Auditoría de vulnerabilidades de Seguridad³n...PwC 13 Gestión de Riesgos de Compliance en medios...

Gestión de Riesgos de Compliance en medios de pagos de tarjetas JORNADA TÉCNICA 2013 Israel Hernández Ortiz. Director - Riesgos Tecnológicos

www.pwc.es

PwC

Objetivos

2

Gestión de Riesgos de Compliance en medios de pagos de tarjetas.

1. Analizar el estado actual de respuesta a los programas de cumplimiento de los Medios de Pago de tarjetas.

2. Analizar el marco regulatorio internacional de los medios de pago de tarjetas, propuestos por las principales asociaciones internacionales.

3. Evolución de los modelos de cumplimiento según las necesidades del mercado. (nuevo estándar PCI-DSS V3.0).

4. Identificar los riesgos derivados de la falta de atención a la seguridad en la gestión de información en los procesos de medios de pago: trasmisión, almacenamiento, procesamiento, etc

PwC

Objetivos

3

5. Exponer el bajo nivel de cumplimiento de “casi” todos los actores (bancos, comercios, proveedores, fabricantes) .

6.Los estándares han venido para quedarse y tenemos ante nosotros una tarea/reto pendiente.

7. ¿Sabes lo que tienes firmado?

8.El alineamiento con los estándares, ¿ es inversión o coste ?


PwC

Gestión de Riesgos de Compliance en medios de pagos de tarjetas

4


Antecedentes

PwC

1. Antecedentes

5

En los últimos años se han producido algunos incidentes con datos de tarjetas:

En noviembre 2009, los bancos alemanes bloquean 100.000 tarjetas de crédito en Alemania tras la alerta emitida por Visa y Mastercard de que se ha producido un robo de datos en España. Fuente: http://economia.elpais.com/economia/2009/11/18/actualidad/1258533184_850215.html

En abril de 2011, Sony admite que un intruso accedió a datos de millones de usuarios de PlayStation. En España había 3 millones de cuentas de PSN y 330.000 con tarjeta de crédito. Fuente: http://www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html

A principios del 2012, Global Payments Inc. anunció que había identificado accesos no autorizados a sus sistemas. El nº de tarjetas afectadas ascendió a 1,5 millones y los gastos a 94$ millones. Fuente: http://www.siliconrepublic.com/strategy/item/26508-hackers-get-away-with-1-5m/


http://economia.elpais.com/economia/2009/11/18/actualidad/1258533184_850215.html


















http://www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html
















http://www.siliconrepublic.com/strategy/item/26508-hackers-get-away-with-1-5m/





















PwC

1. Antecedentes

6

En octubre de 2013, Adobe ha confirmado que 38 millones de sus clientes podrían haber sido afectados por una fuga de datos.

El mismo grupo que realizó el sonado ataque a Adobe, se ha hecho con información personal y de tarjetas de crédito de más de 850.000 clientes (entre ellos congresistas, celebridades y CEOs de compañías Fortune 500), Fuente: http://abcnews.go.com/blogs/headlines/2013/11/celeb-lawmaker-info-leaked-in-limo-firm-hack-report/

El mayor robo de tarjetas en Europa. Un grupo de hackers roba más de un millón de tarjetas a la empresa irlandesa LoyaltyBuild (noticia de anoche) Fuente: http://www.independent.ie/irish-news/biggestever-irish-hacking-heist-now-hits-11m-victims-29749561.html


http://abcnews.go.com/blogs/headlines/2013/11/celeb-lawmaker-info-leaked-in-limo-firm-hack-report/



























http://www.independent.ie/irish-news/biggestever-irish-hacking-heist-now-hits-11m-victims-29749561.html




























PwC

1. Antecedentes

7

Las redes de mafias tienen un negocio floreciente con alto rendimiento y bajo riesgo. Sabemos que existen markets clandestinos donde se comercia con listados inmensos de números de tarjetas robados (presencial, no presencial, clonación, etc.)

Esto es una fábrica de hacer dinero, señores!!!


PwC


8


AARR e impactos

PwC

2. Riesgos singulares e impactos

9


Entre los principales riesgos e impactos derivados del marco normativo de los medios de pagos de tarjetas, se encuentran:

Algunos riesgos singulares Impactos

No estar preparado para la gestión de crisis ante un compromiso. No responder a la gestión de compromisos en tiempo y forma de VISA y resto de marcas: 24/48 horas. Incapacidad de operación temporal con tarjetas de pago. Como pueden ser:

Se prohíbe el procesamiento de tarjetas internacionales y/0 nacionales. Se prohíbe el procesamiento de tarjetas Mastercard o Visa.

Reputacional / Imagen

Penalizaciones contractuales.

Confianza con tus terceros y supervisores

Económico: Lucro cesante debido a que puedes dejar de operar durante X tiempo. Ventana de exposición, el banco adquirente tiene que asumir el fraude de resto de bancos emisores. (penalizaciones, multas).

PwC


10


Marco regulatorio

PwC

3. Marco regulatorio

11


El marco de cumplimiento de los medios de pagos con tarjeta en Europa, se basa en estándares, guías, leyes y recomendaciones publicadas por los diferente organismos internacionales, que ayudan a reducir los riesgos de seguridad y operacionales en el proceso de pagos.

PwC 12



European Payments Council (EPC), ha emitido recomendaciones “Recommendations for the security of internet payments”

Será de obligado cumplimiento en febrero del 2015

PwC

13



Visa Europa, también dispone de programas de cumplimiento y guías adicionales que deben de cumplirse, entre ellas:

Nombre Descripción

What to do if compromised Definición del procedimiento de actuación , para compromiso de datos de tarjetas.

Mobile Acceptance Security Best Practice guidelines

Guía de buenas prácticas aceptadas en seguridad para móviles.

PCI Encrypting PIN Pad Security Requirements

Requerimientos de seguridad para los PIN Pad.

VEOR: Visa Europe Operating Regulations Obligaciones y responsabilidades de cada actor en el esquema de pagos.

Visa Global Security Requirements for Secure Element Vendors and OTA Service Providers

Programas de cumplimiento para proveedores de servicio OTA (Over the air) / NFC.

Visa Europe's best practices for data field encryption

Buenas prácticas para el cifrado de los datos.

PwC

14


3. Marco regulatorio – nuevas tecnologías

Visa Europa y Mastercard disponen de normativas que deben cumplir las entidades que utilicen nuevas tecnologías como por ejemplo “Contactless”. Entre estos estándares destacan:

1. Visa Contactless Payment Specification 2.1 (no públicas, pago)

https://technologypartner.visa.com/Library/Specifications.aspx

2. MasterCard PayPass-M/Chip Requirements https://www.paypass.com/documentation.html

Además existen otros estándares que deben cumplir las personalizadoras y estampadoras de tarjetas, estos estándares son confidenciales y son las marcas las que se encargan de distribuirlos antes de realizar el proceso de certificación.










https://www.paypass.com/documentation.html









PwC

15



El marco de control más extendido a nivel internacional son los estándares y las buenas prácticas publicados por el PCI Security Standards Council.

Desde 2006, la función del PCI SSC, es incrementar la seguridad de los datos de tarjeta mediante la concienciación y el conocimiento de las normas de seguridad de la industria de tarjetas de pago.

La empresas que conforman este foro son: Mastercard Worldwide, Visa Inc American Express, Discover Financial Services y JCB International,.

Fuente: https://www.pcisecuritystandards.org/

Datos afectados por el cumplimiento: PAN (Personal Account

Number).

Datos sensibles: banda, pista 1, 2, CID / CAV2/CID/ CVC2/CVV2.

PwC

16



El PCI SSC, establece controles a través de sus estándares y publicaciones para proteger los siguientes datos:

Datos de tarjeta Almacenamiento permitido

¿Requiere protección?

Datos de titular de tarjeta

PAN: Número de tarjeta Si Si

Nombre del titular de tarjeta

Si Si

Código de servicio Si Si

Fecha de caducidad Si Si

Datos confidenciales de autenticación (1)

Datos completos de la banda magnética (2)

No No permitido

CAV2/CVC2/CVV2/CID

No No permitido

PIN/Bloqueo de PIN No No permitido

(1) No se deben almacenar los datos confidenciales de autenticación después de la autorización (incluso si están cifrados).

(2) Contenido completo de la pista de banda magnética, datos equivalentes que están en el chip o en cualquier otro dispositivo.

PwC

17



Listado de estándares publicados por el PCI Security Standards Council.

Estándares ¿A quien aplica?

PCI DSS PCI- Data Security Standard.

Toda empresa que procesa, transmite o almacene datos de tarjeta. Afecta a bancos, e-commerce, redes, comercios, proveedores, procesadoras, etc.

PA-DSS Payment Application Data Security Standard.

Desarrolladores software comercial es un subconjunto de PCI DSS

PCI-PTS PIN Entry Devices

Fabricantes y bancos que desarrollan dispositivos de entrada de PIN, HSM (High Security Module).

P2PE Point to Point Encryption.

Fabricantes de soluciones móviles.

Card production Producción de tarjetas.

A todos los participantes del proceso de emisión de tarjetas. Como pueden ser fabricantes, estampadoras, entidades bancarias, etc.

PwC

18



El PCI SSC, pública constantemente información complementaria que ayuda a las empresas a alinearse con el cumplimiento.

Información complementarios Descripción

Mobile Payment Acceptance Security Guidelines for Merchants v1.0

Guía para comercios, para el uso de soluciones aceptadas de pagos con móviles.

ATM Security Guidelines Directrices para mitigar los ataques a ATM, orientado al robo de PIN y datos de la cuenta.

PCI DSS 2.0 eCommerce Guidelines Guías para el uso adecuado de las tecnologías y pagos por internet.

PCI DSS 2.0 Cloud Computing Guidelines

Guía que ayuda a identificar las responsabilidades del cumplimiento de los requisitos entre proveedor y organización.

PCI DSS 2.0 Risk Assessment Guidelines

Información de ayuda, para poder cubrir con éxito el análisis de riesgos que requiere PCI en el punto 12.1.2.

PCI DSS 2.0 Wireless Guidelines Guía de ayuda para el despliegue de redes inalámbricas.

PCI DSS Tokenization Guidelines Guía de soporte para el desarrollo, implementación o evaluación de los modelos de tokenización.

PwC


19


Responsabilidades y deadlines

PwC

20


4. Responsabilidades y deadlines

Las marcas establecen un flujo de responsabilidades que se inicia en los bancos adquirientes.

Cada entidad es responsable de la “siguiente” y debe definir la obligación de cumplimiento de forma contractual.

Marcas

Entidades

/Bancos

Comercios

Transacciones

Redsys, Euro 6000, 4B, Ingenico (FirstData)

Proveedores

del banco

Proveedores

del comercio

Ca

de

na

de

res

po

ns

ab

ilida

d

Re

po

rte (R

OC

, SA

Q, Q

SA

, AS

V)

PwC

21


4. Responsabilidades y deadlines

Las marcas de pago (VISA Europa y Mastercard), definen requerimientos y establecen sus plazos de cumplimiento afectando a todos los actores que intervienen en el esquema de medios de pago:

Requerimientos de las marcas.

Requerir el cumplimiento de PCI-DSS a aquellos agentes que se encuentren en la cadena de responsabilidad. Verificación del no almacenamiento de datos sensibles de autenticación. Verificación de cumplimiento de comercios de niveles 1, 2 y comercio electrónico (3 y 4). Registro de los proveedores de los comercios (agentes). Verificación del cumplimiento de las aplicaciones de pago de todos los comercios. Plan de acción para adecuación en circuitos de adquirencia (bancos), también en emisión

de Amex.

2006 Presentación Requerimiento

genérico Cumplimiento

de nivel 1

2007 PCI-DSS en

contratos

2008 Cumplimiento

de nivel 2. Registro de

agentes

2009 Cumplimiento de

comercio electrónico

Almacenamiento datos bancos

2010 Reporte de

Cumplimiento para Bancos adquirentes

2012 Validación de

comercios niveles 1,2 y 3

Validación de PA-DSS

Enero Visa Europa

exige el registro de proveedores de soluciones

Uso de proveedores registrados tanto en VISA como en Mastercard. Validación de soluciones

móviles por las marcas de pago.

2006-2012 2013

Noviembre Validación de

soluciones móviles.

PwC 22


Existen grupos de trabajo , ej: RedSyS (Servired, 4B). Reuniones periódicas y members letters VISA.

Existe una alternativa ante incumplimiento de control, mediante la gestión de controles compensatorios.

“What To Do If Compromised” y su homónimo para el resto de marcas es desconocido por el mercado español.

4. Responsabilidades y multas:

PwC


23


Para el cálculo del impacto financiero ante un compromiso se deben tener en cuenta tres factores:

Coste de penalizaciones por compromiso de datos = CP

Coste por el compromiso estándar (arranca desde 10.000 euros).

Coste por el incumplimiento: coste incremental hasta cumplir PCI mes a mes.

Coste de investigación = CI

Aprox. 600 €/hora (2-3 semanas) FTE = entre 48.000 y 72.000 €. Coste de la investigación se divide entre las entidades adquirientes.

Estimación de fraude = EF

Responsabilidad por adquirente por derechos de contracargo (reclamaciones de otras entidades financieras). El cálculo se realizará mediante el fraude medio tarjeta en compromisos por el nº de tarjetas comprometidas durante la venta de compromiso.

PwC


24


∑ = CP + CI + EF

PwC


25


PCI-DSS V3.0

PwC

5. PCI-DSS V3.0 - Hitos

Slide 26 Gestión de Riesgos de Compliance en medios de pagos de tarjetas

Noviembre 2013 Publicación oficial del nuevo estándar.

Enero 2014 Entra en vigor el nuevo estándar. V2.0 será valida todo 2014.

Enero 2015 V3.0 de obligado cumplimiento.

Julio 2015 Se requiere el cumplimiento de los nuevos controles, identificados como buenas prácticas.

PwC

La versión publicada recientemente por el PCI Security Standard Council (SSC) es la versión con modificaciones más relevantes:

El impacto podría valorarse en aprox. un 31% de cambio en relación a la versión 2.0

Siguen siendo 12 capítulos. Los capítulos 8 y 11 son los que tienen un mayor impacto de cambio en la nueva versión.

Slide 27



PCI-DSS v1.2 PCI-DSS v3.0 PCI-DSS v2.0

Nº pág. 73 /Nº cont. 180 Nº pág. 85 /Nº cont. 288 Nº pág. 112/Nº cont. aprox.379

Impacto mínimo. Aunque el nº de controles se

incrementó considerablemente no se requería ninguna evaluación adicional a las ya existentes. Por lo que el cambio no fue relevante.

Impacto relevante Cambios que impactan en el cumplimiento de los

controles ya definidos y nuevos requerimientos.

De los 90 controles considerados nuevos. 20 son nuevos controles y 60 son aclaraciones de controles ya existentes.

Se han añadido las guías suprimiendo el Navigation.

PwC 28



El capítulo 8 ha cambiado su nombre

PwC

Extracto resumen por capítulo de las principales diferencias entre la versión 2.0 y la v3.0 publicada por el PCI SSC.

5. PCI-DSS V3.0

Capítulo Diferencias entre V2.0 y V3.0 Grado de esfuerzo /Impacto

1 Se definen aclaraciones sobre controles ya existentes y se añade un nuevo requisito que consiste en realizar la comprobación de los diagramas de los flujos de datos de tarjetas.

Medio

2 Se definen aclaraciones sobre controles ya existentes y se añade un nuevo requisito que consiste en mantener un inventario de los componentes hardware y software en alcance PCI.

Medio

3 No se identifican nuevos controles. Sin embargo si que existen un número elevado de aclaraciones sobre controles existentes.

Bajo

4 No se identifican nuevos controles. Sólo se realiza una aclaración. Muy bajo

5 Se requiere un par de nuevos controles, relacionados con la configuración y la revisión periódica del antivirus.

Medio

6 Se definen numerosas aclaraciones sobre controles ya existentes. Nuevo control relacionado con la realización de pruebas de código orientadas a la autenticación y gestión de la sesión. (Efectivo Julio 2015).

Medio/alto

Fuente: PCI DSS Summary of Changes v2.0 to v3.0


PwC

5. PCI-DSS V3.0

Capítulo Diferencias entre V2.0 y V3.0 Grado de esfuerzo /Impacto

7 No se identifican nuevos controles. Sin embargo si que existen un número elevado de aclaraciones sobre controles existentes.

Bajo

8 Es uno de los capítulos más afectado por el cambio de versión. Como nuevo control se requiere que los proveedores que se conecten por acceso remoto, lo hagan con un único usuario por cliente. (Efectivo Julio 2015).

Alto

9 Incrementar controles físicos para personal cuando acceden a áreas sensibles. Nuevos requisitos para proteger los dispositivos que capturan pago datos de la tarjeta a través de la interacción física directa con la tarjeta de manipulación y sustitución.

Medio

10 Se incrementan dos nuevos controles relacionados con el registro de los logs de auditoría, por un lado se requiere que se registren el estado del log (activo, pausa, desactivado). Y por otro lado que se registren todos las elevaciones de cambios de privilegios.

Medio/alto

11 Es uno de los capítulos mas afectados por el cambio de versión. Afectan a la metodología de los test de penetración. Como nuevo control se requiere realizar test de penetración tanto fuera como dentro de la red de PCI. (Efectivo Julio 2015).

Alto

12 Se requiere que proveedores firmen su responsabilidad a cumplir con PCI. Medio


Fuente: PCI DSS Summary of Changes v2.0 to v3.0

PwC


31


Enfoques PCI-DSS

PwC

6. Enfoque PCI-DSS

32


Algunos enfoques que ayudan a entender y delimitar el cumplimiento del estándar PCI-DSS.

Identificación del ciclo de vida del PAN y resto de datos de tarjetas.

Restringir al mínimo el almacenamiento del PAN.

Reducir el alcance PCI: En muchos entornos, todos los recursos se encuentran en una misma red interconectada (red plana).

La segmentación: es el método recomendado para aislar parte de la red o “segmentos” incluidos en el alcance PCI y reducir el impacto de cumplimiento en la Entidad. Complicado en determinadas compañías y sectores.

PwC

6. Enfoque PCI-DSS

33


PCI-DSS, no prohíbe el uso del número de tarjeta, sin embargo recomienda las siguientes pautas a elegir:

Finalmente donde se almace el PAN se debe de utilizar:

Cifrado.

Truncamiento (irreversible).

Hash (irreversible): permite búsqueda de un PAN conocido.

Tokenización: Se sustituye el PAN por otro número (token). Debería cumplir el algoritmo de Luhn (código de control).

La tokenización permite sacar del alcance de PCI aquellos sistemas que sólo tengan acceso al token (no se puede relacionar con el PAN original).

PwC

6. Enfoque PCI-DSS

34


El estándar PCI-DSS exige verificaciones técnicas de seguridad:

Test de penetración. Periodicidad anual

Escaneos ASV (Approved Scanning Vendors). Periodicidad trimestral.

Escaneos de vulnerabilidades internas. Periodicidad trimestral.

Escaneos inalámbricos. Periodicidad trimestral.

PwC

6. Enfoque PCI-DSS

35


Algunas alternativas disponibles complementarias para reducir el cumplimiento del estándar PCI-DSS en comercios.

EMV (Europay, Mastercard and VISA). Si el comercio realiza más del 95% de sus transacciones se puede justificar la adaptación a PCI-DSS al no procesar localmente datos de tarjeta.

SNCP (Sistema Nacional de Cifrado de Pista). El uso de SNCP reduce el cumplimiento del estándar PCI-DSS.

Utilizar proveedores certificados y registrados en VISA y Mastercard. Tanto VISA como Mastercard disponen de listados de proveedores actualizados. (https://www.visamerchantagentslist.com/ y http://www.mastercard.com/us/company/en/whatwedo/compliant_providers.html ).

PwC


36


Conclusiones PCI-DSS

PwC

7. Conclusiones PCI-DSS

37


Los sectores más afectados por el cumplimiento del estándar PCI son banca, e-commerce, telco, retail, líneas aéreas, cadenas hoteleras y resto de sectores debido a que las entidades financieras deben reportar a las marcas el estado de cumplimiento de las empresas de dichos sectores.

PCI- DSS es el estándar más conocido de la familia, pero existen otros estándares que también se deben cumplir como PA-DSS, p2pE, PTS, etc.

PCI-DSS es uno de los estándares más exigentes del mercado y que requiere una plan de adecuación al estándar específico.

PCI-DSS aumenta la seguridad de los sistemas donde se almacenan datos de tarjetas reduciendo las posibilidades de sufrir compromisos (robo de información de tarjetas), pero no reduce el fraude.

PwC

7. Conclusiones PCI-DSS

38


Uno de los errores más frecuente es enfrentarse “sólo” a estos estándares. Se recomienda contar con personal cualificado que conozca el estado del arte.

Para el éxito del proyecto en una organización debe realizarse un enfrentamiento coral (asesoría jurídica, medios de pago, recursos humanos, desarrollo, tecnología, seguridad, etc), similar a la LOPD. Y todos deben actuar sincronizados y con una voz única.

Y después de todo esto, ¿inversión o un coste?

PwC 39

GRACIAS!!!

Puedes contactarme en:

[email protected]. Director Riesgos Tecnológicos PwC.


mailto:[email protected]

PwC

¿preguntas?

40


Auditoría de vulnerabilidades de Seguridad³n...PwC 13 Gestión de Riesgos de Compliance en medios...

Documents

Transcript of Auditoría de vulnerabilidades de Seguridad³n...PwC 13 Gestión de Riesgos de Compliance en medios...