consejo de estándares de seguridad de la industria de ... · fuente: nilson report, dec 2015 apac,...
TRANSCRIPT
Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago
Mauro LanceChief Operating Officer
PCI Security Standards Council
Mauro LanceGerente de Operaciones, PCI Security Standards Council
• 20 años de experiencia directiva en Chile, China, Francia y los Estados Unidos
• MIT Media Lab, MIT CSAIL/W3C, Web Foundation, PUCV
• Especialización:
• Tecnología y Ciberseguridad
• Gobiernos Corporativos
• Finanzas y Logística
• Equipos de Alto Desempeño
• Educación:
• MBA, Suffolk University
• Ingeniero Comercial, PUCV
Agenda
El Consejo PCI
Cibercrimen y Ciberseguridad
La Colaboración es la Solución
Preguntas y Respuestas
Ubicuidad de las Tarjetas de Pago a Nivel Mundial
Ubicuidad de las Tarjetas
de Pago a Nivel Mundial
Número de transacciones sin efectivo a
nivel mundial alcanzó 358 mil millones
en 2013.
Fuente: Capgemini/RBS World Payments Report 2015
North America37%
Europe25%
APAC19%
LATAM10%
CEMEA9%
PARTICIPACIÓN REGIONAL EN NÚMERO DE TRANSACCIONES SIN EFECTIVO A NIVEL MUNDIAL (2013)
Fuente: Capgemini/RBS World Payments Report 2015
A nivel mundial en 2013…
358.000.000.000 Transacciones Sin Efectivo (100%)
223.969.500.000 Transacciones con Tarjetas de Pago (63%)
Fuente: Capgemini/RBS World Payments Report 2015
69%
44%
77%
49%
74%
North America
Europe
APAC
LATAM
CEMEA
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Participación de Tarjetas de Pago en Total de Transacciones Sin Efectivo a Nivel Mundial, por Regiones
(2013)
Fuente: Capgemini/RBS World Payments Report 2015
Fuente: Nilson Report, Dec 2015
APAC, 32%
Canada,7%
Europe,34%
LATAM,19%
MEA,2%
USA,17%
Participación Regional en los 150 PrincipalesEmisores a Nivel Mundial (2014)
Fuente: Nilson Report, Dec 2015
APAC,34% Canada,
5%
Europe,10%
LATAM,7%
MEA,0%
USA,44%
Participación Regional en Monto Impago de los 150 Principales Emisores a Nivel Mundial (2014)
Cibercrimen y Ciberseguridad
El costo anual del crimen informático para la industria se ha incrementado a aproximadamente 465 mil millones de dólares.
- Allianz, 2014
Las grandes empresas tienen en promedio 14 incidentes de seguridad al año. Las pequeñas empresas tienen en promedio 4.
- HM Information Security Breaches Survey, 2015
Número de Sitios Web Activos para Suplantación
de Identidad (Phishing) en Diciembre 2004:
1.707Fuente: Anti-Phishing Working Group, Inc.
Número de Sitios Web Activos para Suplantación
de Identidad (Phishing) en Diciembre 2015:
65.885Fuente: Anti-Phishing Working Group, Inc.
El crecimiento del software malicioso a nivel mundial ha explotado…
Nuevo software malicioso
- Fuente: Anti-Phishing Working Group, Inc. 2012
Número de computadores infectados con software malicioso a nivel mundial 2011
Los criminales son profesionales
Video: Men Place Card Skimmer on ATM Store Machine
20
Video Credit: Harry Williby
https://www.youtube.com/watch?v=y83ZgzuFBSE
The Ever-Changing Payment Landscape
PresentPasado
Evolución constante de los medios de pago
Evolución constante de los medios de pago
PresentPasado
Contraseñas débiles
Inyección SQL
Software Malicioso (Malware)
Suplantación de Identidad (Phishing)
Parchado Inadecuado
Vectores de Ataque Remoto
Amenazas Actuales
24
Vulnerabilidades de Dispositivo Mobil
(Wallets)
Vulnerabilidades de Pagos sin Contacto
Extorsión
Fraude con Tarjetas No Presentes
Futuras Amenazas
La seguridad requiere unamentalidad de alerta 24 horas, 7 días a la semana…
… no es una vez al año y listo.
¿Por qué existe el Consejo?
Para luchar contra el robo de datosde tarjetas de pago.
PCI Security Standards Council – 10th Anniversary
Miembros Fundadores
Protejer, Eliminar, Devaluar los Datos de Pago
Con Estándares, Guías, Educación y Tecnologías tales
como Cifrado de Punto a Punto (P2PE) y Tokenización
Un Objetivo Común
Gobierno Corporativo del Consejo PCI
OrganizacionesParticipantes
Comité EjecutivoConsejoAsesor
Grupos de Interés
Task Forces & Grupos de
Trabajo
Comité de Administración
(Normas y Programas)
Comité Ejecutivo
Lib
de VeyraJCB International
Karteek
PatelVisa Inc.
(2016
Chairperson)
Gina
GobeynDiscover
Bruce
RutherfordMasterCard
Mike
MatanAmerican
Express
Troy
LeachGerente de
Tecnologias
Jeremy
KingDirector de
Relaciones
Internacionales
John
FitzsimmonsVice Presidente de
Relaciones
Públicas
Equipo Ejecutivo
Stephen
OrfeiGerente
General
Mauro
LanceGerente de
Operaciones
Consejo Asesor
Michael Christodoulides
PCI Security Standards CouncilEstándares, Mejores Prácticas, Capacitación,
Certificación, Alertas a la Industria
Equipos de Venta Softwares de PagoEntornos de Comercios y
Proveedores de Servicios
Capacitación – Asesores, Investigadores
Certificación – Equipos, Soluciones y Software de Pago, Empresas Asesoras e Investigadoras
Cobertura
Ecosistema de equipos de pago, aplicaciones, infraestructura, y usuarios
Los estándares PCI evolucionan constantemente
Retroalimentación
Investigación
Amenazas
Los estándares PCI evolucionan constantemente
Comité de Administración
Responsable de la mantención de las normas PCI
Responsable de gestionar los programas y operaciones diarias del Consejo
Grupos de Trabajo
Grupos de Trabajo:Rango específico de trabajo
Fuerzas de Trabajo:Iniciativas de corto plazo
Grupos Especiales de Interés
Los objetivos para cada SIG se desarrollan en base a presentaciones en las Reuniones Comunitarias
Contenido basado en objetivos y especialización de sus participantes
Los participantes del SIG son voluntarios, coordinan objetivos y elaboran borradores
Se acuerdan?
43
Video Credit: Harry Williby
https://www.youtube.com/watch?v=y83ZgzuFBSE
PCI DSS Requisito 9.9
Procedimientos de prueba
9.9 Examine las políticas y procedimientos documentados para verificar que incluyen:
• Mantenimiento de una lista de dispositivos
• Inspección periódica de dispositivos para buscar alteraciones y sustituciones
• Capacitación del personal para tomar conciencia de conductas sospechosas e informar alteraciones o
sustituciones en dispositivos
9.9.1 Lleve una lista actualizada de los dispositivos. La lista debe incluir lo siguiente:
• Marca y modelo del dispositivo
• Ubicación del dispositivo (por ejemplo, la dirección de la empresa o de la instalación donde se encuentra el
dispositivo)
• Número de serie del dispositivo u otro método de identificación única
9.9.2 Inspeccione periódicamente la superficie de los dispositivos para detectar alteraciones (por ejemplo,
incorporación de componentes de duplicación de datos en el dispositivo) o sustituciones (por ejemplo, controle el
número de serie u otras características del dispositivo para verificar que no se haya cambiado por un dispositivo
fraudulento).
9.9.3 Capacite al personal para que detecten indicios de alteración o sustitución en los dispositivos.
Proteja de alteraciones y sustituciones a los dispositivos que
interactúan físicamente con las tarjetas para captar sus datos.
Programas para Apoyar la Implementaciónde los Estándares
PCI Data Security Standard
Approved Scanning Vendor
Qualified Integrator and Reseller
Payment Application DSS
PIN Transaction Standards
Point to Point Encryption
PCI Forensic Investigator
Internal Security Assessor (ISA)
Point-to-Point Encryption (P2PE) Qualified Security Assessors - QSA (P2PE)Awareness Training
PCI Essentials
Qualified Integrators and Resellers (QIR)™
Qualified Security Assessor (QSA)
PCI Professional Program (PCIP)™
Approved Scanning Vendor (ASV)
Payment Application Qualified Security Assessor (PA-QSA)
Para mas información, visite: www.pcisecuritystandards.org/training
Cursos de Capacitación
47
La colaboración es la solución
741Organizaciones
Participantes a
nivel mundial
29Empresas miembros
del Consejo Asesor a
nivel mundial
La Colaboración Global es Crítica
Strategic and Affiliate
Memberships
Miembros Afiliados
Bancontact-MisterCash
Betaalvereniging Nederland
Consorzio BANCOMAT
EURO 6000
Members
Cartes Bancaires CB
LINKNets Denmark / Dankort
ServiRed
SIBS Pagamentos
Sistema 4B
The UK Cards Association
Pan Nordic Card Association
BankAxept
10Marcas Europeas de
Tarjetas Domésticas
3Asociaciones de
Pago en Europa
Cooperación con Gobiernos y Cuerposde Ley y Orden
Trabajando con el Comercio
Grupo de Trabajo
para Pequeños
Comerciantes
Comunidad de profesionales a nivel mundial
2.047 Asesores QSAs
1.657 Asesores
Internos ISAs
2.396 Profesionales PCI
El Consejo PCI
capacita mas de
6.000profesionales al año
Colaboración Regional
El ConsejoPCI existepara servira la industria
En todas las brechas que nuestro equipo forense ha investigado en los últimos 10 años, no se ha encontrado ninguna empresa que estuviese en cumplimiento (con el estándar) al momento de la brecha - esto demuestra la importancia del cumplimiento con PCI DSS.
- Verizon’s 2015 PCI Compliance Report
Simplified Security
Nuestra biblioteca de recursos está a disposición de
la industria en forma gratuita:
www.pcisecuritystandards.org/document_library
Recursos
Palabras finales…
Preguntas y Respuestas
Muchas Gracias!