Comprensión del objetivo de los requisitos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Comprensión del objetivo de los requisitos"

Transcripción

1 Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Navegación de las PCI DSS Comprensión del objetivo de los requisitos Versión 2.0 Octubre de 2010

2 Modificaciones realizadas a los documentos Fecha Versión Descripción 1 de octubre de de octubre de Alinear el contenido con la nueva versión 1.2 de PCI DSS e implementar cambios menores notados desde la versión 1.1 original. 2.0 Alinear contenido con la nueva versión 2.0 de las PCI DSS. Copyright 2010, PCI Security Standards Council LLC Página 2

3 Índice Modificaciones realizadas a los documentos...2 Prefacio...4 Virtualización... 5 Elementos de datos de titulares de tarjetas y de datos confidenciales de autenticación...6 Ubicación de datos de titulares de tarjetas y de datos confidenciales de autenticación... 8 Datos de la pista 1 vs. pista relacionada por las Normas de Seguridad de Datos de la PCI...10 para los Requisitos 1 y 2: Desarrollar y mantener una red segura...11 Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta Requisito 2: No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad para los Requisitos 3 y 4: Proteja los datos del titular de la tarjeta...20 Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas para los Requisitos 5 y 6: Mantener un programa de administración de vulnerabilidad...30 Requisito 5: Utilice y actualice regularmente el software o los programas antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras para los Requisitos 7, 8 y 9: Implemente medidas sólidas de control de acceso...40 Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora Requisito 9: Restrinja el acceso físico a los datos del titular de la tarjeta para los Requisitos 10 y 11: Supervise y evalúe las redes con regularidad...51 Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas Requisito 11: Probar periódicamente los sistemas y procesos de seguridad para los Requisitos 12: Mantenga una política de seguridad de información...61 Requisito 12: Mantener una política que trate la seguridad de la información para todo el personal para el requisito A.1: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido...67 Anexo A: Norma de seguridad de datos de la PCI: Documentos relacionados...69 Copyright 2010, PCI Security Standards Council LLC Página 3

4 Prefacio Este documento describe los 12 requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), al tiempo que proporciona orientación para explicar el objetivo de cada requisito. El objetivo de este documento es ayudar a comerciantes, proveedores de servicios e instituciones financieras que pudieran necesitar comprender más claramente la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago, así como el significado y objetivo específicos de los requisitos detallados para asegurar los componentes de sistemas (servidores, red, aplicaciones, etc.) que respaldan los entornos de datos de los titulares de tarjetas. NOTA: Navegación de las PCI DSS: La comprensión del objetivo de los requisitos es sólo para efectos de guía. Cuando se finaliza una evaluación in situ de las PCI DSS o un Cuestionario de Autoevaluación (SAQ), los Requisitos de las PCI DSS y los Procedimientos de Evaluación de Seguridad y los Cuestionarios de Autoevaluación de las PCI DSS 2.0 son documentos de registro. Los requisitos de las PCI DSS se aplican a todos los componentes del sistema. En el contexto de las PCI DSS, los "componentes del sistema" se definen como cualquier componente de red, servidor o aplicación que esté incluida en el entorno de los datos del titular de la tarjeta o que esté conectado a éste. Los componentes del sistema también incluyen cualesquiera componentes de virtualización tales como máquinas virtuales, switches/routers virtuales, dispositivos virtuales, aplicaciones/escritorios virtuales e hipervisores. El entorno de los datos de los titulares de tarjetas consta de personas, procesos y tecnología que manipulan datos de titulares de tarjetas o datos confidenciales de autenticación. Los componentes de la red pueden incluir, a modo de ejemplo, firewalls, switches, routers, puntos de acceso inalámbricos, aplicaciones de la red y otras aplicaciones de seguridad. Los tipos de servidores incluyen, a modo de ejemplo: web, aplicación, base de datos, autenticación, correo electrónico, proxy, protocolo de tiempo de red (NTP) y servidor de nombre de dominio (DNS). Las aplicaciones incluyen, a modo de ejemplo, todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones internas y externas (como Internet). El primer paso de una evaluación de las PCI DSS es determinar con exactitud el alcance de la revisión. Por lo menos una vez al año y antes de la evaluación anual, la entidad evaluada debería confirmar la exactitud del alcance de las PCI DSS al identificar todas las ubicaciones y los flujos de datos de titulares de tarjetas y al asegurar que se incluyan en el alcance de las PCI DSS. Para confirmar la exactitud e idoneidad del alcance de las PCI DSS, realice lo siguiente: La entidad evaluada identifica y documenta la existencia de todos los datos de los titulares de tarjetas en su entorno, con la finalidad de verificar que no haya datos de titulares de tarjetas fuera del entorno de los datos de los titulares de tarjetas (CDE) actualmente definido. Una vez que se hayan identificado y documentado todas las ubicaciones de los datos de los titulares de tarjetas, la entidad utiliza los resultados para verificar que el alcance de las PCI DSS sea apropiado (por ejemplo, los resultados pueden ser un diagrama o un inventario de ubicaciones de datos de titulares de tarjetas). La entidad considera que todos los datos de titulares de tarjetas encontrados están dentro del alcance de la evaluación de las PCI DSS y forman parte del CDE, a menos que dichos datos se eliminen o migren/consoliden en el CDE actualmente definido. La entidad retiene la documentación que demuestre los resultados y cómo se confirmó el alcance de las PCI DSS para la revisión por parte de los asesores y/o como referencia durante la actividad anual de la siguiente confirmación de alcance de las PCI SCC. Copyright 2010, PCI Security Standards Council LLC Página 4

5 La segmentación de red, o separación (segmentación), del entorno de los datos del titular de la tarjeta del resto de la red corporativa de una entidad no constituye un requisito de las PCI DSS. Sin embargo, constituye un método ampliamente recomendado que puede reducir el alcance del entorno de datos de los titulares de tarjetas. Un Asesor de Seguridad Calificado (QSA) puede ayudar a determinar el alcance dentro del entorno de datos de los titulares de tarjetas de una entidad, además de proporcionar orientación sobre cómo reducir el alcance de una evaluación de las PCI DSS al implementar una segmentación apropiada de la red. En lo que se refiere a las preguntas sobre si una implementación específica concuerda con la norma o cumple con un requisito específico, el PCI SSC recomienda a las compañías consultar a un QSA para validar su implementación de tecnología y procesos, así como el cumplimiento de las Normas de Seguridad de Datos de la PCI. La experiencia que tienen los QSA trabajando en entornos de red complejos ayuda a proporcionar mejores prácticas y orientación al comerciante o proveedor de servicios que intenta lograr el cumplimiento. La lista de Asesores de Seguridad Calificados del PCI SSC está disponible en: https://www.pcisecuritystandards.org. Virtualización Si la virtualización está implementada, todos los componentes dentro del entorno virtual se deberán identificar y considerar en el alcance de la revisión, incluidos hosts o dispositivos virtuales individuales, máquinas huésped, aplicaciones, interfaces de administración, consolas de administración centrales, hipervisores, etc. Todas las comunicaciones y flujos de datos dentro del host se deben identificar y documentar, así como todas aquellas entre el componente virtual y otros componentes del sistema. La implementación de un entorno virtualizado debe cumplir con el objetivo de todos los requisitos, de modo tal que los sistemas virtualizados se puedan concebir efectivamente como una unidad de hardware independiente. Por ejemplo, debe existir una clara segmentación de funciones y segregación de redes con diferentes niveles de seguridad; la segmentación debe impedir compartir los entornos de producción y prueba/desarrollo; la configuración virtual se debe asegurar de modo tal que las vulnerabilidades de una función no puedan afectar la seguridad de otras funciones; y los dispositivos conectados, tales como dispositivos USB/en serie, no deberían ser accesibles por todas las instancias virtuales. Adicionalmente, todos los protocolos de interfaces de administración virtuales se deben incluir en la documentación del sistema, además, los roles y permisos se deben definir para administrar redes virtuales y componentes de sistemas virtuales. Las plataformas de virtualización deben estar en capacidad de exigir la separación de tareas y menos privilegio para separar la administración de la red virtual de la administración del servidor virtual. Cuando se implementan controles de autenticación, se debe tener especial cuidado para asegurar que los usuarios se autentiquen ante los componentes virtuales apropiados del sistema y para distinguir entre las VM (máquinas virtuales) huésped y el hipervisor. Copyright 2010, PCI Security Standards Council LLC Página 5

6 Elementos de datos de titulares de tarjetas y de datos confidenciales de autenticación Las PCI DSS se aplican donde sea que se almacenen, procesen o transmitan datos de cuentas. Los datos de cuentas constan de los datos de los titulares de tarjetas más datos confidenciales de autenticación, como se detalla a continuación: Los datos de titulares de tarjetas incluyen: Número de cuenta principal (PAN) Nombre del titular de la tarjeta Fecha de vencimiento Código de servicio Los datos confidenciales de autenticación incluyen: Todos los datos de la banda magnética o datos equivalentes que están en un chip CAV2/CVC2/CVV2/CID PIN/Bloqueos de PIN El número de cuenta principal es el factor que define la aplicabilidad de los requisitos de las PCI DSS. Los requisitos de las PCI DSS se aplican si se almacena, procesa o transmite un número de cuenta principal (PAN). Si un PAN no se almacena ni procesa ni transmite, no se aplican los requisitos de las PCI DSS. Si el nombre del titular de la tarjeta, el código de servicio y/o la fecha de vencimiento no se almacenan ni procesan ni transmiten con el PAN, ni están presentes de alguna otra manera en el entorno de datos del titular de la tarjeta, se deben proteger de acuerdo con todos los requisitos de las PCI DSS, a excepción de los Requisitos 3.3 y 3.4, que sólo se aplican al PAN. Las PCI DSS representan un conjunto mínimo de objetivos de control que puede ser reforzado con leyes y regulaciones locales, regionales y sectoriales. Además, la legislación o las regulaciones pueden requerir protección específica de la información de identificación personal u otros elementos de datos (por ejemplo, el nombre del titular de la tarjeta), o definir las prácticas de divulgación de una entidad en lo que respecta a las información de los consumidores. Entre los ejemplos está la legislación relacionada con la protección de los datos de los consumidores, la privacidad, el robo de identidad o la seguridad de los datos. Las PCI DSS no sustituyen las leyes locales ni regionales, las regulaciones del gobierno ni otros requisitos legales. La siguiente tabla ilustra los elementos de los datos de titulares de tarjetas y los datos confidenciales de autenticación que habitualmente se utilizan; independientemente de que esté permitido o prohibido el almacenamiento de dichos datos y de que esos datos deban estar protegidos. Esta tabla no pretende ser exhaustiva, pero se proporciona con el fin de ilustrar distintos tipos de requisitos que se le aplican a cada elemento de datos. Copyright 2010, PCI Security Standards Council LLC Página 6

7 Datos de la cuenta Datos del titular de la tarjeta Datos confidenciales de autenticación 1 Elemento de datos Número de cuenta principal (PAN) Almacenamiento permitido Sí Hace que los datos de la cuenta almacenados no se puedan leer según el Requisito 3.4 Nombre del titular de la tarjeta Sí No Código de servicio Sí No Fecha de vencimiento Sí No Datos completos de la banda magnética 2 No No se pueden almacenar según el Requisito 3.2 CAV2/CVC2/CVV2/CID PIN/Bloqueo de PIN No No Sí No se pueden almacenar según el Requisito 3.2 No se pueden almacenar según el Requisito 3.2 Los Requisitos 3.3 y 3.4 de las PCI DSS sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, únicamente el PAN debe ser ilegible de acuerdo con el Requisito 3.4 de las PCI DSS. Las PCI DSS sólo se aplican si los PAN se almacenan, procesan y/o transmiten. 1 2 No se deben almacenar los datos confidenciales de autenticación después de la autorización (incluso si están cifrados). Contenido completo de la pista de banda magnética, datos equivalentes que están en el chip o en cualquier otro dispositivo. Copyright 2010, PCI Security Standards Council LLC Página 7

8 Ubicación de datos de titulares de tarjetas y de datos confidenciales de autenticación Los datos confidenciales de autenticación constan de los datos de la banda magnética (o pista) 3, código o valor de validación de la tarjeta 4, y datos del PIN 5. Se prohíbe el almacenamiento de datos confidenciales de autenticación! Estos datos son muy valiosos para las personas malintencionadas, ya que les permiten generar tarjetas de pago falsas y crear transacciones fraudulentas. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y PA-DSS para obtener la definición completa de datos confidenciales de autenticación. Las siguientes fotografías del reverso y el frente de una tarjeta de crédito muestran la ubicación de los datos del titular de la tarjeta y los datos confidenciales de autenticación. Nota: El chip contiene datos de pista equivalentes, así como también otros datos confidenciales, incluido el valor de verificación de la tarjeta en el chip de circuitos integrados (IC), que también se conoce como Chip CVC, icvv, CAV3 o icsc). 3 Datos codificados en la banda magnética utilizada para la autorización durante una transacción con tarjeta presente. Estos datos también se pueden encontrar en un chip, o en cualquier otra parte de la tarjeta. Es posible que las entidades no retengan todos los datos de banda magnética después de la autorización de la transacción. Los únicos elementos de datos de pistas que se pueden retener son: el número de cuenta principal, el nombre del titular de la tarjeta, la fecha de vencimiento y el código de servicio. 4 El valor de tres o cuatro dígitos impreso sobre o a la derecha del panel de firma, o en el frente de una tarjeta de pago, que se utiliza para verificar las transacciones sin tarjeta presente. 5 El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloqueo de PIN cifrado presente en el mensaje de la transacción. Copyright 2010, PCI Security Standards Council LLC Página 8

9 Datos de la pista 1 vs. pista 2 Si los datos de la pista completa (ya sea la pista 1 o pista 2, de la banda magnética, la imagen de la banda magnética en un chip o en cualquier otro lugar) se almacenan, es posible que las personas malintencionadas que obtengan los datos, los reproduzcan y vendan tarjetas de pago en todo el mundo. El almacenamiento de todos los datos de la pista también viola las regulaciones operativas de las marcas de pago y puede acarrear multas y sanciones. La ilustración de abajo proporciona información sobre los datos de la Pista 1 y Pista 2 al describir las diferencias y mostrar el diseño de los datos según se almacenan en la banda magnética. Pista 1 Pista 2 Contiene todos los campos de la pista 1 y pista 2 Longitud de hasta 79 caracteres Menor tiempo de procesamiento en el caso de transmisiones de dial-up anteriores Longitud de hasta 40 caracteres Nota: El emisor de la tarjeta y/o la marca de la tarjeta de pago definen los campos de Datos discrecionales. Los campos definidos por el agente emisor que contienen datos que el agente emisor/marca de pago considere datos confidenciales de autenticación pudieran estar incluidos en la porción de datos discrecionales de la pista, y pudiera ser posible almacenar estos datos particulares bajo circunstancias y condiciones específicas, tal como lo defina el agente emisor/marca de la tarjeta de pago. Sin embargo, ningún dato considerado dato confidencial de autenticación se puede almacenar después de la autorización, independientemente de si se encuentran en un campo de datos discrecionales o cualquier otro lugar. Copyright 2010, PCI Security Standards Council LLC Página 9

10 relacionada por las Normas de Seguridad de Datos de la PCI Desarrollar y mantener una red segura Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Proteger los datos del titular de la tarjeta Requisito 3: Proteger los datos del titular de la tarjeta que fueron almacenados Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas Mantener un programa de administración de vulnerabilidad Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras Implementar medidas sólidas de control de acceso Requisito 7: Restringir el acceso a los datos de titulares de tarjetas según la necesidad del negocio Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta Supervisar y evaluar las redes con regularidad Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de tarjetas Requisito 11: Probar periódicamente los sistemas y procesos de seguridad Mantener una política de seguridad de información Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal Copyright 2010, PCI Security Standards Council LLC Página 10

11 para los Requisitos 1 y 2: Desarrollar y mantener una red segura Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta Los firewalls son dispositivos que controlan el tráfico computarizado entre las redes (internas) y las redes no confiables (externas) de una entidad, así como el tráfico de entrada y salida a áreas más sensibles dentro de las redes internas confidenciales de una entidad. El entorno del titular de la tarjeta es un ejemplo de un área más confidencial dentro de la red confiable de una entidad. El firewall examina todo el tráfico de la red y bloquea las transmisiones que no cumplen con los criterios de seguridad especificados. Todos los sistemas debe estar protegidos contra el acceso no autorizado desde redes no confiables, ya sea que ingresen al sistema a través de Internet como comercio electrónico, del acceso a Internet desde las computadoras de mesa de los empleados, del acceso al correo electrónico de los empleados, de conexiones dedicadas como conexiones entre negocios mediante redes inalámbricas o a través de otras fuentes. Con frecuencia, algunas vías de conexión hacia y desde redes no confiables aparentemente insignificantes pueden proporcionar un acceso sin protección a sistemas clave. Los firewalls son un mecanismo de protección esencial para cualquier red de computadores. Otros componentes del sistema pueden funcionar como firewall, siempre y cuando reúnan los requisitos mínimos correspondientes a firewalls, según se especifica en el Requisito 1. En las áreas donde se utilizan otros componentes del sistema dentro del entorno de datos de los titulares de tarjetas a fin de proporcionar la funcionalidad de firewall, estos dispositivos se deben incluir dentro del alcance y la evaluación del Requisito 1. Requisito 1.1 Establezca normas de configuración para firewall y router que incluyan lo siguiente: Los firewalls y los routers son componentes clave de la arquitectura que controla la entrada a y la salida de la red. Estos dispositivos son unidades de software o hardware que bloquean el acceso no deseado y administran el acceso autorizado hacia dentro y fuera de la red. Sin las políticas ni los procedimientos implementados para documentar la manera como el personal debe configurar los firewalls y los routers, un negocio podría perder fácilmente su primera línea de defensa en la protección de datos. Las políticas y los procedimientos ayudarán a asegurar que la primera línea de defensa de la organización en la protección de sus datos mantenga su solidez. Los entornos virtuales donde los flujos de datos no transitan una red física se deben evaluar a fin de asegurar que se logró la segmentación de red apropiada Un proceso formal para aprobar y probar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers Una política y un proceso para aprobar y probar todas las conexiones y cambios de los firewalls y los routers ayudarán a prevenir problemas de seguridad causados por una configuración errónea de la red, del router o del firewall. Los flujos de datos entre máquinas virtuales se deben incluir en la política y el proceso. Copyright 2010, PCI Security Standards Council LLC Página 11

12 1.1.2 Un diagrama actualizado de la red con todas las conexiones que acceden a los datos de los titulares de tarjetas, incluida toda red inalámbrica Los diagramas de la red permiten que la organización identifique la ubicación de todos sus dispositivos de red. Además, el diagrama de la red también se puede utilizar para relacionar el flujo de datos de titulares de tarjetas con la red y entre dispositivos individuales para entender en su totalidad el alcance del entorno de datos de los titulares de tarjetas. Sin los diagramas actuales de red y flujo de datos, es posible que se omitan los dispositivos que contienen datos de titulares de tarjetas y se excluyan accidentalmente de los controles de seguridad en capas implementados para las PCI DSS y, por lo tanto, se puedan comprometer. Los diagramas de red y flujo de datos deben incluir componentes de sistemas virtuales y documentar los flujos de datos dentro del host Requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de la red interna Descripción de grupos, roles y responsabilidades para una administración lógica de los componentes de la red Documentación y justificación de negocio para la utilización de todos los servicios, protocolos y puertos permitidos, incluida la documentación de funciones de seguridad implementadas en aquellos protocolos que se consideran inseguros. Entre los servicios, protocolos o puertos no seguros se incluyen, a modo de ejemplo, FTP, Telnet, POP3, IMAP y SNMP. El uso de un firewall en cada conexión entrante (y saliente) de la red permite a la organización supervisar y controlar el acceso hacia dentro y fuera, así como minimizar las posibilidades de que una persona malintencionada obtenga acceso a la red interna. Esta descripción de los roles y la asignación de responsabilidad garantiza que alguien se responsabilice completamente por la seguridad de todos los componentes y sea consciente de su responsabilidad, y que se administren todos los dispositivos. Con frecuencia se producen exposiciones debido a que los servicios y puertos no se utilizan o no son seguros, ya que éstos, por lo general, tienen vulnerabilidades conocidas y muchas organizaciones son vulnerables a estos tipos de exposición porque no implementan parches de seguridad para vulnerabilidades de los servicios, protocolos y puertos que no se utilizan (incluso estando presentes las vulnerabilidades). Cada organización debe decidir con claridad cuáles servicios, protocolos y puertos son necesarios para su negocio, documentarlos para sus registros y asegurar que se inhabiliten o eliminen el resto de los servicios, protocolos y puertos. Además, las organizaciones deben considerar bloquear todo el tráfico y sólo volver a abrir esos puertos una vez que se haya determinado o documentado una necesidad. Adicionalmente, hay numerosos servicios, protocolos o puertos que pudiera necesitar un negocio (o tener habilitados por opción predeterminada) que utilizan habitualmente las personas malintencionadas para comprometer una red. Si estos servicios, protocolos o puertos no seguros son necesarios para el negocio, la organización debe entender y aceptar el riesgo que plantea el uso de estos protocolos, además, se debe justificar el uso del protocolo, así como documentar e implementar las funciones de seguridad que permiten utilizar estos protocolos de manera segura. Si estos servicios, protocolos o puertos no seguros no son necesarios para el negocio, se deben inhabilitar o eliminar. Copyright 2010, PCI Security Standards Council LLC Página 12

13 1.1.6 Requisito de la revisión de las normas del firewall y el router, al menos, cada seis meses 1.2 Desarrolle configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y todo componente del sistema en el entorno de los datos del titular de la tarjeta. Nota: Una red no confiable es toda red que es externa a las redes que pertenecen a la entidad en evaluación y/o que excede la capacidad de control o administración de la entidad Restrinja el tráfico entrante y saliente a la cantidad que sea necesaria en el entorno de datos del titular de la tarjeta Asegure y sincronice los archivos de configuración de routers. Esta revisión brinda a la organización la oportunidad de deshacerse de todas las reglas innecesarias, desactualizadas o incorrectas por lo menos cada seis meses y de asegurar que todos los conjuntos de reglas otorguen permiso sólo a los servicios y puertos autorizados que coincidan con las justificaciones del negocio. Es recomendable aplicar estas revisiones más frecuentemente; por ejemplo, mensualmente, a fin de asegurar que los conjuntos de reglas estén actualizados y coincidan con las necesidades del negocio sin tener que abrir agujeros de seguridad ni correr riesgos innecesarios. Es fundamental instalar protección para la red; es decir, un componente de sistema con (como mínimo) capacidad de firewall de inspección completa, entre la red interna confiable y otra red no confiable que sea externa y/o fuera de la capacidad de control y administración de la entidad. No implementar esta medida correctamente significa que la entidad estará expuesta al acceso no autorizado por parte de personas malintencionadas o un software malintencionado. Si se instala la funcionalidad de firewall, pero no tiene reglas que controlen o restrinjan el tráfico, es posible que las personas malintencionadas sean capaces de utilizar técnicas de exploit para detectar vulnerabilidades de protocolos y puertos con el fin de atacar su red. Este requisito busca impedir que personas malintencionadas accedan a la red de la organización a través de direcciones IP no autorizadas o que se utilicen servicios, protocolos o puertos sin autorización (por ejemplo, para enviar datos que se hayan obtenido mientras salían de su red hacia un servidor no confiable). Todos los firmales deben incluir una regla que rechace todo el tráfico entrante y saliente cuya necesidad no se haya especifico. Esto evitará todos los agujeros inadvertidos que garantizarían la entrada y salida de tráfico fortuito y potencialmente peligroso. Si bien los archivos de configuración en ejecución por lo general se implementan con parámetros de configuración seguros, los archivos de inicio (los cuales los routers ejecutan sólo al inicio) pueden no implementarse con los mismos parámetros de configuración seguros, debido a que estos archivos sólo se ejecutan ocasionalmente. Cuando un router realiza un reinicio sin los mismos parámetros de configuración seguros que tienen los archivos de configuración en ejecución, pueden producirse reglas más débiles que permitan que personas malintencionadas accedan a la red, debido a que es posible que los archivos de inicio no se hayan implementado con los mismos parámetros de configuración seguros que los archivos de configuración en ejecución. Copyright 2010, PCI Security Standards Council LLC Página 13

14 1.2.3 Instale firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y configure estos firewalls para negar o controlar (en caso de que ese tráfico fuera necesario para fines de negocio) todo tráfico desde el entorno inalámbrico hacia el entorno del titular de la tarjeta. 1.3 Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas Implemente un DMZ para limitar el tráfico entrante sólo a aquellos componentes del sistema que proporcionan servicios, protocolos y puertos con acceso público autorizado Restrinja el tráfico entrante de Internet a las direcciones IP dentro del DMZ No permita ninguna conexión directa de entrada o salida de tráfico entre Internet y el entorno del titular de la tarjeta. La implementación y explotación conocida (o desconocida) de tecnología inalámbrica dentro de una red constituyen una ruta común para que personas malintencionadas obtengan acceso a la red y a datos de titulares de tarjetas. Si un dispositivo inalámbrico o una red inalámbrica se instala sin el conocimiento de la empresa, una persona malintencionada podría ingresar fácilmente y sin ser vista a la red. Si los firewalls no restringen el acceso al entorno de tarjetas de pago desde las redes inalámbricas, las personas malintencionadas que obtengan acceso no autorizado a la red inalámbrica se pueden conectar fácilmente al entorno de tarjetas de pago y comprometer la información de cuentas. Se deben instalar firewalls entre las redes inalámbricas y el CDE, independientemente del propósito del entorno al que esté conectado la red inalámbrica. Esto puede incluir, a modo de ejemplo, redes corporativas, comercios, almacenes, etc. El objetivo de un firewall es administrar y controlar todas las conexiones entre los sistemas públicos y los sistemas internos (especialmente aquellos que almacenan, procesan o transmiten datos de titulares de tarjetas). Si se permite el acceso directo entre sistemas públicos y el CDE, se burlan las protecciones que ofrece el firewall, y se pueden comprometer los componentes del sistema que almacenan datos de titulares de tarjetas. El DMZ se refiere a la porción de la red que administra las conexiones entre Internet (u otras redes no confiables) y los servicios internos que una organización necesita poner a la disposición del público (como un servidor web). Es la primera línea de defensa para aislar y separar el tráfico que necesita comunicarse con la red interna del tráfico que no lo necesita. El objetivo de esta funcionalidad es impedir que personas malintencionadas accedan a la red de la organización a través de direcciones IP no autorizadas o que se utilicen servicios, protocolos o puertos sin autorización. La terminación de conexiones IP en el DMZ brinda la oportunidad de inspeccionar y limitar la fuente/destino y/o la inspección/bloqueo de contenido, con lo cual se evita el acceso no filtrado entre entornos confiables y no confiables. La terminación de conexiones IP tanto entrantes como salientes brinda la oportunidad de inspeccionar y limitar la fuente/destino y/o la inspección/bloqueo de contenido, con lo cual se evita el acceso no filtrado entre entornos confiables y no confiables. Esto ayuda a evitar; por ejemplo, que personas malintencionadas envíen los datos obtenidos mientras salían de su red hacia un servidor externo no confiable en una red no confiable. Copyright 2010, PCI Security Standards Council LLC Página 14

15 1.3.4 No permita que las direcciones internas pasen desde Internet al DMZ No permita que llegue tráfico saliente no autorizado proveniente del entorno de datos del titular de la tarjeta a Internet Implemente la inspección completa, también conocida como filtrado dinámico de paquetes. (Es decir, sólo se permite la entrada a la red de conexiones establecidas ) Coloque los componentes del sistema que almacenan datos de titulares de tarjetas (como una base de datos) en una zona de red interna, segregada desde un DMZ y otras redes no confiables. Normalmente, un paquete contiene la dirección IP de la computadora desde la cual se envío. Esto permite que otras computadoras en la red sepan el origen del paquete. En algunos casos, las personas malintencionadas suplantarán la dirección IP que se envía. Por ejemplo, las personas malintencionadas envían un paquete con una dirección suplantada, de modo que (a menos que su firewall lo prohíba) el paquete pueda ingresar en su red desde Internet haciéndose pasar por su tráfico interno y, por lo tanto, legítimo. Una vez que la persona malintencionada haya ingresado en su red, ésta puede empezar a comprometer su sistema. El filtrado de ingreso es una técnica que se puede utilizar en el firewall para filtrar paquetes que entran a su red para, entre otras opciones, asegurar que los paquetes no se suplanten para que parezcan que provienen de su propia red interna. Para obtener más detalles sobre el filtrado de paquetes, considere obtener información sobre una técnica corolario llamada filtrado de egreso. Todo el tráfico saliente desde el entorno de datos de titulares de tarjetas se debe evaluar para asegurar que dicho tráfico sigue las reglas establecidas y autorizadas. Las conexiones se deben inspeccionar a fin de limitar el tráfico sólo a las comunicaciones autorizadas (por ejemplo, al limitar direcciones/puertos de origen/destino y/o bloquear contenido). Cuando la conectividad entrante de los entornos no está permitida, las conexiones salientes se pueden realizar a través de arquitecturas o componentes de sistemas que interrumpen e inspeccionan la conectividad IP. Un firewall que realiza una inspección de paquete de estado mantiene el "estado" de cada conexión al firewall. Al mantener el "estado", el firewall sabe si lo que parece ser una respuesta a una conexión anterior es realmente una respuesta (ya que "recuerda" la conexión anterior) o si es una persona malintencionada o software malintencionado intentando suplantar o engañar el firewall para que permita la conexión. Los datos de los titulares de tarjetas requieren la protección de información de más alto nivel. Si los datos de los titulares de tarjetas se encuentran en el DMZ, el acceso a esta información es más fácil para un atacante externo, ya que hay menos capas que penetrar. Nota: el objetivo de este requisito no incluye el almacenamiento en una memoria volátil. Copyright 2010, PCI Security Standards Council LLC Página 15

16 1.3.8 No divulgue direcciones IP privadas ni información de enrutamiento a partes no autorizadas. Nota: Entre los métodos para ocultar direcciones IP se pueden incluir, a modo de ejemplo: Traducción de Dirección de Red (NAT) Ubicar servidores que contengan datos de titulares de tarjetas detrás de servidores proxy/firewalls o cachés de contenido, Eliminación o filtrado de anuncios de enrutamiento para redes privadas que emplean direcciones registradas, Uso interno del espacio de direcciones RFC1918 en lugar de direcciones registradas. Restringir la difusión de direcciones IP es esencial para evitar que un hacker adquiera las direcciones IP de la red interna y utilice esa información para acceder a la red. Los medios efectivos para cumplir con el objetivo de este requisito puede variar dependiendo de la tecnología de red específica utilizada en su entorno. Por ejemplo, los controles utilizados para cumplir con este requisito en el caso de las redes IPv4 difieren de los de las redes IPv6. Una técnica para evitar que se descubran las direcciones IP en una red IPv4 es implementar la Traducción de Dirección de Red (NAT). NAT, que generalmente administra el firewall, permite que una organización tenga direcciones internas que sólo son visibles dentro de la red y direcciones externas que sólo son visibles fuera de la red. Si un firewall no oculta o enmascara las direcciones IP de la red interna, una persona malintencionada podría descubrirlas e intentar acceder a la red con una dirección IP suplantada. En el caso de las redes IPv4, el espacio de direcciones RFC1918 está reservado para direcciones internas y no se debería poder enrutar en Internet. Por tal motivo, es preferible para las direcciones IP de redes internas. Sin embargo, las organizaciones pueden tener razones para utilizar un espacio de direcciones que no sea RFC1918 en la red interna. En estas circunstancias, la prevención de anuncios de enrutamiento u otras técnicas se deben utilizar para evitar que se difunda el espacio de direcciones internas o se divulgue a partes no autorizadas. 1.4 Instale software de firewall personal en toda computadora móvil o de propiedad de los trabajadores con conectividad directa a Internet (por ejemplo, laptops que usan los trabajadores), mediante las cuales se accede a la red de la organización. Si una computadora no tiene instalado un firewall o programa antivirus, es posible que se descarguen o instalen inadvertidamente spyware, troyanos, virus, gusanos y rootkits (malware). La computadora es incluso más vulnerable cuando se conecta directamente a Internet y no a través de un firewall corporativo. Los malware que se cargan en una computadora cuando la conexión no se realiza a través del firewall corporativo pueden localizar información de manera mal intencionada dentro de la red cuando la computadora se vuelva a conectar a la red corporativa. Nota: El objetivo de este requisito se aplica a las computadoras con acceso remoto, independientemente de si pertenecen a los empleados o la empresa. Los sistemas que la política corporativa no puede administrar introducen debilidades en el perímetro y brindan oportunidades que las personas malintencionadas pueden explotar. Copyright 2010, PCI Security Standards Council LLC Página 16

17 2: No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad Las personas malintencionadas (externas e internas a una entidad), por lo general, utilizan las contraseñas predeterminadas por los proveedores y otros parámetros que el proveedor predetermine para comprometer los sistemas. Estas contraseñas y parámetros son conocidos entre las comunidades de hackers y se establecen fácilmente por medio de información pública. Requisito 2.1 Siempre cambie los valores predeterminados de los proveedores antes de instalar un sistema en la red, incluidas, a modo de ejemplo, contraseñas, cadenas comunitarias de protocolo simple de administración de red (SNMP) y la eliminación de cuentas innecesarias En el caso de entornos inalámbricos que están conectados al entorno de datos del titular de la tarjeta o que transmiten datos del titular de la tarjeta, cambie los valores predeterminados proporcionados por los proveedores, incluidas, a modo de ejemplo, claves de cifrado inalámbricas predeterminadas, contraseñas y cadenas comunitarias SNMP. 2.2 Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en la industria. Entre las fuentes de normas de alta seguridad aceptadas en la industria, se pueden incluir, a modo de ejemplo: Center for Internet Security (CIS) International Organization for Standardization (ISO) SysAdmin Audit Network Security (SANS) National Institute of Standards Technology (NIST) Las personas malintencionadas (externas e internas a la empresa), por lo general, utilizan contraseñas predeterminadas por los proveedores, nombres de cuentas y contraseñas para comprometer sistemas. Estos parámetros de configuración son bien conocidos dentro de las comunidades de hackers y dejan a su sistema sumamente vulnerable a ataques. Muchos usuarios instalan estos dispositivos sin aprobación de la gerencia y no cambian los parámetros predeterminados ni configuran parámetros de seguridad. Si las redes inalámbricas no se implementan con suficientes configuraciones de seguridad (incluido el cambio de los parámetros predeterminados), los sniffers inalámbricos pueden espiar el tráfico, capturar datos y contraseñas de manera sencilla e ingresar en su red y atacarla fácilmente. Además, el protocolo de intercambio de claves de la versión anterior de cifrado x (WEP) ha sido transgredido y puede inutilizar el cifardo. Verifique que el firmware de los dispositivos esté actualizado para admitir protocolos más seguros (por ejemplo, WPA2). Existen debilidades conocidas en muchos sistemas operativos, bases de datos y aplicaciones de empresas, así como también existen maneras de configurar estos sistemas a fin de corregir las vulnerabilidades de seguridad. Con la finalidad de ayudar a quienes no son expertos en seguridad, las organizaciones especializadas han establecido recomendaciones para fortalecer los sistemas, las cuales proporcionan consejos para corregir estas debilidades. Si no se eliminan estas debilidades de los sistemas; por ejemplo, una configuración de archivos débil o servicios y protocolos predeterminados (para los servicios o protocolos que generalmente no son necesarios), un atacante estará en capacidad de aplicar técnicas o programas conocidos para atacar servicios y protocolos vulnerables y, de esta manera, obtener acceso a la red de su organización. Entre los sitios web donde puede obtener más información sobre las mejores prácticas de la industria que contribuyen a la implementación de normas de configuración se encuentran: Las normas de configuración de sistemas también se deben mantener actualizadas a fin de asegurar que las debilidades recientemente identificadas se corrijan antes de instalar un sistema en la red. Copyright 2010, PCI Security Standards Council LLC Página 17

18 2.2.1 Implemente sólo una función principal por servidor a fin de evitar que coexistan funciones que requieren diferentes niveles de seguridad en el mismo servidor. (Por ejemplo, los servidores web, servidores de base de datos y DNS se deben implementar en servidores separados). Nota: Cuando se utilicen tecnologías de virtualización, implemente sólo una función principal por componente de sistema virtual. El objetivo de esto es asegurar las normas de configuración de sistemas y los procesos relacionados de su organización que tratan las funciones de los servidores que necesitan tener diferentes niveles de seguridad, o que pudieran introducir debilidades de seguridad en otras funciones del mismo servidor. Por ejemplo: 1. Una base de datos, que necesite tener medidas de seguridad sólidas implementadas, correría riesgos si comparte un servidor con una aplicación web, que deba permanecer abierta y estar en contacto directo con Internet. 2. Si no se aplica un parche a una función aparentemente insignificante, es posible que se comprometan otras funciones más importantes (como una base de datos) del mismo servidor. Este requisito se aplica a todos los servidores dentro del entorno de datos de titulares de tarjetas (usualmente basados en Unix, Linux o Windows). Este requisito no se aplica a sistemas que tengan la capacidad de implementar niveles de seguridad de manera nativa en un mismo servidor (por ejemplo, un mainframe). Donde se utilicen tecnologías de virtualización, cada componente virtual (por ejemplo, una máquina virtual, un switch virtual, un dispositivo de seguridad virtual, etc.) se debe considerar como un límite del servidor. Cada hipervisor puede admitir diferentes funciones, pero una máquina virtual individual debe acatar la regla de una sola función principal. Según este supuesto, si se compromete el hipervisor, se podrían comprometer todas las funciones del sistema. En consecuencia, también se debe tomar en consideración el nivel de riesgo cuando se colocan múltiples funciones o componentes en un mismo sistema físico Habilite sólo los servicios, protocolos, daemons, etc. necesarios y seguros, según lo requiera la función del sistema. Implemente funciones de seguridad para los servicios, protocolos o daemons requeridos que no se consideren seguros. Por ejemplo, utilice tecnologías aseguradas, tales como SSH, S-FTP, SSL o IPSec VPN, para proteger servicios no seguros como NetBIOS, archivos compartidos, Telnet, FTP, etc Configure los parámetros de seguridad del sistema para evitar el uso indebido. Tal como lo especifica el Requisito 1.1.5, existen numerosos protocolos que un negocio puede necesitar (o tener habilitados por opción predeterminada) que habitualmente utilizan personas malintencionadas para comprometer una red. A fin de asegurar que los servicios y protocolos necesarios estén habilitados y que todos los servicios y protocolos no seguros se aseguren correctamente antes de implementar los nuevos servidores, este requisito debe formar parte de las normas de configuración y procesos relacionados de su organización. El objetivo de esto es asegurar que las normas de configuración de sistemas y los procesos relacionados de su organización traten específicamente los valores de configuración y parámetros de seguridad que tienen implicaciones de seguridad conocidas. Copyright 2010, PCI Security Standards Council LLC Página 18

19 2.2.4 Elimine todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios. 2.3 Cifre todo el acceso administrativo que no sea de consola utilizando un cifrado sólido. Utilice tecnologías como SSH, VPN o SSL/TLS para la administración basada en la web y el acceso administrativo que no sea de consola. 2.4 Los proveedores de servicio de hosting compartido deben proteger el entorno hospedado y los datos del titular de la tarjeta de la entidad. Estos proveedores deben cumplir requisitos específicos detallados en el Anexo A: Requisitos adicionales de las PCI DSS para los proveedores de servicios de hosting compartido. Las normas para fortalecer servidores deben incluir procesos para tratar una funcionalidad innecesaria con implicaciones de seguridad específicas (como eliminar/inhabilitar FTP o el servidor web si el servidor no realizará estas funciones). Si la administración remota no se realiza con una autenticación segura y comunicaciones cifradas, la información confidencial a nivel administrativo u operativo (como las contraseñas del administrador) se pueden revelar a un espía. Una persona malintencionada podría utilizar esta información para acceder a la red, hacerse pasar por administrador y hurtar datos. Se concibió pensando en los proveedores de servicio de hosting que proporcionan entornos de hosting compartidos para múltiples clientes en el mismo servidor. Cuando todos los datos se encuentran en el mismo servidor y bajo el control de un solo entorno, con frecuencia los parámetros de configuración de estos servidores compartidos no pueden ser administrados por clientes individuales, permiten que los clientes agreguen funciones y secuencias de comandos no seguros que afectan la seguridad de todos los demás entornos; y, en consecuencia, ayudan a que personas malintencionadas comprometan los datos de un cliente y, por lo tanto, obtengan acceso a los datos de los demás clientes. Consulte el Anexo A: Copyright 2010, PCI Security Standards Council LLC Página 19

20 para los Requisitos 3 y 4: Proteja los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Los métodos de protección como el cifrado, el truncamiento, el ocultamiento y la función de hash son importantes componentes para proteger los datos de los titulares de tarjetas. Si un intruso viola otros controles de seguridad y obtiene acceso a los datos cifrados, sin las claves de cifrado adecuadas, no podrá leer ni utilizar esos datos. Los otros métodos eficaces para proteger los datos almacenados deberían considerarse oportunidades para mitigar el riesgo posible. Por ejemplo, los métodos para minimizar el riesgo incluyen no almacenar datos de titulares de tarjetas salvo que sea absolutamente necesario, truncar los datos de titulares de tarjetas si no se necesita el PAN completo y no enviar el PAN utilizando tecnologías de mensajería de usuario final, tales como correos electrónicos y mensajería instantánea. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS para obtener definiciones de "cifrado sólido" y otros términos de las PCI DSS. Requisito 3.1 Almacene la menor cantidad posible de datos de titulares de tarjetas implementando políticas, procedimientos y procesos de retención y disposición de datos, como se indica abajo Implemente una política de retención y disposición de datos que incluya: Limitación del almacenamiento de datos y del tiempo de retención a la cantidad exigida por los requisitos legales, reglamentarios y del negocio Procesos para eliminar datos de manera cuando ya no se necesiten Requisitos de retención específicos para datos de titulares de tarjetas Un proceso automático o manual trimestral para identificar y eliminar de manera segura los datos de titulares de tarjetas almacenados que excedan los requisitos de retención definidos Una política formal para la retención de datos identifica los datos que se deben retener, así como el lugar donde residen los datos, de modo que se puedan destruir o eliminar de manera segura una vez que ya no sean necesarios. A fin de definir los requisitos de retención apropiados, una entidad primero debe entender las necesidades de su negocio, así como cualesquiera obligaciones legales y regulatorias que se apliquen a su industria, y/o que se apliquen al tipo de dato que se retiene. Un almacenamiento extenso de datos de titulares de tarjetas que exceda la necesidad del negocio crea un riesgo innecesario. Los únicos datos de titulares de tarjetas que se pueden almacenar después de la autorización son el número de cuenta principal o PAN (el cual debe ser ilegible), la fecha de vencimiento, el nombre del titular de la tarjeta y el código de servicio. La implementación de métodos de eliminación seguros asegura que los datos no se puedan recuperar cuando ya no sean necesarios. Recuerde, si no los necesita, no los almacene! Copyright 2010, PCI Security Standards Council LLC Página 20

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de 2008 1.2 Alinear

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Comerciantes con sistemas de aplicaciones de pago conectados a Internet.

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Industria de Tarjetas de Pago (PCI) rma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Versión Descripción

Más detalles

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) rmas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Auditoría de Seguridad Versión 1.1 Publicada: Septiembre 2006 Contenido Introducción... 3 Información sobre Aplicabilidad

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Comerciantes con tarjetas ausentes, todas las funciones que impliquen

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Terminales de pago de hardware en una solución únicamente P2PE

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls EL64E Alberto Castro Rojas 1 Agenda Las redes locales y su conexión a distancias Dirección MAC y dirección IP Equipos de interconexión Los protocolos

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1 Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1 Publicada Septiembre del 2006 Desarrollar y Mantener una Red Segura Requisito 1: Requisito 2: Instalar y mantener una

Más detalles

Descripción de servicio. Firewall en Red de Nueva Generación

Descripción de servicio. Firewall en Red de Nueva Generación Descripción de servicio. Firewall en Red de Nueva Generación Interoute, Walbrook Building, 195 Marsh Wall, London, E14 9SG, UK Tel: +800 4683 7681 Email: info@interoute.com 1 Introducción Este documento

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD

Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD Julio 2007 SIEMPRE: 1. Manténgase informado sobre las novedades y alertas de seguridad. 2. Mantenga actualizado su equipo,

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Protección de los clientes contra los ataques a la red

Protección de los clientes contra los ataques a la red Protección de los clientes contra los ataques a la red La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha

Más detalles

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURIDAD DE LOS DATOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Contenido 1. INTRODUCCIÓN... 3 2. ARQUITECTURAS DE ACCESO REMOTO... 3 2.1 ACCESO MEDIANTE MÓDEM DE ACCESO TELEFÓNICO...

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

Qué soluciones existen para proteger una red domestica por cable?

Qué soluciones existen para proteger una red domestica por cable? Qué soluciones existen para proteger una red domestica por cable? Introducción Una conexión de Internet de alta velocidad es ideal para la productividad. Dado que la conexión es permanente, puede acceder

Más detalles

CUANDO LAS COMPUTADORAS

CUANDO LAS COMPUTADORAS Página 1-10 Seguridad en Internet CUANDO LAS COMPUTADORAS están conectadas a una red, debe considerarse con seriedad el riesgo de intrusión. Cuando la conexión está basada en Internet, miles de millones

Más detalles

CONSEJOS PARA TENER SIEMPRE PRESENTES

CONSEJOS PARA TENER SIEMPRE PRESENTES CONSEJOS PARA TENER SIEMPRE PRESENTES 1. Procure siempre estar informado acerca de las noticias, novedades y alertas de seguridad, Siempre busque actualizar su equipo en lo que concierne a parches para

Más detalles

Industria de tarjetas de pago (PCI) Norma de seguridad de datos

Industria de tarjetas de pago (PCI) Norma de seguridad de datos Industria de tarjetas de pago (PCI) Norma de seguridad de datos Aplicabilidad de la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) en un entorno EMV Documento de guía Versión

Más detalles

REQUISITOS DE LA PCI-DSS

REQUISITOS DE LA PCI-DSS TRADUCCIÓN REQUISITOS DE LA PCI-DSS Versión 1.1 Lanzamiento: Septiembre, 2006 Preparado por: HQS International Contacto: Joseph M Handschu joseph@hqsintl.com JUNIO 2007 Construir y mantener una Red Segura

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

OBJETIVOS DE APRENDIZAJE

OBJETIVOS DE APRENDIZAJE PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude?

Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? Desea asegurarse de que cumple con los requisitos de la Norma DSS de la Industria de las Tarjetas de Pago y reducir el riesgo de fraude? NCR Security le facilita cumplir con los requisitos de la Industria

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA CONCEPTO VPN DEFINICIÓN, QUE SE PUEDE HACER CON UN VPN TIPOS DE VPN - ARQUITECTURA VPN ACCESO

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Actualización del parche de Symantec Client Security

Actualización del parche de Symantec Client Security Actualización del parche de Symantec Client Security Actualización del parche de Symantec Client Security Versión de la documentación 3.0.1.1007 Copyright 2005 Symantec Corporation. Todos los derechos

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

Dirección de Infraestructura Tecnológica Dirección Desarrollo de Soluciones Manual de Usuario MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0. Pág.

Dirección de Infraestructura Tecnológica Dirección Desarrollo de Soluciones Manual de Usuario MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0. Pág. MANUAL DE USUARIO ACCESO REMOTO NETSCALER V 2.0 Pág. 1 Tabla de contenido Objetivo... 3 Alcance... 3 Definiciones, acrónimos y abreviaciones... 3 Referencias... 4 Descripción... 4 Funcionalidad... 5 Prerrequitos

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Universidad Técnica Federico Santa María Departamento de Electrónica. Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad

Universidad Técnica Federico Santa María Departamento de Electrónica. Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad Universidad Técnica Federico Santa María Departamento de Electrónica Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad Integrantes: Edson Contreras C. Luis Marcel Barraza M. Fecha:

Más detalles

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO.

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO. DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO Las siguientes políticas de seguridad son aplicables a los clientes, proveedores y/o terceros, que tengan alguna relación

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

4. La instantánea se pone en línea y está listo para su uso.

4. La instantánea se pone en línea y está listo para su uso. 1 er RESUMEN TRADUCIDO. Las instantáneas de SQL Server 2005. Una vista de DBA en SQL 2005 instantáneas de base de datos Las instantáneas de bases de datos son un instrumento nuevo Enterprise Edition sólo,

Más detalles

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Programa de estudio versión 1.0 The European Computer Driving Licence Foundation Ltd (ECDL Foundation) Third Floor Portview House Thorncastle Street Dublin 4, Ireland Tel: +353 1

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Internet Firewalls Linux ipchains.

Internet Firewalls Linux ipchains. Internet Firewalls Linux ipchains. I Parte. Firewalls Introducción. Actualmente, Internet es la principal vía para consultar y publicar información de una forma sencilla, económica y revolucionaria. Del

Más detalles

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0.

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. 1. Explica qué es el protocolo TCP/IP El protocolo TCP/IP es el que permite a los ordenadores conectados a Internet gestionar

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de

Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de 1 Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de información 2 Como parte de los requisitos del seguro

Más detalles

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3 Indice 1) Proxy, Cortafuegos, que son? Pág.2 2) Funcionamiento de un proxy Pág.3 3) Proxy NAT / Enmascaramiento Pág.3 4) Servidores proxy / Servidores de Sockets Pág.4 5) Proxy de web / Proxy cache de

Más detalles

Apéndice de la documentación

Apéndice de la documentación Apéndice de la documentación Software de seguridad de Zone Alarm versión 7.1 En este documento se presentan nuevas funciones que no se incluyeron en las versiones traducidas de la guía del usuario. Si

Más detalles

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS Jesús Losada - Jesús López - 2º ASIR Índice de contenidos Administración remota Acceso en modo texto Escritorio remoto Servidor de

Más detalles

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e intercambian. En este último capítulo vamos a abordar los sistemas

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.- Cuál es la forma predeterminada en la que el tráfico IP se filtra en un router Cisco? bloqueado hacia adentro y hacia afuera de todas las interfaces bloqueado en todas las interfaces entrantes, pero permitido

Más detalles

Router Teldat. Interfaz Web

Router Teldat. Interfaz Web Router Teldat Interfaz Web Doc. DM801 Rev. 10.80 Abril, 2011 ÍNDICE Capítulo 1 Introducción... 1 1. Accediendo a la configuración del router... 2 Capítulo 2 Interfaz Web... 5 1. Estructura... 6 2. Inicio...

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

Tema 6. Firewalls. SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección. http://ccia.ei.uvigo.es/docencia/ssi. 20 de abril de 2009

Tema 6. Firewalls. SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección. http://ccia.ei.uvigo.es/docencia/ssi. 20 de abril de 2009 Tema 6. Firewalls SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección http://ccia.ei.uvigo.es/docencia/ssi 20 de abril de 2009 FJRP, FMBR 2008 ccia SSI 6.1 Conceptos básicos Cortafuegos: Mecanismo de control

Más detalles

51 Int. CI.: G07F 7/00 (2006.01) TRADUCCIÓN DE PATENTE EUROPEA. 72 Inventor/es: 74 Agente/Representante:

51 Int. CI.: G07F 7/00 (2006.01) TRADUCCIÓN DE PATENTE EUROPEA. 72 Inventor/es: 74 Agente/Representante: 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: 2 48 090 1 Int. CI.: G07F 7/00 (06.01) 12 TRADUCCIÓN DE PATENTE EUROPEA T3 96 Fecha de presentación y número de la solicitud europea:.07.01

Más detalles

Alcance y descripción del servicio ANTIVIRUS IPLAN

Alcance y descripción del servicio ANTIVIRUS IPLAN Alcance y descripción del servicio ANTIVIRUS IPLAN 1. Introducción. El servicio de Antivirus IPLAN ofrece una amplia cobertura contra distintos tipos de detecciones, permitiendo de forma cotidiana, efectiva

Más detalles

Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red Configuración del acceso a Internet en una red Contenido Descripción general 1 Opciones para conectar una red a Internet 2 Configuración del acceso a Internet utilizando un router 12 Configuración del

Más detalles

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA AUTORÍA MARÍA CATALÁ CARBONERO TEMÁTICA SEGURIDAD, REDES ETAPA CICLO SUPERIOR DE INFORMÁTICA Y PROFESORADO Resumen La seguridad en los sistemas en

Más detalles

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008 CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN

Más detalles