Lic. Pablo G. Milanocybsec.com/upload/Segurinfo_2012_Pablo_Milano.pdf · • Guía de instalación...
Transcript of Lic. Pablo G. Milanocybsec.com/upload/Segurinfo_2012_Pablo_Milano.pdf · • Guía de instalación...
Lic. Pablo G. MilanoCISSP / QSA / PA-QSA
Presentada por:
Aclaración:
©© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda
• ¿Qué es PCI?
• ¿Quiénes tienen que cumplir?
• Experiencias prácticas en auditorias PCI DSS
• Experiencias prácticas en auditorias PCI PA-DSS
• Verificaciones técnicas periódicas de seguridad
• Preguntas y respuestas
4
¿¿Que es PCI?Que es PCI?
5
Payment Card Industry Security Standards Council (PCI SSC)
• Organismo formado en 2006
• Define standards de seguridad para pago electrónico con tarjetas
• Certifica auditores oficiales (QSA / PA-QSA)
• Coordina esfuerzos de las diferentes tarjetas, en materia de seguridad
Standards de PCIStandards de PCI
6
Fuente: www.pcisecuritystandards.org
¿¿QuiQui éénes tienen que cumplir?nes tienen que cumplir?
• Comercios
• Procesadores
• Gateways de pagos
• Proveedores de servicio
• Software vendors
DSSDSS
PAPA--DSSDSS
• Auditor oficial: QSA
• Se demuestra cumplimiento a “la instancia superior”
• Auditor oficial: PA-QSA
• Se demuestra cumplimiento a l PCI-SSC
PCI DSS PCI DSS –– RequerimientosRequerimientos
8
El standard PCI DSS tiene 12 categorías de requerimientos, que abarcan desde controles
técnicos hasta normativas y procedimientos. Estos requerimientos incluyen:
Protección a
nivel de red
Proteccíón de datos
almacenados y
transmitidos
Antivirus y
administración de
parches
Administración de
usuarios y clavesSeguridad física
Controles
periódicos
Normas y
procedimientos
PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas
9
Las 5 etapas del “dolor” de PCI
Negacion:Negacion: “Yo no necesito cumplir con PCI”
El compliance con PCI es obligatorio
Ira:Ira: “No es justo!”
PCI aplica a todos los players del mercado
Negociacion:Negociacion: “Ok, pero solo cumpliré con una parte…”
Se debe cumplir con todos los requisitos
DepresiDepresióón:n: ”Nunca voy a lograr cumplir con PCI”
Muchas compañías ya lo han logrado
AceptaciAceptacióón:n: ”Está bien, avancemos”
PCI no incluye ninguna cosa extraña ni nuevos conceptos
1
2
3
4
5
PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas
10
Dificultades más habituales en los clientes
• Documentación inexistente, incompleta o desactualizada. Falta
de seguimiento de la misma.
• Desconocimiento del alcance del estándar y las actividades a
realizar. Se piensa que PCI es un proyecto de IT y es un proyecto
del negocio.
• Manejo del PAN y otros datos de tarjeta. Almacenamiento y
procesamiento del mismo.
• Falta de monitoreos sobre los equipos involucrados.
PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas
11
Dificultades más habituales en los clientes (cont.)
• No hay concientización del personal relacionado con el
ambiente de tarjetas
• Dificultad de extensión de cumplimiento de PCI a proveedores
• Complejidad de cumplimiento de cuestiones técnicas en
entornos propietarios
• Falta de personal para tareas operativas de seguridad
PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas
12
Casos Especiales
Un procesador de pagos, utilizaba el número de tarjeta como
“primary key” en muchas de las tablas de sus bases de datos.
Una organización implementó un software de DLP. El servidor
de dicha herramienta se transformó en un repositorio de datos
de tarjeta.
Los visitadores comerciales de una empresa, llenan en una ficha
de papel los datos de tarjeta, incluyendo el código de
seguridad.
PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas
13
Recomendaciones generales
• Análisis de los requerimientos reales de
negocio para almacenamiento de ciertos
datos de tarjetas
• Segmentación de la red
• Optimización del alcance de PCI
• Formalización “accesible” de procedimientos
PCI PA DSS PCI PA DSS –– RequerimientosRequerimientos
14
El standard PCI PA-DSS tiene 13 categorías de requerimientos, que abarcan desde pruebas
técnicas al software, hasta requisitos de seguridad en el proceso de desarrollo de software,
incluyendo:
Protección de datos
transmitidos
Restricción y
proteccíón de datos
almacenados
Registros de
auditoría y loggingProcedimientos de
desarrollo seguroPruebas de seguridad a
la aplicación
Guia de
implementación (IG)
PA DSS PA DSS –– Experiencias prExperiencias pr áácticascticas
15
Dificultades más habituales en los clientes
• Alto nivel de conocimientos técnicos, pero baja formalidad en
cuanto a procesos y procedimientos.
• Guía de instalación “emparchada”, escrita por programadores y
con muchos supuestos de conocimiento interno.
• No hay testing de seguridad, control de cambios ni revisión de
código.
• Falta de correcto soporte para administración de claves de
encripción / KEK.
• Aplicaciones con vulnerabilidades.
PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas
16
Recomendaciones generales
• Formalización “accesible” de los
procedimientos de desarrollo.
• Implementación de verificaciones de
seguridad.
• Pautas para administración de claves de
encripción .
• Guia de Implementación orientada al
usuario final
Controles periControles peri óódicosdicos
17
PCI DSS requiere la realización de 5 tipos de verificaciones técnicas de seguridad
periódicas a la infraestructura de datos de tarjetas
Escaneo
externo ASV
PenTest
Externo
PenTest
Interno
Escaneo interno de
vulnerabilidades
Análisis de
redes
Wireless
Controles periControles peri óódicosdicos
18
No me aplican los escaneos
WiFi (no tengo redes
inalámbricas)
No llego a tiempo de remediar
resultados de escaneos en
el trimestre
Muchos “Falsos positivos” en
escaneos externos ASV.
PenTest interno: ¿Hay que ir
al Datacenter?
Complicaciones y dudas habituales
ConclusionesConclusiones
19
• PCI llegó para quedarse
• Cada negocio tiene sus particularidades
• Valor agregado para la organización
• Hasta ahora todos nuestros clientes
fueron casos de éxito
El cumplimiento es El cumplimiento es
posible!posible!
Gracias por asistir a esta sesión…
Para mayor información:
Lic. Pablo G. Milano
Para descargar esta presentación visite www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en