Download PCI DSS del 1.2 al 2.0

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
Document related concepts
no text concepts found
Transcript 
Sesión # 241
PCI DSS del 1.2 al 2.0
Héctor Ortiz, CISM
Oficial de Seguridad Informática
Oficial de Seguridad Informática
Banco de Occidente, Honduras
Objetivos
• Entender las implicaciones del cuplimiento de PCI DSS
PCI‐DSS
• Conocer las variantes más importantes del cambio de versión
• Quiénes deben cumplir PCI‐DSS
• Requerimientos por dominio
• Fechas y consecuencias
Fechas y consecuencias
Agenda
Fraude de Tarjetas
Antecedentes
¿Qué es PCI DSS?
Principales Cambios de V1.2 a V2.0
Consideraciones de cumplimiento y controles
Consideraciones de cumplimiento y controles compensatorio
• El Chip (EMV)
El Chi (EMV)
• Incumplimiento
• Enlaces
•
•
•
•
•
Historia del Fraude
Historia del Fraude
Fraude de Tarjetas
Fraude de Tarjetas
http://www.abc.com.py/nota/bulgaro‐detenido‐en‐paraguay‐clono‐una‐
tarjeta‐del‐magnate‐bill‐gates/
Fraude
Fraude
Costos por Brechas de Seguridad
Costos por Brechas de Seguridad
Average organizational cost of a data breach, 2008-10 BY Symantec
Costos por registros comprometidos
Costos por registros comprometidos
Average cost per record of a data breach, 2008-10 by Symantec
Casos de Fraude de Tarjetas
Casos de Fraude de Tarjetas
Más de 130 millones de número de tarjetas de crédito y débito han sido sustraídas desde el 2007 por tres hackers. El único delincuente capturado es Albert González de Miami. Los otros implicados han sido identificados de nacionalidad rusa. En este caso la información ha sido obtenida del procesador de pagos Heartland Payment Systems y de tiendas como 7‐Eleven y Hannaford
pagos Heartland Payment Systems y de tiendas como 7‐Eleven y Hannaford Brothers Co. Se estima que los datos obtenidos deben estar siendo comercializados en el mercado negro.
Anteriormente y solo armado con una laptop y una antena, González se paseaba por la US1 en Miami, penetrando las redes inalámbricas de tiendas como ser TJ Maxx, BJ's WholeSales, OfficeMax, Barnes&Noble, robándose la información almacenada en sus archivos por las ventas realizadas con tarjetas.
almacenada en sus archivos por las ventas realizadas con tarjetas. Antecedentes
Actividades que pueden por parte de comercios, que
pueden poner en riesgo los datos del tarjetahabiente:
• 81% almacena números de tarjetas
• 73% almacena fechas de expiración de las tarjetas
• 71% almacena códigos de verificación de las tarjetas
• 57% almacena los datos de la banda magnética
g
de las
tarjetas
• 16% Almacena otros datos personales.
¿Qué es PCI DSS?
¿Qué es PCI DSS?
El Estándar de Seguridad PCI es un foro abierto global para el desarrollo mejora almacenaje diseminación y la puesta en
desarrollo, mejora, almacenaje, diseminación y la puesta en práctica de normas de seguridad para datos de cuenta.
La Organización fue fundada por American Express, Discover Financial Services, JCB International, Master Card Worldwide y p
Visa en septiembre de 2006.
Mejora las normas de seguridad previas, de cada marca ( Visa CISP/AIS MasterCard SDP etc)
CISP/AIS, MasterCard SDP, etc)
¿Qué
es PCI DSS?
¿Qué es PCI DSS?
Datos a Proteger
Datos a Proteger
¿Quién Debe Cumplir?
¿Quién Debe Cumplir?
Procesa
Transmita
Adquirente
Emisor
Procesador
Comercio
Proveedor de Servicios
Almacena
Evolución de la norma
Evolución de la norma
PCI DSS ver 1.0 de Enero de 2005 es la
evolución del estandar de VISA.
• PCI DSS ver 1.1
1 1 valido
lid a partir
ti de
d S
Septiembre
ti b
del 2006
• PCI DSS ver 1.2
1 2 valido a partir de Octubre
2008.
• PCI DSS ver 2.0 valido a p
partir de octubre de
2010
Evolución de la norma PCI‐DSS
Evolución de la norma PCI
DSS
Evolución de la norma PCI‐DSS
Evolución de la norma PCI
DSS
Antes de presentar las revisiones de las normas PCI
DSS y PA-DSS, el Consejo debe considerar, entre otras
cosas:
• ¿Qué es mejor para la seguridad de pago?
• Aplicabilidad Global y local a las preocupaciones del
mercado
d
• Fechas de finalización adecuadas para otras normas
o requisitos
• Costo / beneficio de los cambios a la infraestructura
• El impacto acumulativo de los cambios
Principales cambios en la versión 2.0
Principales cambios en la versión 2.0
CLARIFICACIONES
Se clarifica el propósito del
requerimiento. Palabras precisas y 115
concisas en la norma que
muestren el propósito deseado del
requerimiento.
GUIA ADICIONAL
Explicaciones y/o definiciones
adicionales para aumentar el
entendimiento o brindar información
adicional sobre un tópico particular
REQUERIMIENTO MEJORADO
“EVOLUCIÓN”
Cambios para asegurar que la
2
norma se mantiene actualizada con
amenazas emergentes y cambios en
el mercado
15
Principales cambios en la versión 2.0
Principales cambios en la versión 2.0
1.2
2.0
Principales cambios en la versión 2 0
Principales cambios en la versión 2.0
• Posibilidad de almacenar los datos sensibles de autenticación en el caso de emisores de tarjetas, siempre que exista una justificación de negocio y se almacenen de j
,
p q
j
g
y
manera segura(3.2)
• Calificar las vulnerabilidades, además de identificarlas y de solventar las de riesgo "alto" • Se ha eliminado WPA puesto que no se puede considerar como cifrado fuerte(2.1.1)
Se ha eliminado WPA puesto que no se puede considerar como cifrado fuerte(2 1 1)
• Se ha relajado la necesidad de cambio anual de claves de cifrado (3.6.4).También se ha concretado que el conocimiento compartido solo aplica para operaciones de gestión de claves en texto‐en‐claro(3.6.6)
• Se ha incluido un requerimiento nuevo (2.2.b) para asegurar que las guías de configuración de los sistemas se actualizan con las vulnerabilidades identificadas en el 6.2
• Respecto al requerimiento 2.2.1, se clarificado que, al hablar de Respecto al requerimiento 2 2 1 se clarificado que al hablar de "una
una función función
primaria por servidor" y en el caso de virtualización, se puede instalar solo una función principal por elemento.
Principales cambios en la versión 2 0
Principales cambios en la versión 2.0
• El requerimiento 3.1.1.e incluye test adicional para el QSA: Verificar que los datos
almacenados no exceden de los períodos de retención fijados en la política de la
entidad.
• Requerimiento 1.3.8 ‐ Se ha eliminado la referencia a NAT, centrándose en el
objetivo: Prevenir que se revelen las direcciones IP privadas.
• La aclaración del requerimiento 6.5,
6 5 en cuanto a que la programación segura aplica
a todas las aplicaciones desarrolladas a medida y no solo a las aplicaciones web.
• Requerimiento 8.5.16 Especificación tácita de la limitación de consulta o acceso a
las bases de datos, para los administradores.
• Requerimiento 9 ‐ Se sustituye ell término
é
"
"empleado"
l d " por "personal
"
l in‐situ"" que
incluye también terceros y otros usuarios que trabajan en las dependencias de la
entidad.
• Se amplían
p
las opciones
p
para detectar p
p
puntos de acceso wireless no autorizados en
el requerimiento 11.1.
• En el requerimiento 11.4 se ha simplificado y aclarado lo que se espera de los
IDS/IPS.
Consideraciones de Cumplimiento
Consideraciones de Cumplimiento
El primer paso de una evaluación de las PCI DSS es determinar con exactitud el
alcance de la revisión. Para confirmar la exactitud e idoneidad del alcance de las PCI
DSS, realice lo siguiente:
• La entidad evaluada identifica y documenta la existencia de todos los datos de los
titulares de tarjetas en su entorno.
• Una vez que se hayan identificado y documentado todas las ubicaciones de los
datos de los titulares de tarjetas, la entidad utiliza los resultados para verificar que
el alcance de las PCI DSS sea apropiado (por ejemplo, los resultados pueden ser un
diagrama o un inventario de ubicaciones de datos de titulares de tarjetas).
• La entidad
d d considera
d
que todos
d los
l datos
d
d titulares
de
l
d tarjetas encontrados
de
d
están dentro del alcance de la evaluación de las PCI DSS y forman parte del CDE, a
menos que dichos datos se eliminen o migren/consoliden en el CDE actualmente
definido.
• La entidad retiene la documentación que demuestre los resultados y cómo se
confirmó el alcance de las PCI DSS para la revisión por parte de los asesores
CDE
Consideraciones de Cumplimiento
Consideraciones de Cumplimiento
Segmentación de Red, reduce:
• El alcance de la evaluación de las PCI‐DSS.
• El Costo de la evaluación de las PCI‐DSS.
• El costo y dificultad de la implementación y del mantenimiento de los controles de
las PCI‐DSS.
• El riesgo de las organizaciones (que gracias a la consolidación de los datos del
titular de la tarjeta en menos y mas controladas ubicaciones, se ve reducido)
CDE
Controles Compensatorios
Controles Compensatorios
Los controles de compensación se pueden tener en cuenta para la mayoría de
los requisitos de las PCI DSS cuando una entidad no puede cumplir con un
requisito explícitamente establecido .
Los controles de compensación deben cumplir con los siguientes criterios:
• Cumplir con el propósito y el rigor del requisito original de las PCI DSS.
• Proporcionar un nivel similar de defensa, tal como el requisito original de PCI DSS,
de manera que el control de compensación compense el riesgo para el cual se
diseñó el requisito original de las PCI DSS. (Consulte Exploración de las PCI DSS para
obtener el propósito de cada requisito de PCI DSS.)
• Conozca en profundidad otros requisitos de las PCI DSS.
DSS (El simple cumplimiento con
otros requisitos de las PCI DSS no constituye un control de compensación).
EMV
El sistema EMV(Europay, MasterCard, Visa) consiste en una tarjeta con un chip
que autentica pagos mediante tarjetas de crédito o débito.
EMVCo supervisa el cumplimiento del estandard EMV.
SCALA (Smart Card Alliance Latino America) emitió el documento de hoja de
ruta para la migración a EMV y como EMV impacta en la infraestructura de
pagos. http://latinamerica.smartcardalliance.org/?l=es
A nivel mundial existen mas de mil millones de tarjetas con chip y 18.7 millones de POS
con capacidad para interactuar con chip.
EEn Latinoamérica
L ti
é i existen
i t alrededor
l d d de
d 117 millones
ill
d tarjetas
de
t j t (Débito/Crédito)
(Débit /C édit ) que
cuentan con chip.
EMV
Actualmente 17 países de América Latina y el Caribe cuentan con un programa VSDC
(Visa Smart Debit/Credit). Una tendencia ascendente en la emisión de tarjetas con
aplicaciones múltiples habilitadas con las funciones de débito y crédito en el mismo
plástico—aproximadamente un 30% de las tarjetas inteligentes Visa en la región—
indica la preferencia del consumidor por soluciones consolidadas y más convenientes.
Otros programas que aportan más eficiencia al sistema financiero y contribuyen a
promover un comercio más seguro y vibrante incluyen las tarjetas de pago habilitadas
con la solución de pago sin contacto Visa payWave, los pagos de transporte público y
peaje, premios instantáneos y la aplicación de firma digital para pagos de impuestos
corporativos.
Entre los países de la región que lideran en la emisión y activación de tarjetas
i t li t Visa,
inteligentes
Vi
l más
los
á relevantes
l
t en términos
té i
d l número
del
ú
d tarjetas
de
t j t de
d chip
hi
emitidas son: Brasil, México, Venezuela, Perú, El Salvador, Chile, Costa Rica y Colombia
El Chip
El Chip
http://www.centralamericadata.com/es/article/home/Visa_alcanza_100_millones
_de_tarjetas_con_chip_emitidas_en_America_Latina_y_el_Caribe
Fechas a Considerar
Fechas a Considerar
Octubre 2010: emisión de la norma
Diciembre 2011: Limite de cumplimiento (Se establece de acuerdo al convenio de la Diciembre
2011: Limite de cumplimiento (Se establece de acuerdo al convenio de la
marca con su representante)
EMV
1 de Octubre 2012: Terminales habilitadas con y sin contacto para comercios de Estados Unidos. Cambio de responsabilidad para comercios en Latinoamérica. 1 de abril de 2013: Procesadores y Adquirentes hagan ajustes menores para aceptar transacciones con chip.
1 de octubre de 2015: Cambio de responsabilidad para transacciones en POS 1
d
t b d 2015 C bi d
bilid d
t
i
POS
(domésticas y trans‐fronterizas)
p
p
1 de octubre de 2017: Cambio de responsabilidad para comercios de combustible
Incumplimiento
El incumplimiento de los requisitos del PCI-DSS puede dar
l
lugar
a
sanciones
i
o
penalizaciones
li
i
contractuales
t
t l
considerables de los miembros del sector de tarjeta. Entre las
que se encuentran las siguientes:
• Multas de 500.000 dólares por incidente de seguridad de
datos
• Multas de 50.000 dólares por día de incumplimiento de los
estándares publicados
• Responsabilidad por todas las pérdidas incurridas como
resultado de números de cuenta robados
• Responsabilidad por todos los gastos asociados a la
reemisión de las tarjetas de dichas cuentas
• Suspensión de cuentas comerciales
Enlaces
https://www.pcisecuritystandards.org/security_standards/documents.php?agreemen
https://www.pcisecuritystandards.org/security
standards/documents.php?agreemen
ts=pcidss&assocation=PCI%20DSS
https://www.pcisecuritystandards.org/index.php
http://www.aporrea.org/contraloria/n184041.html (Tecnología de Chip)
http://www.eltiempo.com/economia/negocios/ARTICULO‐WEB‐
p
p
g
NEW_NOTA_INTERIOR‐9789247.html
http://www.symantec.com/content/en/us/about/media/pdfs/symantec_ponemon_d
ata breach costs report pdf?om ext cid=biz socmed twitter facebook marketwire
ata_breach_costs_report.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire
_linkedin_2011Mar_worldwide_costofdatabreach
http://www.campuscommerce.com/page.cfm?p=438
Gracias!
Héctor Ortiz, CISM
Banco de
B
d O
Occidente
id t
hortiz@bancocci.hn
Related documents
Estándar EMV
Estándar EMV
Aplicabilidad de la norma de seguridad de datos de la industria de
Aplicabilidad de la norma de seguridad de datos de la industria de
Glosario de términos sobre pagos y seguridad de la información
Glosario de términos sobre pagos y seguridad de la información
Política Operativa de Seguridad Informática (Data Security
Política Operativa de Seguridad Informática (Data Security
Programa de Seguridad del PIN de Visa
Programa de Seguridad del PIN de Visa
Los Ataques de Skimming en Cajeros Automáticos y Cómo
Los Ataques de Skimming en Cajeros Automáticos y Cómo
PCI Card Production, aspectos a destacar
PCI Card Production, aspectos a destacar
aseguramiento de sistema operativo red hat 6.6 enterprise para
aseguramiento de sistema operativo red hat 6.6 enterprise para
T-ESPE-048298-D - El repositorio ESPE
T-ESPE-048298-D - El repositorio ESPE
Artema Modular
Artema Modular
Tarjetas con Chip EMV: ¿En qué vamos sobre EMV?
Tarjetas con Chip EMV: ¿En qué vamos sobre EMV?
SecureTX: Scala + Akka Scala vs C#
SecureTX: Scala + Akka Scala vs C#