Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Transcripción

1 texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE DESARROLLO NEGOCIO MM.PP. WINCOR-NIXDORF 1

2 texto del Segundo I nivel II Indice Guía de Implementación Integración de la Seguridad en el ciclo de vida del Software III Laboratorio de Pruebas PCI DSS Compliant 2 2

3 título Resultado del final del proceso de desarrollo seguro de una aplicación que Haga gestiona clic datos para de modificar tarjeta. el estilo de texto del Explica cómo instalar la aplicación de forma segura a: Clientes Distribuidores Integradores. La Guía de Implementación Describe la forma en la que el administrador del sistema debe activar y configurar los parámetros de seguridad de los distintos componentes para que la aplicación funcione correctamente en un entorno PCI DSS. 3 3

4 La V2.0 de PA DSS, da a la Guía de Implementación mayor Haga relevancia, clic para modificar exigiendo explicar el estilo los de mecanismos texto del de seguridad a implementar de forma más extensa y explícita. La Guía de Implementación Tener Tercer una aplicación nivel certificada PA DSS, no exime al cliente de que su entorno cumpla con PCI DSS. Se entiende mejor la Guía de Implementación si se ha hecho previamente la preparación del entorno donde la aplicación va a instalarse. 4 4

5 título La preparación del de una guía clara y concisa, no siendo sólo un manual de instalación, debe tener en cuenta aspectos texto del tales como: Configuración segura de firewalls/routers. Configuración segura de tecnología inalámbrica. Diseño de red. Política segura de asignación de usuarios y contraseñas. Configuración de acceso remoto. Requisitos mínimos del administrador de base de datos para instalar la aplicación. Gestión de claves criptográficas. Borrado seguro de datos. Activación de pistas de auditoría. Integración de registros en plataformas de control de logs. Gestión de actualizaciones. La Guía de Implementación 5 5

6 título Los puntos del de PA DSS que la Guía de Implementación cubre Haga son: clic para modificar el estilo de texto del Req. 01: No retenga toda la banda magnética, el código de validación de la La Guía de Implementación tarjeta ni el valor (CAV2, CID, CVC2, CVV2) ni los datos de bloqueo del PIN. Req. 02: Proteja los datos del titular de la tarjeta que fueron almacenados. Req. 03: Provea las funciones de autenticación segura. Req. 04: Registre la actividad de la aplicación de pago. Req. 05: Desarrolle aplicaciones de pago seguras. Req. 06: Proteja las transmisiones inalámbricas. Req. 09: No almacene los datos de titulares de tarjetas en un servidor conectado a Internet. Req. 10: Facilite actualizaciones de software remotas y seguras. Req. 11: Facilite un acceso remoto seguro a la aplicación de pago. Req. 12: Cifre el tráfico sensible en las redes públicas. 6 6

7 Seguridad en el ciclo de vida del Software texto del relativos a la seguridad informática. Generalmente el software es el origen más común de los problemas Un hacker no crea agujeros en la seguridad, sólo los explota. Las causas Tercer reales nivel de los problemas son el resultado de un mal diseño y una mala implantación del software. Si el software no se comporta adecuadamente, surgirán problemas de: Fiabilidad. Disponibilidad. Criticidad. Seguridad. 7 7

8 Seguridad en el ciclo de vida del Software La Haga seguridad clic para es una modificar característica el estilo que puede texto añadirse del a un sistema existente? Es Segundo una propiedad nivel estática del software que permanece inmutable Tercer en nivel cualquier entorno en que este se utilice? NO: LA SEGURIDAD NO ES UNA CARACTERÍSTICA QUE PUEDA AÑADIRSE AL SISTEMA EN CUALQUIER MOMENTO. REQUIERE UNA PLANIFICACIÓN PREVIA, UN DISEÑO CUIDADOSO Y DEPENDE DE CADA ENTORNO EN PARTICULAR 8 8

9 Seguridad en el ciclo de vida del Software texto del Lo que Wincor-Nixdorf persigue en su ciclo de desarrollo es: Procesos Tercer adecuados. nivel Ciclo de vida seguro del software. Plan de calidad. 9 9

10 Seguridad en el ciclo de vida del Software Ciclo Haga de Vida clic para de Desarrollo modificar de el Software estilo de Tradicional texto del Segundo Definición nivel y Desarrollo Diseño Despliegue Mantenimiento y Operación Revisión de la Seguridad. Aprobación de la Seguridad. Mantenimiento Correctivo. Liberación de Parches. Gestión de Incidencias

11 Seguridad en el ciclo de vida del Software Ciclo Haga de Vida clic para de Desarrollo modificar de el Software estilo de Seguro texto del Definición y Tercer nivel Desarrollo Diseño Despliegue Mantenimiento y Operación SEGURIDAD A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios

12 Seguridad en el ciclo de vida del Software texto del Ámbito de actuación: Identificación de las áreas de seguridad de la aplicación. Consideraciones de seguridad respecto en el diseño. Definición Y Diseño Requisitos funcionales de seguridad. Aspectos a tener Cuarto en cuenta: nivel Desarrollo Despliegue Mantenimiento Y Operación Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc. Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc. Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc. Consideraciones en la Capa de Seguridad: autenticación y autorización, validación de datos, tratamiento de errores y excepciones, etc

13 Seguridad en el ciclo de vida del Software Diseño Operació texto del n Es una fase muy crítica ya que en esta fase aparecen un mayor número de fallos de seguridad. Definición y Desarrol lo Despliegu e Manteni miento Y Para Tercer realizar nivel una codificación segura es necesario conocer Cuarto las amenazas nivel con las que nos podemos encontrar y las buenas practicas para minimizarlas: Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc. Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc

14 Seguridad en el ciclo de vida del Software Desarrollo Despliegue Diseño Operación texto del En esta fase, la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante distintas actuaciones Segundo (comprobación nivel de requisitos, análisis del diseño, revisión del código, etc.). Actuaciones clave: Definición Y Mantenimiento Y Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de las actuaciones realizadas y detectar posibles vulnerabilidades que no hayan sido contempladas anteriormente. Comprobación de la Gestión de Configuraciones: Es necesario verificar cómo se han implementado y securizado los distintos componentes de la infraestructura

15 Seguridad en el ciclo de vida del Software Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación texto del Tras la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido: Revisiones de la Gestión Operativa: Debe existir procedimientos que detallen como es gestionada Cuarto nivel la explotación de la aplicación y su infraestructura. Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deberán realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura. Asegurar la Verificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado al nivel de seguridad de la aplicación y su infraestructura. Se deben seguir los procedimientos de gestión de incidencias y gestión de vulnerabilidades que permitan dar un soporte adecuado a los clientes de la aplicación

16 Laboratorio de Pruebas PCI Compliant Para Haga verificar clic para que modificar la aplicación el estilo funciona de texto de del manera segura, y que va a permitir la correcta comunicación con agentes Segundo externos, nivel se debe probar la aplicación en un entorno Tercer que nivel sea PCI Compliant. La idea es reproducir un entorno que simule el uso real de la aplicación de pago. Eso significa que previo a la auditoría de certificación o recertificación se comprobará que los componentes del laboratorio de pruebas cumplen con los requerimientos PCI DSS

17 Laboratorio de Pruebas PCI Compliant El Haga laboratorio clic para no modificar tiene porque el estilo simular de en texto complejidad del todas las posibles arquitecturas imaginables. Es un diseño estándar donde se incluyen los elementos básicos Tercer para nivel que la aplicación funcione (firewall, servidor de aplicación, etc.). base de datos, cliente, antivirus, TPV, El valor añadido que le da PA DSS al entorno de pruebas, es que, además de probar la funcionalidad y las medidas de seguridad de la implantación, garantiza que la aplicación funciona correctamente sin elementos o configuraciones inseguros

18 Laboratorio de Pruebas PCI Compliant El Haga laboratorio clic para debe modificar disponer de el estilo las máquinas de texto necesarias del para que se puedan probar todos los posibles entornos que admite la aplicación. Los puntos clave que se tienen en cuenta al diseñar el laboratorio Cuarto de pruebas nivel PCI DSS compliant son: Configuraciones de Seguridad: Se definen parámetros de seguridad de los sistemas como: Política de contraseñas. Asignación de derechos de acceso. Activación de pistas de auditoría. Utilización de puertos, servicios y protocolos seguros

19 Laboratorio de Pruebas PCI Compliant texto del Políticas IPSec: Configuraciones de los servicios IPSec para autenticar o cifrar el tráfico de red garantizando una comunicación segura. Tecnologías WiFi: Se definen los parámetros de seguridad que aseguren el uso de dispositivos inalámbricos: Protocolos aceptados. Dispositivos aceptados. Configuraciones permitidas. Ubicaciones desde donde se pueden utilizar tecnologías inalámbricas. Restricción de Software: Se debe instalar el mínimo software imprescindible para que la aplicación funcione

20 Laboratorio de Pruebas PCI Compliant Haga Gestión clic para de modificar Claves el estilo de texto del Criptográficas: Se debe definir un proceso de vida seguro de la generación, distribución, destrucción e instalación de componentes Cuarto criptográficos. nivel Conexión con Redes No Confiables: Cualquier conexión entre el laboratorio y una red no segura dispondrá de un firewall que restrinja el tráfico

21 texto del PREGUNTAS 21