Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

Transcripción

1

2 Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 Agenda Quées PCI? Quiénes tienen que cumplir? Experiencias prácticas en auditorias PCI DSS Experiencias prácticas en auditorias PCI PA-DSS Verificaciones técnicas periódicas de seguridad Preguntas y respuestas 4

5 Que es PCI? Payment Card Industry Security Standards Council (PCI SSC) Organismo formado en 2006 Define standards de seguridad para pago electrónico con tarjetas Certifica auditores oficiales (QSA/ PA-QSA) Coordina esfuerzos de las diferentes tarjetas, en materia de seguridad 5

6 Standards de PCI Fuente: 6

7 Quiénes tienen que cumplir? DSS Comercios Procesadores Gateways de pagos Proveedores de servicio Auditor oficial: QSA Se demuestra cumplimiento a la instancia superior PA-DSS Software vendors Auditor oficial: PA-QSA Se demuestra cumplimiento a l PCI-SSC

8 PCI DSS Requerimientos El standard PCI DSS tiene 12 categorías de requerimientos, que abarcan desde controles técnicos hasta normativas y procedimientos. Estos requerimientos incluyen: Protección a nivel de red Proteccíón de datos almacenados y transmitidos Antivirus y administración de parches Normas y procedimientos Administración de usuarios y claves Seguridad física Controles periódicos 8

9 PCI DSS Experiencias prácticas Las 5 etapas del dolor de PCI Negacion: Yo no necesito cumplir con PCI El compliance con PCI es obligatorio Ira: No es justo! PCI aplica a todos los players del mercado Negociacion: Ok, pero solo cumpliré con una parte Se debe cumplir con todos los requisitos Depresión: Nunca voy a lograr cumplir con PCI Muchas compañías ya lo han logrado Aceptación: Está bien, avancemos PCI no incluye ninguna cosa extraña ni nuevos conceptos 9

10 PCI DSS Experiencias prácticas Dificultades más habituales en los clientes Documentación inexistente, incompleta o desactualizada. Falta de seguimiento de la misma. Desconocimiento del alcance del estándar y las actividades a realizar. Se piensa que PCI es un proyecto de IT y es un proyecto del negocio. Manejo del PAN y otros datos de tarjeta. Almacenamiento y procesamiento del mismo. Falta de monitoreos sobre los equipos involucrados. 10

11 PCI DSS Experiencias prácticas Dificultades más habituales en los clientes (cont.) No hay concientización del personal relacionado con el ambiente de tarjetas Dificultad de extensión de cumplimiento de PCI a proveedores Complejidad de cumplimiento de cuestiones técnicas en entornos propietarios Falta de personal para tareas operativas de seguridad 11

12 PCI DSS Experiencias prácticas Casos Especiales Un procesador de pagos, utilizaba el número de tarjeta como primary key en muchas de las tablas de sus bases de datos. Una organización implementóun software de DLP. El servidor de dicha herramienta se transformóen un repositorio de datos de tarjeta. Los visitadores comerciales de una empresa, llenan en una ficha de papel los datos de tarjeta, incluyendo el código de seguridad. 12

13 PCI DSS Experiencias prácticas Recomendaciones generales Análisis de los requerimientos reales de negocio para almacenamiento de ciertos datos de tarjetas Segmentación de la red Optimización del alcance de PCI Formalización accesible de procedimientos 13

14 PCI PA DSS Requerimientos El standard PCI PA-DSS tiene 13 categorías de requerimientos, que abarcan desde pruebas técnicas al software, hasta requisitos de seguridad en el proceso de desarrollo de software, incluyendo: Guia de implementación (IG) Restricción y proteccíón de datos almacenados Protección de datos transmitidos Registros de auditoría y logging Procedimientos de desarrollo seguro Pruebas de seguridad a la aplicación 14

15 PA DSS Experiencias prácticas Dificultades más habituales en los clientes Alto nivel de conocimientos técnicos, pero baja formalidad en cuanto a procesos y procedimientos. Guía de instalación emparchada, escrita por programadores y con muchos supuestos de conocimiento interno. No hay testing de seguridad, control de cambios ni revisión de código. Falta de correcto soporte para administración de claves de encripción / KEK. Aplicaciones con vulnerabilidades. 15

16 PCI DSS Experiencias prácticas Recomendaciones generales Formalización accesible de los procedimientos de desarrollo. Implementación de verificaciones de seguridad. Pautas para administración de claves de encripción. Guia de Implementación orientada al usuario final 16

17 Controles periódicos PCI DSS requiere la realización de 5 tipos de verificaciones técnicas de seguridad periódicas a la infraestructura de datos de tarjetas PenTest Externo Escaneo externo ASV Análisis de redes Wireless PenTest Interno Escaneo interno de vulnerabilidades 17

18 Controles periódicos Complicaciones y dudas habituales No me aplican los escaneos WiFi (no tengo redes inalámbricas) Muchos Falsos positivos en escaneos externos ASV. No llego a tiempo de remediar resultados de escaneos en el trimestre PenTest interno: Hay que ir al Datacenter? 18

19 Conclusiones PCI llegó para quedarse Cada negocio tiene sus particularidades Valor agregado para la organización Hasta ahora todos nuestros clientes fueron casos de éxito El cumplimiento es posible! 19

20 Gracias por asistir a esta sesión

21 Para mayor información: Lic. Pablo G. Milano Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en