PCI – DSS Data Security Standard

PCI – DSS: Data Security StandardNoviembre 09Evento ‘Política digital’

Fraude… un problema permanenteSofisticaciónFalsificaciónRobo dedatos(tarjeta nopresente)VelocidadVolumenFraude encajerosFraudesSkimming(tarjetaclonada)TransaccionalidadPérdida /RoboCambio deidentidadRobo deidentidad© 2009 Accenture All Rights Reserved2

Origen del PCI: Payment Card Industry20042006! Definir, desarrollar, mantener y distribuir el “PCI Data Security Standard” (PCI-DSS)! Entrenar, probar y certificar Qualified Security Asessors (QSAs)© 2009 Accenture All Rights Reserved3

¿Qué es el PCI DSS?PCI DSS (PCI Data Security Standard)! Estándares y requerimientos para la seguridad de datos(última versión 1.2 del 2008)! Aplica tanto para los datos como el entorno de la red! Su no aplicación lleva consigo el cobro de multas ypenalizaciones! Aplica para todas las entidades que almacenen, procesen y/o transmitan información de tarjetasAyudar a las compañías a prevenir fraude y detectarvulnerabilidades de seguridad© 2009 Accenture All Rights Reserved 4

Niveles de aplicación del PCICualquier organización que almacene, procese o transmita datos de tarjetas decrédito, debe cumplir con PCI DSS.QSA anual Network scan1 AutoevaluaciónPCI DSSA partir deNivel 1! > 6M transacciones anuales! Comercios que sufrieron compromisos deseguridad! Catalogados por ellos mismos o por otramarca como Nivel 1RequeridoanualRequeridotrimestralN/A 2004Nivel 2! 1-6M transacciones anuales! Catalogados por otra marca como nivel 2N/ARequeridotrimestralRequerido anual 2007Nivel 320K-1M e-commerce transacciones anualesN/ARequeridotrimestralRequerido anual 2005Nivel 4!

PCI DSS, ¿Qué comprende?Los requerimientos PCI / DSS v1.2 están organizados en 6 categoríasRed seguraQué hacerPolíticaseguridadProteccióndatostarjetahabienteCon qué hacerloPCIDSSSupervisiónredesVulnerabilidadControlde accesos© 2009 Accenture All Rights Reserved6

PCI DSS, ¿Qué hacer?PolíticaseguridadPCIDSSControlde accesosProteccióndatostarjetahabienteProtección de datos3. Proteger los datos del titular de la tarjetaque fueron almacenados4. Codificar la transmisión de los datos delos titulares de tarjetas a través de redespúblicas abiertasDisponibilidad (control deaccesos)7. Restringir el acceso a los datos de lostitulares de las tarjetas conforme a lanecesidad de conocer de la empresa(Control de Acceso)8. Asignar una ID única a cada persona quetenga acceso a equipos (Autentificación)9. Restringir el acceso físico a datos detitulares de tarjetas (Autorización)© 2009 Accenture All Rights ReservedPolítica de seguridad12. Mantener una política que aborde laseguridad de la información paraempleados y contratistas7

PCI DSS, ¿Con qué hacerlo?Infraestructura (red segura)1. Instalar y mantener una configuraciónde firewalls para proteger los datospersonales de los tarjetahabientesRed seguraPCIDSS2. No usar contraseñas de sistemas yotros parámetros de seguridadprovistos por los proveedoresAplicaciones (vulnerabilidad)5. Utilizar y actualizar regularmenteel software o los programasantivirusSupervisiónredesVulnerabilidad6. Desarrollar y mantener sistemasy aplicaciones segurasRedes (supervisión redes)10. Rastrear y supervisar todoacceso a los recursos de red ydatos de titulares de tarjetas11. Probar con regularidad lossistemas y procesos deseguridad© 2009 Accenture All Rights Reserved8

PCI DSS: ¿Qué significa para una organización?Un “reto tecnológico”en términos de:Infrastructure Security• Fire Wall Configuration• DMZ• Dynamic Packet Filtering• Perimeter Firewall, personal firewall• Port address translation (PAT)• Network address translation (NAT)• Implementation of SSH,SSL,VPN, SSL/TLS• Cryptography Key Management• Encryption-Data in Transit• Secure Email• Install & update Anti Virus Program,• Patch Management• IDS, File integrity monitoring software• Monitoring Access to Network resources• Auditing and Logging,• Implement automated audit trails• Log harvesting, parsing, and alerting toolsProcess• Firewall configuration standards• Configuration standards system components• Data retention and disposal policy• Data Collection –Policy• Key Management Process• Change Control Process• Identifying newly security vulnerabilities process• Access Control Process• Password Management• Separation of duties process• Environment Isolation Process• Information Security PolicyPhysical Security• Physical access to systems that store• Credit card data• Physical Process of transmit cardholder data• Visitors Management• Store media back-ups in a secure location• Physically secure all paper and electronicmedia• Storage and accessibility management• Purge, Degauss, Shred,• Destroy electronic mediaApplication Security• Secure coding guidelines,• Common Top Web Application vulnerabilities• Protection against Know web Attacks• Custom Code Reviews• Authorization &Authentication• Input validation• Session Management• Injection flaws, XSS,SQL injection• Encryption Data at rest & Transit• Masking of PAN• Handling PAN DataSecurity in SDLC• Web Application Security guidelines• Secure Design Review• Threat Modeling• Custom code Review• Security Testing• Security Awareness trainingsPenetration Testing• Quarterly external vulnerability scans,• Network-layer penetration tests• Application-layer penetration tests.• Network vulnerability scans© 2009 Accenture All Rights Reserved9

Modelo de referenciaPCI tiene que ser visto como una parte de un modelo integral de seguridadNecesidades del negocioPolíticas y estándares corporativos de SeguridadCumplimiento de requerimientosPCI DSSModelo de seguridadISO 27002 / BS 7799Procesos y procedimientosProcedures Standards Baselines Audit GuidelinesMetricas,controles yreportesTecnologíaHostAgentsEvent SensorsAssetDatabaseIdentity andAccessLog CollectorsDatabasesNetworkAgentsTicketingSystemManual AuditApplications© 2009 Accenture All Rights Reserved 10

Nuestra visión en el cumplimiento de PCICumplir con PCI no es sencillo: (Forrester Research Inc, 2008)“Is complex, confusing and comprehensive”“May require an independent auditor to come in and pull your organization apart”“ Is not an option if you want to accept credit card”“ Is an ongoing marathon, not a sprint to the finish line”Según nuestra visión existen una serie de acciones que ayudan a simplificar elproceso de cumplimiento y mantenimiento del programa PCI.! Evaluación situación actual! Gestión del programa! Soporte de expertos© 2009 Accenture All Rights Reserved 11

Evaluación situación actual! Movilizar" Establecer objetivos de entrevistay agenda de trabajo" Determinar el baseline de lamedición (PCI-DSS)" Determinar el Plan de trabajo" Kick-off! Analizar" Generar Inventario de información" BD" Aplicativos" Revisión de políticas de Seguridad" Revisión de mecanismos de acceso deinformación" Login/auditoria" Ambientes" Administración de información" Back-ups" Recoveries" Encriptación" Procesos de limpieza" Matriz de responsabilidad" Entrevistas con DBAS, Arquitectos,usuarios, equipos de infraestructura" Documentación! Gap analisis" Revisión interna y externa driesgos" Entrevistas con usuarios,administradores de aplicacionesa fin de validar necesidades denegocio y de accesos deinformación" Análisis de gaps contraestándares" Definición y priorización de Gaps! Recomendaciones" Resumen ejecutivo dehallazgos y gaps contraestándares del mercado" Recomendaciones© 2009 Accenture All Rights Reserved 12

Gestión del programaUna acción continua de gestión del programa permitirá:! Proporcionar una visión global del PCI en toda la organización! Obtener un mayor entendimiento de las dependencias y sinergias entre todas lasiniciativas! Tener un único frente en la gestión de todas las actividades del PCI! Asegurar que las iniciativas cumplan con las políticas de seguridad© 2009 Accenture All Rights Reserved 13

ConclusionesLa proactividad en términos de seguridad es fundamental:- Definir el alcance del modelo de seguridad- Diagnosticar la situación de la compañía en términos de seguridad- Definir el tratamiento que deben aplicar- Dar seguimiento continuo© 2009 Accenture All Rights Reserved 15