Sr, Tenemos una nueva misión imposible: Debemos implementar PCI en Dia%. Déjelo en nuestras manos, el equipo de Sistemas podrá solucionarlo.

Transcripción

1 Sr, Tenemos una nueva misión imposible: Debemos implementar PCI en Dia%. Déjelo en nuestras manos, el equipo de Sistemas podrá solucionarlo.

2 Implementando medidas para cumplimiento con PCI. Seminario: Tendencias de la seguridad de la Información 2008 Pablo Benitez

3 Introducción Pablo Benitez Jefe Microinformática Lider de Proyecto PCI Compliance Pago Online. Dia Argentina: Empresa de Supermercadismo Hard Discount. 400 Locales operando Tarjetas mediante Pos. Proyecto: Implementar Pago Online cumpliendo PCI.

4 Qué es PCI? Payment Card Industry El PCI Security Standards Council (PCI-DSS) es un organismo internacional que regula la industria de las tarjetas de pago. Se creó en 2006, soportado por las principales empresas de tarjetas de crédito y débito (Visa, MasterCard, American Express, Discover, JCB). Define el standard PCI-DSS al que todos los comercios, emisores y adquirentes deben adecuarse.

5 Por qué DIA debe certificar Compliance? Uhh! Entramos en PCI %$#%!!! El Standard PCI especifica diferentes niveles de cumplimiento según el tipo de negocio y el volumen de transacción. Ibamos a comenzar de cero a operar Online con Tarjetas de Crédito. Dadas las características de nuestro negocio y la cantidad de locales fuimos clasificados como Tier 1. Por este motivo todas las autorizadoras nos exigieron Homologar PCI con una consultora Certifificada.

6 El estado inicial che qué es PCI? Ehhh no se.! Inicialmente era algo abstracto. No sabíamos cuan alejados estábamos del Standard. Intuíamos que muy lejos Por este motivo decimos hacer un GAP Analisis.

7 Análisis de Gap De donde venimos y hacia donde vamos? Se decidió contratar a CYBSEC para el asesoramiento en el proceso de cumplimiento con el standard PCI-DSS. Se comenzó con un análisis de Gap para determinar la brecha entre el estado inicial y el requerido para la aprobación por parte de las tarjetas.

8 Análisis de Gap Descubriendo los agujeros negros Se identificaron las áreas de incumplimiento y se categorizaron las mismas según su criticidad. En el caso de DIA, las áreas a mejorar fueron las siguientes: Definición de roles y responsabilidades Adquisición de Hardware y Software. Definición de Normas y Procedimientos Concientización del Personal en Seguridad de la Información Acceso Físico y Seguridad.

9 El proceso de regularización Desde el ingreso al edificio hasta.. Nuevas Herramientas Cambios Organizacionales Procesos Implementados Dispositivos Biométricos Tarjetas de identificación Centralizador de Logs Definición de un Responsable de Seguridad Definición de Normas y Procedimientos Responsables para todos los procesos PCI Análisis de Logs diariamente Definición de respuesta ante incidentes Definición de aplicación de cambios Analizadores Wireless Capacitaciones en Seguridad para el Personal Test de Seguridad periódicos Firewalls/IDS/IPS Software de Encripción Legitimación de Normas y Procedimientos Nuevos Requerimientos en la Toma de Personal Camaras de Seguridad Parsing de Logs

10 La auditoría On-Site de CYBSEC Llegó la hora de la verdad La Auditoría On Site, fue realizada por CYBSEC en su carácter de Qualified Security Assessor (QSA). No hubo mayores inconvenientes. Se armó un planning detallado de la auditoría para facilitar el proceso y así tener a disposición todo lo requerido por el Auditor. Se regularizó casi el 100% de los puntos encontrados en el Gap Analisis.

11 La aprobación de las operadoras El último paso: La lucha Final Se presentó el Informe Final a las Autorizadoras. No hubo inconvenientes. OK para salir en Producción!!

12 Cómo sacar provecho de PCI? Me autorizas el gasto para? Intentar hacer extensivo los procedimientos a todo IT. Aprovechar para lograr autorizaciones de compras necesarias. Implementación de controles Organizacionales pendientes de larga data. Regularización de normas y procedimientos internos. Mejoras en la seguridad física de la compañía.

13 Conclusiones Lo logramos El análisis de Gap permitió establecer con claridad la brecha entre el estado inicial y el requerido para la aprobación. La regularización de proceso como elemento positivo y extensivo. El proceso de regularización es complejo pero no es imposible. Se pueden implementar soluciones de bajo costo.

14 Muchas gracias Pablo Benitez