PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA 1stSecureIT Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso. Agenda • Resumen PCI DSS • ¿Como empezar? • Recomendaciones – P2P – Tokenization – Segmentación – Uso de Terceros 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 4 ¿Qué es PCI SSC? • Payment Card Industry (PCI) Security Standards Council (SSC) es un foro mundial abierto destinado a laformulación, la mejora, el almacenamiento, la difusión y la aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 5 Alcance • Aplican a todos los componentes del sistema (cualquier elemento de red, servidor o aplicación) del entorno de los datos de tarjetas (CDE) o que esté conectado a éste. • El CDE consta de personas, procesos y tecnología que almacenen, procesen o transmiten datos de tarjetas o datos confidenciales de autenticación (SAD). • El estándar cubre varios aspectos de seguridad como controles en politicas, procesos, arquitectura de red, desarrollo de software y otros aspectos críticos para la seguridad de los datos. 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 6 Procesadores/Proveedores 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 7 Comercios 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 8 Evolución PCI 3.0 Nov PCI 1.2 PCI 1.0 Enfoque basado en el riesgo, énfasis en inalámbrico Dic 12 secciones principales 2004 2006 2008 2010 PCI 1.1 PCI 2.0 Sep Seguridad Oct en las app, controles de compensación 8/24/2015 Consistencia de los evaluadores, enfoque basado en el riesgo, flexibilidad Oct Definición de alcance, aclaraciones Información Confidencial - Propiedad de 1stSecureIT 2013 2015 PCI 3.1 Abr SSL inseguro 9 Fechas PCI DSS v 3.1 15/Abr/15’ Inmediato 30/Jun/15’ PCI DSS v3.1 fue publicado PCI DSS v3.1 entro en vigor PCI DSS v3 expira 8/24/2015 1/Jul/15’ Entra en vigor los Req. faltantes de PCI DSS v3.1 Información Confidencial - Propiedad de 1stSecureIT 30/Jun/16’ Plazo máx para dejar de usar SSL 10 Requerimientos de PCI DSS v3.1 Desarrollar y mantener sistemas y redes seguros • Req. 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas • Req. 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Proteger los datos del titular de la tarjeta • Req. 3:Proteja los datos del titular de la tarjeta que fueron almacenados • Req. 4:Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. Mantener un programa de administración de vulnerabilidad • Req. 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente. • Req. 6: Desarrolle y mantenga sistemas y aplicaciones seguras Implementar medidas sólidas de control de acceso • Req. 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. • Req. 8: Identificar y autenticar el acceso a los componentes del sistema. • Req. 9: Restringir el acceso físico a los datos del titular de la tarjeta Supervisar y evaluar las redes con regularidad • Req. 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas • Req. 11: Pruebe con regularidad los sistemas y procesos de seguridad. Mantener una política de seguridad de información • Req. 12: Mantener una política que aborde la seguridad de la información de todo el personal 11 Resumen de cambios v3.1 • Se mantienen los 12 dominios, se incorporan nuevos requisitos: – V2:212 controles vs v3: 243controles • Balance de flexibilidad, rigor y consistencia – Mayor rigor en la determinación de alcance de la evaluación – Es más flexible (revisión de logs) • La seguridad como una Responsabilidad Compartida • Importancia en el educación y concientización 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 12 Agenda • Resumen PCI DSS • ¿Como empezar? • Recomendaciones – P2P – Tokenization – Segmentación – Uso de Terceros 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 13 Controles de PCI DSS y el concepto de defensa en profundidad Requerimiento 3, 4, 7 y 8 Requerimiento 5 y 6 Requerimiento 10 Requerimiento 2 Requerimiento 1 Requerimiento 9 Requerimiento 12 Requerimiento 11 PCI-DSS como un sistema de gestión Servicios recurrentes - Evaluación de riesgos anual - Escaneos/análisis de vulnerabilidades - Revisión de controles - Revisión de reglas del firewall - Revisión de código aplicativo Soluciones y servicios que ayudan al cumplimiento Servicios: Herramientas: • Definición de políticas, normas y procedimientos de seguridad • Revisión de reglas de firewalls y routers • Hardening de plataformas y bases de datos • Arquitectura de red segura • Planes de recuperación ante desastres • Ethical hacking o test de penetración externo • Análisis de vulnerabilidades interno sobre aplicaciones y plataformas • Análisis de código fuente • Planes de concientización • Evaluación de riesgos en el ambiente de datos del tarjetahabiente • Reingeniería de Roles y Perfiles • Certificación de accesos • Etc. • Security Information Event Management (SIEM) • Identity and Access Management (IAM) • File Integrity Monitoring (FIM) • Data Loss Prevention (DLP) • Web Application Firewall (WAF) • Database Security • Data Masking Technologies /Tokenization • Data Encryption • Endpoint Protection • VPN/SSL • Pan Searcher • Email Security • Gestión de usuarios privilegiados (PUM) • Vulnerability Management Tools • Etc. Gap Analysis Entregables • • • • Resumen ejecutivo Reporte detallado Recomendaciones para reducir alcance Plan de trabajo Agenda • Resumen PCI DSS • ¿Como empezar? • Recomendaciones – P2P – Tokenization – Segmentación – Uso de Terceros 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 18 P2P Encryption Merchant Benefits P2PE significantly facilitates merchant responsibilities: • With a P2PE Security Solution, merchants save significant time and money as PCI requirements may be greatly reduced. Payment Card Industry Data Security Standard (PCI DSS). • For organizations who use a PCI-listed P2PE Solution provider, the PCI Self Assessment Questionnaire is reduced from 12 sections to 4 sections and the controls are reduced from 329 questions to just 35. • In the event of fraud, P2PE, not the merchant, is held accountable for data loss and fines. From Wikipedia 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 19 Tokenization 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 20 Tokenization 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 21 Segmentation • Firewall como mínimo componente + VLAN o Routers • PCI Room 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 22 Terceros El uso de proveedores certificados en PCI puede también disminuir el alcance de manera importante: Ejemplos: • Centro de datos – Co-location _ Doble Autenticación de acceso remoto • Elimina el requisito 9 en su totalidad y muchos del 12. • Centro de datos – Managed Services • Elimina muchos del 1, 2, 9, 10, 11 y 12 Amazon Web Services • Call Centers • Minimiza el impacto del requisito 3 y 4. • Aplicaciones certificadas PA-DSS 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 23 Otros Consejos para alinearse a la v3.1 • Definir el alcance. • Crear un plan de acción para atender los requerimientos no cumplidos. • Crear diagramas de flujo de datos CHD. • Crear y/o actualizar un inventario de componentes dentro del entorno (CDE). • Implementar los controles de BAU. • Enfocarse en el cumplimiento de los proveedores. 8/24/2015 Información Confidencial - Propiedad de 1stSecureIT 24 Gracias por asistir a esta sesión… Para mayor información: Ricardo Gadea Gerente General Assertiva S.A. rgadea@assertiva.biz Para descargar esta presentación visite www.segurinfo.org