Implementación de SNCP. 2ª Jornada sobre seguridad en Medios de Pago

1

Haga clic para modificar el estilo de título del patrón• Haga clic para modificar el estilo de texto del

patrón– Segundo nivel

• Tercer nivel– Cuarto nivel

IMPLANTACIÓN DE SNCPAntonio S. Martínez GarcíaResponsable del Área de Seguridad InformáticaMetro de Madrid, S.A.

IMPLANTACIÓN DE SNCPAntonio S. Martínez GarcíaResponsable del Área de Seguridad InformáticaMetro de Madrid, S.A.

2




2

Índice

3 Cumplimiento de PCI DSS

4

2 Antecedentes: Primeros Pasos

5 Beneficios Esperados

1 Nuestra empresa: METRO DE MADRID S.A.

Hacia EMV y SNCP

3




3

Índice


4




Hacia EMV y SNCP

4




4

Datos de Metro de Madrid, S.A.Red:Red:

1212 LLííneasneas + + 1 1 RamalRamal Metro Metro PesadoPesado + + 11 LLííneanea Metro Metro LigeroLigero284284 km de red km de red 294 294 EstacionesEstaciones 340340 VestVestííbulosbulos

DemandaDemanda::685,54 685,54 MillonesMillones de de ViajesViajesDDííaa MMááximoximo:: 2,6 2,6 MillonesMillones de de ViajesViajesOfertaOferta::

202202 Millones de Coches x Millones de Coches x KmKm334334 MMááximo Trenes en Hora Puntaximo Trenes en Hora Punta

CalidadCalidad del del ServicioServicio: 7,38: 7,38Red en Red en ExplotaciExplotacióónn

Material:Material:22752275 Coches y Coches y 88 Unidades de Metro LigeroUnidades de Metro Ligero

InstalacionesInstalaciones::16141614 EscalerasEscaleras MecMecáánicasnicas, , 468468 AscensoresAscensores,,1716 1716 MMááquinasquinas AutomAutomááticasticas, , 25032503 TorniquetesTorniquetes,,46914691 InterfonosInterfonos

PlantillaPlantilla::75987598 EmpleadosEmpleados

SeguridadSeguridad::4,02 4,02 Millones de horas vigilanciaMillones de horas vigilancia

MediosMedios HumanosHumanos yyMaterialesMateriales

http://images.google.es/imgres?imgurl=http://www.lacoctelera.com/myfiles/paujam/ist2_4115670-ok-1.jpg&imgrefurl=http://www.acuario27.com/wordpress/2009/05/12/origen-del-ok/&usg=__puLgWmLVs3IVgiGsACfaIlhEqZo=&h=380&w=380&sz=17&hl=es&start=1&um=1&itbs=1&tbnid=T7kgBeA5Qk_MyM:&tbnh=123&tbnw=123&prev=/images?q=ok&hl=es&um=1

5




5

Datos de Metro de Madrid, S.A.

IngresosIngresos

1.293,491.293,49DatosDatos EconEconóómicosmicos

((MillonesMillones de de €€))

GastosGastos

1.255,601.255,60

InversiInversióónn EjecutadaEjecutada 145145ResultadoResultado 37,8937,89

Empleados Km red Estaciones Coches Escaleras Mecánicas

MADRID 7.598 284,11 294 2275 1614

PARIS 9.966 215,50 PARIS 9.966 215,50 382 3496 382 3496 504504

LONDRES 15.098 438,90 LONDRES 15.098 438,90 323 4067 323 4067 434434

MOSCMOSCÚÚ 35.577 298,20 35.577 298,20 180 4504 5180 4504 59898

N.YORK 27.961 479,60 N.YORK 27.961 479,60 468 6417 468 6417 174174

H.KONG 8.314 174,70 H.KONG 8.314 174,70 97 1698 97 1698 s.ds.d

BEIJING 15.024 200,00 BEIJING 15.024 200,00 106 1320 106 1320 s.ds.d

MEXICO MEXICO s.ds.d 201,00 75 3201,00 75 3042 042 s.ds.d

S.PAULO 7.776 61,30 S.PAULO 7.776 61,30 58 702 58 702 s.ds.d

ComparativaComparativa con con otrosotros Metros del Metros del MundoMundo

6




6

Índice


4




Hacia EMV y SNCP

7




7

Antecedentes: Primeros Pasos

En marzo de 2007 se nos requiere el cumplimiento con el programa

existiendo dos alternativas:1.

Acogerse a la Solución Nacional de Cifrado de Pistas (SNCP).2.

Cumplir con el programa de auditorias periódicas establecidas por las marcas de tarjetas.

Nos aplica en tanto:1.

Somos un establecimiento que transmite, procesa y/o almacena Información de Cuentas y Tarjetas.2.

Gestionamos nuestros propios terminales punto de venta.

Programa de Protección de Información en Tarjetas

El 89.59% de la demanda se concentra en el billete de 10 viajes

y los

abonos mensual y anual (tendencia similar entre los años 2005 y 2008),

y especialmente en los fines de mes.

Incremento en el parque de máquinas automáticas expendedoras

Pago Electrónico desde el año 1999

Clasificados en la Categoría 2

en tanto ciframos toda la información de la pista pero requerimos el número

de tarjeta (PAN) en claro principalmente para atender las reclamaciones de los clientes. Esto conlleva, con

alguna consideración particular, lo siguiente:

• Cumplimentación del cuestionario simplificado PCI‐DSS.• Migración hacia EMV con miras a la adopción o implantación de SNCP.

PCI DSS ‐

Julio de 2007Auditorias y Chequeos

Incremento en el número de transacciones de pago electrónico• Se realizan más de 10 millones de transacciones al año• Representan un 28,08 % de la recaudación total

0200400600800

100012001400160018002000

2000 2004 2007 2008

http://definanzas.com/wp-content/uploads/tarjetas-credito-espana.jpg

8




8

Índice


4




Hacia EMV y SNCP

9




9

Cumplimiento de PCI DSS

Análisis del Estado de Cumplimiento:•

Fase I: Análisis Preliminar del Estado de Cumplimiento•

Fase II: Evaluación del Riesgo•

Fase III: Programa de cumplimiento•

Fase IV: Implantación de Requerimientos•

Fase V: Verificación y Aprobación del Programa

Acciones para el Cumplimiento de PCI DSS

Ejecución del Plan de Acción Período 2008 ‐

2011

Análisis del Estado de Cumplimiento:•

Fase I: Análisis Preliminar del Estado de Cumplimiento•

Fase II: Evaluación del Riesgo•

Fase III: Programa de Cumplimiento

•

Fase IV: Implantación de Requerimientos•

Fase V: Auditoría

Dic. 2008 – Jul. 2009

Acciones

• Marco Normativo • Gestión de la Seguridad Perimetral / Arquitectura de Red*• Gestión de Logs y Monitorización• Gestión de Incidentes de Seguridad*• Control de Acceso Lógico • Cumplimentar el Programa de Auditorías• Despliegue de EMV / SNCP

Jul ‐

Dic 2007

Acciones Periódicas• Cuestionario de Cumplimiento •

Revisión periódica de vulnerabilidades

en la plataforma de pago electrónico

Año 2010 ‐

SNCP

10




10

Índice


4




Hacia EMV y SNCP

11




11

Hacia EMV y SNCP

Asegurar que ningún elemento entre la máquina expendedora y el servidor de pago electrónico almacene

información de las tarjetas.

Despliegue EMV y SNCP

Plan de Acción 2008 –

2011 Proyecto Clave para Cumplimiento de PCI DSS reduciendo el entorno de aplicación

Adaptar el hardware de las máquinas expendedoras especialmente en cuanto a la integración de PINPad

EMV.

Adaptar el software de pago electrónico utilizado y los protocolos de diálogo con las entidades financieras y las

entidades resolutoras.

Certificar la plataforma y los procesos con los interlocutores correspondientes.

Desplegar el software de pago electrónico adaptado en las máquinas expendedoras.

Escenario de Convivencia de los dos Entornos: EMV y No‐EMV

12




12

Hacia EMV y SNCPArquitectura Final

13




13

Índice


4




Hacia EMV y SNCP

14




14

Beneficios Obtenidos

Incremento de la Seguridad de los Datos

Reducción del Fraude por Uso Ilícito de Tarjetas de Crédito

Mejora de la Satisfacción de los Clientes

Mejora de los Procesos Operativos

15




15

Implementación de SNCP. 2ª Jornada sobre seguridad en Medios de Pago

Documents

Transcript of Implementación de SNCP. 2ª Jornada sobre seguridad en Medios de Pago