Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
How to use Redis with MuleSoft. A quick start presentation.
Introducción a PCI DSS
1. Introducción a PCI, Payment Card Industry
Oscar Reyes Hevia, consultor de tecnología
Agosto 2015
2. Los Datos de las
Tarjetas de Pago son
un Objetivo muy
deseable para los
Delincuentes...
3. ...siempre han estado en la
parte superior de la lista
de datos más robados
Los Datos de las
Tarjetas de Pago son
un Objetivo muy
deseable para los
Delincuentes...
4. Los métodos más utilizados explotan debilidades de seguridad
presentes en el medio ambiente.
5. 2005
40 millones
de tarjetas perdidas
2007
45,7 millones
de tarjetas perdidas
2009
160 millones
de tarjetas perdidas
2013
1,8 millones
de tarjetas perdidas
Procesador de tarjetas de
pago
• Acceden a base de datos
con conectividad directa a
Internet.
• Empresa ya no está en el
negocio.
Importante minorista Retail
• Malware no detectado por 18
meses.
• Informes sugieren costos
directos del orden de 256
millones de dólares.
Procesador de pagos
• Malware se utilizó para
capturar datos de los
tarjetahabientes, ya
procesados.
• Informes sugieren costos
directos cercanos 171
millones de dólares.
Minorista de alimentos
• Malware instalado en POS
robo datos cuando estos
eran capturados.
• Costos estimados podrían
superar los 80 millones de
dólares.
Mayores Robos de tarjetas
6. Métodos más usados para el robo de datos
de tarjetas
29%
35%
40%
52%
76%Explotación de credenciales débiles o robados
Involucra algún tipo de piratería
Incorpora malware
Involucra agresiones físicas
Uso de tácticas sociales
7. • Contraseñas débiles o por defecto
• Falta de educación de los empleados
• Deficiencias de seguridad introducidas por terceros
• Lenta autodetección
Principales Errores
Revelados por auditorías forenses
9. Fecha de vencimiento de tarjetas
Números de tarjetas
Códigos de verificación
Datos de banda
Otro
81%
73%
71%
57%
16%
Una encuesta en Europa y U.S. reveló que muchas empresas
almacenan información de tarjetahabientes
10. Una encuesta de PwC efectuada a 9.700 empresas
encontró que habían detectados casi 43 millones de
incidentes de seguridad en 2014, una tasa de crecimiento
anual compuesto del 66% desde 2009
11. De los ejecutivos de US están preocupados por el impacto de las
amenazas cibernéticas en el crecimiento.
Nuevas iniciativas están aumentando los ingresos, pero
69%
12. 69%
La fuerza de ventas se esfuerza por mejorar la experiencia
cliente, pero
De los consumidores dijo que una brecha de seguridad los
inclinaría a comprar menos en la organización involucrada.
14. Las Normas de Seguridad
de Datos (DSS) de la
Industria de Tarjetas
de Pago (PCI) se
desarrollaron para fomentar
y mejorar la seguridad
de los datos del titular de la
tarjeta y facilitar las
medidas de seguridad
consistentes a nivel mundial.
16. • Ofrece una línea de base de requisitos
técnicos y operativos diseñados para
proteger los datos de titulares de tarjetas.
• Comprende conjunto mínimo de
requisitos para la protección de datos de
tarjeta, puede ser reforzada por controles
y prácticas para mitigar aún más riesgos
adicionales.
• Se aplica a todas las entidades
involucradas en el procesamiento de
tarjetas de pago - incluyendo
comerciantes, procesadores,
adquirentes, emisores y proveedores de
servicios.
• Se aplica donde se almacenan los datos
de cuenta, procesan o transmiten.
Payment Card Industry
Data Security Standard
(PCI DSS)
17. Ecosistema de dispositivos de pago, aplicaciones, infraestructura y usuarios
ESTÁNDARES EN LA INDUSTRIA PCI
Fabricantes
PCI PTS (PIN Entry
Device)
Dispositivos de ingreso
de PIN
Desarrolladores de
software
PCI PA DSS
Implementadores de
aplicaciones de pago
Comercios y procesadores
PCI DSS
Estándar de Seguridad de datos
P2PE
PCI Security
& Compliance
18. UN PROCESO DE MEJORA CONTINUA
Remediar
Evaluar
Informar
Resolver vulnerabilidades y no
almacenar datos de titulares de tarjeta a
menos que sea estrictamente necesario.
Identificar datos de tarjetahabientes,
hacer un inventario de activos de TI y los
procesos de negocio para
procesamiento de tarjetas de pago,
analizarlos para determinar
vulnerabilidades que podrían exponer
los datos de los tarjetahabientes.
Compilar y presentar los registros de validación de remediales (si
aplican),presentar informes de conformidad a banco adquirente y
marcas de tarjetas involucradas.
19. 123
0000 0001 2345 6789
02/10
Mi tarjeta de crédito
Tarjeta de crédito
123
PAN
Fecha vencimiento
CID
(American Express)
Banda magnética
(Información en track 1 y 2)
CAV2/CID/CVC2/CVV2
(Discover,JCB, MasterCard, Visa)
TIPOS DE DATO ENTARJETAS DE PAGO
20. Elementos de datos Almacenamiento permitido
Hace que los datos de la
cuenta almacenados no se
puedan leer según requisito 3.4
Datos de titular del
tarjeta
Número de cuenta principal
(PAN)
Sí Sí
Nombre del titular de tarjeta Sí No
Código de servicio Sí No
Fecha de vencimiento Sí No
Datos confidenciales de
autenticación
Datos completos de la banda
magnética
No
No se pueden almacenar
(req3.2)
CAV2/CVC2/CVV2/CID No
No se pueden almacenar
(req3.2)
PIN/Bloqueo de PIN No
No se pueden almacenar
(req3.2)
Datosdelacuenta
Los requisitos 3.3 y 3.4 sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta,
únicamente el PAN debe ser ilegible (Req3.4).
21. • Mucha gente se refiere a toda la data de la
tarjeta simplemente como la data del
tarjetahabiente o la data del propietario de
tarjeta.
• Los requisitos de PCI DSS son aplicables si
el PAN o data sensible de autenticación
(Sensitive Authentication data, SAD) son
almacenados, procesados o trasmitidos.
• Los requisitos de PCI DSS también aplican
a sistemas que proveen servicios de
seguridad o podrían impactar en la
seguridad de los datos de cuenta.
• Datos de cuenta incluyen toda la
información impresa sobre la tarjeta física y
también sobre bandas magnéticas o chip.
• Data sensible de autenticación no puede
s e r a l m a c e n a d a d e s p u é s d e l a
autorización.
¿A qué se le llama
"data del propietario de tarjeta"?
22. • No está permitido almacenar
Tracks u otros datos sensibles
después de la autorización.
• Esto se aplica incluso si los datos
están protegidos por:
• Cifrado
• Protección por contraseña
• Codificación de datos /
ofuscación
• Enmascaramiento
• Formatos de datos propietarios
• Otros mecanismos
Almacenamiento de tracks
NO está permitido
23. Almacenamiento de tracks
NO está permitido
Emisores y procesadores están autorizados a conservar
datos sensibles, si son necesarios para efectos de
correcciones.
Excepción
24. • Bases de datos
• Archivos planos
• Archivos de registro (logs)
• Archivos de depuración (debug files)
• Unllocated cluster
Los datos de tracks se pueden
encontrar en una variedad de
ubicaciones:
25. • Servidores de soluciones POS
• POS
• Servidores de autorización
• Equipos de autoservicios como ATMs y quioscos
¿ D o n d e c o m ú n m e n t e s e
almacena información de tracks
de tarjetas?
26. • Solucionar lectura erróneas de pista
• Errores de red
• Problemas de codificación
• Otros
¿Por qué está permitido el
almacenamiento temporal de
datos de tracks?
27. • Recopilación de datos sólo cuando sea necesario para resolver un
problema específico.
• Recolección mínima de datos.
• Almacenamiento de datos en ubicaciones específicas, seguras y con
acceso limitado.
• Cifrado de datos cuando se almacenan / transmiten.
• Eliminación de datos de forma segura, inmediatamente solucionado
el problema.
• Verificación que la data no puede ser recuperada una solucionado
el problema.
Procedimientos de recopilación
de data documentados incluyen:
29. Objetivos Requisitos
Desarrollar y mantener una red segura
Requisito 1. Instalar y mantener una configuración de cortafuegos para proteger los datos de
propietarios de tarjetas.
Requisito 2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados
provistos por los proveedores.
Proteger los datos de los propietarios de las tarjetas
(tarjetahabientes).
Requisito 3. Proteger los datos almacenados de los propietarios de tarjetas.
Requisito 4. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida
a través de redes públicas abiertas.
Mantener un programa de gestión de
vulnerabilidades
Requisito 5. Usar y actualizar periódicamente un software antivirus.
Requisito 6. Desarrollar y mantener aplicaciones seguras.
Implementar medidas sólidas de control de acceso
Requisito 7. Restringir el acceso a los datos, tomando como base la necesidad del funcionario a
conocer la información.
Requisito 8. Asignar una identificación única a cada persona que tenga acceso a un
computador.
Monitorear y probar regularmente las redes
Requisito 9. Restringir el acceso físico a los datos de los propietarios de tarjetas.
Requisito 10. Rastrear y monitorear todo el acceso a los recursos de la red y datos de
propietarios de tarjetas.
Mantener una política de seguridad de la
información
Requisito 11. Probar regularmente los sistemas y procesos de seguridad.
Requisito 12. Mantener una política que contemple la seguridad de la información.
Tabla de requisitos PCI DSS
30. La forma más
segura de reducir
el alcance de PCI
DSS es
NO almacenar
los datos de los
tarjetahabientes
31. FORMATO PCI DSSV3
• Requerimiento PCI DSS: Esta columna define los requisitos de la norma de seguridad de datos; El cumplimiento
de PCI DSS se valida con estos requisitos.
• Procedimiento de prueba: Esta columna muestra los procesos a seguir por el evaluador para validar que se han
cumplido los requisitos de PCI DSS y están "en su lugar".
• Guía: Esta columna describe la intención o la seguridad objetiva detrás de cada uno de los requisitos de PCI DSS.
Esta columna contiene orientativo, y está destinado a facilitar la comprensión del propósito de cada requisito. la
guía en esta columna no pretende sustituir o ampliar los requisitos de PCI DSS y procedimientos de prueba.
Requerimiento PCI DSS Procedimiento de prueba Guía
1.1 Establezca e implemente normas de
configuración para firewalls y routers que
incluyan lo siguiente:
1.1Inspeccione las normas de configuración
de firewalls y routers y otros documentos
especificados a
continuación para verificar el cumplimiento e
implementación de las normas.
Los firewalls y los routers son componentes
clave de la arquitectura que controla la
entrada a y la salida de la
red. stos dispositivos son unidades de
software o hardware que bloquean el acceso
no deseado y administran
el acceso autorizado hacia dentro y fuera de la
red.
34. El objetivo de PA-DSS
es ayudar a los
proveedores de
software y otros a
desarrollar aplicaciones
de pago seguras y que
den cumplimiento a
PCI-DSS
35. Aplicaciones que se
venden, distribuyen o
autorizan bajo licencia
a terceros están
sujetas a los requisitos
de la PA-DSS
36. La forma más
segura de reducir
el alcance de PCI
DSS es
NO almacenar
los datos de los
tarjetahabientes
Un software
aprobado no es
equivalente a ser
"PCI Compliance"
37. "Mi software está aprobado, por lo que debería estar en conformidad con PCI“.
Esto es incorrecto, cualquier comercio que hace que esta conclusión errónea
podría estar abierto a vulnerabilidades, que negarían la posibilidad de
cumplimiento de PCI.
38. Un software de PA-DSS aprobado es un componente crucial de PCI DSS,
pero si la seguridad de la red no se implementó correctamente, entonces la
aplicación será vulnerable.
39. • El uso de aplicaciones PA-DSS por sí
mismo no hace a una entidad
conforme con PCI-DSS.
• Las aplicaciones PA-DSS están dentro
del alcance de PCI-DSS.
• Las evaluaciones de PCI-DSS para
aplicaciones de pago deberían
verificar que:
Las aplicaciones de pago se implementan
en un entorno compatible con PCI-DSS.
Las aplicaciones de pago están
configuradas para cumplid los requisitos de
PCI-DSS, de acuerdo con la Guía de
aplicación PA-DSS.
¿Cómo impacta una aplicación
PA-DSS en PCI-DSS?
40. • PA-DSS se aplica a las software de
terceros:
• Si la aplicación realiza autorizaciones o
pagos (POS, carritos de la compra, ATMs,
etc.)
• PA-DSS garantiza que una aplicación de
pago, funciona de manera compatible
con PCI-DSS:
• Para apoyar el cumplimiento de PCI-DSS.
• Las aplicaciones de pago PA-DSS se
deben instalar:
• Según instrucción de la guía de
implementación PA-DSS proporcionados
por el proveedor.
• De una manera compatible con PCI-DSS.
Payment Application Data
Security Standard
41. Requisitos PA DSS
Requisito 1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2,
CVV2), ni los datos de PIN block
Requisito 2. Proteja los datos del titular de la tarjeta que fueron almacenados
Requisito 3. Provea funciones de autenticación segura
Requisito 4. Registre la actividad de la aplicación de pago
Requisito 5. Desarrolle aplicaciones de pago seguras
Requisito 6. Proteja las transmisiones inalámbricas
Requisito 7. Pruebe las aplicaciones de pago para tratar las vulnerabilidades
Requisito 8. Facilite la implementación de una red segura
Requisito 9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a Internet
Requisito 10. Facilite actualizaciones de software remotas y seguras
Requisito 11. Facilite un acceso remoto seguro a la aplicación de pago
Requisito 12. Cifre el tráfico sensitivo de las redes públicas
Requisito 13. Cifre el acceso administrativo que no sea de consola
Requisito 14. Mantenga la documentación instructiva y los programas de capacitación para clientes, revendedores e
integradores
Tabla de requisitos PA DSS
43. Referencias
• Verizon 2015 PCI Compliance Report
• Verizon 2012 Informe sobre investigación de brechas en los datos de 2012
• US cybercrime: Rising risks, reduced readiness Key findings from the 2014 US State of Cybercrime
Survey, PwC 2014
• PCI DSS Quick Reference Guide, Understanding the Payment Card Industry Data Security
Standard v3.1
• Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment
Procedures, v3.0, November 2013
• Summary of Feedback Received for PCI DSS v2.0 and PA-DSS, v2.0, August 2012
• Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security
Standard, v3.0 Change Highlights August 2013
• Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Requisitos y procedimientos de
evaluación de seguridad, v2.0, Octubre de 2010
• Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and
Security Assessment Procedures, V2.0, October
• Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and
Security Assessment Procedures, v3.0, November 2013
• International standards ISO 7813 (tracks 1 and 2) and ISO 4909 (track 3).