SlideShare uma empresa Scribd logo

PCI DSS: Justificacion del Cumplimiento

Internet Security Auditors
Internet Security Auditors

Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.

Internet
1 de 26
Baixar para ler offline
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88 PCI DSS, JUSTIFICACIÓN DEL CUMPLIMIENTO DANIEL FERNÁNDEZ BLEDA, GLOBAL SALES MANAGER CISM, CISA, CISSP, CHFI, OPST/A, ISO 27001 LEAD AUDITOR
AGENDA 1. PCI SSC y Auditores 2. Ecosistema del Normas PCI 3. PCI DSS: Antecedentes, Tipo de Información de Datos de Pago, Requerimientos v3.2, ¿Porqué cumplir?, ¿Y por qué una empresa de CC&BPO?, ¿Certificación, Cumplimiento, ROC, SAQ? 4. Requerimientos de Validación 5. Cuestionarios de Auto-Evaluación (SAQ): Tipos de SAQ, Errores comunes tratando con los SAQ 6. Metodología de Cumplimiento de PCI DSS 7. Puntos clave para tener éxito en un proceso de Cumplimiento 8. Conclusiones
PCI SSC y Auditores ▪ PCI Security Standards Council (PCI SSC) se crea el año 2006 y está formado por las principales compañías emisoras de tarjetas de crédito: VISA, MASTERCARD, AMERICAN EXPRESS, JCB y DISCOVER. ▪ Gestiona los diferentes estándares de la familia PCI, la homologación de Auditores de las diferentes normas, las aplicaciones certificadas PA-DSS… ▪ Implementa rigurosos procesos de validación y QA a las empresas para garantizar la solvencia y calidad de los auditores y sus entregables.
PCI DSS PA-DSS PCI PTS POI - HSM PCI Card Production P2PE PCI PTS PIN SECURITY Ecosistema de Normas PCI
PCI DSS: Antecedentes ▪ Estándar de seguridad que abarca todas las tarjetas de crédito/débito que son emitidas sobre cualquier franquicia perteneciente al PCI SSC. ▪ Fruto del esfuerzo del PCI Security Standards Council (PCI SSC) y resultado de los programas de seguridad inicialmente creados por VISA y Mastercard. ▪ La primera versión común data del año 2004. ▪ La versión vigente desde octubre de 2017 es la 3.2.
PCI DSS: Tipo de Información Datos de Pago La información de tarjetas de pago es la información que pertenece a las tarjetas de crédito/débito y a sus propietarios. Esta información está clasificada en 2 categorías:  Información de titulares de tarjeta:  Número Primario de Cuenta (PAN)  Nombre Titular  Fecha de Vencimiento  Información Sensible de Autenticación:  Información de la Banda Magnética  Código de Validación de Tarjeta (CVV o CVV2)
Principios Requerimientos Construir y Mantener una Red Segura 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas 2. No emplear parámetros de seguridad y usuarios del sistema por defecto Proteger los datos de tarjetas 3. Proteger los datos almacenados de tarjetas 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas Mantener un Programa de Gestión de Vulnerabilidades 5. Usar y actualizar regularmente software antivirus 6. Desarrollar y mantener de forma segura sistemas y aplicaciones Implementar Medidas de Control de Acceso 7. Restringir el acceso a la información de tarjetas según la premisa “need-to-know” 8. Asignar un único ID a cada persona con acceso a computadores 9. Restringir el acceso físico a la información de tarjetas Monitorizar y Testear Regularmente las Redes 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas 11. Testear de forma regular la seguridad de los sistemas y procesos Mantener una Política de Seguridad de la Información 12. Mantener una política que gestione la seguridad de la información PCI DSS: Requerimientos v3.2
Amenazas Reducimos el efecto de: • Fraudes • Malware • Inseguridad en sus aplicaciones (OWASP TOP 10) • Robo de Información • Errores humanos: • Malas configuraciones TIC • Empleados mal entrenados o descontentos Consecuencias: • Pérdida de confianza de los clientes • Notificación de brechas (regulaciones en algunos países lo exigen) • Multas y sanciones • Impacto en la reputación corporativa PCI DSS: ¿Por qué cumplir?
PCI DSS: ¿Y por qué una empresa de CC&BPO?  Cualquier empresa que TRATE, TRANSMITA O ALMACENE datos de tarjetahabiente debe implementar y cumplir en el tiempo con los requerimientos de PCI DSS.  Las empresas de CC&BPO pueden:  Tratar: obteniendo los datos de tarjeta del cliente final o del cliente al que le prestan servicios.  Almacenar: sea temporal o “permanentemente” los datos de pago para realizar operaciones en nombre del cliente.  Transmitir: sea de forma digital, telefónica o física de los datos de pago.  Dependiendo del escenario de trabajo de prestación de servicios se puede ampliar o reducir los requerimientos a cumplir: tecnología del cliente, VDI, instalaciones donde se presta el servicio.
PCI DSS: ¿Certificación, Cumplimiento, ROC, SAQ?  La norma no tiene niveles de cumplimiento.  NO se “elige” el nivel de cumplimiento.  La cantidad de transacciones anuales en comercios o proveedores de servicio determina el nivel de la empresa y este nivel ÚNICAMENTE determina la forma en la que demostrar que estamos cumplimiento con la norma: Auditoría o SAQ.  La Certificación de PCI DSS suele asociarse a la Auditoría pero no ésta es la única forma de validar el cumplimiento.  Certificar el Cumplimiento en la norma se consigue también mediante el Cuestionario de Auto-Evaluación (SAQ).  Tanto la Auditoría, que únicamente puede llevar a cabo una compañía QSA, como el SAQ, que puede ser firmado por el QSA, validan o “certifican” el cumplimiento.
Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 6 Millones de transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 De 1 a 6 Millones Llenado SAQ. Escaneos trimestrales ASV, AOC. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. Requerimientos de Validación: Comercios (I)
Nivel / Marca Visa MasterCard American Express Discover 3 De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. Menos de 50 mil. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 millón. Llenado SAQ. Escaneos trimestrales ASV. 4 Menos de 20 Mil. Llenado SAQ. Escaneos trimestrales ASV. Los demás comercios. Llenado SAQ. Escaneos trimestrales ASV. N/A. Los demás comercios. Llenado SAQ. Requerimientos de Validación: Comercios (II)
Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 300 mil transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 300 mil de transacciones. Comprometidos en alguna brecha. Cualquier TPP. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 300 mil transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV, AOC. Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. Menos de 300 mil transacciones. Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación. Requerimientos de Validación: Proveedores de Servicio
Autoformularios SAQCuestionarios de Auto-Evaluación (SAQ) • ¿Por qué existen diferentes tipos de SAQ? • No todos los Comercios o Proveedores son iguales en sus procesos de pago: • Diferentes arquitecturas Tecnológicas: propias, del cliente o de terceros • E-commerce o venta presencial: IPSP, captura de datos, POS en LANs, etc. • Desarrollo de software o uso de productos de pago (PA-DSS) • Cada Tipo SAQ incluye un subconjunto de controles de PCI DSS aplicados a un escenario específico de procesos de pago. • Firmado por un QSA tiene la misma validez que un Informe de Auditoría (ROC).
Descripción SAQ Preguntas • Transacciones no presenciales (e-commerce, telefónicas) • Nunca para compras presenciales A 22 • E-commerce con re-dirección a terceras partes para el pago • No se almacenan datos de tarjeta A-EP 193 • Sólo se imprimen los datos de tarjeta, pero no se almacenan • Comercios con terminales independientes, por líneas telefónicas • No se almacenan los datos de tarjeta B 41 • Comercios con terminales independientes, a través de IP • Sin e-commerce • No se almacenan datos de tarjeta B-IP 88 Tipos de SAQ
Descripción SAQ Preguntas • Los sistemas que procesan las transacciones están conectados a Internet • No se almacenan datos de tarjeta C 162 • Terminales virtuales basados en web sin almacenamiento electrónico de datos de los titulares de tarjeta C–VT 85 • Cualquier comercio que no encaje en las opciones anteriores D-MER 348 • Proveedores de Servicios que la marca establezca D-SP 369 • Terminales de pago (h/w) en una solución PCI P2PE • Sin e-commerce • No se almacenan datos de tarjeta P2PE 33 Tipos de SAQ
• Tratarlo como un simple tramite • Considerar que un SAQ evita una multa • Diligenciar el SAQ sin realizar validaciones • SAQ diligenciado por alguien sin conocimientos pertinentes: • Escoger el SAQ incorrecto • Dar respuestas incorrectas (por omisión o desconocimiento) Errores Comunes tratando con los SAQ
El éxito de un proyecto de PCI DSS se basa en: • Seguir una metodología robusta • Contar con el asesoramiento adecuado en todo el proyecto: los QSA existen por alguna razón, somos los únicos expertos con garantías. • Gap Análisis preciso es clave en la toma de decisiones posterior • Tener clara una estrategia de cumplimiento: Plan de Acción • Definir proyectos de cumplimiento con objetivos y responsables • No esperar a la ejecución de los proyectos para que estos sean validados por un QSA: el QSA es un aliado, no sólo el auditor al final del proceso. Puntos clave para el éxito de un proyecto de PCI DSS
Metodología de Implementación de PCI DSS •Identificación del entorno y diagnóstico de cumplimiento •Familiarización con PCI DSS •Informe de Estado de Cumplimiento FASE I: Análisis del Estado de Cumplimiento •Identificación de riesgos asociados al robo de datos de tarjeta •Valoración de riesgos FASE II: Valoración de Riesgos y Priorización de Acciones •Selección de Controles y Medidas de Seguridad •Creación del Plan de Acción para la Adecuación FASE III: Programa de Cumplimiento
Metodología de Implementación de PCI DSS • Adecuación y/o Creación de Políticas, Normas y Procedimientos de Seguridad • Definición de Métricas e Indicadores • Diseño de soluciones para eliminación de datos de tarjetas e información sensible de autenticación • Diseño de arquitecturas de red segura • Definición o adecuación de metodologías de desarrollo que integren la seguridad en su ciclo de vida • Definición y aplicación de estándares de configuración segura de sistemas y dispositivos de red • Despliegue de Firewall de Aplicación • Despliegue de IDS/IPS • Despliegue de Firewalls y Routers • Integración de herramientas SIEM • Adecuación de aplicaciones • Despliegue de sistemas VDI FASE IV: Implantación de Requerimientos para la Adecuación
Metodología de Implementación de PCI DSS • Despliegue de sistemas de acceso remoto basados en doble factor de autenticación • SOC de Respuesta a Incidentes • Despliegue de WIPS (Wireless IPS) • Despliegue de HSM • Servicios de hosting, colocation, housing y/o cloud • Despliegue de soluciones antivirus • Despliegue, configuración y mantenimiento de sistemas de gestión de identidades • Despliegue, configuración y mantenimiento de servidores web, aplicaciones, servidores de salto, LDAP, NTP, etc. • Formación a empleados (desarrollo de software, backoffice, sistemas, seguridad, etc.) • Soporte y/o adecuación de bases de datos • Despliegue de sistemas de tokenización FASE IV: Implantación de Requerimientos para la Adecuación
Metodología de Implementación de PCI DSS •Auditoría de Certificación del Cumplimiento: o Preparación y Ejecución del Plan de Auditoría o Elaboración del Informe de Cumplimiento (ROC) y documentación para las franquicias de tarjetas •Preparación de SAQ para reporte de Cumplimiento: o Toma de Evidencias del cumplimiento o Diligenciamiento del SAQ adecuado FASE V: Certificación del Cumplimiento
Metodología de Implementación de PCI DSS •Actividades de Seguimiento, Gestión de la OTP y Reporting •Revisiones Técnicas de Seguridad (Análisis de Vulnerabilidad ASV e Internos, Test de Intrusión Externos e Internos, Escaneos WiFi y Revisión de reglas de Firewall) •Actualización del AA.RR. •Asesoramiento ante cambios en los procesos del Entono •Formación y Concientización (personal de backoffice, SAU, técnico, sistemas,desarrollo, etc.) •Revisión del Cumplimiento de Proveedores de Servicios •Cuadro de Mandos del Cumplimiento •Revisiones Técnicas y Pruebas tras Cambios •Servicios de Respuesta y Gestión de Incidentes 24x7 •Respuesta a terceros sobre Cumplimiento •Adecuación del Marco Normativo Documental ante cambios Mantenimiento del Cumplimiento: Oficina Técnica de PCI DSS (OTP) Procesos de Seguridad Business-as-usual
• Se debe tener bien definida la clasificación de nuestra compañía como comercio o proveedor de servicio: escoger adecuadamente SAQ o tener que realizar la Auditoría. • El diligenciamiento de el SAQ debe ser una tarea a conciencia y soportada con evidencias, no es un mero trámite administrativo. • Un incorrecto proceso de Adecuación y Certificación del Cumplimiento con PCI DSS genera riesgos en el caso de un compromiso o la identificación de un cumplimiento inadecuado. • Los únicos asesores con la garantía del PCI SSC como profesionales expertos en PCI DSS somos los QSA: cualquiera puede descargar la norma, pero no cualquiera puede ser un asesor homologado y asume las responsabilidades legales en la firma de SAQ o del ROC. Conclusiones
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88

Recomendados

Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...PECB
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013scttmcvy
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Cism course ppt
Cism course pptCism course ppt
Cism course pptsophiarock123
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuideAlienVault
 

Recomendados

Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...PECB
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013scttmcvy
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Cism course ppt
Cism course pptCism course ppt
Cism course pptsophiarock123
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates VISTA InfoSec
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuideAlienVault
 
Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0SureCloud
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementationRalf Braga
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overviewsameh Abulfotooh
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and YouSchellman & Company
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.360factors
 
Web application penetration testing lab setup guide
Web application penetration testing lab setup guideWeb application penetration testing lab setup guide
Web application penetration testing lab setup guideSudhanshu Chauhan
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 
PCI DSS
PCI DSSPCI DSS
PCI DSSDuy Do Phan
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 BenefitsDejan Kosutic
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
PCI DSS: What it is, and why you should care
PCI DSS: What it is, and why you should carePCI DSS: What it is, and why you should care
PCI DSS: What it is, and why you should careSean D. Goodwin
 
AppSec DC 2019 ASVS 4.0 Final.pptx
AppSec DC 2019 ASVS 4.0 Final.pptxAppSec DC 2019 ASVS 4.0 Final.pptx
AppSec DC 2019 ASVS 4.0 Final.pptxTuynNguyn819213
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
TechWiseTV Workshop: OpenDNS and AnyConnect
TechWiseTV Workshop: OpenDNS and AnyConnectTechWiseTV Workshop: OpenDNS and AnyConnect
TechWiseTV Workshop: OpenDNS and AnyConnectRobb Boyd
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
What are Passkeys.pdf
What are Passkeys.pdfWhat are Passkeys.pdf
What are Passkeys.pdfKeiko Itakura
 
Cyber attacks in Ukraine
Cyber attacks in UkraineCyber attacks in Ukraine
Cyber attacks in UkraineNick Bilogorskiy
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 

Mais conteúdo relacionado

Mais procurados

Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0SureCloud
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementationRalf Braga
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.360factors
 
Web application penetration testing lab setup guide
Web application penetration testing lab setup guideWeb application penetration testing lab setup guide
Web application penetration testing lab setup guideSudhanshu Chauhan
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
PCI DSS: What it is, and why you should care
PCI DSS: What it is, and why you should carePCI DSS: What it is, and why you should care
PCI DSS: What it is, and why you should careSean D. Goodwin
 
AppSec DC 2019 ASVS 4.0 Final.pptx
AppSec DC 2019 ASVS 4.0 Final.pptxAppSec DC 2019 ASVS 4.0 Final.pptx
AppSec DC 2019 ASVS 4.0 Final.pptxTuynNguyn819213
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
TechWiseTV Workshop: OpenDNS and AnyConnect
TechWiseTV Workshop: OpenDNS and AnyConnectTechWiseTV Workshop: OpenDNS and AnyConnect
TechWiseTV Workshop: OpenDNS and AnyConnectRobb Boyd
 
What are Passkeys.pdf
What are Passkeys.pdfWhat are Passkeys.pdf
What are Passkeys.pdfKeiko Itakura
 

Mais procurados (20)

Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0Looking Forward: What to Expect With PCI 4.0
Looking Forward: What to Expect With PCI 4.0
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementation
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS Compliance
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overview
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and You
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.
 
Web application penetration testing lab setup guide
Web application penetration testing lab setup guideWeb application penetration testing lab setup guide
Web application penetration testing lab setup guide
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptx
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
PCI DSS: What it is, and why you should care
PCI DSS: What it is, and why you should carePCI DSS: What it is, and why you should care
PCI DSS: What it is, and why you should care
 
AppSec DC 2019 ASVS 4.0 Final.pptx
AppSec DC 2019 ASVS 4.0 Final.pptxAppSec DC 2019 ASVS 4.0 Final.pptx
AppSec DC 2019 ASVS 4.0 Final.pptx
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
 
TechWiseTV Workshop: OpenDNS and AnyConnect
TechWiseTV Workshop: OpenDNS and AnyConnectTechWiseTV Workshop: OpenDNS and AnyConnect
TechWiseTV Workshop: OpenDNS and AnyConnect
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
 
What are Passkeys.pdf
What are Passkeys.pdfWhat are Passkeys.pdf
What are Passkeys.pdf
 
Cyber attacks in Ukraine
Cyber attacks in UkraineCyber attacks in Ukraine
Cyber attacks in Ukraine
 

Semelhante a PCI DSS: Justificacion del Cumplimiento

Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018
Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018
Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018eCommerce Institute
 
¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...
¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...
¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...EOI Escuela de Organización Industrial
 
Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014
Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014 Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014
Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014 eCommerce Institute
 
Marco Guirola - eCommerce Day El Salvador Online [Live] Experience
Marco Guirola - eCommerce Day El Salvador Online [Live] ExperienceMarco Guirola - eCommerce Day El Salvador Online [Live] Experience
Marco Guirola - eCommerce Day El Salvador Online [Live] ExperienceeCommerce Institute
 
Conexión AS2 para la transferencia de documentos electrónicos XML/EDI
Conexión AS2 para la transferencia de documentos electrónicos XML/EDIConexión AS2 para la transferencia de documentos electrónicos XML/EDI
Conexión AS2 para la transferencia de documentos electrónicos XML/EDIMario Pérez Villeda (Prospectiva)
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúProtiviti Peru
 

Semelhante a PCI DSS: Justificacion del Cumplimiento (20)

Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018
Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018
Tendencias de ecommerce en Bolivia - eCommerce Day Bolivia 2018
 
Comercios vpos alignet v06
Comercios vpos alignet v06Comercios vpos alignet v06
Comercios vpos alignet v06
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...
¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...
¿Qué formas de pago existen y qué debemos tener en cuenta? - Jordi Toro (Banc...
 
Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014
Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014 Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014
Presentación ¿Cómo cobrar en mi Tienda Online? - eCommerce Day Lima 2014
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
 
Presentación PayU
Presentación PayUPresentación PayU
Presentación PayU
 
Marco Guirola - eCommerce Day El Salvador Online [Live] Experience
Marco Guirola - eCommerce Day El Salvador Online [Live] ExperienceMarco Guirola - eCommerce Day El Salvador Online [Live] Experience
Marco Guirola - eCommerce Day El Salvador Online [Live] Experience
 
Seguridadpci
SeguridadpciSeguridadpci
Seguridadpci
 
Conexión AS2 para la transferencia de documentos electrónicos XML/EDI
Conexión AS2 para la transferencia de documentos electrónicos XML/EDIConexión AS2 para la transferencia de documentos electrónicos XML/EDI
Conexión AS2 para la transferencia de documentos electrónicos XML/EDI
 
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile
 
Pos
PosPos
Pos
 
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. PerúBrochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
Brochure Curso de Cumplimiento de la Norma PCI DSS 2.0. Perú
 

Mais de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 

Mais de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 

Último

RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdfRESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdfcoordinadorprimerode
 
Módulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptxMódulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptxMiguelAngelCifuentes10
 
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdfElegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdfanthonyramos422819
 
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11THALIAEUGENIOMAIZ
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxUniversidad de Bielefeld
 
Guía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdfGuía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdfJohn Muñoz
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...#LatamDigital
 
Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.JOSE69482
 
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdfDS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdfKAREN553987
 
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...ulisesochoa5
 
PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...delvalleelizabeth400
 
Inteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptxInteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptxJuanDiegoMeloLosada
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIAobandopaula444
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMalejandroortizm
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfDanielaEspitiaHerrer
 

Último (15)

RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdfRESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
RESPUESTAS-Evaluacion-Trimestral-1-Sexto-grado-2023-2024.pdf
 
Módulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptxMódulo 3 escuela activa presentacion.pptx
Módulo 3 escuela activa presentacion.pptx
 
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdfElegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
Elegant_and_Professional_Company_Business_Proposal_Presentation (1).pdf
 
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
PLANIFICACIÓN 2°SEC-PUERTO RICO. 2024 .04.11
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptx
 
Guía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdfGuía para registrarse en slideshare..pdf
Guía para registrarse en slideshare..pdf
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
 
Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.Cultura digital diferentes tipos de fraudes ciberneticos.
Cultura digital diferentes tipos de fraudes ciberneticos.
 
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdfDS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
DS 011-2023-MTC.pdf DISTANCIAS DE CARRETERAS.pdf
 
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
triptico de redes sociales ejemplo para que te puedas bazar en la realizacion...
 
PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...PowerPoint y sus partes más contenidos...
PowerPoint y sus partes más contenidos...
 
Inteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptxInteligencias Artificiales: Herramientas de internet.pptx
Inteligencias Artificiales: Herramientas de internet.pptx
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
 
Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdf
 

PCI DSS: Justificacion del Cumplimiento

  • 1. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88 PCI DSS, JUSTIFICACIÓN DEL CUMPLIMIENTO DANIEL FERNÁNDEZ BLEDA, GLOBAL SALES MANAGER CISM, CISA, CISSP, CHFI, OPST/A, ISO 27001 LEAD AUDITOR
  • 2. AGENDA 1. PCI SSC y Auditores 2. Ecosistema del Normas PCI 3. PCI DSS: Antecedentes, Tipo de Información de Datos de Pago, Requerimientos v3.2, ¿Porqué cumplir?, ¿Y por qué una empresa de CC&BPO?, ¿Certificación, Cumplimiento, ROC, SAQ? 4. Requerimientos de Validación 5. Cuestionarios de Auto-Evaluación (SAQ): Tipos de SAQ, Errores comunes tratando con los SAQ 6. Metodología de Cumplimiento de PCI DSS 7. Puntos clave para tener éxito en un proceso de Cumplimiento 8. Conclusiones
  • 3. PCI SSC y Auditores ▪ PCI Security Standards Council (PCI SSC) se crea el año 2006 y está formado por las principales compañías emisoras de tarjetas de crédito: VISA, MASTERCARD, AMERICAN EXPRESS, JCB y DISCOVER. ▪ Gestiona los diferentes estándares de la familia PCI, la homologación de Auditores de las diferentes normas, las aplicaciones certificadas PA-DSS… ▪ Implementa rigurosos procesos de validación y QA a las empresas para garantizar la solvencia y calidad de los auditores y sus entregables.
  • 4. PCI DSS PA-DSS PCI PTS POI - HSM PCI Card Production P2PE PCI PTS PIN SECURITY Ecosistema de Normas PCI
  • 5. PCI DSS: Antecedentes ▪ Estándar de seguridad que abarca todas las tarjetas de crédito/débito que son emitidas sobre cualquier franquicia perteneciente al PCI SSC. ▪ Fruto del esfuerzo del PCI Security Standards Council (PCI SSC) y resultado de los programas de seguridad inicialmente creados por VISA y Mastercard. ▪ La primera versión común data del año 2004. ▪ La versión vigente desde octubre de 2017 es la 3.2.
  • 6. PCI DSS: Tipo de Información Datos de Pago La información de tarjetas de pago es la información que pertenece a las tarjetas de crédito/débito y a sus propietarios. Esta información está clasificada en 2 categorías:  Información de titulares de tarjeta:  Número Primario de Cuenta (PAN)  Nombre Titular  Fecha de Vencimiento  Información Sensible de Autenticación:  Información de la Banda Magnética  Código de Validación de Tarjeta (CVV o CVV2)
  • 7. Principios Requerimientos Construir y Mantener una Red Segura 1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas 2. No emplear parámetros de seguridad y usuarios del sistema por defecto Proteger los datos de tarjetas 3. Proteger los datos almacenados de tarjetas 4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas Mantener un Programa de Gestión de Vulnerabilidades 5. Usar y actualizar regularmente software antivirus 6. Desarrollar y mantener de forma segura sistemas y aplicaciones Implementar Medidas de Control de Acceso 7. Restringir el acceso a la información de tarjetas según la premisa “need-to-know” 8. Asignar un único ID a cada persona con acceso a computadores 9. Restringir el acceso físico a la información de tarjetas Monitorizar y Testear Regularmente las Redes 10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas 11. Testear de forma regular la seguridad de los sistemas y procesos Mantener una Política de Seguridad de la Información 12. Mantener una política que gestione la seguridad de la información PCI DSS: Requerimientos v3.2
  • 8. Amenazas Reducimos el efecto de: • Fraudes • Malware • Inseguridad en sus aplicaciones (OWASP TOP 10) • Robo de Información • Errores humanos: • Malas configuraciones TIC • Empleados mal entrenados o descontentos Consecuencias: • Pérdida de confianza de los clientes • Notificación de brechas (regulaciones en algunos países lo exigen) • Multas y sanciones • Impacto en la reputación corporativa PCI DSS: ¿Por qué cumplir?
  • 9. PCI DSS: ¿Y por qué una empresa de CC&BPO?  Cualquier empresa que TRATE, TRANSMITA O ALMACENE datos de tarjetahabiente debe implementar y cumplir en el tiempo con los requerimientos de PCI DSS.  Las empresas de CC&BPO pueden:  Tratar: obteniendo los datos de tarjeta del cliente final o del cliente al que le prestan servicios.  Almacenar: sea temporal o “permanentemente” los datos de pago para realizar operaciones en nombre del cliente.  Transmitir: sea de forma digital, telefónica o física de los datos de pago.  Dependiendo del escenario de trabajo de prestación de servicios se puede ampliar o reducir los requerimientos a cumplir: tecnología del cliente, VDI, instalaciones donde se presta el servicio.
  • 10. PCI DSS: ¿Certificación, Cumplimiento, ROC, SAQ?  La norma no tiene niveles de cumplimiento.  NO se “elige” el nivel de cumplimiento.  La cantidad de transacciones anuales en comercios o proveedores de servicio determina el nivel de la empresa y este nivel ÚNICAMENTE determina la forma en la que demostrar que estamos cumplimiento con la norma: Auditoría o SAQ.  La Certificación de PCI DSS suele asociarse a la Auditoría pero no ésta es la única forma de validar el cumplimiento.  Certificar el Cumplimiento en la norma se consigue también mediante el Cuestionario de Auto-Evaluación (SAQ).  Tanto la Auditoría, que únicamente puede llevar a cabo una compañía QSA, como el SAQ, que puede ser firmado por el QSA, validan o “certifican” el cumplimiento.
  • 11. Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 6 Millones de transacciones. Comprometidos en alguna brecha. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 6 Millones de transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 De 1 a 6 Millones Llenado SAQ. Escaneos trimestrales ASV, AOC. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. De 1 a 6 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. Requerimientos de Validación: Comercios (I)
  • 12. Nivel / Marca Visa MasterCard American Express Discover 3 De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 Millón. Llenado SAQ. Escaneos trimestrales ASV. Menos de 50 mil. Llenado SAQ. Escaneos trimestrales ASV. De 20 mil a 1 millón. Llenado SAQ. Escaneos trimestrales ASV. 4 Menos de 20 Mil. Llenado SAQ. Escaneos trimestrales ASV. Los demás comercios. Llenado SAQ. Escaneos trimestrales ASV. N/A. Los demás comercios. Llenado SAQ. Requerimientos de Validación: Comercios (II)
  • 13. Nivel / Marca Visa MasterCard American Express Discover 1 Mas de 300 mil transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 300 mil de transacciones. Comprometidos en alguna brecha. Cualquier TPP. Auditoria Anual por QSA. Escaneos Trimestrales por ASV, AOC, Remitir el ROC. Mas de 2.5 millones de transacciones. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. Mas de 300 mil transacciones. Asignados a ser Nivel 1. Auditoria Anual por QSA. Escaneos Trimestrales por ASV. 2 Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV, AOC. Menos de 300 mil transacciones Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación. De 50 mil a 2.5 millones de transacciones. Llenado SAQ. Escaneos trimestrales ASV. Menos de 300 mil transacciones. Llenado SAQ. Escaneos trimestrales ASV. Los PS en incumplimiento deben enviar plan de remediación. Requerimientos de Validación: Proveedores de Servicio
  • 14. Autoformularios SAQCuestionarios de Auto-Evaluación (SAQ) • ¿Por qué existen diferentes tipos de SAQ? • No todos los Comercios o Proveedores son iguales en sus procesos de pago: • Diferentes arquitecturas Tecnológicas: propias, del cliente o de terceros • E-commerce o venta presencial: IPSP, captura de datos, POS en LANs, etc. • Desarrollo de software o uso de productos de pago (PA-DSS) • Cada Tipo SAQ incluye un subconjunto de controles de PCI DSS aplicados a un escenario específico de procesos de pago. • Firmado por un QSA tiene la misma validez que un Informe de Auditoría (ROC).
  • 15. Descripción SAQ Preguntas • Transacciones no presenciales (e-commerce, telefónicas) • Nunca para compras presenciales A 22 • E-commerce con re-dirección a terceras partes para el pago • No se almacenan datos de tarjeta A-EP 193 • Sólo se imprimen los datos de tarjeta, pero no se almacenan • Comercios con terminales independientes, por líneas telefónicas • No se almacenan los datos de tarjeta B 41 • Comercios con terminales independientes, a través de IP • Sin e-commerce • No se almacenan datos de tarjeta B-IP 88 Tipos de SAQ
  • 16. Descripción SAQ Preguntas • Los sistemas que procesan las transacciones están conectados a Internet • No se almacenan datos de tarjeta C 162 • Terminales virtuales basados en web sin almacenamiento electrónico de datos de los titulares de tarjeta C–VT 85 • Cualquier comercio que no encaje en las opciones anteriores D-MER 348 • Proveedores de Servicios que la marca establezca D-SP 369 • Terminales de pago (h/w) en una solución PCI P2PE • Sin e-commerce • No se almacenan datos de tarjeta P2PE 33 Tipos de SAQ
  • 17. • Tratarlo como un simple tramite • Considerar que un SAQ evita una multa • Diligenciar el SAQ sin realizar validaciones • SAQ diligenciado por alguien sin conocimientos pertinentes: • Escoger el SAQ incorrecto • Dar respuestas incorrectas (por omisión o desconocimiento) Errores Comunes tratando con los SAQ
  • 18. El éxito de un proyecto de PCI DSS se basa en: • Seguir una metodología robusta • Contar con el asesoramiento adecuado en todo el proyecto: los QSA existen por alguna razón, somos los únicos expertos con garantías. • Gap Análisis preciso es clave en la toma de decisiones posterior • Tener clara una estrategia de cumplimiento: Plan de Acción • Definir proyectos de cumplimiento con objetivos y responsables • No esperar a la ejecución de los proyectos para que estos sean validados por un QSA: el QSA es un aliado, no sólo el auditor al final del proceso. Puntos clave para el éxito de un proyecto de PCI DSS
  • 19. Metodología de Implementación de PCI DSS •Identificación del entorno y diagnóstico de cumplimiento •Familiarización con PCI DSS •Informe de Estado de Cumplimiento FASE I: Análisis del Estado de Cumplimiento •Identificación de riesgos asociados al robo de datos de tarjeta •Valoración de riesgos FASE II: Valoración de Riesgos y Priorización de Acciones •Selección de Controles y Medidas de Seguridad •Creación del Plan de Acción para la Adecuación FASE III: Programa de Cumplimiento
  • 20. Metodología de Implementación de PCI DSS • Adecuación y/o Creación de Políticas, Normas y Procedimientos de Seguridad • Definición de Métricas e Indicadores • Diseño de soluciones para eliminación de datos de tarjetas e información sensible de autenticación • Diseño de arquitecturas de red segura • Definición o adecuación de metodologías de desarrollo que integren la seguridad en su ciclo de vida • Definición y aplicación de estándares de configuración segura de sistemas y dispositivos de red • Despliegue de Firewall de Aplicación • Despliegue de IDS/IPS • Despliegue de Firewalls y Routers • Integración de herramientas SIEM • Adecuación de aplicaciones • Despliegue de sistemas VDI FASE IV: Implantación de Requerimientos para la Adecuación
  • 21. Metodología de Implementación de PCI DSS • Despliegue de sistemas de acceso remoto basados en doble factor de autenticación • SOC de Respuesta a Incidentes • Despliegue de WIPS (Wireless IPS) • Despliegue de HSM • Servicios de hosting, colocation, housing y/o cloud • Despliegue de soluciones antivirus • Despliegue, configuración y mantenimiento de sistemas de gestión de identidades • Despliegue, configuración y mantenimiento de servidores web, aplicaciones, servidores de salto, LDAP, NTP, etc. • Formación a empleados (desarrollo de software, backoffice, sistemas, seguridad, etc.) • Soporte y/o adecuación de bases de datos • Despliegue de sistemas de tokenización FASE IV: Implantación de Requerimientos para la Adecuación
  • 22. Metodología de Implementación de PCI DSS •Auditoría de Certificación del Cumplimiento: o Preparación y Ejecución del Plan de Auditoría o Elaboración del Informe de Cumplimiento (ROC) y documentación para las franquicias de tarjetas •Preparación de SAQ para reporte de Cumplimiento: o Toma de Evidencias del cumplimiento o Diligenciamiento del SAQ adecuado FASE V: Certificación del Cumplimiento
  • 23. Metodología de Implementación de PCI DSS •Actividades de Seguimiento, Gestión de la OTP y Reporting •Revisiones Técnicas de Seguridad (Análisis de Vulnerabilidad ASV e Internos, Test de Intrusión Externos e Internos, Escaneos WiFi y Revisión de reglas de Firewall) •Actualización del AA.RR. •Asesoramiento ante cambios en los procesos del Entono •Formación y Concientización (personal de backoffice, SAU, técnico, sistemas,desarrollo, etc.) •Revisión del Cumplimiento de Proveedores de Servicios •Cuadro de Mandos del Cumplimiento •Revisiones Técnicas y Pruebas tras Cambios •Servicios de Respuesta y Gestión de Incidentes 24x7 •Respuesta a terceros sobre Cumplimiento •Adecuación del Marco Normativo Documental ante cambios Mantenimiento del Cumplimiento: Oficina Técnica de PCI DSS (OTP) Procesos de Seguridad Business-as-usual
  • 24. • Se debe tener bien definida la clasificación de nuestra compañía como comercio o proveedor de servicio: escoger adecuadamente SAQ o tener que realizar la Auditoría. • El diligenciamiento de el SAQ debe ser una tarea a conciencia y soportada con evidencias, no es un mero trámite administrativo. • Un incorrecto proceso de Adecuación y Certificación del Cumplimiento con PCI DSS genera riesgos en el caso de un compromiso o la identificación de un cumplimiento inadecuado. • Los únicos asesores con la garantía del PCI SSC como profesionales expertos en PCI DSS somos los QSA: cualquiera puede descargar la norma, pero no cualquiera puede ser un asesor homologado y asume las responsabilidades legales en la firma de SAQ o del ROC. Conclusiones
  • 25. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88
  • 26. C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com www.isecauditors.com Calle 90 # 12-28 110221 Bogotá (Colombia) Tel: +57 (1) 638 68 88 Fax: +57 (1) 638 68 88