Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com
Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida Quiénes deben cumplirlo? Quiénes validan el cumplimiento? Proceso recomendado de cumplimiento Estándar PCI-DSS Categorías, Requisitos y los Riesgos a mitigar Estadísticas de Cumplimiento Casos de Fraude e Incidentes con Tarjetas de Pago 2
Esfuerzos Descoordinados e individuales de cada Marca de Pago. DSP SDP AIS DSOP DISC Requeri mientos Requeri mientos Requeri mientos Requeri mientos Requeri mientos Proveedores de Servicio Service Provider Emisor Issuer Adquiriente Acquirer Comercio Merchant 3
Esfuerzos Coordinados y Administrados conjuntamente. DSP AIS SDP 2006 DSOP DISC Estándares de Seguridad y otros requerimientos Proveedores de Servicio Service Provider Emisor Issuer Adquiriente Acquirer Comercio Merchant 4
Payment Card Industry - Security Standards Council (PCI-SSC) Objetivos Proveer una única voz a nivel global sobre la industria Entrenar, testear y certificar *QSAs/ASVs/PA- QSAs/ISA y laboratorios PED Crear conciencia y dirigir la adopción de los estándares. Emitir estándares de seguridad y administrar su ciclo de vida. Fortalecer la seguridad en el manejo de cuentas de tarjetas Fomentar la participación de la comunidad. 5
PCI-SSC : Elementos para la Alineación Gestión de los estándares Entrenamiento de asesores Otorgamiento de certificaciones Declaraciones de cumplimiento DSS: Data Security Standards PA-DSS: Payment Application - Data Security Standards PTS: PIN Transaction Security QSA: Qualified Security Assessor PA-QSA: Payment Application Qualified Security Assessor ASV: Approved Scanning Vendor P2PE: Point to Point Encryption ISA: Internal Security Assessor PFI: PCI Forensic Investigator Lista de Empresas QSA aprobadas Lista de asesores QSAs aprobados Lista de PA-QSAs aprobados Lista de Aplicaciones aprobadas Lista de ASVs aprobados Lista de PTS aprobados Formularios de cumplimiento de DSS (SAQ, ROC y AOC) Formularios de cumplimiento de PA-DSS Laboratorios PTSD SAQ: Self assessment questionnarie ROC: Request of Compliance AOC: Attestation of Compliance 6
Estándares de Seguridad de Datos PCI-DSS 2006 - Octubre 2008 - Octubre 2010 - Octubre 1.2 1.1 6 2.0 Categorías 6 Categorías 12 Requisitos 252 PA-DSS 252Controles 12 Requisitos 262 262Controles 6 Categorías 12 Requisitos 290 Controles PED-DSS 1.2 2008 - Octubre 14 Requisitos 90 Controles 2.0 2010 - Octubre 13 Requisitos 152Controles 3.0 2010 - Mayo PCI-PTS 7
Ciclo de vida Ciclo de vida de 3 años Alineado a Año Calendario Incluye Etapas de Feedback 8
Actores que Intervienen Titular de tarjeta Cardholder Marca de pago Payment Brand Emisor Issuer Adquiriente Acquirer Comercio Merchant Proveedores de servicio Service provider Toda aquella persona que posee una tarjeta de crédito y débito. Organización de procesamiento que licencia a los miembros y comercios la emisión y aceptación de tarjetas de crédito respectivamente. Ej.: Visa, Mastercard, AMEX, etc. Institución financiera (miembro licenciado de una marca de pago) que mantiene contratos y emisiones de tarjetas con los tarjetahabientes. Es la responsable de la administración de las cuentas de los tarjetahabientes, y aprobar las solicitudes de autorización. Miembro de una marca de pago que mantiene relaciones y cuentas para los comercios que aceptan tarjetas de pago. Sirve como un intermediario entre los comercios y las marcas. Cualquier negocio que cumple con los estándares de calificación de una marca de pago, y que se encuentra aprobado por cualquier Adquiriente. El negocio acepta tarjetas de pago a cambio de algún bien o servicio. Negocio que no es miembro de una marca de pago o comercio que se encuentre directamente relacionado al procesamiento, almacenamiento, transmisión e intercambio de información de la transacción o del tarjetahabiente. Incluyen a las organizaciones que proveen servicios a los comercios, organizaciones que controlan o pueden impactar en la seguridad de la información del tarjetahabiente. Ej.: Procesadores, Gateway de pago, proveedores de hosting. 9
Qualified Security Assessors QSA Realiza las auditorias On Site de PCI-DSS (Comercios / Procesadores, etc) Envía el Reporte de Cumplimiento a las marcas de tarjetas PA- QSA Realiza las auditorías de aplicaciones de pago (Software, documentación y procesos) Envía los reportes de cumplimiento al PCI-SSC. Tiene que ser primero QSA para poder luego ser PA-QSA Listado oficial de QSAs y PA-QSAs: https://www.pcisecuritystandards.org/qsa_asv/find_one.shtml 10
