Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Norma PCI DSS

Introducción
by

Jefferson Morales

on 20 May 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Norma PCI DSS

PCI DSS V 2.0
Norma PCI DSS v 2.0
Objetivos
Entre más se estudian mejor preparados estamos para defendernos.
Lo que tu no conoces, puede dañarte
Para resolver un problema, primero debemos entenderlo.
Un Mundo Lleno de Amenazas
Conocer los roles y demás involucrados en la industria de medios de pago “Con tarjeta”.

Conocer por qué es importante la seguridad en la industria de medios de pago.

Conocer los aspectos mas importantes de la Norma PCI DSS v 2.0
Tendencias
El aumento en las transacciones electrónicas (bancarias, comerciales) en Internet y en Móviles.
Bienes y servicios a un clic de distancia.
Outsourcing de las funciones de Procesamiento Transaccional.
Especialización del crimen organizado:
“Take & Run”: Se refiere a ataques muy rápidos de gran coordinación y de alto impacto financiero APT(Advance Persistent Threats).
RSC,

La información privada PII.
GRC (C052,SOX,PCI,Leyes de Notificación de Brechas,DODD-FRANK Wall Street ACT)
Tipos de Datos Objetivo
Propiedad de la Organización
Registros Financieros
Estratégias, secretos comerciales, datos de los empleados, Khow How, propiedad Intelectual de la compañia.
Datos relacionados con la Identidad (PII)
Nombre, dirección, impuestos, email, SSN, CC, Nombre del empleador, teléfono, entre otros.
Datos de los Clientes
Información de tarjeta de pago
PHI
Joyas de la corona
BRECHA/COMPROMISO/FRAUDE
Definición de BRECHA:
La adquisición o uso no autorizado de datos y el proceso confidencial o llave que es capas de comprometer la seguridad, confidencialidad o integridad de la información personal.
Anatomía de una Brecha de Datos
1. Entrada Inicial (Infiltración)
2. Data Harvesting
3. Exfiltration
Comunidad Underground
Carders
Hackers
Empleados y ex empleados
Descontentos , en venganza, cuello blanco
Hacktivistas, Gamers, Gamblers
Delincuencia Común
Skimmers, Clonadores, Dumpster Divers, Vishing, Phishing, Smishing, Whaling, Elementos de miedo, Engaño, manipulación etc.
Economía Ilícita Paralela
Costos Típicos de Bienes y Servicios (2006):
$1000 a $5000 :
Programa Trojan que puede transferir.
$ 500 :
Número de Tarjeta Crédito con PIN
$150 :
Licencia de Conducción
$150 :
Certificado de Nacimiento
$100 :
Tarjeta de seguridad social
$7 a $25 :
Número de tarjeta con Código de Seguridad Y FE
$7 :
Paypal account log-on y password.
INFORME DBIR 2010
¿Quien está tras las brechas?
70 %
es de origen externo
48%
fue causado por personal interno
11%

implicó socios de negocio
¿Que Características existen?
¿Cómo ocurrió la brecha?
48 %
involucró mal uso de privilegios
40%
resultó de Hacking
38%
utilizó malware
28%
implicó ingeniería social
85%
de los ataques no se consideran de alta dificultad
61%
fueron descubiertas por un tercero
86%
de las víctimas tenía evidencia de las brechas en sus Logs
96%
de las brechas se podían evitar con controles simples o intermedios
Típicos Patrones de ataques
Packet Sniffing y Credentialed Malware
Key Loggers
para capturar datos sensibles
Herramientas
Debugging
para capturar track data de la memoria
Amenazas asimétricas
Amenazas Persistentes Avanzadas
Viejos patrones de ataque :

Acceso Remoto Inseguro y ataques SQL Injection y Cross Site Scripting
Mientras el fraude debido a robos o perdidas de tarjetas D y C ha disminuido en los anteriores 5 años, los robos de información de tarjetas aumentan al igual que el robo de información de identidad.
Vulnerabilidades de Seguridad
Aplicaciones Web con codificación segura
pobre/nula.
Sistemas sin parches aplicados y
sin antivirus.
Datos sensibles almacenados.
Contraseñas y configuraciones default.
Desconocimiento de la Ubicación de la Información.
Tecnologías
POS
no aseguradas.
Puntos de acceso inalámbricos Inseguros.
Configuración perimetral muy flexible.
Casos Famosos
El asunto es simple:
"Yo te di mi información, tu la expusiste, tu la perdiste, luego es tu culpa. Punto"
Desde la perspectiva del Cliente...
Consecuencias...
Perdida de confianza del cliente:
3 de 4 clientes no regresan.
Notificación de la brecha.
Perdida de socios de negocio.
Multas, sanciones
Impacto en la reputación corporativa.
Gastos por Investigaciones Forenses.
Otros gastos:
US $ 214 por registro US $ 35 por cambio de tarjeta
Razones Para Almacenar los Datos de Tarjeta Habiente..
Porque es
la razón de mi negocio.
Por identificación y seguimiento a los clientes
Perfilar clientes, pronósticos de compras
Business Intelligence.
Reembolsos (
ChargeBacks
)
Para compartirlos con socios de negocio.
Análisis contra fraudes.
Por que mi adquirente/Procesador me lo exige.
La ley me lo exige.
Porque me los entregan pero no los necesito, solo los mantengo en caso de necesitarlos.
Comercios
IDENTIFICANDO CUALQUIER TRANSACCIÓN
Los
comercios
pueden identificar cualquier transacción sin el PAN completo, con la siguiente información:
PAN truncado (
6 + 4 como máximo
)
Fecha y Hora de la transacción
Valor de la transacción
Código de Autorización
Foro Global abierto para el continuo desarrollo, mejora, almacenamiento, divulgación e implementación de normas de seguridad para la protección de datos de tarjeta habiente.
Su misión..
Mejorar la seguridad en la industria de tarjetas de pago.
Fue fundada por las 5 principales marcas de tarjetas de pago.
Objetivos del PCI SSC
Emitir estándares
y gestionar el ciclo de vida de los estándares.
Mejorar la seguridad
en la Industria de tarjetas.
Fomentar la educación
y la adopción de los estándares.
Gestionar los procesos de calificación y aprobación
para ASVs/QSAs y Laboratorios PTS.
Suministrar un foro abierto
donde todos los interesados puedan dar sus opiniones y observaciones.
Publicar recursos como:
Documentación, FAQs, programas de educación.
Que no hace PCI SSC
No emite resultados
de Investigaciones.
No publica listados
con oraganizaciones certificadas PCI DSS.
No publica fechas
plazo de cumplimiento.
No emite multas
ni penalizaciones a organizaciones con brechas o que no cumplen la norma.
Organizaciones Participantes
Entidades financieras
Comercios
Gateways
Procesadores
Proveedores de Servicios
Redes ACH
Fabricantes
Asesores
PCI DSS
PCI -DSS
P
ayment
C
ard
I
ndustry
D
ata
S
ecurity
S
tandard
Norma de seguridad que deben cumplir las organizaciones que
Procesan, Transportan o Almacenan
datos de titulares de tarjeta (CHD).
Es la mejor línea de defensa contra el compromiso de datos de tarjeta habiente.
Minimiza impactos en caso de ocurrir un compromiso.
Versión
PCI DSS ver 1.0
PCI DSS ver 1.1
PCI DSS ver 1.2
PCI DSS ver 2.0
De enero de 2005, evolución del más maduro estandar de VISA.
Válido a partir de Septiembre de 2006
Válido a partir de Octubre de 2008
Válido a partir de Octubre de 2010
PCI -DSS
PCI- SSC
Adquirentes QSAs
Marcas de pago
Desarrollo y Gestión de las Normas
Validan Cumplimiento
Enforcement
PA -DSS
Conjunto de Requerimientos para los
fabricantes de sofware de pago.
"Para facilitar el cumplimiento de PCI DSS"
Que es una aplicación de pago?
A quienes les aplica y a quienes no?
Tener una aplicación
PA DSS
no es garantía
de certificación PCI DSS
Requerimientos PA DSS
No retenga toda la banda magnética, código de validación ni datos del PIN
Proteja los datos de tarjetahabiente almacenados
Características de autenticación segura.
Registro de actividades
Desarrollo seguro
Protección en transmisión Inalambrica
Pruebas de vulnerabilidades
Implementar redes seguras
Datos en servidores conectados a Internet
Acceso remoto seguro
Cifrado en redes públicas
Acceso administrativo seguro
Documentación y capacitación.
PTS
PIN

T
ransaction
S
ecurity
ATMs y POS certificados ayuda con el cumplimiento de la norma de seguridad del PIN, para bancos y entidades adquirentes.
Tamper-evident Tamper-resistent
Cash Registers, PEDs, POI, UPT, AFD, EPP ,
HSM
"no guarda PIN Block y demas datos sensibles"
Participantes
Red de marca de Tarjetas
Adquirentes
Emisor
Puede o no ser el mismo
Proveedores de Servicio
Comercios
Tarjetahabiente
Es un miembro de:
Es un miembro de:
Emite tarjetas a:
Recibe requerimientos de autorizaciones y provee servicios de procesamiento a:
Compra de Bienes y Servicios
Proceso de Autorización
Detalles de un mensaje transaccional:
Número Principal de la Cuenta (
PAN
)
Fecha de expiración.
Valor de la transacción
Fecha de la transacción
Merchant Category Code (
MCC
)
Código del
POS
PIN transaction indicator
Ciudad y País
8583
Proveedores de Servicio
Organización que está directamente involucrada en el
almacenamiento, transmisión y Switching
de transacciones de datos de pagos.
Organizaciones que proveen servicios a los comercios y bancos, que
pueden impactar la seguridad
de los datos de tarjetahabiente.
M1
Ejemplos:
Procesadores de transacciones
Pasarelas de Pago
Servicios de reporte de crédito
Impresión y magnetización de tarjetas
Distribuidores de tarjetas
Contact Center
Custodios de medios y documentación
IAAS
QSA
Qualified Security Assesor
Autorizadas

para validar
adherencia de una entidad a los requerimientos de PCI DSS
Verifican información técnica
entregada por las organizaciones.
Provee soporte
y guía para el proceso de cumplimiento.
Evalúan en sitio.
Seleccionan sistemas y componentes para la revisión en sitio.
Evalúan controles compensatorios.
Producen un reporte final (ROC)
Ahora existen los:
ISA (Internal Security Assesor)
ASVs
Approved Scanning Vendor
Organizaciones certificadas por el PCI DSS para
ejecutar escaneos de vulnerabilidades externos,
en cumplimiento con los requisitos de la norma PCI DSS
Regulación Respecto a PCI DSS
"PCI DSS no predomina sobre leyes locales y otros requerimientos"
Full transcript