PCI DSS, UN PROCESO CONTINUO

Transcripción

1 Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E Barcelona I Tel.: I Fax: I [email protected] I I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 1

2 Presentación Miguel-Ángel Domínguez Torres Director Depto. Consultoría CISA, CISSP, ISO27001 L.A., PCI DSS QSA, OPST I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 2

3 SERVICIOS Auditoría Consultoría Seguridad Gestionada Formación Test de Intrusión Implantación SGSI Serv. de FW de Aplicación WIPS Certificaciones Oficiales Auditoría de Aplicaciones Plan Director de Seguridad Serv. de Vigilancia Anti-Malware Planes de Formación Auditoría de Sist. Inf. Plan de Continuidad de Negocio Securización de Sist. de Inf. Políticas de Seguridad Gestión de Incidentes LOPD/LSSICE Informática Forense/Peritaje PCI DSS Externalización de la Seguridad Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 3

4 Reconocimientos Internet Security Auditors ha sido la primera empresa española en obtener las certificaciones QSA (Qualified Security Asessor) y ASV (Acredited Scanning Vendor) por el PCI Security Standards Council (PCI SSC) para realizar auditorías internas de cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 4

5 Qué es PCI DSS? Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos Estándar de seguridad Conjunto de requerimientos para Gestionar la seguridad Definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 5

6 A quién afecta? Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito. PCI DSS cataloga a estas organizaciones en Comercios (super/ hipermercados, autopistas, e-commerce, agencias de viajes, etc) Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) Entidades Adquirientes (Bancos, Cajas de ahorro, etc.). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 6

7 Cómo Cumplir PCI DSS? PCI DSS v1.1 Principios Construir y Mantener una Red Segura Requerimientos 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas 2. No emplear parámetros de seguridad y usuarios del sistema por defecto Proteger los datos de tarjetas 3. Proteger los datos almacenados de tarjetas 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas Mantener un Programa de Gestión de Vulnerabilidades 5. Usar y actualizar regularmente software antivirus 6. Desarrollar y mantener de forma segura sistemas y aplicaciones Implementar Medidas de Control de Acceso Monitorizar y Testear Regularmente las Redes Mantener una Política de Seguridad de la Información 7. Restringir el acceso a la información de tarjetas según la premisa need-toknow 8. Asignar un único ID a cada persona con acceso a computadores 9. Restringir el acceso físico a la información de tarjetas 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas 11. Testear de forma regular la seguridad de los sistemas y procesos 12. Mantener una política que gestione la seguridad de la información I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 7

8 Responsabilidades PCISSC (PCI Security Standards Council) Supervisa el desarrollo y es responsable de PCI DSS y otros documentos de soporte (procedimientos de auditoría, SAQ, etc.) Aprueba/homologa y Mantiene la lista de empresas ASV y QSA Las Marcas establecen mediante sus programas de cumplimiento: Cómo se reporta y valida el cumplimiento de PCI DSS Aprobación de entidades que cumplen PCI DSS Cuales son las consecuencias de no cumplir Niveles de comercios y proveedores de servicio (en algunos casos) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 8

9 Responsabilidades Las entidades Adquirientes son responsables de: Asegurar que sus comercios conocen PCI DSS Realizar el seguimiento de los comercios hasta que cumplan con PCI DSS (Los requerimientos se cumplen y han sido validados). Comunicar el estado de cumplimiento de los comercios a las marcas. Los comercios y proveedores de servicio son responsables de: Conocer y Cumplir PCI DSS Validar y Reportar el cumplimiento en base a los requerimientos de entidades adquirientes y marcas según proceda. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 9

10 Debo acreditar el Cumplimiento de PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 10

11 Debo acreditar el Cumplimiento de PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 11

12 Debo acreditar el Cumplimiento de PCI DSS? VISA AIS (Account Information Security) Europe USA: Canada: Asia-Pacifico: Mastercard SDP (Site Data Protection) JCB Data Security Program Discover DISC (Discover Information Security Compliance) AMEX DSOP (Data Security Operating Standard) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 12

13 Cuales son las consecuencias de no cumplir PCI DSS? Las compañías que no cumplan con este estándar, estarán sujetas a Multas/Penalizaciones tras un incidente que compromete números de tarjetas. En relación a la cantidad de números de tarjetas comprometidos Si se guardaba información sensible (Pista completa, CVV2/CVC2/CID/CAV2, PIN, PIN Block) y no se estaban aplicando medidas para remediar esta situación. Las multas que aplican las marcas sobre los acquirers pueden o no ser traspasadas a comercios y/o service providers I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 13

