PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago
|
|
- María Soledad San Segundo Camacho
- hace 8 años
- Vistas:
Transcripción
1 PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems
2 Temario Casos reales de robo de información de tarjetas de pago Payment Card Industry Security Standards Council (PCI-SSC) Quées? De quése encarga? Quiénes deben certificar compliance? Qualified Security Asessor (QSA) PCI Data Security Standard (PCI-DSS) Ejercitación: Caso de estudio
3 Casos reales Junio de 2005: Un intruso, abusándose de una vulnerabilidad en el sistema logró acceder a la red de la empresa Card Systems, un procesador de transacciones de pago. De allí robó información de más de de tarjetas de crédito y débito, que luego fueron utilizadas en estafas. Fue uno de los mayores robos de información de tarjetas de pago de la historia. Imagen:
4 Casos reales Diciembre de 2006: La cadena de retail estadounidense TJX detectó que atacantes lograron acceder a la red de procesamiento de transacciones de la compañía, y robaron información de más de tarjetas de crédito. La investigación posterior mostró que la fuga de información había comenzado 7 meses antes. La empresa enfrenta hoy demandas de sus clientes y multas de las firmas de tarjetas de crédito Imagen:
5 Casos reales Enero de 2007: Se investiga un probable robo de información de tarjetas de pago de la cadena de indumentaria Club Monaco en Canada. Los bancos emisores de las tarjetas involucradas están siguiendo de cerca los consumos de sus clientes, para detectar signos de estafas. Imagen:
6 Payment Card Industry Security Standards Council (PCI-SSC) Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada Payment Card Industry Security Standards Council. Algunos de sus miembros son: VISA MASTERCARD AMERCIAN EXPRESS DINERS DISCOVER CARD JCB La organización fue creada en septiembre de 2006 para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.
7 Payment Card Industry Security Standards Council (PCI-SSC) Las funciones del PCI-SSC son las siguientes: Definir, desarrollar, mantener y distribuir el PCI Data Security Standard (PCI-DSS) Entrenar, testear y certificar Qualified Security Asessors (QSAs) Entrenar, testear y certificar Approved Scanning Vendors (ASVs)
8 Quiénes deben certificar Compliance? Cada empresa de tarjetas de pago, posee un programa de seguridad de transacciones de pago, Ej: Visa USA:CISP (Cardholder Information Security Program) Visa LATAM: AIS (Account Information Security Program) Mastercard: SDP (Site Data Protection) American Express: DSS (Data Security) Discover: DISC - (Data Security Guidelines) Por medio de ellos, se requiere compliance con el standard PCI-DSS a los miembros y comercios, estableciéndose penalidades y multas para aquellos que no se ajusten al standard.
9 Quiénes deben certificar Compliance? Separación de niveles de VISA: Retail y MO/TO E-Commerce Procesador Nivel 1 Nivel 2 Comercios con 80% del volumen de transacciones Comercios con 20% del volumen de transacciones Alto Riesgo Comercios con 80% del volumen de transacciones Comercios con 20% del volumen de transacciones Todos los procesadores, Payment Gateways e IPSP - Network Scan - Autoevaluación - Auditoría en Sitio - Network Scan - Autoevaluación Nivel 3 Comercios que no tienen capacidad de almacenar información (ej: comercios con POS) Bajo Riesgo - Autoevaluación (Recomendado)
10 Quiénes deben certificar Compliance? Separación de niveles de Master Card: Comercios Service Providers Nivel 1 Nivel 2 Nivel 3 - Comercios con más de de transacciones anuales. - Comercios que sufrieron compromisos de seguridad - Comercios catalogados como de Nivel 1 por otras tarjetas. - Todos los procesadores - Todos los Data Storage Entities (DSEs) que almacenan datos de cuentas de los comercios de niveles 1 y 2 - Auditoría en Sitio - Network Scan - Comercios que procesen entre y de transacciones anuales - Todos los DSEs que almacenan datos - Autoevaluación - Comercios catalogados como de nivel 2 por otras tarjetas de cuentas de los comercios de nivel 3 - Network Scan - Comercios que procesen entre y transacciones anuales - Autoevaluación El resto de los DSEs - Comercios catalogados como de nivel 3 - Network Scan por otras tarjetas Nivel 4 El resto de los comercios - Autoevaluación - Network Scan
11 QSA (Qualified Security Asessor) Es una empresa, especializada en seguridad de la información. La empresa y sus integrantes se certifican ante el Payment Card Industry Security Standards Council. Es reconocida por todos los miembros de PCI (VISA, Master Card, etc.) Está aprobada por PCI para realizar auditorías On Site en los comercios y entidades de Nivel 1 para establecer el cumplimiento de PCI-DSS. Brinda asesoramiento sobre compliance con PCI y Gap Analisis.
12 PCI Data Security Standard (DSS) El standard PCI-DSS define 12 requerimientos básicos separados en 6 categorías. Los mismos abarcan todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.
13 PCI Data Security Standard (DSS) Categoría 1: Construir y Mantener Redes Seguras 1) Instalar y mantener configuraciones de firewall para proteger la información. Establecer estándares de configuración de firewalls Whitelist, Statefull Inspection Segmentación de la red (DMZs) Firewall de perímetro en todas las redes wireless Utilización de IP Masquerading (NAT) 2) No usar contraseñas o parámetros de seguridad por default. Definir estándares de configuración de equipos Establecer nuevos valores para passwords, comunidades SNMP, SSIDs, etc. Encriptar accesos administrativos (SSH, VPN, SSL/TLS, etc)
14 PCI Data Security Standard (DSS) Categoría 2: Proteger la Información del Titular de Tarjetas de Pago 3) Proteger Información Almacenada. Minimizar el almacenamiento de datos de titulares de tarjetas Restricciones de almacenamiento de datos sensibles (Track1 / Track2, CVV2, PIN Block, Account Numbers, etc) Enmascarar el Primary Account Number (PAN) al mostrarlo (primeros 6 y últimos 4 dígitos) Uso de algoritmos de encripción estándar de la industria Documentar e implementar procedimientos de manejo de claves. 4) Cifrar datos del titular de tarjetas e información sensitiva al enviarla por redes públicas Usar criptografía fuerte y técnicas de encripción No enviar información de titulares de tarjeta por mail sin encripción.
15 PCI Data Security Standard (DSS) Categoría 3: Establecer Programas de Pruebas de Vulnerabilidades 5) Usar y actualizar regularmente soluciones anti-virus Incluir todos los sistemas Windows Las soluciones deben estar funcionales, actualizadas y deben generar Logs. 6) Desarrollar y mantener sistemas y aplicativos seguros Todos los sistemas deben tener los últimos parches de seguridad Establecer un proceso para identificar nuevas vulnerabilidades Desarrollar software siguiendo estándares de seguridad y buenas prácticas de la industria (Ej: OWASP) Incorporar seguridad a lo largo del ciclo de desarrollo del software Las aplicaciones WEB deben ser revisadas en busca de vulnerabilidades por una organización especializada en seguridad
16 PCI Data Security Standard (DSS) Categoría 4: Implementar medidas fuertes de control de Acceso 7) Restringir acceso a información de acuerdo reglas de negocio Limitar el acceso a los recursos únicamente a quienes lo necesitan Utilizar criterio de Whitelist (denegar todo por default ) 8) Asignar IDs únicos para cada persona con acceso a sistemas Identificar a cada usuario con un ID único antes de brindar accesos Utilizar métodos de autenticación (password, tokens, biometrics) 9) Restringir acceso a la información de titulares de tarjetas de pago. Limitar y monitorear el acceso a información sobre tarjetas Definir procedimientos para administración de accesos y registro de visitantes Almacenar los backups de manera segura Asegurar físicamente los medios de información Implementar una política de destrucción de documentos descartados
17 PCI Data Security Standard (DSS) Categoría 5: Monitorear y Probar regularmente el Acceso a la Red 10) Rastrear y monitorear todos los accesos a la Red e información de titulares de Tarjetas de Pago Implementar auditoría automática en todos los componentes del sistema Mantener sincronizada la hora de todos los servidores Asegurar los registros de auditoría. Revisar diariamente los Logs de los servidores 11) Regularmente probar sistemas y procedimientos de seguridad Testear anualmente limitaciones, controles y conexiones de red Realizar periódicamente escaneos de vulnerabilidades internos y externos Realizar Penetration Tests anuales. Utilizar NIDS/HIDS Utilizar sistemas de monitoreo de integridad de archivos.
18 PCI Data Security Standard (DSS) Categoría 6: Mantener Políticas de Seguridad de la Información 12) Establecer políticas dirigidas a la Seguridad de la Información Mantener, establecer, publicar y diseminar una política de seguridad Desarrollar procedimientos diarios de seguridad operacional Desarrollar políticas para la utilización de tecnologías críticas por parte de los empleados (Ej: Modems y Wireless) Implementar un programa formal de concientización en Seguridad de la Información Educar a los empleados, desde la contratación y de manera regular. Implementar un plan de respuesta ante incidentes Mantener e implementar políticas y procedimientos de seguridad para con todas las entidades conectadas con la organización
19 Caso de estudio Super Shop S.A: Cadena de retail creciente a nivel nacional Catalogada como de Nivel 1 por VISA Argentina Tiene una sede central y 4 sucursales en interior y GBA Acepta transacciones con tarjetas de débito y crédito
20 Sucursal Quilmes Sucursal Haedo Sucursal Córdoba Sucursal Rosario Super Shop S.A INTERNET Topología Actual Router Firewall LAN LOCAL X25 FileServer Database Server App Server Wireless Access Point Workstations Mail Server Web Server Autorizador local de pagos
21 Sucursal Quilmes Sucursal Haedo Sucursal Córdoba Sucursal Rosario Super Shop S.A Cambios Propuestos Router INTERNET Firewall VLAN LOCAL DMZ VLAN Tarjetas X25 App Server Workstations File Server Mail Server Web Server Access Point Database Server Autorizador local de pagos
22 Caso de estudio Super Shop S.A La VPN utiliza encripción DES de 56 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluyen todos los datos de la tarjeta de crédito, ofuscados usando un algoritmo propietario y secreto que diseñó un desarrollador de Super Shop. Únicamente 4 personas tienen acceso a la base de datos de ventas. Las 4 personas utilizan el usuario dbsupervis con password r98ja03p. Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos
23 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluyen todos los datos de la tarjeta de crédito, ofuscados usando un algoritmo propietario y secreto que diseñó un desarrollador de Super Shop. Únicamente 4 personas tienen acceso a la base de datos de ventas. Las 4 personas utilizan el usuario dbsupervis con password r98ja03p. Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos
24 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary Account Number (PAN) Únicamente 4 personas tienen acceso a la base de datos de ventas. Las 4 personas utilizan el usuario dbsupervis con password r98ja03p. Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos
25 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary Account Number (PAN) Únicamente 4 personas tienen acceso a la base de datos de ventas. Cada persona tiene su propio ID usuario y debe cambiar su clave cada 90 días Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos
26 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary Account Number (PAN) Únicamente 4 personas tienen acceso a la base de datos de ventas. Cada persona tiene su propio ID usuario y debe cambiar su clave cada 90 días Hay un responsable de seguridad de la información Se definió una política para la modificación de reglas de firewall Se definió un procedimiento periódico de patch management para todas las plataformas (Windows y Linux) Se implementó una herramienta de monitoreo remoto y parsing de logs, así como un procedimiento para su verificación.
27 PREGUNTAS Contacto: CYBSEC S.A Security Systems
Estándar PCI de medios de pago
Estándar PCI de medios de pago Luis F. Francou S. (PCI Qualified Security Assessor) lfrancou@cybsec.com 18 de Noviembre de 2009 Agenda Agenda Casos reales de robo de información de tarjetas de pago Payment
Más detallesSeguridad en medios de pagos
Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida
Más detallesBoletín Asesoría Gerencial*
Boletín Asesoría Gerencial* Agosto 2007 Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas? el? *connectedthinking ? el? El entorno de
Más detallesInformación de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)
PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por
Más detallesPCI y medidas de seguridad en los medios electrónicos de pago
VIII Congreso Internacional de Seguridad de la Información La seguridad agrega valor 6 de mayo Radisson Montevideo Victoria Plaza - Uruguay PCI y medidas de seguridad en los medios electrónicos de pago
Más detallesPresentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA
Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,
Más detallesPCI-DSS 2.0 - Experiencias prácticas
PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified
Más detallesPresentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A.
1 Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 2 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento
Más detallesEstado de la Seguridad Informática
1 Estado de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com CIASFI 2004 23 de Abril de 2004 Córdoba - ARGENTINA 2 Temario - Situación en la Argentina. - Realidades - Qué pasa con la seguridad
Más detallesMEDIOS DE PAGO ELECTRONICO
MEDIOS DE PAGO ELECTRONICO Crecimiento del comercio electrónico en América Latina será de 59 billones de dólares en el 2012. 59 42 16 22 30 2008 2009 2010 2011 2012 Fuente: Estudio de VISA 6859 E-commerce
Más detalleswww.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard
PCI DSS: Las leyes de Seguridad de VISA y Mastercard Daniel Fernández Bleda CISA, CISSP, ISO27001 Lead Auditor OPST/A Trainer, CHFI Instructor Internet Security Auditors Socio Fundador dfernandez@isecauditors.com
Más detallesLa Evolución de la Seguridad en Aplicaciones de Pago
La Evolución de la Seguridad en Aplicaciones de Pago 1 Agenda Objetivo Antecedentes Casos Famosos Consecuencia de una compromiso Aplicaciones de Pago y su evolución Mejores Practicas en desarrollo seguro
Más detallesPCI DSS, UN PROCESO CONTINUO
Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesPCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.
PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática
Más detallesLa Empresa en Riesgo?
1 La Empresa en Riesgo? Claves de la Seguridad Informática MSc. Julio C. Ardita jardita@cybsec.com 19 de Octubre de 2004 Buenos Aires - ARGENTINA 2 Temario - Situación actual - Problemática de la seguridad
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesEL ÁREA DE SEGURIDAD INFORMÁTICA. Lic. Julio C. Ardita (*) jardita@cybsec.com
EL ÁREA DE SEGURIDAD INFORMÁTICA Lic. Julio C. Ardita (*) jardita@cybsec.com 6 de Enero de 2003 INTRODUCCIÓN Este documento refleja los estándares a nivel internacional con referencia al armado de un área
Más detallesPCI (industria de tarjetas de pago) Normas de seguridad de datos
PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación
Más detallesÁlvaro Rodríguez @alvrod PayTrue
Álvaro Rodríguez @alvrod PayTrue Desarrolla soluciones para la industria de medios de pago (PCI) desde 2003 Sistemas integrales de procesamiento de tarjetas (crédito, débito, prepago) Sistemas de prevención
Más detallesNorma de seguridad de datos de la Industria de tarjetas de pago (PCI)
rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre
Más detallesSISTEMA DE RASTREO Y MARCADO ANTIRROBO
Enlaces - Centro de Educación y Tecnología SISTEMA DE RASTREO Y MARCADO ANTIRROBO DESCRIPCIÓN Y MANUAL DE USO SOFTWARE RASTREO PC IMPORTANTE En caso de robo de un computador, y para su posterior recuperación,
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesEl Estado del Arte de la Seguridad Informática
El Estado del Arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Septiembre de 2005 Buenos Aires - ARGENTINA Agenda Problemática de la seguridad informática Situación en nuestro país
Más detallesSeguridad Informática con Software Libre
1 Seguridad Informática con Software Libre Lic. Julio C. Ardita jardita@cybsec cybsec.comcom 1er Encuentro de Software Libre en el Estado 13 de Mayo de 2005 Santa Cruz - ARGENTINA 2 Temario La seguridad
Más detallesPeer-to-Peer (Punto a Punto) Cliente-Servidor
Tipos de Redes Peer-to-Peer (Punto a Punto) Cliente-Servidor Donde es apropiada la Peer_to_Peer Son buena elección para entornos donde: Hay menos de 20 usuarios. Los usuarios están situados todos en el
Más detallesMayor seguridad en las transacciones con tarjetas
Mayor seguridad en las transacciones con tarjetas Hoy en día, a nadie se le escapa que el principal medio de pago en todo el mundo es la tarjeta de crédito. Ante el aumento de los fraudes en los últimos
Más detallesPCI (industria de tarjetas de pago) Normas de seguridad de datos
PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesRoles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue
Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesMS_20688 Managing and Maintaining Windows 8.1
Gold Learning Gold Business Intelligence Silver Data Plataform Managing and Maintaining Windows 8.1 www.ked.com.mx Por favor no imprimas este documento si no es necesario. Introducción. En este curso los
Más detallesProtección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial
Presentada por: Julio César Ardita, CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento
Más detallesPCI (industria de tarjetas de pago) Normas de seguridad de datos
PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesProcedimiento. Actualización de Kit de Conexión de Comercios Webpay versión 5.X a 6.0.2. Canales Remotos Operaciones. Transbank S.A.
[Código] Versión [n.n] Procedimiento Actualización de Kit de Conexión de Comercios Webpay versión 5.X a 6.0.2 Canales Remotos Operaciones Uso restringido a comercios Actualización KCC Webpay 6.0 a 6.0.2
Más detallesTPP1. Visa Service Provider
Credencial Processing S.A. de C.V. QUIENES SOMOS Somos una Empresa especializada en programas de emisión, outsourcing y desarrollos de soluciones llave en mano en medios de pago y productos financieros,
Más detallesAdelantándose a los Hackers
1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesWHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)
con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com
Más detallesNormas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)
Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance
Más detallesGestión de la Seguridad Informática
Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...
Más detallesEl estado del arte de la Seguridad Informática
1 El estado del arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesSeguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012
Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades
Más detallesINFOGUARD MONITOREO Y AUDITORIA DEL USO DE LA INFORMACIÓN
INFOGUARD MONITOREO Y AUDITORIA DEL USO DE LA INFORMACIÓN INFOGUARD INFORMATION ASSETS USAGE AUDIT Descripción InfoGuard se especializa en vigilar todos los recursos informáticos que procesan y almacenan
Más detallesInformation Security Network Management Solutions
SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica
Más detallesDISCAR S.A. - Córdoba (5004) - ArgentinaTel: (54 351) 473-2020
Pág 1 de 5 SISTEMA Mr.DiMS SERVICIO DE HOSTING DEDICADO MODALIDAD SOFTWARE AS A SERVICE : DISCAR ofrece a sus clientes la posibilidad de utilizar el software Mr.DiMS bajo la modalidad Software as a Service,
Más detallesPCI DSS v 3.1 Un enfoque práctico para su aplicación
PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la
Más detallesSemana 10: Fir Fir w e a w lls
Semana 10: Firewalls DMZ y VPN Aprendizajes esperados Contenidos: Zonas desmilitarizadas (DMZ) Redes privadas virtuales (VPN) Zonas desmilitarizadas En seguridad informática, una ZONA DESMILITARIZADA (DMZ,
Más detallesPCI-DSS Requisitos para su empleo en la nube
01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de
Más detallesGestión Dispositivos Móviles Dexon Software
Gestión Dispositivos Móviles Dexon Software INTRODUCCIÓN La gestión de dispositivos móviles es una de las principales actividades que se llevan a cabo en los departamentos de TI de cualquier compañía;
Más detallesSeguridad en el desarrollo
OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesResumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)
Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesPotenciando Internet
1 Potenciando Internet Pablo D. Sisca psisca@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA 2 Potenciando Internet Temario -
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesPLATAFORMA DE PAGO DE CURSOS ONLINE MARKETING DEPORTIVO MD
PLATAFORMA DE PAGO DE CURSOS ONLINE MARKETING DEPORTIVO MD Para el abono de los cursos en los que cada cual esté interesado, se ha elegido como medio de pago uno de los medios más aceptados a nivel internacional
Más detallesPROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN
i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesJavier Bastarrica Lacalle Auditoria Informática.
Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN
Más detallesProtección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas
Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence
Más detallesTPV Virtual Santander Elavon: Guía de integración Venta Telefónica. Versión: 1.1
TPV Virtual Santander Elavon: Guía de integración Venta Telefónica Versión: 1.1 Índice 1 Acerca de esta guía 2 1.1 Objetivo... 2 1.2 Destinatarios... 2 1.3 Requisitos previos... 2 1.4 Documentos relacionados...
Más detallesALOJAMIENTO DE SERVIDORES EN EL C.P.D.
ALOJAMIENTO DE SERVIDORES EN EL C.P.D. Descripción del servicio. Los Servicios Informáticos ofrecen el servicio de housing o alojamiento de servidores en las instalaciones existentes de la planta sótano
Más detallesAranda 360 ENDPOINT SECURITY
Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detalles(Soluciones ADSL e-comercio) GUIA DE USUARIO. Versión 2.1. Parte 3. Manual del servicio Crea tu Tienda de Telefónica Net, ver 2.
GUIA DE USUARIO Versión 2.1 Parte 3 Manual del servicio Crea tu Tienda de Telefónica Net, ver 2.1 1 - INDICE - 9. CONTRATA OPCIONES DE TIENDA 3 9.1 CONTRATA OPCIONES DE TU TIENDA (LOGÍSTICA O TPV) 3 9.2
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesMS_80539 Installation and Deployment in Microsoft Dynamics CRM 2013
Installation and Deployment in Microsoft Dynamics CRM 2013 www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso de capacitación
Más detallesSeguridad en Bases de Datos
OWASP LatamTour Chile 2012 Seguridad en Bases de Datos Mateo Martínez mateo.martinez@owasp.org.. About Me Mateo Martínez mateo.martinez@mcafee.com CISSP, ITIL, MCP Preventa en McAfee (Argentina) Miembro
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesTPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR
TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR El TPV (Terminal Punto de Venta) Virtual es un producto dirigido a empresas y comercios, con tienda en internet, que permite el cobro de las ventas realizadas
Más detallesREQUISITOS NECESARIOS PARA PROVISPORT.NET
REQUISITOS NECESARIOS PARA PROVISPORT.NET Requisitos del sistema de Servidor para ProviSport.NET Requisitos del Servidor de ProviSport.NET Procesador Recomendado Intel I5 o Superior. Sistema operativo
Más detallesDESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA
DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar
Más detallesSeguridad Informática
Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida
Más detallesOBJETIVOS DE APRENDIZAJE
PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS
Más detallesSEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA
2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias
Más detallesBienvenido a CitiDirect BE GUÍA PARA EL ADMINISTRADOR DEL SISTEMA
Bienvenido a CitiDirect BE GUÍA PARA EL ADMINISTRADOR DEL SISTEMA Í N D I C E 1. Seguridad CitiDirect BE... 2 Servicio de Administración al Cliente en Portal Citidirect BE 2. Administración de Usuarios
Más detallesRequerimientos de tecnología para operar con Tica. Proyecto TICA
Requerimientos de tecnología para operar con Tica Proyecto TICA Costa Rica, Agosto de 2005 Tabla de Contenido Requerimientos Técnicos para Operar con Tica 3 1. Acceso a Internet 3 2. Escaneo de imágenes
Más detallesPERFILES OCUPACIONALES
PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan
Más detallesFirewalls, IPtables y Netfilter
Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.
Más detallesCAPITULO V CONCLUSIONES Y RECOMENDACIONES. Para poder desarrollar una propuesta confiable de seguridades, enmarcada en las
168 CAPITULO V CONCLUSIONES Y RECOMENDACIONES 5.1 VERIFICACION DE OBJETIVOS Para poder desarrollar una propuesta confiable de seguridades, enmarcada en las necesidades de la Comandancia General del Ejército
Más detallesBeneficios estratégicos para su organización. Beneficios. Características V.2.0907
Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada
Más detallesTABLA RESULTADOS. Se hace una lista con las páginas visitadas frecuentemente por los usuarios y se completa la recolección del total de ellas.
TABLA RESULTADOS Se hace una lista con las páginas visitadas frecuentemente por los usuarios y se completa la recolección del total de ellas. Se hace una lista con las páginas restringidas. Recolección
Más detallesInfraestructura Tecnológica. Sesión 10: Sistemas cortafuego
Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado
Más detallesProcedimiento de Gestión de Incidentes de Seguridad de la Información
SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:
Más detallesMejoras Practicas para la transferencia de archivos en ambientes de sistemas financieros. Milton Argueta, IPESA
Mejoras Practicas para la transferencia de archivos en ambientes de sistemas financieros Milton Argueta, IPESA Agenda 1 2 3 4 5 Acerca de IPESA Antecedentes y realidades ITAC SecureFile MFT Escenarios
Más detallesPROGRAMA DE ESTUDIO Área de Formación : Optativa Programa elaborado por:
PROGRAMA DE ESTUDIO Programa Educativo: Área de Formación : Licenciatura en Ciencias Computacionales Integral Profesional Horas teóricas: 2 Horas prácticas: 2 Total de Horas: 4 SEGURIDAD EN REDES DE COMPUTADORAS
Más detallesPLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA
PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA INFORMACIÓN Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA AGENDA Una mirada actual Regulaciones Requerimientos de Gestión de Riesgo Requerimientos PCI Payment
Más detalles20687 Configuring Windows 8
20687 Configuring Windows 8 Introducción Este curso de cinco días, provee a estudiantes con experiencia práctica con Windows 8. Este provee guía en instalación, actualización, y licenciamiento para Windows
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesCONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura
CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...
Más detallesGATEWAYS COMO FIREWALLS
GATEWAYS COMO FIREWALLS Ricardo Sánchez Q. Estudiante Ingeniería Telemática Aunque las empresas que han experimentado un ataque a su red por mano de usuarios no deseados, son recientes a hablar sobre sus
Más detallesTELEPROCESOS Y SISTEMAS DISTRIBUIDOS
TELEPROCESOS Y SISTEMAS DISTRIBUIDOS Semana 11 Integrantes: Cantera Salazar, Julissa A. Yalico Tello, Diana Accho Flores, Wilber En una red Trabajo en Grupo se puede compartir, o hacer disponibles a través
Más detallesTutorial Redes Privadas Virtuales (VPNs sobre ADSL)
Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detalles