Recursos de Protección de Pagos para Pequeños Comerciantes Carlos Caetano Associate Regional Director - Brazil PCI Security Standards Council
Agenda Introducción Motivación Participación Futuro 2
PCI Security Standards Council Fundado en 2006 - Guía estándares abiertos para la seguridad de las tarjetas de pago Desarrollo Administración Educación Conciencia 3 Hacemos los pagos más seguros
PCI Security Standards Council 4
PCI Security Standards Council Produce los Estándares, Mejores Prácticas y Servicios Terminal de Pagos Software de Pagos Entornos de Comercios y Proveedores de Servicios Validación y Calificación - terminales, proveedores de servicios, consultores, investigadores 5 Formación - Consultores, adquirentes, integradores
PCI Security Standards Council Hacer pagos más seguros en cada punto de una transacción 6
PCI Security Standards Council 7
Por qué? Pequeños Comercios en todo el mundo son objetivos de ataque crecientes de robo de dados 77% cree que su empresa está a salvo de los ataques cibernéticos 80% de los sitios atacados todos los días pertenecen a los pequeños comercios Casi la mitad de los ataques cibernéticos globales en 2015 pertenecía a empresas pequeñas 48% de las pequeñas empresas se han visto afectados por al menos un ataque cibernético en los últimos 12 meses 20% considera que la seguridad cibernética como una de las principales prioridades de la empresa 10% nunca ha invertido en la mejora de la seguridad de su sitio 54% de las pequeñas empresas que dicen que están preocupados por su negocio puede estar en riesgo de un ataque 8
Amenazas Actuales Contraseñas débiles Inyección de SQL Spear Phishing Malware / Ransomware Vector de Ataque Remoto Ninguna localidad, industria o organización es a prueba de balas cuando se trata de comprometer los datos Verizon 2016 DBIR Actualización de Seguridad Pobres 9
Nacimiento y Renacimiento de un Compromiso de Datos Campaña de phishing contra los proveedores La persona clica en el correo y la instalación del malware ocurre El Keylogger es desplegado y las credenciales de autenticación estática del entorno del cliente son robadas para acceder al destino final Malware instalado directamente en el sistema POS de la víctima final 10 Fuente: Verizon 2016 Data Breach Investigations Report Funcionalidades del Malware de raspado de memoria y exportación de datos, estabelecimiento de controle e persistencia
Grupo de Trabajo de Pequeños Comerciantes 11
Grupo de Trabajo de Pequeños Comerciantes del PCI Council Objetivo Colaborar con la comunidad PCI para satisfacer las necesidades del segmento de pequeños comerciantes ofreciendo orientación que: Es simple, fácil de entender y relevante para las necesidades únicas de los pequeños comerciantes Ayude a los pequeños comerciantes a entender su responsabilidad de protección de datos de tarjetas de pago y la identificación y mitigación de las zonas de riesgo en su entorno Se ofrece a los pequeños comerciantes la información necesaria para evaluar su propio entorno, trabajar con un QSA y/o considerar un nuevo canal de pago o proveedor de servicios 12
Participación Global Comercios y Socios Si los comerciantes más grandes y las instituciones financieras no pueden ser protegidos contra los compromisos de datos, se puede imaginar cómo la protección es difícil para los propietarios de pequeñas empresas independientes. Un problema que muchas pequeñas empresas tienen es que ellos no tienen los recursos internos para ser expertos en todos los aspectos del funcionamiento de una empresa. Las pequeñas empresas se basan en la experiencia externa para simplificar el complicado. 13
Conoce a María, dueña de una pequeña tienda En su mente Su dilema A quien ella llama Sus necesidades Maria, dueña de un bar de vinos " Cómo puedo vender más vino?" " Cómo puedo diferenciar la experiencia de mis clientes en un mercado saturado?" " Cómo puedo encontrar y mantener buenos empleados?" Ella quiere hacer lo correcto para sus clientes y su negocio PERO, ella no tiene tiempo para entender Rootkits SSL Su banco. El número 1-800 en la etiqueta que está en su sistema de pago. Entender por qué/cómo está en riesgo. Las preguntas correctas para pedirle ayuda a su banco ya su proveedor de sistemas de pago. Pasos sencillos que puede tomar. 14
Enfoque de Desarrollo de Contenido Público Sencillo, no exhaustivo RECURSOS DE PROTECCIÓN DE PAGOS PARA PEQUEÑOS COMERCIANTES Accesible Mensurable
Simplificación de la Seguridad Recursos de Protección de Pagos para Pequeños Comerciantes 16
Simplificación de la Seguridad Guía de Pagos Seguros 17
Simplificación de la Seguridad Guía de Pagos Seguros Comprenda cuál es su riesgo 18
Simplificación de la Seguridad Guía de Pagos Seguros Comprenda cuál es su riesgo 19
Simplificación de la Seguridad Guía de Pagos Seguros Comprenda cuál es su riesgo 20
Simplificación de la Seguridad Guía de Pagos Seguros Proteja seu empresa con estos elementos de saguridad básicos 21
Simplificación de la Seguridad Guía de Pagos Seguros Proteja seu empresa con estos elementos de saguridad básicos 22
Simplificación de la Seguridad Sistemas de Pago Comunes 23
Simplificación de la Seguridad Sistemas de Pago Comunes 24
Simplificación de la Seguridad Ejemplo de comercio electrónico con la página de pago totalmente externalizada 25
Simplificación de la Seguridad Ejemplo de comercio electrónico con la página de pago totalmente externalizada 26
Simplificación de la Seguridad Ejemplo de comercio electrónico con la página de pago totalmente externalizada 27
Simplificación de la Seguridad Ejemplo de comercio electrónico con la página de pago totalmente externalizada 28
Simplificación de la Seguridad Ejemplo de comercio electrónico con su propia página de pago 29
Simplificación de la Seguridad Ejemplo de comercio electrónico con su propia página de pago 30
Simplificación de la Seguridad Ejemplo de comercio electrónico con su propia página de pago 31
Simplificación de la Seguridad Ejemplo de comercio electrónico con su propia página de pago 32
Simplificación de la Seguridad Preguntas para Hacerles a sus Proveedores 33
Simplificación de la Seguridad Glosario de Términos sobre Pagos e Seguridad de la Información 34
Como puedes ayudar? Los propietarios de restaurantes no son expertos en tecnología. Son expertos en artes culinarias, gestión empresarial general y hospitalidad. Al igual que muchas pequeñas empresas, dependen de la experiencia de otros en el espacio de seguridad cibernética. Para que los pequeños restaurantes prosperen en la era digital, necesitarán una ayuda significativa de la comunidad más amplia de tecnología y seguridad. David Matthews, National Restaurant Association, PCI Small Merchant Taskforce Co-Chair 35
Llamada a la Acción Cómo puedes ayudar Visite el sitio web del PCI SSC Descargar Compartir Co-brand https://www.pcisecuritystandards.org/document_library 36
Organizaciones Participantes Regionales 37
Beneficios de la Organización Participante Participar en Reuniones de la Comunidad organizadas por el PCI Security Standards Council (dos asientos gratuitos). Proponer, votar y participar en Grupos de Interés Especiales (SIGs). Nominar y votar por los representantes de la organización participante en el Consejo Asesor del PCI Security Standards Council (período de dos años). Promover el conocimiento de los empleados en la seguridad, mejorar su postura de seguridad y reducir el riesgo para los datos de pago - con dos sesiones de entrenamiento de concientización GRATIS. Importantes descuentos para la formación. Tiene equipos con diferentes niveles? Darles las herramientas y la formación necesarias para ser parte de la misión de seguridad de los datos de su organización y su éxito. Recibe noticias semanales, actualizaciones e ideas a través del PCI monitor y sea un líder de la influencia que contribuye al blog PCI Perspectives. Posibilidad de una revisión temprana de estándares y materiales de apoyo antes de que se hagan públicos. 38 https://www.pcisecuritystandards.org/get_involved/participating_organizations
Participa en el Foro de América Latina el 9 de Agosto en Sao Paulo y AHORRA! 39
Oportunidades de Patrocinio están disponibles en el Foro de América Latina! 40
Reserve Espacio en el Vendor Showcase del Foro de América Latina 41
Entrenarse para Ayudar a su Organización Sea un PCI Internal Security Assessor (ISA) Mejorar su comprensión del PCI DSS y cómo puede ayudar a proteger los datos de sus clientes y su negocio. Ayudar a su organización a desarrollar conocimientos internos y evaluar los estándares PCI. Facilita la interacción con un QSA. Mejorar la seguridad de los datos de tarjetas de pago y administrar los costos de cumplimiento. Se reconoce por su logro profesional - con la lista en la página web del Consejo de PCI. Entregado a su buzón de correo: Mensual - las actualizaciones a los ISAs. Atención: Clase en portugués programada para el 7 y 8 de agosto en Sao Paulo https://www.pcisecuritystandards.org/program_training_and_qualification/internal_security_assessor_certification 42
Futuro Formalizar la estrategia de comunicación y determinar la efectividad de los métodos de difusión Evaluar y proponer herramientas de validación alternativas y/o SAQs simple de usar Basándose en la retroalimentación, mejorar los materiales para los pequeños comerciantes según sea necesario 43
Y Recordar El PCI Council está aquí para le ayudar, como su SOCIO Contar con nosotros como un socio especializado de información para la seguridad de pagos electrónicos y la prevención del fraude Considere la posibilidad de convertirse en una Organización Participante para recibir informaciones frecuentes y dirigidas del Consejo PCI Considere la formación ofrecida por el PCI Council para mejorar su comprensión y de su equipo sobre los padrones de seguridad del PCI Español: https://es.pcisecuritystandards.org/minisite/env2/ Portugués: https://pt.pcisecuritystandards.org/minisite/env2/ Carlos Caetano Associate Regional Director - Brazil ccaetano@pcisecuritystandards.org PCI Security Standards Council 44