PCI DSSPayment Card Industry Data Security Standard

Contenido

1. Explicar los principales conceptos sobre PCI DSS.

2. Identificar a los principales actores que intervienen en los

procesos de pago con tarjetas y explicar las funciones y

obligaciones de cada uno de ellos.

3. Los 12 Requisitos de PCI DSS.

4. PCI DSS y el Proceso Continuo.

5. PCI DSS y el Ciclo de Vida de Desarrollo de Software.

6. Resumen.

1. Principales Conceptos sobre PCI DSS

PCI SSC (Security Standards Council) es el Consejo de Normas de

Seguridad de la Industria de Tarjeta de Pago, formado en 2006 por

las principales compañías emisoras de tarjetas de crédito:

PCI DSS es un Estándar de seguridad que aplica a todas las

entidades que participan en los procesos de las tarjetas de pago

compuesto por 6 objetivos de control y 12 requisitos para

Gestionar la Seguridad.

“El objetivo es definir medidas de protección para las

infraestructuras que intervienen en el tratamiento, procesado

o almacenamiento de información de tarjetas de pago”

2. Actores que intervienen en los procesos de

pago con tarjetas y sus funciones

Adquirientes: (Entidades financieras), son las entidades con las que tiene relación el comercio en el que hacemos el pago de algún bien o servicio.

Emisores: (Entidades financieras), son las entidades con las que se ha emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos el importe de la compra realizada en nuestra cuenta.

Comercios: (super/hipermercados, e-commerce, agencias de viaje, etc.), es la entidad a la que le pagamos algún tipo de bien o servicio por medio de nuestra tarjeta de crédito o débito.

Procesadores de Pago: son entidades que prestan servicios de autorización de pago y su posterior regularización, facilitando el intercambio de información entre el adquiriente y el emisor.

Información existente en las tarjetas

Aplicación de los Requisitos de PCI DSS

Los requisitos de PCI DSS aplican a todos los componentes del sistema.

Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno

de los datos de tarjetas o que esté conectado a éste.

El entorno de los datos de tarjetas consta de personas, procesos y tecnología que

almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación.

3. Los 12 requisitos de PCI DSS

Aplicación de los requisitos al entorno PCI DSS

Cortafuegos (control de tráfico, DMZ, aislamiento).

Hardening de sistemas (modificar configuraciones por defecto de fábrica, segregación de servicios).

Protección de datos almacenados (cifrado/ofuscación del PAN, gestión de claves).

Transmisión cifrada de datos en redes públicas e inalámbricas.

Antivirus y Antimalware.

Aplicaciones seguras (desarrollo seguro e implementar la seguridad en todo el ciclo de vida, actualización de componentes).

Control de acceso (gestión de usuarios y privilegios).

Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas).

Control de acceso físico (ID, cámaras, registros o bitácoras).

Monitorización accesos/pistas de auditoría (registros, revisiones).

Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas de penetración de red y aplicaciones, IDS/IPS, software integridad de

archivos críticos.

Políticas, procedimientos de seguridad, gestión de riesgos, concientización, gestión de proveedores, contratos, gestión de incidentes.

Aplicación de los requisitos al entorno PCI DSS

4. PCI DSS y el Proceso Continuo (PDCA)

• Monitorear eventos

• Revisar la Política de Seguridad y Riesgos

• Realizar Auditorias

• Ejecutar Escaneos ASV

• Acciones para corregir el NO Cumplimiento

• Prevenir Incidentes.

• Reducción del Entorno

• Implementación de Controles

• Formación y Divulgación

• Validación del Cumplimiento

• Identificar el Entorno

• Identificar Datos Sensibles

• Análisis GAP

• Plan de AcciónPlanificar (PLAN)

Implementar (DO)

Revisar (CHECK)

Actuar (ACT)

5. PCI DSS y el Ciclo de Vida de Desarrollo de

Software

Uno de los recursos mas importantes que se debe asegurar son las

aplicaciones, ya que los atacantes no crean agujeros de seguridad,

solo las explotan.

Las causas de los problemas de seguridad en aplicaciones son el

resultado de un mal diseño y una mala implementación.

Si una aplicación no está desarrollada adecuadamente, seguirán

existiendo problemas de:

Fiabilidad

Disponibilidad

Criticidad

Seguridad

Ciclo de Vida de Desarrollo

Definición y Diseño

Desarrollo DespliegueMantenimie

nto y Operación

A lo largo del ciclo de vida, se cuenta con un procedimiento de

control y gestión de cambios.

La Seguridad debe estar presente en todo el Ciclo de Vida de

Desarrollo

SEGURIDAD

Ámbito de actuación:

Identificación de las áreas de seguridad de la aplicación.

Consideraciones de seguridad en el diseño.

Requisitos funcionales de seguridad.

Aspecto a tener en cuenta:

Principios de Seguridad: minimizar el área de exposición, no

confiar en sistemas externos, etc.

Requisitos de Seguridad: gestión de errores, criptografía,

autenticación y autorización, registros de auditoría, etc.

Políticas y Procedimientos: políticas de contraseñas, políticas de

copias de seguridad, procedimientos de programación segura, etc.

Definición y Diseño

En esta fase aparecen un mayor número de fallos de seguridad.

Para realizar una codificación segura es necesario conocer las

amenazas con las que nos podemos encontrar y las buenas

prácticas para minimizarlas:

Clasificación de Amenazas: ataques de fuerza bruta, revelación de

información, deficiencias lógicas, autenticación insuficiente, etc.

Buenas Prácticas: autenticación y autorización, validación de datos,

gestión de sesiones, gestión de errores, configuraciones, etc.

Desarrollo

En esta fase la aplicación debe haber contemplado todas las

posibles deficiencias de seguridad mediante la comprobación

de requisitos, análisis del diseño, revisión del código, etc.

Se debe tomar en cuenta lo siguiente:

Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito

de un posible ataque, detectando vulnerabilidades que no hayan sido

contempladas anteriormente.

Comprobación de la Gestión de Configuraciones: Es necesario

verificar como se han implementado y asegurado los distintos

componentes de la infraestructura.

Despliegue

Luego de la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido.

Se debe tomar en cuenta lo siguiente:

Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deben realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.

Asegurar la Verificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado el nivel de seguridad de la aplicación y la infraestructura.

Mantenimiento y Operación

PCI DSS y el Ciclo de Vida de Desarrollo

Instalación y Mantenimiento de Sistemas de Información

Securización de sistemas de información. (Req.6.1)

Protección de los datos y las comunicaciones

Identificación y eliminación de datos sensibles (CVV2,

Pistas,…). (Req.3)

Protección de bases de datos mediante cifrado. (Req.3)

Seguridad en el Ciclo de Vida del Desarrollo de Software

Auditoría de aplicación, Revisión de código, Guía de buenas

prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)

PCI DSS y el Ciclo de Vida de Desarrollo

Control de Acceso

Control de Acceso al Sistema Operativo, Red, Bases de Datos y

Aplicaciones. (Req.7 y 8)

Revisión y Test de intrusión

Test de intrusión interno y externo (escanear las aplicaciones). (Req.11)

Restricciones sobre el almacenamiento y

requisitos de proteger y cifrar

OWASP y su aporte a PCI DSS

OWASP es un proyecto abierto de seguridad de aplicaciones web, dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Está formada por empresas, organizaciones educativas y particulares de todo el mundo.

En PCI DSS se nombra a OWASP en el cumplimiento del requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores prácticas de codificación segura”.

Recursos de OWASP: Owasp Development Guide OWASP Top 10 OWASP Testing Guide OWASP Code Review Guide OWASP ZAP

6. Resumen

PCI DSS debe cumplirse Si se procesa, almacena o transmite datos de tarjetas.

La implantación debe pensarse como un proceso Definir procesos. Asignar recursos. Comprometer a la dirección. Monitorizar y Revisar. Integrar PCI DSS en la gestión de la seguridad de la compañía.

Contar con el apoyo de expertos Asesorase con un QSA. Realizar auditorías con empresas ASV.

Gracias