cumplimiento de normas pci dss v2
TRANSCRIPT
Ing. Sánchez, Santiago
1. ¿Qué son las Normas PCI DSS?2. ¿Donde se Aplica PCI DSS?3. Objetivos de Control/Requerimientos4. Alcance de la Norma PCI- DSS en la empresa5. Evolución de la norma en Grupo Carsa6. PCI-DSS v 3.0- Nueva Versión 7. Status de cumplimiento de normas en Grupo
Carsa- Gráficos.8. ¿Qué hacer para cumplir con la NORMAS PCI
DSS?9. Estudio Realizado por Consultora de Bs As. BDO10. Riesgos11. Conclusiones
PCI DSS (significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago ) : Conjunto
uniforme de Requerimientos de Seguridad de la información para todas las marcas
de tarjetas.
PCI DSS Aplica como ESTANDAR a todos los Comercios y Proveedores de Servicio que:
Trasmitan
Almacenen o
Procesen
INFORMACION DE TARJETAS DE CREDITO
6 Objetivos de Control 12 Requerimientos
1. Desarrollar y Mantener una Red Segura 1.Instalar y Mantener la configuración del Firewall2. No utilizar claves ni contraseñas por defecto
2. Proteger los Datos de los Propietarios de Tarjetas
3. Proteger los datos almacenados de Tarjetahabiente4. Cifrar los datos de tarjetahabiente enviados por redes publicas
3. Mantener un Programa de Gestión de Vulnerabilidades
5. Utilizar y Mantener un Software Antivirus6. Desarrollar y mantener Aplicaciones Seguras
4. Implementar Medidas Solidas de Control de Acceso
7. Implementar medidas sólidas de control de acceso.8. Identificar y autenticar el acceso a los componentes del sistema 9. Restringir el acceso Físico a los Datos
5. Monitorear (Monitorizar) y probar regularmente las redes
10. Rastrear y Monitorear todos los accesos a recursos de Red11. Testear regularmente la Seguridad de los sistemas y Procesos
6. Mantener una Política de Seguridad de la Información
12. Mantener una Política de Seguridad de la Información
1. Circuito de Tarjeta de pagos:
2. Toda la Organización: Ejemplos◦ 9.4.2.a Observe las personas dentro de las
instalaciones para verificar que se usen placas para visitantes u otro tipo de identificación, y que los visitantes se puedan distinguir fácilmente de los empleados que trabajan en la empresa.
◦ 12.7 Consulte con la gerencia de Recursos Humanos y verifique que se realiza un control de los antecedentes de los posibles empleados (dentro de los límites de las leyes locales).
2007 PCI
versión 2.0
•Homologa
ción/polít
icas
generales
2012 PCI versión 2.0
•Re homologación
2014 Normas
PCI versión 3.0
•Actualización
de la norma,
nuevos ítems
para cumplir
Se agregaron 31 Nuevos Items o puntos a cumplir distribuidos en los 12.
De los cuales tenemos un 0% de cumplimiento de estos nuevos puntos.
Estos nuevos controles se deben implementar para JULIO de 2015, y la próxima Autoevaluación es en Septiembre de 2015
El impacto podría valorarse en aprox. un 31% de cambio en relación a la versión 2.0
Siguen siendo 12 capítulos. Los capítulos 8 y 11 son los que tienen un mayor impacto de cambio en la nueva versión.
PCI-DSS V
1.2
PCI-DSS V
2.0
PCI-DSS V
3.0
N° de Pag. 73N° Cont. Aprox.180
N° de Pag. 85N° Cont. Aprox 288
N° de Pag. 122N° Cont. Aprox 379
0.00
20.00
40.00
60.00
80.00
100.00
Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9 Req. 10 Req. 11 Req. 12
57.5850
31.43 27.27
100
15.79
66.67
50.00
69.70
11.765.00 2.70
42.4250
68.57 72.73
0
84.21
33.33
50.00
30.30
88.2495.00 97.30
% Cumplimiento Real % No Cumplimiento
0.00
20.00
40.00
60.00
80.00
100.00
Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9 Req. 10 Req. 11 Req. 12
100 100 100 100 100
28.95
100 95.83 96.97 100
65.00
83.78
0 0 0 0 0
71.05
0 4.17 3.03 0
35.00
16.22
% Cumplimiento Aut Ev 2014 % NO Cumplimiento Aut Ev 2014
Cumplimiento Real PCI DSS
Autoevaluación PCI DSS 20114
Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9 Req. 10 Req. 11 Req. 12
No Aplica 10.81 5.56 17.14 0.00 0.00 2.63 0.00 0.00 9.09 0.00 0.00 18.92
Estado Real 57.58 50.00 31.43 27.27 100.00 15.79 66.67 50.00 69.70 11.76 5.00 2.70
Estado Auto Eval 2014 100.00 100.00 100.00 100.00 100.00 28.95 100.00 95.83 96.97 100.00 65.00 83.78
% NO Cumplidos 42.42 50.00 68.57 72.73 0.00 84.21 33.33 50.00 30.30 88.24 95.00 97.30
0.00
20.00
40.00
60.00
80.00
100.00
120.00
Cumplimiento Normas PCI
Políticas
Normas 1
Procedimientos
Estándares
Doc.
Complementarios
Normas 2 Normas 3
60 % Aprox.
35 % Aprox.
20 % Aprox.
Marco
Normativo
•Políticas, Normas, Procedimientos,
•Estándares,
•Planes de Contingencia.
Implementacion
es
•Herramientas de Monitoreo
•Herramientas de Vulnerabilidades
•Herramienta de control de Integridad de Archivos
Controles
•Informes de cumplimiento de Items. periódicos definido por la
NORMA. Ej. Reporte semestral de nuevas regalas agregadas al Firewall
con la justificación.
•Reportes que evidencien el cumplimiento de las Normas
Concientización
•Dar a conocer dichos controles e implementaciones a las personas
involucradas
La nueva versión V 3.0 de las Normas PCI DSS a nivel de CERITIFICACIÓN U HOMOLOGACIÓN Exige que se cumpla el 100% de los controles, mas allá de que pueden existir controles compensatorios.
Estos deben cumplir con los objetivos de control antes mencionados para poder pasar a la instancia de auditoría.
100 %
cumplido
• % Cumplimiento Marco Normativo
• % Cumplimiento de Implementación
de Herramientas
• %Cumplimiento Controles periódicos
• % Concientización de áreas afectadas
¿Qué Enfoque debemos seguir?
Ataques a los sistemas de la empresa por no tener una Gestión formal y control de las vulnerabilidades tanto internas como externas.
Multas de parte de las empresas de Tarjetas de Pagos por el no cumplimiento de las normas PCI-DSS.
Imposibilidad de seguir operando con datos de tarjetas de pagos en los sistemas de la empresa, si se descubre el no cumplimiento de las Normas PCI-DSS
Perdida de prestigio de la empresa si se descubre que la autoevaluación no refleja la realidad de cumplimiento y si se produce algún ataque.
Todo lo mencionado anteriormente trae perdidas de Dinero, por las multas y la imposibilidad de seguir operando con tarjetas de pagos en los sistemas de la empresa.
¿Qué Enfoque debemos seguir?
Buscar Mejorar la Postura de Seguridad de la Información de la empresa: Buscar una mejora continua de todos los requerimientos para cumplir PCI DSS y NO solamente pensar en pasar una Auditoria u Homologación
Propuestas
1. Armar un Grupo de Trabajo dedicado para todos los temas de Seguridad de la Información de todo Grupo Carsa, y un referente del Grupo.
2. Armar un Comité de Seguridad de la información de GRUPO CARSA, donde tratar en forma mensual todos los temas referentes a seguridad de la Información de toda la empresa. Definir áreas y responsables para este tema.
3. Tomar conciencia de que Cumplir con las NORMAS PCI-DSS NO es un Proyecto de Tecnología o de Seguridad Informática, sino que es un proyecto del área de Negocios y que debe involucrar a TODA la Organización
