PCI DSS - Internet Security Auditors

Anuncio
Su Seguridad es Nuestro Éxito
PCI DSS, UN PROCESO CONTINUO
Madrid, 7 de Noviembre de 2007
c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com I www.isecauditors.com
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 1
Presentación
Miguel-Ángel Domínguez Torres
Director Depto. Consultoría
CISA, CISSP, ISO27001 L.A., PCI DSS QSA, OPST
mdominguez@isecauditors.com
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 2
SERVICIOS
Auditoría
Consultoría
Seguridad
Gestionada
Formación
Test de Intrusión
Implantación SGSI 27001
Serv. de FW de Aplicación WIPS
Certificaciones Oficiales
Auditoría de Aplicaciones
Plan Director de Seguridad
Serv. de Vigilancia Anti-Malware
Planes de Formación
Auditoría de Sist. Inf.
Plan de Continuidad de Negocio
Securización de Sist. de Inf.
Políticas de Seguridad
Gestión de Incidentes
LOPD/LSSICE
Informática Forense/Peritaje
PCI DSS
Externalización de la Seguridad
Su Seguridad es Nuestro Éxito
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 3
Reconocimientos
Internet Security Auditors ha sido la
primera empresa española en obtener las
certificaciones QSA (Qualified Security
Asessor) y ASV (Acredited Scanning
Vendor) por el PCI Security Standards
Council (PCI SSC) para realizar auditorías
internas de cumplimiento de la norma PCI
DSS (Payment Card Industry Data Security
Standard).
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 4
¿Qué es PCI DSS?
“Su finalidad es la reducción del fraude relacionado con las
tarjetas de crédito e incrementar la seguridad de estos datos”
ƒ Estándar de seguridad
ƒ Conjunto de requerimientos para
›
›
Gestionar la seguridad
Definir medidas de protección para las infraestructuras que intervienen
en el tratamiento, procesado o almacenamiento de información de
tarjetas de crédito.
ƒ Fruto del esfuerzo del PCI Security Standards Council (PCI SSC)
formado por las principales compañías emisoras de tarjetas de crédito
(VISA, MASTERCARD, AMERICAN EXPRESS, JCB, DISCOVER).
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 5
¿A quién afecta?
ƒ Cualquier organización que participe en el procesamiento,
transmisión o almacenamiento de información de tarjetas de
crédito.
ƒ PCI DSS cataloga a estas organizaciones en
›
›
›
Comercios (super/ hipermercados, autopistas, e-commerce, agencias
de viajes, etc)
Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de
tarjetas, servicios de envío de tarjetas, procesadores de transacciones,
etc.)
Entidades Adquirientes (Bancos, Cajas de ahorro, etc.).
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 6
¿Cómo Cumplir PCI DSS?
PCI DSS v1.1
Principios
Requerimientos
Construir y Mantener una Red Segura
1. Instalar y mantener un cortafuegos y su configuración para proteger la
información de tarjetas
2. No emplear parámetros de seguridad y usuarios del sistema por defecto
Proteger los datos de tarjetas
3. Proteger los datos almacenados de tarjetas
4. Cifrar las transmisiones de datos de tarjetas en redes abiertas o públicas
Mantener un Programa
Vulnerabilidades
de
Gestión
de
5. Usar y actualizar regularmente software antivirus
6. Desarrollar y mantener de forma segura sistemas y aplicaciones
Implementar Medidas de Control de Acceso
7. Restringir el acceso a la información de tarjetas según la premisa “need-toknow”
8. Asignar un único ID a cada persona con acceso a computadores
9. Restringir el acceso físico a la información de tarjetas
Monitorizar
Redes
10. Auditar y monitorizar todos los accesos a los recursos de red y datos de
tarjetas
11. Testear de forma regular la seguridad de los sistemas y procesos
y
Testear
Regularmente
las
Mantener una Política de Seguridad de la
Información
12. Mantener una política que gestione la seguridad de la información
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 7
Responsabilidades
ƒ PCISSC (PCI Security Standards Council)
›
›
Supervisa el desarrollo y es responsable de PCI DSS y otros
documentos de soporte (procedimientos de auditoría, SAQ, etc.)
Aprueba/homologa y Mantiene la lista de empresas ASV y QSA
ƒ Las Marcas establecen mediante sus programas de cumplimiento:
›
›
›
›
Cómo se reporta y valida el cumplimiento de PCI DSS
Aprobación de entidades que cumplen PCI DSS
Cuales son las consecuencias de no cumplir
Niveles de comercios y proveedores de servicio (en algunos
casos)
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 8
Responsabilidades
ƒ Las entidades Adquirientes son responsables de:
›
›
›
Asegurar que sus comercios conocen PCI DSS
Realizar el seguimiento de los comercios hasta que cumplan con
PCI DSS (Los requerimientos se cumplen y han sido validados).
Comunicar el estado de cumplimiento de los comercios a las
marcas.
ƒ Los comercios y proveedores de servicio son responsables de:
›
›
Conocer y Cumplir PCI DSS
Validar y Reportar el cumplimiento en base a los requerimientos
de entidades adquirientes y marcas según proceda.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 9
¿Debo acreditar el Cumplimiento de PCI DSS?
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 10
¿Debo acreditar el Cumplimiento de PCI DSS?
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 11
¿Debo acreditar el Cumplimiento de PCI DSS?
›
VISA AIS (Account Information Security) Europe
http://www.visaeurope.com/aboutvisa/security/ais/
USA: http://www.visa.com/cisp/
Canada: http://www.visa.ca/ais
Asia-Pacifico: http://www.visa-asia.com/secured/
›
Mastercard SDP (Site Data Protection)
http://www.mastercard.com/sdp/
›
JCB Data Security Program
http://www.jcb-global.com/english/pci/index.html
›
Discover DISC (Discover Information Security Compliance)
http://www.discovernetwork.com/resources/data/data_security.html
›
AMEX DSOP (Data Security Operating Standard)
http://www.americanexpress.com/datasecurity
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 12
¿Cuales son las consecuencias de no cumplir PCI DSS?
ƒ Las compañías que no cumplan con este estándar, estarán sujetas a
›
Multas/Penalizaciones tras un incidente que compromete
números de tarjetas.
›
›
›
En relación a la cantidad de números de tarjetas comprometidos
Si se guardaba información sensible (Pista completa,
CVV2/CVC2/CID/CAV2, PIN, PIN Block) y no se estaban aplicando
medidas para remediar esta situación.
Las multas que aplican las marcas sobre los acquirers pueden o no
ser traspasadas a comercios y/o service providers
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 13
¿Cuales son las consecuencias de no cumplir PCI DSS?
ƒ Otras consecuencias
›
›
›
›
›
Pérdida de reputación
Pérdida de clientes
Daño a la imagen corporativa
Procesos judiciales
Gastos por investigaciones forenses
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 14
Beneficios
ƒ Beneficios de contar con un programa que cumpla PCI DSS son:
›
Protección ante responsabilidades y costes potenciales vinculados al
mal uso de información de tarjetas de crédito (p.e. en caso de una fuga
de información o intrusión).
›
Gestión y control de costes relativos a seguridad de la información.
›
Aumentar la confianza de los clientes: un cliente que paga con tarjeta
sabe que sus datos están gestionados según un estándar de seguridad.
›
Facilidad para el cumplimiento con legislación, estándares o
requerimientos de seguridad y privacidad (LOPD, LSSICE, LGT,
ISO27001, etc.).
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 15
¿Cómo obtener ayuda?
ƒ Empresas QSA y ASV para
›
Asesorar a empresas que necesiten ayuda en la implantación.
https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf
›
Auditar las medidas de seguridad implantadas.
