sr, tenemos una dia%. nuestras manos,cybsec.com/upload/seminario_cybsec_pci.pdfintroducción pablo...

Sr, Tenemos una nueva misión imposible: Debemos implementar PCI en Dia%.

Déjelo en nuestras manos, el equipo de Sistemas podrásolucionarlo.

Seminario: Tendencias de la seguridad de la Información

2008

Pablo Benitez<pablo.benitez@carrefour.com>

Implementando medidas para cumplimiento con PCI.

Introducción

Pablo BenitezJefe Microinformática

Lider de Proyecto PCI Compliance – Pago Online.

Dia Argentina:Empresa de Supermercadismo Hard Discount.

400 Locales operando Tarjetas mediante Pos.

Proyecto: Implementar Pago Online cumpliendo PCI.

¿Qué es PCI?

El PCI Security Standards Council (PCI-DSS) es un organismo internacional que regula la industria de las tarjetas de pago.

Se creó en 2006, soportado por las principales empresas de tarjetas de crédito y débito (Visa, MasterCard, American Express, Discover, JCB).

Define el standard “PCI-DSS” al que todos los comercios, emisores y adquirentes deben adecuarse.

Payment Card Industry

¿Por qué DIA debe certificar Compliance?

El Standard PCI especifica diferentes niveles de cumplimiento según el tipo de negocio y el volumen de transacción.

Ibamos a comenzar de cero a operar Online con Tarjetas de Crédito.

Dadas las características de nuestro negocio y la cantidad de locales fuimos clasificados como “Tier 1”.

Por este motivo todas las autorizadoras nos exigieron Homologar PCI con una consultora Certifificada.

Uhh! Entramos en PCI %$#% !!!

El estado inicial

Inicialmente era algo abstracto .

No sabíamos cuan alejados estábamos del Standard.

Intuíamos que muy lejos…

Por este motivo decimos hacer un GAP Analisis.

che qué es PCI… ? Ehhh no se….!

Análisis de Gap

Se decidió contratar a CYBSEC para el asesoramiento en el proceso de cumplimiento con el standard PCI-DSS.

Se comenzó con un análisis de Gap para determinar la brecha entre el estado inicial y el requerido para la aprobación por parte de las tarjetas.

¿De donde venimos… y hacia donde vamos?

Análisis de Gap

Se identificaron las áreas de incumplimiento y se categorizaron las mismas según su criticidad.

En el caso de DIA, las áreas a mejorar fueron las siguientes: Definición de roles y responsabilidades

Adquisición de Hardware y Software.

Definición de Normas y Procedimientos

Concientización del Personal en Seguridad de la Información

Acceso Físico y Seguridad.

Descubriendo los agujeros negros…

El proceso de regularizaciónDesde el ingreso al edificio hasta ………..

Parsing de Logs

Camaras de Seguridad

Nuevos Requerimientos en la Toma de PersonalSoftware de Encripción

Legitimación de Normas y ProcedimientosFirewalls/IDS/IPS

Test de Seguridad periódicosCapacitaciones en Seguridad para el PersonalAnalizadores Wireless

Definición de aplicación de cambiosResponsables para todos los procesos PCICentralizador de Logs

Definición de respuesta ante incidentesDefinición de Normas y ProcedimientosTarjetas de identificación

Análisis de Logs diariamenteDefinición de un Responsable de SeguridadDispositivos Biométricos

Procesos ImplementadosCambios OrganizacionalesNuevas Herramientas

La auditoría “On-Site” de CYBSEC

La Auditoría On Site, fue realizada por CYBSEC en su carácter de Qualified Security Assessor (QSA).

No hubo mayores inconvenientes.

Se armó un planning detallado de la auditoría para facilitar el proceso y así tener a disposición todo lo requerido por el Auditor.

Se regularizó casi el 100% de los puntos encontrados en el Gap Analisis.

Llegó la hora de la verdad

La aprobación de las operadoras

Se presentó el Informe Final a las Autorizadoras.

No hubo inconvenientes.

OK para salir en Producción !!

El último paso: “La lucha Final”

¿Cómo sacar provecho de PCI?

Intentar hacer extensivo los procedimientos a todo IT.

Aprovechar para lograr autorizaciones de compras necesarias.

Implementación de controles Organizacionales pendientes de larga data.

Regularización de normas y procedimientos internos.

Mejoras en la seguridad física de la compañía.

Me autorizas el gasto para…?

Conclusiones

El análisis de Gap permitió establecer con claridad la brecha entre el estado inicial y el requerido para la aprobación.

La regularización de proceso como elemento positivo y extensivo.

El proceso de regularización es complejo pero no es imposible.

Se pueden implementar soluciones de bajo costo.

Lo logramos…

Pablo Benitez<pablo.benitez@carrefour.com>

Muchas gracias