Evolución Continua en la Seguridad de Medios de Pago. Los Reconocen?

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Evolución Continua en la Seguridad de Medios de Pago. Los Reconocen?"

Transcripción

1 PCI DSS v 3.0 Evolución Continua en la Seguridad de Medios de Pago 19 de Febrero 2014 R. Fabian Garzón, PCI QSA, CISM, CISSP, + Los Reconocen?

2 Los Reconocen? Qué tienen en común?

3 Los Adversarios Carding Forums Boafactory Carderplanet CardersMarket DumpsMarket CCPower Shadowcrew Theftservices CarderPortal

4 2011 Costo de una Brecha de Datos Es inherentemente difícil asignar un valor económico a algunos tipos de información que son sujetos a robo AGENDA Definiciones Previas, ingresando al mundo PCI DSS Cambios destacables en PCI DSS 3.0 Conclusiones

5 La Seguridad y el Negocio Funcionalidad (Características) Acceso/Explotación Egreso/Extracción Brecha Seguridad (Restricciones) Usabilidad (GUI) Datos LA SOBRECARGA DEL CUMPLIMIENTO SARO Circulares Regulación Internacional Regulación Nacional Leyes de Protección de Datos SARC, SARLAFT Regulación de Industria SOX Intromisión Externa No Deseada? PCI DSS COBIT, ISO 27002, ISO ITIL PROYECTOS PMI ORGANIZACION GRC GESTION DE RIESGOS y CUMPLIMIENTO

6 PANORAMA ACTUAL Comportamiento del Consumidor Industria de Medios de Pago Tecnología Regulatorio Interés en usar nuevas formas y esquemas de pago (gift cards, prepaid cards, Móviles, NFC, EMV, bitcoins, redes sociales, banca movil, monedero electrónico, etc) Cambian de entidad financiera si perciben que no hacen lo suficiente para protegerlos No regresan a entidades donde han ocurrido compromisos, fraudes o brechas Vuelven a usar Cash PANORAMA ACTUAL Comportamiento del Consumidor Industria de Medios de Pago Tecnología Regulatorio Sector atractivo para los Delincuentes informáticos Requerimientos de cumplimiento PCI DSS Herramientas de Detección y Prevención de Fraude Innovación en servicios y productos

7 PANORAMA ACTUAL Comportamiento del Consumidor Tecnología Industria de Medios de Pago Regulatorio Directivas/Circulares de entes reguladores (SuperIntendencias Bancarias/Financieras) Ley de Notificación de Brechas Ley de Protección de Datos Personales PANORAMA ACTUAL Comportamiento del Consumidor Industria de Medios de Pago Tecnología Regulatorio CHIP (EMV), NFC Tokenización Esquemas de encripción Autenticación fuerte Virtualización Cloud Computing BIG DATA

8 Brecha Compromiso Carders CHD PCI SSC PCI DSS PA DSS QSA ASV BIN CDE PIN PAN CVV CVV2 Truncar Banco Emisor Tokenizar El Mundo PCI Enmascarar ISO 7813 P2PE TRACK HSM Autorización Conciliación CVSS Formula de Luhn ó Modulo 10 ISO 8583 WIPS PTS EPP Adquirente Compensación FIM WAF OWASP Control Compensatorio Inspección de Código PFI PCIP PED POS CWE/SANS ATM TDE POI Proveedores de Servicio ISA LA INDUSTRIA

9 EL PCI SSC Entidades Financieras Asesores Comercios Fabricantes Gateways Redes ACH Proveedores de Servicios Procesadores LATINOAMERICA EN EL PCI SSC

10 NORMAS PCI PCI DSS Payment Card Industry Data Security Standard Norma de seguridad que deben cumplir las organizaciones que Procesan, Transportan o Almacenan datos de cuenta (Account Data). La mejor línea de Defensa contra la Exposición y compromiso a los datos de cuenta.

11 DATOS DE CUENTA = CHD + SAD EL CICLO DE VIDA PCI DSS PCI DSS ver 1.0 del 2005, es la evolución del más maduro estándar de VISA. PCI DSS ver 1.1 válido a partir de Septiembre del 2006 PCI DSS ver 1.2 válido a partir de Octubre 2008 PCI DSS ver 2.0 Divulgada el 28 de Octubre de 2010, válida a partir de Enero 2011 PCI DSS ver 3.0 Divulgada el 7 de Noviembre de 2013, válida a partir de 1 de Enero 2014

12 Feedbacks Más de 200 Feedbacks Queries directos a bases de datos Pen testing por empresas avaladas por el PCI SSC, tipo ASV Scan de vulnerabilidades interno por una ASV Guía sobre scoping y segmentación Más prescriptivo sobre los service providers en acuerdos contractuales y cumplimiento Llaves de encripción vinculadas a cuentas de usuarios, una guía adicional Passwords más exigentes, expandir la autenticación más allá de passwords Requerimiento 12 se vuelva Requerimiento 1 Las revisiones diarias de logs son irreales sin un sistema de alertas establecido y funcional SAD no pueden ser almacenados después de la autorización, pero cuanto tiempo es demasiado tiempo? SAD sin PANs Dejar usar el Logo del PCI SSC DLP(IPS) Premisas La versión 3.0 introduce más cambios que la versión 2.0. Las 6 secciones y 12 requerimientos principales permanecen, hay nuevos subrequerimientos El estándar actualizado pretende ayudar a las organizaciones a integrar la seguridad de los datos de cuenta dentro de las actividades cotidianas de negocio (business-as-usual) Balance de flexibilidad, rigor y consistencia

13 Premisas Reorganización de numerales, remoción de procedimientos de prueba redundantes o que se superponen Hay cambios dirigidos a los QSAs, otros a las organizaciones que deben cumplir con PCI DSS Tipos de Cambios CLARIFICACIONES Se clarifica el propósito del requerimiento. Palabras precisas y concisas en la norma que muestren el propósito deseado del requerimiento. 74 GUIA ADICIONAL Explicaciones y/o definiciones adicionales para aumentar el entendimiento o brindar información adicional sobre un tópico particular 5 REQUERIMIENTO MEJORADO EVOLUCIÓN Cambios para asegurar que la norma se mantiene actualizada con amenazas emergentes y cambios en el mercado 19

14 La Estructura de la Norma La Estructura de la Norma (antes) Procedimientos de prueba mejorados para clarificar el nivel de validación esperado para cada requerimiento

15 La Estructura de la Norma (ahora) Procedimientos de prueba mejorados (muestra)

16 Procedimientos de prueba mejorados (muestra) ROC REPORTING TEMPLATE (ahora) Fuente: https://www.pcisecuritystandards.org/documents/pci_dss_2.0_roc_reporting_instructions.pdf

17 Educación y Concientización Temas clave Flexibilidad Mejores prácticas Business-as-usual Navigating PCI DSS se incorpora Educación a usuarios en cuanto a Passwords (8.4) Entrenamiento a los PA-DSS vendors Políticas de seguridad y procedimientos operacionales integrados en cada Requerimiento Entrenamiento y seguridad en POS (9.9) Balance entre lo prescriptivo y la flexibilidad mientras no se debilite la integridad, la fortaleza o efectividad del estándar, y sin restringir a las organizaciones a que utilicen métodos específicos Fortaleza/Complejidad de Passwords Detección de cambios Revisión de logs basado en riesgos WAF o mecanismo similar La Seguridad como una responsabilidad compartida Seguridad en terminales POS Password de los proveedores de servicio Definir las Responsabilidades de los Proveedores y Clientes Respuesta a Nuevas Amenazas Cambios de passwords default aplica a cuentas de servicio, cuentas de aplicaciones y cuentas de usuarios Vulnerabilidades en código para ser evitadas en los procesos de desarrollo de software Aclaraciones iniciales (A) SAD (Datos Sensibles de Autenticación) no deben ser almacenados después de la autorización, incluso si están cifrados. Esto aplica incluso si no hay PAN en el entorno Determinar con su respectivo adquirente o con las Marcas para definir si SAD es permitido ser almacenado antes de la autorización, por cuanto tiempo, y cualquier requisito de uso y protección adicional

18 Aclaraciones iniciales (B) CDE Componentes de Sistema incluyen dispositivos de red, servidores, dispositivos de cómputo y aplicaciones. Componentes de sistema incluyen pero no están limitados a los siguientes: Sistemas que proveen servicios de seguridad (por ejemplo, servidores de autenticación), que facilitan la segmentación (por ejemplo, firewalls internos), o pueden impactar la seguridad del CDE. Componentes de Virtualización tales como máquinas virtuales, switches/routers virtuales, appliances virtuales e hypervisors. Cualquier otro componente o dispositivo ubicado dentro o conectado al CDE Sección nueva Mejores prácticas para la Implementación de PCI DSS dentro de los procesos de negocio normales/cotidianos Best Practices for Implementing PCI DSS into Business-as-Usual Processes Monitoreo de los controles de seguridad Si un control falla: Restauración, Identificar la causa de la falla, resolver los asuntos de seguridad que surgieron durante la falla, evitar que falla del control vuelva a ocurrir, monitoreo mejorado por un periodo de tiempo para verificar la restauración efectiva del control Cambios en el entorno PCI DSS como parte de la estrategia de seguridad corporativa Comunicaciones y revisiones periódicas Revisiones anuales de hardware y software (soporte)

19 Grupos de interés especial (SIG) Third Party Security Assurance Best Practices for Maintaining PCI DSS Compliance Best Practices for Implementing a Formal Security Awareness Program Best Practices for Merchants: Skimming Prevention Best Practices for Small Merchants Encryption Key Management Guidance Guidance on Securing Admin Access to CDE Guidance on Steps to Obtain PCI DSS Certification Incident Response Plan Toolkit Increase Security at Retail Stores PCI DSS as it relates to "Mainframe Type" Environments Penetration Testing Scoping Guidance Making payment security business-as-usual Best Practices for Maintaining PCI DSS Compliance Qué PCI DSS sea un programa que facilite y soporte la seguridad de manera constante y a largo plazo de los datos de tarjetahabiente de la organización Disminuir el conflicto que surge cuando las prioridades del negocio inhiben el cumplimiento continuo de PCI después del cumplimiento inicial alcanzado Combinar PCI DSS con objetivos de negocio y formular los controles de gobierno apropiados, en ambientes de constante cambio

20 Best Practices for Maintaining PCI DSS Compliance Explorar varias estructuras de gobierno (COSO, 27001, 27002, COBIT, ITIL) y desarrollar una guía que incluya: Integración PCI DSS en el negocio y los procesos de cambio Mejores prácticas y controles que ayuden al cumplimiento constante y como parte de BAU Políticas y procedimientos operacionales Documentados, en uso y conocidos La política de seguridad debe abordar todos los requerimientos de PCI DSS 12.2 Desarrollar procedimientos de seguridad operacionales diarios que sean consistentes con los requerimientos (por ejemplo, procedimientos de mantenimiento de cuentas de usuarios, procedimientos de revisión de logs) 1.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar firewalls estén documentados, en uso y sean conocidos por todas las partes afectadas 2.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar parámetros de seguridad y otros valores por defecto de los fabricantes estén documentados, en uso y sean conocidos por todas las partes afectadas 3.7 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger datos de tarjetahabiente almacenados estén documentados, en uso y sean conocidos por todas las partes afectadas

21 Políticas y procedimientos operacionales Documentados, en uso y conocidos 4.3 Asegurese que las políticas de seguridad y procedimientos operacionales para cifrar las transmisiones de datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 5.4 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger sistemas contra malware estén documentados, en uso y sean conocidos por todas las partes afectadas 6.7 Asegurese que las políticas de seguridad y procedimientos operacionales para desarrollar y mantener sistemas seguros y aplicaciones estén documentados, en uso y sean conocidos por todas las partes afectadas Políticas y procedimientos operacionales Documentados, en uso y conocidos 7.3 Asegurese que las políticas de seguridad y procedimientos operacionales para restringir acceso a datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 8.8 Asegurese que las políticas de seguridad y procedimientos operacionales para la identificación y autenticación estén documentados, en uso y sean conocidos por todas las partes afectadas 9.10 Asegurese que las políticas de seguridad y procedimientos operacionales para la restricción de acceso físico a los datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas

22 Políticas y procedimientos operacionales Documentados, en uso y conocidos 10.8 Asegurese que las políticas de seguridad y procedimientos operacionales para monitorear todos los accesos a recursos de red y datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 11.6 Asegurese que las políticas de seguridad y procedimientos operacionales para el monitoreo y las pruebas de seguridad estén documentados, en uso y sean conocidos por todas las partes afectadas Novedades: Requerimiento Diagrama de red actualizado con todas las conexiones a datos de tarjetahabiente, incluyendo cualquier red inalámbrica a Verificar que el diagrama de red actual (por ejemplo, uno que muestre los flujos de datos de tarjetahabiente en la red) existe y que documenta todas las conexiones a datos de tarjetahabiente Diagrama de red actualizado que muestra todos los flujos de datos de tarjetahabiente a través de sistemas y redes Mostrar todos los flujos de datos de tarjetahabiente a través de sistemas y redes SNMP v1 and v2 se consideran inseguros Archivos de configuración de routers asegurados de accesos no autorizados Implementar medidas anti-spoofing para detectar y bloquear IPs fuentes falsificadas 1.4 BYOD, mejor redacción, buscando consistencia

23 Novedades: Requerimiento 2 Guías de Hardening 2.1 Siempre cambie los valores default entregados por los fabricantes y remueva o deshablite cuentas default innecesarias antes de instalar un sistema en la red. Esto aplica a TODOS los passwords default, incluyendo pero no limitados a aquellos usados en Sistemas operativos, software que provee servicios de seguridad, aplicaciones y cuentas de sistema, terminales POS, cadenas SNMP, etc 2.2.d Verificar que los estándares de configuración incluyen los siguientes procedimientos para todos los tipos de componentes de sistema: Cambio de todos los valores default suministrados por los fabricantes y eliminación de cuentas default innecesarias Implementación de solo una función principal por servidor Habilitar solo servicios necesarios, protocolos, etc Remover todas las funcionalidades innecesarias, tales como scripts, drivers, propiedades, subsistemss, file systems, y servidores web innecesarios 2.4 Mantener un inventario de componentes de sistema que están en el alcance de PCI DSS, para soportar el desarrollo e implementación de los estándares de configuración Novedades: Requerimiento No almacene datos sensibles de autenticación después de la autorización (incluso si están cifrados) Si datos sensibles de autenticación son recibidos, deje todos estos datos irrecuperables (unrecoverable) tras el proceso completo de autorización 3.2.c. Si datos sensibles de autenticación son recibidos, revisar las políticas y procedimientos, y examinar las configuraciones de los sistemas para verificar que los datos no son retenidos después de la autorización 3.3.a Examinar las políticas y procedimientos para enmascarar el despliegue de PANs para verificar: Una lista de roles que necesitan acceso a despliegues de full PANs está documentada, junto con una necesidad legítima de negocio para cada rol que tiene dicho acceso.

24 Novedades: Requerimiento 4 Ejemplos de redes públicas abiertas incluyen pero no están limitadas a Internet Tecnologías Wireless ( y Bluetooth ) Tecnologías de Cellular, por ejemplo Global System for Mobile communications (GSM), Code division multiple access (CDMA) General Packet Radio Service (GPRS). Comunicaciones satelitales Novedades: Requerimiento 5 Requerimiento 5: Utilice y regularmente actualice el software o los programas anti-virus Requerimiento 5: Proteja todos los sistemas contra malware y regularmente actualice el software o los programas anti-virus Para aquellos sistemas que se consideran no ser generalmente afectados por software malicioso, desempeñe evaluaciones periódicas para identificar y evaluar amenazas de malware evolucionadas, para confirmar si dichos sistemas continuan ó no requiriendo software anti-virus 5.3 Asegurarse que los mecanismos de anti-virus estén activos continuamente y no pueden ser deshabilitados ó alterados por los usuarios. Soluciones AV pueden ser temporalmente deshabilitados si hay necesidad técnica legítima, y debe haber autorización previa.

25 Banking Trojans A propósito de datos sensibles manejados en memoria Memory-parsing software (RAM scraper) DEXTER STARDUST BLACKPOS KAPTOXA ALINA JACKPOS

26 Patching y Nuevas Vulnerabilidades Cambió el órden: 6.1 y Proceso para identificar vulnerabilidades de seguridad, usando fuentes externas confiables y asignar un ranking a las nuevas vulnerabilidades descubiertas Ranking de Vulnerabilidades (CVSS) https://www.us-cert.gov/ncas/bulletins/sb Implicaciones del EOL de Windows XP

27 Novedades: Requerimiento Nota: esto aplica a todo el software desarrollado internamente así como software desarrollado por un tercero (bespoke or custom software) 6.5.c Registros de entrenamiento para verificar que los desarrolladores de software recibieron entrenamiento en técnicas de codificación segura, incluyendo como evitar vulnerabilidades de seguridad comunes y entiendan como los datos sensibles son manejados en memoria Coding techniques document how PAN/SAD is handled in memory, to minimize potential exposure. Novedades: Requerimiento Broken authentication and session management 6.6 Para public-facing web applications Métodos: Flagging session tokens (por ejemplo cookies) as secure No exponer session IDs en el URL Incorporar time-outs adecuados y rotación de session IDs después de login exitosos Métodos manuales o automáticos de valoración de vulnerabilidades a aplicaciones Nota: Diferente al Instalar una solución técnica que detecte y evite ataques basados en web (por ejemplo, un web-application firewall)

28 CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS Requerimiento 6.5 CERT Secure Coding Novedades: Requerimiento 8 Requerimiento 8: Asignar un Único ID a cada persona con acceso a computadores Requerimiento 8: Identificar y autenticar accesos a los componentes de sistema El término Password se ha cambiado a Credenciales de Autenticación Cambió Password a Passwords/Phrases Criptografía fuerte debe ser usada para dejar las credenciales de autenticación ilegibles durante la transmisión y el almacenamiento Verificar la identidad del usuario antes de modificar cualquier credencial de autenticación por ejemplo, reseteo de Password, proveer un nuevo token, generar nueva llave, etc.

29 Acceso Remoto de Proveedores Habilitar cuentas usadas por Vendors para acceder remotamente solo durante el periodo de tiempo necesario. Monitoree las cuentas de acceso remoto de los Vendors cuando sean usadas Requerimiento adicional para proveedores de servicio: Los Proveedores de Servicio con acceso remoto a instalaciones del cliente (por ejemplo, para soporte a sistemas POS o servidores) deben usar una única credencial de autenticación (tal como password/phrase) para cada cliente Gestione los IDs usados por los Vendors para acceder, soportar o mantener componentes de sistema via acceso remoto, de la siguiente manera: Activelas solo durante el tiempo necesario y deshabilitelas cuando no se estén usando Monitoree cuando se usen Passwords/Phrases 8.3 Combinó la complejidad mínima para passwords y fortaleza en un único requerimiento, e incrementó la flexibilidad respecto a alternativas que sean equivalentes a la complejidad y fortaleza: Longitud mínima 7 caracteres Contener caracteres numéricos y alfabéticos De manera alterna, los passwords/phrases deben tener complejidad y fortaleza, al menos equivalente a los parámetros arriba especificados

30 Novedades: Requerimiento Comunicar las políticas y procedimientos de autenticación a todos los usuarios que tienen acceso a CHD 8.4 Documentar y comunicar las políticas y procedimientos de autenticación a todos los usuarios incluyendo: Guía sobre seleccionar credenciales de autenticación fuertes Guía sobre como los usuarios deben proteger sus credenciales de autenticación Instrucciones para no reutilizar passwords previamente usados Instrucciones para cambiar passwords si hay sospechas que el password pudo ser comprometido Novedades: Requerimiento Control de Acceso Físico para personal en sitio a las áreas sensibles, de esta manera: Acceso debe ser autorizado y basado en la función del individuo Acceso es revocado inmediatamente al terminar el empleo, y todas las llaves, tarjetas de acceso y mecanismos de acceso físico deben ser regresados o deshabilitados

31 Novedades: Requerimiento Proteger de alteración y sustitución los dispositivos que capturan CHD vía interacción directa con la tarjeta 9.9 Examinar políticas y procedimientos documentados para verificar que estos incluyan: Mantenimiento de una lista de dispositivos Inspeccionar periodicamente dispositivos para buscar manipulaciones o sustituciones Entrenar al personal para que sepan identificar comportamientos sospechosos y para reportar las alteraciones o sustituciones de los dispositivos Suplemento

32 Novedades: Requerimiento 10 Generación de Logs Protección de Logs Revisión de Logs Archivado de Logs Uso de mecanismos de identificación y autenticación Uso de y cambios a los mecanismos de identificación y autenticación incluyendo pero no limitado a la creación de nuevas cuentas o elevación de privilegios- y todos los cambios, adiciones o borrados de cuentas con privilegios administrativos o tipo root Novedades: Requerimiento Inicialización de los logs de auditoría Inicialización, apagado o pausa de los logs de auditoría Revisión de logs al menos diariamente: Todos los eventos de seguridad Logs de todos los componentes de sistema que almacenan, procesan o transmiten CHD y/o SAD, o que pueden impactar la seguridad del CHD y/o SAD Logs de todos los componentes de sistema críticos Logs de todos los servidores y componentes de sistema que desempeñan funciones de seguridad Revisión de logs periódica de otros componentes de sistema basado en las políticas y estrategia de gestión de riesgos, como se determinó en la valoración anual de riesgos

33 Novedades: Requerimiento Mantener un inventario de los access points inalámbricos autorizados incluyendo la justificación de negocio documentada 11.2 Nota: Múltiples reportes de escans pueden ser combinados que muestren que todos los sistemas fueron escaneados y que las vulnerabilidades aplicables fueron resueltas. Pen Testing (tests de intrusión) 11.3 Implementar una metodología para pruebas de penetración (intrusión) que incluya lo siguiente: Basada en enfoques de industria (por ejemplo, NIST SP ) Que cubra el perímetro completo del CDE y los sistemas críticos Incluya pruebas tanto desde adentro como afuera de la red Incluya pruebas para validar cualquier segmentación y controles de reducción de alcance Penetrations testing para verificar que la segmentación sigue siendo efectiva y está operando, y se mantiene el aislamiento de sistemas fuera del alcance Defina las pruebas de penetración a la capa de aplicación, como mínimo las vulnerabilidades del requerimiento 6.5

34 Metodologías de Pen Testing Novedades: Requerimiento Despliegue de mecanismos de detección de cambios (por ejemplo herramientas FIM) para alertar al personal de modificaciones no autorizadas de archivos de sistema críticos,..; y configurar el software para ejecutar la comparación al menos semanalmanete Implementar un proceso para responder a cualquier alerta generada por la solución de detección de cambios

35 Novedades: Requerimiento Proceso de valoración de Riesgos Al menos anualmente o tras cambios significativos en el ambiente (fusiones, reubicación, etc) Novedades: Requerimiento Mantener información sobre cuales requerimientos PCI DSS son gestionados por cada proveedor de servicio, y cuales son gestionados por la entidad 12.9 Requerimiento adicional para los proveedores de servicio: Los proveedores de servicio reconocen por escrito a sus clientes, que ellos son responsables por la seguridad de los datos de tarjetahabiente que el proveedor posee, o almacena, procesa o transmite en nombre del cliente, o al grado en que ellos puedan impactar la seguridad del CDE del cliente (Alineado con )

36 Aclaración: Requerimiento Para personal accediendo a CHD via tecnologías de acceso remoto, prohiba el copiar, mover y almacenar CHD en discos duros locales y medios electrónicos removibles a menos que esté explíctamente autorizado para una necesidad de negocio definida Any such authorized personnel are responsible for ensuring that cardholder data in their possession is handled in accordance with all PCI DSS requirements, as that remote personnel s environment is now considered a part of the organization s cardholder data environment. CONSIDERACIONES FINALES Determine con Precisión el Alcance y actualice flujos de CHD El Cumplimiento es resultado de la Seguridad (Integración con un SGSI) Aunque haya tiempo, adopte PCI 3.0 lo más pronto posible Aproveche los recursos del PCI Security Standards Council https://www.pcisecuritystandards.org/index.shtml Un Estándar de Seguridad lo suficientemente maduro, que ha ayudado en la reducción de fugas y fraudes

37 CONSIDERACIONES FINALES PCI DSS es el vehículo, no el destino PCI DSS es la brújula no el mapa R. Fabian Garzón, CISSP, GCIA, + Gracias

PCI DSS 3.0 HA LLEGADO!!

PCI DSS 3.0 HA LLEGADO!! PCI DSS 3.0 HA LLEGADO!! Evolución continua en la Seguridad de Medios de Pago 14 de Noviembre 2013 Germán Franco, PCI QSA R. Fabian Garzón, CISM, CISSP, + Agenda CERT/CC SEI (Software Engineering Institute)

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

La Evolución de la Seguridad en Aplicaciones de Pago

La Evolución de la Seguridad en Aplicaciones de Pago La Evolución de la Seguridad en Aplicaciones de Pago 1 Agenda Objetivo Antecedentes Casos Famosos Consecuencia de una compromiso Aplicaciones de Pago y su evolución Mejores Practicas en desarrollo seguro

Más detalles

Seguridad en medios de pagos

Seguridad en medios de pagos Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida

Más detalles

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems Temario Casos reales de robo de información

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

PCI DSS, UN PROCESO CONTINUO

PCI DSS, UN PROCESO CONTINUO Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com

Más detalles

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Boletín Asesoría Gerencial*

Boletín Asesoría Gerencial* Boletín Asesoría Gerencial* Agosto 2007 Estándar de seguridad para PCI (Payment Card Industry): una respuesta de seguridad para las transacciones con tarjetas? el? *connectedthinking ? el? El entorno de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014 Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina Guatemala Julio 2014 Agenda Introducción Tendencias Seguridad 2014 Conclusiones 2014 - Deloitte Introducción

Más detalles

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Comerciantes con sistemas de aplicaciones de pago conectados a Internet.

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

Gestión de Riesgos de Compliance en medios de pagos de tarjetas

Gestión de Riesgos de Compliance en medios de pagos de tarjetas www.pwc.es Gestión de Riesgos de Compliance en medios de pagos de tarjetas JORNADA TÉCNICA 2013 Israel Hernández Ortiz. Director - Riesgos Tecnológicos Objetivos 1. Analizar el estado actual de respuesta

Más detalles

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014 Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad de la Información Andrés L. Gil Rosario, Diciembre 2014 Agenda Seguridad de la Información y Cyber Riesgos Hoy Principales tendencias en Gestión

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las

Más detalles

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) rmas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas

Más detalles

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA INFORMACIÓN Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA AGENDA Una mirada actual Regulaciones Requerimientos de Gestión de Riesgo Requerimientos PCI Payment

Más detalles

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard

www.isecauditors.com PCI DSS: Las leyes de Seguridad de VISA y Mastercard PCI DSS: Las leyes de Seguridad de VISA y Mastercard Daniel Fernández Bleda CISA, CISSP, ISO27001 Lead Auditor OPST/A Trainer, CHFI Instructor Internet Security Auditors Socio Fundador dfernandez@isecauditors.com

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Álvaro Rodríguez @alvrod PayTrue

Álvaro Rodríguez @alvrod PayTrue Álvaro Rodríguez @alvrod PayTrue Desarrolla soluciones para la industria de medios de pago (PCI) desde 2003 Sistemas integrales de procesamiento de tarjetas (crédito, débito, prepago) Sistemas de prevención

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A.

Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 1 Presentada por: Pablo Milano (CISSP / QSA / PA-QSA) Cybsec S.A. 2 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de 2008 1.2 Alinear

Más detalles

Security Management. Control identity access information

Security Management. Control identity access information Security Management Control identity access information El poder de los usuarios privilegiados, como gestionar, controlar su actividad y cumplir con las exigencias regulatorias Qué representan estos números

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011 Sistemas de Detección y Prevención de Intrusos Estado del Arte Charles Ware cware@uy.ibm.com Agosto 2011 Agenda Concientización y estate del arte Historia Detección de Intrusos Prevención de Intrusos IDPS

Más detalles

Industria de tarjetas de pago (PCI) Norma de seguridad de datos

Industria de tarjetas de pago (PCI) Norma de seguridad de datos Industria de tarjetas de pago (PCI) Norma de seguridad de datos Aplicabilidad de la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) en un entorno EMV Documento de guía Versión

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation y el cumplimiento normativo: PCI-DSS y PA-DSS 13/09/2011 Juan Jose Rider Jimenez member Spain Chapter Juan.Rider@owasp.org Copyright The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude?

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? NCR Security le facilita cumplir con los requisitos de la Industria

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Movilidad del usuario: seguridad en la era de la conectividad

Movilidad del usuario: seguridad en la era de la conectividad Movilidad del usuario: seguridad en la era de la conectividad Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: viernes 27 de agosto de 2010 ESET Latinoamérica, Av. Del

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Retorno de Inversión en la Adecuación a la normativa PCI DSS

Retorno de Inversión en la Adecuación a la normativa PCI DSS Retorno de Inversión en la Adecuación a la normativa PCI DSS Septiembre 2011 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina Estado del arte de la seguridad de la información Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina Agenda Incidentes de seguridad El rol del CISO Presión de las regulaciones

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

PROGRAMA DE ASIGNATURA

PROGRAMA DE ASIGNATURA PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización X Lic. En Tecnología Informática Lic. En Administración

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de

Más detalles

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de 1 Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de información 2 Como parte de los requisitos del seguro

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Mayor seguridad en las transacciones con tarjetas

Mayor seguridad en las transacciones con tarjetas Mayor seguridad en las transacciones con tarjetas Hoy en día, a nadie se le escapa que el principal medio de pago en todo el mundo es la tarjeta de crédito. Ante el aumento de los fraudes en los últimos

Más detalles

Seguridad en el desarrollo

Seguridad en el desarrollo OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

SEGURIDAD ataques riesgos tipos de amenazas

SEGURIDAD ataques riesgos tipos de amenazas SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

Más detalles

Ciber Seguridad en Redes Industriales. Jhon Jairo Padilla Aguilar, PhD.

Ciber Seguridad en Redes Industriales. Jhon Jairo Padilla Aguilar, PhD. Ciber Seguridad en Redes Industriales Jhon Jairo Padilla Aguilar, PhD. El problema La conectividad expone las redes industriales críticamente seguras a una gran cantidad de problemas del Internet. Debido

Más detalles

Seguridad de Información Política General. Revisión Enero/2012

Seguridad de Información Política General. Revisión Enero/2012 Seguridad de Información Política General Revisión Enero/2012 Vigencia Marzo/2012 PGSI Establecer e implantar Políticas de Seguridad de la Información que permita controlar el entorno lógico y físico de

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Terminales de pago de hardware en una solución únicamente P2PE

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Webcast Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Network & Security Solutions Manager - LATAM El Problema: La Protección de sus Puntos Finales Control de Laptops / Netbooks Uso no controlado del

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Industria de Tarjetas de Pago (PCI) rma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Versión Descripción

Más detalles

Nuestra Organización

Nuestra Organización 1 Nuestra Organización «Especialistas en proveer Servicios y Soluciones Tech en marca blanca, aportando las soluciones tecnológicas más adecuadas a las necesidades de los proyectos de nuestros clientes»

Más detalles

MDM: Un enfoque de productividad y seguridad

MDM: Un enfoque de productividad y seguridad MDM: Un enfoque de productividad y seguridad Armando Enrique Carvajal Rodríguez Gerente Arquitecto de Seguridad de la información - Globaltek Security S.A Master en seguridad informática - Universidad

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Copyright. INSTRUCTIVO DE CONFIGURACIÓN DE PC s DE CLIENTES CASH MANAGEMENT

Copyright. INSTRUCTIVO DE CONFIGURACIÓN DE PC s DE CLIENTES CASH MANAGEMENT Copyright Este es un documento con DERECHOS DE AUTOR RESERVADOS. PROHIBIDA SU REPRODUCCIÓN O UTLIZACIÓN TOTAL O PARCIAL, sin autorización escrita del Gerente General de Banco General Rumiñahui S.A. NOTA

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Bootcamp de Certificación 2015

Bootcamp de Certificación 2015 CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada

Más detalles

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Organiza: Patrocina: Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Abril 2011 Colabora: c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278

Más detalles

Generar cumplimiento norma/vo en la ges/ón de usuarios privilegiados y el control de datos en el DataCenter. Ernesto Pérez, CISSP, CISM, ITIL

Generar cumplimiento norma/vo en la ges/ón de usuarios privilegiados y el control de datos en el DataCenter. Ernesto Pérez, CISSP, CISM, ITIL Generar cumplimiento norma/vo en la ges/ón de usuarios privilegiados y el control de datos en el DataCenter Ernesto Pérez, CISSP, CISM, ITIL Qué están haciendo los Usuarios privilegiados con la infraestructura

Más detalles

Comprensión del objetivo de los requisitos

Comprensión del objetivo de los requisitos Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Navegación de las PCI DSS Comprensión del objetivo de los requisitos Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Alcance y descripción del servicio ANTIVIRUS IPLAN

Alcance y descripción del servicio ANTIVIRUS IPLAN Alcance y descripción del servicio ANTIVIRUS IPLAN 1. Introducción. El servicio de Antivirus IPLAN ofrece una amplia cobertura contra distintos tipos de detecciones, permitiendo de forma cotidiana, efectiva

Más detalles

PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance

PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance PCI-DSS New requirements for Contact Centers, Call Centers and Mobile Operations compliance Gabriel Croci, CISA, CRISC ÍNDICE 1. PCI Origen y conceptos principales 2. Información existente en las tarjetas

Más detalles

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO)

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Superintendencia de Casinos de Juego (SCJ) CHILE Santiago de Chile, marzo de 2015 Modificaciones a los Estándares para Sistemas de Tickets

Más detalles

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial Presentada por: Julio César Ardita, CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles