jornada de medios de pago online - vanesa gil laredo, s21sec

Vanesa Gil LaredoVanesa Gil LaredoVanesa Gil LaredoVanesa Gil Laredo

Manager ConsultorManager ConsultorManager ConsultorManager Consultorííííaaaa

26 de Noviembre de 200926 de Noviembre de 200926 de Noviembre de 200926 de Noviembre de 2009

*[PCI DSS Compliance*[PCI DSS Compliance*[PCI DSS Compliance*[PCI DSS Compliance----

Payment Card Industry Data Security Payment Card Industry Data Security Payment Card Industry Data Security Payment Card Industry Data Security

Standard]Standard]Standard]Standard]

IndiceIndiceIndiceIndice

� S21Sec, Servicios de Seguridad Informática

� Payment Card Industry Data Security Standard.

� Objetivos de PCI DSS.

� Alcance de PCI DSS.

� Beneficios de PCI DSS.

� Requerimientos establecidos por PCI DSS.

� Cumplimiento de PCI DSS.

� Auditoría PCI DSS.

S21sec, Servicios de Seguridad InformS21sec, Servicios de Seguridad InformS21sec, Servicios de Seguridad InformS21sec, Servicios de Seguridad Informááááticaticaticatica

� Clientes:Clientes:Clientes:Clientes:

� Presente en 25 de las compañías del

IBEX 35.

� 20 % del índice europeo Eurostoxx 50.

� 90 % del sector financiero español.

� Organismos e instituciones de las

Administraciones Públicas.

� Principales compañías de

telecomunicaciones.

� Compañías de comercio electrónico,

utilities y construcción.

� Las mayores líneas aéreas nacionales y

compañías de transporte y logística.

� Defensa y Fuerzas de Seguridad.

� Sector sanitario.

� Compañía española únicamente dedicada a la Seguridad Informática.

� “Misión: Prevenir y gestionar el riesgo de las organizaciones y las personas en la vida digital”.

8 oficinas en España3 oficinas internacionales

Un modelo de GestiUn modelo de GestiUn modelo de GestiUn modelo de Gestióóóón integral de la Seguridad n integral de la Seguridad n integral de la Seguridad n integral de la Seguridad

24 horas. CIS24 horas. CIS24 horas. CIS24 horas. CIS

Desde los inicios, apostando por la innovación

y el desarrollo de soluciones de vanguardia.

Primer centro I+D+i de Europa

El mayor equipo en EspaEl mayor equipo en EspaEl mayor equipo en EspaEl mayor equipo en Españññña de Seguridad Digital: 200 a de Seguridad Digital: 200 a de Seguridad Digital: 200 a de Seguridad Digital: 200

especialistasespecialistasespecialistasespecialistas

Y siempre, calidad y certificacionesY siempre, calidad y certificacionesY siempre, calidad y certificacionesY siempre, calidad y certificaciones

NUESTRANUESTRANUESTRANUESTRA

DIFERENCIADIFERENCIADIFERENCIADIFERENCIA

PaymentPaymentPaymentPayment CardCardCardCard IndustryIndustryIndustryIndustry Data Data Data Data SecuritySecuritySecuritySecurity StandardStandardStandardStandard

� ¿¿¿¿QuQuQuQuéééé es el es el es el es el PaymentPaymentPaymentPayment CardCardCardCard IndustryIndustryIndustryIndustry Data Data Data Data SecuritySecuritySecuritySecurity Standard (PCI DSS)? Standard (PCI DSS)? Standard (PCI DSS)? Standard (PCI DSS)?

� PCI DSS es un estándar que establece un conjunto de medidas, prácticas y herramientas de seguridad

que pretenden garantizar la seguridad en el tratamiento de la información asociada a pagos con tarjeta.

� Este estándar alinea las principales iniciativas de seguridad para la infraestructura de medios de pago,

con el fin de garantizar la existencia de un marco global consistente para la protección de los datos de

cuentas bancarias, tarjetas, transacciones y datos de autenticación.

� El estándar ha sido creado por las principales empresas de tarjetas: Visa Internacional, MasterCard

Worlwide, American Express, JCB y Discover Financial Services.

� En la actualidad, PCI DSS es gestionado, revisado y actualizado por el PCI Security Standards Council.

Objetivos de PCI DSSObjetivos de PCI DSSObjetivos de PCI DSSObjetivos de PCI DSS

� ¿¿¿¿CuCuCuCuááááles son los principales objetivos de PCI DSS?les son los principales objetivos de PCI DSS?les son los principales objetivos de PCI DSS?les son los principales objetivos de PCI DSS?

� El principal objetivo de PCI DSS es mejorar el nivel de seguridad de los pagos realizados mediante

tarjetas, promoviendo la existencia de un entorno de pago seguro para la información de tarjetas.

� PCI DSS ha sido específicamente desarrollado para:

� Garantizar la protección de la información de titulares de tarjetas.

� Minimizar el riesgo de posibles intrusiones no autorizadas o compromiso de la información de

cuentas y tarjetas.

� Incrementar la confianza de los titulares de tarjetas en las transacciones realizadas con

tarjetas.

� Luchar contra la suplantación y otros fraudes que se producen en Internet.

Alcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSS

� ¿¿¿¿QuiQuiQuiQuiéééénes estnes estnes estnes estáááán obligados a cumplir PCI DSS?n obligados a cumplir PCI DSS?n obligados a cumplir PCI DSS?n obligados a cumplir PCI DSS?

� Entidades financieras.

� Proveedores de Servicios que almacenen, procesen y/o transmitan información sobre titulares de

tarjetas.

� Comercios que almacenen, procesen y/o transmitan información sobre titulares de tarjetas.

� ¿¿¿¿CuCuCuCuáááál es el alcance de PCI DSS?l es el alcance de PCI DSS?l es el alcance de PCI DSS?l es el alcance de PCI DSS?

� El alcance de PCI DSS comprende todos aquellos sistemas que almacenan, procesan o transmiten

información de tarjetas de crédito o débito.

� Los requerimientos de PCI DSS aplican siempre que el PAN (Primary Account Number) de la tarjeta se

almacena, procesa o transmite.

� PCI DSS aplica, por tanto, a los diferentes canales a través de los que se transmiten datos de tarjetas

(TPV Físico, TPV Virtual,…)

Alcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSSAlcance de PCI DSS

� ¿¿¿¿QuQuQuQuéééé se considera informacise considera informacise considera informacise considera informacióóóón de tarjetas?n de tarjetas?n de tarjetas?n de tarjetas?

� Información relacionada con tarjetas de crédito o débito y sus titulares.

� Esta información se clasifica en dos categorías:

� Información de titulares de tarjetas:

• Primary Account Number (PAN)

• Nombre del titular

• Fecha de expiración

• Código de Servicio

� Información sensible de autenticación:

• Banda magnética completa

• CVC2/CVV2/CID

• PIN / PIN Block

� PCI DSS impone restricciones de almacenamiento sobre los datos incluidos en estas dos categorías.

Beneficios de PCI DSSBeneficios de PCI DSSBeneficios de PCI DSSBeneficios de PCI DSS

� ¿¿¿¿CuCuCuCuááááles son los principales beneficios derivados de la implantaciles son los principales beneficios derivados de la implantaciles son los principales beneficios derivados de la implantaciles son los principales beneficios derivados de la implantacióóóón de PCI DSS?n de PCI DSS?n de PCI DSS?n de PCI DSS?

� Las organizaciones deben buscar el cumplimiento de PCI DSS con objeto de mitigar los riesgos

asociados a un posible compromiso de la información de cuentas o titulares de tarjetas:

� Impacto financiero.

� Impacto negativo en la imagen pública o frente a clientes que podría sufrir su marca.

� Costes de investigación y costes legales asociados a un posible compromiso de información.

� El cumplimiento de PCI DSS permite:

� Proteger los datos de los clientes.

� Mantener la confianza de los consumidores a través de un mayor nivel de seguridad de datos.

� Salvaguardar la reputación de su marca.

� Disminuir los riesgos derivados de pérdidas financieras.

� En el caso de los proveedores de servicios, el cumplimiento de PCI DSS constituye un

elemento diferenciador que puede suponer una ventaja competitiva en el mercado.

� El estándar PCI DSS está estructurado en los cuatro niveles que se describen en el siguiente gráfico.

� El nivel de detalle aumenta a medida que se desciende.

Objetivos de Control

Requerimientos Principales

Requerimientos ySubquerimientos Detallados

Procedimientos de Test

Requerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSSRequerimientos establecidos por PCI DSS


� Los Objetivos de Control establecidos en PCI DSS son los que se indican a continuación:

� A. Creación y mantenimiento de una red segura.

� B. Protección de los datos almacenados.

� C. Mantenimiento de un programa de gestión de vulnerabilidades.

� D. Implantación de medidas de control de acceso.

� E. Monitorización y revisión periódica de las redes.

� F. Mantenimiento de una Política de Seguridad de la Información.


� Los Requerimientos establecidos por PCI DSS son los siguientes:

� Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los

datos.

� Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por

los proveedores.

� Requerimiento 3: Protección de los datos almacenados.

� Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes

públicas.

� Requerimiento 5: Empleo y actualización periódica de programas y software antivirus.

� Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones.

� Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de

conocer.

� Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema.

� Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas.

� Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de

titulares de tarjetas.

� Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos.

� Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los

empleados y contratistas.

� Requerimiento 1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos.

� Establecimiento de los estándares de configuración del firewall que incluyan los aspectos exigidos por

PCI DSS.

� Configuración del firewall: Restricción de todo el tráfico de redes o host “no confiables”, restricción de

las conexiones entre los servidores públicamente accesibles y los componentes del sistema que

almacenen datos del titular de tarjetas, prohibición de acceso público directo entre las redes externas y

cualquier componente de red que almacene información sobre el titular de tarjetas,…

� Requerimiento 2: No empleo de contraseñas y otros parámetros de seguridad establecidos por defecto por

los proveedores.

� Modificación de los parámetros y contraseñas establecidos por defecto por el proveedor antes de la

instalación de un sistema en la red.

� Existencia de estándares de configuración para todos los componentes del sistema que consideren las

vulnerabilidades de seguridad conocidas y las mejores prácticas de la industria.

� Cifrado de todos los accesos de administrador que no se realicen a través de consola.


� Requerimiento 3: Protección de los datos almacenados.

� Mantenimiento del almacenamiento de la información del titular de tarjetas al mínimo. Política de retención y

disposición de datos.

� No almacenamiento de datos de autenticación sensibles después de la autorización.

� Enmascaramiento del PAN cuando es mostrado (los primeros seis y los últimos cuatro es el máximo número

de dígitos que puede ser mostrado).

� Mantenimiento del PAN ilegible en cualquier lugar donde sea almacenado.

� Protección de las claves de cifrado utilizadas para el cifrado de información de titulares de tarjetas contra

revelación o uso no autorizado.

� Documentación e implantación de los procedimientos de gestión de las claves utilizadas para el cifrado de

información de titulares de tarjetas.


� Requerimiento 4: Cifrado de la transmisión de la información del titular de tarjetas a través de redes públicas.

� Requerimiento 5: Empleo y actualización periódica de programas y software antivirus.

� Instalación de software antivirus en todos los sistemas comúnmente afectados por virus.

� Garantía de que todos los mecanismos antivirus están actualizados y activos y permiten generar logs de

auditoría.

� Requerimiento 6: Desarrollo y mantenimiento seguro de sistemas y aplicaciones.

� Desarrollo de software de aplicaciones basado en las mejores prácticas de la industria y consideración de la

seguridad de la información a lo largo de todo el ciclo de desarrollo de software.

� Implantación de procedimientos de control de cambios para todos los cambios en la configuración de

sistemas y software.

� Desarrollo de aplicaciones web basado en directrices de codificación segura. Revisión del código de

aplicaciones de clientes para identificar vulnerabilidades de código.

� Proceso para conocer vulnerabilidades de seguridad recientemente descubiertas. Instalación de parches.


� Requerimiento 7: Restricción del acceso a datos de titulares de tarjetas en función de la necesidad de conocer.

� Requerimiento 8: Asignación de un identificador único para todas las personas con acceso al sistema.

� Procedimiento de control de acceso lógico a los sistemas de información.

� Mecanismos de identificación y autenticación para el acceso al sistema.

� Identificación de todos los usuarios con un identificador de usuario único.

� Gestión de contraseñas de acceso a los sistemas.

� Requerimiento 9: Restricción del acceso físico a los datos de titulares de tarjetas.

� Control de acceso físico a los sistemas de información

� Gestión de soportes con datos de tarjetas (etiquetado e inventariado de soportes, distribución de soportes, copias de respaldo,…)

� Requerimiento 10: Revisión y monitorización de todos los accesos a los recursos de red y a los datos de titulares de tarjetas.

� Mantenimiento de registros de acceso a los sistemas incluidos en el alcance de PCI DSS.

� Registro de determinada información, para cada evento, para todos los componentes del sistema.

� Securización de los registros de auditoría, de forma que no puedan ser alterados.

� Revisión de los logs de todos los componentes del sistema al menos diariamente.


� Requerimiento 11: Prueba periódica de la seguridad de los sistemas y procesos.

� Realización de escaneos de vulnerabilidades de red internos y externos al menos trimestralmente y

después de cualquier cambio significativo en la red.

� Realización de tests de intrusión al menos una vez al año y después de cualquier cambio o

actualización significativo de la infraestructura o las aplicaciones.

� Empleo de sistemas de detección de intrusos para monitorizar todo el tráfico de red y alertar al

personal de cualquier posible compromiso.

� Requerimiento 12: Mantenimiento de una política que contemple la seguridad de la información para los

empleados y contratistas.

� Desarrollo, publicación, mantenimiento y distribución de una Política de Seguridad.

� Desarrollo de procedimientos operativos de seguridad que sean consistentes con los requerimientos

establecidos por PCI.

� Solicitud contractual de que todas las terceras partes con acceso a datos de titulares de tarjetas se

adhieran a determinados requerimientos de seguridad.

� Plan de respuesta ante incidencias.


Cumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSSCumplimiento de PCI DSS

� ValidaciValidaciValidaciValidacióóóón de Cumplimiento de PCI DSS.n de Cumplimiento de PCI DSS.n de Cumplimiento de PCI DSS.n de Cumplimiento de PCI DSS.

� Las propias marcas (Visa, MasterCard,…) son las que establecen los requisitos que se deben cumplir

para el proceso de certificación, en función de sus respectivos programas.

� Las marcas han establecido diferentes niveles de clasificación para los comercios y proveedores de

servicios. Las implicaciones y requisitos necesarios para la certificación difieren en función de estos

niveles.

� Implicaciones para las Entidades Financieras.Implicaciones para las Entidades Financieras.Implicaciones para las Entidades Financieras.Implicaciones para las Entidades Financieras.

� Todos los miembros de Visa o MasterCard deben cumplir con PCI DSS. Son responsables de la seguridad

de sus propios sistemas.

� No se requiere que los miembros emisores o adquirentes validen su cumplimiento, salvo que también

actúen como proveedores de servicios.

� Los bancos adquirentes son los responsables de garantizar:

� El cumplimiento PCI DSS de sus comercios.

� El cumplimiento PCI DSS de todos los proveedores de servicios mediante los cuales ellos o sus

comercios almacenen, procesen o transmitan información de pagos con tarjeta.

� Cuestionario de Autoevaluación• Realizado por el propio comercio

� Escaneos de red trimestrales • Realizado por un Approved Scanning

Vendor (ASV)

� Cualquier comercio que procese a través de Internet menos de 20.000 transacciones por año.

� El resto de comercios que procesen hasta 1.000.000 de

transacciones VISA o Mastercard por año.

Nivel 4

� Cualquier comercio que procese a través de Internet entre 20.000 y 1.000.000 de transacciones VISA o MasterCard por

año.Nivel 3

� Cuestionario de Autoevaluación anual.• Realizado por el propio comercio

� Escaneos de red trimestrales.• Realizados por un Approved Scanning

Vendor (ASV).

� Cualquier comercio que procese entre 1.000.000 y 6.000.000 de

transacciones Visa o MasterCard por año (independientemente del canal de aceptación).

Nivel 2

� Auditoría de Seguridad on-site. • Realizada por un Qualified Security

Assessor (QSA) o bien un auditor interno

que cumpla determinados requisitos.

� Escaneos de red trimestrales. • Realizados por un Approved Scanning

Vendor (ASV).

� Cualquier comercio que procese más de 6.000.000 de transacciones VISA o MasterCard por año (independientemente del canal de aceptación).

� Cualquier comercio que haya sufrido un ataque que haya

resultado en un compromiso de datos de tarjetas en el último año.

� Cualquier comercio identificado por otra marca como Nivel 1.

Nivel 1

Requerimientos de ValidaciRequerimientos de ValidaciRequerimientos de ValidaciRequerimientos de Validacióóóón n n n DescripciDescripciDescripciDescripcióóóónnnnClasificaciClasificaciClasificaciClasificacióóóónnnn


� Implicaciones para los Comercios: Niveles Definidos y RequerimieImplicaciones para los Comercios: Niveles Definidos y RequerimieImplicaciones para los Comercios: Niveles Definidos y RequerimieImplicaciones para los Comercios: Niveles Definidos y Requerimientos de Validacintos de Validacintos de Validacintos de Validacióóóón.n.n.n.

� Los comercios que aceptan pagos con tarjetas se encuentran clasificados en diferentes niveles, en base al

volumen de transacciones que realizan anualmente.

� En función del nivel en el que se encuentre clasificado el comercio, se exigen diferentes requisitos para la

validación de cumplimiento.

� Cuestionario de Autoevaluación anual• Realizado por el propio proveedor de

servicios.

� Escaneos de red trimestrales • Realizados por un Approved Scanning

Vendor (ASV).

Cualquier proveedor de servicios que almacene, procese o transmita

menos de 300.000 transacciones al año. Nivel 2

� Auditoría de Seguridad on-site• Realizada por un Qualified Security

Assessor (QSA).

� Escaneos de red trimestrales • Realizados por un Approved Scanning

Vendor (ASV).

Todos los procesadores VisaNet y proveedores de servicios que

almacenen, procesen o transmitan más de 300.000 transacciones al año.

Nivel 1

Requerimientos de ValidaciRequerimientos de ValidaciRequerimientos de ValidaciRequerimientos de ValidaciónnnnDescripciDescripciDescripciDescripciónnnnClasificaciClasificaciClasificaciClasificaciónnnn


Implicaciones para los Proveedores de Servicios: Niveles DefinidImplicaciones para los Proveedores de Servicios: Niveles DefinidImplicaciones para los Proveedores de Servicios: Niveles DefinidImplicaciones para los Proveedores de Servicios: Niveles Definidos y Requerimientos de Validacios y Requerimientos de Validacios y Requerimientos de Validacios y Requerimientos de Validacióóóón.n.n.n.

� Todas las marcas de tarjetas exigen que los proveedores de servicios cumplan con los requerimientos de PCI

DSS.

� Visa y MasterCard clasifican a los proveedores de servicios en función del volumen de transacciones y/o del

tipo de proveedor de servicios. Los requerimientos de validación y cumplimiento varían en función de las

diferentes marcas de tarjetas.

� VISA

� Los servicios relacionados con la validación de cumplimiento de PCI DSS deben ser realizados por

organizaciones homologadas por el PCI Security Standards Council:

� Qualified Security Assessor Company (QSAC): Auditorías on-site

� Approved Scanning Vendor (ASV): Escaneos de red trimestrales.

� Los servicios prestados por S21sec con el fin de ayudar a las organizaciones a garantizar el cumplimiento de

PCI DSS son los siguientes:

� Auditorías anuales on-site.

� Escaneos de red trimestrales.

� Evaluación de Cumplimiento PCI DSS.

� S21sec ha sido la primera empresa española certificada

para la prestación de servicios de cumplimiento PCI DSS.

AuditorAuditorAuditorAuditoríííía PCI DSSa PCI DSSa PCI DSSa PCI DSS

� Auditoría Anual On-site.

� Determinación del alcance de la Auditoría: Sistemas que almacenan, procesan o transmiten datos de

tarjetas.

� Revisión de cumplimiento de los requerimientos establecidos en PCI DSS (en función de los

Procedimientos de Test establecidos).

� Desarrollo del Informe de Auditoría PCI DSS.

� Propuesta de recomendaciones para subsanar las posibles deficiencias detectadas.

� Escaneos de Red Trimestrales.

� Los escaneos de vulnerabilidades pretenden garantizar que los sistemas estén protegidos frente a

amenazas externas (como hacking o código malicioso)

� Las herramientas empleadas buscan vulnerabilidades conocidas en los sistemas incluidos en el alcance

de la Auditoría (servidores, equipos de red, aplicaciones,…)

� Los escaneos se realizan en función de los procedimientos establecidos en PCI DSS.



Requerimientos Procedimiento de Test Valoración Descripción Valoración

A. CREACIÓN Y MANTENIMIENTO DE UNA RED SEGURA

R1: Instalación y mantenimiento de la configuración de firewalls para la protección de los datos

1.1 Establecer estándares de configuración del firewall del firewall y el router que incluyan:

1.1 Obtener y examinar los estándares de configuración del firewall con objeto de verificar que los estándares están completos.

1.1.1. Proceso formal para aprobar y probar todas las conexiones externas a la red y cambios en la configuración del firewall.

1.1.1 Verificar que los estándares de configuración del firewall incluyen un proceso formal para la realización de cambios del firewall, incluyendo la prueba y la autorización de la gestión de todos los cambios a conexiones externas y configuración del firewall.

S

1.1.2.a Verificar que existe un diagrama de red actualizado que documenta todas las conexiones a los datos del titular de la tarjeta, incluyendo toda conexión de red inalámbrica.

S

1.1.2. Diagrama de red actualizado con todas las conexiones a los datos del titular de tarjetas, incluyendo las conexiones inalámbricas. 1.1.2.b. Verificar que el diagrama se mantiene

actualizado. NO

1.1.3. Requerimientos para el firewall en cada conexión de Internet y entre la DMZ y la Intranet.

1.1.3. Verificar que los estándares de configuración del firewall incluyen requisitos del firewall para cada conexión a Internet y entre cualquier DMZ e Internet. Verificar que el diagrama de red actual es consistente con los estándares de configuración del firewall.

S

*[*[*[*[Muchas GraciasMuchas GraciasMuchas GraciasMuchas Gracias]]]]

Contacto: Vanesa Gil LaredoContacto: Vanesa Gil LaredoContacto: Vanesa Gil LaredoContacto: Vanesa Gil Laredo

vgil@s21secvgil@s21secvgil@[email protected]

TelTelTelTelééééfono: 91 661 59 19fono: 91 661 59 19fono: 91 661 59 19fono: 91 661 59 19

jornada de medios de pago online - vanesa gil laredo, s21sec

Business