Su Seguridad es Nuestro Éxito Jornada sobre Seguridad en Medios de Pago: PCI DSS Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com I www.isecauditors.com I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 1
Presentación Daniel Fernández Bleda Director Comercial / Socio Internet Security Auditors dfernandez@isecauditors.com Socio y co-fundador de Internet Security Auditors el año 2001, donde dirijo el Depto. Comercial. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 2
Sobre Internet Security Auditors Fundada en el 2001... Nos dedicamos a la Auditoría, Consultoría, Seguridad Gestionada y Formación en Seguridad Independencia de fabricantes: no distribuimos software ni hardware. Personal altamente cualificado y con gran experiencia, formado constantemente (como alumnos y profesores): CISA (Certified Information Systems Auditor), ISO 27001 Lead Auditor, CISSP (Certified Information Systems Security Professional), ITIL (IT Infrastructure Library), CEH (Certified Ethical Hacker), CHFI (Computer Hacking Forensic Investigator), OPST/OPSA (OSSTMM Professional Security Tester/Analyst), QSA (Qualified Security Assesor),... I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 3
SERVICIOS Auditoría Consultoría Seguridad Gestionada Formación Test de Intrusión Implantación SGSI 27001 Serv. de FW de Aplicación WIPS Certificaciones Oficiales Auditoría de Aplicaciones Plan Director de Seguridad Serv. de Vigilancia Anti-Malware Planes de Formación Auditoría de Sist. Inf. Plan de Continuidad de Negocio Securización de Sist. de Inf. Políticas de Seguridad Gestión de Incidentes LOPD/LSSICE Informática Forense/Peritaje PCI DSS Externalización de la Seguridad Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 4
Reconocimientos Internet Security Auditors fue la primera empresa española en obtener las certificaciones QSA (Qualified Security Asessor) y ASV (Acredited Scanning Vendor) por el PCI Security Standards Council (PCI SSC) para realizar auditorías internas de cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard) incluyéndose en la lista oficial de empresas homologadas por este organismo. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 5
Cuál es el motivo de esta jornada? Organizamos este evento para resolver la cantidad de dudas que todavía existen sobre PCI DSS. Como estas: cuántos de ustedes saben la clasificación de su empresa según PCI DSS -y no otras clasificaciones alrededor de la norma-? conocen si en su empresa hay un responsable del cumplimiento de PCI DSS -y no son ustedes-? están seguros de la información de tarjetas que almacena su empresa? saben qué departamentos y porqué explotan la información de la tarjetas y cómo deberían hacerlo? I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 6
Y hay más... sus comercios cumplen o piensan cumplir PCI DSS? sus proveedores de servicios cumplen PCI DSS? cuándo acababa el plazo para implantar PCI DSS? saben que tienen responsabilidades en caso de incidente y del incumplimiento de PCI DSS de sus comercios clientes? creen/suponen/esperan/rezan con que la solución del cifrado de pistas permita olvidarse de PCI DSS? van a esperar a EMV para no trabajar doble confiando en que esa sea la solución a PCI DSS? (nota: PCI DSS <> EMV!) I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 7
Y más... conocen las consecuencias que puede conllevar un incumplimiento? saben qué pueden/deben hacer ustedes mismos y qué una empresa homologada para conseguir cumplir con el PCI DSS? Esperamos que estas y otras dudas se resuelvan hoy. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 8
Qué puede esperar del evento? Resolver todas sus dudas sobre PCI DSS por parte de los responsables de los programas de seguridad de PCI DSS en Europa de VISA y Mastercard. Conocer un caso de éxito no traumático- de implantación de PCI DSS dentro del marco de un SGSI certificado según la ISO/IEC 27001:2005. Disponer de una empresa QSA con ganas de ayudarle en lo posible. No pierda esta oportunidad I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 9
El programa de hoy 9:15 "Cómo sacar rendimiento al PCI DSS Bruce Mac Nab Director Comercial España, Francia y Portugal SafeNet Bruce Mac Nab desarrolla la dirección comercial en SafeNet, multinacional americana dedicada al desarrollo y suministro de módulos criptográficos para proteger las transacciones financieras. Zane Ryan Director General España Dot Force Zane Ryan es uno de los dos fundadores de Dot Force, un mayorista especializado en la seguridad de la información. La empresa opera en España e Italia. El Sr. Ryan es el Director General de Dot Force en España. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 10
El programa de hoy 10:00 "PCI DSS, Un proceso continuo Miguel Ángel Domínguez Director Departamento Consultoría / Socio Internet Security Auditors Miguel Ángel Domínguez es socio y co-fundador de Internet Security Auditors, donde dirige el Departamento de Consultoría y lidera los proyectos de implantación de la norma PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 11
El programa de hoy 11:15 "Implantación de PCI DSS dentro de un SGSI Pedro Sánchez Cordero Responsable de Seguridad ATCA (Asociación Técnica de Cajas de Ahorros) Pedro Sánchez Cordero desarrolla su labor como responsable de Seguridad en Asociación Técnica de Cajas de Ahorros (ATCA), entidad que centraliza, entre otros, el entorno host y de banca electrónica de cinco cajas de ahorro españolas. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 12
El programa de hoy 12:00 "PCI DSS, MasterCard's response to Security of Stored Data Paul S. Baker Vice Presidente Payment System Integrity MasterCard Worldwide Paul Baker es responsable de la gestión de producto de los servicios SecureCode y Site Sata Protection (SDP) de MasterCard y de todos los aspectos relacionados con pago de ecommerce y seguridad para Europa. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 13
El programa de hoy 12:45 "PCI DSS: Why it matters Steve Wilson AIS Communications Manager VISA Europa Steve Wilson es el Director de cumplimiento de PCI DSS en Visa Europa. Steve tiene más de 11 años de experiencia en la industria de pago con tarjeta, inicialmente con JCB y posteriormente en Visa. En Visa ha desarrollado responsabilidades en Marketing y Gestión del Riesgo. Actualmente sus responsabilidades implican un contacto directo con Bancos, Comercios, Fabricantes de Software y compañías de Seguridad. Steve y su equipo es responsible de incrementar el cumplimiento con la normas de Visa, con el objetivo de reducir el riesgo de daño financiero y de reputación en todas las empresas implicadas en la cadena del pago con tarjeta. Es un ponente habitual en conferencias en UK y el resto del mundo así como formador en PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 14
Resumiendo A las 14:00 queremos que Que sean conscientes que deben implantar PCI DSS. Tengan más claro qué y cómo les aplica PCI DSS de forma general a su sector y de forma particular. Si necesitan ayuda, sepan que queremos ayudarles. Si les surgen dudas, sepan que podremos responderlas (apunten nuestros e-mails o pídanos una tarjeta). Hablen con sus empresas clientes, proveedores de servicios y compañeros del sector porqué no están todos aquí pero a muchos les afecta PCI DSS. I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 15
Daniel Fernández Director Comercial / Socio dfernandez@isecauditors.com Internet Security Auditors c/ Santander, 101. Edif. A. 2º E-08030 Barcelona Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 www.isecauditors.com Su Seguridad es Nuestro Éxito I n t e r n e t S e c u r i t y A u d i t o r s 7 d e n o v i e m b r e d e 2 0 0 7 P. 16