Sr, Tenemos una nueva misión imposible: Debemos ... - Cybsec

cybsec.com

Sr, Tenemos una nueva misión imposible: Debemos ... - Cybsec

Sr, Tenemos una

nueva misión

imposible: Debemos

implementar PCI en

Dia%.

Déjelo en

nuestras manos,

el equipo de

Sistemas podrá

solucionarlo.


Implementando medidas para

cumplimiento con PCI.

Seminario: Tendencias de la

seguridad de la Información

2008

Pablo Benitez


Introducción

Pablo Benitez

• Jefe Microinformática

• Lider de Proyecto PCI Compliance – Pago Online.

Dia Argentina:

• Empresa de Supermercadismo Hard Discount.

• 400 Locales operando Tarjetas mediante Pos.

Proyecto:

• Implementar Pago Online cumpliendo PCI.


¿Qué es PCI?

Payment Card Industry

• El PCI Security Standards Council (PCI-DSS) es un organismo

internacional que regula la industria de las tarjetas de pago.

• Se creó en 2006, soportado por las principales empresas de

tarjetas de crédito y débito (Visa, MasterCard, American Express,

Discover, JCB).

• Define el standard “PCI-DSS” al que todos los comercios,

emisores y adquirentes deben adecuarse.


¿Por qué DIA debe certificar Compliance?

Uhh! Entramos en PCI %$#% !!!

• El Standard PCI especifica diferentes niveles de cumplimiento

según el tipo de negocio y el volumen de transacción.

• Ibamos a comenzar de cero a operar Online con Tarjetas de

Crédito.

• Dadas las características de nuestro negocio y la cantidad de

locales fuimos clasificados como “Tier 1”.

• Por este motivo todas las autorizadoras nos exigieron Homologar

PCI con una consultora Certifificada.


El estado inicial

che qué es PCI… ? Ehhh no se….!

• Inicialmente era algo abstracto .

• No sabíamos cuan alejados estábamos del Standard.

• Intuíamos que muy lejos…

• Por este motivo decimos hacer un GAP Analisis.


Análisis de Gap

¿De donde venimos… y hacia donde vamos?

• Se decidió contratar a CYBSEC para el asesoramiento en el proceso

de cumplimiento con el standard PCI-DSS.

• Se comenzó con un análisis de Gap para determinar la brecha entre

el estado inicial y el requerido para la aprobación por parte de las

tarjetas.


Análisis de Gap

Descubriendo los agujeros negros…

• Se identificaron las áreas de incumplimiento y se categorizaron las

mismas según su criticidad.

• En el caso de DIA, las áreas a mejorar fueron las siguientes:

• Definición de roles y responsabilidades

• Adquisición de Hardware y Software.

• Definición de Normas y Procedimientos

• Concientización del Personal en Seguridad de la Información

• Acceso Físico y Seguridad.


El proceso de regularización

Desde el ingreso al edificio hasta ………..

Nuevas Herramientas

Cambios Organizacionales

Procesos

Implementados

Dispositivos Biométricos

Tarjetas de identificación

Centralizador de Logs

Definición de un Responsable de Seguridad

Definición de Normas y Procedimientos

Responsables para todos los procesos PCI

Análisis de Logs diariamente

Definición de respuesta ante

incidentes

Definición de aplicación de

cambios

Analizadores Wireless

Capacitaciones en Seguridad para el Personal

Test de Seguridad periódicos

Firewalls/IDS/IPS

Software de Encripción

Legitimación de Normas y Procedimientos

Nuevos Requerimientos en la Toma de

Personal

Camaras de Seguridad

Parsing de Logs


La auditoría “On-Site” de CYBSEC

Llegó la hora de la verdad

• La Auditoría On Site, fue realizada por CYBSEC en su carácter de

Qualified Security Assessor (QSA).

• No hubo mayores inconvenientes.

• Se armó un planning detallado de la auditoría para facilitar el

proceso y así tener a disposición todo lo requerido por el Auditor.

• Se regularizó casi el 100% de los puntos

encontrados en el Gap Analisis.


La aprobación de las operadoras

El último paso: “La lucha Final”

• Se presentó el Informe Final a las Autorizadoras.

• No hubo inconvenientes.

• OK para salir en Producción !!


¿Cómo sacar provecho de PCI?

Me autorizas el gasto para…?

• Intentar hacer extensivo los procedimientos a todo IT.

• Aprovechar para lograr autorizaciones de compras necesarias.

• Implementación de controles Organizacionales pendientes de

larga data.

• Regularización de normas y procedimientos internos.

• Mejoras en la seguridad física de la compañía.


Conclusiones

Lo logramos…

• El análisis de Gap permitió establecer con claridad la brecha entre

el estado inicial y el requerido para la aprobación.

• La regularización de proceso como elemento positivo y

extensivo.

• El proceso de regularización es complejo pero no es imposible.

• Se pueden implementar soluciones de bajo costo.


Muchas gracias

Pablo Benitez

More magazines by this user
Similar magazines