jornada de medios de pago online - vanesa gil laredo, s21sec
Upload: aecem-asociacion-espanola-de-comercio-electronico-y-marketing-relacional
Post on 06-Dec-2014
6.103 views
DESCRIPTION
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.TRANSCRIPT
Vanesa Gil LaredoVanesa Gil LaredoVanesa Gil LaredoVanesa Gil Laredo
Manager ConsultorManager ConsultorManager ConsultorManager Consultorííííaaaa
26 de Noviembre de 200926 de Noviembre de 200926 de Noviembre de 200926 de Noviembre de 2009
*[PCI DSS Compliance*[PCI DSS Compliance*[PCI DSS Compliance*[PCI DSS Compliance----
Payment Card Industry Data Security Payment Card Industry Data Security Payment Card Industry Data Security Payment Card Industry Data Security
Standard]Standard]Standard]Standard]
IndiceIndiceIndiceIndice
� S21Sec, Servicios de Seguridad Informática
� Payment Card Industry Data Security Standard.
� Objetivos de PCI DSS.
� Alcance de PCI DSS.
� Beneficios de PCI DSS.
� Requerimientos establecidos por PCI DSS.
� Cumplimiento de PCI DSS.
� Auditoría PCI DSS.
S21sec, Servicios de Seguridad InformS21sec, Servicios de Seguridad InformS21sec, Servicios de Seguridad InformS21sec, Servicios de Seguridad Informááááticaticaticatica
� Clientes:Clientes:Clientes:Clientes:
� Presente en 25 de las compañías del
IBEX 35.
� 20 % del índice europeo Eurostoxx 50.
� 90 % del sector financiero español.
� Organismos e instituciones de las
Administraciones Públicas.
� Principales compañías de
telecomunicaciones.
� Compañías de comercio electrónico,
utilities y construcción.
� Las mayores líneas aéreas nacionales y
compañías de transporte y logística.
� Defensa y Fuerzas de Seguridad.
� Sector sanitario.
� Compañía española únicamente dedicada a la Seguridad Informática.
� “Misión: Prevenir y gestionar el riesgo de las organizaciones y las personas en la vida digital”.
8 oficinas en España3 oficinas internacionales
Un modelo de GestiUn modelo de GestiUn modelo de GestiUn modelo de Gestióóóón integral de la Seguridad n integral de la Seguridad n integral de la Seguridad n integral de la Seguridad
24 horas. CIS24 horas. CIS24 horas. CIS24 horas. CIS
Desde los inicios, apostando por la innovación
y el desarrollo de soluciones de vanguardia.
Primer centro I+D+i de Europa
El mayor equipo en EspaEl mayor equipo en EspaEl mayor equipo en EspaEl mayor equipo en Españññña de Seguridad Digital: 200 a de Seguridad Digital: 200 a de Seguridad Digital: 200 a de Seguridad Digital: 200
especialistasespecialistasespecialistasespecialistas
Y siempre, calidad y certificacionesY siempre, calidad y certificacionesY siempre, calidad y certificacionesY siempre, calidad y certificaciones
NUESTRANUESTRANUESTRANUESTRA
DIFERENCIADIFERENCIADIFERENCIADIFERENCIA
PaymentPaymentPaymentPayment CardCardCardCard IndustryIndustryIndustryIndustry Data Data Data Data SecuritySecuritySecuritySecurity StandardStandardStandardStandard
� ¿¿¿¿QuQuQuQuéééé es el es el es el es el PaymentPaymentPaymentPayment CardCardCardCard IndustryIndustryIndustryIndustry Data Data Data Data SecuritySecuritySecuritySecurity Standard (PCI DSS)? Standard (PCI DSS)? Standard (PCI DSS)? Standard (PCI DSS)?
� PCI DSS es un estándar que establece un conjunto de medidas, prácticas y herramientas de seguridad
que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos con tarjeta.
� Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago,
con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de
cuentas bancarias, tarjetas, transacciones y datos de autenticación.
� El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard
Worlwide, American Express, JCB y Discover Financial Services.
� En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.
Objetivos de PCI DSSObjetivos de PCI DSSObjetivos de PCI DSSObjetivos de PCI DSS
� ¿¿¿¿CuCuCuCuááááles son los principales objetivos de PCI DSS?les son los principales objetivos de PCI DSS?les son los principales objetivos de PCI DSS?les son los principales objetivos de PCI DSS?
� El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante
tarjetas, promoviendo la existencia de un entorno de pago seguro para la información de tarjetas.
� PCI DSS ha sido específicamente desarrollado para:
� Garantizar la protección de la información de titulares de tarjetas.
� Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de
cuentas y tarjetas.
� Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con
tarjetas.
� Luchar contra la suplantación y otros fraudes que se producen en Internet.
Alcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSS
� ¿¿¿¿QuiQuiQuiQuiéééénes estnes estnes estnes estáááán obligados a cumplir PCI DSS?n obligados a cumplir PCI DSS?n obligados a cumplir PCI DSS?n obligados a cumplir PCI DSS?
� Entidades financieras.
� Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de
tarjetas.
� Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas.
� ¿¿¿¿CuCuCuCuáááál es el alcance de PCI DSS?l es el alcance de PCI DSS?l es el alcance de PCI DSS?l es el alcance de PCI DSS?
� El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten
información de tarjetas de crédito o débito.
� Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se
almacena, procesa o transmite.
� PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas
(TPV Físico, TPV Virtual,…)
Alcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSS
� ¿¿¿¿QuQuQuQuéééé se considera informacise considera informacise considera informacise considera informacióóóón de tarjetas?n de tarjetas?n de tarjetas?n de tarjetas?
� Información relacionada con tarjetas de crédito o débito y sus titulares.
� Esta información se clasifica en dos categorías:
� Información de titulares de tarjetas:
• Primary Account Number (PAN)
• Nombre del titular
• Fecha de expiración
• Código de Servicio
� Información sensible de autenticación:
• Banda magnética completa
• CVC2/CVV2/CID
• PIN / PIN Block
� PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.
Beneficios de PCI DSSBeneficios de PCI DSSBeneficios de PCI DSSBeneficios de PCI DSS
� ¿¿¿¿CuCuCuCuááááles son los principales beneficios derivados de la implantaciles son los principales beneficios derivados de la implantaciles son los principales beneficios derivados de la implantaciles son los principales beneficios derivados de la implantacióóóón de PCI DSS?n de PCI DSS?n de PCI DSS?n de PCI DSS?
� Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos
asociados a un posible compromiso de la información de cuentas o titulares de tarjetas:
� Impacto financiero.
� Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca.
� Costes de investigación y costes legales asociados a un posible compromiso de información.
� El cumplimiento de PCI DSS permite:
� Proteger los datos de los clientes.
� Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos.
� Salvaguardar la reputación de su marca.
� Disminuir los riesgos derivados de pérdidas financieras.
� En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un
elemento diferenciador que puede suponer una ventaja competitiva en el mercado.
� El estándar PCI DSS está estructurado en los cuatro niveles que se describen en el siguiente gráfico.
� El nivel de detalle aumenta a medida que se desciende.
Objetivos de Control
Requerimientos Principales
Requerimientos ySubquerimientos Detallados
Procedimientos de Test
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
� Los Objetivos de Control establecidos en PCI DSS son los que se indican a continuación:
� A. Creación y mantenimiento de una red segura.
� B. Protección de los datos almacenados.
� C. Mantenimiento de un programa de gestión de vulnerabilidades.
� D. Implantación de medidas de control de acceso.
� E. Monitorización y revisión periódica de las redes.
� F. Mantenimiento de una Política de Seguridad de la Información.
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
� Los Requerimientos establecidos por PCI DSS son los siguientes:
� Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los
datos.
� Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por
los proveedores.
� Requerimiento 3: Protección de los datos almacenados.
� Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes
públicas.
� Requerimiento 5: Empleo y actualización periódica de programas y software antivirus.
� Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones.
� Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de
conocer.
� Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema.
� Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas.
� Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de
titulares de tarjetas.
� Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos.
� Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los
empleados y contratistas.
� Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos.
� Establecimiento de los estándares de configuración del firewall que incluyan los aspectos exigidos por
PCI DSS.
� Configuración del firewall: Restricción de todo el tráfico de redes o host “no confiables”, restricción de
las conexiones entre los servidores públicamente accesibles y los componentes del sistema que
almacenen datos del titular de tarjetas, prohibición de acceso público directo entre las redes externas y
cualquier componente de red que almacene información sobre el titular de tarjetas,…
� Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por
los proveedores.
� Modificación de los parámetros y contraseñas establecidos por defecto por el proveedor antes de la
instalación de un sistema en la red.
� Existencia de estándares de configuración para todos los componentes del sistema que consideren las
vulnerabilidades de seguridad conocidas y las mejores prácticas de la industria.
� Cifrado de todos los accesos de administrador que no se realicen a través de consola.
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
� Requerimiento 3: Protección de los datos almacenados.
� Mantenimiento del almacenamiento de la información del titular de tarjetas al mínimo. Política de retención y
disposición de datos.
� No almacenamiento de datos de autenticación sensibles después de la autorización.
� Enmascaramiento del PAN cuando es mostrado (los primeros seis y los últimos cuatro es el máximo número
de dígitos que puede ser mostrado).
� Mantenimiento del PAN ilegible en cualquier lugar donde sea almacenado.
� Protección de las claves de cifrado utilizadas para el cifrado de información de titulares de tarjetas contra
revelación o uso no autorizado.
� Documentación e implantación de los procedimientos de gestión de las claves utilizadas para el cifrado de
información de titulares de tarjetas.
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
� Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas.
� Requerimiento 5: Empleo y actualización periódica de programas y software antivirus.
� Instalación de software antivirus en todos los sistemas comúnmente afectados por virus.
� Garantía de que todos los mecanismos antivirus están actualizados y activos y permiten generar logs de
auditoría.
� Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones.
� Desarrollo de software de aplicaciones basado en las mejores prácticas de la industria y consideración de la
seguridad de la información a lo largo de todo el ciclo de desarrollo de software.
� Implantación de procedimientos de control de cambios para todos los cambios en la configuración de
sistemas y software.
� Desarrollo de aplicaciones web basado en directrices de codificación segura. Revisión del código de
aplicaciones de clientes para identificar vulnerabilidades de código.
� Proceso para conocer vulnerabilidades de seguridad recientemente descubiertas. Instalación de parches.
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
� Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer.
� Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema.
� Procedimiento de control de acceso lógico a los sistemas de información.
� Mecanismos de identificación y autenticación para el acceso al sistema.
� Identificación de todos los usuarios con un identificador de usuario único.
� Gestión de contraseñas de acceso a los sistemas.
� Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas.
� Control de acceso físico a los sistemas de información
� Gestión de soportes con datos de tarjetas (etiquetado e inventariado de soportes, distribución de soportes, copias de respaldo,…)
� Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas.
� Mantenimiento de registros de acceso a los sistemas incluidos en el alcance de PCI DSS.
� Registro de determinada información, para cada evento, para todos los componentes del sistema.
� Securización de los registros de auditoría, de forma que no puedan ser alterados.
� Revisión de los logs de todos los componentes del sistema al menos diariamente.
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
� Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos.
� Realización de escaneos de vulnerabilidades de red internos y externos al menos trimestralmente y
después de cualquier cambio significativo en la red.
� Realización de tests de intrusión al menos una vez al año y después de cualquier cambio o
actualización significativo de la infraestructura o las aplicaciones.
� Empleo de sistemas de detección de intrusos para monitorizar todo el tráfico de red y alertar al
personal de cualquier posible compromiso.
� Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los
empleados y contratistas.
� Desarrollo, publicación, mantenimiento y distribución de una Política de Seguridad.
� Desarrollo de procedimientos operativos de seguridad que sean consistentes con los requerimientos
establecidos por PCI.
� Solicitud contractual de que todas las terceras partes con acceso a datos de titulares de tarjetas se
adhieran a determinados requerimientos de seguridad.
� Plan de respuesta ante incidencias.
Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS
Cumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSS
� ValidaciValidaciValidaciValidacióóóón de Cumplimiento de PCI DSS.n de Cumplimiento de PCI DSS.n de Cumplimiento de PCI DSS.n de Cumplimiento de PCI DSS.
� Las propias marcas (Visa, MasterCard,…) son las que establecen los requisitos que se deben cumplir
para el proceso de certificación, en función de sus respectivos programas.
� Las marcas han establecido diferentes niveles de clasificación para los comercios y proveedores de
servicios. Las implicaciones y requisitos necesarios para la certificación difieren en función de estos
niveles.
� Implicaciones para las Entidades Financieras.Implicaciones para las Entidades Financieras.Implicaciones para las Entidades Financieras.Implicaciones para las Entidades Financieras.
� Todos los miembros de Visa o MasterCard deben cumplir con PCI DSS. Son responsables de la seguridad
de sus propios sistemas.
� No se requiere que los miembros emisores o adquirentes validen su cumplimiento, salvo que también
actúen como proveedores de servicios.
� Los bancos adquirentes son los responsables de garantizar:
� El cumplimiento PCI DSS de sus comercios.
� El cumplimiento PCI DSS de todos los proveedores de servicios mediante los cuales ellos o sus
comercios almacenen, procesen o transmitan información de pagos con tarjeta.
� Cuestionario de Autoevaluación• Realizado por el propio comercio
� Escaneos de red trimestrales • Realizado por un Approved Scanning
Vendor (ASV)
� Cualquier comercio que procese a través de Internet menos de 20.000 transacciones por año.
� El resto de comercios que procesen hasta 1.000.000 de
transacciones VISA o Mastercard por año.
Nivel 4
� Cualquier comercio que procese a través de Internet entre 20.000 y 1.000.000 de transacciones VISA o MasterCard por
año.Nivel 3
� Cuestionario de Autoevaluación anual.• Realizado por el propio comercio
� Escaneos de red trimestrales.• Realizados por un Approved Scanning
Vendor (ASV).
� Cualquier comercio que procese entre 1.000.000 y 6.000.000 de
transacciones Visa o MasterCard por año (independientemente del canal de aceptación).
Nivel 2
� Auditoría de Seguridad on-site. • Realizada por un Qualified Security
Assessor (QSA) o bien un auditor interno
que cumpla determinados requisitos.
� Escaneos de red trimestrales. • Realizados por un Approved Scanning
Vendor (ASV).
� Cualquier comercio que procese más de 6.000.000 de transacciones VISA o MasterCard por año (independientemente del canal de aceptación).
� Cualquier comercio que haya sufrido un ataque que haya
resultado en un compromiso de datos de tarjetas en el último año.
� Cualquier comercio identificado por otra marca como Nivel 1.
Nivel 1
Requerimientos de ValidaciRequerimientos de ValidaciRequerimientos de ValidaciRequerimientos de Validacióóóón n n n DescripciDescripciDescripciDescripcióóóónnnnClasificaciClasificaciClasificaciClasificacióóóónnnn
Cumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSS
� Implicaciones para los Comercios: Niveles Definidos y RequerimieImplicaciones para los Comercios: Niveles Definidos y RequerimieImplicaciones para los Comercios: Niveles Definidos y RequerimieImplicaciones para los Comercios: Niveles Definidos y Requerimientos de Validacintos de Validacintos de Validacintos de Validacióóóón.n.n.n.
� Los comercios que aceptan pagos con tarjetas se encuentran clasificados en diferentes niveles, en base al
volumen de transacciones que realizan anualmente.
� En función del nivel en el que se encuentre clasificado el comercio, se exigen diferentes requisitos para la
validación de cumplimiento.
� Cuestionario de Autoevaluación anual• Realizado por el propio proveedor de
servicios.
� Escaneos de red trimestrales • Realizados por un Approved Scanning
Vendor (ASV).
Cualquier proveedor de servicios que almacene, procese o transmita
menos de 300.000 transacciones al año. Nivel 2
� Auditoría de Seguridad on-site• Realizada por un Qualified Security
Assessor (QSA).
� Escaneos de red trimestrales • Realizados por un Approved Scanning
Vendor (ASV).
Todos los procesadores VisaNet y proveedores de servicios que
almacenen, procesen o transmitan más de 300.000 transacciones al año.
Nivel 1
Requerimientos de ValidaciRequerimientos de ValidaciRequerimientos de ValidaciRequerimientos de ValidaciónnnnDescripciDescripciDescripciDescripciónnnnClasificaciClasificaciClasificaciClasificaciónnnn
Cumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSS
Implicaciones para los Proveedores de Servicios: Niveles DefinidImplicaciones para los Proveedores de Servicios: Niveles DefinidImplicaciones para los Proveedores de Servicios: Niveles DefinidImplicaciones para los Proveedores de Servicios: Niveles Definidos y Requerimientos de Validacios y Requerimientos de Validacios y Requerimientos de Validacios y Requerimientos de Validacióóóón.n.n.n.
� Todas las marcas de tarjetas exigen que los proveedores de servicios cumplan con los requerimientos de PCI
DSS.
� Visa y MasterCard clasifican a los proveedores de servicios en función del volumen de transacciones y/o del
tipo de proveedor de servicios. Los requerimientos de validación y cumplimiento varían en función de las
diferentes marcas de tarjetas.
� VISA
� Los servicios relacionados con la validación de cumplimiento de PCI DSS deben ser realizados por
organizaciones homologadas por el PCI Security Standards Council:
� Qualified Security Assessor Company (QSAC): Auditorías on-site
� Approved Scanning Vendor (ASV): Escaneos de red trimestrales.
� Los servicios prestados por S21sec con el fin de ayudar a las organizaciones a garantizar el cumplimiento de
PCI DSS son los siguientes:
� Auditorías anuales on-site.
� Escaneos de red trimestrales.
� Evaluación de Cumplimiento PCI DSS.
� S21sec ha sido la primera empresa española certificada
para la prestación de servicios de cumplimiento PCI DSS.
AuditorAuditorAuditorAuditoríííía PCI DSSa PCI DSSa PCI DSSa PCI DSS
� Auditoría Anual On-site.
� Determinación del alcance de la Auditoría: Sistemas que almacenan, procesan o transmiten datos de
tarjetas.
� Revisión de cumplimiento de los requerimientos establecidos en PCI DSS (en función de los
Procedimientos de Test establecidos).
� Desarrollo del Informe de Auditoría PCI DSS.
� Propuesta de recomendaciones para subsanar las posibles deficiencias detectadas.
� Escaneos de Red Trimestrales.
� Los escaneos de vulnerabilidades pretenden garantizar que los sistemas estén protegidos frente a
amenazas externas (como hacking o código malicioso)
� Las herramientas empleadas buscan vulnerabilidades conocidas en los sistemas incluidos en el alcance
de la Auditoría (servidores, equipos de red, aplicaciones,…)
� Los escaneos se realizan en función de los procedimientos establecidos en PCI DSS.
AuditorAuditorAuditorAuditoríííía PCI DSSa PCI DSSa PCI DSSa PCI DSS
AuditorAuditorAuditorAuditoríííía PCI DSSa PCI DSSa PCI DSSa PCI DSS
Requerimientos Procedimiento de Test Valoración Descripción Valoración
A. CREACIÓN Y MANTENIMIENTO DE UNA RED SEGURA
R1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos
1.1 Establecer estándares de configuración del firewall del firewall y el router que incluyan:
1.1 Obtener y examinar los estándares de configuración del firewall con objeto de verificar que los estándares están completos.
1.1.1. Proceso formal para aprobar y probar todas las conexiones externas a la red y cambios en la configuración del firewall.
1.1.1 Verificar que los estándares de configuración del firewall incluyen un proceso formal para la realización de cambios del firewall, incluyendo la prueba y la autorización de la gestión de todos los cambios a conexiones externas y configuración del firewall.
S
1.1.2.a Verificar que existe un diagrama de red actualizado que documenta todas las conexiones a los datos del titular de la tarjeta, incluyendo toda conexión de red inalámbrica.
S
1.1.2. Diagrama de red actualizado con todas las conexiones a los datos del titular de tarjetas, incluyendo las conexiones inalámbricas. 1.1.2.b. Verificar que el diagrama se mantiene
actualizado. NO
1.1.3. Requerimientos para el firewall en cada conexión de Internet y entre la DMZ y la Intranet.
1.1.3. Verificar que los estándares de configuración del firewall incluyen requisitos del firewall para cada conexión a Internet y entre cualquier DMZ e Internet. Verificar que el diagrama de red actual es consistente con los estándares de configuración del firewall.
S
*[*[*[*[Muchas GraciasMuchas GraciasMuchas GraciasMuchas Gracias]]]]
Contacto: Vanesa Gil LaredoContacto: Vanesa Gil LaredoContacto: Vanesa Gil LaredoContacto: Vanesa Gil Laredo
vgil@s21secvgil@s21secvgil@[email protected]
TelTelTelTelééééfono: 91 661 59 19fono: 91 661 59 19fono: 91 661 59 19fono: 91 661 59 19