PCI:DSS MÁS QUE UNA CERTIFICACIÓN, UN APOYO EN TU ESTRATEGIA DE CIBERSEGURIDAD
The information provided in this document is the property of S21sec, and any modification or use of all or part of the content of this document without the express written consent of S21sec is strictly prohibited. Failure to reply to a request for consent shall in no case be understood as tacit authorisation for the use thereof. Grupo S21sec Gestión, S.A.
[ocruz@s21sec.com] whoiam PCI DSS QSA Omar Cruz SLIDE 3
FRAUDES EN INDUSTRIA DE PAGO CON TARJETAS Venta de datos de tarjetas y autenticación que son vendidos en bloque a otros criminales que realizan sus propios fraudes con ellas Capturas de datos de tarjetas en transacciones no presenciales como e-commerce (42% de fraude) o compras por email o teléfono (MO/TO). El skimmed o camuflaje de lectores de tarjetas en transacciones presenciales o cajeros (ATM) (40% fraude en POS) SLIDE 5
SLIDE 6 SECTORES MÁS ATACADOS 2016
MULTAS DESDE 150K USD 10-15 USD x PAN
CONOZCAMOS UN POCO SOBRE PCI SSC Y PCI DSS
OVERVIEW: PCI Security Standards Council Foro mundial abierto destinado a la formulación, la mejora, el almacenamiento, la difusión y la aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. SLIDE 9
OVERVIEW: QUÉ ES PCI-DSS? El PCI - DSS define un conjunto de requerimientos para gestionar la seguridad y medidas de protección de los sistemas y recursos que intervienen en el tratamiento, procesamiento o almacenamiento de información de tarjetas de pago. Su finalidad es la reducción del fraude relacionado con las tarjetas de pago e incrementar la seguridad de estos datos para proteger la industria de pagos con tarjeta. SLIDE 10
OVERVIEW: QUIÉN DEBE CUMPLIR CON EL ESTÁNDAR PCI-DSS? BANCO EMISOR PROCESADORES DE PAGO (SWITCH) TARJETA HABIENTE MEDIO DE PAGO TARJETAS COMERCIO ADQUIRENTE BANCO COMERCIANTE Cualquier entidad que almacena, procesa o transmite los datos de los titulares de las tarjetas debe cumplir con el estándar. SLIDE 11
OVERVIEW: ESTRUCTURA DEL ESTANDAR 6 OBJETIVOS 12 REQUERIMIENTOS PROCEDIMIENTOS APROX. 400 (Documentales, Observacion, Entrevistas, Muestras, etc.) SLIDE 12
PCI DSS HABLEMOS DE RETOS A SOLUCIONES, PREGUNTAS FRECUENTES!!
DE RETO A SOLUCIONES PARA QUE ME SIRVE SER PCI DSS COMO COMERCIO Y PROVEEDOR? RESPUESTA 1 2 3 4 Requerimiento del Banco Adquiriente Evita Sanciones Requerimiento del comercio/proveedor, adquirente, Evita incumplimientos contractuales Buena imagen y reduce fraudes Valor añadido a servicios SLIDE 15
DE RETO A SOLUCIONES A QUIEN DE MI ORGANIZACIÓN TENGO QUE INVOLUCRAR PARA QUE EL PROYECTO SEA EXITOSO Y DURADERO? DIRECCIÓN SISTEMAS DESARROLLO RRHH SEGURIDAD FISICA AUDITORIA INTERNA SLIDE 16
DE RETO A SOLUCIONES TENGO QUE ABARCAR TODA LA EMPRESA PARA PCI DSS? Todos los sistemas que procesan, trasmiten o almacenan datos de tarjetas deben cumplir PCI DSS. La aproximación al cumplimiento o certificación puede hacerse acotada por entornos siempre y cuando haya una correcta segmentación. SLIDE 17
DE RETO A SOLUCIONES EN QUE NIVEL DE CUMPLIMIENTO ENTRA MI EMPRESA? NIVEL 1 2 3 4 COMERCIOS Procesan más de 6 millones de transacciones al año Procesan de 1 a 6 millones de transacciones al año Procesan más de 20,000 a 1 millón de transacciones ecommerce al año El resto PROVEEDORES Procesan más de 300,000 de transacciones al año Procesan entre 1 y 300,000 de transacciones al año * Proveedores que Impactan en la seguridad de datos de tarjetas pero no procesan, su nivel lo determinaran generalmente los adquirentes o comercios SLIDE 18
DE RETO A SOLUCIONES QUÉ ENTREGABLES DEBO PRESENTAR PARA ACREDITARME COMO PCI DSS? NIVEL 1 ROC Y AOC NIVEL 2 Y 3 SAQ Y AOC SLIDE 19
DE RETO A SOLUCIONES QUE PASA DESPUÉS DE LA CERTIFICACIÓN? EXISTE UN SEGUIMIENTO? Gestionar Riesgos Gestionar Tecnologí as e incidencia s Realizar Auditorias Técnicas Son algunas de las actividades que se deben realizar a lo largo del año. El cumplimiento de PCI DSS lleva una actividad de gestión a lo largo del tiempo que debe ser cumplida para validarse de año en año o ante cambios sustanciales. SLIDE 20
SLIDE 21
CONCLUSIONES RECOMENDACIONES DEL QSA
1 Seleccione al/los interlocutores adecuados. 2 Mantenga el orden y no trate de abarcar todo de un solo golpe. La mejor forma de evitar estos costes es NO ALMACENAR DATOS DE TARJETAS. 4 3 Si es necesario procesar, almacenar o trasmitir datos de tarjetas lo primero es comprender los requerimientos/obligaciones de validación y reporte. 6 Un buen asesoramiento para acotar el alcance es fundamental. Vuelva la seguridad en un engrane mas de su organización!! 5 23
La constancia con las certificaciones anual, provocan una mejora continua que se refleja en las revisiones de flujo de datos y así valorar la tecnología, gobierno, procesos, etc aunado a los cambios periódicos que dicho estándar realiza para mantearse actualizado a las nuevas amenazas de seguridad que pongan en riesgo la información sensitiva " CLIENTE 1 Sector E-commerce Subgerente de Seguridad Corporativa SLIDE 25
El cumplir con un estándar internacional como lo es PCI-DSS, nos garantiza de forma directa contar con controles de seguridad de la información que ayudan a minimizar los riesgos tecnológicos y operativos" CLIENTE 2 Sector Hotelero Jefatura de Seguridad Corporativa SLIDE 26
Adoptando PCI DSS pudimos comenzar con la adopción e integración, de una manera mas simple de estándares de seguridad de la industria (ISO 27001, SANS CIS, " CLIENTE 3 Sector Hotelero Oficial de seguridad Corporativa SLIDE 27
SLIDE 28 PREGUNTAS?
linkedin.com/company/s21sec facebook.com/pages/s21sec twitter.com/@s21sec