11/09/2013

1

ObjetivoObjetivo

•• Roles y responsabilidades de cumplimiento ante los requisitos de PCI Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de DSS en los diferentes servicios en la nube y sus modelos de desplieguedespliegue

•• Retos asociados con la validación de cumplimiento de PCI DSS en un Retos asociados con la validación de cumplimiento de PCI DSS en un entorno de nube .entorno de nube .

•• Consideraciones de seguridad empresarial y técnica para el uso de Consideraciones de seguridad empresarial y técnica para el uso de tecnologías en la nube .tecnologías en la nube .

•• Recomendaciones para el inicio de las discusiones acerca de los Recomendaciones para el inicio de las discusiones acerca de los servicios de nube.servicios de nube.

11/09/2013

2

Comprensión del entornoComprensión del entorno

Analizar Planificar Documentar

Comprensión del entornoComprensión del entorno

Seleccionar plataforma y estándar de evaluación

Identificar los riesgos y requerimientos de control

Conocer las necesidades de aplicación para el Negocio

Modelos de servicio Modelos de servicio

11/09/2013

3

IaaS PaaS SaaS

Comprensión del entornoComprensión del entorno

HardwareSoftware

Conectividad

IaaSIaaS

ServicioSoporte

Aplicaciones del Proveedor

SaaSSaaS

Desarrollo Despliegue de Aplicaciones del Cliente

PaaSPaaS

Aplicación Aplicación Plataforma Plataforma

Infraestructura Infraestructura Virtualización Virtualización

Recursos físicos Recursos físicos

Comprensión del entornoComprensión del entorno

11/09/2013

4

DefinicionesDefiniciones

Alcance de responsabilidad Cliente/Proveedor por tipo de servicioAlcance de responsabilidad Cliente/Proveedor por tipo de servicio

IaaSIaaS SaaSSaaSPaaSPaaS

Datos

Software y aplicaciones de usuarios

Sistemas operativos y bases de datos

Infraestructura Virtual

Hardware e infraestructura de red

Data Center (instalaciones físicas, infraestructura de seguridad, energía)

Alcance del Alcance del servicioservicio

Alcance de Alcance de responsabilidadesresponsabilidades

Alcance de los Alcance de los controlescontroles

Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

• Gestión del servicio• Tratamiento de datos• Gestión de registros• Gestión de

componentes del servicio (Documentación y RRHH)

MARCO MARCO CONTRACTUALCONTRACTUAL

11/09/2013

5

Las responsabilidades delineadas entre el Cliente y el CSP para la gestión de los controles de PCI DSS están influenciados por un determinado número de variables :

• Finalidad para la que el cliente está utilizando el servicio de nube .

• Ámbito de aplicación de los requisitos de PCI DSS que el cliente externaliza en el CSP.

• Los servicios y componentes de los procesos de ejecución que el CSP ha validado dentro de sus propias operaciones.

• La opción de servicio que el cliente ha seleccionado para contratar al CSP ( IaaS , PaaS o SaaS ).

• El alcance de los servicios adicionales que el CSP proporciona al Cliente de forma proactiva para completar el cumplimiento (por ejemplo, servicios gestionados de seguridad).

Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

Requisitos PCI DSSRequisitos PCI DSS

Ejemplo de asignación de Ejemplo de asignación de

responsabilidad en la gestión de los responsabilidad en la gestión de los

controlescontroles

IaaSIaaS SaaSSaaS PaaSPaaSInstalar y mantener una configuración de firewall para proteger los datos del

titularAmbos Ambos CSP

No utilizar las contraseñas por defecto provistas por los fabricantes de los

sistemas y otros parámetros de seguridadAmbos Ambos CSP

Proteger el almacenamiento de los datos de titulares de tarjetas Ambos Ambos CSPCodificar la transmisión de los datos de titulares de tarjetas a través de redes

públicas abiertasCliente Ambos CSP

Utilizar y actualizar regularmente el software antivirus y demás programas

asociados con la seguridad y software de baseCliente Ambos CSP

Desarrollar y mantener sistemas y aplicaciones seguras Ambos Ambos AmbosRestringir el acceso a los datos de titulares de tarjetas solo para aquellas

personas del Negocio que tienen necesidad de conocerlosAmbos Ambos Ambos

Asignar un único ID para cada persona que tenga acceso a una computadora Ambos Ambos Ambos

Restringir el acceso físico a datos de titulares de tarjetas CSP CSP CSPRastrear y monitorear todo el acceso a los recursos de red y datos de titulares de

tarjetasAmbos Ambos CSP

Probar regularmente los sistemas de seguridad y sus procesos Ambos Ambos CSPMantenga una política que aborde la seguridad de la información para todo el

personalAmbos Ambos Ambos

11/09/2013

6

IaaSIaaSPaaSPaaSSaaSSaaS

Espacio FísicoProveedor Espacio Físico

Cliente

ComponentesFísicos

ComponentesFísicos

UsuarioFinal

EnlacesEnlaces

Gobierno

Educación

Cumplimiento

Gestión de Riesgo

Educación

Gestión de Riesgo

ComponentesVirtuales

ComponentesVirtuales

Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

Seguridad y TecnologíaSeguridad y Tecnología

Seguridad como Servicio ( Seguridad como Servicio ( SecaaSSecaaS ))

• Security Information and Event Management Implementation Guidance

• BCDR Implementation Guidance• Encryption Implementation Guidance• Intrusion Management Implementation Guidance• Security Assessments Implementation Guidance• Email Security Implementation Guidance• Web Security Implementation Guidance• Data Loss Prevention Implementation Guidance• Network Security Implementation Guidance• Identity and Access Management Implementation Guidance

Managed Security Service Provider (MSSP)Managed Security Service Provider (MSSP)

https://cloudsecurityalliance.org/research/secaas/?r=54#_downloads

11/09/2013

7

Seguridad y TecnologíaSeguridad y Tecnología

SegmentadaSolo para mí

No-segmentadaCompartida con otros

Servidores físicamente separados por

cliente.

La misma imagen de la aplicación en el

mismo servidor, sólo separados por el

control de acceso del SO o la App

Servidores virtualizados de dedicación

individual para un cliente en particular,

incluidos los discos virtuales

Diferentes imágenes de una aplicación en

el mismo servidor, sólo separados por el

control de acceso del SO o la App.

Entornos donde cada cliente ejecuta sus

aplicaciones en particiones lógicas

separadas y no comparten almacenamiento

en disco u otros recursos.

Datos almacenados en la misma instancia

de gestión de bases de datos.

Segmentación de ambientesSegmentación de ambientes

Seguridad y TecnologíaSeguridad y Tecnología

• Firewalls físicos y segmentación de red a nivel de infraestructura• Los firewalls en el hipervisor y a nivel de máquinas virtuales• Etiquetado VLAN o zonificación, además de firewalls• Los sistemas de prevención de intrusiones en el hipervisor y/o a nivel de máquina

virtual para detectar y bloquear el tráfico no deseado• Herramientas de prevención de pérdidas de datos en el hipervisor y/o nivel de

máquina virtual• Controles para evitar que las comunicaciones se propaguen hacia la infraestructura

subyacente• El aislamiento de los procesos y recursos de entornos de clientes compartidos• Almacenamiento de datos separado para cada cliente• Autenticación fuerte de dos factores• La separación de funciones y la supervisión administrativa• Registro continuo y vigilancia del tráfico perimetral, y la respuesta en tiempo real

Controles de segmentaciónControles de segmentación

11/09/2013

8

Retos para el cumplimientoRetos para el cumplimiento

• Falta de visibilidad de la infraestructura subyacente del CSP y los controles relacionados con la seguridad

• Poca o ninguna supervisión o control sobre almacenamiento de datos de los tarjetahabientes

• Algunos componentes virtuales no tienen el mismo nivel de control de acceso , registro y seguimiento que sus contrapartes físicas.

• Falta de restricciones en los límites perimetrales entre entornos de cliente

• Puede ser difícil de reunir, correlacionar y/o archivar todos los registros necesarios para cumplir con los requisitos de PCI DSS.

• Fallas en las herramientas de control ya que en un entorno de nube puede ser difícil de realizar verificaciones y puede dar lugar a resultados incompletos.

• Los grandes proveedores podrían no permitir el derecho a la auditoría a sus clientes.

Consideraciones a tener en cuenta como Cliente:

• ¿Por cuánto tiempo ha estado el CSP compatible con PCI DSS ? ¿Cuándo fue su última validación?

• ¿Qué servicios específicos y los requisitos de PCI DSS fueron incluidos en la validación ?

• ¿Qué servicios específicos y componentes del sistema se incluyen en la validación ?• ¿Qué procesos de servicio del CSP no se incluyeron en la validación PCI DSS ?• ¿Cómo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para

evitar que introduzcan componentes no compatibles con el medio ambiente o anular los controles?

Retos para el cumplimientoRetos para el cumplimiento

11/09/2013

9

Gobernabilidad, Riesgo y CumplimientoGobernabilidad, Riesgo y Cumplimiento

ReingenieríaReingenieríade riesgosde riesgos

Actividades y controles consolidadosActividades y controles consolidados

Tecnología y OperacionesTecnología y OperacionesProyectos y procesos funcionalesProyectos y procesos funcionales

Verificación del proveedor (debida diligencia)Verificación del proveedor (debida diligencia)Acuerdos de Nivel de Servicio ( SLAs )Acuerdos de Nivel de Servicio ( SLAs )Planes de Continuidad del Negocio y Recuperación de DesastresPlanes de Continuidad del Negocio y Recuperación de DesastresRecursos humanosRecursos humanos

Extremos de responsabilidad Cliente / ProveedorExtremos de responsabilidad Cliente / Proveedor

IaaSIaaS SaaSSaaSPaaSPaaS

Datos

Hardware e infraestructura de red

Data Center (instalaciones físicas, infraestructura de seguridad, energía)

Gobernabilidad, Riesgo y CumplimientoGobernabilidad, Riesgo y Cumplimiento

GobiernoGestión de

Riesgo

Educación Cumplimiento

Reinvertir en controlesReinvertir en controles

AHORRO

11/09/2013

10

Entorno físicoEntorno físico

Control de AccesoControl de AccesoAfecta a la confidencialidad , Integridad Afecta a la confidencialidad , Integridad

y Disponibilidad de los datosy Disponibilidad de los datos

Control Control AmbientalAmbientalAfecta al rendimiento Afecta al rendimiento y la integridad de y la integridad de

la prestación del servicio.la prestación del servicio.

Consideraciones legalesConsideraciones legales

Propiedad de los datos y los posibles conflictos entre las

exigencias legales y reglamentarias nacionales o internacionales

Requisitos para la registración electrónica, la preservación y la integridad de las pruebas, y la

custodia de datos

Procesos documentados para responder a las peticiones legales y Auditorías (registros de auditoría propios y de sus clientes)

11/09/2013

11

Seguridad de los datosSeguridad de los datos

• Adquisición de Datos (mapeo de los datos)• Clasificación de Datos• Almacenamiento de datos• Gestión del ciclo de vida• Cifrado y gestión de claves de cifrado• Puesta fuera de servicio y eliminación

Si los procesos de seguridad de datos no están claramente definidos y documentados se puede exponer negativamente la información

Ayuda a identificar donde cada entidad adquiere y cede los datos y cuales son sus responsabilidades en todo el proceso

Seguridad técnicaSeguridad técnica

• La evolución de las tecnologías de seguridad en virtualización• Gestión de identidades y de acceso• Registro y ficheros de auditoría• Acceso Hypervisor y componentes internos• Seguridad de interfaces y APIs• Seguridad de Sistemas Cliente• Control de ambientes compartidos

11/09/2013

12

Incidentes y Incidentes y forenciaforencia

Incluir los procesos y los plazos de notificación en los SLA

incluir los requisitos de notificación entre el cliente y el proveedor en los planes de respuesta a incidentes

Incluir la potencial solicitud de información, registros y evidencias al CSP durante la investigación

Incluir el proceso de custodia particular para este tipo de servicio, por ejemplo ante desconexiones de VMs o cualquier otro recurso virtual

Equipos Equipos MultidiciplinariosMultidiciplinarios

PreguntarPreguntar

CompararCompararDocumentarDocumentar

ControlarControlar

ConclusionesConclusiones

11/09/2013

13

La Guía y sus apéndicesLa Guía y sus apéndices

Apéndice A: Responsabilidades PCI DSS para diferentes modelos de servicio - Consideraciones adicionales para ayudar a determinar las responsabilidades de PCI DSS a través de diferentes modelos de servicios cloud .

Apéndice B : Inventario - Presenta un inventario modelo del sistema para entornos de cloud computing.

Apéndice C : Matriz de Responsabilidades PCI DSS -Presenta una matriz de muestra para documentar cómo se asignan las responsabilidades entre el proveedor de la nube y el cliente.

Apéndice D: Implementación PCI DSS - Propone un conjunto inicial de preguntas que pueden ayudar a determinar cómo los requisitos de PCI DSS se pueden cumplir en un entorno de nube particular.

https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf

MUCHAS GRACIASMUCHAS GRACIAS

Fabián DescalzoGerente de Governance, Risk & Compliance (GRC)

fdescalzo@cybsec.com

Gobierno de los datos en la nubeGobierno de los datos en la nubepara el cumplimiento PCIpara el cumplimiento PCI--DSSDSS

Universidad del CEMA Universidad del CEMA -- Auditorio PrincipalAuditorio PrincipalBuenos Aires – Argentina (2013)