SlideShare a Scribd company logo

PCI DSS - Payment Card Industry Data Security Standard

A
Alvaro Machaca Tola

Este documento explica el estándar PCI DSS para la seguridad de datos de tarjetas de pago. Describe los principales actores en los pagos con tarjeta, los 12 requisitos de PCI DSS, y cómo la seguridad debe integrarse en todo el ciclo de vida del desarrollo de software para cumplir con el estándar. El objetivo final es definir medidas para proteger la infraestructura que maneja datos de tarjetas de pago.

Technology
1 of 23
Download to read offline
PCI DSS Payment Card Industry Data Security Standard
Contenido 1. Explicar los principales conceptos sobre PCI DSS. 2. Identificar a los principales actores que intervienen en los procesos de pago con tarjetas y explicar las funciones y obligaciones de cada uno de ellos. 3. Los 12 Requisitos de PCI DSS. 4. PCI DSS y el Proceso Continuo. 5. PCI DSS y el Ciclo deVida de Desarrollo de Software. 6. Resumen.
1. Principales Conceptos sobre PCI DSS  PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la Industria deTarjeta de Pago, formado en 2006 por las principales compañías emisoras de tarjetas de crédito:  PCI DSS es un Estándar de seguridad que aplica a todas las entidades que participan en los procesos de las tarjetas de pago compuesto por 6 objetivos de control y 12 requisitos para Gestionar la Seguridad. “El objetivo es definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de pago”
2. Actores que intervienen en los procesos de pago con tarjetas y sus funciones  Adquirientes: (Entidades financieras), son las entidades con las que tiene relación el comercio en el que hacemos el pago de algún bien o servicio.  Emisores: (Entidades financieras), son las entidades con las que se ha emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos el importe de la compra realizada en nuestra cuenta.  Comercios: (super/hipermercados, e-commerce, agencias de viaje, etc.), es la entidad a la que le pagamos algún tipo de bien o servicio por medio de nuestra tarjeta de crédito o débito.  Procesadores de Pago: son entidades que prestan servicios de autorización de pago y su posterior regularización, facilitando el intercambio de información entre el adquiriente y el emisor.
Información existente en las tarjetas
Aplicación de los Requisitos de PCI DSS Los requisitos de PCI DSS aplican a todos los componentes del sistema. Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que esté conectado a éste. El entorno de los datos de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación.
3. Los 12 requisitos de PCI DSS
Aplicación de los requisitos al entorno PCI DSS Cortafuegos (control de tráfico, DMZ, aislamiento). Hardening de sistemas (modificar configuraciones por defecto de fábrica, segregación de servicios). Protección de datos almacenados (cifrado/ofuscación del PAN, gestión de claves). Transmisión cifrada de datos en redes públicas e inalámbricas. Antivirus yAntimalware. Aplicaciones seguras (desarrollo seguro e implementar la seguridad en todo el ciclo de vida, actualización de componentes).
Control de acceso (gestión de usuarios y privilegios). Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas). Control de acceso físico (ID, cámaras, registros o bitácoras). Monitorización accesos/pistas de auditoría (registros, revisiones). Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas de penetración de red y aplicaciones, IDS/IPS, software integridad de archivos críticos. Políticas, procedimientos de seguridad, gestión de riesgos, concientización, gestión de proveedores, contratos, gestión de incidentes. Aplicación de los requisitos al entorno PCI DSS
4. PCI DSS y el Proceso Continuo (PDCA) • Monitorear eventos • Revisar la Política de Seguridad y Riesgos • Realizar Auditorias • Ejecutar Escaneos ASV • Acciones para corregir el NO Cumplimiento • Prevenir Incidentes. • Reducción del Entorno • Implementación de Controles • Formación y Divulgación • Validación del Cumplimiento • Identificar el Entorno • Identificar Datos Sensibles • Análisis GAP • Plan de Acción Planificar (PLAN) Implementar (DO) Revisar (CHECK) Actuar (ACT)
5. PCI DSS y el Ciclo de Vida de Desarrollo de Software  Uno de los recursos mas importantes que se debe asegurar son las aplicaciones, ya que los atacantes no crean agujeros de seguridad, solo las explotan.  Las causas de los problemas de seguridad en aplicaciones son el resultado de un mal diseño y una mala implementación.  Si una aplicación no está desarrollada adecuadamente, seguirán existiendo problemas de:  Fiabilidad  Disponibilidad  Criticidad  Seguridad
Ciclo de Vida de Desarrollo Definición y Diseño Desarrollo Despliegue Mantenimie nto y Operación  A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios.  La Seguridad debe estar presente en todo el Ciclo deVida de Desarrollo SEGURIDAD
 Ámbito de actuación:  Identificación de las áreas de seguridad de la aplicación.  Consideraciones de seguridad en el diseño.  Requisitos funcionales de seguridad.  Aspecto a tener en cuenta:  Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc.  Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc.  Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc. Definición y Diseño
 En esta fase aparecen un mayor número de fallos de seguridad.  Para realizar una codificación segura es necesario conocer las amenazas con las que nos podemos encontrar y las buenas prácticas para minimizarlas:  Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc.  Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc. Desarrollo
 En esta fase la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante la comprobación de requisitos, análisis del diseño, revisión del código, etc.  Se debe tomar en cuenta lo siguiente:  Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de un posible ataque, detectando vulnerabilidades que no hayan sido contempladas anteriormente.  Comprobación de la Gestión de Configuraciones: Es necesario verificar como se han implementado y asegurado los distintos componentes de la infraestructura. Despliegue
 Luego de la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido.  Se debe tomar en cuenta lo siguiente:  Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deben realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.  Asegurar laVerificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado el nivel de seguridad de la aplicación y la infraestructura. Mantenimiento y Operación
PCI DSS y el Ciclo de Vida de Desarrollo  Instalación y Mantenimiento de Sistemas de Información  Securización de sistemas de información. (Req.6.1)  Protección de los datos y las comunicaciones  Identificación y eliminación de datos sensibles (CVV2, Pistas,…). (Req.3)  Protección de bases de datos mediante cifrado. (Req.3)  Seguridad en el Ciclo deVida del Desarrollo de Software  Auditoría de aplicación, Revisión de código, Guía de buenas prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)
PCI DSS y el Ciclo de Vida de Desarrollo  Control deAcceso  Control deAcceso al Sistema Operativo, Red, Bases de Datos y Aplicaciones. (Req.7 y 8)  Revisión yTest de intrusión  Test de intrusión interno y externo (escanear las aplicaciones). (Req.11)
Restricciones sobre el almacenamiento y requisitos de proteger y cifrar
OWASP y su aporte a PCI DSS  OWASP es un proyecto abierto de seguridad de aplicaciones web, dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Está formada por empresas, organizaciones educativas y particulares de todo el mundo.  En PCI DSS se nombra a OWASP en el cumplimiento del requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores prácticas de codificación segura”.  Recursos de OWASP:  Owasp Development Guide  OWASPTop 10  OWASPTesting Guide  OWASP Code Review Guide  OWASP ZAP
6. Resumen  PCI DSS debe cumplirse  Si se procesa, almacena o transmite datos de tarjetas.  La implantación debe pensarse como un proceso  Definir procesos.  Asignar recursos.  Comprometer a la dirección.  Monitorizar y Revisar.  Integrar PCI DSS en la gestión de la seguridad de la compañía.  Contar con el apoyo de expertos  Asesorase con un QSA.  Realizar auditorías con empresas ASV.
Gracias

Recommended

La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSSMarcos Harasimowicz
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
01 ma hoa
01 ma hoa01 ma hoa
01 ma hoaquangdao77
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 

Recommended

La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSSMarcos Harasimowicz
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSSOscar Reyes Hevia
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSSSaumya Vishnoi
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfControlCase
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI complianceJisc
 
01 ma hoa
01 ma hoa01 ma hoa
01 ma hoaquangdao77
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Kiem thu phan mem
Kiem thu phan memKiem thu phan mem
Kiem thu phan memTIen Le
 
Capítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosCapítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosJuan Manuel García
 
Des
DesDes
DesAnshul Sharma
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overviewsameh Abulfotooh
 
NIST SP 800 30 Flow Chart
NIST SP 800 30 Flow ChartNIST SP 800 30 Flow Chart
NIST SP 800 30 Flow ChartJames W. De Rienzo
 
Sample SOC2 report of a security audit firm
Sample SOC2 report of a security audit firmSample SOC2 report of a security audit firm
Sample SOC2 report of a security audit firmJosephKirkpatrickCPA
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)dlmonline24h
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS ComplianceSaumya Vishnoi
 
Aes Kriptoanaliz
Aes KriptoanalizAes Kriptoanaliz
Aes KriptoanalizAyenUSLU
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
Mission Critical Applications Workloads on Amazon Web Services
Mission Critical Applications Workloads on Amazon Web ServicesMission Critical Applications Workloads on Amazon Web Services
Mission Critical Applications Workloads on Amazon Web ServicesAmazon Web Services
 
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020Jiunn-Jer Sun
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoInternet Security Auditors
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễnTriển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễnducmanhkthd
 
Bài 5: Chuẩn hóa cơ sở dữ liệu
Bài 5: Chuẩn hóa cơ sở dữ liệuBài 5: Chuẩn hóa cơ sở dữ liệu
Bài 5: Chuẩn hóa cơ sở dữ liệuMasterCode.vn
 
Context-based movie search using doc2vec, word2vec
Context-based movie search using doc2vec, word2vecContext-based movie search using doc2vec, word2vec
Context-based movie search using doc2vec, word2vecJIN KYU CHANG
 
PCIe BUS: A State-of-the-Art-Review
PCIe BUS: A State-of-the-Art-ReviewPCIe BUS: A State-of-the-Art-Review
PCIe BUS: A State-of-the-Art-ReviewIOSRJVSP
 
PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualKimberly Simon MBA
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 

More Related Content

What's hot

Kiem thu phan mem
Kiem thu phan memKiem thu phan mem
Kiem thu phan memTIen Le
 
Capítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosCapítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosJuan Manuel García
 
Sample SOC2 report of a security audit firm
Sample SOC2 report of a security audit firmSample SOC2 report of a security audit firm
Sample SOC2 report of a security audit firmJosephKirkpatrickCPA
 
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)dlmonline24h
 
Aes Kriptoanaliz
Aes KriptoanalizAes Kriptoanaliz
Aes KriptoanalizAyenUSLU
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
Mission Critical Applications Workloads on Amazon Web Services
Mission Critical Applications Workloads on Amazon Web ServicesMission Critical Applications Workloads on Amazon Web Services
Mission Critical Applications Workloads on Amazon Web ServicesAmazon Web Services
 
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020Jiunn-Jer Sun
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Jesús Vázquez González
 
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễnTriển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễnducmanhkthd
 
Bài 5: Chuẩn hóa cơ sở dữ liệu
Bài 5: Chuẩn hóa cơ sở dữ liệuBài 5: Chuẩn hóa cơ sở dữ liệu
Bài 5: Chuẩn hóa cơ sở dữ liệuMasterCode.vn
 
Context-based movie search using doc2vec, word2vec
Context-based movie search using doc2vec, word2vecContext-based movie search using doc2vec, word2vec
Context-based movie search using doc2vec, word2vecJIN KYU CHANG
 
PCIe BUS: A State-of-the-Art-Review
PCIe BUS: A State-of-the-Art-ReviewPCIe BUS: A State-of-the-Art-Review
PCIe BUS: A State-of-the-Art-ReviewIOSRJVSP
 

What's hot (20)

Kiem thu phan mem
Kiem thu phan memKiem thu phan mem
Kiem thu phan mem
 
Capítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficosCapítulo 9: Protocolos criptográficos
Capítulo 9: Protocolos criptográficos
 
Des
DesDes
Des
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overview
 
NIST SP 800 30 Flow Chart
NIST SP 800 30 Flow ChartNIST SP 800 30 Flow Chart
NIST SP 800 30 Flow Chart
 
Sample SOC2 report of a security audit firm
Sample SOC2 report of a security audit firmSample SOC2 report of a security audit firm
Sample SOC2 report of a security audit firm
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)
An Toàn và bảo mật HTTT-Cơ bản về mã hoá (cryptography)
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS Compliance
 
Aes Kriptoanaliz
Aes KriptoanalizAes Kriptoanaliz
Aes Kriptoanaliz
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtuales
 
Mission Critical Applications Workloads on Amazon Web Services
Mission Critical Applications Workloads on Amazon Web ServicesMission Critical Applications Workloads on Amazon Web Services
Mission Critical Applications Workloads on Amazon Web Services
 
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020
A Big Picture of IEC 62443 - Cybersecurity Webinar (2) 2020
 
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
Análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizables en un...
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
iso 27005
iso 27005iso 27005
iso 27005
 
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễnTriển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
 
Bài 5: Chuẩn hóa cơ sở dữ liệu
Bài 5: Chuẩn hóa cơ sở dữ liệuBài 5: Chuẩn hóa cơ sở dữ liệu
Bài 5: Chuẩn hóa cơ sở dữ liệu
 
Context-based movie search using doc2vec, word2vec
Context-based movie search using doc2vec, word2vecContext-based movie search using doc2vec, word2vec
Context-based movie search using doc2vec, word2vec
 
PCIe BUS: A State-of-the-Art-Review
PCIe BUS: A State-of-the-Art-ReviewPCIe BUS: A State-of-the-Art-Review
PCIe BUS: A State-of-the-Art-Review
 

Viewers also liked

PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualKimberly Simon MBA
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Jesús Vázquez González
 
Comsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - WebinarComsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - WebinarAriel Ben-Harosh
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Juan Manuel Nieto
 
PCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes WebinarPCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes WebinarControlCase
 
PCI DSS Essential Guide
PCI DSS Essential GuidePCI DSS Essential Guide
PCI DSS Essential GuideKim Jensen
 
Using the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancerUsing the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancerDana D. Hines, PhD
 
1. PCI Compliance Overview
1. PCI Compliance Overview1. PCI Compliance Overview
1. PCI Compliance Overviewokrantz
 
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinPCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinAnton Chuvakin
 
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...iFour Consultancy
 
PCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to KnowPCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to KnowAlienVault
 
Iso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in indiaIso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in indiaiFour Consultancy
 
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...iFour Consultancy
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListSriramITISConsultant
 
Continual Compliance Monitoring
Continual Compliance MonitoringContinual Compliance Monitoring
Continual Compliance MonitoringKimberly Simon MBA
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 

Viewers also liked (20)

PCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as UsualPCI DSS 3.2 - Business as Usual
PCI DSS 3.2 - Business as Usual
 
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...
 
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
Resumen análisis de requisitos de seguridad PCI DSS, SOX y LOPD, automatizabl...
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Comsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - WebinarComsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
Comsec PCI DSS v3 2 - Overview and Summary of Changes - Webinar
 
Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011Presentación ISACA Madrid PCI DSS - 28 abril 2011
Presentación ISACA Madrid PCI DSS - 28 abril 2011
 
PCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes WebinarPCI DSS & PA DSS Version 3.0 Changes Webinar
PCI DSS & PA DSS Version 3.0 Changes Webinar
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
PCI DSS Essential Guide
PCI DSS Essential GuidePCI DSS Essential Guide
PCI DSS Essential Guide
 
Using the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancerUsing the PDCA model to improve cervical cancer
Using the PDCA model to improve cervical cancer
 
1. PCI Compliance Overview
1. PCI Compliance Overview1. PCI Compliance Overview
1. PCI Compliance Overview
 
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinPCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
 
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
ISO 27001 2013 A12 Operations Security Part 2 - by Software development compa...
 
PCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to KnowPCI DSS Simplified: What You Need to Know
PCI DSS Simplified: What You Need to Know
 
Iso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in indiaIso 27001 2013 clause 6 - planning - by Software development company in india
Iso 27001 2013 clause 6 - planning - by Software development company in india
 
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
ISO 27001 2013 Clause 4 - context of an organization - by Software developmen...
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_List
 
Continual Compliance Monitoring
Continual Compliance MonitoringContinual Compliance Monitoring
Continual Compliance Monitoring
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 

Similar to PCI DSS - Payment Card Industry Data Security Standard

Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIUniversidad de Panamá
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxAriadneJaen1
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxMarko Zapata
 

Similar to PCI DSS - Payment Card Industry Data Security Standard (20)

Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Auditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCIAuditoría de Sistemas y reglamentacion PCI
Auditoría de Sistemas y reglamentacion PCI
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptx
 
Seguridad
SeguridadSeguridad
Seguridad
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoria
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsx
 

Recently uploaded

Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Recently uploaded (10)

Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

PCI DSS - Payment Card Industry Data Security Standard

  • 1. PCI DSS Payment Card Industry Data Security Standard
  • 2. Contenido 1. Explicar los principales conceptos sobre PCI DSS. 2. Identificar a los principales actores que intervienen en los procesos de pago con tarjetas y explicar las funciones y obligaciones de cada uno de ellos. 3. Los 12 Requisitos de PCI DSS. 4. PCI DSS y el Proceso Continuo. 5. PCI DSS y el Ciclo deVida de Desarrollo de Software. 6. Resumen.
  • 3. 1. Principales Conceptos sobre PCI DSS  PCI SSC (Security Standards Council) es el Consejo de Normas de Seguridad de la Industria deTarjeta de Pago, formado en 2006 por las principales compañías emisoras de tarjetas de crédito:  PCI DSS es un Estándar de seguridad que aplica a todas las entidades que participan en los procesos de las tarjetas de pago compuesto por 6 objetivos de control y 12 requisitos para Gestionar la Seguridad. “El objetivo es definir medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de pago”
  • 4. 2. Actores que intervienen en los procesos de pago con tarjetas y sus funciones  Adquirientes: (Entidades financieras), son las entidades con las que tiene relación el comercio en el que hacemos el pago de algún bien o servicio.  Emisores: (Entidades financieras), son las entidades con las que se ha emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos el importe de la compra realizada en nuestra cuenta.  Comercios: (super/hipermercados, e-commerce, agencias de viaje, etc.), es la entidad a la que le pagamos algún tipo de bien o servicio por medio de nuestra tarjeta de crédito o débito.  Procesadores de Pago: son entidades que prestan servicios de autorización de pago y su posterior regularización, facilitando el intercambio de información entre el adquiriente y el emisor.
  • 5.
  • 7. Aplicación de los Requisitos de PCI DSS Los requisitos de PCI DSS aplican a todos los componentes del sistema. Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que esté conectado a éste. El entorno de los datos de tarjetas consta de personas, procesos y tecnología que almacenan, procesan o transmiten datos de tarjetas o datos confidenciales de autenticación.
  • 8. 3. Los 12 requisitos de PCI DSS
  • 9. Aplicación de los requisitos al entorno PCI DSS Cortafuegos (control de tráfico, DMZ, aislamiento). Hardening de sistemas (modificar configuraciones por defecto de fábrica, segregación de servicios). Protección de datos almacenados (cifrado/ofuscación del PAN, gestión de claves). Transmisión cifrada de datos en redes públicas e inalámbricas. Antivirus yAntimalware. Aplicaciones seguras (desarrollo seguro e implementar la seguridad en todo el ciclo de vida, actualización de componentes).
  • 10. Control de acceso (gestión de usuarios y privilegios). Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de contraseñas). Control de acceso físico (ID, cámaras, registros o bitácoras). Monitorización accesos/pistas de auditoría (registros, revisiones). Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas de penetración de red y aplicaciones, IDS/IPS, software integridad de archivos críticos. Políticas, procedimientos de seguridad, gestión de riesgos, concientización, gestión de proveedores, contratos, gestión de incidentes. Aplicación de los requisitos al entorno PCI DSS
  • 11. 4. PCI DSS y el Proceso Continuo (PDCA) • Monitorear eventos • Revisar la Política de Seguridad y Riesgos • Realizar Auditorias • Ejecutar Escaneos ASV • Acciones para corregir el NO Cumplimiento • Prevenir Incidentes. • Reducción del Entorno • Implementación de Controles • Formación y Divulgación • Validación del Cumplimiento • Identificar el Entorno • Identificar Datos Sensibles • Análisis GAP • Plan de Acción Planificar (PLAN) Implementar (DO) Revisar (CHECK) Actuar (ACT)
  • 12. 5. PCI DSS y el Ciclo de Vida de Desarrollo de Software  Uno de los recursos mas importantes que se debe asegurar son las aplicaciones, ya que los atacantes no crean agujeros de seguridad, solo las explotan.  Las causas de los problemas de seguridad en aplicaciones son el resultado de un mal diseño y una mala implementación.  Si una aplicación no está desarrollada adecuadamente, seguirán existiendo problemas de:  Fiabilidad  Disponibilidad  Criticidad  Seguridad
  • 13. Ciclo de Vida de Desarrollo Definición y Diseño Desarrollo Despliegue Mantenimie nto y Operación  A lo largo del ciclo de vida, se cuenta con un procedimiento de control y gestión de cambios.  La Seguridad debe estar presente en todo el Ciclo deVida de Desarrollo SEGURIDAD
  • 14.  Ámbito de actuación:  Identificación de las áreas de seguridad de la aplicación.  Consideraciones de seguridad en el diseño.  Requisitos funcionales de seguridad.  Aspecto a tener en cuenta:  Principios de Seguridad: minimizar el área de exposición, no confiar en sistemas externos, etc.  Requisitos de Seguridad: gestión de errores, criptografía, autenticación y autorización, registros de auditoría, etc.  Políticas y Procedimientos: políticas de contraseñas, políticas de copias de seguridad, procedimientos de programación segura, etc. Definición y Diseño
  • 15.  En esta fase aparecen un mayor número de fallos de seguridad.  Para realizar una codificación segura es necesario conocer las amenazas con las que nos podemos encontrar y las buenas prácticas para minimizarlas:  Clasificación de Amenazas: ataques de fuerza bruta, revelación de información, deficiencias lógicas, autenticación insuficiente, etc.  Buenas Prácticas: autenticación y autorización, validación de datos, gestión de sesiones, gestión de errores, configuraciones, etc. Desarrollo
  • 16.  En esta fase la aplicación debe haber contemplado todas las posibles deficiencias de seguridad mediante la comprobación de requisitos, análisis del diseño, revisión del código, etc.  Se debe tomar en cuenta lo siguiente:  Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito de un posible ataque, detectando vulnerabilidades que no hayan sido contempladas anteriormente.  Comprobación de la Gestión de Configuraciones: Es necesario verificar como se han implementado y asegurado los distintos componentes de la infraestructura. Despliegue
  • 17.  Luego de la puesta en marcha en producción, es necesario seguir realizando acciones que permitan mantener el nivel de seguridad requerido.  Se debe tomar en cuenta lo siguiente:  Comprobaciones Periódicas de Mantenimiento: De forma periódica y dependiendo del nivel de criticidad, deben realizarse comprobaciones de seguridad para verificar que no se hayan introducido nuevos riesgos en la aplicación y su infraestructura.  Asegurar laVerificación de Cambios: Después de que un cambio haya sido implementado en producción, se deberá verificar que dicho cambio no haya afectado el nivel de seguridad de la aplicación y la infraestructura. Mantenimiento y Operación
  • 18. PCI DSS y el Ciclo de Vida de Desarrollo  Instalación y Mantenimiento de Sistemas de Información  Securización de sistemas de información. (Req.6.1)  Protección de los datos y las comunicaciones  Identificación y eliminación de datos sensibles (CVV2, Pistas,…). (Req.3)  Protección de bases de datos mediante cifrado. (Req.3)  Seguridad en el Ciclo deVida del Desarrollo de Software  Auditoría de aplicación, Revisión de código, Guía de buenas prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)
  • 19. PCI DSS y el Ciclo de Vida de Desarrollo  Control deAcceso  Control deAcceso al Sistema Operativo, Red, Bases de Datos y Aplicaciones. (Req.7 y 8)  Revisión yTest de intrusión  Test de intrusión interno y externo (escanear las aplicaciones). (Req.11)
  • 20. Restricciones sobre el almacenamiento y requisitos de proteger y cifrar
  • 21. OWASP y su aporte a PCI DSS  OWASP es un proyecto abierto de seguridad de aplicaciones web, dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Está formada por empresas, organizaciones educativas y particulares de todo el mundo.  En PCI DSS se nombra a OWASP en el cumplimiento del requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores prácticas de codificación segura”.  Recursos de OWASP:  Owasp Development Guide  OWASPTop 10  OWASPTesting Guide  OWASP Code Review Guide  OWASP ZAP
  • 22. 6. Resumen  PCI DSS debe cumplirse  Si se procesa, almacena o transmite datos de tarjetas.  La implantación debe pensarse como un proceso  Definir procesos.  Asignar recursos.  Comprometer a la dirección.  Monitorizar y Revisar.  Integrar PCI DSS en la gestión de la seguridad de la compañía.  Contar con el apoyo de expertos  Asesorase con un QSA.  Realizar auditorías con empresas ASV.