2018 <SISTESEG CONSULTING> Versión 1.0 METODOLOGIA PARA REALIZAR EL ANÁLISIS GAP PCI DSS (INFORMATION QUALITY)

Documentos relacionados
2018 <SISTESEG CONSULTING> Versión 1.0 METODOLOGIA PARA REALIZAR EL ANÁLISIS GAP DE ISO 22301:2012 (CONTINUIDAD DEL NEGOCIO)

Dirección General de Tecnologías de la Información (DGTI)

Un nuevo enfoque para la seguridad de la información

Requisitos de Seguridad para el Desarrollo y/o adquisición de aplicaciones.

PROGRAMA ESPECÍFICO DOCUMENTOS VITALES

Catedrático: Lic. Angélica Avalos Cano

Política del Sistema de Gestión Integrado

Requisitos de Seguridad para el Desarrollo y/o adquisición de aplicaciones.

Política del Sistema de Gestión Integrado

Santiago, 11 de Julio de 2012 ECh/1161/2012. Señores AGUAS CHAÑAR S.A. P r e s e n t e. At.: Sr. Víctor Valenzuela Ruz

La norma PCI DSS 1. Versión 3.21: Definición de su objetivo y alcance. PCI DSS Versión Revisado por IQ Information Quality Bogota-Colombia

S GESTIÓN DE SERVICIOS INTESIS

DIPLOMADO VIRTUAL EN SISTEMAS INTEGRADOS DE GESTIÓN HSEQ

Conceptos generales de la Administración de Servicios TICs

Soluciones en Informática del Noroeste S.A. de C.V.

Gestión de Configuración

Análisis de la Experiencia de Clientes

Política de Calidad y Seguridad Vial

CONTENIDO A QUIÉN ESTÁ DIRIGIDO?... 3 JUSTIFICACIÓN... 3 OBJETIVOS GENERALES... 4 COMPETENCIAS... 4 METODOLOGÍA... 4 CONTENIDO...

1.1 INSTRUCTIVO GUÍA DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO

MANUAL DE PROCEDIMIENTOS - MAPRO CODIGO: MDP Área de Desarrollo. Área de Riesgos. Área de Administración. Área Negocios.

Conceptos fundamentales de los sistemas de información

Informe de revisión del sistema por la Dirección (Informe de resultados anual del centro) (protocolo para su elaboración)

Soportando y Auditando la Gestión de la Continuidad del Negocio (BCM)

Procedimiento de Acceso a Áreas Restringidas UNIVERSIDAD VERACRUZANA SGSI-SFA-P-O 12. .'hln

Buenas prácticas para la puesta en marcha en una universidad

ApunteVirtual.COM. ESTUDIO ORGANIZACIONAL PREPARACIÓN Y EVALUACIÓN DE PROYECTOS ACTIVIDAD DE PROYECTO Nro. 6

TEMARIO 5 Proceso contable. Sesión 5. Sistematización de la Contabilidad

CURSO EN GESTIÓN DEL RIESGO ISO Y CONTINUIDAD DEL NEGOCIO BCP

CMM - CMMI MÁXIMO ESTÁNDAR EN INGENIERÍA DE SOFTWARE CAPABILITY MATURITY MODEL MODELO DE MADUREZ DE CAPACIDAD

DIPLOMADO VIRTUAL EN SISTEMAS INTEGRADOS DE GESTIÓN HSEQ

ESTRUCTURA RECOMENDADA PARA EL DOCUMENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 VERSIÓN 1.0

ESTABLECE REQUERIMIENTOS PARA LA PRESTACION DEL SERVICIO DE CUSTODIA DE VALORES DE TERCEROS.

Política de Compras. Área Gestión de Recursos

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER PROGRAMA DE INGENEIRIA DE SISTEMAS ANÁLISIS Y DISEÑO DE SISTEMAS. Enfoques para Modelado del Negocio

DURO FELGUERA, S.A. - Políticas Corporativas. Política General de Control y Gestión de Riesgos

ISO :2014 Metadatos Parte 1: Fundamentos

Las herramientas y servicios varían tal y como se detalla a continuación:

INFORME EJECUTIVO PLAN DIRECTOR DE SEGURIDAD PARA EL GRUPO ASD

Las competencias profesionales desarrolladas durante la Gerencia de Proyectos en Ingeniería son:

Alcance del proyecto Versión 1.0

Plan de Seguridad Informática para una Entidad Financiera. Córdova Rodríguez, Norma Edith. INTRODUCCIÓN

ANEXO 5 CÓDIGO DE CONDUCTA Y ÉTICA PREVENCIÓN DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO LA/FT

En concreto, los principales espacios dedicados específicamente a estos fines son:

Solicitudes de alta CJAP Requisitos e información necesaria. Sevilla, Abril de 2008 Versión 2.1

Procedimiento de Gestión de Riesgos

Sobre el proyecto de orden ministerial por la que se regula el préstamo de valores.

5. PERFIL DINAMIZADOR DE LAS TIC EN EL CENTRO 5.1 Descripción y objetivos

3 de febrero de o o o o o o o o

PROCEDIMIENTO PARA ACCIONES CORRECTIVAS Y PREVENTIVAS

Documento k Capacitación en el uso de las herramientas de administración, diagnostico y soporte remoto centralizadas.

NORMA BASICA PARA LA CREACION Y ELABORACION DE DOCUMENTOS DEL SISTEMA INTEGRADO DE GESTIÓN DE CALIDAD

Visual Technologies Integrated

TERMINOS REFERENCIA 1. ANTECEDENTES Y JUSTIFICACIÓN

Transparencia y Calidad de Información en la Oferta Pública de Valores

CPR010. SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2000

Procedimiento de Gestión de Riesgos

Gobierno Corporativo Post La Polar

PROPUESTA TÉCNICA Y ECONÓMICA PARA EL DISEÑO, DESARROLLO Y CERTIFICACIÓN DOCUMENTAL DE UN SISTEMA DE GESTIÓN DE CALIDAD PARA MIPYME S ISO

PÚBLICO. C/Ebanistas, nº 4, Pol. Ind. Urtinsa, Alcorcón (Madrid)

La necesidad de rediseñar y mejorar con uso de TIC los procesos de provisión de productos estratégicos.

CURSO 2018/2019. AUDITORIA Y GOBIERNO EN SERVICIOS TECNOLÓGICOS. CISA y COBIT. Máster en DIRECCIÓN EN TECNOLOGÍA. A distancia

POLÍTICA DE COMUNICACIONES DIRIGIDAS A ALUMNOS, APODERADOS, DOCENTES Y EGRESADOS

POLÍTICA SISTEMA DE GESTIÓN INTEGRAL DE RIESGO. FIN-PC-64 1 Responsable VICEPRESIDENCIA FINANCIERA Vigente desde Tipo de Política Febrero 2014

CIRCULAR ESTUDIANTES PROGRAMA DE ADMINISTRACIÓN DE EMPRESAS REQUISITOS PARA EL PROCESO DE INSCRIPCIÓN DE LA PRÁCTICA

La norma ISO/IEC Finalidad y contenido

ACCIONES CORRECTIVAS Y PREVENTIVAS

Objetivos y Temario CURSO ITIL 2011

Política del Sistema de Gestión Integrado

Servicio de Atención Telefónica y Telemática al Ciudadano del Instituto Nacional de la Seguridad Social. Cumplimiento de la Ley 11/2007

Sistema Nacional de Fiscalización Proyecto de Plataforma Virtual del Sistema Nacional de Fiscalización 27 de octubre de 2015

Normas Internacionales de Auditoría Interna

Dirección General de Tecnologías de la Información (DGTI)

PLIEGO DE PRESCRIPCIONES TÉCNICAS

TERMINOS REFERENCIA 1. ANTECEDENTES Y JUSTIFICACIÓN

Requerimientos funcionales para la certificación de recepción de los documentos digitales y su consulta:

SERVICIOS DE INGENIERÍA DE MANTENIMIENTO

El Plan de Mercadotecnia

ITSM SOFTWARE. ProactivaNET

CAPITULO N 8. Medición, Análisis y Mejora. (Mejora Continua)

Manual de Ecodiseño InEDIC

Autorizó. M.C. Juan Manuel Cantú Vázquez Director General de Educación Superior Tecnológica

Instituto de Seguridad Social Seguros y Préstamos

Economía de la Información y Documentación

Curso de Especialización en Microsoft Dynamics NAV

Necesitas un Sistema de Gestión (ERP) para tu empresa?

Recurso Humano Componente Gestión Documental

Arquitectura de Software

Procedimiento de Gestión de Riesgos

Centro de Innovación (C1NN) CARTA DE SERVICIOS

POLÍTICA DE GESTIÓN Y CONTROL DEL RIESGO DEL GRUPO MASMOVIL

Lectura Nº 8. Sistema de Presupuesto Público

PROGRAMA ESPECÍFICO DOCUMENTOS ESPECIALES

MEMORIA GESTIÓN ENERGÉTICA EN TIEMPO REAL DE CENTROS EDUCATIVOS

Procedimiento: Diseño gráfico y reproducción de medios impresos y/o digitales Revisión No. 00 Fecha: 06/10/08

Transcripción:

2018 <SISTESEG CONSULTING> Versión 1.0 METODOLOGIA PARA REALIZAR EL ANÁLISIS GAP PCI DSS (INFORMATION QUALITY)

Histria CONTROL DOCUMENTAL Versión Autr Tip de Revisión Descripción Aprbad pr Fecha 1.0 IQ Creación Pryect Distribución Cpia Destinatari Destin / Dirección Original IQ Cpia IQ Referencias Ref. Dcument ítem referenciad Cntrl de Acces Sección Td Dispnibilidad

TABLA DE CONTENIDO 1 INTRODUCCION... 5 2 OBJETIVOS... 5 2.1 Objetiv general... 5 2.2 Objetiv Específics... 5 3 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACION... 5 4 LA NORMA PCI DSS... 6 5 MODELO DE SEGURIDAD RECOMENDADO PARA PCI DSS... 7 6 ALCANCE DEL GAP PCI DSS... 8 7 CONCEPTOS FUNDAMENTALES DEL GAP... 8 8 GLOSARIO... 10 9 BIBLIOGRAFÍA... 12

LISTADO DE ILUSTRACIONES Ilustración 1. Objetivs de la Seguridad de la Infrmación... 6 Ilustración 2. Cmpnentes del mdel PCI DSS.... 7 Ilustración 1. Cmpnentes del alcance del GAP PCI DSS.... 8 Ilustración 4. Seguridad en PCI DSS.... 9 LISTADO DE TABLAS Tabla 1. Dminis de la nrma PCI DSS... 9

1 INTRODUCCION La seguridad de la infrmación debe ser un cmpnente crític dentr de la estrategia de seguridad de la infrmación. El análisis de brecha es recmendable realizarl para iniciar el establecimient de un Sistema de Gestión de la Seguridad de la Infrmación (SGSI), ya que este análisis permite cncer el nivel de madurez cn que se cuenta, para lueg, prpner un plan de acción para la futura implementación del mdel de seguridad en una rganización. 2 OBJETIVOS 2.1 Objetiv general Presentar la metdlgía recmendada cn respect a la nrma PCI DSS V 3.21 cn el fin de cmprender el estad de madurez de la seguridad de la infrmación. 2.2 Objetiv Específics Detallar la metdlgía recmendada para: 1. Estimar Nivel de madurez pr dminis 2. Estimar Nivel de madurez pr cntrl 3. Ayudar en el mejramient de la prtección y seguridad de ls dats de tarjetahabiente 4. Entender la situación actual en l relacinad al cumplimient PCI 5. Identificar las debilidades en ls sistemas cmpnentes que cnfrman la infraestructura de la rganización 6. Estimar el grad general de madurez anterir al prces de certificación 7. Cntar cn recmendacines para la implementación de ls requerimients y sub- requerimients faltantes 8. Facilitar la realización de un plan de remediación 3 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACION Ls bjetivs sn el sprte de la visión, la misión y la estrategia de la entidad desde el punt de vista de la seguridad de la infrmación. Ests se expnen a cntinuación:

Cnfidencialidad Objetivs Integridad Dispnibilidad Ilustración 1. Objetivs de la Seguridad de la Infrmación La infrmación (ls dats de tarjetahabiente) es un de ls activs más imprtantes de tda entidad, pr l tant, se espera que sea utilizada acrde cn ls requerimients y la clasificación definida pr la entidad. La cnfidencialidad de la infrmación de la entidad y de terceras partes debe ser mantenida y preservada. La infrmación de la entidad debe preservar su integridad independientemente de su residencia tempral permanente, la frma en que sea transmitida. La infrmación sensible (dats de tarjetahabiente) debe ser prtegida durante la transmisión, el almacenamient y el prcesamient (PCI DSS). 4 LA NORMA PCI DSS La nrma PCI DSS (Payment Card Industry Data Security Standard) fue desarrllada pr un cnjunt de cmpañías de tarjetas de débit y crédit en el añ 2006 entre las que figuran: America Express, Discver, JCB, Mastercard y VISA. Esta nrma prcura que las rganizacines que prcesan, almacenan y/ transmiten dats de tarjetahabientes prtejan esta infrmación cn el fin de evitar fugas que invlucren divulgación de infrmación sensible. Este tip de fugas pdría afectar td el ecsistema de tarjetas de pag incluyend clientes, cmercis e institucines financieras. Estas entidades pierden credibilidad cm cnsecuencias de fugas de infrmación y quedarían expuestas a numersas demandas ecnómicas. Ls beneficis asciads de mantener el cumplimient de PCI sn fundamentales para el éxit a larg plaz de las entidades que prcesan pags cn tarjeta. El cumplimient invlucra la identificación cntinua de

amenazas y vulnerabilidades que pdrían ptencialmente afectar a dichas rganizacines. La mayría de empresas nunca se recuperan ttalmente de una infracción fuga de sus dats ya que la pérdida el impact es mayr que ls dats en sí misms. Seguir la nrma PCI es una gran prtunidad para ls negcis. Pr medi de ella se lgra asegurar la salud y cnfianza en las transaccines de pag para cients de millnes de persnas en el mund que utilizan sus tarjetas día tras día. Las cmpañías autrizadas pr el Cncili (PCI SSC) para realizar la validación de cumplimient de la nrma PCI DSS se cncen cm QSA (Qualified Security Assessr), las cuales deben cumplir una serie de requisits cm empresa y sus ingeniers sn entrenads directamente pr esta asciación. La nrma PCI es una de las nrmas más exigentes a nivel mundial en l relacinad cn la prtección de la infrmación sensible debid al énfasis que ella pne en ls cntrles de tip tecnlógics y la rigursidad que exige en el prces de evaluación para trgar la certificación de cumplimient. 5 MODELO DE SEGURIDAD RECOMENDADO PARA PCI DSS En el ámbit de la seguridad de la infrmación de PCI DSS, ls cmpnentes del mdel de seguridad se ubican en diferentes niveles de acuerd a su imprtancia. Este mdel permite la implementación efectiva y eficiente de la nrma. Pr esta razón se sugiere su utilización en cmercis, pasarelas de pag e institucines financieras para la mejra cntinua de la seguridad de la infrmación: Objetivs Plíticas Prcedimients Estándares de cnfiguración Guías de hardening Listas de verificación Frmats Manuales de instalación Ilustración 2. Cmpnentes del mdel PCI DSS.

6 ALCANCE DEL GAP PCI DSS El alcance de las actividades del GAP cnsidera ls cmpnentes (hardware y sftware, prcedimients, estándares de cnfiguración, persnas, tecnlgías, prcess, entre trs) definids en el alcance según ls lineamients estipulads pr PCI DSS V.3.21: The PCI DSS security requirements apply t all systems cmpnents included in r cnnected t the cardhlder data envirnment. The cardhlder data envirnment (CDE) is cmprised f peple, prcesses and technlgies that stre, prcess, r transmit cardhlder data r sensitive authenticatin data (PCI DSS 3.21, p. 10). Persnas CDE Tecnlgía Prcess Ilustración 3. Cmpnentes del alcance del GAP PCI DSS. 7 CONCEPTOS FUNDAMENTALES DEL GAP El cuidad de la infrmación es imprtante para el funcinamient para que las rganizacines lgren la cnsecución de su misión. Cntar cn una serie de cntrles para mitigar el riesg según PCI DSS V 3.21 ayuda a gestinar y prteger la infrmación. El marc teóric prpi de este dcument está basad cn la nrma PCI DSS V 3.21 y el Mdel de Seguridad y Privacidad de la Infrmación V.3.0.2 MPSI de la Estrategia de Gbiern en Línea GEL y la nrma ISO 27032:2009. Estas recmendacines se establecen para cntar cn una guía para el establecimient, implementación, peración, seguimient, revisión y mejra de un (SGSI).

Tabla 1. Dminis de la nrma PCI DSS Transmisión PCI DSS Almacenamient Prcesamient Ilustración 4. Seguridad en PCI DSS.

8 GLOSARIO Actividades críticas: Operacines críticas y/ actividades que sprtan ls bjetivs de la Entidad. Activ: Cualquier csa que tenga valr para la rganización. Activs de infrmación: Es td activ que cntenga infrmación, la cual psee un valr y es necesaria para realizar ls prcess del negci, servici y sprte. Se pueden clasificar de la siguiente manera: Persnas: Incluyend sus calificacines, cmpetencias y experiencia. Intangibles: Ideas, cncimient, cnversacines. Electrónics: Bases de dats, archivs, registrs de auditria, aplicacines, herramientas de desarrll y utilidades. Físics: Dcuments impress, manuscrits y hardware. Servicis: Servicis cmputacinales y de cmunicacines. Análisis de riesg: Us sistemátic de la infrmación para identificar las fuentes y estimar el riesg Área IT: Es el área encargada de sprtar, diseñar y mantener ls activs electrónics y el hardware prpiedad de la Entidad. Cnfidencialidad: Prpiedad que determina la cndición de que la infrmación n esté dispnible ni sea revelada a individus, entidades prcess n autrizads. Cntratistas: Entenderems pr cntratista aquella persna natural jurídica que ha celebrad un cntrat de prestación de servicis prducts cn una Entidad. Custdi: Encargad de prteger la infrmación pr delegación del prpietari. Generalmente este rl es ejecutad pr el Área IT. Dispnibilidad: Prpiedad de que la infrmación sea accesible y utilizable pr slicitud de una Entidad autrizada. Estándares: Un prduct mecanism especific el cual es seleccinad desde un punt de vista universal, para su us a l larg de tda la rganización, cn el bjetiv fundamental de sprtar una plítica ya aceptada y aprbada pr las directivas de la Entidad. Falla: Dañ afectación de un dispsitiv pr un perid determinad

Incidente: Un event una serie de events n deseads inesperads que tienen una psibilidad significativa de cmprmeter las peracines del servici y amenazar la cntinuidad del Sistema. Infrmación: Entendems pr INFORMACIÓN cualquier manifestación (ya sea visual, auditiva, escrita, electrónica, óptica, magnética, táctil...) de un cnjunt de cncimients. Pr ejempl: Una nticia que escuchams pr la radi. Una señal de tráfic que advierte un peligr. La infrmación se representa mediante cnjunts de símbls, que pueden ser de diferente naturaleza: Textuales numérics, cm las letras y númers que usams al escribir. Snrs, cm ls fnemas, las ntas musicales... Crmátics, cm ls clres de ls semáfrs. Integridad: Prpiedad de salvaguardar la exactitud y estad cmplet de ls activs. Lista de verificación: Herramienta para recrdar y/ validar que tareas tienen que ser cumplidas y que recurss están dispnibles en una etapa de recuperación. Prcedimients: Ls prcedimients cnstituyen la descripción detallada de la manera cm se implanta una plítica. Prpietari: Es el respnsable y dueñ del activ de infrmación. Define también sus niveles de clasificación. Seguridad de la infrmación: Preservación de la cnfidencialidad, integridad y dispnibilidad de la infrmación. SGSI: Sistema de Gestión de la Seguridad de la Infrmación.

9 BIBLIOGRAFÍA Business Cntinuity Institute (2013) Gd Practice Guidelines: A guide t glbal gd practice in business cntinuity, Business Cntinuity Institute, Caversham. ISO 22301 (2012) Scietal security Business cntinuity management systems Requirements ISO 27001:2013 Infrmatin security. PCI DSS V 3.21

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback