SlideShare uma empresa Scribd logo

Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant.

Internet Security Auditors
Internet Security Auditors

Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.

Tecnologia
1 de 21
Baixar para ler offline
1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE DESARROLLO NEGOCIO MM.PP. WINCOR-NIXDORF
2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Indice Guía de ImplementaciónI Integración de la Seguridad en el ciclo de vida del Software II Laboratorio de Pruebas PCI DSS CompliantIII
3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 • Resultado final del proceso de desarrollo seguro de una aplicación que gestiona datos de tarjeta. • Explica cómo instalar la aplicación de forma segura a: – Clientes – Distribuidores – Integradores. • Describe la forma en la que el administrador del sistema debe activar y configurar los parámetros de seguridad de los distintos componentes para que la aplicación funcione correctamente en un entorno PCI DSS. La Guía de Implementación
4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 • La V2.0 de PA DSS, da a la Guía de Implementación mayor relevancia, exigiendo explicar los mecanismos de seguridad a implementar de forma más extensa y explícita. • Tener una aplicación certificada PA DSS, no exime al cliente de que su entorno cumpla con PCI DSS. • Se entiende mejor la Guía de Implementación si se ha hecho previamente la preparación del entorno donde la aplicación va a instalarse. La Guía de Implementación
5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 • La preparación de una guía clara y concisa, no siendo sólo un manual de instalación, debe tener en cuenta aspectos tales como: – Configuración segura de firewalls/routers. – Configuración segura de tecnología inalámbrica. – Diseño de red. – Política segura de asignación de usuarios y contraseñas. – Configuración de acceso remoto. – Requisitos mínimos del administrador de base de datos para instalar la aplicación. – Gestión de claves criptográficas. – Borrado seguro de datos. – Activación de pistas de auditoría. – Integración de registros en plataformas de control de logs. – Gestión de actualizaciones. La Guía de Implementación
6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 • Los puntos de PA DSS que la Guía de Implementación cubre son: – Req. 01: No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2) ni los datos de bloqueo del PIN. – Req. 02: Proteja los datos del titular de la tarjeta que fueron almacenados. – Req. 03: Provea las funciones de autenticación segura. – Req. 04: Registre la actividad de la aplicación de pago. – Req. 05: Desarrolle aplicaciones de pago seguras. – Req. 06: Proteja las transmisiones inalámbricas. – Req. 09: No almacene los datos de titulares de tarjetas en un servidor conectado a Internet. – Req. 10: Facilite actualizaciones de software remotas y seguras. – Req. 11: Facilite un acceso remoto seguro a la aplicación de pago. – Req. 12: Cifre el tráfico sensible en las redes públicas. La Guía de Implementación
7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 • Generalmente el software es el origen más común de los problemas relativos a la seguridad informática. • Un hacker no crea agujeros en la seguridad, sólo los explota. • Las causas reales de los problemas son el resultado de un mal diseño y una mala implantación del software. • Si el software no se comporta adecuadamente, surgirán problemas de: – Fiabilidad. – Disponibilidad. – Criticidad. – Seguridad. Seguridad en el ciclo de vida del Software
8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 • ¿La seguridad es una característica que puede añadirse a un sistema existente? • ¿Es una propiedad estática del software que permanece inmutable en cualquier entorno en que este se utilice? NO: LA SEGURIDAD NO ES UNA CARACTERÍSTICA QUE PUEDA AÑADIRSE AL SISTEMA EN CUALQUIER MOMENTO. REQUIERE UNA PLANIFICACIÓN PREVIA, UN DISEÑO CUIDADOSO Y DEPENDE DE CADA ENTORNO EN PARTICULAR Seguridad en el ciclo de vida del Software
9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 9 • Lo que Wincor-Nixdorf persigue en su ciclo de desarrollo es: – Procesos adecuados. – Ciclo de vida seguro del software. – Plan de calidad. Seguridad en el ciclo de vida del Software
10 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 10 Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación Ciclo de Vida de Desarrollo de Software Tradicional Revisión de la Seguridad. Aprobación de la Seguridad. Mantenimiento Correctivo. Liberación de Parches. Gestión de Incidencias. Seguridad en el ciclo de vida del Software
11 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 11 Ciclo de Vida de Desarrollo de Software Seguro SEGURIDAD A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios. Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación Seguridad en el ciclo de vida del Software
12 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 12 • Ámbito de actuación: • Identificación de las áreas de seguridad de la aplicación. • Consideraciones de seguridad respecto en el diseño. • Requisitos funcionales de seguridad. • Aspectos a tener en cuenta:  Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc.  Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc.  Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc.  Consideraciones en la Capa de Seguridad: autenticación y autorización, validación de datos, tratamiento de errores y excepciones, etc. Definición Y Diseño Desarrollo Despliegue Mantenimiento Y Operación Seguridad en el ciclo de vida del Software
13 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 13 Definición y Diseño Desarrol lo Despliegu e Manteni miento Y Operació n • Es una fase muy crítica ya que en esta fase aparecen un mayor número de fallos de seguridad. • Para realizar una codificación segura es necesario conocer las amenazas con las que nos podemos encontrar y las buenas practicas para minimizarlas: • Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc. • Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc. Seguridad en el ciclo de vida del Software
14 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 14 Definición Y Diseño Desarrollo Despliegue Mantenimiento Y Operación • En esta fase, la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante distintas actuaciones (comprobación de requisitos, análisis del diseño, revisión del código, etc.). • Actuaciones clave:  Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de las actuaciones realizadas y detectar posibles vulnerabilidades que no hayan sido contempladas anteriormente.  Comprobación de la Gestión de Configuraciones: Es necesario verificar cómo se han implementado y securizado los distintos componentes de la infraestructura. Seguridad en el ciclo de vida del Software
15 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 15 Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación • Tras la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido:  Revisiones de la Gestión Operativa: Debe existir procedimientos que detallen como es gestionada la explotación de la aplicación y su infraestructura.  Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deberán realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.  Asegurar la Verificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado al nivel de seguridad de la aplicación y su infraestructura. • Se deben seguir los procedimientos de gestión de incidencias y gestión de vulnerabilidades que permitan dar un soporte adecuado a los clientes de la aplicación. Seguridad en el ciclo de vida del Software
16 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 16 • Para verificar que la aplicación funciona de manera segura, y que va a permitir la correcta comunicación con agentes externos, se debe probar la aplicación en un entorno que sea PCI Compliant. • La idea es reproducir un entorno que simule el uso real de la aplicación de pago. • Eso significa que previo a la auditoría de certificación o recertificación se comprobará que los componentes del laboratorio de pruebas cumplen con los requerimientos PCI DSS. Laboratorio de Pruebas PCI Compliant
17 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 17 • El laboratorio no tiene porque simular en complejidad todas las posibles arquitecturas imaginables. • Es un diseño estándar donde se incluyen los elementos básicos para que la aplicación funcione (firewall, servidor de aplicación, base de datos, cliente, antivirus, TPV, etc.). • El valor añadido que le da PA DSS al entorno de pruebas, es que, además de probar la funcionalidad y las medidas de seguridad de la implantación, garantiza que la aplicación funciona correctamente sin elementos o configuraciones inseguros. Laboratorio de Pruebas PCI Compliant
18 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 18 • El laboratorio debe disponer de las máquinas necesarias para que se puedan probar todos los posibles entornos que admite la aplicación. • Los puntos clave que se tienen en cuenta al diseñar el laboratorio de pruebas PCI DSS compliant son:  Configuraciones de Seguridad: Se definen parámetros de seguridad de los sistemas como:  Política de contraseñas.  Asignación de derechos de acceso.  Activación de pistas de auditoría.  Utilización de puertos, servicios y protocolos seguros. Laboratorio de Pruebas PCI Compliant
19 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 19  Políticas IPSec: Configuraciones de los servicios IPSec para autenticar o cifrar el tráfico de red garantizando una comunicación segura.  Tecnologías WiFi: Se definen los parámetros de seguridad que aseguren el uso de dispositivos inalámbricos:  Protocolos aceptados.  Dispositivos aceptados.  Configuraciones permitidas.  Ubicaciones desde donde se pueden utilizar tecnologías inalámbricas.  Restricción de Software: Se debe instalar el mínimo software imprescindible para que la aplicación funcione. Laboratorio de Pruebas PCI Compliant
20 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 20  Gestión de Claves Criptográficas: Se debe definir un proceso de vida seguro de la generación, distribución, destrucción e instalación de componentes criptográficos.  Conexión con Redes No Confiables: Cualquier conexión entre el laboratorio y una red no segura dispondrá de un firewall que restrinja el tráfico. Laboratorio de Pruebas PCI Compliant
21 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTAS

Recomendados

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 

Recomendados

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Requisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIRequisitos y pasos para avanzar en el cumplimiento PCI
Requisitos y pasos para avanzar en el cumplimiento PCIInternet Security Auditors
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Transformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityTransformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityElasticsearch
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...Ingeniería e Integración Avanzadas (Ingenia)
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochureJuan Francisco Rivas Figueroa
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadLuis Fernando Aguas Bucheli
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemasAlexander Velasque Rimac
 
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Aspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraAspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraInternet Security Auditors
 

Mais conteúdo relacionado

Mais procurados

PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Transformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityTransformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityElasticsearch
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 

Mais procurados (20)

PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive Defense
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
 
Transformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic SecurityTransformando los servicios SmartSOC con Elastic Security
Transformando los servicios SmartSOC con Elastic Security
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos Básicos
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. Cyberseguridad
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 
Seguridad
SeguridadSeguridad
Seguridad
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libre
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 

Semelhante a Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant.

Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Aspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraAspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraInternet Security Auditors
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Requerimientos no funcionales
Requerimientos no funcionalesRequerimientos no funcionales
Requerimientos no funcionalesAngel Minga
 
Investigación de modelos
Investigación de modelos Investigación de modelos
Investigación de modelos bren1995
 
Mahikel s peñuelag_ensayo
Mahikel s peñuelag_ensayoMahikel s peñuelag_ensayo
Mahikel s peñuelag_ensayoMahikel Peñuela
 
Procesos de Software EGEL-UNITEC
Procesos de Software EGEL-UNITECProcesos de Software EGEL-UNITEC
Procesos de Software EGEL-UNITECmrojas_unitec
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en softwareluly garcia
 
Proceso de dasarrollo de software
Proceso de dasarrollo de softwareProceso de dasarrollo de software
Proceso de dasarrollo de softwarerodrigolapaca94
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
GESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSGESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSYASMIN RUIZ
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 

Semelhante a Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant. (20)

Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
 
Aspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraAspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente Aguilera
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Novedades PCI DSS v 2.0 y PA-DSS v 2.0.
Novedades PCI DSS v 2.0 y PA-DSS v 2.0.Novedades PCI DSS v 2.0 y PA-DSS v 2.0.
Novedades PCI DSS v 2.0 y PA-DSS v 2.0.
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Requerimientos no funcionales
Requerimientos no funcionalesRequerimientos no funcionales
Requerimientos no funcionales
 
Investigación de modelos
Investigación de modelos Investigación de modelos
Investigación de modelos
 
S1-CDSQA.pptx
S1-CDSQA.pptxS1-CDSQA.pptx
S1-CDSQA.pptx
 
Mahikel s peñuelag_ensayo
Mahikel s peñuelag_ensayoMahikel s peñuelag_ensayo
Mahikel s peñuelag_ensayo
 
Procesos de Software EGEL-UNITEC
Procesos de Software EGEL-UNITECProcesos de Software EGEL-UNITEC
Procesos de Software EGEL-UNITEC
 
SOTFWARE
SOTFWARESOTFWARE
SOTFWARE
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en software
 
Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2
 
Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2Ingenieria de softwrae vol1 v4 2
Ingenieria de softwrae vol1 v4 2
 
Proceso de dasarrollo de software
Proceso de dasarrollo de softwareProceso de dasarrollo de software
Proceso de dasarrollo de software
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
GESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSGESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOS
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Semana 1 Introducción al Ciclo del Software
Semana 1 Introducción al Ciclo del SoftwareSemana 1 Introducción al Ciclo del Software
Semana 1 Introducción al Ciclo del Software
 
(Inmer)La Ingenieria de Software
(Inmer)La Ingenieria de Software(Inmer)La Ingenieria de Software
(Inmer)La Ingenieria de Software
 

Mais de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 

Mais de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 

Último

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Último (15)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant.

  • 1. 1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE DESARROLLO NEGOCIO MM.PP. WINCOR-NIXDORF
  • 2. 2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 Indice Guía de ImplementaciónI Integración de la Seguridad en el ciclo de vida del Software II Laboratorio de Pruebas PCI DSS CompliantIII
  • 3. 3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3 • Resultado final del proceso de desarrollo seguro de una aplicación que gestiona datos de tarjeta. • Explica cómo instalar la aplicación de forma segura a: – Clientes – Distribuidores – Integradores. • Describe la forma en la que el administrador del sistema debe activar y configurar los parámetros de seguridad de los distintos componentes para que la aplicación funcione correctamente en un entorno PCI DSS. La Guía de Implementación
  • 4. 4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 • La V2.0 de PA DSS, da a la Guía de Implementación mayor relevancia, exigiendo explicar los mecanismos de seguridad a implementar de forma más extensa y explícita. • Tener una aplicación certificada PA DSS, no exime al cliente de que su entorno cumpla con PCI DSS. • Se entiende mejor la Guía de Implementación si se ha hecho previamente la preparación del entorno donde la aplicación va a instalarse. La Guía de Implementación
  • 5. 5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 • La preparación de una guía clara y concisa, no siendo sólo un manual de instalación, debe tener en cuenta aspectos tales como: – Configuración segura de firewalls/routers. – Configuración segura de tecnología inalámbrica. – Diseño de red. – Política segura de asignación de usuarios y contraseñas. – Configuración de acceso remoto. – Requisitos mínimos del administrador de base de datos para instalar la aplicación. – Gestión de claves criptográficas. – Borrado seguro de datos. – Activación de pistas de auditoría. – Integración de registros en plataformas de control de logs. – Gestión de actualizaciones. La Guía de Implementación
  • 6. 6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 • Los puntos de PA DSS que la Guía de Implementación cubre son: – Req. 01: No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2) ni los datos de bloqueo del PIN. – Req. 02: Proteja los datos del titular de la tarjeta que fueron almacenados. – Req. 03: Provea las funciones de autenticación segura. – Req. 04: Registre la actividad de la aplicación de pago. – Req. 05: Desarrolle aplicaciones de pago seguras. – Req. 06: Proteja las transmisiones inalámbricas. – Req. 09: No almacene los datos de titulares de tarjetas en un servidor conectado a Internet. – Req. 10: Facilite actualizaciones de software remotas y seguras. – Req. 11: Facilite un acceso remoto seguro a la aplicación de pago. – Req. 12: Cifre el tráfico sensible en las redes públicas. La Guía de Implementación
  • 7. 7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7 • Generalmente el software es el origen más común de los problemas relativos a la seguridad informática. • Un hacker no crea agujeros en la seguridad, sólo los explota. • Las causas reales de los problemas son el resultado de un mal diseño y una mala implantación del software. • Si el software no se comporta adecuadamente, surgirán problemas de: – Fiabilidad. – Disponibilidad. – Criticidad. – Seguridad. Seguridad en el ciclo de vida del Software
  • 8. 8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8 • ¿La seguridad es una característica que puede añadirse a un sistema existente? • ¿Es una propiedad estática del software que permanece inmutable en cualquier entorno en que este se utilice? NO: LA SEGURIDAD NO ES UNA CARACTERÍSTICA QUE PUEDA AÑADIRSE AL SISTEMA EN CUALQUIER MOMENTO. REQUIERE UNA PLANIFICACIÓN PREVIA, UN DISEÑO CUIDADOSO Y DEPENDE DE CADA ENTORNO EN PARTICULAR Seguridad en el ciclo de vida del Software
  • 9. 9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 9 • Lo que Wincor-Nixdorf persigue en su ciclo de desarrollo es: – Procesos adecuados. – Ciclo de vida seguro del software. – Plan de calidad. Seguridad en el ciclo de vida del Software
  • 10. 10 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 10 Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación Ciclo de Vida de Desarrollo de Software Tradicional Revisión de la Seguridad. Aprobación de la Seguridad. Mantenimiento Correctivo. Liberación de Parches. Gestión de Incidencias. Seguridad en el ciclo de vida del Software
  • 11. 11 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 11 Ciclo de Vida de Desarrollo de Software Seguro SEGURIDAD A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios. Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación Seguridad en el ciclo de vida del Software
  • 12. 12 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 12 • Ámbito de actuación: • Identificación de las áreas de seguridad de la aplicación. • Consideraciones de seguridad respecto en el diseño. • Requisitos funcionales de seguridad. • Aspectos a tener en cuenta:  Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc.  Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc.  Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc.  Consideraciones en la Capa de Seguridad: autenticación y autorización, validación de datos, tratamiento de errores y excepciones, etc. Definición Y Diseño Desarrollo Despliegue Mantenimiento Y Operación Seguridad en el ciclo de vida del Software
  • 13. 13 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 13 Definición y Diseño Desarrol lo Despliegu e Manteni miento Y Operació n • Es una fase muy crítica ya que en esta fase aparecen un mayor número de fallos de seguridad. • Para realizar una codificación segura es necesario conocer las amenazas con las que nos podemos encontrar y las buenas practicas para minimizarlas: • Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc. • Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc. Seguridad en el ciclo de vida del Software
  • 14. 14 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 14 Definición Y Diseño Desarrollo Despliegue Mantenimiento Y Operación • En esta fase, la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante distintas actuaciones (comprobación de requisitos, análisis del diseño, revisión del código, etc.). • Actuaciones clave:  Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de las actuaciones realizadas y detectar posibles vulnerabilidades que no hayan sido contempladas anteriormente.  Comprobación de la Gestión de Configuraciones: Es necesario verificar cómo se han implementado y securizado los distintos componentes de la infraestructura. Seguridad en el ciclo de vida del Software
  • 15. 15 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 15 Definición y Diseño Desarrollo Despliegue Mantenimiento y Operación • Tras la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido:  Revisiones de la Gestión Operativa: Debe existir procedimientos que detallen como es gestionada la explotación de la aplicación y su infraestructura.  Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deberán realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.  Asegurar la Verificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado al nivel de seguridad de la aplicación y su infraestructura. • Se deben seguir los procedimientos de gestión de incidencias y gestión de vulnerabilidades que permitan dar un soporte adecuado a los clientes de la aplicación. Seguridad en el ciclo de vida del Software
  • 16. 16 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 16 • Para verificar que la aplicación funciona de manera segura, y que va a permitir la correcta comunicación con agentes externos, se debe probar la aplicación en un entorno que sea PCI Compliant. • La idea es reproducir un entorno que simule el uso real de la aplicación de pago. • Eso significa que previo a la auditoría de certificación o recertificación se comprobará que los componentes del laboratorio de pruebas cumplen con los requerimientos PCI DSS. Laboratorio de Pruebas PCI Compliant
  • 17. 17 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 17 • El laboratorio no tiene porque simular en complejidad todas las posibles arquitecturas imaginables. • Es un diseño estándar donde se incluyen los elementos básicos para que la aplicación funcione (firewall, servidor de aplicación, base de datos, cliente, antivirus, TPV, etc.). • El valor añadido que le da PA DSS al entorno de pruebas, es que, además de probar la funcionalidad y las medidas de seguridad de la implantación, garantiza que la aplicación funciona correctamente sin elementos o configuraciones inseguros. Laboratorio de Pruebas PCI Compliant
  • 18. 18 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 18 • El laboratorio debe disponer de las máquinas necesarias para que se puedan probar todos los posibles entornos que admite la aplicación. • Los puntos clave que se tienen en cuenta al diseñar el laboratorio de pruebas PCI DSS compliant son:  Configuraciones de Seguridad: Se definen parámetros de seguridad de los sistemas como:  Política de contraseñas.  Asignación de derechos de acceso.  Activación de pistas de auditoría.  Utilización de puertos, servicios y protocolos seguros. Laboratorio de Pruebas PCI Compliant
  • 19. 19 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 19  Políticas IPSec: Configuraciones de los servicios IPSec para autenticar o cifrar el tráfico de red garantizando una comunicación segura.  Tecnologías WiFi: Se definen los parámetros de seguridad que aseguren el uso de dispositivos inalámbricos:  Protocolos aceptados.  Dispositivos aceptados.  Configuraciones permitidas.  Ubicaciones desde donde se pueden utilizar tecnologías inalámbricas.  Restricción de Software: Se debe instalar el mínimo software imprescindible para que la aplicación funcione. Laboratorio de Pruebas PCI Compliant
  • 20. 20 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 20  Gestión de Claves Criptográficas: Se debe definir un proceso de vida seguro de la generación, distribución, destrucción e instalación de componentes criptográficos.  Conexión con Redes No Confiables: Cualquier conexión entre el laboratorio y una red no segura dispondrá de un firewall que restrinja el tráfico. Laboratorio de Pruebas PCI Compliant
  • 21. 21 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTAS