Jornada PCI DSS

50
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS 7 de Noviembre de 2007 P. 1 Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I [email protected] I www.isecauditors.com PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007

Transcript of Jornada PCI DSS

Page 1: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 1

Su Seguridad es Nuestro Éxito

c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I [email protected] I www.isecauditors.com

PCI DSS, UN PROCESO CONTINUOMadrid, 7 de Noviembre de 2007

Page 2: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 2

Miguel-Ángel Domínguez TorresDirector Depto. ConsultoríaCISA, CISSP, ISO27001 L.A., PCI DSS QSA, [email protected]

Presentación

Page 3: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 3

Auditoría

Test de Intrusión

Auditoría de Aplicaciones

Auditoría de Sist. Inf.

Consultoría

Implantación SGSI 27001

Plan Director de Seguridad

Plan de Continuidad de Negocio

Políticas de Seguridad

LOPD/LSSICE

PCI DSS

SeguridadGestionada

Serv. de FW de Aplicación WIPS

Serv. de Vigilancia Anti-Malware

Securización de Sist. de Inf.

Gestión de Incidentes

Informática Forense/Peritaje

Externalización de la Seguridad

Formación

Certificaciones Oficiales

Planes de Formación

Su Seguridad es Nuestro Éxito

SERVICIOS

Page 4: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 4

Internet Security Auditors ha sido la primera empresa española en obtener las certificaciones QSA (Qualified Security Asessor) y ASV (Acredited Scanning Vendor) por el PCI Security Standards Council (PCI SSC) para realizar auditorías internas de cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard).

Reconocimientos

Page 5: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 5

¿Qué es PCI DSS?

Estándar de seguridad

Conjunto de requerimientos para

› Gestionar la seguridad› Definir medidas de protección para las infraestructuras que intervienen

en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.

Fruto del esfuerzo del PCI Security Standards Council (PCI SSC)formado por las principales compañías emisoras de tarjetas de crédito (VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER).

“Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos”

Page 6: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 6

¿A quién afecta?

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito.

PCI DSS cataloga a estas organizaciones en

› Comercios (super/ hipermercados, autopistas, e-commerce, agencias de viajes, etc)

› Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.)

› Entidades Adquirientes (Bancos, Cajas de ahorro, etc.).

Page 7: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 7

¿Cómo Cumplir PCI DSS?

Principios Requerimientos

Construir y Mantener una Red Segura1. Instalar y mantener un cortafuegos y su configuración para proteger la información de tarjetas2. No emplear parámetros de seguridad y usuarios del sistema por defecto

Proteger los datos de tarjetas3. Proteger los datos almacenados de tarjetas4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas

Mantener un Programa de Gestión de Vulnerabilidades

5. Usar y actualizar regularmente software antivirus6. Desarrollar y mantener de forma segura sistemas y aplicaciones

Implementar Medidas de Control de Acceso

7. Restringir el acceso a la información de tarjetas según la premisa “need-to- know”8. Asignar un único ID a cada persona con acceso a computadores9. Restringir el acceso físico a la información de tarjetas

Monitorizar y Testear Regularmente las Redes

10. Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas11. Testear de forma regular la seguridad de los sistemas y procesos

Mantener una Política de Seguridad de la Información

12. Mantener una política que gestione la seguridad de la información

PCI DSS v1.1

Page 8: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 8

Responsabilidades

PCISSC (PCI Security Standards Council)

› Supervisa el desarrollo y es responsable de PCI DSS y otros documentos de soporte (procedimientos de auditoría, SAQ, etc.)

› Aprueba/homologa y Mantiene la lista de empresas ASV y QSA

Las Marcas establecen mediante sus programas de cumplimiento:

› Cómo se reporta y valida el cumplimiento de PCI DSS› Aprobación de entidades que cumplen PCI DSS› Cuales son las consecuencias de no cumplir› Niveles de comercios y proveedores de servicio (en algunos

casos)

Page 9: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 9

Responsabilidades

Las entidades Adquirientes son responsables de:

› Asegurar que sus comercios conocen PCI DSS › Realizar el seguimiento de los comercios hasta que cumplan con

PCI DSS (Los requerimientos se cumplen y han sido validados).› Comunicar el estado de cumplimiento de los comercios a las

marcas.

Los comercios y proveedores de servicio son responsables de:

› Conocer y Cumplir PCI DSS › Validar y Reportar el cumplimiento en base a los requerimientos

de entidades adquirientes y marcas según proceda.

Page 10: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 10

¿Debo acreditar el Cumplimiento de PCI DSS?

Page 11: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 11

¿Debo acreditar el Cumplimiento de PCI DSS?

Page 12: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 12

¿Debo acreditar el Cumplimiento de PCI DSS?

› VISA AIS (Account Information Security) Europehttp://www.visaeurope.com/aboutvisa/security/ais/USA: http://www.visa.com/cisp/Canada: http://www.visa.ca/aisAsia-Pacifico: http://www.visa-asia.com/secured/

› Mastercard SDP (Site Data Protection)http://www.mastercard.com/sdp/

› JCB Data Security Programhttp://www.jcb-global.com/english/pci/index.html

› Discover DISC (Discover Information Security Compliance)http://www.discovernetwork.com/resources/data/data_security.html

› AMEX DSOP (Data Security Operating Standard)http://www.americanexpress.com/datasecurity

Page 13: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 13

¿Cuales son las consecuencias de no cumplir PCI DSS?

Las compañías que no cumplan con este estándar, estarán sujetas a

› Multas/Penalizaciones tras un incidente que compromete números de tarjetas.

› En relación a la cantidad de números de tarjetas comprometidos› Si se guardaba información sensible (Pista completa,

CVV2/CVC2/CID/CAV2, PIN, PIN Block) y no se estaban aplicando medidas para remediar esta situación.

› Las multas que aplican las marcas sobre los acquirers pueden o no ser traspasadas a comercios y/o service providers

Page 14: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 14

¿Cuales son las consecuencias de no cumplir PCI DSS?

Otras consecuencias

› Pérdida de reputación› Pérdida de clientes› Daño a la imagen corporativa› Procesos judiciales› Gastos por investigaciones forenses

Page 15: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 15

Beneficios

Beneficios de contar con un programa que cumpla PCI DSS son:

› Protección ante responsabilidades y costes potenciales vinculados al mal uso de información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión).

› Gestión y control de costes relativos a seguridad de la información.

› Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad.

› Facilidad para el cumplimiento con legislación, estándares o requerimientos de seguridad y privacidad (LOPD, LSSICE, LGT, ISO27001, etc.).

Page 16: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 16

¿Cómo obtener ayuda?

Empresas QSA y ASV para

› Asesorar a empresas que necesiten ayuda en la implantación. https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf

› Auditar las medidas de seguridad implantadas.https://www.pcisecuritystandards.org/pdfs/asv_report.html

Page 17: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 17

Tareas a Realizar

Requerimientos PCI DSS - Visión Tecnológica

Segmentación de Red

› Diseño de redes seguras y protección perimetral (Req 1, 5, 11.4 y 11.5)

Instalación y Mantenimiento de Sistemas de Información

› Securización de sistemas de información (Req 2, 6.1)

Protección de los datos y las comunicaciones

› Identificación y eliminación de datos sensibles (CVV2, Pistas,...) (Req 3)› Protección de bases de datos mediante cifrado (Req 3)› Protección de las comunicaciones mediante protocolos seguros (Req 4)

Page 18: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 18

Tareas a Realizar

Requerimientos PCI DSS - Visión TecnológicaSeguridad en SDLC

› Auditoría de aplicación, Revisión de código, Guía de buenas prácticas en desarrollo seguro, formación (Req 6.3, 6.4, 6.5)

› 30 Junio 2008 (Req 6.6)› Auditoría de código por empresa especializada› Firewall de aplicación

Control del Acceso

› Control de Acceso al Sistema Operativo, Red y Aplicaciones (Req 7 y 8)› Control de Acceso Físico: Tarjetas, Biometría, etc. (Req 9)

Monitorización y protección de eventos de seguridad

› Plataforma de gestión de logs y eventos de seguridad (Req 10)Revisión y Test

› Test de intrusión interno y externo (Req 11.1, 11.2 y 11.3)

Page 19: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 19

Tareas a Realizar

Requerimientos PCI DSS – Gestión de la Seguridad

Política de Seguridad de la Información (Req 12)

› Marco normativo de seguridad – Política de Seguridad (Req 12.1, 12.2, 12.3, 12.10)

› Analizar y Mitigar riesgos (Req 12.1, 12.7)› Definición de Roles y Responsabilidades (Req 12.4, 12.5)› Formación y concienciación (Req 12.6)› Gestión de incidentes y análisis forense (Req 12.9)› Continuidad de Negocio y Recuperación ante Desastres (Req 12.9)› Relaciones con Proveedores (Req 12.8)

Page 20: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 20

Tareas a Realizar

Requerimientos PCI DSS – Gestión de la SeguridadOtros requerimientos también definen aspectos necesarios a definir para gestionar PCI DSS:

› Desarrollar estándares de configuración para todos los componentes de PCI DSS (firewalls, routers, sistemas, aplicaciones, etc.)

› Desarrollar políticas de retención y eliminación de datos.› Definir políticas y procedimientos para el uso de criptografía y gestión

de claves.› Desarrollar estándares de programación segura basados en best

practices.› Definir procedimientos de gestión de cambios para sistemas y

aplicaciones.› Definir políticas y procedimientos para gestión de cuentas de usuario y

contraseñas, así como el control de acceso.› ...

Page 21: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 21

Tareas a Realizar

Requerimientos PCI DSS – Gestión de la Seguridad

Gestionar requiere además

› Compromiso de la Dirección› Provisión de Recursos

› Equipos, aplicativos, personas, instalaciones, etc.› Formar, educar y concienciar al personal implicado

Page 22: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 22

Alternativas

Podemos

› Gestionar PCI DSS dentro de un SGSI ISO27001› Cumplimiento Normativo

› Implementar un SGSI ISO27001 donde› Alcance = PCI DSS› Extensible a otros ámbitos de la organización

Page 23: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 23

Proceso Continuo

Serie de acciones sistemáticas que permite obtener resultados consistentes y repetibles

Page 24: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 24

Proceso Continuo – Ciclo PDCA

Page 25: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 25

Proceso Continuo

Planificación (PLAN)

› Identificación del Entorno PCI DSS› Es crítico determinar cual es el entorno o ámbito al que aplica PCI

DSS

› Identificar los puntos donde se transmite, procesa o almacena información de tarjetas y definir el entorno que debe ser protegido para cumplir con PCI DSS.

› Identificar todos los sistemas que puedan almacenar o procesar información de tarjetas

› Identificar redes por donde se transmite o sistemas, aplicaciones y personas que acceden a datos de tarjetas

Page 26: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 26

Proceso Continuo

Planificación (PLAN)

› Identificar Datos Sensibles y PANs› En tráfico de red, bases de datos, ficheros, logs, copias en

papel, etc.› Utilizando expresiones regulares u otro tipo de herramientas.› Validando los resultados y eliminando falsos positivos

(Fórmula de Luhn MOD-10).

› Identificar durante cuanto tiempo se mantiene esta información

Los datos sensibles no pueden almacenarse tras la autorización

Page 27: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 27

Proceso Continuo

Planificación (PLAN)

› Si no lo hacemos bien› Identificación y eliminación INCORRECTA de datos no

permitidos en todos los sistemas a los que aplica PCI DSS› FALSA SENSACIÓN DE CUMPLIMIENTO - No cumplimiento

real de PCI DSS

› Análisis del Estado Actual de Cumplimiento (Gap Analysis)› Analizar los procesos de la organización en relación al uso de

tarjetas. Implica la colaboración de departamentos técnicos y de negocio (financiero, medios de pago, seguridad, etc.)

› Realizar reuniones de trabajo para evaluar el cumplimiento de los requerimientos PCI DSS.

Page 28: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 28

Proceso Continuo

Planificación (PLAN)

¿Qué medidas de seguridad tenemos actualmente y como se alinean con lo que requiere PCI DSS?

Page 29: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 29

Proceso Continuo

Planificación (PLAN)

› Definición del Plan de Acción (Remediation Plan)

› Identificar acciones a realizar para acotar o reducir el entorno o ámbito sobre el que debemos implementar PCI DSS.

› Reducir costes innecesarios de implantación y mantenimiento.

› Reducir el tiempo necesario para cumplir PCI DSS.

› Identificar acciones a realizar para cubrir los requerimientos que actualmente no se cumplen total o parcialmente

› Definir el calendario de cumplimiento de los hitos más importantes y del momento en que se el cumplimiento será completo.

Page 30: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 30

Proceso Continuo

Planificación (PLAN)

› Definición del Plan de Acción (Remediation Plan)

› Identificar los recursos (aplicaciones, equipos, instalaciones y personas) que son necesarios para implementar y mantener el cumplimiento.

› Tener en cuenta los riesgos a la hora de priorizar acciones

› Establecer el equipo de proyecto que será necesario para implementar el plan de acción.

Page 31: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 31

¿Y si no puedo cumplir todo lo que me piden?

Pueden ser considerados para la mayoría de requerimientos PCI DSS

› Encriptación de datos› Monitorización de integridad de ficheros› Requerimientos sobre las contraseñas

Deben cumplir:

› Justificación tecnológica o restricciones de negocio› El mismo objetivo y “fortaleza” que el requerimiento original› No basarse en otros requerimientos› Imponer medidas adicionales de seguridad para mitigar el riesgo de no

cumplir el requerimiento.

“No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide” => Controles Compensatorios

Page 32: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 32

¿Y si no puedo cumplir todo lo que me piden?

Nunca para el almacenamiento de datos sensibles (CVV2, Pistas, etc.)

Boletín CISP de VISA con clarificaciones en referencia al Requerimiento 3.4

“No siempre es viable cumplir todos los requerimientos tal y como PCI DSS pide” => Controles Compensatorios

Page 33: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 33

¿Y si no puedo cumplir todo lo que me piden?

Page 34: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 34

Proceso Continuo

Implantación (DO)

› Reducción del Entorno PCI DSS› Acotar el entorno de cumplimiento al mínimo imprescindible

› Segmentar la red› Reducir al mínimo donde se almacenan los datos› Restringir el control de acceso

› Implantación del Plan de Acción › Medidas Técnicas› Medidas de Gestión

› Definición de Procesos, Estándares, Políticas y Procedimientos -> Si no está documentado NO Existe

› Supervisión y revisión por un QSA

› Aprobación por las Marcas

Page 35: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 35

Proceso Continuo

Gestión de Proveedores

› Identificar terceras partes – Proveedores de Servicios› Proveedores de hardware/software POS› Pasarelas de pago› Software a medida› Hosting› Etc.

› La responsabilidad final de las actividades que los proveedores realizan con los datos de tarjetas recae en el propietario.

› Requerir Contractualmente el Cumplimiento PCI DSS de los proveedores y realizar un seguimiento del estado.

› Si eres un proveedor de servicios – Contacta un QSA para definir Plan de Acción para PCI DSS.

Page 36: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 36

Proceso Continuo

Gestión de Proveedores

› Listado de proveedores de servicio

› VISA

http://www.visaeurope.com/documents/ais/VISA_Europe_AIS_Certif ied_Service_Providers_05112007.pdf

› Mastercard

http://www.mastercard.com/us/sdp/assets/pdf/Compliant%20Servic e%20Providers%20-%20November%201%202007.pdf

Page 37: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 37

Proceso Continuo

Gestión de Incidentes

› En caso de compromiso, se deberá:› Contactar con las marcas afectadas o entidades adquirientes según

sea conveniente.

Page 38: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 38

Proceso Continuo

Page 39: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 39

Proceso Continuo

Gestión de Incidentes

› En caso de compromiso, se deberá:

› Contener y limitar las consecuencias (investigación forense)› Aislar los sistemas comprometidos› Identificar como ocurrió› Identificar si se almacenan datos sensibles (Pistas, ...)› Si no podemos determinar el alcance (pistas de auditoría, etc.)

deberemos reportar que todas las tarjetas pudieron ser comprometidas (mayores consecuencias económicas)

› Volver a recuperar el entorno dentro del cumplimiento PCI DSS› Eliminar datos sensibles que pudieran estar almacenados.

Page 40: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 40

Proceso Continuo

Revisión/Validación del Cumplimiento (CHECK)

› Revisión trimestral de Reglas del Firewall y Routers› Revisión anual de la Política de Seguridad› Revisión anual de riesgos› Monitorización y Revisión de eventos de auditoría› Formación anual en relación a la seguridad de las tarjetas› Auditorías

› Test de Intrusion a nivel de Red y Aplicación› Revisión de controles

› Cumplir los requerimientos de validación (según sea el caso):› Auditoría de Cumplimiento Anual› Formulario de autoevaluación Anual (SAQ)› Escaneos de Vulnerabilidades Trimestrales ASV

Page 41: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 41

Auditoría de Cumplimiento PCI DSS

Verificar que los requerimientos establecidos en PCI DSS se están cumpliendo (mediante muestreo).

Tareas:› Revisión documental.› Preparación del Plan de Auditoría: determinación de la muestra,

actividades, documentación de trabajo, etc.› Ejecución de las actividades de auditoría incluyendo la evaluación de

controles compensatorios.› Elaboración y presentación del informe de cumplimiento.› En caso necesario se definen las tareas a ejecutar para las no

conformidades (plan de acción) y posteriormente se valida que estas han sido implementadas.

Revisión Documental

Plan de Auditoría

Ejecución del Plan

Informe de Cumplimiento Plan de Acción

Page 42: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 42

Cuestionario de Autoevaluación

Elaboración del cuestionario de autoevaluación (Self-Assessment Questionnaire) para empresas que no están obligadas a realizar auditorías on-site de forma anual

› Evaluar el nivel de riesgo› Es una buena práctica contactar con asesoramiento de un QSA

Tareas:

› Revisión del estado de cumplimiento de los 12 requerimientos.› Elaboración y presentación del cuestionario de autoevaluación.› En caso necesario se definen las tareas a ejecutar para las no

conformidades (plan de acción)

Revisión del Cumplimiento

Formulario de Autoevaluación Plan de Acción

Page 43: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 43

Escaneos de Vulnerabilidades ASV

Cumplir el requerimiento 11.2› Asegurar que los sistemas están protegidos de amenazas externas

como hackers o virus› Trimestral› Por una empresa certificada como ASV› No intrusivo› No es un Test de Intrusion

Tareas:

› Determinación del ámbito de auditoría (rango de IPs y listado de dominios a ser escaneados).

› Ejecución del escaneo en las fechas programadas› Elaboración del informe de resultados

Ámbito de Auditoría

Escaneo Informe de Resultados

Page 44: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 44

Proceso Continuo

Actuar (ACT)

› En base a los resultados obtenidos de:› Auditorías› Sistemas de Monitorización (Logs, Incidentes, ...)› Revisiones de la política y riesgos

› Identificar necesidades de actuar› Corregir el no cumplimiento› Prevenir incidentes

› Planificar e Implementar controles

Page 45: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 45

PCI DSS vs ISO27001

Page 46: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 46

PCI DSS vs ISO27001

Page 47: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 47

PCI DSS vs ISO27001

Page 48: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 48

Resumen

PCI DSS debe cumplirse

› Si procesas, almacenas o transmiten datos de tarjetas› Independientemente de cómo debas validar el cumplimiento.

Si no necesito almacenar los datos de las tarjetas, MEJOR NO HACERLO

› Reducimos el riesgo sobre nuestro negocio› Reducimos el entorno al que aplica PCI DSS› Reducimos costes

Page 49: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 49

Resumen

La implantación debe pensarse cómo un proceso continuo y no cómo una acción puntual

› Define procesos› Asigna recursos› Compromete a la dirección› Monitoriza y Revisa› Integra PCI DSS en la gestión de seguridad de la organización› Basarlo en estándares (ISO27001)

Cuenta con el apoyo de expertos

› Deja que te asesore un QSA› Realiza auditorías con empresas ASV

Page 50: Jornada PCI DSS

© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 50

Su Seguridad es Nuestro Éxito

Internet Security Auditorsc/ Santander, 101. Edif. A. 2º

E-08030 Barcelona

Tel.: +34 93 305 13 18

Fax: +34 93 278 22 48

www.isecauditors.com

Gracias