PCI DSS - Payment Card Industry Data Security Standard
-
Upload
alvaro-machaca-tola -
Category
Technology
-
view
75 -
download
5
Transcript of PCI DSS - Payment Card Industry Data Security Standard
PCI DSSPayment Card Industry Data Security Standard
Contenido
1. Explicar los principales conceptos sobre PCI DSS.
2. Identificar a los principales actores que intervienen en los
procesos de pago con tarjetas y explicar las funciones y
obligaciones de cada uno de ellos.
3. Los 12 Requisitos de PCI DSS.
4. PCI DSS y el Proceso Continuo.
5. PCI DSS y el Ciclo de Vida de Desarrollo de Software.
6. Resumen.
1. Principales Conceptos sobre PCI DSS
PCI SSC (Security Standards Council) es el Consejo de Normas de
Seguridad de la Industria de Tarjeta de Pago, formado en 2006 por
las principales compañías emisoras de tarjetas de crédito:
PCI DSS es un Estándar de seguridad que aplica a todas las
entidades que participan en los procesos de las tarjetas de pago
compuesto por 6 objetivos de control y 12 requisitos para
Gestionar la Seguridad.
“El objetivo es definir medidas de protección para las
infraestructuras que intervienen en el tratamiento, procesado
o almacenamiento de información de tarjetas de pago”
2. Actores que intervienen en los procesos de
pago con tarjetas y sus funciones
Adquirientes: (Entidades financieras), son las entidades con las que tiene relación el comercio en el que hacemos el pago de algún bien o servicio.
Emisores: (Entidades financieras), son las entidades con las que se ha emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos el importe de la compra realizada en nuestra cuenta.
Comercios: (super/hipermercados, e-commerce, agencias de viaje, etc.), es la entidad a la que le pagamos algún tipo de bien o servicio por medio de nuestra tarjeta de crédito o débito.
Procesadores de Pago: son entidades que prestan servicios de autorización de pago y su posterior regularización, facilitando el intercambio de información entre el adquiriente y el emisor.
Información existente en las tarjetas
Aplicación de los Requisitos de PCI DSS
Los requisitos de PCI DSS aplican a todos los componentes del sistema.
Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno
de los datos de tarjetas o que esté conectado a éste.
El entorno de los datos de tarjetas consta de personas, procesos y tecnología que
almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación.
3. Los 12 requisitos de PCI DSS
Aplicación de los requisitos al entorno PCI DSS
Cortafuegos (control de tráfico, DMZ, aislamiento).
Hardening de sistemas (modificar configuraciones por defecto de fábrica, segregación de servicios).
Protección de datos almacenados (cifrado/ofuscación del PAN, gestión de claves).
Transmisión cifrada de datos en redes públicas e inalámbricas.
Antivirus y Antimalware.
Aplicaciones seguras (desarrollo seguro e implementar la seguridad en todo el ciclo de vida, actualización de componentes).
Control de acceso (gestión de usuarios y privilegios).
Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas).
Control de acceso físico (ID, cámaras, registros o bitácoras).
Monitorización accesos/pistas de auditoría (registros, revisiones).
Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas de penetración de red y aplicaciones, IDS/IPS, software integridad de
archivos críticos.
Políticas, procedimientos de seguridad, gestión de riesgos, concientización, gestión de proveedores, contratos, gestión de incidentes.
Aplicación de los requisitos al entorno PCI DSS
4. PCI DSS y el Proceso Continuo (PDCA)
• Monitorear eventos
• Revisar la Política de Seguridad y Riesgos
• Realizar Auditorias
• Ejecutar Escaneos ASV
• Acciones para corregir el NO Cumplimiento
• Prevenir Incidentes.
• Reducción del Entorno
• Implementación de Controles
• Formación y Divulgación
• Validación del Cumplimiento
• Identificar el Entorno
• Identificar Datos Sensibles
• Análisis GAP
• Plan de AcciónPlanificar (PLAN)
Implementar (DO)
Revisar (CHECK)
Actuar (ACT)
5. PCI DSS y el Ciclo de Vida de Desarrollo de
Software
Uno de los recursos mas importantes que se debe asegurar son las
aplicaciones, ya que los atacantes no crean agujeros de seguridad,
solo las explotan.
Las causas de los problemas de seguridad en aplicaciones son el
resultado de un mal diseño y una mala implementación.
Si una aplicación no está desarrollada adecuadamente, seguirán
existiendo problemas de:
Fiabilidad
Disponibilidad
Criticidad
Seguridad
Ciclo de Vida de Desarrollo
Definición y Diseño
Desarrollo DespliegueMantenimie
nto y Operación
A lo largo del ciclo de vida, se cuenta con un procedimiento de
control y gestión de cambios.
La Seguridad debe estar presente en todo el Ciclo de Vida de
Desarrollo
SEGURIDAD
Ámbito de actuación:
Identificación de las áreas de seguridad de la aplicación.
Consideraciones de seguridad en el diseño.
Requisitos funcionales de seguridad.
Aspecto a tener en cuenta:
Principios de Seguridad: minimizar el área de exposición, no
confiar en sistemas externos, etc.
Requisitos de Seguridad: gestión de errores, criptografía,
autenticación y autorización, registros de auditoría, etc.
Políticas y Procedimientos: políticas de contraseñas, políticas de
copias de seguridad, procedimientos de programación segura, etc.
Definición y Diseño
En esta fase aparecen un mayor número de fallos de seguridad.
Para realizar una codificación segura es necesario conocer las
amenazas con las que nos podemos encontrar y las buenas
prácticas para minimizarlas:
Clasificación de Amenazas: ataques de fuerza bruta, revelación de
información, deficiencias lógicas, autenticación insuficiente, etc.
Buenas Prácticas: autenticación y autorización, validación de datos,
gestión de sesiones, gestión de errores, configuraciones, etc.
Desarrollo
En esta fase la aplicación debe haber contemplado todas las
posibles deficiencias de seguridad mediante la comprobación
de requisitos, análisis del diseño, revisión del código, etc.
Se debe tomar en cuenta lo siguiente:
Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito
de un posible ataque, detectando vulnerabilidades que no hayan sido
contempladas anteriormente.
Comprobación de la Gestión de Configuraciones: Es necesario
verificar como se han implementado y asegurado los distintos
componentes de la infraestructura.
Despliegue
Luego de la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido.
Se debe tomar en cuenta lo siguiente:
Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deben realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.
Asegurar la Verificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado el nivel de seguridad de la aplicación y la infraestructura.
Mantenimiento y Operación
PCI DSS y el Ciclo de Vida de Desarrollo
Instalación y Mantenimiento de Sistemas de Información
Securización de sistemas de información. (Req.6.1)
Protección de los datos y las comunicaciones
Identificación y eliminación de datos sensibles (CVV2,
Pistas,…). (Req.3)
Protección de bases de datos mediante cifrado. (Req.3)
Seguridad en el Ciclo de Vida del Desarrollo de Software
Auditoría de aplicación, Revisión de código, Guía de buenas
prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)
PCI DSS y el Ciclo de Vida de Desarrollo
Control de Acceso
Control de Acceso al Sistema Operativo, Red, Bases de Datos y
Aplicaciones. (Req.7 y 8)
Revisión y Test de intrusión
Test de intrusión interno y externo (escanear las aplicaciones). (Req.11)
Restricciones sobre el almacenamiento y
requisitos de proteger y cifrar
OWASP y su aporte a PCI DSS
OWASP es un proyecto abierto de seguridad de aplicaciones web, dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Está formada por empresas, organizaciones educativas y particulares de todo el mundo.
En PCI DSS se nombra a OWASP en el cumplimiento del requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores prácticas de codificación segura”.
Recursos de OWASP: Owasp Development Guide OWASP Top 10 OWASP Testing Guide OWASP Code Review Guide OWASP ZAP
6. Resumen
PCI DSS debe cumplirse Si se procesa, almacena o transmite datos de tarjetas.
La implantación debe pensarse como un proceso Definir procesos. Asignar recursos. Comprometer a la dirección. Monitorizar y Revisar. Integrar PCI DSS en la gestión de la seguridad de la compañía.
Contar con el apoyo de expertos Asesorase con un QSA. Realizar auditorías con empresas ASV.
Gracias