PCI DSS, UN PROCESO CONTINUO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PCI DSS, UN PROCESO CONTINUO"

Transcripción

1 Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E Barcelona I Tel.: I Fax: I I I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 1

2 Presentación Miguel-Ángel Domínguez Torres Director Depto. Consultoría CISA, CISSP, ISO27001 L.A., PCI DSS QSA, OPST I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 2

3 SERVICIOS Auditoría Consultoría Seguridad Gestionada Formación Test de Intrusión Implantación SGSI Serv. de FW de Aplicación WIPS Certificaciones Oficiales Auditoría de Aplicaciones Plan Director de Seguridad Serv. de Vigilancia Anti-Malware Planes de Formación Auditoría de Sist. Inf. Plan de Continuidad de Negocio Securización de Sist. de Inf. Políticas de Seguridad Gestión de Incidentes LOPD/LSSICE Informática Forense/Peritaje PCI DSS Externalización de la Seguridad Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 3

4 Reconocimientos Internet Security Auditors ha sido la primera empresa española en obtener las certificaciones QSA (Qualified Security Asessor) y ASV (Acredited Scanning Vendor) por el PCI Security Standards Council (PCI SSC) para realizar auditorías internas de cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 4

5 Qué es PCI DSS? Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos Estándar de seguridad Conjunto de requerimientos para Gestionar la seguridad Definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 5

6 A quién afecta? Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito. PCI DSS cataloga a estas organizaciones en Comercios (super/ hipermercados, autopistas, e-commerce, agencias de viajes, etc) Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) Entidades Adquirientes (Bancos, Cajas de ahorro, etc.). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 6

7 Cómo Cumplir PCI DSS? PCI DSS v1.1 Principios Construir y Mantener una Red Segura Requerimientos 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas 2. No emplear parámetros de seguridad y usuarios del sistema por defecto Proteger los datos de tarjetas 3. Proteger los datos almacenados de tarjetas 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas Mantener un Programa de Gestión de Vulnerabilidades 5. Usar y actualizar regularmente software antivirus 6. Desarrollar y mantener de forma segura sistemas y aplicaciones Implementar Medidas de Control de Acceso Monitorizar y Testear Regularmente las Redes Mantener una Política de Seguridad de la Información 7. Restringir el acceso a la información de tarjetas según la premisa need-toknow 8. Asignar un único ID a cada persona con acceso a computadores 9. Restringir el acceso físico a la información de tarjetas 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas 11. Testear de forma regular la seguridad de los sistemas y procesos 12. Mantener una política que gestione la seguridad de la información I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 7

8 Responsabilidades PCISSC (PCI Security Standards Council) Supervisa el desarrollo y es responsable de PCI DSS y otros documentos de soporte (procedimientos de auditoría, SAQ, etc.) Aprueba/homologa y Mantiene la lista de empresas ASV y QSA Las Marcas establecen mediante sus programas de cumplimiento: Cómo se reporta y valida el cumplimiento de PCI DSS Aprobación de entidades que cumplen PCI DSS Cuales son las consecuencias de no cumplir Niveles de comercios y proveedores de servicio (en algunos casos) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 8

9 Responsabilidades Las entidades Adquirientes son responsables de: Asegurar que sus comercios conocen PCI DSS Realizar el seguimiento de los comercios hasta que cumplan con PCI DSS (Los requerimientos se cumplen y han sido validados). Comunicar el estado de cumplimiento de los comercios a las marcas. Los comercios y proveedores de servicio son responsables de: Conocer y Cumplir PCI DSS Validar y Reportar el cumplimiento en base a los requerimientos de entidades adquirientes y marcas según proceda. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 9

10 Debo acreditar el Cumplimiento de PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 10

11 Debo acreditar el Cumplimiento de PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 11

12 Debo acreditar el Cumplimiento de PCI DSS? VISA AIS (Account Information Security) Europe USA: Canada: Asia-Pacifico: Mastercard SDP (Site Data Protection) JCB Data Security Program Discover DISC (Discover Information Security Compliance) AMEX DSOP (Data Security Operating Standard) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 12

13 Cuales son las consecuencias de no cumplir PCI DSS? Las compañías que no cumplan con este estándar, estarán sujetas a Multas/Penalizaciones tras un incidente que compromete números de tarjetas. En relación a la cantidad de números de tarjetas comprometidos Si se guardaba información sensible (Pista completa, CVV2/CVC2/CID/CAV2, PIN, PIN Block) y no se estaban aplicando medidas para remediar esta situación. Las multas que aplican las marcas sobre los acquirers pueden o no ser traspasadas a comercios y/o service providers I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 13

14 Cuales son las consecuencias de no cumplir PCI DSS? Otras consecuencias Pérdida de reputación Pérdida de clientes Daño a la imagen corporativa Procesos judiciales Gastos por investigaciones forenses I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 14

15 Beneficios Beneficios de contar con un programa que cumpla PCI DSS son: Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión). Gestión y control de costes relativos a seguridad de la información. Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad. Facilidad para el cumplimiento con legislación, estándares o requerimientos de seguridad y privacidad (LOPD, LSSICE, LGT, ISO27001, etc.). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 15

16 Cómo obtener ayuda? Empresas QSA y ASV para Asesorar a empresas que necesiten ayuda en la implantación. https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf Auditar las medidas de seguridad implantadas. https://www.pcisecuritystandards.org/pdfs/asv_report.html I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 16

17 Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Segmentación de Red Diseño de redes seguras y protección perimetral (Req 1, 5, 11.4 y 11.5) Instalación y Mantenimiento de Sistemas de Información Securización de sistemas de información (Req 2, 6.1) Protección de los datos y las comunicaciones Identificación y eliminación de datos sensibles (CVV2, Pistas,...) (Req 3) Protección de bases de datos mediante cifrado (Req 3) Protección de las comunicaciones mediante protocolos seguros (Req 4) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 17

18 Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Seguridad en SDLC Auditoría de aplicación, Revisión de código, Guía de buenas prácticas en desarrollo seguro, formación (Req 6.3, 6.4, 6.5) 30 Junio 2008 (Req 6.6) Auditoría de código por empresa especializada Firewall de aplicación Control del Acceso Control de Acceso al Sistema Operativo, Red y Aplicaciones (Req 7 y 8) Control de Acceso Físico: Tarjetas, Biometría, etc. (Req 9) Monitorización y protección de eventos de seguridad Plataforma de gestión de logs y eventos de seguridad (Req 10) Revisión y Test Test de intrusión interno y externo (Req 11.1, 11.2 y 11.3) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 18

19 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Política de Seguridad de la Información (Req 12) Marco normativo de seguridad Política de Seguridad (Req 12.1, 12.2, 12.3, 12.10) Analizar y Mitigar riesgos (Req 12.1, 12.7) Definición de Roles y Responsabilidades (Req 12.4, 12.5) Formación y concienciación (Req 12.6) Gestión de incidentes y análisis forense (Req 12.9) Continuidad de Negocio y Recuperación ante Desastres (Req 12.9) Relaciones con Proveedores (Req 12.8) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 19

20 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Otros requerimientos también definen aspectos necesarios a definir para gestionar PCI DSS: Desarrollar estándares de configuración para todos los componentes de PCI DSS (firewalls, routers, sistemas, aplicaciones, etc.) Desarrollar políticas de retención y eliminación de datos. Definir políticas y procedimientos para el uso de criptografía y gestión de claves. Desarrollar estándares de programación segura basados en best practices. Definir procedimientos de gestión de cambios para sistemas y aplicaciones. Definir políticas y procedimientos para gestión de cuentas de usuario y contraseñas, así como el control de acceso.... I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 20

21 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Gestionar requiere además Compromiso de la Dirección Provisión de Recursos Equipos, aplicativos, personas, instalaciones, etc. Formar, educar y concienciar al personal implicado I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 21

22 Alternativas Podemos Gestionar PCI DSS dentro de un SGSI ISO27001 Cumplimiento Normativo Implementar un SGSI ISO27001 donde Alcance = PCI DSS Extensible a otros ámbitos de la organización I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 22

