Upload File

sr, tenemos una dia%. nuestras manos,cybsec.com/upload/seminario_cybsec_pci.pdfintroducción pablo...

  • Home
  • Documents
  • Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online
14
Sr, Tenemos una nueva misión imposible: Debemos implementar PCI en Dia%. Déjelo en nuestras manos, el equipo de Sistemas podrá solucionarlo.

Upload: others

Post on 12-Sep-2020

2 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

Sr, Tenemos una nueva misión imposible: Debemos implementar PCI en Dia%.

Déjelo en nuestras manos, el equipo de Sistemas podrásolucionarlo.

Page 2: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

Seminario: Tendencias de la seguridad de la Información

2008

Pablo Benitez<[email protected]>

Implementando medidas para cumplimiento con PCI.

Page 3: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

Introducción

Pablo BenitezJefe Microinformática

Lider de Proyecto PCI Compliance – Pago Online.

Dia Argentina:Empresa de Supermercadismo Hard Discount.

400 Locales operando Tarjetas mediante Pos.

Proyecto: Implementar Pago Online cumpliendo PCI.

Page 4: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

¿Qué es PCI?

El PCI Security Standards Council (PCI-DSS) es un organismo internacional que regula la industria de las tarjetas de pago.

Se creó en 2006, soportado por las principales empresas de tarjetas de crédito y débito (Visa, MasterCard, American Express, Discover, JCB).

Define el standard “PCI-DSS” al que todos los comercios, emisores y adquirentes deben adecuarse.

Payment Card Industry

Page 5: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

¿Por qué DIA debe certificar Compliance?

El Standard PCI especifica diferentes niveles de cumplimiento según el tipo de negocio y el volumen de transacción.

Ibamos a comenzar de cero a operar Online con Tarjetas de Crédito.

Dadas las características de nuestro negocio y la cantidad de locales fuimos clasificados como “Tier 1”.

Por este motivo todas las autorizadoras nos exigieron Homologar PCI con una consultora Certifificada.

Uhh! Entramos en PCI %$#% !!!

Page 6: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

El estado inicial

Inicialmente era algo abstracto .

No sabíamos cuan alejados estábamos del Standard.

Intuíamos que muy lejos…

Por este motivo decimos hacer un GAP Analisis.

che qué es PCI… ? Ehhh no se….!

Page 7: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

Análisis de Gap

Se decidió contratar a CYBSEC para el asesoramiento en el proceso de cumplimiento con el standard PCI-DSS.

Se comenzó con un análisis de Gap para determinar la brecha entre el estado inicial y el requerido para la aprobación por parte de las tarjetas.

¿De donde venimos… y hacia donde vamos?

Page 8: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

Análisis de Gap

Se identificaron las áreas de incumplimiento y se categorizaron las mismas según su criticidad.

En el caso de DIA, las áreas a mejorar fueron las siguientes: Definición de roles y responsabilidades

Adquisición de Hardware y Software.

Definición de Normas y Procedimientos

Concientización del Personal en Seguridad de la Información

Acceso Físico y Seguridad.

Descubriendo los agujeros negros…

Page 9: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

El proceso de regularizaciónDesde el ingreso al edificio hasta ………..

Parsing de Logs

Camaras de Seguridad

Nuevos Requerimientos en la Toma de PersonalSoftware de Encripción

Legitimación de Normas y ProcedimientosFirewalls/IDS/IPS

Test de Seguridad periódicosCapacitaciones en Seguridad para el PersonalAnalizadores Wireless

Definición de aplicación de cambiosResponsables para todos los procesos PCICentralizador de Logs

Definición de respuesta ante incidentesDefinición de Normas y ProcedimientosTarjetas de identificación

Análisis de Logs diariamenteDefinición de un Responsable de SeguridadDispositivos Biométricos

Procesos ImplementadosCambios OrganizacionalesNuevas Herramientas

Page 10: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

La auditoría “On-Site” de CYBSEC

La Auditoría On Site, fue realizada por CYBSEC en su carácter de Qualified Security Assessor (QSA).

No hubo mayores inconvenientes.

Se armó un planning detallado de la auditoría para facilitar el proceso y así tener a disposición todo lo requerido por el Auditor.

Se regularizó casi el 100% de los puntos encontrados en el Gap Analisis.

Llegó la hora de la verdad

Page 11: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

La aprobación de las operadoras

Se presentó el Informe Final a las Autorizadoras.

No hubo inconvenientes.

OK para salir en Producción !!

El último paso: “La lucha Final”

Page 12: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

¿Cómo sacar provecho de PCI?

Intentar hacer extensivo los procedimientos a todo IT.

Aprovechar para lograr autorizaciones de compras necesarias.

Implementación de controles Organizacionales pendientes de larga data.

Regularización de normas y procedimientos internos.

Mejoras en la seguridad física de la compañía.

Me autorizas el gasto para…?

Page 13: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

Conclusiones

El análisis de Gap permitió establecer con claridad la brecha entre el estado inicial y el requerido para la aprobación.

La regularización de proceso como elemento positivo y extensivo.

El proceso de regularización es complejo pero no es imposible.

Se pueden implementar soluciones de bajo costo.

Lo logramos…

Page 14: Sr, Tenemos una Dia%. nuestras manos,cybsec.com/upload/Seminario_CYBSEC_PCI.pdfIntroducción Pablo Benitez yJefe Microinformática y Lider de Proyecto PCI Compliance – Pago Online

Pablo Benitez<[email protected]>

Muchas gracias


COMPLIANCE - cicad.oas.org

SOX Compliance Presentation

INTRODUCCIÓN AL COMPLIANCE

19 revista compliance penal

Errores de compliance: Caso 6 - Cuando Compliance es la última frontera

IDEA Presentacion Compliance

Corporate Ethics & Compliance

CÓMO ELABORAR UN PLAN DE COMPLIANCE...CÓMO ELABORAR UN PLAN DE COMPLIANCE PARA SU EMPRESA. ... CÓMO ELABORO UN PLAN DE COMPLIANCE PARA MI EMPRESA 5 Creación del equipo de compliance

COMPLIANCE ADUANERO 360

Apuntes Redes locales tema 07. Taller Empleo Microinformática. La Rinconada. Manel Montero

FABIAN DESCALZO 2013 - CYBSEC · FABIAN DESCALZO 2013. MUCHAS GRACIAS Fabián Descalzo Gerente de Governance, Risk & Compliance (GRC) [email protected] Gobierno de los datos en

Service Desk & Itil Compliance

DIPLOMA EN COMPLIANCE CORPORATIVO

Compliance Day 2015 iiR

Fusiones y adquisiciones más seguras - cybsec.com

Jornada de Abastecimiento Compliance - aminerals.cl · Jornada de Abastecimiento Compliance Anna Gretchina Gerente de Riesgos y Compliance, Vicepresidencia de Administración y Finanzas

Presentacion corporate compliance share

PROGRAMA SUPERIOR Compliance - ie.edu · - las certificaciones profesionales y las certificaciones de los Sistemas de gestión de Compliance. bLOQUE Iv : DEFENSA jURíDICA. COMPLIANCE

COMPLIANCE PENAL [ ] 1

Política CORPORATIVA de Compliance

nuestras prioridades | compliance, buen gobierno y …static.inditex.com/annual_report_2018/pdfs/10. Compliance...236 nuestras prioridades | compliance, buen gobierno y cultura ética

Julio César Ardita, CISM - cybsec.com · Análisis forense técnico en entornos virtuales Julio César Ardita, CISM [email protected]

Microinformática - docente.ifrn.edu.br

RoHS II Compliance Presentation - Assent Compliance

Penal Lava Do Compliance

COMPLIANCE LABORAL

Bayer Corporate Compliance Es

Errores de compliance: Caso 11 - ¿De qué parte está la función de Compliance?

Presentación Jornada Compliance Sevilla

Cetelem Observador 2006: distribución en el sector de la microinformática

Sistemas de gestión compliance

Compliance ¿Cómo hacerlo?

Pablo Milano - cybsec.com

Compliance, ética y RSC - iese. · PDF fileÍndice 1. INTRODUCCIÓN 2. ORIGEN, DESARROLLO Y FINALIDAD DEL COMPLIANCE 2.1. Compliance en el contexto internacional 82.2. Compliance

SEGURIDAD, COMPLIANCE Y GOBERNABILIDAD