_cxo - Pci Cloud v0

download _cxo - Pci Cloud v0

of 13

  • date post

    26-Oct-2015
  • Category

    Documents

  • view

    9
  • download

    4

Embed Size (px)

Transcript of _cxo - Pci Cloud v0

  • 11/09/2013

    1

    ObjetivoObjetivo

    Roles y responsabilidades de cumplimiento ante los requisitos de PCI Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de DSS en los diferentes servicios en la nube y sus modelos de desplieguedespliegue

    Retos asociados con la validacin de cumplimiento de PCI DSS en un Retos asociados con la validacin de cumplimiento de PCI DSS en un entorno de nube .entorno de nube .

    Consideraciones de seguridad empresarial y tcnica para el uso de Consideraciones de seguridad empresarial y tcnica para el uso de tecnologas en la nube .tecnologas en la nube .

    Recomendaciones para el inicio de las discusiones acerca de los Recomendaciones para el inicio de las discusiones acerca de los servicios de nube.servicios de nube.

  • 11/09/2013

    2

    Comprensin del entornoComprensin del entorno

    Analizar Planificar Documentar

    Comprensin del entornoComprensin del entorno

    Seleccionar plataforma y estndar de evaluacin

    Identificar los riesgos y requerimientos de control

    Conocer las necesidades de aplicacin para el Negocio

    Modelos de servicio Modelos de servicio

  • 11/09/2013

    3

    IaaS PaaS SaaS

    Comprensin del entornoComprensin del entorno

    HardwareSoftware

    Conectividad

    IaaSIaaS

    ServicioSoporte

    Aplicaciones del Proveedor

    SaaSSaaS

    Desarrollo Despliegue de Aplicaciones del Cliente

    PaaSPaaS

    Aplicacin Aplicacin Plataforma Plataforma

    Infraestructura Infraestructura Virtualizacin Virtualizacin

    Recursos fsicos Recursos fsicos

    Comprensin del entornoComprensin del entorno

  • 11/09/2013

    4

    DefinicionesDefiniciones

    Alcance de responsabilidad Cliente/Proveedor por tipo de servicioAlcance de responsabilidad Cliente/Proveedor por tipo de servicio

    IaaSIaaS SaaSSaaSPaaSPaaS

    Datos

    Software y aplicaciones de usuarios

    Sistemas operativos y bases de datos

    Infraestructura Virtual

    Hardware e infraestructura de red

    Data Center (instalaciones fsicas, infraestructura de seguridad, energa)

    Alcance del Alcance del servicioservicio

    Alcance de Alcance de responsabilidadesresponsabilidades

    Alcance de los Alcance de los controlescontroles

    Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

    Gestin del servicio Tratamiento de datos Gestin de registros Gestin de

    componentes del servicio (Documentacin y RRHH)

    MARCO MARCO CONTRACTUALCONTRACTUAL

  • 11/09/2013

    5

    Las responsabilidades delineadas entre el Cliente y el CSP para la gestin de los controles de PCI DSS estn influenciados por un determinado nmero de variables :

    Finalidad para la que el cliente est utilizando el servicio de nube .

    mbito de aplicacin de los requisitos de PCI DSS que el cliente externaliza en el CSP.

    Los servicios y componentes de los procesos de ejecucin que el CSP ha validado dentro de sus propias operaciones.

    La opcin de servicio que el cliente ha seleccionado para contratar al CSP ( IaaS , PaaS o SaaS ).

    El alcance de los servicios adicionales que el CSP proporciona al Cliente de forma proactiva para completar el cumplimiento (por ejemplo, servicios gestionados de seguridad).

    Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

    Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

    Requisitos PCI DSSRequisitos PCI DSS

    Ejemplo de asignacin de Ejemplo de asignacin de

    responsabilidad en la gestin de los responsabilidad en la gestin de los

    controlescontroles

    IaaSIaaS SaaSSaaS PaaSPaaSInstalar y mantener una configuracin de firewall para proteger los datos del

    titularAmbos Ambos CSP

    No utilizar las contraseas por defecto provistas por los fabricantes de los

    sistemas y otros parmetros de seguridadAmbos Ambos CSP

    Proteger el almacenamiento de los datos de titulares de tarjetas Ambos Ambos CSPCodificar la transmisin de los datos de titulares de tarjetas a travs de redes

    pblicas abiertasCliente Ambos CSP

    Utilizar y actualizar regularmente el software antivirus y dems programas

    asociados con la seguridad y software de baseCliente Ambos CSP

    Desarrollar y mantener sistemas y aplicaciones seguras Ambos Ambos AmbosRestringir el acceso a los datos de titulares de tarjetas solo para aquellas

    personas del Negocio que tienen necesidad de conocerlosAmbos Ambos Ambos

    Asignar un nico ID para cada persona que tenga acceso a una computadora Ambos Ambos Ambos

    Restringir el acceso fsico a datos de titulares de tarjetas CSP CSP CSPRastrear y monitorear todo el acceso a los recursos de red y datos de titulares de

    tarjetasAmbos Ambos CSP

    Probar regularmente los sistemas de seguridad y sus procesos Ambos Ambos CSPMantenga una poltica que aborde la seguridad de la informacin para todo el

    personalAmbos Ambos Ambos

  • 11/09/2013

    6

    IaaSIaaSPaaSPaaSSaaSSaaS

    Espacio FsicoProveedor Espacio Fsico

    Cliente

    ComponentesFsicos

    ComponentesFsicos

    UsuarioFinal

    EnlacesEnlaces

    Gobierno

    Educacin

    Cumplimiento

    Gestin de Riesgo

    Educacin

    Gestin de Riesgo

    ComponentesVirtuales

    ComponentesVirtuales

    Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento

    Seguridad y TecnologaSeguridad y Tecnologa

    Seguridad como Servicio ( Seguridad como Servicio ( SecaaSSecaaS ))

    Security Information and Event Management Implementation Guidance

    BCDR Implementation Guidance Encryption Implementation Guidance Intrusion Management Implementation Guidance Security Assessments Implementation Guidance Email Security Implementation Guidance Web Security Implementation Guidance Data Loss Prevention Implementation Guidance Network Security Implementation Guidance Identity and Access Management Implementation Guidance

    Managed Security Service Provider (MSSP)Managed Security Service Provider (MSSP)

    https://cloudsecurityalliance.org/research/secaas/?r=54#_downloads

  • 11/09/2013

    7

    Seguridad y TecnologaSeguridad y Tecnologa

    SegmentadaSolo para m

    No-segmentadaCompartida con otros

    Servidores fsicamente separados por

    cliente.

    La misma imagen de la aplicacin en el

    mismo servidor, slo separados por el

    control de acceso del SO o la App

    Servidores virtualizados de dedicacin

    individual para un cliente en particular,

    incluidos los discos virtuales

    Diferentes imgenes de una aplicacin en

    el mismo servidor, slo separados por el

    control de acceso del SO o la App.

    Entornos donde cada cliente ejecuta sus

    aplicaciones en particiones lgicas

    separadas y no comparten almacenamiento

    en disco u otros recursos.

    Datos almacenados en la misma instancia

    de gestin de bases de datos.

    Segmentacin de ambientesSegmentacin de ambientes

    Seguridad y TecnologaSeguridad y Tecnologa

    Firewalls fsicos y segmentacin de red a nivel de infraestructura Los firewalls en el hipervisor y a nivel de mquinas virtuales Etiquetado VLAN o zonificacin, adems de firewalls Los sistemas de prevencin de intrusiones en el hipervisor y/o a nivel de mquina

    virtual para detectar y bloquear el trfico no deseado Herramientas de prevencin de prdidas de datos en el hipervisor y/o nivel de

    mquina virtual Controles para evitar que las comunicaciones se propaguen hacia la infraestructura

    subyacente El aislamiento de los procesos y recursos de entornos de clientes compartidos Almacenamiento de datos separado para cada cliente Autenticacin fuerte de dos factores La separacin de funciones y la supervisin administrativa Registro continuo y vigilancia del trfico perimetral, y la respuesta en tiempo real

    Controles de segmentacinControles de segmentacin

  • 11/09/2013

    8

    Retos para el cumplimientoRetos para el cumplimiento

    Falta de visibilidad de la infraestructura subyacente del CSP y los controles relacionados con la seguridad

    Poca o ninguna supervisin o control sobre almacenamiento de datos de los tarjetahabientes

    Algunos componentes virtuales no tienen el mismo nivel de control de acceso , registro y seguimiento que sus contrapartes fsicas.

    Falta de restricciones en los lmites perimetrales entre entornos de cliente

    Puede ser difcil de reunir, correlacionar y/o archivar todos los registros necesarios para cumplir con los requisitos de PCI DSS.

    Fallas en las herramientas de control ya que en un entorno de nube puede ser difcil de realizar verificaciones y puede dar lugar a resultados incompletos.

    Los grandes proveedores podran no permitir el derecho a la auditora a sus clientes.

    Consideraciones a tener en cuenta como Cliente:

    Por cunto tiempo ha estado el CSP compatible con PCI DSS ? Cundo fue su ltima validacin?

    Qu servicios especficos y los requisitos de PCI DSS fueron incluidos en la validacin ?

    Qu servicios especficos y componentes del sistema se incluyen en la validacin ? Qu procesos de servicio del CSP no se incluyeron en la validacin PCI DSS ? Cmo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para

    evitar que introduzcan componentes no compatibles con el medio ambiente o anular los controles?

    Retos para el cumplimientoRetos para el cumplimiento

  • 11/09/2013

    9

    Gobernabilidad, Riesgo y CumplimientoGobernabilidad, Riesgo y Cumplimiento

    ReingenieraReingenierade riesgosde riesgos

    Actividades y controles consolidadosActividades y controles consolidados

    Tecnologa y O