14 Cuales son las consecuencias de no cumplir PCI DSS? Otras consecuencias Pérdida de reputación Pérdida de clientes Daño a la imagen corporativa Procesos judiciales Gastos por investigaciones forenses I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 14

15 Beneficios Beneficios de contar con un programa que cumpla PCI DSS son: Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión). Gestión y control de costes relativos a seguridad de la información. Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad. Facilidad para el cumplimiento con legislación, estándares o requerimientos de seguridad y privacidad (LOPD, LSSICE, LGT, ISO27001, etc.). I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 15

16 Cómo obtener ayuda? Empresas QSA y ASV para Asesorar a empresas que necesiten ayuda en la implantación. Auditar las medidas de seguridad implantadas. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 16

17 Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Segmentación de Red Diseño de redes seguras y protección perimetral (Req 1, 5, 11.4 y 11.5) Instalación y Mantenimiento de Sistemas de Información Securización de sistemas de información (Req 2, 6.1) Protección de los datos y las comunicaciones Identificación y eliminación de datos sensibles (CVV2, Pistas,...) (Req 3) Protección de bases de datos mediante cifrado (Req 3) Protección de las comunicaciones mediante protocolos seguros (Req 4) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 17

18 Tareas a Realizar Requerimientos PCI DSS - Visión Tecnológica Seguridad en SDLC Auditoría de aplicación, Revisión de código, Guía de buenas prácticas en desarrollo seguro, formación (Req 6.3, 6.4, 6.5) 30 Junio 2008 (Req 6.6) Auditoría de código por empresa especializada Firewall de aplicación Control del Acceso Control de Acceso al Sistema Operativo, Red y Aplicaciones (Req 7 y 8) Control de Acceso Físico: Tarjetas, Biometría, etc. (Req 9) Monitorización y protección de eventos de seguridad Plataforma de gestión de logs y eventos de seguridad (Req 10) Revisión y Test Test de intrusión interno y externo (Req 11.1, 11.2 y 11.3) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 18

19 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Política de Seguridad de la Información (Req 12) Marco normativo de seguridad Política de Seguridad (Req 12.1, 12.2, 12.3, 12.10) Analizar y Mitigar riesgos (Req 12.1, 12.7) Definición de Roles y Responsabilidades (Req 12.4, 12.5) Formación y concienciación (Req 12.6) Gestión de incidentes y análisis forense (Req 12.9) Continuidad de Negocio y Recuperación ante Desastres (Req 12.9) Relaciones con Proveedores (Req 12.8) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 19

20 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Otros requerimientos también definen aspectos necesarios a definir para gestionar PCI DSS: Desarrollar estándares de configuración para todos los componentes de PCI DSS (firewalls, routers, sistemas, aplicaciones, etc.) Desarrollar políticas de retención y eliminación de datos. Definir políticas y procedimientos para el uso de criptografía y gestión de claves. Desarrollar estándares de programación segura basados en best practices. Definir procedimientos de gestión de cambios para sistemas y aplicaciones. Definir políticas y procedimientos para gestión de cuentas de usuario y contraseñas, así como el control de acceso.... I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 20

21 Tareas a Realizar Requerimientos PCI DSS Gestión de la Seguridad Gestionar requiere además Compromiso de la Dirección Provisión de Recursos Equipos, aplicativos, personas, instalaciones, etc. Formar, educar y concienciar al personal implicado I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 21

22 Alternativas Podemos Gestionar PCI DSS dentro de un SGSI ISO27001 Cumplimiento Normativo Implementar un SGSI ISO27001 donde Alcance = PCI DSS Extensible a otros ámbitos de la organización I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 22

23 Proceso Continuo Serie de acciones sistemáticas que permite obtener resultados consistentes y repetibles I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 23

24 Proceso Continuo Ciclo PDCA I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 24

25 Proceso Continuo Planificación (PLAN) Identificación del Entorno PCI DSS Es crítico determinar cual es el entorno o ámbito al que aplica PCI DSS Identificar los puntos donde se transmite, procesa o almacena información de tarjetas y definir el entorno que debe ser protegido para cumplir con PCI DSS. Identificar todos los sistemas que puedan almacenar o procesar información de tarjetas Identificar redes por donde se transmite o sistemas, aplicaciones y personas que acceden a datos de tarjetas I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 25

26 Proceso Continuo Planificación (PLAN) Identificar Datos Sensibles y PANs En tráfico de red, bases de datos, ficheros, logs, copias en papel, etc. Utilizando expresiones regulares u otro tipo de herramientas. Validando los resultados y eliminando falsos positivos (Fórmula de Luhn MOD-10). Identificar durante cuanto tiempo se mantiene esta información Los datos sensibles no pueden almacenarse tras la autorización I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 26

27 Proceso Continuo Planificación (PLAN) Si no lo hacemos bien Identificación y eliminación INCORRECTA de datos no permitidos en todos los sistemas a los que aplica PCI DSS FALSA SENSACIÓN DE CUMPLIMIENTO - No cumplimiento real de PCI DSS Análisis del Estado Actual de Cumplimiento (Gap Analysis) Analizar los procesos de la organización en relación al uso de tarjetas. Implica la colaboración de departamentos técnicos y de negocio (financiero, medios de pago, seguridad, etc.) Realizar reuniones de trabajo para evaluar el cumplimiento de los requerimientos PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 27

28 Proceso Continuo Planificación (PLAN) Qué medidas de seguridad tenemos actualmente y como se alinean con lo que requiere PCI DSS? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 28

29 Proceso Continuo Planificación (PLAN) Definición del Plan de Acción (Remediation Plan) Identificar acciones a realizar para acotar o reducir el entorno o ámbito sobre el que debemos implementar PCI DSS. Reducir costes innecesarios de implantación y mantenimiento. Reducir el tiempo necesario para cumplir PCI DSS. Identificar acciones a realizar para cubrir los requerimientos que actualmente no se cumplen total o parcialmente Definir el calendario de cumplimiento de los hitos más importantes y del momento en que se el cumplimiento será completo. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 29

30 Proceso Continuo Planificación (PLAN) Definición del Plan de Acción (Remediation Plan) Identificar los recursos (aplicaciones, equipos, instalaciones y personas) que son necesarios para implementar y mantener el cumplimiento. Tener en cuenta los riesgos a la hora de priorizar acciones Establecer el equipo de proyecto que será necesario para implementar el plan de acción. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 30

31 Y si no puedo cumplir todo lo que me piden? No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide => Controles Compensatorios Pueden ser considerados para la mayoría de requerimientos PCI DSS Encriptación de datos Monitorización de integridad de ficheros Requerimientos sobre las contraseñas Deben cumplir: Justificación tecnológica o restricciones de negocio El mismo objetivo y fortaleza que el requerimiento original No basarse en otros requerimientos Imponer medidas adicionales de seguridad para mitigar el riesgo de no cumplir el requerimiento. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 31

32 Y si no puedo cumplir todo lo que me piden? No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide => Controles Compensatorios Nunca para el almacenamiento de datos sensibles (CVV2, Pistas, etc.) Boletín CISP de VISA con clarificaciones en referencia al Requerimiento 3.4 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 32

33 Y si no puedo cumplir todo lo que me piden? I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 33

34 Proceso Continuo Implantación (DO) Reducción del Entorno PCI DSS Acotar el entorno de cumplimiento al mínimo imprescindible Segmentar la red Reducir al mínimo donde se almacenan los datos Restringir el control de acceso Implantación del Plan de Acción Medidas Técnicas Medidas de Gestión Definición de Procesos, Estándares, Políticas y Procedimientos -> Si no está documentado NO Existe Supervisión y revisión por un QSA Aprobación por las Marcas I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 34

35 Proceso Continuo Gestión de Proveedores Identificar terceras partes Proveedores de Servicios Proveedores de hardware/software POS Pasarelas de pago Software a medida Hosting Etc. La responsabilidad final de las actividades que los proveedores realizan con los datos de tarjetas recae en el propietario. Requerir Contractualmente el Cumplimiento PCI DSS de los proveedores y realizar un seguimiento del estado. Si eres un proveedor de servicios Contacta un QSA para definir Plan de Acción para PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 35

36 Proceso Continuo Gestión de Proveedores Listado de proveedores de servicio VISA ied_service_providers_ pdf Mastercard e%20providers%20-%20november%201% pdf I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 36

37 Proceso Continuo Gestión de Incidentes En caso de compromiso, se deberá: Contactar con las marcas afectadas o entidades adquirientes según sea conveniente. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 37

38 Proceso Continuo I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 38

39 Proceso Continuo Gestión de Incidentes En caso de compromiso, se deberá: Contener y limitar las consecuencias (investigación forense) Aislar los sistemas comprometidos Identificar como ocurrió Identificar si se almacenan datos sensibles (Pistas,...) Si no podemos determinar el alcance (pistas de auditoría, etc.) deberemos reportar que todas las tarjetas pudieron ser comprometidas (mayores consecuencias económicas) Volver a recuperar el entorno dentro del cumplimiento PCI DSS Eliminar datos sensibles que pudieran estar almacenados. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 39

40 Proceso Continuo Revisión/Validación del Cumplimiento (CHECK) Revisión trimestral de Reglas del Firewall y Routers Revisión anual de la Política de Seguridad Revisión anual de riesgos Monitorización y Revisión de eventos de auditoría Formación anual en relación a la seguridad de las tarjetas Auditorías Test de Intrusion a nivel de Red y Aplicación Revisión de controles Cumplir los requerimientos de validación (según sea el caso): Auditoría de Cumplimiento Anual Formulario de autoevaluación Anual (SAQ) Escaneos de Vulnerabilidades Trimestrales ASV I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 40

41 Auditoría de Cumplimiento PCI DSS Revisión Documental Plan de Auditoría Ejecución del Plan Informe de Cumplimiento Plan de Acción Verificar que los requerimientos establecidos en PCI DSS se están cumpliendo (mediante muestreo). Tareas: Revisión documental. Preparación del Plan de Auditoría: determinación de la muestra, actividades, documentación de trabajo, etc. Ejecución de las actividades de auditoría incluyendo la evaluación de controles compensatorios. Elaboración y presentación del informe de cumplimiento. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) y posteriormente se valida que estas han sido implementadas. I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 41

42 Cuestionario de Autoevaluación Revisión del Cumplimiento Formulario de Autoevaluación Plan de Acción Elaboración del cuestionario de autoevaluación (Self-Assessment Questionnaire) para empresas que no están obligadas a realizar auditorías on-site de forma anual Evaluar el nivel de riesgo Es una buena práctica contactar con asesoramiento de un QSA Tareas: Revisión del estado de cumplimiento de los 12 requerimientos. Elaboración y presentación del cuestionario de autoevaluación. En caso necesario se definen las tareas a ejecutar para las no conformidades (plan de acción) I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 42

43 Escaneos de Vulnerabilidades ASV Ámbito de Auditoría Escaneo Informe de Resultados Cumplir el requerimiento 11.2 Asegurar que los sistemas están protegidos de amenazas externas como hackers o virus Trimestral Por una empresa certificada como ASV No intrusivo No es un Test de Intrusion Tareas: Determinación del ámbito de auditoría (rango de IPs y listado de dominios a ser escaneados). Ejecución del escaneo en las fechas programadas Elaboración del informe de resultados I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 43

44 Proceso Continuo Actuar (ACT) En base a los resultados obtenidos de: Auditorías Sistemas de Monitorización (Logs, Incidentes,...) Revisiones de la política y riesgos Identificar necesidades de actuar Corregir el no cumplimiento Prevenir incidentes Planificar e Implementar controles I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 44

45 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 45

46 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 46

47 PCI DSS vs ISO27001 I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 47

48 Resumen PCI DSS debe cumplirse Si procesas, almacenas o transmiten datos de tarjetas Independientemente de cómo debas validar el cumplimiento. Si no necesito almacenar los datos de las tarjetas, MEJOR NO HACERLO Reducimos el riesgo sobre nuestro negocio Reducimos el entorno al que aplica PCI DSS Reducimos costes I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 48

49 Resumen La implantación debe pensarse cómo un proceso continuo y no cómo una acción puntual Define procesos Asigna recursos Compromete a la dirección Monitoriza y Revisa Integra PCI DSS en la gestión de seguridad de la organización Basarlo en estándares (ISO27001) Cuenta con el apoyo de expertos Deja que te asesore un QSA Realiza auditorías con empresas ASV I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 49

50 Gracias Internet Security Auditors c/ Santander, 101. Edif. A. 2º E Barcelona Tel.: Fax: Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s Evento PCI DSS 7 de Noviembre de 2007 P. 50