23 Proceso Continuo Serie de acciones sistemáticas que permite obtener resultados consistentes y repetibles I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 23

24 Proceso Continuo Ciclo PDCA I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 24

25 Proceso Continuo Planificación (PLAN) Identificación del Entorno PCI DSS Es crítico determinar cual es el entorno o ámbito al que aplica PCI DSS Identificar los puntos donde se transmite, procesa o almacena información de tarjetas y definir el entorno que debe ser protegido para cumplir con PCI DSS. Identificar todos los sistemas que puedan almacenar o procesar información de tarjetas Identificar redes por donde se transmite o sistemas, aplicaciones y personas que acceden a datos de tarjetas I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 25

26 Proceso Continuo Planificación (PLAN) Identificar Datos Sensibles y PANs En tráfico de red, bases de datos, ficheros, logs, copias en papel, etc. Utilizando expresiones regulares u otro tipo de herramientas. Validando los resultados y eliminando falsos positivos (Fórmula de Luhn MOD-10). Identificar durante cuanto tiempo se mantiene esta información Los datos sensibles no pueden almacenarse tras la autorización I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 26

27 Proceso Continuo Planificación (PLAN) Si no lo hacemos bien Identificación y eliminación INCORRECTA de datos no permitidos en todos los sistemas a los que aplica PCI DSS FALSA SENSACIÓN DE CUMPLIMIENTO - No cumplimiento real de PCI DSS Análisis del Estado Actual de Cumplimiento (Gap Analysis) Analizar los procesos de la organización en relación al uso de tarjetas. Implica la colaboración de departamentos técnicos y de negocio (financiero, medios de pago, seguridad, etc.) Realizar reuniones de trabajo para evaluar el cumplimiento de los requerimientos PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 27

28 Proceso Continuo Planificación (PLAN) Qué medidas de seguridad tenemos actualmente y como se alinean con lo que requiere PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 28

29 Proceso Continuo Planificación (PLAN) Definición del Plan de Acción (Remediation Plan) Identificar acciones a realizar para acotar o reducir el entorno o ámbito sobre el que debemos implementar PCI DSS. Reducir costes innecesarios de implantación y mantenimiento. Reducir el tiempo necesario para cumplir PCI DSS. Identificar acciones a realizar para cubrir los requerimientos que actualmente no se cumplen total o parcialmente Definir el calendario de cumplimiento de los hitos más importantes y del momento en que se el cumplimiento será completo. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 29

30 Proceso Continuo Planificación (PLAN) Definición del Plan de Acción (Remediation Plan) Identificar los recursos (aplicaciones, equipos, instalaciones y personas) que son necesarios para implementar y mantener el cumplimiento. Tener en cuenta los riesgos a la hora de priorizar acciones Establecer el equipo de proyecto que será necesario para implementar el plan de acción. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 30

31 Y si no puedo cumplir todo lo que me piden? No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide => Controles Compensatorios Pueden ser considerados para la mayoría de requerimientos PCI DSS Encriptación de datos Monitorización de integridad de ficheros Requerimientos sobre las contraseñas Deben cumplir: Justificación tecnológica o restricciones de negocio El mismo objetivo y fortaleza que el requerimiento original No basarse en otros requerimientos Imponer medidas adicionales de seguridad para mitigar el riesgo de no cumplir el requerimiento. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 31

32 Y si no puedo cumplir todo lo que me piden? No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide => Controles Compensatorios Nunca para el almacenamiento de datos sensibles (CVV2, Pistas, etc.) Boletín CISP de VISA con clarificaciones en referencia al Requerimiento 3.4 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 32

33 Y si no puedo cumplir todo lo que me piden? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 33

34 Proceso Continuo Implantación (DO) Reducción del Entorno PCI DSS Acotar el entorno de cumplimiento al mínimo imprescindible Segmentar la red Reducir al mínimo donde se almacenan los datos Restringir el control de acceso Implantación del Plan de Acción Medidas Técnicas Medidas de Gestión Definición de Procesos, Estándares, Políticas y Procedimientos -> Si no está documentado NO Existe Supervisión y revisión por un QSA Aprobación por las Marcas I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 34

35 Proceso Continuo Gestión de Proveedores Identificar terceras partes Proveedores de Servicios Proveedores de hardware/software POS Pasarelas de pago Software a medida Hosting Etc. La responsabilidad final de las actividades que los proveedores realizan con los datos de tarjetas recae en el propietario. Requerir Contractualmente el Cumplimiento PCI DSS de los proveedores y realizar un seguimiento del estado. Si eres un proveedor de servicios Contacta un QSA para definir Plan de Acción para PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 35

36 Proceso Continuo Gestión de Proveedores Listado de proveedores de servicio VISA ied_service_providers_ pdf Mastercard e%20providers%20-%20november%201% pdf I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 36

37 Proceso Continuo Gestión de Incidentes En caso de compromiso, se deberá: Contactar con las marcas afectadas o entidades adquirientes según sea conveniente. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 37

38 Proceso Continuo I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 38

39 Proceso Continuo Gestión de Incidentes En caso de compromiso, se deberá: Contener y limitar las consecuencias (investigación forense) Aislar los sistemas comprometidos Identificar como ocurrió Identificar si se almacenan datos sensibles (Pistas,...) Si no podemos determinar el alcance (pistas de auditoría, etc.) deberemos reportar que todas las tarjetas pudieron ser comprometidas (mayores consecuencias económicas) Volver a recuperar el entorno dentro del cumplimiento PCI DSS Eliminar datos sensibles que pudieran estar almacenados. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 39

40 Proceso Continuo Revisión/Validación del Cumplimiento (CHECK) Revisión trimestral de Reglas del Firewall y Routers Revisión anual de la Política de Seguridad Revisión anual de riesgos Monitorización y Revisión de eventos de auditoría Formación anual en relación a la seguridad de las tarjetas Auditorías Test de Intrusion a nivel de Red y Aplicación Revisión de controles Cumplir los requerimientos de validación (según sea el caso): Auditoría de Cumplimiento Anual Formulario de autoevaluación Anual (SAQ) Escaneos de Vulnerabilidades Trimestrales ASV I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 40

41 Auditoría de Cumplimiento PCI DSS Revisión Documental Plan de Auditoría Ejecución del Plan Informe de Cumplimiento Plan de Acción Verificar que los requerimientos establecidos en PCI DSS se están cumpliendo (mediante muestreo). Tareas: Revisión documental. Preparación del Plan de Auditoría: determinación de la muestra, actividades, documentación de trabajo, etc. Ejecución de las actividades de auditoría incluyendo la evaluación de controles compensatorios. Elaboración y presentación del informe de cumplimiento. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) y posteriormente se valida que estas han sido implementadas. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 41

42 Cuestionario de Autoevaluación Revisión del Cumplimiento Formulario de Autoevaluación Plan de Acción Elaboración del cuestionario de autoevaluación (Self-Assessment Questionnaire) para empresas que no están obligadas a realizar auditorías on-site de forma anual Evaluar el nivel de riesgo Es una buena práctica contactar con asesoramiento de un QSA Tareas: Revisión del estado de cumplimiento de los 12 requerimientos. Elaboración y presentación del cuestionario de autoevaluación. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 42

43 Escaneos de Vulnerabilidades ASV Ámbito de Auditoría Escaneo Informe de Resultados Cumplir el requerimiento 11.2 Asegurar que los sistemas están protegidos de amenazas externas como hackers o virus Trimestral Por una empresa certificada como ASV No intrusivo No es un Test de Intrusion Tareas: Determinación del ámbito de auditoría (rango de IPs y listado de dominios a ser escaneados). Ejecución del escaneo en las fechas programadas Elaboración del informe de resultados I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 43

44 Proceso Continuo Actuar (ACT) En base a los resultados obtenidos de: Auditorías Sistemas de Monitorización (Logs, Incidentes,...) Revisiones de la política y riesgos Identificar necesidades de actuar Corregir el no cumplimiento Prevenir incidentes Planificar e Implementar controles I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 44

45 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 45

46 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 46

47 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 47

48 Resumen PCI DSS debe cumplirse Si procesas, almacenas o transmiten datos de tarjetas Independientemente de cómo debas validar el cumplimiento. Si no necesito almacenar los datos de las tarjetas, MEJOR NO HACERLO Reducimos el riesgo sobre nuestro negocio Reducimos el entorno al que aplica PCI DSS Reducimos costes I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 48

49 Resumen La implantación debe pensarse cómo un proceso continuo y no cómo una acción puntual Define procesos Asigna recursos Compromete a la dirección Monitoriza y Revisa Integra PCI DSS en la gestión de seguridad de la organización Basarlo en estándares (ISO27001) Cuenta con el apoyo de expertos Deja que te asesore un QSA Realiza auditorías con empresas ASV I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 49

50 Gracias Internet Security Auditors c/ Santander, 101. Edif. A. 2º E Barcelona Tel.: Fax: Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 50

Jornada sobre Seguridad en Medios de Pago: PCI DSS

Jornada sobre Seguridad en Medios de Pago: PCI DSS Su Seguridad es Nuestro Éxito Jornada sobre Seguridad en Medios de Pago: PCI DSS Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93

Más detalles

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard PCI DSS: Las leyes de Seguridad de VISA y Mastercard Daniel Fernández Bleda CISA, CISSP, ISO27001 Lead Auditor OPST/A Trainer, CHFI Instructor Internet Security Auditors Socio Fundador dfernandez@isecauditors.com

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Seguridad en medios de pagos

Seguridad en medios de pagos Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

La Evolución de la Seguridad en Aplicaciones de Pago

La Evolución de la Seguridad en Aplicaciones de Pago La Evolución de la Seguridad en Aplicaciones de Pago 1 Agenda Objetivo Antecedentes Casos Famosos Consecuencia de una compromiso Aplicaciones de Pago y su evolución Mejores Practicas en desarrollo seguro

Más detalles

Boletín Asesoría Gerencial*

Boletín Asesoría Gerencial* Boletín Asesoría Gerencial* Agosto 2007 Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas? el? *connectedthinking ? el? El entorno de

Más detalles

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] *[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral

Más detalles

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems Temario Casos reales de robo de información

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Mayor seguridad en las transacciones con tarjetas

Mayor seguridad en las transacciones con tarjetas Mayor seguridad en las transacciones con tarjetas Hoy en día, a nadie se le escapa que el principal medio de pago en todo el mundo es la tarjeta de crédito. Ante el aumento de los fraudes en los últimos

Más detalles

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A.

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 1 Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 2 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

Retorno de Inversión en la Adecuación a la normativa PCI DSS

Retorno de Inversión en la Adecuación a la normativa PCI DSS Retorno de Inversión en la Adecuación a la normativa PCI DSS Septiembre 2011 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

MEDIOS DE PAGO ELECTRONICO

MEDIOS DE PAGO ELECTRONICO MEDIOS DE PAGO ELECTRONICO Crecimiento del comercio electrónico en América Latina será de 59 billones de dólares en el 2012. 59 42 16 22 30 2008 2009 2010 2011 2012 Fuente: Estudio de VISA 6859 E-commerce

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Gestión de Riesgos de Compliance en medios de pagos de tarjetas

Gestión de Riesgos de Compliance en medios de pagos de tarjetas www.pwc.es Gestión de Riesgos de Compliance en medios de pagos de tarjetas JORNADA TÉCNICA 2013 Israel Hernández Ortiz. Director - Riesgos Tecnológicos Objetivos 1. Analizar el estado actual de respuesta

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de 1 Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de información 2 Como parte de los requisitos del seguro

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad

Más detalles

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información

Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información Quiénes somos? NewPoint somos una consultora multinacional tecnológica joven, moderna y dinámica, que cuenta con una trayectoria

Más detalles

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Objetivos Generales: Al término de esta acción formativa los participantes alcanzarán los siguientes objetivos: Formar al alumno en los conocimientos

Más detalles

GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS

GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS Sistema de Información GRC. Gobierno Riesgo Cumplimiento. Multinorma. Funcionalidades diferenciadoras, motor de cumplimiento con máxima flexibilidad para incorporar nuevos marcos normativos y una integración