https://www.pcisecuritystandards.org/pdfs/asv_report.html
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 16
Tareas a Realizar
Requerimientos PCI DSS - Visión Tecnológica
ƒ Segmentación de Red
›
Diseño de redes seguras y protección perimetral (Req 1, 5, 11.4 y 11.5)
ƒ Instalación y Mantenimiento de Sistemas de Información
›
Securización de sistemas de información (Req 2, 6.1)
ƒ Protección de los datos y las comunicaciones
›
›
›
Identificación y eliminación de datos sensibles (CVV2, Pistas,...) (Req 3)
Protección de bases de datos mediante cifrado (Req 3)
Protección de las comunicaciones mediante protocolos seguros (Req 4)
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 17
Tareas a Realizar
Requerimientos PCI DSS - Visión Tecnológica
ƒ Seguridad en SDLC
›
›
Auditoría de aplicación, Revisión de código, Guía de buenas prácticas en
desarrollo seguro, formación (Req 6.3, 6.4, 6.5)
30 Junio 2008 (Req 6.6)
›
›
Auditoría de código por empresa especializada
Firewall de aplicación
ƒ Control del Acceso
›
›
Control de Acceso al Sistema Operativo, Red y Aplicaciones (Req 7 y 8)
Control de Acceso Físico: Tarjetas, Biometría, etc. (Req 9)
ƒ Monitorización y protección de eventos de seguridad
›
Plataforma de gestión de logs y eventos de seguridad (Req 10)
ƒ Revisión y Test
›
Test de intrusión interno y externo (Req 11.1, 11.2 y 11.3)
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 18
Tareas a Realizar
Requerimientos PCI DSS – Gestión de la Seguridad
ƒ Política de Seguridad de la Información (Req 12)
›
Marco normativo de seguridad – Política de Seguridad (Req 12.1, 12.2,
12.3, 12.10)
›
›
›
›
›
›
Analizar y Mitigar riesgos (Req 12.1, 12.7)
Definición de Roles y Responsabilidades (Req 12.4, 12.5)
Formación y concienciación (Req 12.6)
Gestión de incidentes y análisis forense (Req 12.9)
Continuidad de Negocio y Recuperación ante Desastres (Req 12.9)
Relaciones con Proveedores (Req 12.8)
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 19
Tareas a Realizar
Requerimientos PCI DSS – Gestión de la Seguridad
ƒ Otros requerimientos también definen aspectos necesarios a definir
para gestionar PCI DSS:
›
›
›
›
›
›
›
Desarrollar estándares de configuración para todos los componentes
de PCI DSS (firewalls, routers, sistemas, aplicaciones, etc.)
Desarrollar políticas de retención y eliminación de datos.
Definir políticas y procedimientos para el uso de criptografía y gestión
de claves.
Desarrollar estándares de programación segura basados en best
practices.
Definir procedimientos de gestión de cambios para sistemas y
aplicaciones.
Definir políticas y procedimientos para gestión de cuentas de usuario y
contraseñas, así como el control de acceso.
...
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 20
Tareas a Realizar
Requerimientos PCI DSS – Gestión de la Seguridad
ƒ Gestionar requiere además
›
›
Compromiso de la Dirección
Provisión de Recursos
› Equipos, aplicativos, personas, instalaciones, etc.
› Formar, educar y concienciar al personal implicado
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 21
Alternativas
ƒ Podemos
›
Gestionar PCI DSS dentro de un SGSI ISO27001
›
›
Cumplimiento Normativo
Implementar un SGSI ISO27001 donde
›
›
Alcance = PCI DSS
Extensible a otros ámbitos de la organización
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 22
Proceso Continuo
Serie de acciones sistemáticas que permite
obtener resultados consistentes y repetibles
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 23
Proceso Continuo – Ciclo PDCA
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 24
Proceso Continuo
ƒ Planificación (PLAN)
›
Identificación del Entorno PCI DSS
› Es crítico determinar cual es el entorno o ámbito al que aplica PCI
DSS
›
Identificar los puntos donde se transmite, procesa o almacena
información de tarjetas y definir el entorno que debe ser
protegido para cumplir con PCI DSS.
›
Identificar todos los sistemas que puedan almacenar o
procesar información de tarjetas
›
Identificar redes por donde se transmite o sistemas,
aplicaciones y personas que acceden a datos de tarjetas
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 25
Proceso Continuo
ƒ Planificación (PLAN)
›
Identificar Datos Sensibles y PANs
› En tráfico de red, bases de datos, ficheros, logs, copias en
papel, etc.
› Utilizando expresiones regulares u otro tipo de herramientas.
› Validando los resultados y eliminando falsos positivos
(Fórmula de Luhn MOD-10).
›
Identificar durante cuanto tiempo se mantiene esta información
Los datos sensibles no pueden almacenarse tras la autorización
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 26
Proceso Continuo
ƒ Planificación (PLAN)
›
›
Si no lo hacemos bien
› Identificación y eliminación INCORRECTA de datos no
permitidos en todos los sistemas a los que aplica PCI DSS
› FALSA SENSACIÓN DE CUMPLIMIENTO - No cumplimiento
real de PCI DSS
Análisis del Estado Actual de Cumplimiento (Gap Analysis)
› Analizar los procesos de la organización en relación al uso de
tarjetas. Implica la colaboración de departamentos técnicos y de
negocio (financiero, medios de pago, seguridad, etc.)
›
Realizar reuniones de trabajo para evaluar el cumplimiento de los
requerimientos PCI DSS.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 27
Proceso Continuo
ƒ Planificación (PLAN)
¿Qué medidas de seguridad tenemos actualmente y como se
alinean con lo que requiere PCI DSS?
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 28
Proceso Continuo
ƒ Planificación (PLAN)
›
Definición del Plan de Acción (Remediation Plan)
›
Identificar acciones a realizar para acotar o reducir el entorno o
ámbito sobre el que debemos implementar PCI DSS.
› Reducir costes innecesarios de implantación y
mantenimiento.
› Reducir el tiempo necesario para cumplir PCI DSS.
›
Identificar acciones a realizar para cubrir los requerimientos que
actualmente no se cumplen total o parcialmente
›
Definir el calendario de cumplimiento de los hitos más importantes y
del momento en que se el cumplimiento será completo.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 29
Proceso Continuo
ƒ Planificación (PLAN)
›
Definición del Plan de Acción (Remediation Plan)
›
Identificar los recursos (aplicaciones, equipos, instalaciones y
personas) que son necesarios para implementar y mantener el
cumplimiento.
›
Tener en cuenta los riesgos a la hora de priorizar acciones
›
Establecer el equipo de proyecto que será necesario para
implementar el plan de acción.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 30
¿Y si no puedo cumplir todo lo que me piden?
“No siempre es viable cumplir todos los requerimientos tal y
como PCI DSS pide” => Controles Compensatorios
ƒ Pueden ser considerados para la mayoría de requerimientos PCI DSS
›
›
›
Encriptación de datos
Monitorización de integridad de ficheros
Requerimientos sobre las contraseñas
ƒ Deben cumplir:
›
›
›
›
Justificación tecnológica o restricciones de negocio
El mismo objetivo y “fortaleza” que el requerimiento original
No basarse en otros requerimientos
Imponer medidas adicionales de seguridad para mitigar el riesgo de no
cumplir el requerimiento.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 31
¿Y si no puedo cumplir todo lo que me piden?
“No siempre es viable cumplir todos los requerimientos tal y
como PCI DSS pide” => Controles Compensatorios
ƒ Nunca para el almacenamiento de datos sensibles (CVV2, Pistas, etc.)
ƒ Boletín CISP de VISA con clarificaciones en referencia al
Requerimiento 3.4
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 32
¿Y si no puedo cumplir todo lo que me piden?
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 33
Proceso Continuo
ƒ Implantación (DO)
›
›
Reducción del Entorno PCI DSS
› Acotar el entorno de cumplimiento al mínimo imprescindible
› Segmentar la red
› Reducir al mínimo donde se almacenan los datos
› Restringir el control de acceso
Implantación del Plan de Acción
› Medidas Técnicas
› Medidas de Gestión
› Definición de Procesos, Estándares, Políticas y
Procedimientos -> Si no está documentado NO Existe
›
Supervisión y revisión por un QSA
›
Aprobación por las Marcas
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 34
Proceso Continuo
ƒ Gestión de Proveedores
›
›
Identificar terceras partes – Proveedores de Servicios
› Proveedores de hardware/software POS
› Pasarelas de pago
› Software a medida
› Hosting
› Etc.
La responsabilidad final de las actividades que los proveedores realizan
con los datos de tarjetas recae en el propietario.
›
Requerir Contractualmente el Cumplimiento PCI DSS de los
proveedores y realizar un seguimiento del estado.
›
Si eres un proveedor de servicios – Contacta un QSA para definir Plan
de Acción para PCI DSS.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 35
Proceso Continuo
ƒ Gestión de Proveedores
›
Listado de proveedores de servicio
›
VISA
http://www.visaeurope.com/documents/ais/VISA_Europe_AIS_Certif
ied_Service_Providers_05112007.pdf
›
Mastercard
http://www.mastercard.com/us/sdp/assets/pdf/Compliant%20Servic
e%20Providers%20-%20November%201%202007.pdf
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 36
Proceso Continuo
ƒ Gestión de Incidentes
›
En caso de compromiso, se deberá:
› Contactar con las marcas afectadas o entidades adquirientes según
sea conveniente.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 37
Proceso Continuo
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 38
Proceso Continuo
ƒ Gestión de Incidentes
›
En caso de compromiso, se deberá:
›
Contener y limitar las consecuencias (investigación forense)
› Aislar los sistemas comprometidos
› Identificar como ocurrió
› Identificar si se almacenan datos sensibles (Pistas, ...)
› Si no podemos determinar el alcance (pistas de auditoría, etc.)
deberemos reportar que todas las tarjetas pudieron ser
comprometidas (mayores consecuencias económicas)
›
Volver a recuperar el entorno dentro del cumplimiento PCI DSS
› Eliminar datos sensibles que pudieran estar almacenados.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 39
Proceso Continuo
ƒ Revisión/Validación del Cumplimiento (CHECK)
›
›
›
›
›
›
›
Revisión trimestral de Reglas del Firewall y Routers
Revisión anual de la Política de Seguridad
Revisión anual de riesgos
Monitorización y Revisión de eventos de auditoría
Formación anual en relación a la seguridad de las tarjetas
Auditorías
› Test de Intrusion a nivel de Red y Aplicación
› Revisión de controles
Cumplir los requerimientos de validación (según sea el caso):
› Auditoría de Cumplimiento Anual
› Formulario de autoevaluación Anual (SAQ)
› Escaneos de Vulnerabilidades Trimestrales ASV
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 40
Auditoría de Cumplimiento PCI DSS
Revisión
Documental
Plan de
Auditoría
Ejecución del
Plan
Informe de
Cumplimiento
Plan de Acción
ƒ Verificar que los requerimientos establecidos en PCI DSS se están
cumpliendo (mediante muestreo).
ƒ Tareas:
›
›
›
›
›
Revisión documental.
Preparación del Plan de Auditoría: determinación de la muestra,
actividades, documentación de trabajo, etc.
Ejecución de las actividades de auditoría incluyendo la evaluación de
controles compensatorios.
Elaboración y presentación del informe de cumplimiento.
En caso necesario se definen las tareas a ejecutar para las no
conformidades (plan de acción) y posteriormente se valida que estas
han sido implementadas.
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 41
Cuestionario de Autoevaluación
Revisión del
Cumplimiento
Formulario de
Autoevaluación
Plan de Acción
ƒ Elaboración del cuestionario de autoevaluación (Self-Assessment
Questionnaire) para empresas que no están obligadas a realizar
auditorías on-site de forma anual
›
›
Evaluar el nivel de riesgo
Es una buena práctica contactar con asesoramiento de un QSA
ƒ Tareas:
›
›
›
Revisión del estado de cumplimiento de los 12 requerimientos.
Elaboración y presentación del cuestionario de autoevaluación.
En caso necesario se definen las tareas a ejecutar para las no
conformidades (plan de acción)
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 42
Escaneos de Vulnerabilidades ASV
Ámbito de
Auditoría
Escaneo
Informe de
Resultados
ƒ Cumplir el requerimiento 11.2
›
›
›
›
›
Asegurar que los sistemas están protegidos de amenazas externas
como hackers o virus
Trimestral
Por una empresa certificada como ASV
No intrusivo
No es un Test de Intrusion
ƒ Tareas:
›
›
›
Determinación del ámbito de auditoría (rango de IPs y listado de
dominios a ser escaneados).
Ejecución del escaneo en las fechas programadas
Elaboración del informe de resultados
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 43
Proceso Continuo
ƒ Actuar (ACT)
›
En base a los resultados obtenidos de:
› Auditorías
› Sistemas de Monitorización (Logs, Incidentes, ...)
› Revisiones de la política y riesgos
›
Identificar necesidades de actuar
› Corregir el no cumplimiento
› Prevenir incidentes
›
Planificar e Implementar controles
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 44
PCI DSS vs ISO27001
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 45
PCI DSS vs ISO27001
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 46
PCI DSS vs ISO27001
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 47
Resumen
ƒ PCI DSS debe cumplirse
›
›
Si procesas, almacenas o transmiten datos de tarjetas
Independientemente de cómo debas validar el cumplimiento.
ƒ Si no necesito almacenar los datos de las tarjetas, MEJOR NO
HACERLO
›
›
›
Reducimos el riesgo sobre nuestro negocio
Reducimos el entorno al que aplica PCI DSS
Reducimos costes
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 48
Resumen
ƒ La implantación debe pensarse cómo un proceso continuo y no cómo
una acción puntual
›
›
›
›
›
›
Define procesos
Asigna recursos
Compromete a la dirección
Monitoriza y Revisa
Integra PCI DSS en la gestión de seguridad de la organización
Basarlo en estándares (ISO27001)
ƒ Cuenta con el apoyo de expertos
›
›
Deja que te asesore un QSA
Realiza auditorías con empresas ASV
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 49
Gracias
Internet Security Auditors
c/ Santander, 101. Edif. A. 2º
E-08030 Barcelona
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
www.isecauditors.com
Su Seguridad es Nuestro Éxito
© I n t e r n e t S e c u r i t y A u d i t o r s • Evento PCI DSS • 7 de Noviembre de 2007 • P. 50
Descargar