W HI TE P APER CENTRI F Y CO RP.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "W HI TE P APER CENTRI F Y CO RP."

Transcripción

1 W HI TE P APER CENTRI F Y CO RP. Utilizando el Directorio Activo y Centrify para Servidores para satisfacer los requerimientos de las normas de seguridad de datos de la Industria de Tarjetas de Pago (PCI) Con el Directorio Activo de Mic rosoft y Centrify para Servidores, se puede utilizar la infraestructura ya existente en su empresa para resolver la problemática de otras plataformas, y beneficios como mayor fortaleza en los controles de seguridad, mejoras en las operaciones de tecnología de la información, reportes de auditoria, y la c aptura y reproducción de las sesiones de los usuarios. Más importante aún, en conjunto ayudan a cumplir con varios de los requerimientos de las normas de seguridad de la Industria de Tarjetas de Pago (PCI DSS). El consejo de estándares de seguridad de la Industria de Tarjetas de Pago (PCI) mantiene las normas de seguridad de datos (DSS) que es un conjunto riguroso de requerimientos que debe ser cumplido por todos los comerciantes, procesadores de pagos, puntos de ventas e instituciones financieras. Las rígidas penalidades definidas por los miembros de PCI están diseñadas para asegurarse que todos los comerciantes y proveedores de servicios mantengan el nivel de confianza de las tarjetas de pago ya que las pérdidas impactarían los ingresos de todos los comerciantes e instituciones financieras. Este documento examina la justificación técnica y de negocios de utilizar el Active Directory de Microsoft y los productos de Centrify para centralizar las políticas de protección, autenticación de usuarios, controles de acceso, responsabilidad y auditoría de sistemas sensitivos. Esta combinación provee una solución exhaustiva para cum plir con estas normativas. Centrify Corporation TEL (408) N. Mary Ave., Suite 200 URL trify.com Sunnyvale, CA 94085

2 Information in this document, including URL and other Internet Web site references, is subject to change without notice. Unless otherwise noted, the example companies, organizations, products, domain names, addresses, logos, people, places and events depicted herein are fictitious, and no association with any real company, organization, product, domain name, address, logo, person, place or event is intended or should be inferred. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Centrify Corporation. Centrify may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Centrify, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property Centrify Corporation. All rights reserved. Centrify is a registered trademark and DirectAudit and DirectControl are trademarks of Centrify Corporation in the United States and/or other countries. Microsoft, Active Directory, Windows, Windows NT, and Windows Server are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. [WP ] Nota sobre las terminologías de este documento: en este documento nos vamos a referir a sistemas UNIX, Linux o sistemas abiertos como sistemas UNIX. También, las normas de seguridad de datos de la Industria de Tarjetas de Pago (PCI) se van a referir como normativas PCI, PCI DSS o estándar PCI. Directorio Activo o Active Directory tiene las tecnologías LDAP, Group Policy (Normativa de Grupos), y el protocolo Kerberos, estos componentes va a ser referidos por su nombre en inglés y español CENTRIFY CORPOR ATION. TODOS LOS DERECHOS RESERVADOS. PAGINA II

3 Contenido 1 Resumen Ejecutivo Requerimientos para conformidad con la normativa PCI Resumen de lo s re que rimie ntos de la no rmativa PCI Todos los miembros de ben a linea rse a la no rmativa Las penalidades van más allá de multas Como asegurar, controlar y auditar ambientes multiplataforma usando Directorio Activo y Centrify para Servidores Normativas de Grupo en Sistemas Unix Gestión de Acceso y Privilegios Basados en Roles Captura y Reproducción de Sesiones del Usuario Los requerimientos de PCI que son posibilitados con Centrify para Servidores Requerimiento # 1: Instale y m antenga una configuración de firewalls para pro tege r los da tos de lo s titula res de la s ta rje tas Requerimiento # 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Requerimiento # 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Requerimiento #7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio Requerimiento # 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora Requerimiento # 10: Rastree y supervise todos los accesos a los recursos de red y a los da tos de los titula res de las ta rje tas Requerimiento # 11: Pruebe con regularidad los sistemas y procesos de seguridad Conclusión Información A dicional sobre Centrify Como contactar a Centrify CENTRIFY CORPOR ATION. TODOS LOS DERECHOS RESERVADOS. PAGINA III

4 1 Resumen Ejecutivo Como la mayoría de las transacciones comerciales realizadas por negocios e individuos se ejecutan usando algún tipo de pago electrónico que involucra una tarjeta de pago en vez de dinero en efectivo, ha aumentado la necesidad de proteger la información del tarjetahabiente para prevenir el fraude ó el robo de identidades. El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI, en Inglés) fue formado por American Express, Discover Financial Services, JCB, MasterCArd Worldwide y Visa Internacional con la misión de realzar la seguridad de datos de las cuentas de pago con las normas de seguridad de datos (DSS, en Inglés), que describe un conjunto de prácticas adecuadas que deben ser obligatorias en todos los sistemas involucrados en el procesamiento de tarjetas. Hemos encontrado que en ambientes heterogéneos, es desafiante para los Gerentes de TI el poder cumplir con los requerimientos del DSS particularmente cuando se trata de sistemas diferentes a Windows. Como resultado, varias organizaciones que están sujetas al estándar están bajo el riesgo de fallar la auditoría de esas normativas en estos sistemas. Este documento describe como el Active Directorio Activo de Microsoft (Active Directory) combinado con Centrify para Servidores se puede utilizar para no solo cumplir con varios de los requerimientos de PCI en sistemas heterogéneos, sino que también produce beneficios adicionales como la reducción de los costos de mantener la infraestructura actual y la mejora de los procesos tecnológicos y del negocio. Centrify ofrece una serie de servicios de identidad unificados en el data center, en la nube y en dispositivos móviles esto resulta en una sola credencial para los usuarios y una infraestructura unificada para TI. Centrify ofrece varios productos que se dirigen a varios requerimientos del PCI-DSS que se van a describir en detalle en este documento. El paquete Centrify para Servidores, consta de DirectControl, que permite extender la infraestructura actual el Directorio Activo (Active Directory) para cumplir los requerimientos de control de accesos e identidades en los sistemas UNIX, Linux y sus aplicaciones. Igualmente, la tecnología patentada de DirectControl Zones es una solución innovadora que provee la capacidad de definir detallados controles de acceso y delegación de administración para que los Gerentes de TI puedan cumplir con los requerimientos del DSS y la gestión de sistemas distribuidos en plataformas diversas. DirectControl también provee la capacidad de hacer cumplir los requerimientos de seguridad usando normativas de grupo (Group Policy) de Active Directory en sistemas diferentes a Windows. Basándose en la integración con el Active Directory, el componente DirectAuthorize facilita una solución de autorización basada en roles que permite definir y controlar los privilegios que los usuarios necesitan para acceder sistemas específicos y aplicaciones al igual que permite que los súper usuarios pueden desempeñar sus funciones administrativas tanto en la plataforma UNIX, Linux y Windows CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 1

5 DirectAudit va más allá que las soluciones tradicionales de registro de eventos ya que provee la capacidad de captura, reproducción y registro detallado de las actividades de los usuarios en plataformas UNIX, Linux y Windows de una manera fácil de usar, segura y confiable. DirectSecure añade capas de seguridad adicionales al separar lógicamente los sistemas de tarjetahabientes mediante la autenticación mutual y el cifrado de comunicaciones. Asimismo, la combinación de Active Directory y Centrify para Servidores permite la conformidad con los requerimientos de auditoría del estándar de seguridad de datos. 2 Requerimientos para conformidad con la normativa PCI 2.1 Resumen de los requerimientos de la normativa PCI El consejo de estándares de seguridad de la industria de tarjetas de pago ha definido un conjunto riguroso de requerimientos de seguridad que debe ser cumplido por todos los detallistas, procesadores de pagos, puntos de venta e instituciones financieras para retener su derecho de uso del sistema de pagos. Los miembros (como por ejemplo Visa) han definido altas penalidades como incentivos para el cumplimiento de estas normas. Las penalidades están diseñadas para asegurarse que todos los negocios y proveedores de pagos trabajan para mantener la confianza del cliente, todo ya que la pérdida de confianza afectaría drásticamente la capacidad de hacer negocios en el mercado en general. Las normas de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) están compuestas por 12 requerimientos muy bien definidos en 6 categorías. Estos están disponibles aquí: Categoría Desarrollar y mantener una red segura Requerimiento Los firewalls son dispositivos que controlan el tráfico de datos hacia las premisas de la empresa desde redes externas o hacia partes más sensitivas de la red interna. Todos los sistemas deben ser protegidos de acceso no autorizado del Internet, ya sea por comercio electrónico, navegación o correo electrónico. Frecuentemente, accesos insignificantes pueden causar vulnerabilidades a sistemas sensitivos. Los firewalls son la protección principal para cualquier red computarizada. 1. Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas 2. No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 2

6 Categoría Proteger los datos del titular de la tarjeta Requerimiento El cifrado de información es mecanismo final de protección ya que aunque un intruso penetre las barreras de protección y accede a la información cifrada, el no podrá leer la información sin romper el cifrado. Este es un ejemplo del principio de defensa profunda. 3. Proteja los datos del titular de la tarjeta que fueron almacenados 4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Mantener un programa de administración de vulnerabilidad Muchas vulnerabilidades y programas malignos entran a las redes a través de las actividades del usuario final (como el correo electrónico). Los antivirus deben ser implementados en los sistemas de correo y sistemas operativos de escritorio para proteger la infraestructura. 5. Utilice y actualice regularmente el software o los programas antivirus 6. Desarrolle y mantenga sistemas y aplicaciones seguras Implementar medidas sólidas de control de acceso Este grupo asegura que la información crítica solo debe ser accesible por personal autorizado. 7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio 8. Asignar una ID exclusiva a cada persona que tenga acceso por computadora 9. Restringir el acceso físico a los datos del titular de la tarjeta Supervisar y evaluar las redes con regularidad Los diarios y mecanismos de rastreo son capacidades críticas que permiten el registro de las actividades del usuario. La presencia de diarios en todos los ambientes permite el análisis y reconstrucción de lo que pasó en el caso de un evento negativo. 10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas 11. Pruebe con regularidad los sistemas y procesos de seguridad Mantener una política de seguridad de información Una estricta política de seguridad establece su importancia para toda la empresa y a la vez informa a los empleados lo que se espera de ellos. Todos los empleados deben conocer sobre la sensibilidad de la información y su responsabilidad de protegerla. 12. Mantenga una política que aborde la seguridad de la información para todo el personal Information in this table is from the Payment Card Industry Data Security Standard 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 3

7 Estos requerimientos aplican a todos los negocios que aceptan transacciones con tarjetas de pago ya sean presenciales, por teléfono ó por comercio electrónico. A diferencia de la ley Sarbanes-Oxley que define un principio general sobre la seguridad de datos, PCI es un estándar bien detallado, con varios puntos y sin ambigüedad. Luego de varios años de trabajo con analistas, auditores, clientes y socios, Centrify ha obtenido un alto nivel de experiencia identificando los problemas y soluciones que causan dificultad a los clientes que se enfrentan a la normativa PCI. 2.2 Todos los miembros deben alinearse a la normativa Todos los procesadores sujetos a PCI se denominan como Proveedores de Servicio en el programa y hay tres niveles de proveedores, dependiendo del nivel, hay varios niveles de requerimientos. Proveedores de Servicio Nivel 1 incluye todos los procesadores que están conectados a las redes VisaNet y MasterCard. Este grupo incluye todas las puertas de pago que operan entre los negocios y otros procesadores. La categoría de proveedores de servicio nivel 1 fue expandida para incluir las entidades de almacenamiento de datos para negocios (de más de 6 millones de transacciones Visa o MasterCard independientemente del canal) y negocios nivel 2 (de más de 150,000 y menos de 6, 000,000 transacciones de comercio electrónico. Los grupos de Proveedores Nivel 2 y Nivel 3 incluye todos los proveedores (ejemplo: proveedores terciarios (TPS), organizaciones de venta independiente (ISO), detallistas, compañías de alojamiento de infraestructura o carritos electrónicos, compañías de respaldos, vendedor de recargos o buros de crédito que no califican para el Nivel 1 y almacenan, procesan o almacenan transacciones. El número de transacciones se determina basándose en el número bruto de transacciones de Visa o MasterCard que han sido almacenadas, procesadas o transmitidas no solo para el negocio o miembro que se apoya, sino para todas las entidades apoyadas por el proveedor de servicio. Los Niveles 2 y 3 también incluyen entidades terciarias que almacenan información para Negocios Nivel 3 (con más de 20,000 y menos de 150,000 transacciones electrónicas) o negocios nivel 4 (todos los otros negocios, independientemente de los canales de aceptación). Visa mantiene el depósito central de todas las compañías que han acordado alinearse con el estándar PCI. Visa requiere que los proveedores entreguen directamente sus resultados de validación. Luego que un proveedor de servicio Nivel 1, 2, o 3 demuestra la documentación que está en conformidad con Visa USA, se incluye en la lista de proveedores certificados. Esta se puede conseguir en el sitio de Visa: La siguiente tabla resume la validación de conformidad requerida para cualquier tercero (incluyendo ISOs, vendedores de programas de lealtad, etc.) que almacenan información de tarjetahabientes CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 4

8 Definición del Proveedor Descripción Accion de Validación Debe ser validado por Nivel 1 Todos los procesadores VisaNet (miembros o no miembros) y todos los puentes de pago Validación PCI en las instalaciones Escaneo de la red cuatrimestral Qualified Security Assessor Approved Scanning Vendor Nivel 2 Cualquier proveedor de servicio que no es Nivel 1 y almacena, procesa o transmite más de 1, 000,000 transacciones o cuentas Visa anualmente. Validación PCI en las instalaciones Escaneo de la red cuatrimestral Qualified Security Assessor Approved Scanning Vendor Nivel 3 Cualquier proveedor de servicio que no es Nivel 1 y almacena, procesa o transmite menos de 1, 000,000 transacciones o cuentas Visa anualmente. Validación PCI en las instalaciones Escaneo de la red cuatrimestral Service Provider Approved Scanning Vendor Referencia: m l?it=c /business/accepting_visa/ops_risk_m anagement/cisp.html Service%20Providers 2.3 Las penalidades van más allá de multas Tanto Visa como MasterCard imponen multas a los negocios que no pueden demostrar la conformidad con estas normativas de protección. Para el Nivel 1, estas multas (en Estados Unidos) son: MasterCard: US$1,000 diarios, (US$10,000 diarios luego de 60 días) hasta US$500,000 anualmente. Visa: US$50,000 por la primera violación en un período de 12 meses; US$100,000 por una segunda violación dentro de ese mismo período, y una multa definida a nivel gerencial por más de dos violaciones en el mismo período de 12 meses. Hay multas adicionales que aplican en el caso de que no se sometan los documentos de conformidad en el plazo indicado: Para un comerciante nivel 1 que tiene problemas para alinearse con los requisitos de PCI, las multas entre US$500,000 a US$1,000,000 en el periodo de un año CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 5

