN PROCESO CONTINUO"

Transcripción

1 Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E Barcelona I Tel.: I Fax: I I I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 1

2 Presentación Miguel-Ángel Domínguez Torres Director Depto. Consultoría CISA, CISSP, ISO27001 L.A., PCI DSS QSA, OPST I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 2

3 SERVICIOS Auditoría Consultoría Seguridad Gestionada Formación Test de Intrusión Implantación SGSI Serv. de FW de Aplicación WIPS Certificaciones Oficiales Auditoría de Aplicaciones Plan Director de Seguridad Serv. de Vigilancia Anti-Malware Planes de Formación Auditoría de Sist. Inf. Plan de Continuidad de Negocio Securización de Sist. de Inf. Políticas de Seguridad Gestión de Incidentes LOPD/LSSICE Informática Forense/Peritaje PCI DSS Externalización de la Seguridad Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 3

4 Reconocimientos Internet Security Auditors ha sido la primera empresa española en obtener las certificaciones QSA (Qualified Security Asessor) y ASV (Acredited Scanning Vendor) por el PCI Security Standards Council (PCI SSC) para realizar auditorías internas de cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 4

5 Qué es PCI DSS? Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos Estándar de seguridad Conjunto de requerimientos para Gestionar la seguridad Definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 5

6 A quién afecta? Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito. PCI DSS cataloga a estas organizaciones en Comercios (super/ hipermercados, autopistas, e-commerce, agencias de viajes, etc) Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) Entidades Adquirientes (Bancos, Cajas de ahorro, etc.). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 6

7 Cómo Cumplir PCI DSS? PCI DSS v1.1 Principios Construir y Mantener una Red Segura Requerimientos 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas 2. No emplear parámetros de seguridad y usuarios del sistema por defecto Proteger los datos de tarjetas 3. Proteger los datos almacenados de tarjetas 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas Mantener un Programa de Gestión de Vulnerabilidades 5. Usar y actualizar regularmente software antivirus 6. Desarrollar y mantener de forma segura sistemas y aplicaciones Implementar Medidas de Control de Acceso Monitorizar y Testear Regularmente las Redes Mantener una Política de Seguridad de la Información 7. Restringir el acceso a la información de tarjetas según la premisa need-toknow 8. Asignar un único ID a cada persona con acceso a computadores 9. Restringir el acceso físico a la información de tarjetas 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas 11. Testear de forma regular la seguridad de los sistemas y procesos 12. Mantener una política que gestione la seguridad de la información I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 7

8 Responsabilidades PCISSC (PCI Security Standards Council) Supervisa el desarrollo y es responsable de PCI DSS y otros documentos de soporte (procedimientos de auditoría, SAQ, etc.) Aprueba/homologa y Mantiene la lista de empresas ASV y QSA Las Marcas establecen mediante sus programas de cumplimiento: Cómo se reporta y valida el cumplimiento de PCI DSS Aprobación de entidades que cumplen PCI DSS Cuales son las consecuencias de no cumplir Niveles de comercios y proveedores de servicio (en algunos casos) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 8

9 Responsabilidades Las entidades Adquirientes son responsables de: Asegurar que sus comercios conocen PCI DSS Realizar el seguimiento de los comercios hasta que cumplan con PCI DSS (Los requerimientos se cumplen y han sido validados). Comunicar el estado de cumplimiento de los comercios a las marcas. Los comercios y proveedores de servicio son responsables de: Conocer y Cumplir PCI DSS Validar y Reportar el cumplimiento en base a los requerimientos de entidades adquirientes y marcas según proceda. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 9

10 Debo acreditar el Cumplimiento de PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 10

11 Debo acreditar el Cumplimiento de PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 11

12 Debo acreditar el Cumplimiento de PCI DSS? VISA AIS (Account Information Security) Europe USA: Canada: Asia-Pacifico: Mastercard SDP (Site Data Protection) JCB Data Security Program Discover DISC (Discover Information Security Compliance) AMEX DSOP (Data Security Operating Standard) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 12

13 Cuales son las consecuencias de no cumplir PCI DSS? Las compañías que no cumplan con este estándar, estarán sujetas a Multas/Penalizaciones tras un incidente que compromete números de tarjetas. En relación a la cantidad de números de tarjetas comprometidos Si se guardaba información sensible (Pista completa, CVV2/CVC2/CID/CAV2, PIN, PIN Block) y no se estaban aplicando medidas para remediar esta situación. Las multas que aplican las marcas sobre los acquirers pueden o no ser traspasadas a comercios y/o service providers I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 13

