Using Microsoft Active Directory to Address Payment Card

Anuncio
Utilizando el Directorio Activo y
Centrify para Servidores para
satisfacer los requerimientos de las
normas de seguridad de datos de la
Industria de Tarjetas de Pago (PCI)
W HI TE P A PER
CE NTR I F Y CO RP.
Con el Directorio Activo de Microsoft y Centrify para Servidores, se puede utilizar la
infraestructura ya existente en su empresa para resolver la problemática de otras
plataformas, y beneficios como mayor fortaleza en los controles de seguridad, mejoras en
las operaciones de tecnología de la información, reportes de auditoria, y la captura y
reproducción de las sesiones de los usuarios. Más importante aún, en conjunto ayudan a
cumplir con varios de los requerimientos de las normas de seguridad de la Industria de
Tarjetas de Pago (PCI DSS).
El consejo de estándares de seguridad de la Industria de Tarjetas de Pago (PCI)
m antiene las normas de seguridad de datos (DSS) que es un conjunto riguroso
de re querimientos que debe ser cumplido por todos los comerciantes,
proce sadores de pagos, puntos de ventas e instituciones financieras. Las
rígidas penalidades definidas por los miembros de PCI están diseñadas para
ase gurarse que todos los comerciantes y proveedores de servicios mantengan
e l nive l de confianza de las tarje tas de pago ya que las pérdidas impactarían los
ingre sos de todos los comerciantes e instituciones financieras. Este documento
e x amina la justificación técnica y de negocios de utilizar e l Active Directory de
Microsoft y los productos de C entrify para ce ntralizar las políticas de protección,
aute nticación de usuarios, controles de acce so, responsabilidad y auditoría de
siste mas sensitivos. Esta combinación provee una solución e xhaustiva para
cum plir con e stas normativas.
C e ntrify Corporation
785 N. Mary Ave ., Suite 200
Sunnyvale, CA 94085
TEL
URL
(408) 542-7500
www.ce ntrify.com
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Information in this document, including URL and other Internet Web site references, is subject to change
without notice. Unless otherwise noted, the example companies, organizations, products, domain names, e-mail
addresses, logos, people, places and events depicted herein are fictitious, and no association with any real
company, organization, product, domain name, e-mail address, logo, person, place or event is intended or
should be inferred. Complying with all applicable copyright laws is the responsibility of the user. Without
limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a
retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording,
or otherwise), or for any purpose, without the express written permission of Centrify Corporation.
Centrify may have patents, patent applications, trademarks, copyrights, or other intellectual property rights
covering subject matter in this document. Except as expressly provided in any written license agreement from
Centrify, the furnishing of this document does not give you any license to these patents, trademarks, copyrights,
or other intellectual property.
© 2012 Centrify Corporation. All rights reserved.
Centrify is a registered trademark and DirectAudit and DirectControl are trademarks of Centrify Corporation
in the United States and/or other countries. Microsoft, Active Directory, Windows, Windows NT, and Windows
Server are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or
other countries.
The names of actual companies and products mentioned herein may be the trademarks of their respective
owners.
[WP-011-2012-10-09]
Nota sobre las terminologías de este documento: en este documento nos vamos a referir a
sistemas UNIX, Linux o sistemas abiertos como sistemas UNIX. También, las normas de
seguridad de datos de la Industria de Tarjetas de Pago (PCI) se van a referir como
normativas PCI, PCI DSS o estándar PCI. Directorio Activo o Active Directory tiene las
tecnologías LDAP, Group Policy (Normativa de Grupos), y el protocolo Kerberos, estos
componentes va a ser referidos por su nombre en inglés y español.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA II
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Contenido
1
Resumen Ejecutivo..............................................................................1
2
Requerimientos para conformidad con la normativa PCI ..........................2
2.1 Resumen de los re que rimie ntos de la normativa PCI..................................2
2.2 Todos los miembros de ben alinearse a la normativa ..................................4
2.3 Las penalidades van más allá de multas .................................................5
3
Como asegurar, controlar y auditar ambientes multiplataforma usando
Directorio A ctivo y Centrify para Servidores ...........................................6
3.1 Normativas de Grupo en Sistemas Unix..................................................9
3.2 Gestión de Acce so y Privilegios Basados en Roles ................................... 10
3.3 Captura y Reproducción de Se siones del Usuario .................................... 10
4
Los requerimientos de PCI que son posibilitados con Centrify para
Servidores........................................................................................ 10
4.1 R e querimiento # 1: Instale y m antenga una configuración de firewalls para
protege r los datos de los titulares de las tarje tas .................................... 11
4.2 R e querimiento # 2: No use contraseñas de sistemas y otros parámetros de
seguridad provistos por los proveedore s............................................... 12
4.3 R e querimiento # 4: C ifrar la transmisión de los datos del titular de la tarjeta e n
las redes públicas abie rtas ................................................................ 13
4.4 R e querimiento #7: Restringir el acceso a los datos del titular de la tarjeta
según la ne cesidad de sabe r de l negocio .............................................. 14
4.5 R e querimiento # 8: Asignar una ID exclusiva a cada persona que tenga acce so
por computadora............................................................................ 15
4.6 R e querimiento # 10: Rastree y supervise todos los acce sos a los re cursos de
red y a los datos de los titulares de las tarje tas ...................................... 19
4.7 R e querimiento # 11: Pruebe con re gularidad los sistemas y procesos de
seguridad ..................................................................................... 22
5
Conclusión ....................................................................................... 23
6
Información A dicional sobre Centrify ................................................... 24
7
Como contactar a Centrify .................................................................. 24
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA III
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
1
Resumen Ejecutivo
Como la mayoría de las transacciones comerciales realizadas por negocios e individuos
se ejecutan usando algún tipo de pago electrónico que involucra una tarjeta de pago en
vez de dinero en efectivo, ha aumentado la necesidad de proteger la información del
tarjetahabiente para prevenir el fraude ó el robo de identidades. El Consejo de Estándares
de Seguridad de la Industria de Tarjetas de Pago (PCI, en Inglés) fue formado por
American Express, Discover Financial Services, JCB, MasterCArd Worldwide y Visa
Internacional con la misión de realzar la seguridad de datos de las cuentas de pago con las
normas de seguridad de datos (DSS, en Inglés), que describe un conjunto de prácticas
adecuadas que deben ser obligatorias en todos los sistemas involucrados en el
procesamiento de tarjetas. Hemos encontrado que en ambientes heterogéneos, es
desafiante para los Gerentes de TI el poder cumplir con los requerimientos del DSS
particularmente cuando se trata de sistemas diferentes a Windows. Como resultado,
varias organizaciones que están sujetas al estándar están bajo el riesgo de fallar la
auditoría de esas normativas en estos sistemas. Este documento describe como el Active
Directorio Activo de Microsoft (Active Directory) combinado con Centrify para
Servidores se puede utilizar para no solo cumplir con varios de los requerimientos de PCI
en sistemas heterogéneos, sino que también produce beneficios adicionales como la
reducción de los costos de mantener la infraestructura actual y la mejora de los procesos
tecnológicos y del negocio.
Centrify ofrece una serie de servicios de identidad unificados en el data center, en la nube
y en dispositivos móviles — esto resulta en una sola credencial para los usuarios y una
infraestructura unificada para TI.
Centrify ofrece varios productos que se dirigen a varios requerimientos del PCI-DSS que
se van a describir en detalle en este documento. El paquete Centrify para Servidores,
consta de DirectControl, que permite extender la infraestructura actual – el Directorio
Activo (Active Directory) – para cumplir los requerimientos de control de accesos e
identidades en los sistemas UNIX, Linux y sus aplicaciones. Igualmente, la tecnología
patentada de “DirectControl Zones” es una solución innovadora que provee la capacidad
de definir detallados controles de acceso y delegación de administración para que los
Gerentes de TI puedan cumplir con los requerimientos del DSS y la gestión de sistemas
distribuidos en plataformas diversas. DirectControl también provee la capacidad de hacer
cumplir los requerimientos de seguridad usando normativas de grupo (Group Policy) de
Active Directory en sistemas diferentes a Windows.
Basándose en la integración con el Active Directory, el componente DirectAuthorize
facilita una solución de autorización basada en roles que permite definir y controlar los
privilegios que los usuarios necesitan para acceder sistemas específicos y aplicaciones al
igual que permite que los súper usuarios pueden desempeñar sus funciones
administrativas tanto en la plataforma UNIX, Linux y Windows.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 1
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
DirectAudit va más allá que las soluciones tradicionales de registro de eventos ya que
provee la capacidad de captura, reproducción y registro detallado de las actividades de los
usuarios en plataformas UNIX, Linux y Windows de una manera fácil de usar, segura y
confiable. DirectSecure añade capas de seguridad adicionales al separar lógicamente los
sistemas de tarjetahabientes mediante la autenticación mutual y el cifrado de
comunicaciones. Asimismo, la combinación de Active Directory y Centrify para
Servidores permite la conformidad con los requerimientos de auditoría del estándar de
seguridad de datos.
2
Requerimientos para conformidad con la normativa PCI
2.1
Resumen de los requerimientos de la normativa PCI
El consejo de estándares de seguridad de la industria de tarjetas de pago ha definido un
conjunto riguroso de requerimientos de seguridad que debe ser cumplido por todos los
detallistas, procesadores de pagos, puntos de venta e instituciones financieras para retener
su derecho de uso del sistema de pagos. Los miembros (como por ejemplo Visa) han
definido altas penalidades como incentivos para el cumplimiento de estas normas. Las
penalidades están diseñadas para asegurarse que todos los negocios y proveedores de
pagos trabajan para mantener la confianza del cliente, todo ya que la pérdida de confianza
afectaría drásticamente la capacidad de hacer negocios en el mercado en general.
Las normas de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) están
compuestas por 12 requerimientos muy bien definidos en 6 categorías. Estos están
disponibles aquí: http://es.pcisecuritystandards.org/minisite/en/
Categoría
Requerimiento
Desarrollar y mantener una
red segura
Los firewalls son dispositivos que controlan el tráfico de datos
hacia las premisas de la empresa desde redes externas o hacia
partes más sensitivas de la red interna. Todos los sistemas deben
ser protegidos de acceso no autorizado del Internet, ya sea por
comercio electrónico, navegación o correo electrónico.
Frecuentemente, accesos insignificantes pueden causar
vulnerabilidades a sistemas sensitivos. Los firewalls son la
protección principal para cualquier red computarizada.
1. Instale y mantenga una configuración de firewalls para proteger
los datos de los titulares de las tarjetas
2. No use contraseñas de sistemas y otros parámetros de
seguridad provistos por los proveedores
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 2
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Categoría
Requerimiento
Proteger los datos del titular
de la tarjeta
El cifrado de información es mecanismo final de protección ya que
aunque un intruso penetre las barreras de protección y accede a la
información cifrada, el no podrá leer la información sin romper el
cifrado. Este es un ejemplo del principio de defensa profunda.
3. Proteja los datos del titular de la tarjeta que fueron
almacenados
4. Cifrar la transmisión de los datos del titular de la tarjeta en las
redes públicas abiertas.
Mantener un programa de
administración de
vulnerabilidad
Muchas vulnerabilidades y programas malignos entran a las redes
a través de las actividades del usuario final (como el correo
electrónico). Los antivirus deben ser implementados en los
sistemas de correo y sistemas operativos de escritorio para
proteger la infraestructura.
5. Utilice y actualice regularmente el software o los programas
antivirus
6. Desarrolle y mantenga sistemas y aplicaciones seguras
Implementar medidas sólidas
de control de acceso
Este grupo asegura que la información crítica solo debe ser
accesible por personal autorizado.
7. Restringir el acceso a los datos del titular de la tarjeta según la
necesidad de saber del negocio
8. Asignar una ID exclusiva a cada persona que tenga acceso por
computadora
9. Restringir el acceso físico a los datos del titular de la tarjeta
Supervisar y evaluar las redes
con regularidad
Los diarios y mecanismos de rastreo son capacidades críticas que
permiten el registro de las actividades del usuario. La presencia de
diarios en todos los ambientes permite el análisis y reconstrucción
de lo que pasó en el caso de un evento negativo.
10. Rastree y supervise todos los accesos a los recursos de red y a
los datos de los titulares de las tarjetas
11. Pruebe con regularidad los sistemas y procesos de seguridad
Mantener una política de
seguridad de información
Una estricta política de seguridad establece su importancia para
toda la empresa y a la vez informa a los empleados lo que se
espera de ellos. Todos los empleados deben conocer sobre la
sensibilidad de la información y su responsabilidad de protegerla.
12. Mantenga una política que aborde la seguridad de la
información para todo el personal
Information in this table is from the Payment Card Industry Data Security Standard
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 3
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Estos requerimientos aplican a todos los negocios que aceptan transacciones con tarjetas
de pago – ya sean presenciales, por teléfono ó por comercio electrónico. A diferencia de
la ley Sarbanes-Oxley que define un principio general sobre la seguridad de datos, PCI es
un estándar bien detallado, con varios puntos y sin ambigüedad. Luego de varios años de
trabajo con analistas, auditores, clientes y socios, Centrify ha obtenido un alto nivel de
experiencia identificando los problemas y soluciones que causan dificultad a los clientes
que se enfrentan a la normativa PCI.
2.2
Todos los miembros deben alinearse a la normativa
Todos los procesadores sujetos a PCI se denominan como Proveedores de Servicio en el
programa y hay tres niveles de proveedores, dependiendo del nivel, hay varios niveles de
requerimientos.

