Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente:...
-
Upload
vuongthuan -
Category
Documents
-
view
218 -
download
0
Transcript of Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente:...
![Page 1: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/1.jpg)
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain)Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
Calle 90 # 12-28110221 Bogotá (Colombia)Tel: +57 (1) 638 68 88Fax: +57 (1) 638 68 88
TRANSFERENCIA INTERNACIONAL DE DATOS Y CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA NUBEJAVIER ROBERTO AMAYA MADRIDCISM, PCI QSA, PCIP, ISO27001 LA, ISO9000 IA, MCP
![Page 2: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/2.jpg)
Agenda
Introducción
Modelos de despliegue y servicio
Modelos de servicio
Responsabilidad
Seguridad como servicio
Consideraciones de segmentación
Retos de cumplimiento
Verificación de alcance
Gobierno, riesgo y cumplimiento
Consideraciones legales
Seguridad de los datos
Respuesta a incidentes
Transferencia y Transmisión a Terceros Países
Conclusiones
![Page 3: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/3.jpg)
Introducción
![Page 4: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/4.jpg)
Introducción
![Page 5: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/5.jpg)
Modelos de despliegue
![Page 6: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/6.jpg)
Modelos de servicio
![Page 7: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/7.jpg)
CSP
IaaS
PaaS
SaaS
Modelos de servicio
![Page 8: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/8.jpg)
Capa de la NubeModelos de
Servicio
IaaS PaaS SaaS
Datos
Interfaces (APIs, GUIs)
Aplicaciones
Capa de Solución (lenguajes de programación)
Sistemas Operativos (OS)
Máquinas virtuales
Infraestructura virtual de red
Hipervisores
Procesamiento y memoria
Almacenamiento de datos (discos duros, discos removibles, copias de respaldo, etc.)Red (interfaces y dispositivos, infraestructura de comunicaciones)Instalaciones físicas, centros de datos
Modelos de servicio
![Page 9: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/9.jpg)
Responsabilidad
Un cliente de la nube no debe asumir nada acerca de cualquier parte o tema del servicio, se debe escribir cada elemento de responsabilidad por asegurar cada uno de los procesos y componentes del sistema en los contratos, memorandos de entendimiento y/o acuerdos de servicio.
![Page 10: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/10.jpg)
IaaS PaaS SaaS
1. Instalar y mantener una configuración de fiirewall para proteger los datos de tarjeta-habiente. Ambos Ambos CSP
2. No use contraseñas o variables de seguridad por defecto configuradas por el fabricante de los sistemas. Ambos Ambos CSP
3. Proteja los datos de tarjeta-habiente almacenados. Ambos Ambos CSP
4. Cifre los datos de tarjeta-habiente que sean transmitidos por redes públicas abiertas. Ambos Ambos CSP
5. Use y actualice regularmente una aplicación anti-virus. Cliente Ambos Ambos
6. Desarrolle y mantenga sistemas y aplicaciones seguras. Cliente Ambos Ambos
7. Restrinja el acceso a los datos de tarjeta-habiente de acuerdo a la necesidad de conocer. Ambos Ambos Ambos
8. Asigne un identificador único a cada persona con acceso a computadores. Ambos Ambos CSP
9. Restrinja el acceso físico a los datos de tarjeta-habiente. CSP CSP CSP
10. Registre y monitoree todo acceso a los recursos de red y a datos de tarjeta-habiente. Ambos Ambos CSP
11. Pruebe regularmente la seguridad de procesos y sistemas. Ambos Ambos Ambos
12. Mantenga una política de seguridad de la informaciónpara todo el personal CSP CSP CSP
Requerimiento PCI DSSEjemplo de asignación de
Ejemplo de responsabilidad PCI DSS
![Page 11: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/11.jpg)
Seguridad como servicio (SecaaS)
![Page 12: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/12.jpg)
Consideraciones de segmentación
![Page 13: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/13.jpg)
Consideraciones de segmentación
![Page 14: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/14.jpg)
No
es s
egm
enta
ción
Máquinas virtuales en el mismo servidor separadas por control de acceso del sistema operativo o de la aplicación
Datos de la organización guardados en la misma instancia de los datos del sistema
Consideraciones de segmentación
![Page 15: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/15.jpg)
Retos de cumplimiento
Identificación de Componentes
Responsabilidad de Controles
Sistemas Dinámicos
Visibilidad de Seguridad
Control en Almacenamiento
Control de Acceso y Monitoreo
Límites del Perímetro
Acceso desde Internet
Monitoreo de Acceso
Privilegio de Auditoría
![Page 16: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/16.jpg)
Consideraciones para el cliente
• ¿Cuanto lleva certificado el CSP?
• ¿Qué servicios están incluidos en la validación?
• ¿Donde están físicamente los servicios validados?
• ¿Se usan componentes que no están validados en el servicio?
• ¿Cómo se asegura el CSP que los clientes no introducen componentes que no cumplen?
El CSP debe proveer:
• Evidencia que identifique claramente lo que está en alcance
• Los requisitos contra los que fueron validados
• Aspectos no cubiertos por la verificación
• Identificación de los requerimientos que son responsabilidad del cliente o compartida
Verificación de alcance
![Page 17: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/17.jpg)
El cliente debe revisar periódicamente:
• Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)
• Evidencia documentada de los componentes incluidos en la verificación
• Evidencia documentada de los componentes que fueron excluidos de la verificación
Si el CSP no está certificado, durante la verificación del cliente se requiere verificar:
• Acceso a las instalaciones, entrevistas con el personal en sitio
• Políticas y procedimientos, documentación de procesos y estándares de configuración
• Registros de entrenamiento, planes de respuesta a incidentes, etc.
• Evidencia de que los componentes dentro del alcance cumplen con todos los requisitos de la norma
Verificación de alcance
![Page 18: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/18.jpg)
Adm. Riesgo
Debida Diligenci
a
SLA’s
Continuidad
RRHH
Gobierno, riesgo y cumplimiento
![Page 19: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/19.jpg)
Consideraciones legales
![Page 20: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/20.jpg)
Descubrimiento de datos
Preservación de evidencia
Custodia de datos
Responsabilidades legales
Consideraciones legales
![Page 21: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/21.jpg)
Adquisición de Datos
Almacenamiento y Persistencia
Ciclo de Vida
Clasificación
Cifrado
Disposición
Seguridad de los datos
![Page 22: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/22.jpg)
Respuesta a incidentes
![Page 23: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/23.jpg)
Transferencia y Transmisión a Terceros Países
![Page 24: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/24.jpg)
Países que cuentan con un nivel adecuado de protección de datos personales
25
![Page 25: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/25.jpg)
Conclusión
Antes de escoger un proveedor en la nube se debe:
VERIFICAR el estado de cumplimiento de la normatividad requerida
ENTENDER los riesgos
ESCOGER el modelo adecuado de despliegue
EVALUAR las diferentes opciones de servicio
CONOCER lo que se requiere del CSP
COMPARAR proveedores y ofertas de servicio
PREGUNTAR en qué consiste cada servicio, que incluye y que no
DOCUMENTAR todo en acuerdos con el proveedor
SOLICITAR compromisos por escrito de que la seguridad se mantendrá
REVISAR periódicamente los acuerdos
![Page 26: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/26.jpg)
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain)Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
Calle 90 # 12-28. Bogotá (Colombia)Tel: +57 (1) 638 68 88Fax: +57 (1) 638 68 88
![Page 27: Conferencias ACDECC&BPO Protección de Datos y PCI DSS · El cliente debe revisar periódicamente: •Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)](https://reader031.fdocuments.net/reader031/viewer/2022022617/5ba96f7209d3f236608c4fa3/html5/thumbnails/27.jpg)
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain)Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
Calle 90 # 12-28. Bogotá (Colombia)Tel: +57 (1) 638 68 88Fax: +57 (1) 638 68 88