Lic. Pablo G. MilanoCISSP / QSA / PA-QSA

Presentada por:

Aclaración:

©© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Agenda

• ¿Qué es PCI?

• ¿Quiénes tienen que cumplir?

• Experiencias prácticas en auditorias PCI DSS

• Experiencias prácticas en auditorias PCI PA-DSS

• Verificaciones técnicas periódicas de seguridad

• Preguntas y respuestas

4

¿¿Que es PCI?Que es PCI?

5

Payment Card Industry Security Standards Council (PCI SSC)

• Organismo formado en 2006

• Define standards de seguridad para pago electrónico con tarjetas

• Certifica auditores oficiales (QSA / PA-QSA)

• Coordina esfuerzos de las diferentes tarjetas, en materia de seguridad

Standards de PCIStandards de PCI

6

Fuente: www.pcisecuritystandards.org

¿¿QuiQui éénes tienen que cumplir?nes tienen que cumplir?

• Comercios

• Procesadores

• Gateways de pagos

• Proveedores de servicio

• Software vendors

DSSDSS

PAPA--DSSDSS

• Auditor oficial: QSA

• Se demuestra cumplimiento a “la instancia superior”

• Auditor oficial: PA-QSA

• Se demuestra cumplimiento a l PCI-SSC

PCI DSS PCI DSS –– RequerimientosRequerimientos

8

El standard PCI DSS tiene 12 categorías de requerimientos, que abarcan desde controles

técnicos hasta normativas y procedimientos. Estos requerimientos incluyen:

Protección a

nivel de red

Proteccíón de datos

almacenados y

transmitidos

Antivirus y

administración de

parches

Administración de

usuarios y clavesSeguridad física

Controles

periódicos

Normas y

procedimientos

PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas

9

Las 5 etapas del “dolor” de PCI

Negacion:Negacion: “Yo no necesito cumplir con PCI”

El compliance con PCI es obligatorio

Ira:Ira: “No es justo!”

PCI aplica a todos los players del mercado

Negociacion:Negociacion: “Ok, pero solo cumpliré con una parte…”

Se debe cumplir con todos los requisitos

DepresiDepresióón:n: ”Nunca voy a lograr cumplir con PCI”

Muchas compañías ya lo han logrado

AceptaciAceptacióón:n: ”Está bien, avancemos”

PCI no incluye ninguna cosa extraña ni nuevos conceptos

1

2

3

4

5

PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas

10

Dificultades más habituales en los clientes

• Documentación inexistente, incompleta o desactualizada. Falta

de seguimiento de la misma.

• Desconocimiento del alcance del estándar y las actividades a

realizar. Se piensa que PCI es un proyecto de IT y es un proyecto

del negocio.

• Manejo del PAN y otros datos de tarjeta. Almacenamiento y

procesamiento del mismo.

• Falta de monitoreos sobre los equipos involucrados.

PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas

11

Dificultades más habituales en los clientes (cont.)

• No hay concientización del personal relacionado con el

ambiente de tarjetas

• Dificultad de extensión de cumplimiento de PCI a proveedores

• Complejidad de cumplimiento de cuestiones técnicas en

entornos propietarios

• Falta de personal para tareas operativas de seguridad

PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas

12

Casos Especiales

Un procesador de pagos, utilizaba el número de tarjeta como

“primary key” en muchas de las tablas de sus bases de datos.

Una organización implementó un software de DLP. El servidor

de dicha herramienta se transformó en un repositorio de datos

de tarjeta.

Los visitadores comerciales de una empresa, llenan en una ficha

de papel los datos de tarjeta, incluyendo el código de

seguridad.

PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas

13

Recomendaciones generales

• Análisis de los requerimientos reales de

negocio para almacenamiento de ciertos

datos de tarjetas

• Segmentación de la red

• Optimización del alcance de PCI

• Formalización “accesible” de procedimientos

PCI PA DSS PCI PA DSS –– RequerimientosRequerimientos

14

El standard PCI PA-DSS tiene 13 categorías de requerimientos, que abarcan desde pruebas

técnicas al software, hasta requisitos de seguridad en el proceso de desarrollo de software,

incluyendo:

Protección de datos

transmitidos

Restricción y

proteccíón de datos

almacenados

Registros de

auditoría y loggingProcedimientos de

desarrollo seguroPruebas de seguridad a

la aplicación

Guia de

implementación (IG)

PA DSS PA DSS –– Experiencias prExperiencias pr áácticascticas

15

Dificultades más habituales en los clientes

• Alto nivel de conocimientos técnicos, pero baja formalidad en

cuanto a procesos y procedimientos.

• Guía de instalación “emparchada”, escrita por programadores y

con muchos supuestos de conocimiento interno.

• No hay testing de seguridad, control de cambios ni revisión de

código.

• Falta de correcto soporte para administración de claves de

encripción / KEK.

• Aplicaciones con vulnerabilidades.

PCI DSS PCI DSS –– Experiencias prExperiencias pr áácticascticas

16

Recomendaciones generales

• Formalización “accesible” de los

procedimientos de desarrollo.

• Implementación de verificaciones de

seguridad.

• Pautas para administración de claves de

encripción .

• Guia de Implementación orientada al

usuario final

Controles periControles peri óódicosdicos

17

PCI DSS requiere la realización de 5 tipos de verificaciones técnicas de seguridad

periódicas a la infraestructura de datos de tarjetas

Escaneo

externo ASV

PenTest

Externo

PenTest

Interno

Escaneo interno de

vulnerabilidades

Análisis de

redes

Wireless

Controles periControles peri óódicosdicos

18

No me aplican los escaneos

WiFi (no tengo redes

inalámbricas)

No llego a tiempo de remediar

resultados de escaneos en

el trimestre

Muchos “Falsos positivos” en

escaneos externos ASV.

PenTest interno: ¿Hay que ir

al Datacenter?

Complicaciones y dudas habituales

ConclusionesConclusiones

19

• PCI llegó para quedarse

• Cada negocio tiene sus particularidades

• Valor agregado para la organización

• Hasta ahora todos nuestros clientes

fueron casos de éxito

El cumplimiento es El cumplimiento es

posible!posible!

Gracias por asistir a esta sesión…

Para mayor información:

Lic. Pablo G. Milano

pmilano@cybsec.com

Para descargar esta presentación visite www.segurinfo.org

Los invitamos a sumarse al grupo “Segurinfo” en