experiencias pa dss: aplicaciones de pago
DESCRIPTION
Raúl Reca de Indra detalló en esta presentación la experiencia de su compañia en la implantación de la normativa PA DSS tanto en sus aplicaciones de pago como en sus sistemas de venta de tickets (TVM).TRANSCRIPT
1
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
EXPERIENCIAS PA-DSS:
APLICACIONES DE PAGO
RAÚL RECA FERNÁNDEZ RESP. DE MÁQUINAS DE AUTOVENTA
INDRA SISTEMAS S.A.
2
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
2
Índice
• Indra:
– Quienes somos.
– Oferta y principales clientes
– Transporte & Tráfico
• Experiencia PA-DSS
– Introducción
– Ticket Vending Machine
– Aplicación de pago bancario
– Sistema operativo
– Metodología de trabajo
– Facilidades
logo ponente
3
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
3
Quiénes somos
• Multinacional de TI
número 1 en España y una de las
principales de Europa y
Latinoamérica
• 2.513 M€ en ventas
• 30.000 profesionales
• 106 países
• 500 M€ invertidos en I+D+i en tres
años
Indra
4
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
4
Oferta y principales clientes
11%
Te
leco
m y
Me
dia
13%
Se
rvic
ios fin
an
cie
ros
14%
AA
.PP. y S
an
ida
d
15%
En
erg
ía e
In
du
str
ia
20%
Tra
nsp
ort
e y
Trá
fico
27% S
eguridad y
Defe
nsa
Indra
5
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
5
Transporte & Tráfico
Más de 1.200 instalaciones de gestión de tráfico aéreo en 90 países
AENA,
Eurocontrol,
Capital Metro
(Austin),
Iberia,
Aerolíneas
Argentinas,
Metros de Madrid,
Valencia,
Maracaibo,
Shanghai, Lisboa,
Metro Link (StLouis)
Santiago de Chile,
Valparaiso,
Renfe,
ADIF,
FEVE,
DGT,
Iberpistas,
Ferrocarriles de la
Generalitat de
Catalunya (FGC),
Ferrocarriles de la
Generalitat
Valenciana (FGV),
Metro Mombai,
Delhi airpor
express,
Principales clientes
Empresa de
Ferrocarriles de
Chile (EFE),
Transporte
Metropolitano de
Barcelona (TMB),
Empresa Municipal
de Transportes de
Madrid (EMT),
Consorcio de
Transporte de
Asturias (CTA)
Gestión de tráfico aéreo (ATM) y
aeropuertos
Gestión de infraestructuras y operadores de
transporte
Ticketing y sistemas ferroviarios
Control de tráfico y peajes
Gestión de tráfico marítimo y puertos
Outsourcing
Oferta
Más de 100 ciudades de todo el mundo confían la gestión, seguridad y
desarrollo de sus redes de transporte público a Indra
Indra
6
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
6
• Clientes en EEUU – Metro Link (Stlouis)
– Capital Metro (Austin)
• Productos – Ticket Vending Machine (TVM)
– Sales office terminal (SOT)
Introducción Experiencia PA-DSS
7
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
7
Ticket Vending Machine (TVM)
• Sistema complejo: – Múltiples funcionalidades a demás del pago bancario.
• Sistema cambiante: – Mejoras y correcciones constantes.
• Sistema desatendido
Experiencia PA-DSS
8
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
8
• Funcionalidad de pago bancario aislada
– Autonomía de ejecución.
– Parámetros propios.
– Versionado independiente.
• Comprobación de integridad mediante CRC
– Nos protege frente a alteraciones de la aplicación por agentes mal intencionados.
Aplicación de pago bancario Experiencia PA-DSS
9
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
9
Sistema operativo
Experiencia PA-DSS
• Problemática sistema desatendido:
– Inicio automático de sesión
– Deshabilitar actualizaciones automáticas
– Desactivar el salvapantallas
– Eliminar la caducidad del password
• Guía de implementación: Derivamos la responsabilidad de las acciones anteriores al cliente mediante una guía con medidas a aplicar.
10
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
10
Sistema operativo
Experiencia PA-DSS
• Problemas derivados de la seguridad:
– Antivirus: Afecta al rendimiento de la aplicación.
– Firewall: Limita comunicaciones.
– Usuario con privilegios limitados: Limita funciones de la aplicación.
– SFTP: Afecta a productos ajenos a la certificación.
11
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
11
Metodología de trabajo
• Control de versiones – Ampliar información en informes de versionado
• Revisiones de código – Adaptación de Procesos de revisión a los métodos de
programación segura.
• Plan de pruebas – Inclusión de pruebas de seguridad informática
• Jerarquización – Definir claramente el rol de cada actor que interviene en
el proyecto.
Experiencia PA-DSS
12
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
12
Facilidades
Requerimientos Reducidos debido a: – Se evita almacenar en disco cualquier información de la
tarjeta bancaria.
– Centro autorizador y TVM en la misma red privada.
– No ser una aplicación Web.
– La integración de los equipos se realiza por Indra.
Experiencia PA-DSS
13
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
GRACIAS