Proveedores de Servicio Nivel 1 incluye todos los procesadores que están
conectados a las redes VisaNet y MasterCard. Este grupo incluye todas las puertas de
pago que operan entre los negocios y otros procesadores. La categoría de
proveedores de servicio nivel 1 fue expandida para incluir las entidades de
almacenamiento de datos para negocios (de más de 6 millones de transacciones Visa
o MasterCard independientemente del canal) y negocios nivel 2 (de más de 150,000
y menos de 6, 000,000 transacciones de comercio electrónico.

Los grupos de Proveedores Nivel 2 y Nivel 3 incluye todos los proveedores
(ejemplo: proveedores terciarios (TPS), organizaciones de venta independiente
(ISO), detallistas, compañías de alojamiento de infraestructura o carritos
electrónicos, compañías de respaldos, vendedor de recargos o buros de crédito que
no califican para el Nivel 1 y almacenan, procesan o almacenan transacciones. El
número de transacciones se determina basándose en el número bruto de
transacciones de Visa o MasterCard que han sido almacenadas, procesadas o
transmitidas – no solo para el negocio o miembro que se apoya, sino para todas las
entidades apoyadas por el proveedor de servicio. Los Niveles 2 y 3 también incluyen
entidades terciarias que almacenan información para Negocios Nivel 3 (con más de
20,000 y menos de 150,000 transacciones electrónicas) o negocios nivel 4 (todos los
otros negocios, independientemente de los canales de aceptación).
Visa mantiene el depósito central de todas las compañías que han acordado alinearse con
el estándar PCI. Visa requiere que los proveedores entreguen directamente sus resultados
de validación. Luego que un proveedor de servicio Nivel 1, 2, o 3 demuestra la
documentación que está en conformidad con Visa USA, se incluye en la lista de
proveedores certificados. Esta se puede conseguir en el sitio de
Visa: http://www.visa.com/cisp.
La siguiente tabla resume la validación de conformidad requerida para cualquier tercero
(incluyendo ISOs, vendedores de programas de lealtad, etc.) que almacenan información
de tarjetahabientes.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 4
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Definición del
Proveedor
Nivel 1
Nivel 2
Nivel 3
Descripción
Accion de Validación
Debe ser validado por
Todos los
procesadores VisaNet
(miembros o no
miembros) y todos los
puentes de pago

Validación PCI en las
instalaciones

Qualified Security
Assessor

Escaneo de la red
cuatrimestral

Approved Scanning
Vendor
Cualquier proveedor
de servicio que no es
Nivel 1 y almacena,
procesa o transmite
más de 1, 000,000
transacciones o
cuentas Visa
anualmente.

Validación PCI en las
instalaciones

Qualified Security
Assessor

Escaneo de la red
cuatrimestral

Approved Scanning
Vendor
Cualquier proveedor
de servicio que no es
Nivel 1 y almacena,
procesa o transmite
menos de 1, 000,000
transacciones o
cuentas Visa
anualmente.

Validación PCI en las
instalaciones

Service Provider


Escaneo de la red
cuatrimestral
Approved Scanning
Vendor
R e fere ncia: http://usa.visa.com/merchants/risk_management/cisp_service_providers.ht
m l?it=c|/business/accepting_visa/ops_risk_m anagement/cisp.html|Service%20Providers
2.3
Las penalidades van más allá de multas
Tanto Visa como MasterCard imponen multas a los negocios que no pueden demostrar la
conformidad con estas normativas de protección. Para el Nivel 1, estas multas (en
Estados Unidos) son:
•
MasterCard: US$1,000 diarios, (US$10,000 diarios luego de 60 días) hasta
US$500,000 anualmente.
•
Visa: US$50,000 por la primera violación en un período de 12 meses; US$100,000
por una segunda violación dentro de ese mismo período, y una multa definida a nivel
gerencial por más de dos violaciones en el mismo período de 12 meses.
Hay multas adicionales que aplican en el caso de que no se sometan los documentos de
conformidad en el plazo indicado:
Para un comerciante nivel 1 que tiene problemas para alinearse con los requisitos de PCI,
las multas entre US$500,000 a US$1,000,000 en el periodo de un año.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 5
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
La inhabilidad de pasar una auditoría o demostrar que se han implementado proyectos
para remediar los comentarios de la auditoría, podrían inclusive causar la pérdida del
derecho de aceptar transacciones usando tarjetas de crédito.
Las multas o pérdida de privilegios son altas preocupaciones para cualquier negocio. Sin
embargo, los estándares PCI no deben ser vistos como un requerimiento arbitrario, sino
como un incentivo para que se implementen las mejores prácticas. La meta final es
mantener la protección información de los clientes cuando cada día las empresas más
prestigiosas han tenido que admitir que de una manera u otra han sido víctimas de jaqueo
o perdida de información de clientes. La pérdida de confianza del cliente puede ser aún
más severa tanto para la imagen de la empresa, como para todas las empresas que
procesan tarjetas de pago, al igual que puede traer persecución criminal o civil
dependiendo de las circunstancias. Aunque el uso excesivo de cuentas de súper usuario
(root) o de cuentas genéricas pone las empresas bajo un riesgo extremo; solo se necesita
un empleado mal intencionado para causar bastante daño a la empresa.
Aunque todos los interesados esperan el mejor resultado, planear para el peor resultado es
la mejor práctica. Mantener una estrategia de remediación es la diferencia entre la buena
fe y la negligencia.
3
Como asegurar, controlar y auditar ambientes multiplataforma usando
Directorio Activo y Centrify para Servidores
El Directorio Activo de Microsoft se ha convertido en el repositorio por defecto utilizado
por las empresas para la gestión de accesos e identidades; de hecho, para una gran
cantidad de empresas, es la espina dorsal para la autenticación, autorización, acceso a
recursos de la red, cumplimiento de políticas y gestión de infraestructura para sistemas
Windows y sus aplicativos. El Directorio Activo ha probado en más de una década que
es facilita el crecimiento de manera segura y confiable tanto en pequeñas empresas como
en las más grandes multinacionales. Este producto es apoyado por una de las principales
compañías de software del mundo, Microsoft; por esto su adopción es de bajo riesgo, con
soporte técnico de primera y con un futuro asegurado a largo plazo. El desafío que las
empresas enfrentan el día de hoy, es que la mayoría de los sistemas de misión crítica para
el negocio trabajan en sistemas operativos y plataformas diferentes que Windows que no
se integran de manera nativa con el Directorio Activo. Los productos de Centrify usan
las capacidades del Directorio Activo de manera nativa para integrar estas plataformas,
incluyendo UNIX, Linux, Mac, Java, Web y bases de datos. Un beneficio inmediato es
que las actividades de inicio de sesión (intentos completados y fallidos), cambios de
contraseña quedan registrados en el Directorio Activo, combinando esta capacidad con
DirectAudit, se aumenta la capacidad a la captura y reproducción de las actividades del
usuario final al igual que las respuestas del sistema.
Las secciones en este capítulo describen los componentes de los productos de Centrify
para Servidores: DirectControl, DirectAuthorize, DirectSecure y DirectAudit, en mucho
mayor detalle y como estos complementan el Directorio Activo para la conformidad con
varios de los requerimientos de la normativa PCI DSS.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 6
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
La principal capacidad del componente DirectControl es el permitir que sistemas UNIX,
Linux y Mac participen de manera nativa en un Directorio Activo, esto establece que el
Directorio sea el punto central de administración de la seguridad de usuarios y de
cumplimiento de políticas de seguridad en este ambiente multiplataforma . Con el
Directorio Activo, se puede controlar la gestión de usuarios y accesos tanto a los sistemas
como a las aplicaciones (Web o Java) que corran bajo estas plataformas. Con las
Normativas de Grupo se puede hacer cumplir de manera consistente las configuraciones
técnicas y de seguridad en estas múltiples plataformas.
Centrify para Servidores consta del agente llamado DirectControl, que se instala en cada
sistema a ser integrado, las consolas de Gestión (Access Manager) – estas pueden ser
instaladas en cualquier cliente Windows integrado al Directorio Activo.
El agente DirectControl permite al sistema ser integrado al domino de Directorio Activo
y habilita una serie de servicios del directorio como autenticación de usuarios y
administradores, controla el acceso a cualquier aplicativo, implementa las normativas de
grupo y gestiona otras interacciones con el directorio.
En Windows, las extensiones de propiedades para la consola de Gestión de Usuarios y
Computadoras del Directorio Activo permiten que el administrador pueda gestionar
accesos de usuarios y grupos para los sistemas integrados. Estas funciones también se
pueden desempeñar usando la consola DirectManage Access Manager; esta permite la
creación de zonas (o Zones), generar reportes, configurar los agentes e importar cuentas
existentes.
Para la implementación de la gestión de privilegios, el Agente de Centrify permite la
implementación de Escritorios, Programas y acceso de red que se conformen con los
principios de menos privilegio. Este agente permite visualizar que acceso basado en roles
ha sido asignado al usuario y su estatus de auditoría.
Cuando se centraliza la gestión de usuarios en el Directorio Activo, esto elimina riesgos
comunes como la existencia de cuentas huérfanas y la eliminación de credenciales
(usuarios y contraseñas) redundantes. Sin embargo, los sistemas se deben integrar de
manera que existan fronteras de seguridad. Por ejemplo: si los usuarios de recursos
humanos no deben poder acceder a los sistemas de finanzas, la tecnología patentada de
zonas (Zones) de Centrify usa el Directorio Activo para implementar acceso granular en
este ambiente mezclado. Cualquier agrupación lógica de sistemas UNIX, Linux, Mac o
Windows se pueden segregar en una zona. Cada zona puede tener un conjunto diferente
de usuarios, grupos, computadoras y políticas de seguridad. Para la mayoría de los
clientes, esta capacidad de zonas (Zones) es un componente clave para la implementación
de las normativas Sarbanes-Oxley (SOX), PCI al igual que las prácticas recomendadas de
mínimo acceso.
La ventaja de la tecnología de zonas (Zones) es que la gestión es centralizada, no
localmente en cada sistema. Adicionalmente, con la consola de gestión (Access
Manager) se tiene un interfaz visual que permite fácilmente mantener estos controles.
Otros productos del mercado no ofrecen esta capacidad de ver específicamente quien
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 7
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
tiene acceso a sistemas específicos en este ambiente y requiere de un trabajo manual y
arduo para saber quién tiene acceso a un sistema específico.
Tabla1: Componentes de Centrify para Servidores
Componente
DirectManage
Plataforma
Windows
Descripción
Gestión unificada y administración
Características Principales
•
Consola unificada para la gestión de
identidades y políticas en múltiples
plataformas.
•
Delegación de administración de roles,
accesos y políticas.
•
Implementación del software y migración
al Directorio Activo.
DirectControl
UNIX
Consolida identidades y Centraliza
Linux
la autenticación
•
Integre con facilidad los sistemas UNIX al
Directorio Activo usando Zonas de
Centrify (Zones)
•
Credenciales únicas, inicio de sesión
silenciosa y políticas centralizadas para
UNIX y Linux.
DirectAuthorize
UNIX
Autorización basada en roles y
Linux
gestión de privilegios
Windows
•
Gestión granular de accesos y privilegios.
•
Implemente los principios de mínimo
acceso y mínimos privilegios.
•
Elevación de privilegios auditable con un
solo clic en Windows.
DirectAudit
UNIX
Auditoría detallada: captura y
Linux
reproducción de sesiones
•
Audite exactamente las actividades de
usuarios en sistemas Windows, UNIX y
Windows
Linux.
•
Prepare reportes basados en las sesiones
del usuario o en actividades sospechosas
DirectSecure
UNIX
Protección del tráfico entre
Linux
sistemas
•
Implemente una red lógica de sistemas
confiables
•
Implemente el cifrado de información de
punto a punto
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 8
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
3.1
Normativas de Grupo en Sistemas Unix
Una de las principales características del Directorio Activo es la capacidad de centralizar
y gestionar políticas (o normativas) bajo una gran cantidad de sistemas Windows en la
empresa. Las Normativas de Grupo funcionan cambiando los registros de configuración
tanto del usuario como del sistema, ambos existen en el registro de configuración de
Windows (Windows Registry), esta es una manera simple y natural de hacer cumplir
cualquier política. En el mundo UNIX, no hay un equivalente al registro de
configuración, sino que se usan archivos de texto ASCII y en algunos casos se usan
estructuras de archivos XML para controlar el comportamiento del sistema y sus
aplicaciones. Para hacer cumplir las normativas de grupo en un ambiente UNIX,
DirectControl crea un “registro virtual” que hace un mapeo de los objetos creados por la
normativa de grupo y los implementa en los archivos de configuración de la plataforma
UNIX. Por cada aplicación configurable, DirectControl tiene un mapeo correspondiente
al parámetro debe modificarse en los archivos de configuración del sistema.
El agente DirectControl carga el registro virtual cuando:

Al inicio del sistema. Cuando el agente (servicio o daemon) DirectControl inicia
(típicamente cuando el sistema inicia), este carga el registro del sistema.

Al inicio de sesión del usurario. Cuando un usuario inicia una sesión en el sistema, el
agente DirectControl carga el registro del usuario.

Al señalarse manualmente o bajo intervalos. El agente DirectControl puede ejecutar
la carga manualmente, o bajo un intervalo especificado.
La carga de normativas de grupo es asincrónica (al igual que su contrapartida en
Windows), esto es para acomodar la operación durante un estatus de desconexión.
Centrify incluye un conjunto único de Normativas de grupo que son específicas para
UNIX, Linux y Mac. Estas normativas pueden ser aplicadas a usuarios o sistemas
dependiendo de como sea apropiado. Ejemplos: objetos para la gestión de inicio de
sesión, del módulo PAM, línea de entrada, expiración de sesión, configuración de
Kerberos, NSS, cacheo de contraseñas, configuración LDAP, mapos de usuarios y
grupos, configuración del crontab, configuración del firewall, propiedades del escritorio,
permisos de la utilidad sudo, y una lista actualizada de más configuraciones que deben
gestionarse de manera central. Server Protection and Group-based Isolation
DirectControl y DirectSecure proporcionan la capacidad de hacer cumplir varios
controles de seguridad para asegurar el intercambio de información y proteger la
información en tránsito. Esto incluye el cumplimiento de reglas del firewall IPtables para
prevenir el acceso a puertos de comunicación no autorizados, DirectSecure va más allá de
controles de encendido/apagado, sino que puede requerir la autenticación mutua para la
comunicación en dicho puerto. Cada sistema que debe adherirse a la normativa PCI DSS
debe autenticarse con el Directorio Activo y solo intercambiará información con aquellos
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 9
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
sistemas configurados para comunicarse mutuamente en este grupo. Esto permite la
separación de sistemas PCI bajo una política de seguridad y comunicación.
3.2
Gestión de Acceso y Privilegios Basados en Roles
DirectAuthorize es el componente que permite la implementación de la gestión de
usuarios privilegiados. Ya que la tecnología de zonas (Zones) permite el control de
acceso, con DirectAuthorize se pueden definir roles abiertos (como de súper usuarios) o
cerrados (de mínimo acceso), esta capacidad es multiplataforma ya que se implementa
con dzdo (Centrify sudo) en Unix y con el Agente de Centrify para Windows en la
plataforma Windows.
Con DirectAuthorize se pueden definir roles en zonas clásicas y jerárquicas (para reúso)
como roles que aplican solo a grupos de computadoras (computer groups) en una zona.
Combinándose con las características de Directorio Activo, la alta/baja y cambio de roles
se logra mediante la membresía en grupos de seguridad de Directorio Activo.
Por ejemplo, la implementación de DirectAuthorize permite que las organizaciones
eliminen el uso de la cuenta de súper usuario en UNIX (root) y tengan la contraseña
asegurada y secreta de manera que solo los altos oficiales de seguridad tengan acceso a la
misma. En la plataforma Windows, el Agente de Centrify permite la implementación del
principio de menos privilegios, solo permitiendo que programas puntuales se ejecuten
con privilegios administrativos.
3.3
Captura y Reproducción de Sesiones del Usuario
DirectAudit va mucho más allá de las soluciones tradicionales de registro, análisis y
correlación de eventos ya que está diseñado para permitir al auditor la revisión de las
acciones del usuario en su sesión de trabajo. El auditor puede ver los comandos (en
UNIX) ó Programas (en Windows) que fueron lanzados y las respuestas del sistema.
Todo eso se almacena en un repositorio centralizado que puede utilizarse para identificar
actividades sospechosas en los sistemas auditados en toda la empresa.
La robusta plataforma de DirectAudit está basada en la arquitectura de Centrify, esto
quiere decir que las acciones están asociadas con la cuenta del usuario en el Directorio
Activo, al igual que su configuración; esto permite una rápida implementación y una vía
rápida para implementar los requerimientos de la normativa PCI DSS.
4
Los requerimientos de PCI que son posibilitados con Centrify para
Servidores
Centrify Para Servidores cumple con varios de los 12 requerimientos de la normativa PCI
DSS y profundiza en tres de ellos. El componente DirectControl y DirectAuthorize se
combinan para solucionar todas las sub-secciones del requerimiento # 7, “Restringir el
acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio” y el
requerimiento # 8, “Asignar una ID exclusiva a cada persona que tenga acceso por
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 10
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
computadora.” DirectControl y DirectSecure se combinan para dirigirse al
requerimiento # 1 “Instale y mantenga una configuración de firewalls para proteger los
datos de los titulares de las tarjetas” el requerimiento # 2 “No use contraseñas de
sistemas y otros parámetros de seguridad provistos por los proveedores” y el
requerimiento # 4 “Cifrar la transmisión de los datos del titular de la tarjeta en las redes
públicas abiertas.” Finalmente, DirectAudit, combinado con DirectControl proporciona
una solución que cumple con todos los requisitos del requerimiento # 10 “Rastree y
supervise todos los accesos a los recursos de red y a los datos de los titulares de las
tarjetas.”
Varios de los requerimientos de la normativa PCI DSS proporcionan comentarios para
cerciorarse que sus enunciados no so ambiguos y que hay suficiente orientación para los
administradores de la infraestructura. En esta sección examinaremos los requerimientos a
nivel detallado para describir como Directorio Activo y Centrify para Servidores se
pueden usar para cumplir con estos requisitos detalladamente. Las siguientes matrices se
obtuvieron de las normas de seguridad de la Industria de Tarjetas de Pago (PCI DSS).
4.1
Requerimiento # 1: Instale y mantenga una configuración de
firewalls para proteger los datos de los titulares de las tarjetas
DirectControl proporciona una serie de objetos de normativas de grupo que controlan el
firewall iptables en sistemas Linux para cumplir con la sección 1.3 de las normas PCI
DSS. Esta normativa de grupo se puede usar para definir las políticas del firewall, hacer
cumplir las políticas en sistemas Linux y asegurarse que las mismas son reforzadas con el
paso del tiempo.
Con DirectSecure se complementa este firewall para proporcionar opciones avanzadas de
seguridad de manera que solo los sistemas PCI se pueden comunicar con otros sistemas
confiables. DirectSecure trabaja con el protocolo IPsec para proteger la información en
tránsito en una configuración punto a punto una vez el computador remoto ha sido
mutuamente autenticado y validado como un sistema confiable.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 11
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección PCI
Capacidades de Centrify para Servidores
1.2 Desarrolle configuraciones para
firewalls y routers que restrinjan las
conexiones entre redes no confiables y
todo componente del sistema en el
entorno de los datos del titular de la
tarjeta.
DirectControl proporciona el cumplimiento de la configuración
del firewall iptables mediante la normativa de grupos. Usando
esta política, los administradores puedes restringir el tráfico
entrante a puertos y direcciones IP específicas.
1.2.1 Restrinja el tráfico entrante y
saliente a la cantidad que sea necesaria
en el entorno de datos del titular de la
tarjeta.
DirectSecure proporciona protecciones adicionales al requerir
verificación y autenticación antes que se inicie la comunicación.
Este mecanismo se puede aplicar tanto al tráfico entrante como
saliente de manera que los sistemas PCI solo se puedan
comunicar con otros sistemas PCI.
1.2.1.b Verifique que todo tráfico
entrante o saliente se niegue de manera
específica, por ejemplo, mediante la
utilización de una declaración explícita
“negar todos” o una negación implícita
después de una declaración de permiso.
1.3 Prohíba el acceso directo público
entre Internet y todo componente del
sistema en el entorno de datos de los
titulares de tarjetas.
Adicionalmente, cuando se requiere autenticación mutua antes
de iniciar la comunicación, DirectSecure previene comunicación
entre sistemas no confiables o cualquier otro sistema fuera de la
red corporativa ya que estos no se pueden autenticar.
1.3.5 No permita que llegue tráfico
saliente no autorizado proveniente del
entorno de datos del titular de la tarjeta
a Internet.
4.2
Requerimiento # 2: No use contraseñas de sistemas y otros
parámetros de seguridad provistos por los proveedores
El requerimiento 2.3, que establece el mandato de cifrado de todo el acceso no
administrativo (exceptuando la consola), se puede cumplir con el uso y configuración
adecuada del servidor OpenSSH. Cuando se combina OpenSSH con DirectControl, la
autenticación se puede efectuar usando el protocolo Kerberos. Este permite el
intercambio de seguro de tickets para la autenticación. Centrify proporciona una versión
del servidor OpenSSH compatible con Kerberos.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 12
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección PCI
Capacidades de Centrify para Servidores
2.3 Cifre todo el acceso administrativo
que no sea de consola utilizando un
cifrado sólido. Utilice tecnologías como
SSH, VPN o SSL/TLS para la
administración basada en la web y el
acceso administrativo que no sea de
consola.
Aunque el uso del programa telnet ya no es tan común (ya que
no está presente en sistemas modernos), telnet es inseguro y
debe ser reemplazado por SSH ya que este provee cifrado a
nivel del transporte de red. Las versiones modernas del servidor
OpenSSH son compatibles con Kerberos, cuando esta capacidad
se combina con DirectControl, se elimina la necesidad de
administrar llaves de cifrado estáticas para SSH.
Centrify también proporciona una versión compilada del
servidor OpenSSH que permite a nuestros clientes la
implementación de una versión consistente del servidor
OpenSSH con el nivel más alto de seguridad.
4.3
Requerimiento # 4: Cifrar la transmisión de los datos del titular
de la tarjeta en las redes públicas abiertas
A pesar de que la mayoría de las aplicaciones modernas ejecutan el cifrado de la
información entre sistemas, hay una gran cantidad de aplicaciones que no fueron
diseñadas para proporcionar servicios de cifrado internamente. Para esto, DirectSecure
entrega servicios de integridad y confidencialidad para todas las comunicaciones entre
una colección de sistemas confiables.
Sección PCI
Capacidades de Centrif y para Servidores
4 .1 U tilice c ifrado s ólido y protocolos de
s eguridad (por ejemplo, SSL/TLS,
D irectSecure proporciona confidencialidad e integridad con el
protocolo IPsec en la capa de transporte de red mediante el
I P SEC, SSH, etc.) para proteger datos
c ifrado de todas las c omunicaciones bajo c ualquier aplicación y
c onfidenciales del titular de la tarjeta
entre el sistema y s istemas confiables. Como esta solución
durante la transmisión por redes
públicas abiertas.
hac e el c ifrado a nivel de la red, no hay necesidad de modificar
las aplicaciones para proporcionar este nivel de protección.
El incidente de violación de datos que le ocurrió a la compañía norteamericana The
Heartland fue uno de los más grandes sucesos en el 2009 pero a pesar de que ellos fueron
certificados en conformidad con la normativa PCI DSS el hacker pudo acceder a
información en los sistemas de tarjetas de pago con un código malicioso que husmeaba el
tráfico en la red interna. Aunque el requisito 4.1 no requiere cifrado de información en
redes internas, estos ataques son bastante sofisticados, esto requiere la implementación de
la separación de recursos de red, cifrado y autenticación mutua para implementar los
controles adecuados de protección.
Además de ataques sofisticados, hay muchas más razones para que todas las
transmisiones de datos entre sistemas PCI sean cifradas, por ejemplo, la infraestructura de
tiendas tiene una combinación mixta de redes alámbricas e inalámbricas, estas requieren
de una configuración adecuada para cerciorarse que no hay fugas de información.
También, cada día más las tiendas ofrecen acceso al internet para el proceso de venta y
demostración de productos, esto produce una mezcla de tráfico operativo y de ventas bajo
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 13
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
el mismo medio en la red. Al implementar el cifrado, independientemente de la
configuración de red, se establece un control preventivo adecuado.
Organizaciones con redes WAN también se benefician de la solución de cifrado de
sistema a sistema ya que hay una separación natural de quien puede establecer
comunicaciones con los sistemas PCI independientemente de su localización en la red.
Otros beneficios incluyen:
4.4
•
Una reducción en los costos asociados a la conformidad con PCI y auditorías porque
se reduce el número de sistemas que están en el alcance de las normativas.
•
Elimina los gastos iniciales y de mantenimiento de la infraestructura requerida para
implementar los métodos adicionales como VLANs, Firewalls y Routers.

Figura 1: Separación de Servidores y cifrado de datos e n tránsito e n la re d W AN
Requerimiento #7: Restringir el acceso a los datos del titular de
la tarjeta según la necesidad de saber del negocio
DirectControl de Centrify proporciona la singular capacidad de agrupar sistemas
similares para propósitos del cumplimiento de accesos y delegación de administración
mediante la tecnología patentada de zonas (Zones). Estas agrupaciones lógicas se pueden
usar para permitir acceso a un grupo de sistemas de acuerdo a quien necesita acceso
basado en la necesidad del negocio. Por defecto, los usuarios no tienen acceso a los
sistemas en zonas en los cuales no se les ha garantizado acceso explícitamente. Esta
tecnología permite hacer cumplir del principio de mínimo acceso tanto para sistemas
UNIX, Linux y Windows. Este concepto se puede combinar con configuraciones
específicas reforzadas por el uso de las normativas de grupo.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 14
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección PCI
Capacidades de Centrify para Servidores
7.1 Limite el acceso a los componentes
del sistema y a los datos del titular de la
tarjeta a aquellos individuos cuyas tareas
necesitan de ese acceso.
DirectControl proporciona varios mecanismos para controlar el
acceso a sistemas Unix, Linux y Windows de manera que los
administradores puedan gestionar de manera centralizada los
accesos de los usuarios. Los siguientes mecanismos están
disponibles:
•
Zonas en DirectControl (Zones)
•
La colección de accesos PAM y reglas pam.allow y
pam.deny (en UNIX)
•
Los grupos de computadoras en DirectAuthorize
(para Unix y Windows)
•
El Network Access right (en Windows)
DirectControl usa la tecnología zonas para determinar quién
tiene acceso a estos sistemas. Por defecto, los usuarios del
directorio activo no tienen acceso a los sistemas Unix y Linux y
Windows.
De manera adicional, en UNIX y Linux, los grupos de seguridad
del Directorio Activo se pueden usar los accesos PAM y con las
reglas pam.allow y pam.deny para permitir o negar acceso a
sistemas de manera mucho más granular.
También en Directorio Activo se puede definir una lista de
sistemas a los cuales el usuario tiene acceso, con DirectControl,
esto aplica a los sistemas UNIX o Linux que se integraron al
dominio.
Con el Agente de Centrify para Windows, estos sistemas pueden
pertenecer a zonas, y con el derecho “network Access” se puede
afinar el acceso basado en la necesidad del negocio.
7.2 Establezca un sistema de control de
acceso para los componentes del
sistema con usuarios múltiples que
restrinja el acceso basado en la
necesidad del usuario de conocer y que
se configure para “negar todo”, salvo
que se permita específicamente.
4.5
DirectControl permite la gestión centralizada del identificador
único de UNIX (UNIX UID) y sus membresías a grupos (que son
usadas para controlar el acceso a archivos u aplicaciones)
Con DirectAuthorize y dzdo (Centrify sudo) se pueden establecer
roles de acceso mínimo: una lista blanca de los comandos que el
usuario final puede ejecutar.
El beneficio de esta herramienta es el incremento de
responsabilidad ya que todas las funciones quedan registradas a
nombre del usuario final (en vez de una cuenta de súper usuario
como root u oracle).
Requerimiento # 8: Asignar una ID exclusiva a cada persona
que tenga acceso por computadora
Centrify DirectControl, con su estrecha integración con el Directorio Activo, permite
control complete de las credenciales UNIX directamente asociadas con un usuario ya que
estas están asociadas con su cuenta principal en el dominio. Esto facilita tanto la gestión,
como el control de la política de contraseñas, mientras, el usuario solo tiene que recordar
una credencial única.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 15
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Centrify DirectControl con el Directorio Activo implementa la autenticación con el
protocolo Kerberos, esto evita, tanto local como remotamente, que se intercambien
contraseñas en la red durante eventos de autenticación con el sistema. Las capacidades
del Directorio Activo de controlar el acceso basado en horas, días, tiempo de uso,
bloqueo de cuenta, fin de sesión, todas aplican a las plataformas UNIX y Linux.
Sección PCI
Capacidades de Centrify para Servidores
8.1 Asigne a todos los usuarios una ID
única antes de permitirles tener acceso a
componentes del sistema o a datos de
titulares de tarjetas.
Los sistemas UNIX tienen limitaciones como la longitud máxima
del login del usuario. Esto hace que sea bastante difícil para el
departamento de sistemas el establecimiento de políticas que
exijan la implementación de un identificador único. También, las
limitaciones de la base de datos local de usuarios hacen que
esto sea una actividad cuesta arriba.
Con el uso del Directorio Activo, todos los usuarios tienen un
identificador global único, este es asociado con los perfiles UNIX
del usuario con la ayuda de DirectControl, un beneficio
adicional es que elimina la ambigüedad de que pasa al
establecer la propiedad de archivos.
En la práctica, la diversidad de los sistemas hace muy prevalente
la existencia de múltiples logins para cada usuario, con la
tecnología de zonas (Zones) este problema también se puede
resolver.
8.2 Además de la asignación de una ID
única, emplee al menos uno de los
métodos siguientes para autenticar a
todos los usuarios:
•
Algo que el usuario sepa,
como una contraseña o frase
de seguridad
•
Algo que el usuario tenga,
como un dispositivo token o
una tarjeta inteligente
•
Algo que el usuario sea, como
un rasgo biométrico
8.3 Incorpore la autenticación de dos
factores para el acceso remoto (acceso
en el nivel de la red que se origina fuera
de la red) a la red de empleados,
administradores y terceros. (Por ejemplo,
autenticación remota y servicio dial-in
(RADIUS) con tokens; sistema de control
de acceso mediante control del acceso
desde terminales (TACACS) con tokens; u
otras tecnologías que faciliten la
autenticación de dos factores).
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
El Directorio Activo está preparado para la autenticación basada
en usuario/contraseña y tarjetas inteligentes en sistemas
Windows. Una vez iniciada la sesión en un sistema Windows, el
usuario puede acceder al sistema UNIX, y dependiendo de la
aplicación, el usuario puede usar sus credenciales o si es
compatible, el usuario puede usar un ticket de Kerberos que se
obtuvo durante el inicio de la sesión
Para inicio de sesiones en sistemas UNIX de manera interactiva
(en la consola), DirectControl solo permite el uso de usuario y
contraseña. Sin embargo si su cuenta en el dominio está
configurada para inicio de sesión con tarjeta inteligente, nuestro
agente negará el login y va a requerir Kerberos como método
de autenticación.
Este requerimiento debe cumplirse bajo los controles de acceso
de la red, antes de acceder a los sistemas UNIX o Linux. Una vez
el usuario está propiamente autenticado en la red remota, el
acceso se maneja como como en la red local.
PAGINA 16
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección PCI
Capacidades de Centrify para Servidores
8.4 Deje ilegibles todas las contraseñas
durante la transmisión y el
almacenamiento en todos los
componentes del sistema mediante un
cifrado sólido.
DirectControl hace cumplir todas las políticas del Directorio
Activo en cuanto a las contraseñas y usando el protocolo
Kerberos para la validación con las controladoras del dominio.
La validación con Kerberos se hace mediante una operación
cifrada de manera que las contraseñas nunca son transmitidas
en la red; los protocolos de cifrado son actualizados
frecuentemente e acuerdo a las mejores prácticas de la industria
y las amenazas y capacidades existentes.
8.5 Asegúrese de que sean correctas la
autenticación del usuario y la
administración de contraseñas de
usuarios no consumidores y
administradores en todos los
componentes del sistema de la siguiente
manera:
DirectControl hace cumplir todas las políticas del Directorio
Activo como se hace hoy con los clientes Windows. En sistemas
abiertos, se desempeñan de la siguiente manera:
8.5.1 Controle el agregado, la
eliminación y la modificación de las ID
de usuario, las credenciales, entre otros
objetos de identificación.
La gestión de usuarios es desempeñada dentro del Directorio
Activo. Este proporciona un ambiente robusto para la gestión
de cuentas de usuario, permite la delegación de administración.
DirectControl extiende este modelo de administración al mundo
UNIX y Linux. El producto final es un ambiente donde los
administradores UNIX pueden gestionar estos sistemas, pero no
tienen derecho a crear nuevas cuentas en el Directorio Activo.
8.5.2 Verifique la identidad del usuario
antes de restablecer contraseñas.
DirectControl requiere la autenticación exitosa del cliente antes
de que este pueda restablecer su contraseña.
8.5.3 Configure la primera contraseña en
un valor único para cada usuario y
cámbiela de inmediato después del
primer uso.
DirectControl hace cumplir la regla inicial implementada en el
Directorio Activo. Si el administrador establece una clave inicial
y la marca para cambio, esta debe cambiar luego de una
autenticación exitosa, de lo contrario, luego de varios intentos la
cuenta quedará bloqueada.
8.5.4 Cancele de inmediato el acceso
para cualquier usuario cesante.
Las cuentas canceladas son controladas por el Directorio Activo,
una vez la cuenta es deshabilitada o eliminada DirectControl
negará el acceso a cualquier usuario que use esas credenciales.
8.5.5 Elimine/inhabilite las cuentas de
usuario inactivas al menos cada 90 días.
Las cuentas inactivas se controlan con el Directorio Activo y
DirectControl. Nuestro agente actualiza la fecha de la última
sesión del usuario de manera que es fácil determinar cuáles son
las cuentas que inactivas en los últimos 90 días.
La tarea de deshabilitar las cuentas es responsabilidad del
administrador del dominio de manera manual o automática.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 17
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección PCI
Capacidades de Centrify para Servidores
8.5.6 Habilite las cuentas que utilicen los
proveedores para el acceso remoto
únicamente durante el período
necesario. Supervise las cuentas de
acceso remoto de proveedores cuando
se utilicen.
El Directorio Activo proporciona la capacidad de restringir el
acceso basado en el día, hora del día, fecha de terminación y
acceso remoto. Todos estos atributos se pueden utilizar para
este requisito.
8.5.7 Comunique los procedimientos y
las políticas de autenticación a todos los
usuarios con acceso a datos de titulares
de tarjetas.
Los administradores o el departamento de seguridad deben
comunicar a los usuarios las políticas de contraseñas. Sin
embargo, es importante señalar que con DirectControl, estas
políticas son idénticas en sistemas UNIX, Linux y Windows.
8.5.8 No utilice cuentas ni contraseñas
de grupos, compartidas o genéricas, ni
ningún otro método de autenticación.
DirectAuthorize crea un ambiente en el que el usuario final no
tiene que usar las cuentas de súper usuario, compartidas o
genéricas para desempeñar sus funciones tanto en UNIX, Linux y
Windows.
8.5.9 Cambie las contraseñas de usuario
al menos cada 90 días.
DirectControl va a hacer cumplir la política definida en el
dominio de Directorio Activo. Esta se puede ajustar de acuerdo
a este requerimiento.
8.5.10 Solicite una longitud de
contraseña mínima de siete caracteres.
DirectControl va a hacer cumplir la política definida en el
dominio de Directorio Activo. Esta se puede ajustar de acuerdo
a este requerimiento.
8.5.11 Utilice contraseñas que contengan
tanto caracteres numéricos como
alfabéticos.
DirectControl va a hacer cumplir la política definida en el
dominio de Directorio Activo. Esta se puede ajustar de acuerdo
a este requerimiento.
8.5.12 No permita que ninguna persona
envíe una contraseña nueva igual a
cualquiera de las últimas cuatro
contraseñas utilizadas.
DirectControl va a hacer cumplir la política definida en el
dominio de Directorio Activo. Esta se puede ajustar de acuerdo
a este requerimiento.
8.5.13 Limite los intentos de acceso
repetidos mediante el bloqueo de la ID
de usuario después de más de seis
intentos.
DirectControl va a hacer cumplir la política definida en el
dominio de Directorio Activo. Esta se puede ajustar de acuerdo
a este requerimiento.
8.5.14 Establezca la duración del bloqueo
en un mínimo de 30 minutos o hasta que
el administrador habilite la ID del
usuario.
DirectControl va a hacer cumplir la política definida en el
dominio de Directorio Activo. Esta se puede ajustar de acuerdo
a este requerimiento.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
DirectControl también proporciona la capacidad de deshabilitar
de manera selectiva el perfil UNIX para determinados usuarios,
esta característica se puede usar para garantizar acceso
temporal a un conjunto de sistemas.
PAGINA 18
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección PCI
Capacidades de Centrify para Servidores
8.5.15 Si alguna sesión estuvo inactiva
durante más de 15 minutos, solicite al
usuario que vuelva a escribir la
contraseña para que se active la terminal
nuevamente.
Centrify proporciona una versión compilada del servidor
OpenSSH que está configurada con las librerías de Kerberos;
esto permite que el usuario obtenga una autenticación segura y
silenciosa al sistema. El Servidor OpenSSH se puede configurar
para que termine la sesión ante 15 minutos de inactividad.
8.5.16 Autentique todos los accesos a
cualquier base de datos que contenga
datos de titulares de tarjetas. Esto
incluye el acceso de aplicaciones,
administradores y demás usuarios.
Centrify proporciona herramientas y componentes adicionales
que permiten la integración de bases de datos Oracle, DB2,
Sybase e Informix al Directorio Activo para permitir la gestión
centralizada de cuentas y el cumplimiento de políticas de
contraseñas.
Restrinja el acceso directo a o las
consultas en las bases de datos a los
administradores de la base de datos.
4.6
Requerimiento # 10: Rastree y supervise todos los accesos a los
recursos de red y a los datos de los titulares de las tarjetas
Centrify DirectControl y el Directorio Activo registran de manera centralizada todos los
eventos de autenticación en los registros de seguridad de los sistemas Windows
designados como controladoras del dominio. Si se utilizan herramientas de terceros,
estos eventos se pueden colectar, consolidar y analizar para evaluar la salud general de la
empresa e identificar anomalías. Por ejemplo, el producto Microsoft System Center
Operations Manager se puede usar para este propósito.
DirectAudit de Centrify proporciona a los auditores visibilidad completa de todas las
actividades de los usuarios o administradores en sistemas UNIX, Linux y Windows.
Estas herramientas permiten que el auditor pueda hacer búsquedas basadas en patrones y
al descubrir alguna sesión que satisfice la búsqueda, ellos pueden reproducir exactamente
lo que pasó en esta sesión. Esta combinación de productos permite que su organización
no solo cumpla, sino que exceda los requisitos bajo el requerimiento # 10.
Sección de PCI
Capacidades de Centrify para Servidores
10.1 Establezca un proceso para vincular
todos los accesos a componentes del
sistema (especialmente el acceso con
privilegios administrativos, tales como de
raíz) a cada usuario en particular.
DirectControl establece un contexto válido para las cuentas en
sistemas UNIX, ya que de manera clara está asociada con una
cuenta en el Directorio Activo. De esta manera todas las
actividades se pueden vincular a un individuo.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 19
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección de PCI
Capacidades de Centrify para Servidores
10.2 Implemente pistas de auditoría
automatizadas para todos los
componentes del sistema a fin de
reconstruir los siguientes eventos:
DirectControl facilita el rastreo de toda la autenticación,
operaciones de gestión de usuarios mediante los diarios que se
mantienen en las controladoras de dominio del Directorio
Activo. Estas van a registrar todos los intentos tanto fallidos
como correctos.

10.2.1 Todo acceso de personas a
datos de titulares de tarjetas

10.2.2 All actions taken by any
individual with root or administrative
privileges

10.2.3 Acceso a todas las pistas de
auditoría

10.2.4 Intentos de acceso lógico no
válidos

10.2 5 Uso de mecanismos de
identificación y autenticación

10.2.6 Inicialización de los registros
de auditoría de la aplicación

10.2.7 Creación y eliminación de
objetos en el nivel del sistema
10.3 Registre al menos las siguientes
entradas de pistas de auditoría de los
componentes del sistema para cada
evento:

10.3.1 Identificación de usuarios

10.3.2 Tipo de evento

10.3.3 Fecha y hora

10.3.4 Indicación de éxito o fallo

10.3.5 Origen del evento

10.3.6 Identidad o nombre de los
datos, componentes del sistema o
recurso afectados.
10.4 Utilizando tecnología de
sincronización, sincronice todos tiempos
y relojes críticos y asegúrese de que lo
siguiente sea implementado para
adquirir, distribuir y almacenar tiempos.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
De manera adicional, DirectAudit crea y centraliza todas las
acciones efectuadas con cuentas del directorio y con cuentas
locales en el sistema. Este registro mantiene las acciones
ejecutadas independientemente del nivel de privilegio del
usuario, esto incluye el acceso a objetos, archivos, programas y
las respuestas del sistema. Como estos registros no se
almacenan en el sistema auditado, se consigue un esquema de
seguridad bastante robusto ya que para acceder a este sistema
hay controles adicionales para obtener acceso al mismo.
DirectControl registra todos los eventos de autenticación
mediante el esquema estándar en UNIX (el servicio syslog).
Adicionalmente, todos los intentos que se hacen en la red se
registran en la controladora de dominio que está ejecutando la
operación. Estos registros identifican el usuario, la fecha y hora,
al igual que la estación y el estatus.
Con DirectAudit, se excede este requerimiento ya que se puede
ver la sesión del usuario, qué acciones ejecutó y las respuestas
del sistema.
DirectControl configura de manera automática la política de
sincronización que se define en la normativa de grupo del
Directorio Activo; esto hace que todos los sistemas UNIX
integrados al directorio mantengan su tiempo sincronizado con
la infraestructura del Directorio Activo – de esta manera los
sistemas estarán configurados bajo el esquema de reloj
“stratum 1.”
PAGINA 20
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Sección de PCI
Capacidades de Centrify para Servidores
10.5 Resguarde las pistas de auditoria
para evitar que se modifiquen.
La arquitectura de DirectAudit fue diseñada para prevenir acceso
o manipulación de los registros de información de sesiones sin
autorización. Esto se consigue mediante la transmisión segura
entre el agente de auditoria y el colector, este sistema
intermedio es el único componente que puede comunicarse con
el repositorio central de información (base de datos SQL server).

10.5.1 imite la visualización de pistas
de auditoría a quienes lo necesiten
por motivos de trabajo.

10.5.2 Proteja los archivos de las
pistas de auditoría contra las
modificaciones no autorizadas.

10.5.3 Realice copias de seguridad de
los archivos de las pistas de auditoría
de inmediato en un servidor de
registros central o medios que
resulten difíciles de modificar.

10.5.4 Escriba registros para
tecnologías que interactúen con la
parte externa en un servidor de
registros en la LAN interna.

10.5.5 Utilice el software de
supervisión de integridad de archivos
o de detección de cambios en
registros para asegurarse de que los
datos de los registros existentes no
se puedan cambiar sin que se
generen alertas (aunque el hecho de
agregar nuevos datos no deba
generar una alerta).
10.6 Revise los registros de todos los
componentes del sistema al menos una
vez al día. Las revisiones de registros
incluyen a los servidores que realizan
funciones de seguridad, tales como
sistema de detección de intrusiones (IDS)
y servidores de autenticación,
autorización y contabilidad (AAA) (por
ejemplo, RADIUS).
Los registros no son almacenados en el sistema local,
exceptuando cuando hay una interrupción de comunicación; en
ese caso la información se guardará en la cola (spooler) hasta
que se reestablezca la comunicación.
La consola de gestión de DirectAudit solo da acceso a auditores
autorizados ya que usa un esquema de accesos basado en roles.
El Servidor Microsoft SQL Server se usa para almacenar la
información de auditoria y a su vez se puede proteger de
manera robusta.
DirectAudit almacena la información en claro, no usa esquemas
propietarios, esto permite que otras herramientas como el
servicio de reportes de SQL Server pueda analizar la información
y generar alertas si es necesario.
Nota: Las herramientas de recolección,
análisis y alerta de registros pueden ser
utilizadas para cumplir con el Requisito
10.6.
10.7 Conserve el historial de pista de
auditorías durante al menos un año, con
un mínimo de tres meses
inmediatamente disponible para el
análisis (por ejemplo, en línea, archivado
o recuperable para la realización de
copias de seguridad).
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
Las prácticas estándar tradicionales de respaldo y recuperación
se pueden implementar con la información de DirectAudit que
está contenida en el repositorio de la base de datos SQL server
de manera que se pueda satisfacer este requerimiento.
PAGINA 21
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
4.7
Requerimiento # 11: Pruebe con regularidad los sistemas y
procesos de seguridad
La forma más robusta de prevención de intrusiones es asegurarse que todas las
comunicaciones entrantes y salientes del sistema son mutuamente autenticadas para
controlar efectivamente el acceso de la información contenida por ese sistema.
Sección de PCI
Capacidad de Centrify para Servidores
11.4 Utilice los sistemas de detección y/o
prevención de intrusiones para
supervisar el tráfico en el perímetro del
entorno de datos de titulares de tarjetas,
así como los puntos críticos dentro del
entorno de datos de titulares de tarjetas
y alerte al personal ante la sospecha de
riesgos.
A pesar de que DirectSecure no fue diseñado como un sistema
de prevención de intrusiones, este se puede configurar de
manera que solo un conjunto de sistemas confiables son los
únicos que pueden establecer canales de comunicación, esto
efectivamente previene que los intrusos accedan a los sistemas
bajo PCI.
Mantenga actualizados todos los
motores, líneas base y firmas de
detección y prevención de intrusiones.
DirectSecure usa las normativas de grupo para administrar,
hacer cumplir y mantiene al día las reglas del protocolo IPsec y
las del firewall.
DirectSecure presenta un nuevo modelo de prevención de intrusiones permitiendo solo la
comunicación entre sistemas establecidos como fieles. Si un agente de ataque obtiene
acceso a la red interna, no habría manera de acceder al sistema siempre y cuando las
configuraciones de los sistemas PCI (reglas del firewall, IPsec y certificados) están
correctamente implementadas.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 22
CENTRIFY WHITE PAPER
5
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
Conclusión
Centrify ofrece una serie de servicios de identidad unificados en el data center, en la nube
y para dispositivos móviles — esto resulta en una sola credencial para los usuarios y una
infraestructura unificada para TI, en solo 9 años Centrify tiene más de 4,500 clientes
alrededor del mundo, con una penetración de un 50% en las grandes empresas del
Fortune 50.
El Directorio Activo es una tecnología probada, segura, escalable, altamente disponible y
distribuida que ofrece servicios de identidad y accesos a las grandes empresas a nivel
mundial. Con el apoyo de Microsoft, es una inversión de bajo riesgo, con soporte
técnico de primera y principalmente, quizá ya en su empresa existe una implementación,
capital humano con experiencia y procesos ya establecidos. Centrify para Servidores está
diseñado para usar el Directorio Activo de manera nativa y proporcionar a las empresas
una manera rápida, barata y efectiva para cumplir con las normativas de la norma PCI
DSS en las plataformas heterogéneas UNIX y Linux.
.
Tabla 2: Resumen de los componentes de Centrify para Servidores y su contribución a la conformidad con PCI DSS
Componente
Descripción
Secciones de la normativa PCI DSS que se satisfacen con el
componente en las plataformas UNIX y Linux en conjunto con
el Directorio Activo.
DirectControl
Consolida identidades y Centraliza la
1.2, 1.2.1, 1.2.1b, 1.3, 1.3.5 (con DirectSecure),
autenticación – agente
2.3 (con OpenSSH),
implementado en los sistemas UNIX.
4.3 (con DirectSecure),
7.1, 7.2 (con DirectAuthorize),
Requerimiento 8 (Completo),
Requerimiento 10 (con DirectAudit).
DirectAuthorize
DirectAudit
Autorización basada en roles y
7.1, 7.2 (con las Zonas, también en Windows).
gestión de privilegios
Con DirectControl
Auditoría detallada: captura y
Requerimiento 10 (excede).
reproducción de sesiones. Su agente
Con DirectControl
para sistemas auditados.
DirectSecure
Protección del tráfico entre sistemas
1.2, 1.2.1, 1.2.1b, 1.3, 1.3.5,
4.1, 4.3 (excede)
11.4 (excede)
Todas requieren DirectControl (para la configuración
de las reglas del firewall y IPsec con normativas de
grupo) y la unidad certificadora de Microsoft para
los certificados de identificación y cifrado.
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 23
CENTRIFY WHITE PAPER
UTILIZANDO EL DIRECTORIO ACTIVO Y CENTRIFY PARA SERVIDORES PARA SATISFACER LOS REQUERIMIENTOS DE
LAS NORMAS DE SEGURIDAD DE DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS)
6
Información Adicional sobre Centrify
Reportes de Analistas
http://www.centrify.com/news/what-analysts-say-about-centrify.asp
Análisis del instituto IDC
http://www.centrify.com/downloads/public/idc-vendor-profile-centrify.pdf
Casos de Estudio
Portal: http://www.centrify.com/customers/featured-customers.asp
Amadeus (PCI-DSS): http://www.centrify.com/customers/amadeus.asp
7
Como contactar a Centrify
Centrify Corporation
785 N. Mary Avenue
Suite 200
Sunnyvale, CA 94085
General: +1 (408) 542-7500
Email: info@centrify.com
Ruben Guerrero
Regional Director – Latin America
+55 (11) 9999-10156 Brasil
+1 (646)233-1359 U.S.
ruben.guerrero@centrify.com
Internacional:
Centrify Europa y Medio Oriente
Lily Hill House
Lily Hill Road
Bracknell
Berkshire RG12 2SJ
United Kingdom
Phone: +44 (0) 1344 31795
Centrify Asia Pacifico
4/58 High St., Suite #105
Toowong, QLD 4066
Australia
Phone: (+61) 1300 795 789
© 2012 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.
PAGINA 24
Descargar