PCI Day Today PCI DSS. WebSphere DataPower IBM Corporation

Transcripción

1 PCI DSS WebSphere DataPower

2 AGENDA Necesidades DataPower y PCI Demo Línea de productos

3 LO QUE BUSCAN LOS EJECUTIVOS Flexibilidad crecer mas rápido Eficacia gastar menos Capacidad de Reacción aumentar la satisfacción del cliente Seguridad garantizar la seguridad

4 AGENDA Necesidades DataPower y PCI Demo Línea de productos

5 DATAPOWER & PCI DSS SOLUCION COMPLETA Desarrollar y Mantener una Red Segura Requerimiento 1: Instalar y mantener un Firewall que proteja los datos del Tarjetahabiente. PARTE DE LA SOLUCION Requerimiento 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los suppliers. Proteger los Datos de los Tarjetahabientes Requerimiento 3: Proteger los datos de los Tarjetahabientes que estén almacenados. Requerimiento 4: Encriptación de los datos de los Tarjetahabientes e información confidencial transmitida a través de redes públicas abiertas. Mantener un Programa de Manejo de Vulnerabilidad Requerimiento 5: Usar y actualizar regularmente el software antivirus. Requerimiento 6: Desarrollar y mantener sistemas y aplicaciones seguras.

6 DATAPOWER & PCI DSS SOLUCION COMPLETA Implementar Medidas Sólidas de Control de Acceso PARTE DE LA SOLUCION Requerimiento 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información. Requerimiento 8: Asignar una identificación única a cada persona que tenga acceso a una PC. Requerimiento 9: Restringir el acceso físico a los datos de los Tarjetahabientes. Monitorear y Probar Regularmente las Redes Requerimiento 10: Rastrear y monitorear todo el acceso a los recursos de la red y datos de los Tarjetahabientes. Requerimiento 11: Probar regularmente los sistemas y procesos de seguridad. Mantener una Política de Seguridad de la Información Requerimiento 12: Mantener una política que contemple la seguridad de la información.

7 FUNCIONES CLAVE PARA EL CUMPLIMIENTO DE PCI Web Services (XML): Filtro en cualquier contenido, metadata o variables de red. Web Application Firewall: Filtros del Protocolo HTTP, protección contra amenazas, manejo de Cookies. Validación de Datos: Aprobar entrada /salida de tráfico Web, Web Services, XML en wirespeed. Niveles de Seguridad: WS-Security, encriptación y firmas digitales. Encriptación en la capa de transporte: HTTP, HTTPS, SSL. Protection Anti Virus: Control de virus en mensajes y archivos adjuntos; se integra con el control de virus de las empresas de software a través de protocolo ICAP. Control de Accesos de Web Services XML /AAA - SAML, LDAP, RADIUS, etc. Administración y Logging: Administrar y track de servicios, logging de todas las actividades, auditoría. Administración de Políticas de Seguridad: Las políticas de seguridad por múltiples soluciones de software facilita el proceso de certificación de PCI. Fácil Configuración y Administración: WebGUI, CLI, IDE y configuración de Eclipse para hacer frente a las necesidades de la organización (Arquitectos, Desarrolladores, Operadores de Redes, Seguridad).

8 AGENDA Necesidades DataPower y PCI Demo Línea de productos

9

10 FLUJO 1 2 El cliente envía la petición en un XML depositándolo en una cola MQ, o mandándolo a través de un WebService, o mediante el protocolo que considere conveniente. DataPower recibe el mensaje y lo envía a un servidor LDAP para autenticar al cliente y autorizarlo a acceder a los recursos solicitados. 3 El servidor LDAP determina la autenticación y autorización del cliente y envía estos datos a DataPower. 4 DataPower envía el mensaje a un servidor de datos financiero, quien realizará la aprobación o el rechazo del crédito solicitado. 5 El servidor de datos financieros responde con un mensaje donde envía la respuesta a la solicitud de crédito hacia DataPower. 6 DataPower envía la respuesta recibida del servidor de datos financieros hacia el cliente que la solicitó.

11 AGENDA Necesidades DataPower y PCI Demo Línea de productos

12 XS40 XML SECURITY GATEWAY Proporcionar Seguridad a SOA: A velocidad de cable. Encriptación XML y Firmas Digitales: Interoperable con WS-Security. Control de Aceso a Aplicaciones: Via SAML, XACML, WS-Security, LDAP. Validación de documentos XML: Protege contra ataques XML Denial-of- Service. Fácil Integración: Compatible con múltiples dispositivos de seguridad. Rendimiento: No hay que elegir entre seguridad y velocidad. Facilidad de Instalación.

13 X150 INTEGRATION APPLIANCE Dispositivo de Alta Velocidad: Para integración de aplicaciones. Dispositivo Hardware: Dispositivo fácil de instalar capaz de proteger múltiples aplicaciones. Transformaciones a Velocidad de Cable: Soporta varias aplicaciones concurrentemente. Seguridad: Mecanismos de seguridad dentro del dispositivo, protección de múltiples amenazas. Actúa como un Proxy. Transparente: Para la infraestructura de red. Puenteo entre múltiples protocolos. Acelerador: Velocidad de procesamiento.

14 Gracias por su Atención PREGUNTAS?? México. Argentina. Brasil. España Raúl Garduño WebSphere Integration Specialist +52 (55)