Quienes deben cumplir? PCI-DSS Payment Card Industry Data Security Standard Data Security Standard (DSS) PA-DSS Payment Application Data Security Standard Payment Application Data Security Standard (PA-DSS) Procesadores Proveedores de Servicio servicio Comercios Software Vendors 11
Proceso Recomendado de Cumplimiento Proceso recomendado de cumplimiento Asesoramiento Gap Analysis Actividades de remediación Auditoría Escaneos de seguridad iniciales Certificación 12
ESTÁNDAR PCI - DSS 2.0
Categorías y Requisitos 1 Desarrollar y mantener una red segura Requisito 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Riesgos a mitigar Fuga de información a través de la red. Compromisos de dispositivos de comunicaciones. Intentos o Incidentes a nivel de red Proteja los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados 2 Requisito 4: Codifique la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas. Riesgos a mitigar Robo de información sensible Utilización de la información de titulares de tarjeta en fraudes. 14
Categorías y Requisitos 3 4 Desarrolle un programa de administración de vulnerabilidad Requisito 5: Utilice y actualice regularmente el software o los programas antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras Riesgos a mitigar Utilización de software malicioso como medio de compromiso de los equipos. Utilización de brechas de seguridad propias de los sistemas para el compromiso de los equipos. Plantación de código malicioso en sistemas, con distintos fines, por medio de actualizaciones o parches de seguridad no oficiales. Implemente medidas sólidas de control de acceso Requisito 7: Restrinja el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de conocer de la empresa Requisito 8: Asigne una ID única a cada persona que tenga acceso a equipos. Requisito 9: Restrinja el acceso físico a datos de titulares de tarjetas. Riesgos a mitigar Suplantación de usuarios. Ataques contra cuentas de usuario. Impersonalización de usuarios. Fuga / Robo de información a través de la aplicación, base de datos, etc. 15
Categorías y Requisitos Supervise y pruebe las redes con regularidad 5 6 Requisito 10: Rastree y supervise todo acceso a los recursos de red y datos de titulares de tarjetas. Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad. Riesgos a mitigar Presencia de troyanos, puertas traseras, etc. Fallas en las medidas de seguridad implementadas. Actividades no estipuladas en los sistemas Vulnerabilidades no identificadas. Mantenga una política de seguridad de la información Requisito 12: Mantenga una política de seguridad de la información Riesgos a mitigar Detrimento del nivel de seguridad. Errores intencionales o no en las actividades 16
Porcentajes de Cumplimiento por Requisito Porcentajes de clientes 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 2009 Verizon Data security breach (USA) CYBSEC (LATAM-SUR) 10,0% 0,0% 1 2 3 4 5 6 7 8 9 10 11 12 Requisitos 17
CASOS de FRAUDE e INCIDENTES con TARJETAS de PAGO
Clonación de Tarjetas de Pago Skimming:robo de información de tarjetas de crédito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar la tarjeta de crédito o débito para su posterior uso fraudulento. Consiste en el copiado de la banda magnética de una tarjeta (crédito, débito, etc). Robo de Datos de Titulares de Tarjetas En el caso de los cajeros automáticos, se coloca un dispositivo por sobre la ranura para tarjetas, que lee la información de la banda magnética, del ATM y la copia para su uso posterior. Estos dispositivos a menudo se utilizan en combinación con una microcámara, que graba el código de seguridad del usuario, o un falso teclado. 19
Incidentes de Phishing Robo de Datos de Titulares de Tarjetas 20
Ultimas Noticias en el ámbito de las Tarjetas Robo de Datos de Titulares de Tarjetas 21
Ultimas Noticias en el ámbito de las Tarjetas Robo de Datos de Titulares de Tarjetas Las nuevas tarjetas inteligentes tienen un chip integrado o microcircuito que permiten no sólo almacenar una mayor cantidad de información, sino generar y validar datos dinámicos, aumentando así la seguridad de las transacciones. 22
Conclusiones PCI DSS cumplió 6 años y se afianza fuertemente su implementación. La certificación PCI-DSS forma parte de un proceso continuo, como lo es la Seguridad de la Información. Robo de Datos de Titulares de Tarjetas Certificar PCI-DSS no es un Proyecto de Tecnología o de Seguridad Informática, sino que es un proyecto del área de negocios y que debe involucrar a TODA la Organización. 23
ALGUNA PREGUNTA? Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com