Documente Academic
Documente Profesional
Documente Cultură
Bogotá, Colombia
CONFIDENCIAL
Prohibida su reproducción sin previa autorización
Norma PCI DSS
(v. 3.2.1)
Objetivos
CONFIDENCIAL
Norma PCI DSS
• Conocer los roles y demás involucrados en la industria de medios de pago “con tarjeta”. (v. 3.2.1)
• Determinar por qué es importante la seguridad en la industria de medios de pago.
• Identificar, entender e interpretar los requerimientos de la norma PCI DSS y una adecuada
metodología de implementación.
Curso desarrollado, diseñado y dictado por una empresa PCI QSA y por personal PCI QSA,
quienes conocen los ins y outs de la norma
CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)
Presentación
CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)
Aldo A. Quintero D. MSc. Segurinfo, CISM, QSA PCI, ISO 27001 IA, ITIL.
CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)
• Nombre.
• Cargo.
CONFIDENCIAL
Norma PCI DSS
(v. 3.21)
Módulos
CONFIDENCIAL
Requerimientos de Políticas y Controles
IV Compensatorios
I Medios de Pago y la Norma PCI-DSS
CONFIDENCIAL
Medios de Pago y Norma PCI-DSS
Módulo I
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Tendencias
• Aumento de transacciones electrónicas en Internet (bancarias y comerciales): Bienes y servicios a
un click de distancia.
• Banca Móvil, Pago Móvil (Mobile POS, Mobile Wallet, Mobile Card)
• Dinero Virtual: BitCoin, Facebook Credits, Second Life (Linden Dollars), World of Craft (WoW Gold)
• Cash vs Tarjetas
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Brechas y Compromisos
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Comunidad Underground
• Carders Carding Forums
• Hackers Sitios web, dedicados a la
venta de información
• Empleados y exempleados personal y financiera robada.
• (Descontentos, En Venganza, Cuello Blanco) Tiendas online ilegales
• Delincuencia Online
Mercado Negro.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Comunidad Carders
• Dumps
• Max “IceMan” Butler • IDs ó NOVS
• Roman (“Boa”) Vega • Full Wallets
• Maksym Yastremskiy (“Maksik”) • Malicious Code
• Simbaqueba Bonilla • Cashing PINs
Importantes Fraudes a
• Albert Gonzalez (“Segvec”) • Card-making equipment & blanks
• Genio de la Estafa (Juan Carlos
Bancos Internacionales
Guzman)
• Hernando A Plata
• Omar Ignacio Roso, alias ‘Veneco’
Carding Forums
• Luis Tapiero “Chato” http://www.cybercrime.gov/
• OPERACIÓN AURORA •Boafactory •CCPower
• Alexander Suvorov “Jonnyhell” •Carderplanet •Shadowcrew
• F1ex (Lin Mun Poo) •CardersMarket •Theftservices
•DumpsMarket •CarderPortal
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Cacería de Adversarios
https://www.tmb.co.uk/cyber-criminals/
http://www.fbi.gov/wanted/cyber
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Verizon DBIR
2,216 Incidentes confirmados
53,000 Incidentes de seguridad
26% Atribuido a administradores de
sistema
En el 60% de los casos los atacantes
comprometen el sistema en minutos
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Amenazas Asimétricas
Mientras el fraude debido a robos o pérdidas de
tarjetas D y C ha disminuído en los anteriores 5 años,
los robos de información de tarjetas aumentan como lo
Amenazas persistentes avanzadas hace el robo de información de identidad.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Vulnerabilidades de Seguridad
Aplicaciones web con codificación segura Desconocimiento de la ubicación de la
pobre/ nula información
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
¿Los reconocen?
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Costo Promedio de un Registro Perdido, según PONEMON INSTITUTE, en los últimos 5 años
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
El Contexto
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
• Porque me los entregan, pero no los necesito. • Para compartirlos con socios de negocio.
• Para perfilar clientes, pronósticos de compras. • No hay razón, solo los mantienen en caso de
necesitarse en el futuro.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
“Paren la acción de hacer que sus comercios retengan información de tarjetas, a menos que no quieran
seguir prestando servicios con Visa”
“Visa no requiere que los comercios almacenen PANs, sino, recomienda que los comercios confíen en
sus adquirentes/procesadores para el manejo de esta información, en nombre del comercio.”
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
• Código de Autorización
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Reflexiones
¿Actualmente en su organización quién es el
responsable por garantizar la protección de los
datos de tarjetahabiente?
CAPTACIÓN
COLOCACIÓN
Historia
Las Marcas desarrollan y
Visa – (AIS) Account Information Security y (CISP) mantienen sus propios
Cardholder Information Security Program programas de seguridad
y cumplimiento
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Historia
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
PCI SSC
¿Qué es? Foro global abierto para el continuo desarrollo, mejora, almacenamiento, divulgación e
implementación de normas de seguridad para la protección de datos de tarjetahabiente.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
• Suministrar un foro abierto de desarrollo continuo de prácticas y estándares para la seguridad en medios de pago.
• Publicar recursos como: Documentación de soporte, FAQs, programas de educación y realiza security meetings.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
• No emite multas ni penalizaciones a las organizaciones que sufren brechas o compromisos o que no están en
cumplimiento con la norma.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Organizaciones Participantes
Entidades
Financieras
Asesores Comercios
Fabricantes Gateways
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
PCI DSS
Payment Card Industry Data Security Standard
Aplica a organizaciones que aceptan, capturan, almacenan,
transmiten o procesan datos de tarjetahabiente.
PCI DSS ver 1.0 de Enero de 2005 es la evolución del más maduro estándar de VISA.
PCI DSS ver 1.1 válido a partir de Septiembre del 2006
PCI DSS ver 1.2 válido a partir de Octubre 2008
PCI DSS ver 2.0 válido a partir de Octubre 2010
PCI DSS ver 3.0 Divulgada el 7 de Noviembre de 2013, válida a partir de 1 de Enero 2014
PCI DSS ver 3.1 Divulgada el 15 de Abril de 2015, válida hasta 31 octubre de 2016
PCI DSS ver 3.2 Publicada 27 Abril de 2016, válida hasta 31 diciembre de 2018
PCI DSS ver 3.2.1 Publicada Mayo de 2018, Por determinar
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
3 años
¿Más Tiempo para qué?
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
PCI DSS
Desarrollo y Gestión de las Normas
PCI SSC
Adquirientes Marcas
QSAs de Pago
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
PA - DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Requerimientos de PA - DSS
1. No retenga toda la banda magnética, código de validación, ni datos del PIN
2. Proteja los datos de tarjetahabiente almacenados
3. Características de Autenticación Segura
4. Registros de Actividades Gateway
5. Desarrollo de aplicaciones Seguras Payment Back Office
6. Protección en Transmisión Inalámbrica Payment Gateway/Switch
Payment Middleware
7. Pruebas de Vulnerabilidades Payment Switching
8. Implementación de Red Segura POS Admin
9. Datos en Servidores no conectados a Internet POS Face to Face
POS General
10. Acceso remoto seguro
POS Kiosk
11. Cifrado en redes públicas POS Specialized
12. Acceso administrativo seguro POS SUite
13. Implementar Guía de configuración Shopping Cart & Store Front
14. Documentación y capacitación
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
PTS
• ATMs y POS certificados ayuda con el cumplimiento de la norma de seguridad
del PIN, para bancos y entidades adquirentes (garantizando que estos equipos
no guardan el PIN Block, y demás datos sensibles).
¡PTS vs EMVco!
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Requerimientos PTS
Características del Dispositivo:
Atributos del dispositivo que definen sus características físicas y lógicas.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Participantes
Es un miembro de Es un miembro de
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Participantes
• Proveen servicios de Autorización, compensación y conciliación
MARCAS • Establecen reglamentos de operación.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Adquirente
• Entidad que el comercio utiliza para conectarse a la red de pagos.
• Entidad que el comercio utiliza para que le procese sus transacciones con tarjetas de pago.
• Entidad que recibe solicitudes de autorización del comercio y las reenvía al banco emisor para la aprobación.
• También se les denomina:
Banco del Comercio
Banco Adquirente
ISO (Independent Sales Organization)
• El Adquirente es el Responsable por el Cumplimiento de la norma PCI DSS en los comercios y los proveedores
de servicio de los comercios.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
2 3
4
1
7 6 5
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
PROCESAMIENTO CON TARJETAS -LIQUIDACION-
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
22. El banco de la
1 3. El Banco del marca (Procesador)
Comercio envía pago al banco
(Adquirente) paga al del comercio 31. El Banco del
comercio por la (adquierente) Tarjetahabiente envía
compra del el pago a la marca (al
tarjetahabiente banco de la marca).
4 El banco del
tarjeta habiente
carga a la cuenta
del tarjeta habiente.
4. El banco del
tarjetahabiente carga
a la cuenta del
CONFIDENCIAL tarjetahabiente
Módulo I: Medios de Pago y Norma PCI-DSS
Presentar la tarjeta
al comercio
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Proveedores de Servicios
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Proveedores de Servicios
Exclusiones:
• Proveedores de almacenamiento de cintas (sólo si reciben las datos cifrados, y
no reciben en las cintas las llaves de cifrado).
• ISPs.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Proveedores de Servicios
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
• Autorizadas para validar la adherencia de una entidad a los requerimientos de PCI DSS.
• Verifican la información técnica entregada por quién desea certificarse en la norma PCI DSS.
• Provee soporte y guía para el proceso de cumplimiento.
• Evalúan en sitio.
• Seleccionan (muestreo) sistemas y componentes de sistema para la revisión en sitio.
• Evalúan controles compensatorios.
• Producen un Reporte Final (ROC).
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
• PCI DSS representa un conjunto mínimo de objetivos de Control, los cuales pueden
ser mejorados por sectores Regulatorios Locales o Regionales.
CONFIDENCIAL
Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Alcance
CDE – Entorno de
Datos del Tarjeta
Habiente
Segmentación
de Red
Flujo de Datos de
Tarjeta Habiente
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Identifica y documenta la existencia de CHD en el ambiente para asegurarse que no existan CHD fuera del CDE definido.
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Es Imposible Proteger
Lo Que No Conocemos
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
EMV
¿EMV resuelve el problema de Fraude ?
• EMV es una poderosa contramedida AntiFraude.
• EMV protege la tarjeta de simple clonación.
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
EMV
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Formato
de código
PAN
Separador
Apellido
CVV / CVC
Separador de título
Sufijo
Separador de apellido
Reservado para el
Nombre
uso del emisor de la
Inicial tarjeta PVV/PVKI
Titular
Separador de título
Fecha de FUENTE:
expiración ISO/IEC 7813
Código de servicio Track 1: hasta 79 caracteres
Track 2: hasta 40 Caracteres
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
PAN
Separador
Fecha de Expiración
Código de Servicio
Datos de
Verificación del PIN
FUENTE:
ISO/IEC 7813
Datos Discrecionales Track 1: hasta 79 caracteres
(CVV/CVC) Track 2: hasta 40 Caracteres
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CDE
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Ejemplo de Almacenamiento
Los usuarios pueden almacenar Usuarios móviles
reportes que contengan CHD o Router El servidor puede estar
SSC Internet
discos locales. CHD Si almacenando los archivos de
transacciones que contengan el
PAN y los códigos CVC\CVV.
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Ejemplo de Almacenamiento
Enlace con la Pasarela
Compras on-line de Pagos VPN Los Adquirentes
DATA CENTER
SECUNDARIO
Supermercado con
Servidor Local
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Ejemplo de Transmisión
PROCESADOR
Payment gateway
Conexión Conexión
E F G Red Red H
AP Lan/Wan Lan/Wan
A B C D POS Server
Conexión Conexión Conexión
Conexión VISA II POS Server POS Server (Caja – POS)
Dial-up Red Lan/Wan WIFI
GPRS
COMERCIO
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Infraestructura Típica
Internet Banking REALCE, EMPAQUE, Cierres, Compensación,
DISTRIBUCION Contragargos, Adquirencia
INTERNET
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Procesos típicos
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Impresión de TELCOS
Extractos y listados PROCESOS TARJETAS
Emisión, Distribución y Adquirencia con Realce y
Gestión Entrega Establecimientos de Comercio
Áreas del magnetización de
Documental
Banco Tarjetas
Administración de Tarjetas Monitoreo y Transaccionalidad
CENTRALES DE
RIESGO Procesadores
APLICACIONES
Transporte y Monitoreo Grupo de Empresas
entrega de tarjetas CORE BANCARIO Aplicación Banca Virtual
Transaccional de Desarrollo
CUSTODIA DE
MEDIOS COMPONENTES DE SISTEMAS
SEGURIDAD RED SERVIDORES BASES DE DATOS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
¿Utiliza para su trabajo números de tarjeta crédito o débito? ¿Escanea (digitaliza) documentos con números de Tarjeta?
¿Consulta programas (Aplicaciones, Sistemas de Información) ¿Imprime documentos con Números de Tarjeta?
que muestran números de tarjeta?
¿Descarga a su computador N. de Tarjeta mostrados en los ¿Envía o carga archivos con N. de tarjeta a terceros,
sistemas de información que consulta? compañeros, jefes, subalternos, proveedores, clientes, etc.?
¿Escribe o Digita Números de Tarjeta en algún programa, ¿Almacena o consulta en un servidor de archivos de su área,
archivo o sistema de Información? oficina o del banco info. con N. de tarjeta crédito o débito?
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
¿En qué formatos recibe números de tarjeta? En físico, por ¿Envía informes que contienen datos con N. de tarjeta
email, en CD, USB, impresos, formularios, movimientos, de crédito o débito a otra dependencia dentro del
detalles, en un File Server, dictados por teléfono. banco o fuera de éste?
En caso de recibir en físico (medios impresos, Fax, CDs, DVDs, ¿Por cuanto tiempo debe almacenar esos archivos que
etc.) que contienen N. de Tarjeta, ¿donde guarda o a quién le contienen números de tarjeta y por qué?
entrega estos medios?
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Reducir el alcance
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CONSOLIDACIÓN
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Métodos de Segmentación
1. Firewalls Internos.
2. Routers y Switches L3
3. Otra tecnología que restrinja accesos a un segmento de red particular.
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
4. Habilitar Audit Loging en los elementos de red que tienen habilitadas las listas de acceso.
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Segmentación
Network segmentation
Concepto que se refiere a la práctica de dividir la red en segmentos funcionales
e implementar un mecanismo de aislamiento entre los bordes.
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
CDE
Componentes de sistema que no pertenecen a
Debe existir desconexión física y/o
la categoría 1 ó 2. Componentes sin CHD, bien
lógica entre los componentes de la
segmentados del CDE y sin conexión al CDE.
Categoría 3 y la Categoría 1
Categoría 3
Fuera del alcance
Componentes de sistema que proveen servicios o
controles de seguridad al CDE (2A) o administran
un componente de sistema del CDE (2B).
Alcance de cumplimiento Categoría 2 Componentes que solo reciben información del
PCI DSS Conectados CDE (2C) o que envían información al CDE (2D).
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Segmentación
Usuarios
Servidores Servidores
Financieros,
de CHD Usuarios de CHD
Tesorería
Financieros,
Tesorería
Servidores
Servidores
BackOffice
BackOffice
Usuarios
Servidores de Usuarios Servidores de
Desarrollo Desarrollo
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
• Si un control falla:
Restauración, Identificar la causa de la falla, resolver los asuntos de seguridad que
surgieron durante la falla, evitar que falla del control vuelva a ocurrir, monitoreo
mejorado por un periodo de tiempo para verificar la restauración efectiva del control.
• Cambios en el entorno.
CONFIDENCIAL