Descargar Presentación

Anuncio
PCI DSS v 3.1
Un enfoque práctico para su aplicación
Presentada por:
Ricardo Gadea
Gerente General
Assertiva S.A.
Alberto España
Socio/QSA
1stSecureIT
Aclaración:
©
Todos los derechos reservados. No está permitida la
reproducción parcial o total del material de esta sesión, ni
su tratamiento informático, ni la transmisión de ninguna
forma o por cualquier medio, ya sea electrónico, mecánico,
por fotocopia, por registro u otros métodos, sin el permiso
previo y por escrito de los titulares de los derechos. Si bien
este Congreso ha sido concebido para difusión y promoción
en el ámbito de la profesión a nivel internacional,
previamente deberá solicitarse una autorización por escrito
y mediar la debida aprobación para su uso.
Agenda
• Resumen PCI DSS
• ¿Como empezar?
• Recomendaciones
– P2P
– Tokenization
– Segmentación
– Uso de Terceros
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
4
¿Qué es PCI SSC?
• Payment Card Industry (PCI) Security
Standards Council (SSC) es un foro mundial
abierto destinado a laformulación, la mejora,
el almacenamiento, la difusión y la aplicación
permanentes de las normas de seguridad para
la protección de datos de cuentas.
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
5
Alcance
• Aplican a todos los componentes del sistema (cualquier
elemento de red, servidor o aplicación) del entorno de los
datos de tarjetas (CDE) o que esté conectado a éste.
• El CDE consta de personas, procesos y tecnología que
almacenen, procesen o transmiten datos de tarjetas o
datos confidenciales de autenticación (SAD).
• El estándar cubre varios aspectos de seguridad como
controles en politicas, procesos, arquitectura de red,
desarrollo de software y otros aspectos críticos para la
seguridad de los datos.
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
6
Procesadores/Proveedores
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
7
Comercios
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
8
Evolución
PCI 3.0
Nov
PCI 1.2
PCI 1.0
Enfoque
basado en
el riesgo,
énfasis en
inalámbrico
Dic
12
secciones
principales
2004
2006
2008
2010
PCI 1.1
PCI 2.0
Sep Seguridad
Oct
en las app,
controles de
compensación
8/24/2015
Consistencia
de los
evaluadores,
enfoque
basado en el
riesgo,
flexibilidad
Oct
Definición de
alcance,
aclaraciones
Información Confidencial - Propiedad de
1stSecureIT
2013
2015
PCI 3.1
Abr
SSL
inseguro
9
Fechas PCI DSS v 3.1
15/Abr/15’
Inmediato
30/Jun/15’
PCI DSS v3.1
fue publicado
PCI DSS v3.1
entro en vigor
PCI DSS v3
expira
8/24/2015
1/Jul/15’
Entra en vigor
los Req.
faltantes de
PCI DSS v3.1
Información Confidencial - Propiedad de
1stSecureIT
30/Jun/16’
Plazo máx
para dejar de
usar SSL
10
Requerimientos de PCI DSS v3.1
Desarrollar y mantener sistemas y redes seguros
• Req. 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de
las tarjetas
• Req. 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los
proveedores
Proteger los datos del titular de la tarjeta
• Req. 3:Proteja los datos del titular de la tarjeta que fueron almacenados
• Req. 4:Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
Mantener un programa de administración de vulnerabilidad
• Req. 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus
regularmente.
• Req. 6: Desarrolle y mantenga sistemas y aplicaciones seguras
Implementar medidas sólidas de control de acceso
• Req. 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga
la empresa.
• Req. 8: Identificar y autenticar el acceso a los componentes del sistema.
• Req. 9: Restringir el acceso físico a los datos del titular de la tarjeta
Supervisar y evaluar las redes con regularidad
• Req. 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de
las tarjetas
• Req. 11: Pruebe con regularidad los sistemas y procesos de seguridad.
Mantener una política de seguridad de información
• Req. 12: Mantener una política que aborde la seguridad de la información de todo el personal
11
Resumen de cambios v3.1
• Se mantienen los 12 dominios, se incorporan nuevos
requisitos:
– V2:212 controles vs v3: 243controles
• Balance de flexibilidad, rigor y consistencia
– Mayor rigor en la determinación de alcance de la evaluación
– Es más flexible (revisión de logs)
• La seguridad como una Responsabilidad Compartida
• Importancia en el educación y concientización
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
12
Agenda
• Resumen PCI DSS
• ¿Como empezar?
• Recomendaciones
– P2P
– Tokenization
– Segmentación
– Uso de Terceros
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
13
Controles de PCI DSS
y el concepto de defensa en profundidad
Requerimiento 3, 4, 7 y 8
Requerimiento 5 y 6
Requerimiento 10
Requerimiento 2
Requerimiento 1
Requerimiento 9
Requerimiento 12
Requerimiento 11
PCI-DSS como un sistema de gestión
Servicios recurrentes
- Evaluación de riesgos anual
- Escaneos/análisis de vulnerabilidades
- Revisión de controles
- Revisión de reglas del firewall
- Revisión de código aplicativo
Soluciones y servicios
que ayudan al cumplimiento
Servicios:
Herramientas:
• Definición de políticas, normas y
procedimientos de seguridad
• Revisión de reglas de firewalls y routers
• Hardening de plataformas y bases de datos
• Arquitectura de red segura
• Planes de recuperación ante desastres
• Ethical hacking o test de penetración
externo
• Análisis de vulnerabilidades interno sobre
aplicaciones y plataformas
• Análisis de código fuente
• Planes de concientización
• Evaluación de riesgos en el ambiente de
datos del tarjetahabiente
• Reingeniería de Roles y Perfiles
• Certificación de accesos
• Etc.
• Security Information Event Management
(SIEM)
• Identity and Access Management (IAM)
• File Integrity Monitoring (FIM)
• Data Loss Prevention (DLP)
• Web Application Firewall (WAF)
• Database Security
• Data Masking Technologies /Tokenization
• Data Encryption
• Endpoint Protection
• VPN/SSL
• Pan Searcher
• Email Security
• Gestión de usuarios privilegiados (PUM)
• Vulnerability Management Tools
• Etc.
Gap Analysis
Entregables
•
•
•
•
Resumen ejecutivo
Reporte detallado
Recomendaciones para reducir alcance
Plan de trabajo
Agenda
• Resumen PCI DSS
• ¿Como empezar?
• Recomendaciones
– P2P
– Tokenization
– Segmentación
– Uso de Terceros
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
18
P2P Encryption
Merchant Benefits
P2PE significantly facilitates merchant responsibilities:
• With a P2PE Security Solution, merchants save significant time and money as
PCI requirements may be greatly reduced. Payment Card Industry Data Security
Standard (PCI DSS).
• For organizations who use a PCI-listed P2PE Solution provider, the PCI Self
Assessment Questionnaire is reduced from 12 sections to 4 sections and the
controls are reduced from 329 questions to just 35.
• In the event of fraud, P2PE, not the merchant, is held accountable for data loss
and fines.
From Wikipedia
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
19
Tokenization
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
20
Tokenization
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
21
Segmentation
• Firewall como
mínimo
componente +
VLAN o Routers
• PCI Room
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
22
Terceros
El uso de proveedores certificados en PCI puede también disminuir el
alcance de manera importante:
Ejemplos:
• Centro de datos – Co-location _ Doble Autenticación de acceso remoto
• Elimina el requisito 9 en su totalidad y muchos del 12.
• Centro de datos – Managed Services
• Elimina muchos del 1, 2, 9, 10, 11 y 12
Amazon Web Services
• Call Centers
• Minimiza el impacto del requisito 3 y 4.
• Aplicaciones certificadas PA-DSS
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
23
Otros Consejos para alinearse a la v3.1
• Definir el alcance.
• Crear un plan de acción para atender los requerimientos no
cumplidos.
• Crear diagramas de flujo de datos CHD.
• Crear y/o actualizar un inventario de componentes dentro del
entorno (CDE).
• Implementar los controles de BAU.
• Enfocarse en el cumplimiento de los proveedores.
8/24/2015
Información Confidencial - Propiedad de
1stSecureIT
24
Gracias por asistir a esta sesión…
Para mayor información:
Ricardo Gadea
Gerente General
Assertiva S.A.
rgadea@assertiva.biz
Para descargar esta presentación visite
www.segurinfo.org
Descargar