be aware webinar - consideraciones más importantes para cumplir con pci
TRANSCRIPT
¿Cómo ayudan las soluciones de Symantec al Cumplimiento con PCI?
Jazmin Rodriguez Garcia
PM&Solutions Specialist
Rafael Aguilera Zubiaga
Solution SE
Acerca de Nuestros Presentadores
Copyright © 2015 Symantec Corporation
Rafael Aguilera ZubiagaSolution Systems Engineer
• Ingeniero con +15 anos de experiencia en áreas de consultoría de proyectos de seguridad en distintos fabricantes e integradores
• En Symantec forma parte del team de Ingenieros de Sistemas que apoya el desarrollo de soluciones para clientes Finales
Jazmin Rodriguez GarcíaProject Manager & Solutions Specialist
- 10 años de experiencia en Seguridad de la Información- 4 años en Symantec- Especialista en Soluciones de Seguridad y Cumplimiento así como en la gestión de proyectos de Seguridad de la Información- Parte del equipo de Consultoría
2
PCI 3.1| Descripción general de alto nivel
3
Item Descripción
Desarrolle y mantenga redes y sistemas seguros
1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.2. No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
Proteger los datos del titular de la tarjeta
3. Proteja los datos del titular de la tarjeta que fueron almacenados4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
Mantener un programa de administración de vulnerabilidades
5. Utilizar y actualizar con regularidad los programas contra malware y/o software antivirus6. Desarrolle y mantenga sistemas y aplicaciones seguras
Implementar medidas solidas de control de acceso
7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa8. Identifique y autentique el acceso a los componentes del sistema9. Restringir el acceso físico a los datos del titular de la tarjeta
Supervisar y evaluar las redes con regularidad
10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas11. Pruebe con regularidad los sistemas y procesos de seguridad
Mantener una política de seguridad de la información
12. Mantenga una política que aborde la seguridad de la información para todo el personal
Copyright © 2015 Symantec Corporation
PCI 3.1| Cambios mas notables de la versión 3.0 a la 3.1
4
• Todas las versiones de SSL y versiones anteriores de TLS (1.0 y algunasveces la 1.1) dejan de ser consideradas como “criptografía fuerte”(strong cryptography), lo cual impacta directamente a losrequerimientos 2.2.3, 2.3 y 4.1 de PCI DSS
Copyright © 2015 Symantec Corporation
PCI 3.1| Cambios mas notables de la versión 3.0 a la 3.1
5
• La fecha máxima hasta la cual SSL y versiones anteriores de TLS dejaránde ser considerados controles de seguridad será el 30 de junio 2016.
Copyright © 2015 Symantec Corporation
PCI 3.1| Cambios mas notables de la versión 3.0 a la 3.1
6
• Cualquier nueva implementación de PCI DSS deberá emplearalternativas seguras a SSL y versiones anteriores de TLS.
Copyright © 2015 Symantec Corporation
PCI 3.1| Cambios mas notables de la versión 3.0 a la 3.1
7
• Las empresas que actualmente cuenten con infraestructura quesoporte SSL y versiones anteriores de TLS deberán definir un plan demitigación de riesgo y de migración.
Copyright © 2015 Symantec Corporation
PCI 3.1| Cambios mas notables de la versión 3.0 a la 3.1
8
• Debido a que el plazo máximo para dejar de usar SSL y versionesanteriores de TLS expira el 30 de junio de 2016, aquellas organizacionesque requieren la ejecución de escaneos ASV podrán gestionar lasvulnerabilidades asociadas a estos protocolos como excepcionesmediante la presentación tanto del plan de mitigación de riesgo comodel plan de migración, conforme con el programa de PCI SSC ASV.
Copyright © 2015 Symantec Corporation
PCI 3.1| Cambios mas notables de la versión 3.0 a la 3.1
9
• Los dispositivos POS (Point of Sale – Terminal de Punto de Venta (TPV))/ POI (Point of interaction – Punto de Interacción, como lectores debanda magnética o chip que le permiten al usuario realizar unacompra) que pueden ser verificados como no susceptibles a todos losexploits para SSL y versiones anteriores de TLS, pueden seguir usandoestos protocolos como control de seguridad después del 30 de junio de2016.
Copyright © 2015 Symantec Corporation
Copyright © 2015 Symantec Corporation10
SYMANTEC
Requerimientos PCI-DSS v3 .1
Sym
ante
c C
on
tro
l C
om
plia
nce
Su
ite
Sym
ante
c D
ata
Loss
P
reve
nti
on
Sym
ante
c D
ata
Cen
ter
Secu
rity
-Se
rve
r A
dva
nce
d
Sym
ante
c En
dp
oin
t En
cryp
tio
n
ATP
Sym
ante
c M
anag
ed
Secu
rity
Ser
vice
s
Sym
ante
c P
rote
ctio
n
Suit
e En
terp
rise
Ed
itio
n
Sym
ante
c M
ob
ility
Su
ite
Val
idat
ion
an
d ID
P
rote
ctio
n S
ervi
ce
Sym
ante
c IT
MS
SSL
Cer
tifi
cate
Dee
p-s
igh
t
Sym
ante
c C
MD
B
Sym
ante
c C
on
sult
ing
Serv
ice
s
1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
o • • • • •2. No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores • • • •3. Proteja los datos del titular de la tarjeta que fueron almacenados o • • • •4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
o • • o • •5. Utilizar y actualizar con regularidad los programas contra malware y/o software antivirus
o • • • • •
6. Desarrolle y mantenga sistemas y aplicaciones seguras • • o • • • •7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa • • •
8. Identifique y autentique el acceso a los componentes del sistema • • •
9. Restringir el acceso físico a los datos del titular de la tarjeta • o •10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
o • • o •
11. Pruebe con regularidad los sistemas y procesos de seguridad o • • • •12. Mantenga una política que aborde la seguridad de la información para todo el personal • •
PCI 3.1| Symantec
Enfoque de Symantec al GRC TI
Copyright © 2015 Symantec Corporation11
Copyright © 2015 Symantec Corporation12
Symantec Control Compliance Suite| Visión General
Copyright © 2015 Symantec Corporation13
Symantec Control Compliance Suite| InfraestructuraRecolección y administración de evidencia centralizada. . .
Copyright © 2015 Symantec Corporation14
Symantec Control Compliance Suite| InfraestructuraReportes basados en seguridad, cumplimiento y una postura de riesgo. . .
Copyright © 2015 Symantec Corporation15
Symantec Control Compliance Suite| InfraestructuraDescubrimiento de Inventario & Evaluación Continua de Parámetros de Seguridad Configurables. . .
Copyright © 2015 Symantec Corporation16
Symantec Control Compliance Suite| Risk ManagerAlinea las Operaciones de IT y las Prioridades de Seguridad
Copyright © 2015 Symantec Corporation17
Symantec Control Compliance Suite| Assessment ManagerEvaluación y Reportes de Procedimientos de Control
Copyright © 2015 Symantec Corporation18
Symantec Control Compliance Suite| Policy ManagerAutomatizar la Definición de Políticas y Ciclo de Vida de la Administración
Copyright © 2015 Symantec Corporation19
Symantec Control Compliance Suite| Vendor Risk ManagerEvaluación Continua & Administración de Riesgos de Seguridad en la Información e Infraestructura de la Cadena de Distribución.
Copyright © 2015 Symantec Corporation20
Symantec Control Compliance Suite| Tableros de Control Dinámicos
Copyright © 2015 Symantec Corporation21
Symantec Control Compliance Suite| Medición del Nivel de Riesgo
Copyright © 2015 Symantec Corporation22
Symantec Control Compliance Suite| Tablero de Remediación
Próximo Webinar BE AWARE de Symantec LATAM
Copyright © 2015 Symantec Corporation24
10:00 amCosta Rica, El Salvador, Guatemala,
Honduras , México y Nicaragua
11:00 am Colombia, Ecuador, Panamá y Perú
11:30 am Venezuela
12:00 pm Puerto Rico y República Dominicana
1:00 pmArgentina, Chile
y Uruguay
¿La seguridad del correo electrónico
sigue siendonecesaria?
Para mas información
@SymantecLatam
Symantec Latam
¡Gracias!
Copyright © 2016 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Copyright © 2015 Symantec Corporation 25