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

Monitorización, Protección y Auditoría de Bases de Datos en tiempo real. Cumplimiento normativo y protección de acceso en Euskaltel

Monitorización, Protección y Auditoría de Bases de Datos en tiempo real. Cumplimiento normativo y protección de acceso en Euskaltel Monitorización, Protección y Auditoría de Bases de Datos en tiempo real Cumplimiento normativo y protección de acceso en Euskaltel Índice El coste del cumplimiento Antecedentes legales y normativos Necesidades

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Real Decreto, 1720/2007, de 21 de diciembre

Real Decreto, 1720/2007, de 21 de diciembre PRESENTACION: La normativa vigente en materia de protección de datos, se articula bajo la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, de 13 de Diciembre y el nuevo Real Decreto, 1720/2007,

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

PRESENTACIÓN CORPORATIVA

PRESENTACIÓN CORPORATIVA PRESENTACIÓN CORPORATIVA xavier.vigue@innevis.com Abril de 2012 INNEVIS is a trademark of Indiseg Evolium Group, S.L. PRESENTACIÓN EMPRESA LA FUSIÓN INNEVIS, es la marca comercial de la corporación Indiseg

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón Haga clic para modificar el estilo de Haga clic para modificar el estilo de texto del ASPECTOS CLAVE DE SEGURIDAD EN PCI VICENTE AGUILERA DÍAZ DTOR. DEPARTAMENTO AUDITORÍA INTERNET SECURITY AUDITORS 1

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Comerciantes con tarjetas ausentes, todas las funciones que impliquen

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

=drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo=

=drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo= =drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo= MASTER UNIVERSITARIO EN GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CURSO 2014/2015 ASIGNATURA: OTRAS NORMATIVAS EN EL AMBITO DE LA SEGURIDAD DE LA INFORMACIÓN Nombre

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. * COMPROMETIDOS CON LA SEGURIDAD* *Comprometidos con tu vida digital, comprometidos con tu tranquilidad, comprometidos con tu negocio. [ 3 ]

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Álvaro Rodríguez @alvrod PayTrue

Álvaro Rodríguez @alvrod PayTrue Álvaro Rodríguez @alvrod PayTrue Desarrolla soluciones para la industria de medios de pago (PCI) desde 2003 Sistemas integrales de procesamiento de tarjetas (crédito, débito, prepago) Sistemas de prevención

Más detalles

Protección de la información en la nube

Protección de la información en la nube Protección de la información en la nube Considerar la seguridad antes de entrar en la nube Jorge Laredo, CISM, CISA, CISSP, PMP Security Project Manager Hewlett-Packard Qué proveedor? Compañía Reputación,

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Observatorio de Pagos con Tarjeta Electrónica

Observatorio de Pagos con Tarjeta Electrónica Observatorio de Pagos con Tarjeta Electrónica Reunión Implantación EMV 5 de julio de 2007 AGENDA Implantación EMV: Marco SEPA Antecedentes Situación de despliegue Implantaci Implantación n EMV: Implicaciones

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

SEGURIDAD GESTIONADA

SEGURIDAD GESTIONADA SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos

Más detalles

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria: Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL CARRERA: INGENIERÍA DE SISTEMAS Tesis previa a la obtención del título de: INGENIERO DE SISTEMAS TEMA: ANÁLISIS DE LA IMPLEMENTACIÓN DEL ESTÁNDAR PCI-DSS

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Código: IFCT0109 Nivel de cualificación

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance

PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance Gabriel Croci, CISA, CRISC ÍNDICE 1. PCI Origen y conceptos principales 2. Información existente en las tarjetas

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

ARANZADI PROTECCIÓN DE DATOS

ARANZADI PROTECCIÓN DE DATOS ARANZADI PROTECCIÓN DE DATOS PROTECCIÓN DE DATOS PARA EMPRESAS, AUTÓNOMOS Y PROFESIONALES. Sònia Pujol Brescó C/ Provença, 398, 3a planta 08025 Barcelona Tel. 934 592 220 / 626 279 660 sonia.pujol@thomsonreuters.com

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles