Cumplimiento de normas pci dss v2
-
Upload
santiago-sanchez -
Category
Documents
-
view
183 -
download
4
Transcript of Cumplimiento de normas pci dss v2
![Page 1: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/1.jpg)
Ing. Sánchez, Santiago
![Page 2: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/2.jpg)
1. ¿Qué son las Normas PCI DSS?2. ¿Donde se Aplica PCI DSS?3. Objetivos de Control/Requerimientos4. Alcance de la Norma PCI- DSS en la empresa5. Evolución de la norma en Grupo Carsa6. PCI-DSS v 3.0- Nueva Versión 7. Status de cumplimiento de normas en Grupo
Carsa- Gráficos.8. ¿Qué hacer para cumplir con la NORMAS PCI
DSS?9. Estudio Realizado por Consultora de Bs As. BDO10. Riesgos11. Conclusiones
![Page 3: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/3.jpg)
PCI DSS (significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago ) : Conjunto
uniforme de Requerimientos de Seguridad de la información para todas las marcas
de tarjetas.
![Page 4: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/4.jpg)
PCI DSS Aplica como ESTANDAR a todos los Comercios y Proveedores de Servicio que:
Trasmitan
Almacenen o
Procesen
INFORMACION DE TARJETAS DE CREDITO
![Page 5: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/5.jpg)
6 Objetivos de Control 12 Requerimientos
1. Desarrollar y Mantener una Red Segura 1.Instalar y Mantener la configuración del Firewall2. No utilizar claves ni contraseñas por defecto
2. Proteger los Datos de los Propietarios de Tarjetas
3. Proteger los datos almacenados de Tarjetahabiente4. Cifrar los datos de tarjetahabiente enviados por redes publicas
3. Mantener un Programa de Gestión de Vulnerabilidades
5. Utilizar y Mantener un Software Antivirus6. Desarrollar y mantener Aplicaciones Seguras
4. Implementar Medidas Solidas de Control de Acceso
7. Implementar medidas sólidas de control de acceso.8. Identificar y autenticar el acceso a los componentes del sistema 9. Restringir el acceso Físico a los Datos
5. Monitorear (Monitorizar) y probar regularmente las redes
10. Rastrear y Monitorear todos los accesos a recursos de Red11. Testear regularmente la Seguridad de los sistemas y Procesos
6. Mantener una Política de Seguridad de la Información
12. Mantener una Política de Seguridad de la Información
![Page 6: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/6.jpg)
1. Circuito de Tarjeta de pagos:
![Page 7: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/7.jpg)
2. Toda la Organización: Ejemplos◦ 9.4.2.a Observe las personas dentro de las
instalaciones para verificar que se usen placas para visitantes u otro tipo de identificación, y que los visitantes se puedan distinguir fácilmente de los empleados que trabajan en la empresa.
◦ 12.7 Consulte con la gerencia de Recursos Humanos y verifique que se realiza un control de los antecedentes de los posibles empleados (dentro de los límites de las leyes locales).
![Page 8: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/8.jpg)
2007 PCI
versión 2.0
•Homologa
ción/polít
icas
generales
2012 PCI versión 2.0
•Re homologación
2014 Normas
PCI versión 3.0
•Actualización
de la norma,
nuevos ítems
para cumplir
![Page 9: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/9.jpg)
Se agregaron 31 Nuevos Items o puntos a cumplir distribuidos en los 12.
De los cuales tenemos un 0% de cumplimiento de estos nuevos puntos.
Estos nuevos controles se deben implementar para JULIO de 2015, y la próxima Autoevaluación es en Septiembre de 2015
![Page 10: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/10.jpg)
El impacto podría valorarse en aprox. un 31% de cambio en relación a la versión 2.0
Siguen siendo 12 capítulos. Los capítulos 8 y 11 son los que tienen un mayor impacto de cambio en la nueva versión.
PCI-DSS V
1.2
PCI-DSS V
2.0
PCI-DSS V
3.0
N° de Pag. 73N° Cont. Aprox.180
N° de Pag. 85N° Cont. Aprox 288
N° de Pag. 122N° Cont. Aprox 379
![Page 11: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/11.jpg)
0.00
20.00
40.00
60.00
80.00
100.00
Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9 Req. 10 Req. 11 Req. 12
57.5850
31.43 27.27
100
15.79
66.67
50.00
69.70
11.765.00 2.70
42.4250
68.57 72.73
0
84.21
33.33
50.00
30.30
88.2495.00 97.30
% Cumplimiento Real % No Cumplimiento
0.00
20.00
40.00
60.00
80.00
100.00
Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9 Req. 10 Req. 11 Req. 12
100 100 100 100 100
28.95
100 95.83 96.97 100
65.00
83.78
0 0 0 0 0
71.05
0 4.17 3.03 0
35.00
16.22
% Cumplimiento Aut Ev 2014 % NO Cumplimiento Aut Ev 2014
Cumplimiento Real PCI DSS
Autoevaluación PCI DSS 20114
![Page 12: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/12.jpg)
Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9 Req. 10 Req. 11 Req. 12
No Aplica 10.81 5.56 17.14 0.00 0.00 2.63 0.00 0.00 9.09 0.00 0.00 18.92
Estado Real 57.58 50.00 31.43 27.27 100.00 15.79 66.67 50.00 69.70 11.76 5.00 2.70
Estado Auto Eval 2014 100.00 100.00 100.00 100.00 100.00 28.95 100.00 95.83 96.97 100.00 65.00 83.78
% NO Cumplidos 42.42 50.00 68.57 72.73 0.00 84.21 33.33 50.00 30.30 88.24 95.00 97.30
0.00
20.00
40.00
60.00
80.00
100.00
120.00
Cumplimiento Normas PCI
![Page 13: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/13.jpg)
Políticas
Normas 1
Procedimientos
Estándares
Doc.
Complementarios
Normas 2 Normas 3
60 % Aprox.
35 % Aprox.
20 % Aprox.
![Page 14: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/14.jpg)
Marco
Normativo
•Políticas, Normas, Procedimientos,
•Estándares,
•Planes de Contingencia.
Implementacion
es
•Herramientas de Monitoreo
•Herramientas de Vulnerabilidades
•Herramienta de control de Integridad de Archivos
Controles
•Informes de cumplimiento de Items. periódicos definido por la
NORMA. Ej. Reporte semestral de nuevas regalas agregadas al Firewall
con la justificación.
•Reportes que evidencien el cumplimiento de las Normas
Concientización
•Dar a conocer dichos controles e implementaciones a las personas
involucradas
![Page 15: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/15.jpg)
La nueva versión V 3.0 de las Normas PCI DSS a nivel de CERITIFICACIÓN U HOMOLOGACIÓN Exige que se cumpla el 100% de los controles, mas allá de que pueden existir controles compensatorios.
Estos deben cumplir con los objetivos de control antes mencionados para poder pasar a la instancia de auditoría.
100 %
cumplido
• % Cumplimiento Marco Normativo
• % Cumplimiento de Implementación
de Herramientas
• %Cumplimiento Controles periódicos
• % Concientización de áreas afectadas
![Page 16: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/16.jpg)
![Page 17: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/17.jpg)
¿Qué Enfoque debemos seguir?
![Page 18: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/18.jpg)
Ataques a los sistemas de la empresa por no tener una Gestión formal y control de las vulnerabilidades tanto internas como externas.
Multas de parte de las empresas de Tarjetas de Pagos por el no cumplimiento de las normas PCI-DSS.
Imposibilidad de seguir operando con datos de tarjetas de pagos en los sistemas de la empresa, si se descubre el no cumplimiento de las Normas PCI-DSS
Perdida de prestigio de la empresa si se descubre que la autoevaluación no refleja la realidad de cumplimiento y si se produce algún ataque.
Todo lo mencionado anteriormente trae perdidas de Dinero, por las multas y la imposibilidad de seguir operando con tarjetas de pagos en los sistemas de la empresa.
![Page 19: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/19.jpg)
¿Qué Enfoque debemos seguir?
Buscar Mejorar la Postura de Seguridad de la Información de la empresa: Buscar una mejora continua de todos los requerimientos para cumplir PCI DSS y NO solamente pensar en pasar una Auditoria u Homologación
![Page 20: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/20.jpg)
Propuestas
1. Armar un Grupo de Trabajo dedicado para todos los temas de Seguridad de la Información de todo Grupo Carsa, y un referente del Grupo.
2. Armar un Comité de Seguridad de la información de GRUPO CARSA, donde tratar en forma mensual todos los temas referentes a seguridad de la Información de toda la empresa. Definir áreas y responsables para este tema.
3. Tomar conciencia de que Cumplir con las NORMAS PCI-DSS NO es un Proyecto de Tecnología o de Seguridad Informática, sino que es un proyecto del área de Negocios y que debe involucrar a TODA la Organización
![Page 21: Cumplimiento de normas pci dss v2](https://reader034.fdocuments.net/reader034/viewer/2022042504/55aa6f181a28abe9528b48f9/html5/thumbnails/21.jpg)