14 Cuales son las consecuencias de no cumplir PCI DSS? Otras consecuencias Pérdida de reputación Pérdida de clientes Daño a la imagen corporativa Procesos judiciales Gastos por investigaciones forenses I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 14

15 Beneficios Beneficios de contar con un programa que cumpla PCI DSS son: Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión). Gestión y control de costes relativos a seguridad de la información. Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad. Facilidad para el cumplimiento con legislación, estándares o requerimientos de seguridad y privacidad (LOPD, LSSICE, LGT, ISO27001, etc.). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 15

16 Cómo obtener ayuda? Empresas QSA y ASV para Asesorar a empresas que necesiten ayuda en la implantación. https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf Auditar las medidas de seguridad implantadas. https://www.pcisecuritystandards.org/pdfs/asv_report.html I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 16

17 Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Segmentación de Red Diseño de redes seguras y protección perimetral (Req 1, 5, 11.4 y 11.5) Instalación y Mantenimiento de Sistemas de Información Securización de sistemas de información (Req 2, 6.1) Protección de los datos y las comunicaciones Identificación y eliminación de datos sensibles (CVV2, Pistas,...) (Req 3) Protección de bases de datos mediante cifrado (Req 3) Protección de las comunicaciones mediante protocolos seguros (Req 4) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 17

18 Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Seguridad en SDLC Auditoría de aplicación, Revisión de código, Guía de buenas prácticas en desarrollo seguro, formación (Req 6.3, 6.4, 6.5) 30 Junio 2008 (Req 6.6) Auditoría de código por empresa especializada Firewall de aplicación Control del Acceso Control de Acceso al Sistema Operativo, Red y Aplicaciones (Req 7 y 8) Control de Acceso Físico: Tarjetas, Biometría, etc. (Req 9) Monitorización y protección de eventos de seguridad Plataforma de gestión de logs y eventos de seguridad (Req 10) Revisión y Test Test de intrusión interno y externo (Req 11.1, 11.2 y 11.3) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 18

19 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Política de Seguridad de la Información (Req 12) Marco normativo de seguridad Política de Seguridad (Req 12.1, 12.2, 12.3, 12.10) Analizar y Mitigar riesgos (Req 12.1, 12.7) Definición de Roles y Responsabilidades (Req 12.4, 12.5) Formación y concienciación (Req 12.6) Gestión de incidentes y análisis forense (Req 12.9) Continuidad de Negocio y Recuperación ante Desastres (Req 12.9) Relaciones con Proveedores (Req 12.8) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 19

20 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Otros requerimientos también definen aspectos necesarios a definir para gestionar PCI DSS: Desarrollar estándares de configuración para todos los componentes de PCI DSS (firewalls, routers, sistemas, aplicaciones, etc.) Desarrollar políticas de retención y eliminación de datos. Definir políticas y procedimientos para el uso de criptografía y gestión de claves. Desarrollar estándares de programación segura basados en best practices. Definir procedimientos de gestión de cambios para sistemas y aplicaciones. Definir políticas y procedimientos para gestión de cuentas de usuario y contraseñas, así como el control de acceso.... I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 20

21 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Gestionar requiere además Compromiso de la Dirección Provisión de Recursos Equipos, aplicativos, personas, instalaciones, etc. Formar, educar y concienciar al personal implicado I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 21

22 Alternativas Podemos Gestionar PCI DSS dentro de un SGSI ISO27001 Cumplimiento Normativo Implementar un SGSI ISO27001 donde Alcance = PCI DSS Extensible a otros ámbitos de la organización I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 22

23 Proceso Continuo Serie de acciones sistemáticas que permite obtener resultados consistentes y repetibles I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 23

24 Proceso Continuo Ciclo PDCA I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 24

25 Proceso Continuo Planificación (PLAN) Identificación del Entorno PCI DSS Es crítico determinar cual es el entorno o ámbito al que aplica PCI DSS Identificar los puntos donde se transmite, procesa o almacena información de tarjetas y definir el entorno que debe ser protegido para cumplir con PCI DSS. Identificar todos los sistemas que puedan almacenar o procesar información de tarjetas Identificar redes por donde se transmite o sistemas, aplicaciones y personas que acceden a datos de tarjetas I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 25

26 Proceso Continuo Planificación (PLAN) Identificar Datos Sensibles y PANs En tráfico de red, bases de datos, ficheros, logs, copias en papel, etc. Utilizando expresiones regulares u otro tipo de herramientas. Validando los resultados y eliminando falsos positivos (Fórmula de Luhn MOD-10). Identificar durante cuanto tiempo se mantiene esta información Los datos sensibles no pueden almacenarse tras la autorización I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 26

27 Proceso Continuo Planificación (PLAN) Si no lo hacemos bien Identificación y eliminación INCORRECTA de datos no permitidos en todos los sistemas a los que aplica PCI DSS FALSA SENSACIÓN DE CUMPLIMIENTO - No cumplimiento real de PCI DSS Análisis del Estado Actual de Cumplimiento (Gap Analysis) Analizar los procesos de la organización en relación al uso de tarjetas. Implica la colaboración de departamentos técnicos y de negocio (financiero, medios de pago, seguridad, etc.) Realizar reuniones de trabajo para evaluar el cumplimiento de los requerimientos PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 27

28 Proceso Continuo Planificación (PLAN) Qué medidas de seguridad tenemos actualmente y como se alinean con lo que requiere PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 28

29 Proceso Continuo Planificación (PLAN) Definición del Plan de Acción (Remediation Plan) Identificar acciones a realizar para acotar o reducir el entorno o ámbito sobre el que debemos implementar PCI DSS. Reducir costes innecesarios de implantación y mantenimiento. Reducir el tiempo necesario para cumplir PCI DSS. Identificar acciones a realizar para cubrir los requerimientos que actualmente no se cumplen total o parcialmente Definir el calendario de cumplimiento de los hitos más importantes y del momento en que se el cumplimiento será completo. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 29

30 Proceso Continuo Planificación (PLAN) Definición del Plan de Acción (Remediation Plan) Identificar los recursos (aplicaciones, equipos, instalaciones y personas) que son necesarios para implementar y mantener el cumplimiento. Tener en cuenta los riesgos a la hora de priorizar acciones Establecer el equipo de proyecto que será necesario para implementar el plan de acción. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 30

31 Y si no puedo cumplir todo lo que me piden? No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide => Controles Compensatorios Pueden ser considerados para la mayoría de requerimientos PCI DSS Encriptación de datos Monitorización de integridad de ficheros Requerimientos sobre las contraseñas Deben cumplir: Justificación tecnológica o restricciones de negocio El mismo objetivo y fortaleza que el requerimiento original No basarse en otros requerimientos Imponer medidas adicionales de seguridad para mitigar el riesgo de no cumplir el requerimiento. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 31

32 Y si no puedo cumplir todo lo que me piden? No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide => Controles Compensatorios Nunca para el almacenamiento de datos sensibles (CVV2, Pistas, etc.) Boletín CISP de VISA con clarificaciones en referencia al Requerimiento 3.4 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 32

33 Y si no puedo cumplir todo lo que me piden? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 33

34 Proceso Continuo Implantación (DO) Reducción del Entorno PCI DSS Acotar el entorno de cumplimiento al mínimo imprescindible Segmentar la red Reducir al mínimo donde se almacenan los datos Restringir el control de acceso Implantación del Plan de Acción Medidas Técnicas Medidas de Gestión Definición de Procesos, Estándares, Políticas y Procedimientos -> Si no está documentado NO Existe Supervisión y revisión por un QSA Aprobación por las Marcas I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 34

35 Proceso Continuo Gestión de Proveedores Identificar terceras partes Proveedores de Servicios Proveedores de hardware/software POS Pasarelas de pago Software a medida Hosting Etc. La responsabilidad final de las actividades que los proveedores realizan con los datos de tarjetas recae en el propietario. Requerir Contractualmente el Cumplimiento PCI DSS de los proveedores y realizar un seguimiento del estado. Si eres un proveedor de servicios Contacta un QSA para definir Plan de Acción para PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 35

36 Proceso Continuo Gestión de Proveedores Listado de proveedores de servicio VISA ied_service_providers_ pdf Mastercard e%20providers%20-%20november%201% pdf I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 36

37 Proceso Continuo Gestión de Incidentes En caso de compromiso, se deberá: Contactar con las marcas afectadas o entidades adquirientes según sea conveniente. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 37

38 Proceso Continuo I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 38

39 Proceso Continuo Gestión de Incidentes En caso de compromiso, se deberá: Contener y limitar las consecuencias (investigación forense) Aislar los sistemas comprometidos Identificar como ocurrió Identificar si se almacenan datos sensibles (Pistas,...) Si no podemos determinar el alcance (pistas de auditoría, etc.) deberemos reportar que todas las tarjetas pudieron ser comprometidas (mayores consecuencias económicas) Volver a recuperar el entorno dentro del cumplimiento PCI DSS Eliminar datos sensibles que pudieran estar almacenados. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 39

40 Proceso Continuo Revisión/Validación del Cumplimiento (CHECK) Revisión trimestral de Reglas del Firewall y Routers Revisión anual de la Política de Seguridad Revisión anual de riesgos Monitorización y Revisión de eventos de auditoría Formación anual en relación a la seguridad de las tarjetas Auditorías Test de Intrusion a nivel de Red y Aplicación Revisión de controles Cumplir los requerimientos de validación (según sea el caso): Auditoría de Cumplimiento Anual Formulario de autoevaluación Anual (SAQ) Escaneos de Vulnerabilidades Trimestrales ASV I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 40

41 Auditoría de Cumplimiento PCI DSS Revisión Documental Plan de Auditoría Ejecución del Plan Informe de Cumplimiento Plan de Acción Verificar que los requerimientos establecidos en PCI DSS se están cumpliendo (mediante muestreo). Tareas: Revisión documental. Preparación del Plan de Auditoría: determinación de la muestra, actividades, documentación de trabajo, etc. Ejecución de las actividades de auditoría incluyendo la evaluación de controles compensatorios. Elaboración y presentación del informe de cumplimiento. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) y posteriormente se valida que estas han sido implementadas. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 41

42 Cuestionario de Autoevaluación Revisión del Cumplimiento Formulario de Autoevaluación Plan de Acción Elaboración del cuestionario de autoevaluación (Self-Assessment Questionnaire) para empresas que no están obligadas a realizar auditorías on-site de forma anual Evaluar el nivel de riesgo Es una buena práctica contactar con asesoramiento de un QSA Tareas: Revisión del estado de cumplimiento de los 12 requerimientos. Elaboración y presentación del cuestionario de autoevaluación. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 42

43 Escaneos de Vulnerabilidades ASV Ámbito de Auditoría Escaneo Informe de Resultados Cumplir el requerimiento 11.2 Asegurar que los sistemas están protegidos de amenazas externas como hackers o virus Trimestral Por una empresa certificada como ASV No intrusivo No es un Test de Intrusion Tareas: Determinación del ámbito de auditoría (rango de IPs y listado de dominios a ser escaneados). Ejecución del escaneo en las fechas programadas Elaboración del informe de resultados I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 43

44 Proceso Continuo Actuar (ACT) En base a los resultados obtenidos de: Auditorías Sistemas de Monitorización (Logs, Incidentes,...) Revisiones de la política y riesgos Identificar necesidades de actuar Corregir el no cumplimiento Prevenir incidentes Planificar e Implementar controles I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 44

45 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 45

46 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 46

47 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 47

48 Resumen PCI DSS debe cumplirse Si procesas, almacenas o transmiten datos de tarjetas Independientemente de cómo debas validar el cumplimiento. Si no necesito almacenar los datos de las tarjetas, MEJOR NO HACERLO Reducimos el riesgo sobre nuestro negocio Reducimos el entorno al que aplica PCI DSS Reducimos costes I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 48

49 Resumen La implantación debe pensarse cómo un proceso continuo y no cómo una acción puntual Define procesos Asigna recursos Compromete a la dirección Monitoriza y Revisa Integra PCI DSS en la gestión de seguridad de la organización Basarlo en estándares (ISO27001) Cuenta con el apoyo de expertos Deja que te asesore un QSA Realiza auditorías con empresas ASV I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 49

50 Gracias Internet Security Auditors c/ Santander, 101. Edif. A. 2º E Barcelona Tel.: Fax: Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 50

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard PCI DSS: Las leyes de Seguridad de VISA y Mastercard Daniel Fernández Bleda CISA, CISSP, ISO27001 Lead Auditor OPST/A Trainer, CHFI Instructor Internet Security Auditors Socio Fundador dfernandez@isecauditors.com

Más detalles

Jornada sobre Seguridad en Medios de Pago: PCI DSS

Jornada sobre Seguridad en Medios de Pago: PCI DSS Su Seguridad es Nuestro Éxito Jornada sobre Seguridad en Medios de Pago: PCI DSS Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93

Más detalles

Seguridad en medios de pagos

Seguridad en medios de pagos Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

Boletín Asesoría Gerencial*

Boletín Asesoría Gerencial* Boletín Asesoría Gerencial* Agosto 2007 Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas? el? *connectedthinking ? el? El entorno de

Más detalles

Mayor seguridad en las transacciones con tarjetas

Mayor seguridad en las transacciones con tarjetas Mayor seguridad en las transacciones con tarjetas Hoy en día, a nadie se le escapa que el principal medio de pago en todo el mundo es la tarjeta de crédito. Ante el aumento de los fraudes en los últimos

Más detalles

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A.

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 1 Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 2 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems Temario Casos reales de robo de información

Más detalles

La Evolución de la Seguridad en Aplicaciones de Pago

La Evolución de la Seguridad en Aplicaciones de Pago La Evolución de la Seguridad en Aplicaciones de Pago 1 Agenda Objetivo Antecedentes Casos Famosos Consecuencia de una compromiso Aplicaciones de Pago y su evolución Mejores Practicas en desarrollo seguro

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] *[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral

Más detalles

Retorno de Inversión en la Adecuación a la normativa PCI DSS

Retorno de Inversión en la Adecuación a la normativa PCI DSS Retorno de Inversión en la Adecuación a la normativa PCI DSS Septiembre 2011 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

MEDIOS DE PAGO ELECTRONICO

MEDIOS DE PAGO ELECTRONICO MEDIOS DE PAGO ELECTRONICO Crecimiento del comercio electrónico en América Latina será de 59 billones de dólares en el 2012. 59 42 16 22 30 2008 2009 2010 2011 2012 Fuente: Estudio de VISA 6859 E-commerce

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Gestión de Riesgos de Compliance en medios de pagos de tarjetas

Gestión de Riesgos de Compliance en medios de pagos de tarjetas www.pwc.es Gestión de Riesgos de Compliance en medios de pagos de tarjetas JORNADA TÉCNICA 2013 Israel Hernández Ortiz. Director - Riesgos Tecnológicos Objetivos 1. Analizar el estado actual de respuesta

Más detalles

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de 1 Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de información 2 Como parte de los requisitos del seguro

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información

Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información Quiénes somos? NewPoint somos una consultora multinacional tecnológica joven, moderna y dinámica, que cuenta con una trayectoria

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Observatorio de Pagos con Tarjeta Electrónica

Observatorio de Pagos con Tarjeta Electrónica Observatorio de Pagos con Tarjeta Electrónica Reunión Implantación EMV 5 de julio de 2007 AGENDA Implantación EMV: Marco SEPA Antecedentes Situación de despliegue Implantaci Implantación n EMV: Implicaciones

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Comerciantes con tarjetas ausentes, todas las funciones que impliquen

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL CARRERA: INGENIERÍA DE SISTEMAS Tesis previa a la obtención del título de: INGENIERO DE SISTEMAS TEMA: ANÁLISIS DE LA IMPLEMENTACIÓN DEL ESTÁNDAR PCI-DSS

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance

PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance Gabriel Croci, CISA, CRISC ÍNDICE 1. PCI Origen y conceptos principales 2. Información existente en las tarjetas

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información 2013 Retos actuales de la seguridad Nintendo Ibérica está siendo chantajeada por el robo de datos de 4.000 usuarios Nintendo Ibérica ha informado de que se ha producido una

Más detalles

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Objetivos Generales: Al término de esta acción formativa los participantes alcanzarán los siguientes objetivos: Formar al alumno en los conocimientos

Más detalles

Álvaro Rodríguez @alvrod PayTrue

Álvaro Rodríguez @alvrod PayTrue Álvaro Rodríguez @alvrod PayTrue Desarrolla soluciones para la industria de medios de pago (PCI) desde 2003 Sistemas integrales de procesamiento de tarjetas (crédito, débito, prepago) Sistemas de prevención

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

PRESENTACIÓN CORPORATIVA

PRESENTACIÓN CORPORATIVA PRESENTACIÓN CORPORATIVA xavier.vigue@innevis.com Abril de 2012 INNEVIS is a trademark of Indiseg Evolium Group, S.L. PRESENTACIÓN EMPRESA LA FUSIÓN INNEVIS, es la marca comercial de la corporación Indiseg

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

=drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo=

=drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo= =drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo= MASTER UNIVERSITARIO EN GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CURSO 2014/2015 ASIGNATURA: OTRAS NORMATIVAS EN EL AMBITO DE LA SEGURIDAD DE LA INFORMACIÓN Nombre

Más detalles

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. * COMPROMETIDOS CON LA SEGURIDAD* *Comprometidos con tu vida digital, comprometidos con tu tranquilidad, comprometidos con tu negocio. [ 3 ]

Más detalles

GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS

GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS Sistema de Información GRC. Gobierno Riesgo Cumplimiento. Multinorma. Funcionalidades diferenciadoras, motor de cumplimiento con máxima flexibilidad para incorporar nuevos marcos normativos y una integración

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

Más detalles

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude?

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? NCR Security le facilita cumplir con los requisitos de la Industria

Más detalles

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO Escuela de Informática y Telecomunicaciones El

Más detalles

comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito.

comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito. comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito. Es seguro comprar con tarjetas de crédito a través de Internet? El Comercio Electrónico

Más detalles

Protección de la información en la nube

Protección de la información en la nube Protección de la información en la nube Considerar la seguridad antes de entrar en la nube Jorge Laredo, CISM, CISA, CISSP, PMP Security Project Manager Hewlett-Packard Qué proveedor? Compañía Reputación,

Más detalles

140 Horas académicas

140 Horas académicas DIPLOMADO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS 140 Horas académicas MÓDULO I - SEGURIDAD INFORMÁTICA EMPRESARIAL (20 horas: teoría interactiva) Contenido Introducción a la

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 25 CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC153_3 Versión 5 Situación RD 1087/2005 Actualización Competencia general

Más detalles

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática Categoría Seguridad Informática Securización de Base de Datos distribuidas de Gestión Procesal adscritas al Ministerio de Justicia (Memoria) Securización de Base de Datos distribuidas de Gestión Procesal

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Ingenia: Seguridad 360º

Ingenia: Seguridad 360º Ingenia: Seguridad 360º Dónde estamos Ingenia en España Dónde estamos Ingenia en el mundo Evolución plantilla y facturación Facturación por sectores La seguridad de la información: Un requisito de nuestros

Más detalles

El Sistema de Gestión de la Seguridad de la Información: Calidad de la Seguridad. Antonio Villalón Huerta avillalon@s2grupo.com

El Sistema de Gestión de la Seguridad de la Información: Calidad de la Seguridad. Antonio Villalón Huerta avillalon@s2grupo.com El Sistema de Gestión de la Seguridad de la Información: Calidad de la Seguridad Antonio Villalón Huerta avillalon@s2grupo.com Mayo, 2005 Índice Problemática de la seguridad. Sistemas de gestión. Sistema

Más detalles

Nuestra Organización

Nuestra Organización 1 Nuestra Organización «Especialistas en proveer Servicios y Soluciones Tech en marca blanca, aportando las soluciones tecnológicas más adecuadas a las necesidades de los proyectos de nuestros clientes»

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

La suite QualysGuard Security and Compliance incluye:

La suite QualysGuard Security and Compliance incluye: Seguridad + Cumplimiento con Normas A Tiempo Dentro del Presupuesto Bajo Demanda Seguridad y cumplimiento con normas entregados como un servicio Para las empresas de la actualidad es esencial la administración

Más detalles

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de

Más detalles

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005 Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa Martes, 15 de Marzo de 2005 1 1 2 3 4 5 6 7 Presentación de IZFE Motivación del Plan Director de Seguridad Enfoque

Más detalles

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información Certificado ISO 27001 Seguridad de la Información Protección de Datos Personales y Seguridad de la Información 1 sumario 1. ALARO AVANT 1.1. Estructura 1.2. Servicios 1.3. Equipo 1.4. Credenciales 1.5.

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles