Consideraciones y retos de seguridad en transacciones con ... · de compañías de tarjetas de...
Transcript of Consideraciones y retos de seguridad en transacciones con ... · de compañías de tarjetas de...
Consideraciones y retos de seguridad
en transacciones con tarjeta de crédito
por teléfono
Ing: Rodrigo Ferrer QSA PCI DSS
Agenda
1. Introducción
2. El problema
3. Convergencia
4. Tipos de comunicación
5. PCI DSS
6. Escenarios de riesgo posibles
7. Personas, procesos y tecnología
8. Conclusiones
¿Qué es PCI DSS?
Origen
La norma PCI DSS (Payment Card Industry Data Security Standard) fue desarrollada por un conjuntode compañías de tarjetas de débito y crédito en el año 2006 entre las que estaban: America Express,Discover, JCB, Mastercard y VISA. De esta unión se creó el Payment Card Industry Security StandardsCouncil (PCI-SSC), el cual es responsable de la creación, desarrollo, y difusión de la norma PCI DSS.
Requisitos
PCI es una de las normas más exigentes a nivel mundial en lo relacionado con la protección de lainformación sensible debido al énfasis que pone en los requerimientos de tipo tecnológicos y larigurosidad que exige en el proceso de evaluación para otorgar la certificación de cumplimiento. Laevaluación, para obtener la certificación, exige que el 100% de los requerimientos y sub-requerimientos estén implementados correctamente. Se logra así una mejora sustancial en laciberseguridad y la protección de la información.
Aspectos considerados por PCI DSS
Requerimientos Descripción del Requerimiento
1 Instalar y mantener un firewall para proteger los datos de sensibles.2 No utilizar los valores predeterminados suministrados por el proveedor.3 Proteger los datos almacenados sensibles.4 Cifrar la transmisión de los datos sensibles a través de redes públicas abiertas.5 Usar y actualizar con regularidad el software antivirus y contar con una consola centralizadora.6 Desarrollar y mantener aplicaciones seguras.7 Limitar el acceso a los datos sensibles.8 Asignar una identificación única a cada persona con acceso a los sistemas.9 Restringir el acceso físico a los datos sensibles.
10 Rastrear y monitorizar todo acceso a los recursos de la red y a los datos sensibles.11 Realizar continuamente análisis de vulnerabilidades y test de intrusión.
12 Mantener una política que aborde la seguridad de la información, riesgos e incidentes
PCI DSS Vs ISO 27001 Vs ISO 27032
Administrativos
Mantener política de seguridad
Tecnológicos
Instalar y mantener un firewall
No usar valores por defecto
Proteger datos almacenados y en tránsito
Uso de antivirus
Desarrollo de sistemas
Control de acceso
Supervisar recursos
Probar con regularidad los sistemas
Físicos
Restringir el acceso físico
En PCI DSS es notable la preeminenciade controles tecnológicos para protegerla información y optimizar laciberseguridad
• Mantener una cultura de seguridadde la información
• Definir roles y responsabilidades
• Optimizar la contratación depersonal
• Implementar controles físicos
• Programa de sensibilización
Personas
• Procedimientos para asegurar mediosfísicos
• Procedimientos para no almacenarinformación sensible
• Procedimientos de borrado seguro
• En caso de contar con outsourcing delservicio se debe delimitar claramente lasresponsabilidades
• Procedimientos para evitar el uso decelulares y otros dispositivos que permitanalmacenar datos sensibles
Procedimientos
• Contar con firewalls y antivirus en lasestaciones de trabajo
• Instalar actualizaciones de seguridad
• Contar con estándares de seguridad
• Deshabilitar servicios no requeridos
• Utilizar criptografía fuerte para datossensibles
• Registros de las actividades realizadas enespecial sobre los IVR
• Utilizar protocolos seguros (SIPS, SRTP)
Tecnología
• PCI DSS v3.21
• ISO 27001:2013
• ISO 27032
• www.semafone.com
• www.theintercept.com
• www.flexispy.com
• www.intercept.ws
• Book: No place to hide (Glenn Greenwald)
• www.zeitonline.com
Bibliografía