9 La inhabilidad de pasar una auditoría o demostrar que se han implementado proyectos para remediar los comentarios de la auditoría, podrían inclusive causar la pérdida del derecho de aceptar transacciones usando tarjetas de crédito. Las multas o pérdida de privilegios son altas preocupaciones para cualquier negocio. Sin embargo, los estándares PCI no deben ser vistos como un requerimiento arbitrario, sino como un incentivo para que se implementen las mejores prácticas. La meta final es mantener la protección información de los clientes cuando cada día las empresas más prestigiosas han tenido que admitir que de una manera u otra han sido víctimas de jaqueo o perdida de información de clientes. La pérdida de confianza del cliente puede ser aún más severa tanto para la imagen de la empresa, como para todas las empresas que procesan tarjetas de pago, al igual que puede traer persecución criminal o civil dependiendo de las circunstancias. Aunque el uso excesivo de cuentas de súper usuario (root) o de cuentas genéricas pone las empresas bajo un riesgo extremo; solo se necesita un empleado mal intencionado para causar bastante daño a la empresa. Aunque todos los interesados esperan el mejor resultado, planear para el peor resultado es la mejor práctica. Mantener una estrategia de remediación es la diferencia entre la buena fe y la negligencia. 3 Como asegurar, controlar y auditar ambientes multiplataforma usando Directorio Activo y Centrify para Servidores El Directorio Activo de Microsoft se ha convertido en el repositorio por defecto utilizado por las empresas para la gestión de accesos e identidades; de hecho, para una gran cantidad de empresas, es la espina dorsal para la autenticación, autorización, acceso a recursos de la red, cumplimiento de políticas y gestión de infraestructura para sistemas Windows y sus aplicativos. El Directorio Activo ha probado en más de una década que es facilita el crecimiento de manera segura y confiable tanto en pequeñas empresas como en las más grandes multinacionales. Este producto es apoyado por una de las principales compañías de software del mundo, Microsoft; por esto su adopción es de bajo riesgo, con soporte técnico de primera y con un futuro asegurado a largo plazo. El desafío que las empresas enfrentan el día de hoy, es que la mayoría de los sistemas de misión crítica para el negocio trabajan en sistemas operativos y plataformas diferentes que Windows que no se integran de manera nativa con el Directorio Activo. Los productos de Centrify usan las capacidades del Directorio Activo de manera nativa para integrar estas plataformas, incluyendo UNIX, Linux, Mac, Java, Web y bases de datos. Un beneficio inmediato es que las actividades de inicio de sesión (intentos completados y fallidos), cambios de contraseña quedan registrados en el Directorio Activo, combinando esta capacidad con DirectAudit, se aumenta la capacidad a la captura y reproducción de las actividades del usuario final al igual que las respuestas del sistema. Las secciones en este capítulo describen los componentes de los productos de Centrify para Servidores: DirectControl, DirectAuthorize, DirectSecure y DirectAudit, en mucho mayor detalle y como estos complementan el Directorio Activo para la conformidad con varios de los requerimientos de la normativa PCI DSS CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 6

10 La principal capacidad del componente DirectControl es el permitir que sistemas UNIX, Linux y Mac participen de manera nativa en un Directorio Activo, esto establece que el Directorio sea el punto central de administración de la seguridad de usuarios y de cumplimiento de políticas de seguridad en este ambiente multiplataforma. Con el Directorio Activo, se puede controlar la gestión de usuarios y accesos tanto a los sistemas como a las aplicaciones (Web o Java) que corran bajo estas plataformas. Con las Normativas de Grupo se puede hacer cumplir de manera consistente las configuraciones técnicas y de seguridad en estas múltiples plataformas. Centrify para Servidores consta del agente llamado DirectControl, que se instala en cada sistema a ser integrado, las consolas de Gestión (Access Manager) estas pueden ser instaladas en cualquier cliente Windows integrado al Directorio Activo. El agente DirectControl permite al sistema ser integrado al domino de Directorio Activo y habilita una serie de servicios del directorio como autenticación de usuarios y administradores, controla el acceso a cualquier aplicativo, implementa las normativas de grupo y gestiona otras interacciones con el directorio. En Windows, las extensiones de propiedades para la consola de Gestión de Usuarios y Computadoras del Directorio Activo permiten que el administrador pueda gestionar accesos de usuarios y grupos para los sistemas integrados. Estas funciones también se pueden desempeñar usando la consola DirectManage Access Manager; esta permite la creación de zonas (o Zones), generar reportes, configurar los agentes e importar cuentas existentes. Para la implementación de la gestión de privilegios, el Agente de Centrify permite la implementación de Escritorios, Programas y acceso de red que se conformen con los principios de menos privilegio. Este agente permite visualizar que acceso basado en roles ha sido asignado al usuario y su estatus de auditoría. Cuando se centraliza la gestión de usuarios en el Directorio Activo, esto elimina riesgos comunes como la existencia de cuentas huérfanas y la eliminación de credenciales (usuarios y contraseñas) redundantes. Sin embargo, los sistemas se deben integrar de manera que existan fronteras de seguridad. Por ejemplo: si los usuarios de recursos humanos no deben poder acceder a los sistemas de finanzas, la tecnología patentada de zonas (Zones) de Centrify usa el Directorio Activo para implementar acceso granular en este ambiente mezclado. Cualquier agrupación lógica de sistemas UNIX, Linux, Mac o Windows se pueden segregar en una zona. Cada zona puede tener un conjunto diferente de usuarios, grupos, computadoras y políticas de seguridad. Para la mayoría de los clientes, esta capacidad de zonas (Zones) es un componente clave para la implementación de las normativas Sarbanes-Oxley (SOX), PCI al igual que las prácticas recomendadas de mínimo acceso. La ventaja de la tecnología de zonas (Zones) es que la gestión es centralizada, no localmente en cada sistema. Adicionalmente, con la consola de gestión (Access Manager) se tiene un interfaz visual que permite fácilmente mantener estos controles. Otros productos del mercado no ofrecen esta capacidad de ver específicamente quien 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 7

11 Tabla1: Componentes de Centrify para Servidores tiene acceso a sistemas específicos en este ambiente y requiere de un trabajo manual y arduo para saber quién tiene acceso a un sistema específico. Componente Plataforma Descripción Características Principales DirectManage Windows Gestión unificada y administración Consola unificada para la gestión de identidades y políticas en múltiples plataformas. Delegación de administración de roles, accesos y políticas. Implementación del software y migración al Directorio Activo. DirectControl UNIX Consolida identidades y Centraliza Integre con facilidad los sistemas UNIX al Linux la autenticación Directorio Activo usando Zonas de Centrify (Zones) Credenciales únicas, inicio de sesión silenciosa y políticas centralizadas para UNIX y Linux. DirectAuthorize UNIX Autorización basada en roles y Gestión granular de accesos y privilegios. Linux Windows gestión de privilegios Implemente los principios de mínimo acceso y mínimos privilegios. Elevación de privilegios auditable con un solo clic en Windows. DirectAudit UNIX Auditoría detallada: captura y Audite exactamente las actividades de Linux reproducción de sesiones usuarios en sistemas Windows, UNIX y Windows Linux. Prepare reportes basados en las sesiones del usuario o en actividades sospechosas DirectSecure UNIX Protección del tráfico entre Implemente una red lógica de sistemas Linux sistemas confiables Implemente el cifrado de información de punto a punto 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 8

12 3.1 Normativas de Grupo en Sistemas Unix Una de las principales características del Directorio Activo es la capacidad de centralizar y gestionar políticas (o normativas) bajo una gran cantidad de sistemas Windows en la empresa. Las Normativas de Grupo funcionan cambiando los registros de configuración tanto del usuario como del sistema, ambos existen en el registro de configuración de Windows (Windows Registry), esta es una manera simple y natural de hacer cumplir cualquier política. En el mundo UNIX, no hay un equivalente al registro de configuración, sino que se usan archivos de texto ASCII y en algunos casos se usan estructuras de archivos XML para controlar el comportamiento del sistema y sus aplicaciones. Para hacer cumplir las normativas de grupo en un ambiente UNIX, DirectControl crea un registro virtual que hace un mapeo de los objetos creados por la normativa de grupo y los implementa en los archivos de configuración de la plataforma UNIX. Por cada aplicación configurable, DirectControl tiene un mapeo correspondiente al parámetro debe modificarse en los archivos de configuración del sistema. El agente DirectControl carga el registro virtual cuando: Al inicio del sistema. Cuando el agente (servicio o daemon) DirectControl inicia (típicamente cuando el sistema inicia), este carga el registro del sistema. Al inicio de sesión del usurario. Cuando un usuario inicia una sesión en el sistema, el agente DirectControl carga el registro del usuario. Al señalarse manualmente o bajo intervalos. El agente DirectControl puede ejecutar la carga manualmente, o bajo un intervalo especificado. La carga de normativas de grupo es asincrónica (al igual que su contrapartida en Windows), esto es para acomodar la operación durante un estatus de desconexión. Centrify incluye un conjunto único de Normativas de grupo que son específicas para UNIX, Linux y Mac. Estas normativas pueden ser aplicadas a usuarios o sistemas dependiendo de como sea apropiado. Ejemplos: objetos para la gestión de inicio de sesión, del módulo PAM, línea de entrada, expiración de sesión, configuración de Kerberos, NSS, cacheo de contraseñas, configuración LDAP, mapos de usuarios y grupos, configuración del crontab, configuración del firewall, propiedades del escritorio, permisos de la utilidad sudo, y una lista actualizada de más configuraciones que deben gestionarse de manera central. Server Protection and Group-based Isolation DirectControl y DirectSecure proporcionan la capacidad de hacer cumplir varios controles de seguridad para asegurar el intercambio de información y proteger la información en tránsito. Esto incluye el cumplimiento de reglas del firewall IPtables para prevenir el acceso a puertos de comunicación no autorizados, DirectSecure va más allá de controles de encendido/apagado, sino que puede requerir la autenticación mutua para la comunicación en dicho puerto. Cada sistema que debe adherirse a la normativa PCI DSS debe autenticarse con el Directorio Activo y solo intercambiará información con aquellos 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 9

13 sistemas configurados para comunicarse mutuamente en este grupo. Esto permite la separación de sistemas PCI bajo una política de seguridad y comunicación. 3.2 Gestión de Acceso y Privilegios Basados en Roles DirectAuthorize es el componente que permite la implementación de la gestión de usuarios privilegiados. Ya que la tecnología de zonas (Zones) permite el control de acceso, con DirectAuthorize se pueden definir roles abiertos (como de súper usuarios) o cerrados (de mínimo acceso), esta capacidad es multiplataforma ya que se implementa con dzdo (Centrify sudo) en Unix y con el Agente de Centrify para Windows en la plataforma Windows. Con DirectAuthorize se pueden definir roles en zonas clásicas y jerárquicas (para reúso) como roles que aplican solo a grupos de computadoras (computer groups) en una zona. Combinándose con las características de Directorio Activo, la alta/baja y cambio de roles se logra mediante la membresía en grupos de seguridad de Directorio Activo. Por ejemplo, la implementación de DirectAuthorize permite que las organizaciones eliminen el uso de la cuenta de súper usuario en UNIX (root) y tengan la contraseña asegurada y secreta de manera que solo los altos oficiales de seguridad tengan acceso a la misma. En la plataforma Windows, el Agente de Centrify permite la implementación del principio de menos privilegios, solo permitiendo que programas puntuales se ejecuten con privilegios administrativos. 3.3 Captura y Reproducción de Sesiones del Usuario DirectAudit va mucho más allá de las soluciones tradicionales de registro, análisis y correlación de eventos ya que está diseñado para permitir al auditor la revisión de las acciones del usuario en su sesión de trabajo. El auditor puede ver los comandos (en UNIX) ó Programas (en Windows) que fueron lanzados y las respuestas del sistema. Todo eso se almacena en un repositorio centralizado que puede utilizarse para identificar actividades sospechosas en los sistemas auditados en toda la empresa. La robusta plataforma de DirectAudit está basada en la arquitectura de Centrify, esto quiere decir que las acciones están asociadas con la cuenta del usuario en el Directorio Activo, al igual que su configuración; esto permite una rápida implementación y una vía rápida para implementar los requerimientos de la normativa PCI DSS. 4 Los requerimientos de PCI que son posibilitados con Centrify para Servidores Centrify Para Servidores cumple con varios de los 12 requerimientos de la normativa PCI DSS y profundiza en tres de ellos. El componente DirectControl y DirectAuthorize se combinan para solucionar todas las sub-secciones del requerimiento # 7, Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio y el requerimiento # 8, Asignar una ID exclusiva a cada persona que tenga acceso por 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 10

14 computadora. DirectControl y DirectSecure se combinan para dirigirse al requerimiento # 1 Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas el requerimiento # 2 No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores y el requerimiento # 4 Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Finalmente, DirectAudit, combinado con DirectControl proporciona una solución que cumple con todos los requisitos del requerimiento # 10 Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas. Varios de los requerimientos de la normativa PCI DSS proporcionan comentarios para cerciorarse que sus enunciados no so ambiguos y que hay suficiente orientación para los administradores de la infraestructura. En esta sección examinaremos los requerimientos a nivel detallado para describir como Directorio Activo y Centrify para Servidores se pueden usar para cumplir con estos requisitos detalladamente. Las siguientes matrices se obtuvieron de las normas de seguridad de la Industria de Tarjetas de Pago (PCI DSS). 4.1 Requerimiento # 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas DirectControl proporciona una serie de objetos de normativas de grupo que controlan el firewall iptables en sistemas Linux para cumplir con la sección 1.3 de las normas PCI DSS. Esta normativa de grupo se puede usar para definir las políticas del firewall, hacer cumplir las políticas en sistemas Linux y asegurarse que las mismas son reforzadas con el paso del tiempo. Con DirectSecure se complementa este firewall para proporcionar opciones avanzadas de seguridad de manera que solo los sistemas PCI se pueden comunicar con otros sistemas confiables. DirectSecure trabaja con el protocolo IPsec para proteger la información en tránsito en una configuración punto a punto una vez el computador remoto ha sido mutuamente autenticado y validado como un sistema confiable CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 11

15 Sección PCI 1.2 Desarrolle configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y todo componente del sistema en el entorno de los datos del titular de la tarjeta Restrinja el tráfico entrante y saliente a la cantidad que sea necesaria en el entorno de datos del titular de la tarjeta b Verifique que todo tráfico entrante o saliente se niegue de manera específica, por ejemplo, mediante la utilización de una declaración explícita negar todos o una negación implícita después de una declaración de permiso. Capacidades de Centrify para Servidores DirectControl proporciona el cumplimiento de la configuración del firewall iptables mediante la normativa de grupos. Usando esta política, los administradores puedes restringir el tráfico entrante a puertos y direcciones IP específicas. DirectSecure proporciona protecciones adicionales al requerir verificación y autenticación antes que se inicie la comunicación. Este mecanismo se puede aplicar tanto al tráfico entrante como saliente de manera que los sistemas PCI solo se puedan comunicar con otros sistemas PCI. 1.3 Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas No permita que llegue tráfico saliente no autorizado proveniente del entorno de datos del titular de la tarjeta a Internet. Adicionalmente, cuando se requiere autenticación mutua antes de iniciar la comunicación, DirectSecure previene comunicación entre sistemas no confiables o cualquier otro sistema fuera de la red corporativa ya que estos no se pueden autenticar. 4.2 Requerimiento # 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores El requerimiento 2.3, que establece el mandato de cifrado de todo el acceso no administrativo (exceptuando la consola), se puede cumplir con el uso y configuración adecuada del servidor OpenSSH. Cuando se combina OpenSSH con DirectControl, la autenticación se puede efectuar usando el protocolo Kerberos. Este permite el intercambio de seguro de tickets para la autenticación. Centrify proporciona una versión del servidor OpenSSH compatible con Kerberos CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 12

16 Sección PCI 2.3 Cifre todo el acceso administrativo que no sea de consola utilizando un cifrado sólido. Utilice tecnologías como SSH, VPN o SSL/TLS para la administración basada en la web y el acceso administrativo que no sea de consola. Capacidades de Centrify para Servidores Aunque el uso del programa telnet ya no es tan común (ya que no está presente en sistemas modernos), telnet es inseguro y debe ser reemplazado por SSH ya que este provee cifrado a nivel del transporte de red. Las versiones modernas del servidor OpenSSH son compatibles con Kerberos, cuando esta capacidad se combina con DirectControl, se elimina la necesidad de administrar llaves de cifrado estáticas para SSH. Centrify también proporciona una versión compilada del servidor OpenSSH que permite a nuestros clientes la implementación de una versión consistente del servidor OpenSSH con el nivel más alto de seguridad. 4.3 Requerimiento # 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas A pesar de que la mayoría de las aplicaciones modernas ejecutan el cifrado de la información entre sistemas, hay una gran cantidad de aplicaciones que no fueron diseñadas para proporcionar servicios de cifrado internamente. Para esto, DirectSecure entrega servicios de integridad y confidencialidad para todas las comunicaciones entre una colección de sistemas confiables. Sección PCI 4.1 U tilice c ifrado s ólido y protocolos de s eguridad (por ejemplo, S SL/TLS, I P SEC, SSH, etc.) para proteger datos confidenciales del titular de la tarjeta durante la transmisión por redes públicas abiertas. Capacidades de Centrif y para Servidores D irectsecure proporciona confidencialidad e integridad con el protocolo IPsec en la capa de transporte de red mediante el cifrado de todas las comunicaciones bajo cualquier aplicación y entre el sistema y sistemas confiables. Como esta solución hace el cifrado a nivel de la red, no hay necesidad de modificar las aplicaciones para proporcionar este nivel de protección. El incidente de violación de datos que le ocurrió a la compañía norteamericana The Heartland fue uno de los más grandes sucesos en el 2009 pero a pesar de que ellos fueron certificados en conformidad con la normativa PCI DSS el hacker pudo acceder a información en los sistemas de tarjetas de pago con un código malicioso que husmeaba el tráfico en la red interna. Aunque el requisito 4.1 no requiere cifrado de información en redes internas, estos ataques son bastante sofisticados, esto requiere la implementación de la separación de recursos de red, cifrado y autenticación mutua para implementar los controles adecuados de protección. Además de ataques sofisticados, hay muchas más razones para que todas las transmisiones de datos entre sistemas PCI sean cifradas, por ejemplo, la infraestructura de tiendas tiene una combinación mixta de redes alámbricas e inalámbricas, estas requieren de una configuración adecuada para cerciorarse que no hay fugas de información. También, cada día más las tiendas ofrecen acceso al internet para el proceso de venta y demostración de productos, esto produce una mezcla de tráfico operativo y de ventas bajo 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 13

17 el mismo medio en la red. Al implementar el cifrado, independientemente de la configuración de red, se establece un control preventivo adecuado. Organizaciones con redes WAN también se benefician de la solución de cifrado de sistema a sistema ya que hay una separación natural de quien puede establecer comunicaciones con los sistemas PCI independientemente de su localización en la red. Otros beneficios incluyen: Una reducción en los costos asociados a la conformidad con PCI y auditorías porque se reduce el número de sistemas que están en el alcance de las normativas. Elimina los gastos iniciales y de mantenimiento de la infraestructura requerida para implementar los métodos adicionales como VLANs, Firewalls y Routers. Figura 1: Separación de Servidores y cifrado de datos en tránsito en la red WAN 4.4 Requerimiento #7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio DirectControl de Centrify proporciona la singular capacidad de agrupar sistemas similares para propósitos del cumplimiento de accesos y delegación de administración mediante la tecnología patentada de zonas (Zones). Estas agrupaciones lógicas se pueden usar para permitir acceso a un grupo de sistemas de acuerdo a quien necesita acceso basado en la necesidad del negocio. Por defecto, los usuarios no tienen acceso a los sistemas en zonas en los cuales no se les ha garantizado acceso explícitamente. Esta tecnología permite hacer cumplir del principio de mínimo acceso tanto para sistemas UNIX, Linux y Windows. Este concepto se puede combinar con configuraciones específicas reforzadas por el uso de las normativas de grupo CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 14

18 Sección PCI 7.1 Limite el acceso a los componentes del sistema y a los datos del titular de la tarjeta a aquellos individuos cuyas tareas necesitan de ese acceso. 7.2 Establezca un sistema de control de acceso para los componentes del sistema con usuarios múltiples que restrinja el acceso basado en la necesidad del usuario de conocer y que se configure para negar todo, salvo que se permita específicamente. Capacidades de Centrify para Servidores DirectControl proporciona varios mecanismos para controlar el acceso a sistemas Unix, Linux y Windows de manera que los administradores puedan gestionar de manera centralizada los accesos de los usuarios. Los siguientes mecanismos están disponibles: Zonas en DirectControl (Zones) La colección de accesos PAM y reglas pam.allow y pam.deny (en UNIX) Los grupos de computadoras en DirectAuthorize (para Unix y Windows) El Network Access right (en Windows) DirectControl usa la tecnología zonas para determinar quién tiene acceso a estos sistemas. Por defecto, los usuarios del directorio activo no tienen acceso a los sistemas Unix y Linux y Windows. De manera adicional, en UNIX y Linux, los grupos de seguridad del Directorio Activo se pueden usar los accesos PAM y con las reglas pam.allow y pam.deny para permitir o negar acceso a sistemas de manera mucho más granular. También en Directorio Activo se puede definir una lista de sistemas a los cuales el usuario tiene acceso, con DirectControl, esto aplica a los sistemas UNIX o Linux que se integraron al dominio. Con el Agente de Centrify para Windows, estos sistemas pueden pertenecer a zonas, y con el derecho network Access se puede afinar el acceso basado en la necesidad del negocio. DirectControl permite la gestión centralizada del identificador único de UNIX (UNIX UID) y sus membresías a grupos (que son usadas para controlar el acceso a archivos u aplicaciones) Con DirectAuthorize y dzdo (Centrify sudo) se pueden establecer roles de acceso mínimo: una lista blanca de los comandos que el usuario final puede ejecutar. El beneficio de esta herramienta es el incremento de responsabilidad ya que todas las funciones quedan registradas a nombre del usuario final (en vez de una cuenta de súper usuario como root u oracle). 4.5 Requerimiento # 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora Centrify DirectControl, con su estrecha integración con el Directorio Activo, permite control complete de las credenciales UNIX directamente asociadas con un usuario ya que estas están asociadas con su cuenta principal en el dominio. Esto facilita tanto la gestión, como el control de la política de contraseñas, mientras, el usuario solo tiene que recordar una credencial única CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 15

19 Centrify DirectControl con el Directorio Activo implementa la autenticación con el protocolo Kerberos, esto evita, tanto local como remotamente, que se intercambien contraseñas en la red durante eventos de autenticación con el sistema. Las capacidades del Directorio Activo de controlar el acceso basado en horas, días, tiempo de uso, bloqueo de cuenta, fin de sesión, todas aplican a las plataformas UNIX y Linux. Sección PCI 8.1 Asigne a todos los usuarios una ID única antes de permitirles tener acceso a componentes del sistema o a datos de titulares de tarjetas. 8.2 Además de la asignación de una ID única, emplee al menos uno de los métodos siguientes para autenticar a todos los usuarios: Algo que el usuario sepa, como una contraseña o frase de seguridad Algo que el usuario tenga, como un dispositivo token o una tarjeta inteligente Algo que el usuario sea, como un rasgo biométrico 8.3 Incorpore la autenticación de dos factores para el acceso remoto (acceso en el nivel de la red que se origina fuera de la red) a la red de empleados, administradores y terceros. (Por ejemplo, autenticación remota y servicio dial-in (RADIUS) con tokens; sistema de control de acceso mediante control del acceso desde terminales (TACACS) con tokens; u otras tecnologías que faciliten la autenticación de dos factores). Capacidades de Centrify para Servidores Los sistemas UNIX tienen limitaciones como la longitud máxima del login del usuario. Esto hace que sea bastante difícil para el departamento de sistemas el establecimiento de políticas que exijan la implementación de un identificador único. También, las limitaciones de la base de datos local de usuarios hacen que esto sea una actividad cuesta arriba. Con el uso del Directorio Activo, todos los usuarios tienen un identificador global único, este es asociado con los perfiles UNIX del usuario con la ayuda de DirectControl, un beneficio adicional es que elimina la ambigüedad de que pasa al establecer la propiedad de archivos. En la práctica, la diversidad de los sistemas hace muy prevalente la existencia de múltiples logins para cada usuario, con la tecnología de zonas (Zones) este problema también se puede resolver. El Directorio Activo está preparado para la autenticación basada en usuario/contraseña y tarjetas inteligentes en sistemas Windows. Una vez iniciada la sesión en un sistema Windows, el usuario puede acceder al sistema UNIX, y dependiendo de la aplicación, el usuario puede usar sus credenciales o si es compatible, el usuario puede usar un ticket de Kerberos que se obtuvo durante el inicio de la sesión Para inicio de sesiones en sistemas UNIX de manera interactiva (en la consola), DirectControl solo permite el uso de usuario y contraseña. Sin embargo si su cuenta en el dominio está configurada para inicio de sesión con tarjeta inteligente, nuestro agente negará el login y va a requerir Kerberos como método de autenticación. Este requerimiento debe cumplirse bajo los controles de acceso de la red, antes de acceder a los sistemas UNIX o Linux. Una vez el usuario está propiamente autenticado en la red remota, el acceso se maneja como como en la red local CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 16

20 Sección PCI 8.4 Deje ilegibles todas las contraseñas durante la transmisión y el almacenamiento en todos los componentes del sistema mediante un cifrado sólido. 8.5 Asegúrese de que sean correctas la autenticación del usuario y la administración de contraseñas de usuarios no consumidores y administradores en todos los componentes del sistema de la siguiente manera: Capacidades de Centrify para Servidores DirectControl hace cumplir todas las políticas del Directorio Activo en cuanto a las contraseñas y usando el protocolo Kerberos para la validación con las controladoras del dominio. La validación con Kerberos se hace mediante una operación cifrada de manera que las contraseñas nunca son transmitidas en la red; los protocolos de cifrado son actualizados frecuentemente e acuerdo a las mejores prácticas de la industria y las amenazas y capacidades existentes. DirectControl hace cumplir todas las políticas del Directorio Activo como se hace hoy con los clientes Windows. En sistemas abiertos, se desempeñan de la siguiente manera: Controle el agregado, la eliminación y la modificación de las ID de usuario, las credenciales, entre otros objetos de identificación. La gestión de usuarios es desempeñada dentro del Directorio Activo. Este proporciona un ambiente robusto para la gestión de cuentas de usuario, permite la delegación de administración. DirectControl extiende este modelo de administración al mundo UNIX y Linux. El producto final es un ambiente donde los administradores UNIX pueden gestionar estos sistemas, pero no tienen derecho a crear nuevas cuentas en el Directorio Activo Verifique la identidad del usuario antes de restablecer contraseñas Configure la primera contraseña en un valor único para cada usuario y cámbiela de inmediato después del primer uso Cancele de inmediato el acceso para cualquier usuario cesante Elimine/inhabilite las cuentas de usuario inactivas al menos cada 90 días. DirectControl requiere la autenticación exitosa del cliente antes de que este pueda restablecer su contraseña. DirectControl hace cumplir la regla inicial implementada en el Directorio Activo. Si el administrador establece una clave inicial y la marca para cambio, esta debe cambiar luego de una autenticación exitosa, de lo contrario, luego de varios intentos la cuenta quedará bloqueada. Las cuentas canceladas son controladas por el Directorio Activo, una vez la cuenta es deshabilitada o eliminada DirectControl negará el acceso a cualquier usuario que use esas credenciales. Las cuentas inactivas se controlan con el Directorio Activo y DirectControl. Nuestro agente actualiza la fecha de la última sesión del usuario de manera que es fácil determinar cuáles son las cuentas que inactivas en los últimos 90 días. La tarea de deshabilitar las cuentas es responsabilidad del administrador del dominio de manera manual o automática CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. PAGINA 17

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES SalesLogix NOTICE The information contained in this document is believed to be accurate in

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Salesforce NOTICE The information contained in this document is believed to be accurate in

Más detalles

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Microsoft Dynamics CRM NOTICE The information contained in this document is believed to be

Más detalles

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management INTRODUCCIÓN Oracle Identity Management, la mejor suite de soluciones para

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

Autodesk 360: Trabaje donde esté seguro

Autodesk 360: Trabaje donde esté seguro Visión general de seguridad Autodesk 360 Autodesk 360: Trabaje donde esté seguro Protegiendo sus intereses mientras trabaja en la web con Autodesk 360 https://360.autodesk.com Contenidos Una nube en su

Más detalles

Single-Sign-On Índice de contenido

Single-Sign-On Índice de contenido Single-Sign-On Índice de contenido Introducción...2 Que es Single Sign-On...2 Descripción del esquema y componentes...2 Kerberos...3 LDAP...5 Consideraciones de Seguridad...6 Alcances de la solución implementada...7

Más detalles

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Sage CRM NOTICE The information contained in this document is believed to be accurate in

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Mi CIO trae una tableta. Y ahora? Autenticando el usuario y el dispositivo Rafael García

Mi CIO trae una tableta. Y ahora? Autenticando el usuario y el dispositivo Rafael García Mi CIO trae una tableta. Y ahora? Autenticando el usuario y el dispositivo Rafael García Segments Marketing 1 Agenda 1 Movilidad, transformador del negocio 2 Confianza en el dispositivo y el usuario 3

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Productos Oracle para gobierno de SOA. Oracle White Paper Mayo 2009

Productos Oracle para gobierno de SOA. Oracle White Paper Mayo 2009 Productos Oracle para gobierno de SOA Oracle White Paper Mayo 2009 Productos Oracle para gobierno de SOA RESUMEN EJECUTIVO La solución de Oracle SOA Governance es un elemento clave de la estrategia de

Más detalles

Symantec Network Access Control Guía de inicio

Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio El software que se describe en este manual se suministra con contrato de licencia y sólo puede utilizarse según

Más detalles

Symantec Mobile Management for Configuration Manager 7.2

Symantec Mobile Management for Configuration Manager 7.2 Symantec Mobile Management for Configuration Manager 7.2 Gestión de dispositivos integrada, segura y escalable Hoja de datos: Gestión y movilidad de puntos finales Descripción general La rápida proliferación

Más detalles

Boletín Asesoría Gerencial*

Boletín Asesoría Gerencial* Boletín Asesoría Gerencial* Agosto 2007 Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas? el? *connectedthinking ? el? El entorno de

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURIDAD DE LOS DATOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Contenido 1. INTRODUCCIÓN... 3 2. ARQUITECTURAS DE ACCESO REMOTO... 3 2.1 ACCESO MEDIANTE MÓDEM DE ACCESO TELEFÓNICO...

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Catedrática: Ana Lissette Girón. Materia: Sistemas Operativos. Sección: 2-1. Tema: Roles de Windows Server 2008

Catedrática: Ana Lissette Girón. Materia: Sistemas Operativos. Sección: 2-1. Tema: Roles de Windows Server 2008 Catedrática: Ana Lissette Girón Materia: Sistemas Operativos Sección: 2-1 Tema: Roles de Windows Server 2008 Alumno: Jonathan Alexis Escobar Campos Fecha de entrega: 02 de Abril del 2012 Servicios de Directorio

Más detalles

Seguridad en medios de pagos

Seguridad en medios de pagos Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida

Más detalles

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Microsoft Outlook NOTICE The information contained in this document is believed to be accurate

Más detalles

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Seguridad de Bases de Datos. Seguridad de Bases de Datos

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Seguridad de Bases de Datos. Seguridad de Bases de Datos Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Soluciones móviles de Magic Software

Soluciones móviles de Magic Software EVALUACIÓN DE TECNOLOGÍA Soluciones móviles de Magic Software Mayo 2011 Magic Software is a trademark of Magic Software Enterprises Ltd. All other product and company names mentioned herein are for identification

Más detalles

Hoja de trabajo de configuración de la serie EMC VNXe

Hoja de trabajo de configuración de la serie EMC VNXe Hoja de trabajo de configuración de la serie EMC VNXe Número de referencia del documento: 300-015-329 Rev. 01 Use esta hoja de trabajo para reunir y registrar la información necesaria para configurar el

Más detalles

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude?

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? NCR Security le facilita cumplir con los requisitos de la Industria

Más detalles

EMC SourceOne TM para Microsoft SharePoint 7.0 Búsqueda de archivo Tarjeta de referencia rápida

EMC SourceOne TM para Microsoft SharePoint 7.0 Búsqueda de archivo Tarjeta de referencia rápida EMC SourceOne TM para Microsoft SharePoint 7.0 Búsqueda de archivo Tarjeta de referencia rápida Utilice la búsqueda de archivo para buscar y restaurar contenido de SharePoint que se encuentre archivado

Más detalles

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 7. Materia: Sistema Operativo II

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 7. Materia: Sistema Operativo II Nombre: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Tema: Trabajando con Windows Server 2008 Módulo 7 Materia: Sistema Operativo II Facilitador: José Doñe TEMA 7 INDICE 1. Introducción 2. Administrando

Más detalles

Cómo protejo de forma eficaz el acceso a Microsoft SharePoint?

Cómo protejo de forma eficaz el acceso a Microsoft SharePoint? RESUMEN DE LA SOLUCIÓN SharePoint Security Solution de CA Technologies Cómo protejo de forma eficaz el acceso a Microsoft SharePoint? agility made possible La solución de seguridad para SharePoint que

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

Línea de Productos Acu4GL

Línea de Productos Acu4GL Línea de Productos Acu4GL D A T O S D E T E C N O L O G Í A V E R S I Ó N 6 La línea de productos Acu4GL provee a los usuarios de aplicaciones ACUCOBOL-GT acceso al almacenamiento de información en los

Más detalles

cómo puedo hacer posible un acceso cómodo y seguro a Microsoft SharePoint?

cómo puedo hacer posible un acceso cómodo y seguro a Microsoft SharePoint? RESUMEN SOBRE LA SOLUCIÓN Sharepoint Security Solution de CA Technologies cómo puedo hacer posible un acceso cómodo y seguro a Microsoft SharePoint? agility made possible La solución de seguridad SharePoint

Más detalles

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES Goldminek NOTICE The information contained in this document is believed to be accurate in

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Cómo proteger su organización con una estrategia de Administración de Dispositivos Móviles? Rodrigo Calvo,CISSP, ITIL v3, SNIA

Cómo proteger su organización con una estrategia de Administración de Dispositivos Móviles? Rodrigo Calvo,CISSP, ITIL v3, SNIA Cómo proteger su organización con una estrategia de Administración de Dispositivos Móviles? Rodrigo Calvo,CISSP, ITIL v3, SNIA Sr. Systems Engineer MCLA Region Technology Day 2014 Implicaciones de la Movilidad

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

Prevención y protección contra la fuga de datos Alejandro Zermeño

Prevención y protección contra la fuga de datos Alejandro Zermeño Prevención y protección contra la fuga de datos Alejandro Zermeño Sr. Solution SE Tendencias, noticias y lo que está en juego 64% de las pérdidas de datos causada por usuarios bien intencionados 50% de

Más detalles

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Examen tipo EXIN Cloud Computing Foundation Edición Abril 2014 Copyright 2014 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA

GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA DE Guía de prevención de fraudes teléfonicos en su empresa Contenido Contenido 1. Definiciones y generalidades sobre fraudes telefónicos 1.1. Qué es

Más detalles

Ing. Víctor Cuchillac

Ing. Víctor Cuchillac Nota sobre la creación de este material Implementación LDAP en Windows El material ha sido tomado de archivos elaborados por Andres Holguin Coral, Mª Pilar González Férez, Información en TechNET. Yo he

Más detalles

Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red Configuración del acceso a Internet en una red Contenido Descripción general 1 Opciones para conectar una red a Internet 2 Configuración del acceso a Internet utilizando un router 12 Configuración del

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

Sage CRM. 7.2 Guía de autoservicio

Sage CRM. 7.2 Guía de autoservicio Sage CRM 7.2 Guía de autoservicio Copyright 2013 Sage Technologies Limited, editor de este trabajo. Todos los derechos reservados. Quedan prohibidos la copia, el fotocopiado, la reproducción, la traducción,

Más detalles

Protegiendo la información gubernamental: Retos y recomendaciones

Protegiendo la información gubernamental: Retos y recomendaciones Protegiendo la información gubernamental: Retos y recomendaciones Gerardo Maya Alvarez Security Principal Consultant Protegiendo la información gubernamental: Retos y recomendaciones 1 Agenda 1 Analizando

Más detalles

3. Autenticación, autorización y registro de auditoria CAPITULO 3. AUTENTICACIÓN, AUTORIZACIÓN Y REGISTRO DE AUDITORÍA

3. Autenticación, autorización y registro de auditoria CAPITULO 3. AUTENTICACIÓN, AUTORIZACIÓN Y REGISTRO DE AUDITORÍA 3. Autenticación, autorización y registro de auditoria Debe diseñarse una red para controlar a quién se le permite conectarse a ella y qué se le permite hacer mientras está conectado. La política especifica

Más detalles

Ignacio Cattivelli t-igcatt@microsoft.com

Ignacio Cattivelli t-igcatt@microsoft.com Ignacio Cattivelli t-igcatt@microsoft.com Una identidad digital provee información sobre un sujeto Individuo Aplicación PC La identidad es representada por un token Constituido por un conjunto de Claims

Más detalles

Mejores Prácticas de Autenticación:

Mejores Prácticas de Autenticación: Mejores Prácticas de Autenticación: Coloque el control donde pertenece WHITEPAPER Los beneficios de un Ambiente de Autenticación Totalmente Confiable: Permite que los clientes generen su propia información

Más detalles

Unicenter Remote Control Versión 6.0

Unicenter Remote Control Versión 6.0 D A T A S H E E T Unicenter Remote Control Versión 6.0 Unicenter Remote Control es una aplicación altamente fiable y segura para controlar y dar soporte a sistemas Windows remotos. Puede mejorar significativamente

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Informe breve sobre la solución de RSA

Informe breve sobre la solución de RSA Autenticación de dos factores RSA SecurID Actualmente, vivimos en una era en la que los datos constituyen el elemento vital de una empresa. Los riesgos de seguridad son más urgentes que en el pasado, ya

Más detalles

Acceso de línea de terminal de SSH

Acceso de línea de terminal de SSH Acceso de línea de terminal de SSH Descargue este capítulo Acceso de línea de terminal de SSH Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Asegurando los servicios de

Más detalles

ESET Secure Authentication

ESET Secure Authentication ESET Secure Authentication Segundo factor de autenticación y cumplimiento de normativas Versión del documento 1.2 6 de noviembre de 2013 www.eset-la.com ESET Secure Authentication: segundo factor de autenticación

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

Diseño de arquitectura segura para redes inalámbricas

Diseño de arquitectura segura para redes inalámbricas Diseño de arquitectura segura para redes inalámbricas Alfredo Reino [areino@forbes-sinclair.com] La tecnología de redes inalámbricas basada en el estándar IEEE 802.11 tiene unos beneficios incuestionables

Más detalles

Servicio de Reclamos Amadeus Guía Rápida

Servicio de Reclamos Amadeus Guía Rápida Servicio de Reclamos Amadeus Guía Rápida 2013 Amadeus North America, Inc. All rights reserved. Trademarks of Amadeus North America, Inc. and/or affiliates. Amadeus is a registered trademark of Amadeus

Más detalles

Componentes de Integración entre Plataformas Información Detallada

Componentes de Integración entre Plataformas Información Detallada Componentes de Integración entre Plataformas Información Detallada Active Directory Integration Integración con el Directorio Activo Active Directory es el servicio de directorio para Windows 2000 Server.

Más detalles

OpenText Exceed ondemand

OpenText Exceed ondemand OpenText Exceed ondemand Acceso a aplicaciones empresariales confiable y seguro O pentext Exceed ondemand es la solución para el acceso seguro a las aplicaciones gestionadas. Ella permite que las empresas

Más detalles

Utilizando NetCrunch para el cumplimiento y auditorias de Seguridad. AdRem NetCrunch 6.x Tutorial

Utilizando NetCrunch para el cumplimiento y auditorias de Seguridad. AdRem NetCrunch 6.x Tutorial Utilizando NetCrunch para el cumplimiento y auditorias AdRem NetCrunch 6.x Tutorial 2011 AdRem Software, Inc. This document is written by AdRem Software and represents the views and opinions of AdRem Software

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

WINDOWS SERVER 2003. Universidad Nacional del Nordeste. Ibarra maría de los Ángeles. Licenciatura en Sistemas de Información. Corrientes Argentina

WINDOWS SERVER 2003. Universidad Nacional del Nordeste. Ibarra maría de los Ángeles. Licenciatura en Sistemas de Información. Corrientes Argentina WINDOWS SERVER 2003 WINDOWS SERVER 2003 Universidad Nacional del Nordeste Ibarra maría de los Ángeles Licenciatura en Sistemas de Información Corrientes Argentina Año: 2005 Introducción Las nuevas características

Más detalles

Fundamentos de EXIN Cloud Computing

Fundamentos de EXIN Cloud Computing Preguntas de muestra Fundamentos de EXIN Cloud Computing Edición de octubre de 2012 Copyright 2012 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Implementando iphone e ipad Administración de dispositivos móviles

Implementando iphone e ipad Administración de dispositivos móviles Implementando iphone e ipad Administración de dispositivos móviles ios es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones

Más detalles

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints Protección de confianza para entornos de mensajería y endpoints Descripción general Symantec Protection Suite Enterprise Edition crea un entorno seguro de mensajería y endpoints, que está protegido contra

Más detalles

Visualizando y borrar los datos de la lista de IP Access usando la manejabilidad ACL

Visualizando y borrar los datos de la lista de IP Access usando la manejabilidad ACL Visualizando y borrar los datos de la lista de IP Access usando la manejabilidad ACL Descargue este capítulo Visualizando y borrar los datos de la lista de IP Access usando la manejabilidad ACL Feedback

Más detalles

Seguridad en Aplicaciones Críticas; SAT. Carlos Jiménez González

Seguridad en Aplicaciones Críticas; SAT. Carlos Jiménez González Seguridad en Aplicaciones Críticas; SAT Carlos Jiménez González Industry Forum 2009 2009 IBM Corporation Agenda Quién es el SAT? Necesidad Búsqueda de Soluciones Porqué asegurar los datos / Bases de Datos?

Más detalles

Soluciones de CA Technologies para el cumplimiento con la seguridad de la información de la justicia penal

Soluciones de CA Technologies para el cumplimiento con la seguridad de la información de la justicia penal REPORTE OFICIAL Octubre de 2014 Soluciones de CA Technologies para el cumplimiento con la seguridad de la información de la justicia penal William Harrod Asesor, estrategia de ciberseguridad del sector

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) rmas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas

Más detalles

Guía de instalación de eroom Instant Messaging Integration Services. Versión 1.3

Guía de instalación de eroom Instant Messaging Integration Services. Versión 1.3 Guía de instalación de eroom Instant Messaging Integration Services Versión 1.3 Copyright 1994-2008 EMC Corporation. Reservados todos los derechos. Contenido CONTENIDO Introducción...........................................

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

Información en las PyMEs. Principales Hallazgos América Latina

Información en las PyMEs. Principales Hallazgos América Latina Encuesta 2010 sobre Protección de la Información en las PyMEs Principales Hallazgos América Latina Metodología Encuesta realizada vía telefónica por Applied Research durante mayo/junio de 2010 2,152 PYMES

Más detalles

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems Temario Casos reales de robo de información

Más detalles

Introducción a la Administración de Roles. Un Oracle White Paper Septiembre 2008

Introducción a la Administración de Roles. Un Oracle White Paper Septiembre 2008 Introducción a la Administración de Roles Un Oracle White Paper Septiembre 2008 Introducción a la Administración de Roles Hay cuatro categorías de soluciones de la administración de roles: 1. propósito

Más detalles

www.novell.com/documentation Descripción general ZENworks 11 Support Pack 4 Julio de 2015

www.novell.com/documentation Descripción general ZENworks 11 Support Pack 4 Julio de 2015 www.novell.com/documentation Descripción general ZENworks 11 Support Pack 4 Julio de 2015 Información legal Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación

Más detalles

MS_10747 Administering System Center 2012 Configuration Manager

MS_10747 Administering System Center 2012 Configuration Manager Administering System Center 2012 Configuration Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso describe cómo

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

ENTORNO MÓVIL DE SEGURIDAD AME 2000

ENTORNO MÓVIL DE SEGURIDAD AME 2000 ENTORNO MÓVIL DE SEGURIDAD AME 2000 SEGURIDAD DE GRADO GUBERNAMENTAL PARA DISPOSITIVOS MÓVILES COMERCIALES Desde smartphones hasta tablets, los dispositivos móviles comerciales disponibles en el mercado

Más detalles

iphone en la empresa Administración de dispositivos móviles

iphone en la empresa Administración de dispositivos móviles iphone en la empresa Administración de dispositivos móviles iphone es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones a escala

Más detalles

Banco brasileño mejora seguridad, estabilidad y escalabilidad con Windows Server 2003

Banco brasileño mejora seguridad, estabilidad y escalabilidad con Windows Server 2003 Solución Microsoft Windows Server 2003 Banco brasileño mejora seguridad, estabilidad y escalabilidad con Windows Server 2003 Publicado: 30 de marzo de 2003 Al actualizar su sistema a Windows Server 2003,

Más detalles

Symantec Mobile Management 7.2

Symantec Mobile Management 7.2 Gestión de dispositivos integrada, segura y escalable Hoja de datos: Gestión y movilidad de puntos finales Descripción general La rápida proliferación de dispositivos móviles en el lugar de trabajo está

Más detalles

Symantec Mobile Security

Symantec Mobile Security Protección avanzada contra las amenazas para dispositivos móviles Hoja de datos: Gestión y movilidad de puntos finales Descripción general La combinación de tiendas de aplicaciones sin supervisión, la

Más detalles

Single Sign On para Web, SAP y DB

Single Sign On para Web, SAP y DB Intrasecurity es una empresa que se dedica íntegramente a la seguridad informática, que brinda e implementa soluciones, logrando desencadenar el potencial humano. Esto lo genera, creando puentes de vínculos,

Más detalles

Invierta las mejoras de SSH

Invierta las mejoras de SSH Invierta las mejoras de SSH Descargue este capítulo Invierta las mejoras de SSH Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Asegurando los servicios de usuario, versión

Más detalles