TRANSFERENCIA INTERNACIONAL DE DATOS Y CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA NUBE JAVIER ROBERTO AMAYA MADRID

Transcripción

1 TRANSFERENCIA INTERNACIONAL DE DATOS Y CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA NUBE JAVIER ROBERTO AMAYA MADRID CISM, PCI QSA, PCIP, ISO27001 LA, ISO9000 IA, MCP C. Santander, 101. Edif. A. 2º E Barcelona (Spain) Tel.: Fax: C. Arequipa, 1 E Madrid (Spain) Tel.: Fax: Calle 90 # Bogotá (Colombia) Tel: +57 (1) Fax: +57 (1) info@isecauditors.com

2 Agenda Introducción Modelos de despliegue y servicio Modelos de servicio Responsabilidad Seguridad como servicio Consideraciones de segmentación Retos de cumplimiento Verificación de alcance Gobierno, riesgo y cumplimiento Consideraciones legales Seguridad de los datos Respuesta a incidentes Transferencia y Transmisión a Terceros Países Conclusiones

3 Introducción

4 Introducción

5 Modelos de despliegue

6 Modelos de servicio

7 Modelos de servicio SaaS IaaS PaaS CSP

8 Modelos de servicio Capa de la Nube Datos Interfaces (APIs, GUIs) Aplicaciones Capa de Solución (lenguajes de programación) Sistemas Operativos (OS) Máquinas virtuales Infraestructura virtual de red Hipervisores Procesamiento y memoria Almacenamiento de datos (discos duros, discos removibles, copias de respaldo, etc.) Red (interfaces y dispositivos, infraestructura de comunicaciones) Instalaciones físicas, centros de datos Modelos de Servicio IaaS PaaS SaaS

9 Responsabilidad Un cliente de la nube no debe asumir nada acerca de cualquier parte o tema del servicio, se debe escribir cada elemento de responsabilidad por asegurar cada uno de los procesos y componentes del sistema en los contratos, memorandos de entendimiento y/o acuerdos de servicio.

10 Ejemplo de responsabilidad PCI DSS Requerimiento PCI DSS Ejemplo de asignación de IaaS PaaS SaaS 1. Instalar y mantener una configuración de fiirewall para proteger los datos de tarjeta-habiente. Ambos Ambos CSP 2. No use contraseñas o variables de seguridad por defecto configuradas por el fabricante de los sistemas. Ambos Ambos CSP 3. Proteja los datos de tarjeta-habiente almacenados. Ambos Ambos CSP 4. Cifre los datos de tarjeta-habiente que sean transmitidos por redes públicas abiertas. Ambos Ambos CSP 5. Use y actualice regularmente una aplicación anti-virus. Cliente Ambos Ambos 6. Desarrolle y mantenga sistemas y aplicaciones seguras. Cliente Ambos Ambos 7. Restrinja el acceso a los datos de tarjeta-habiente de acuerdo a la necesidad de conocer. Ambos Ambos Ambos 8. Asigne un identificador único a cada persona con acceso a computadores. Ambos Ambos CSP 9. Restrinja el acceso físico a los datos de tarjeta-habiente. CSP CSP CSP 10. Registre y monitoree todo acceso a los recursos de red y a datos de tarjeta-habiente. Ambos Ambos CSP 11. Pruebe regularmente la seguridad de procesos y sistemas. Ambos Ambos Ambos 12. Mantenga una política de seguridad de la informaciónpara todo el personal CSP CSP CSP

11 Seguridad como servicio (SecaaS)

12 Consideraciones de segmentación

13 Consideraciones de segmentación

14 No es segmentación Consideraciones de segmentación Máquinas virtuales en el mismo servidor separadas por control de acceso del sistema operativo o de la aplicación Datos de la organización guardados en la misma instancia de los datos del sistema

15 Retos de cumplimiento Identificación de Componentes Responsabilidad de Controles Sistemas Dinámicos Visibilidad de Seguridad Control en Almacenamiento Control de Acceso y Monitoreo Límites del Perímetro Acceso desde Internet Monitoreo de Acceso Privilegio de Auditoría

16 Verificación de alcance Consideraciones para el cliente Cuanto lleva certificado el CSP? Qué servicios están incluidos en la validación? Donde están físicamente los servicios validados? Se usan componentes que no están validados en el servicio? Cómo se asegura el CSP que los clientes no introducen componentes que no cumplen? El CSP debe proveer: Evidencia que identifique claramente lo que está en alcance Los requisitos contra los que fueron validados Aspectos no cubiertos por la verificación Identificación de los requerimientos que son responsabilidad del cliente o compartida

17 Verificación de alcance El cliente debe revisar periódicamente: Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC) Evidencia documentada de los componentes incluidos en la verificación Evidencia documentada de los componentes que fueron excluidos de la verificación Si el CSP no está certificado, durante la verificación del cliente se requiere verificar: Acceso a las instalaciones, entrevistas con el personal en sitio Políticas y procedimientos, documentación de procesos y estándares de configuración Registros de entrenamiento, planes de respuesta a incidentes, etc. Evidencia de que los componentes dentro del alcance cumplen con todos los requisitos de la norma

18 Gobierno, riesgo y cumplimiento RRHH Continui dad Adm. Riesgo Debida Diligenci a SLA s

19 Consideraciones legales

20 Consideraciones legales Responsabili dades legales Descubrimien to de datos Custodia de datos Preservación de evidencia

21 Seguridad de los datos Adquisición de Datos Disposición Almacenamiento y Persistencia Cifrado Ciclo de Vida Clasificación

22 Respuesta a incidentes

23 Transferencia y Transmisión a Terceros Países

24 Países que cuentan con un nivel adecuado de protección de datos personales 25

25 Conclusión Antes de escoger un proveedor en la nube se debe: VERIFICAR el estado de cumplimiento de la normatividad requerida ENTENDER los riesgos ESCOGER el modelo adecuado de despliegue EVALUAR las diferentes opciones de servicio CONOCER lo que se requiere del CSP COMPARAR proveedores y ofertas de servicio PREGUNTAR en qué consiste cada servicio, que incluye y que no DOCUMENTAR todo en acuerdos con el proveedor SOLICITAR compromisos por escrito de que la seguridad se mantendrá REVISAR periódicamente los acuerdos

26 C. Santander, 101. Edif. A. 2º E Barcelona (Spain) Tel.: Fax: C. Arequipa, 1 E Madrid (Spain) Tel.: Fax: Calle 90 # Bogotá (Colombia) Tel: +57 (1) Fax: +57 (1) info@isecauditors.com

27 C. Santander, 101. Edif. A. 2º E Barcelona (Spain) Tel.: Fax: C. Arequipa, 1 E Madrid (Spain) Tel.: Fax: Calle 90 # Bogotá (Colombia) Tel: +57 (1) Fax: +57 (1) info@isecauditors.com