PCIDSS 3-2-1 Dia1 Modulo1 25042019

Interpretación e Implementación de la Norma
PCI DSS v3.2.1
Bogotá, Colombia
CONFIDENCIAL
Prohibida su reproducción sin previa autorización
Norma PCI DSS
(v. 3.2.1)
Objetivos
CONFIDENCIAL
Norma PCI DSS
• Conocer los roles y demás involucrados en la industria de medios de pago “con tarjeta”. (v. 3.2.1)
• Determinar por qué es importante la seguridad en la industria de medios de pago.
• Identificar, entender e interpretar los requerimientos de la norma PCI DSS y una adecuada
metodología de implementación.
• Implementar y mantener un programa de cumplimiento de la norma PCI DSS de manera efectiva.
• Abordar consideraciones de implementación de la norma PCI DSS en ambientes reales.
• Adquirir conocimiento para abordar la implementación de PCI DSS en la organización.
Curso desarrollado, diseñado y dictado por una empresa PCI QSA y por personal PCI QSA,
quienes conocen los ins y outs de la norma
CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)
Presentación
CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)
Aldo A. Quintero D. MSc. Segurinfo, CISM, QSA PCI, ISO 27001 IA, ITIL.
CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)
• Nombre.
• Cargo.
• Experiencia en IT y en Seguridad de la Información.
• ¿Qué sabemos de la norma PCI DSS ?
CONFIDENCIAL
Norma PCI DSS
(v. 3.21)
Módulos
CONFIDENCIAL
Requerimientos de Políticas y Controles
IV Compensatorios
I Medios de Pago y la Norma PCI-DSS
Un Proyecto para alcanzar cumplimiento

V (Análisis GAP y Plan de Acción)
II Alcance de la evaluación PCI-DSS

Validación de Cumplimiento de la
VI Norma PCI-DSS
III Requerimientos PCI-DSS

Manteniendo el cumplimiento de
VII PCI-DSS
CONFIDENCIAL
Medios de Pago y Norma PCI-DSS
Módulo I
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
Un “mundo” lleno de amenazas
Lo que no conoces, Entre mas se estudian, Para resolver un problema,

puede dañarte. mejor preparados estamos primero debe ser entendido.
para detenerlas.
CONFIDENCIAL
Tendencias
• Aumento de transacciones electrónicas en Internet (bancarias y comerciales): Bienes y servicios a
un click de distancia.
• Banca Móvil, Pago Móvil (Mobile POS, Mobile Wallet, Mobile Card)
• Dinero Virtual: BitCoin, Facebook Credits, Second Life (Linden Dollars), World of Craft (WoW Gold)
• Outsourcing de las funciones de Procesamiento Transaccional
• Cash vs Tarjetas
CONFIDENCIAL
Tipo de datos Objetivo

Datos de los Clientes Propiedad de la organización Datos de Identidad
Brechas y Compromisos
• Info. de tarjeta de pago • Registros financieros. • Nombre, dirección, impuestos,

• Credenciales (autenticación) • Estrategias, secretos comerciales, email, SSN, CC, nombre del
• Reserva Bancaria datos de empleados, Know How. empleador, teléfonos, etc.
• Propiedad Intelectual.
CONFIDENCIAL
Brecha / Compromiso / Fraude
Definición de Anatomía de una

Brecha de Datos Brecha de Datos
Adquisición o uso no autorizado 1. Entrada Inicial (Infiltration)
de datos sin cifrar o, datos
cifrados y el proceso confidencial 2. Propagación
o llave (key) que es capaz de
comprometer la seguridad, 3. Data Harvesting (Aggregation)
confidencialidad o integridad de
la información personal 4. Exfiltration
CONFIDENCIAL
Comunidad Underground
• Carders Carding Forums
• Hackers Sitios web, dedicados a la
venta de información
• Empleados y exempleados personal y financiera robada.
• (Descontentos, En Venganza, Cuello Blanco) Tiendas online ilegales
• Delincuencia Online
Mercado Negro.
• Hacktivistas, Gamers, Gamblers (Geeks, Jihadistas)

Recompensa
• Delincuencia Común
• Skimmers, Clonadores, Dumpster Divers, Vishing,
Phishing, Whaling, Elementos De Miedo, Engaño,
Manipulación, etc. Esfuerzo Riesgo
CONFIDENCIAL
Comunidad Carders
• Dumps
• Max “IceMan” Butler • IDs ó NOVS
• Roman (“Boa”) Vega • Full Wallets
• Maksym Yastremskiy (“Maksik”) • Malicious Code
• Simbaqueba Bonilla • Cashing PINs
Importantes Fraudes a
• Albert Gonzalez (“Segvec”) • Card-making equipment & blanks
• Genio de la Estafa (Juan Carlos
Bancos Internacionales
Guzman)
• Hernando A Plata
• Omar Ignacio Roso, alias ‘Veneco’
Carding Forums
• Luis Tapiero “Chato” http://www.cybercrime.gov/
• OPERACIÓN AURORA •Boafactory •CCPower
• Alexander Suvorov “Jonnyhell” •Carderplanet •Shadowcrew
• F1ex (Lin Mun Poo) •CardersMarket •Theftservices
•DumpsMarket •CarderPortal
CONFIDENCIAL
Cacería de Adversarios
https://www.tmb.co.uk/cyber-criminals/
http://www.fbi.gov/wanted/cyber
CONFIDENCIAL
Economía Ilícita Paralela

• Variedad de tipos de tarjetas cuya distinción influye en el precio.
• “Venta Final” sin garantía de validación vs. Reemplazos de Tarjetas Inválidas.
• Compras en Volumen: Mejor Precio
• Ventas en distintos Formatos (determina el Precio):
CVV2 Full-info card Dump

Entre 1 y 5 Dólares. Más de 10 dls / tarjeta. Más de 15 Dólares
• Paquete ccv2
• Número de tarjeta • Fecha de nacimiento • Datos del Track.
• Nombre de tarjeta habiente • Nombre de soltera de la madre
• Dirección y CVV2 • Número de Cédula
• Lugar de Nacimiento
CONFIDENCIAL
Verizon DBIR (2008 - 2018)

http://www.verizonenterprise.com/DBIR/
CONFIDENCIAL
Verizon DBIR
2,216 Incidentes confirmados
53,000 Incidentes de seguridad
26% Atribuido a administradores de
sistema
En el 60% de los casos los atacantes
comprometen el sistema en minutos
¿Quién está tras las brechas?

• Aprox 73% es de origen externo
• Aprox 28% fue causado por personal
interno
• Aprox 50% grupos criminales
CONFIDENCIAL
Informe DBIR de Verizon
CONFIDENCIAL
Típicos patrones de ataque

Packet sniffing y Credentialed Malware
Viejos patrones de ataque siguen siendo un problema
Key loggers para capturar datos sensibles

Acceso Remoto Inseguro
Herramientas Debugging para capturar

Ataques SQL Injection y Cross Site Scripting
track data de la memoria
Amenazas Asimétricas
Mientras el fraude debido a robos o pérdidas de
tarjetas D y C ha disminuído en los anteriores 5 años,
los robos de información de tarjetas aumentan como lo
Amenazas persistentes avanzadas hace el robo de información de identidad.
CONFIDENCIAL
Vulnerabilidades de Seguridad
Aplicaciones web con codificación segura Desconocimiento de la ubicación de la
pobre/ nula información
Sistemas sin parches aplicados y sin

Tecnologías POS no aseguradas
antivirus
Datos sensibles almacenados Puntos de acceso inalámbricos inseguros
Reglas muy abiertas en la Seguridad

Contraseñas y configuraciones default
Perimetral
Acceso remoto inseguro
CONFIDENCIAL
Desde la perspectiva del cliente
“Yo te di mi información, tu la expusiste, tu la perdiste, luego es tu culpa. Punto.”
CONFIDENCIAL
Consecuencias de un compromiso de datos

• Pérdida de confianza de los clientes: 3 de 4 clientes
no vuelven a comprar en un negocio comprometido.
• Notificación de brechas (regulaciones en algunos
países lo exigen).
• Pérdida de socios de negocios.
• Multas, sanciones.
• Impacto en la reputación corporativa.
• Procesos judiciales, legales.
Cada registro comprometido cuesta en promedio a una

• Gastos por investigaciones forenses y remediación:
organización US $148 US $35, el costo de reemplazar una tarjeta.
USD 3,86 Millones cuesta en promedio por compañia
(PONEMON INSTITUTE, 2018, Cost of Data Breach Study: • Gastos para recuperar y retener a los clientes.
Global Analysis Ponemon Institute, July 2018)
CONFIDENCIAL
¿Los reconocen?
CONFIDENCIAL
Consecuencias de un compromiso de datos
Costo Promedio de un Registro Perdido, según PONEMON INSTITUTE, en los últimos 5 años
CONFIDENCIAL
El Contexto
“Las tarjetas de pago te llevan al dinero,

el dinero te lleva a las brechas de datos,
las brechas de datos te llevan al
incumplimiento”
“El miedo te lleva a la ira,
la ira te lleva al odio,
el odio te lleva al sufrimiento”
CONFIDENCIAL
Razones para almacenar los datos de tarjeta
• Porque es la razón de mi de negocio. • Por Business Intelligence.
• Porque mi sistema es legacy y requiere update. • Para Chargebacks (Reembolsos).
• Porque me los entregan, pero no los necesito. • Para compartirlos con socios de negocio.
• Porque fuerzas de la Ley me lo exigen. • Para análisis contra fraudes.
• Para la Identificación y seguimiento a clientes. • Porque mi Adquirente/Procesador me lo exige.
• Para perfilar clientes, pronósticos de compras. • No hay razón, solo los mantienen en caso de
necesitarse en el futuro.
CONFIDENCIAL
Una fuerte Invitación

Visa (July 14 2010) envió un mensaje directo a los bancos y miembros que actúan como adquirentes:
“Paren la acción de hacer que sus comercios retengan información de tarjetas, a menos que no quieran
seguir prestando servicios con Visa”
“Visa no requiere que los comercios almacenen PANs, sino, recomienda que los comercios confíen en
sus adquirentes/procesadores para el manejo de esta información, en nombre del comercio.”
Resolución de Disputas/Pleitos (Resolution Dispute Purposes)

http://www.nrf.com/modules.php?name=News&op=viewlive&sp_id=963
CONFIDENCIAL
Identificando cualquier transacción

Los comercios pueden de manera inequívoca identificar
cualquier transacción en su ambiente sin el PAN completo,
con las siguientes 4 piezas de información:
• PAN Truncado (6 + 4, como máximo)
• Fecha y Hora de la compra
• Cantidad de la compra: $$$
• Código de Autorización
CONFIDENCIAL
Reflexiones
¿Actualmente en su organización quién es el
responsable por garantizar la protección de los
datos de tarjetahabiente?
CAPTACIÓN
COLOCACIÓN
Proteger la Información de nuestros clientes

no es nuestro negocio, pero sin ella no hay
negocio.
CONFIDENCIAL
Historia
Las Marcas desarrollan y
Visa – (AIS) Account Information Security y (CISP) mantienen sus propios
Cardholder Information Security Program programas de seguridad
y cumplimiento
MasterCard – (SDP) Site Data Protection
American Express – (DSOP) Data Security Operating Policy
JCB – Data Security Program
Discover – (DISC) Discover Information Security Compliance
CONFIDENCIAL
Historia
SET fue desarrollado por SETco (VISA y MASTER) X.509
Europay, MasterCard y Visa. Chip & PIN.

Interoperabilidad de tarjetas IC.
CONFIDENCIAL
PCI SSC
¿Qué es? Foro global abierto para el continuo desarrollo, mejora, almacenamiento, divulgación e
implementación de normas de seguridad para la protección de datos de tarjetahabiente.
Mejorar la seguridad en la industria de tarjetas de pago llevando a cabo educación y

Su misión concientización de las normas de seguridad PCI.
Inicio Fue fundada por las 5 principales marcas de tarjetas de pago.
CONFIDENCIAL
Objetivos del PCI SSC

• Emitir estándares y gestionar el ciclo de vida de los estándares.
• Mejorar la seguridad en la industria de tarjetas de pago (medios electrónicos de pago).
• Fomentar la educación y la adopción de los estándares.
• Gestionar los procesos de calificación y aprobación para ASVs/QSAs y laboratorios PTS.
• Publicar el Listado de Aplicaciones y Dispositivos Certificados
• Suministrar un foro abierto de desarrollo continuo de prácticas y estándares para la seguridad en medios de pago.
• Publicar recursos como: Documentación de soporte, FAQs, programas de educación y realiza security meetings.
CONFIDENCIAL
Qué no hace el PCI SSC

• No emite resultados de investigaciones, ni resultados de brechas o compromisos, ni estados de cumplimiento con
la norma.
• No publica listados con las organizaciones certificadas en PCI DSS.
• No publica fechas plazo de cumplimiento.
• No emite multas ni penalizaciones a las organizaciones que sufren brechas o compromisos o que no están en
cumplimiento con la norma.
CONFIDENCIAL
Organizaciones Participantes
Entidades
Financieras
Asesores Comercios
Fabricantes Gateways
Redes ACH Proveedores de Procesadores

Servicios
CONFIDENCIAL
Payment Card Industry Data Security Standard

PCI DSS
• Norma de seguridad que deben cumplir las organizaciones que

Procesan, Transportan o Almacenan datos de titulares de tarjeta (CHD).
• Es la mejor línea de Defensa contra el compromiso de datos de

tarjetahabiente.
• Minimiza impactos en caso de ocurrir un Compromiso.
• De Interés Público y ocupación especial (en algunas regiones ya es Ley).
• Aplicabilidad Mundial (para mantener la confianza de los consumidores

que usan las tarjetas como principal medio de pago).
CONFIDENCIAL
PCI DSS
Payment Card Industry Data Security Standard
Aplica a organizaciones que aceptan, capturan, almacenan,
transmiten o procesan datos de tarjetahabiente.
PCI DSS ver 1.0 de Enero de 2005 es la evolución del más maduro estándar de VISA.
PCI DSS ver 1.1 válido a partir de Septiembre del 2006
PCI DSS ver 1.2 válido a partir de Octubre 2008
PCI DSS ver 2.0 válido a partir de Octubre 2010
PCI DSS ver 3.0 Divulgada el 7 de Noviembre de 2013, válida a partir de 1 de Enero 2014
PCI DSS ver 3.1 Divulgada el 15 de Abril de 2015, válida hasta 31 octubre de 2016
PCI DSS ver 3.2 Publicada 27 Abril de 2016, válida hasta 31 diciembre de 2018
PCI DSS ver 3.2.1 Publicada Mayo de 2018, Por determinar
CONFIDENCIAL
Ciclo de cambios en la Norma
3 años
¿Más Tiempo para qué?
Para implementar las normas
Para presentar y considerar feedbacks
Para considerar la dinámica del mercado

y las amenazas emergentes
CONFIDENCIAL
PCI DSS
Desarrollo y Gestión de las Normas
PCI SSC
Adquirientes Marcas
QSAs de Pago
Validan Cumplimiento Enforcement
CONFIDENCIAL
Ecosistema PCI Security & Compliance
PCI Security Standards

Protection of Cardholder Payment Data
CONFIDENCIAL
PA - DSS
• Conjunto de Requerimientos para los fabricantes de software de

aplicaciones de Pago para facilitar el cumplimiento de la norma PCI DSS.
• ¿Qué es una Aplicación de Pago ?
• ¿A quienes le aplica y a quienes no aplica ?
CONFIDENCIAL
Aplicaciones Elegibles Para Ser PA - DSS

Si la respuesta es SI a cualquiera de las 13 preguntas, la aplicación no es elegible para validación PA-DSS:
3. ¿La Aplicación facilita la Autorización o Conciliación, pero no

tienen acceso a CHD o SAD?
5. ¿La Aplicación es sistema Back-office que almacena CHD pero no
facilita Autorización o Conciliación?
• Reportería y CRM
• Recompensas o Calificación de fraude
11. ¿La Aplicación es ofrecida solo cómo Software as a Service (SAAS)
que no es vendida, distribuida o licenciada a terceras partes?
https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf
CONFIDENCIAL
Requerimientos de PA - DSS
1. No retenga toda la banda magnética, código de validación, ni datos del PIN
2. Proteja los datos de tarjetahabiente almacenados
3. Características de Autenticación Segura
4. Registros de Actividades Gateway
5. Desarrollo de aplicaciones Seguras Payment Back Office
6. Protección en Transmisión Inalámbrica Payment Gateway/Switch
Payment Middleware
7. Pruebas de Vulnerabilidades Payment Switching
8. Implementación de Red Segura POS Admin
9. Datos en Servidores no conectados a Internet POS Face to Face
POS General
10. Acceso remoto seguro
POS Kiosk
11. Cifrado en redes públicas POS Specialized
12. Acceso administrativo seguro POS SUite
13. Implementar Guía de configuración Shopping Cart & Store Front
14. Documentación y capacitación
CONFIDENCIAL
Ejemplo de aplicación PA - DSS
Tener una aplicación PA

DSS no es garantía de
certificación PCI DSS
CONFIDENCIAL
PTS
• ATMs y POS certificados ayuda con el cumplimiento de la norma de seguridad
del PIN, para bancos y entidades adquirentes (garantizando que estos equipos
no guardan el PIN Block, y demás datos sensibles).
• Tamper-evident Tamper-resistent (Tamper-Resistant Security Modules (TRSMs)).
• Cash registers, PEDs, POI, UPT, AFD, EPP, HSM.
¡PTS vs EMVco!
CONFIDENCIAL
Requerimientos PTS
Características del Dispositivo:
Atributos del dispositivo que definen sus características físicas y lógicas.
• Carga de llaves inicial

• SRED (Secure Reading and Exchange Data)
• Integración con POS
Gestión del Dispositivo:

Cómo el elemento es producido, controlado, transportado, almacenado y
utilizado a través de su ciclo de vida?
CONFIDENCIAL
PA - DSS dentro de PTS
Las Aplicaciones PA (Payment Application) dentro de terminales PTS,

puede que no les aplique la certificación PA DSS, si y solo si:
• El dispositivo no tiene conexión a las redes y sistemas del comercio

• El dispositivo se conecta solo al Procesador/Adquirente
CONFIDENCIAL
Ejemplo de PTS Devices Certificados
CONFIDENCIAL
P2PE (Point – to – Point encryption)

• Soluciones P2PE pueden ayudar a los comercios a reducir el alcance de su CDE y su evaluación PCI DSS.
• Quién se certifica en esta norma son los Procesadores/Adquirentes.
• P2PE no reemplaza a PCI DSS

• Los comercios se aislan de PANs en texto-claro
• P2PE incorpora todos los estandares PCI
1. PTS para los Dispositivos Point of Interaction (POI)
2. PA-DSS para las aplicaciones dentro del POI
3. PCI PIN para la Gestión de llaves criptográficas
4. PCI DSS para el Proveedor de P2PE
CONFIDENCIAL
Participantes
Es un miembro de Es un miembro de
Red de la marca de Tarjetas
Puede o no ser el mismo

Adquiriente Proveedores de servicio Emisor
Utiliza la tarjeta para compra

de Bienes y servicios
Recibe requerimientos de
autorizaciones y provee
servicios de procesamiento a: Comercios Tarjetahabiente (CP,CNP)
CONFIDENCIAL
Participantes
• Proveen servicios de Autorización, compensación y conciliación
MARCAS • Establecen reglamentos de operación.
COMERCIOS Acepta tarjetas para vender sus productos y servicios.
• Compra productos y servicios con su tarjeta.

TARJETA HABIENTE • Recibe la tarjeta y los estados de cuenta del emisor.
EMISOR Emite tarjetas de pago en nombre de las marcas.
CONFIDENCIAL
Adquirente
• Entidad que el comercio utiliza para conectarse a la red de pagos.
• Entidad que el comercio utiliza para que le procese sus transacciones con tarjetas de pago.
• Entidad que recibe solicitudes de autorización del comercio y las reenvía al banco emisor para la aprobación.
• También se les denomina:
Banco del Comercio
Banco Adquirente
ISO (Independent Sales Organization)
• El Adquirente es el Responsable por el Cumplimiento de la norma PCI DSS en los comercios y los proveedores
de servicio de los comercios.
CONFIDENCIAL
Procesamiento con tarjetas / Autorización

El emisor, autoriza al comercio para que la compra
El comercio solicita y recibe autorización del emisor. sea realizada. Un código de autorización es
suministrado en un tiempo de 3 a 7 segundos.
2 3
4
1
7 6 5
CONFIDENCIAL
Procesamiento con tarjetas / Autorización

• Número Principal de la Cuenta (PAN)
• Fecha de Expiración
• Cantidad de la Transacción $$$$
• Fecha de la Transacción
• Merchant Category Code (MCC).
Los detalles de un Ejemplos:
mensaje transaccional 5192 – Libros, Periódicos, Revistas
son, entre otros: 5542 – Automated Fuel Dispensers
6011 – Instituciones Finacieras
7230 – Salas de Belleza
• Código del POS
• PIN transaction indicator
(Indica si la transacción fué basada en PIN o basada en Firma).
• Ciudad
• País
CONFIDENCIAL
PROCESAMIENTO CON TARJETAS -LIQUIDACION-
Procesamiento con Tarjetas

El Adquirente (El Banco del Comercio) y el Banco Emisor (Banco del
Tarjetahabiente) intercambian la información
Clearing de la compra realizada.
(compensación)
Tiempo: Normalmente 1 Día
Comienza elElcálculo
adquiriente
y (la entidad del comercio)
conciliación y el Banco
de quien Emisorqué
debe (Banco
y del tarjeta habiente),
a quien.
intercambian información de la compra realizada. Toma normalmente un tiempo de 1 día.
Comienza el cálculo y la conciliación de quien debe qué a quién.
11. El Banco del

Comercio
(Adquirente) envía la
información de la 22. La Marca consolida archivos de todos los
compra a la red de la adquirentes en un único archivo para enviar a cada
marca (Red del emisor.
Procesador)
3 3.El emisor prepara datos para presentarle

4 4.La Marca provee una completa al tarjetahabiente
conciliación al banco adquirente.
CONFIDENCIAL
PROCESAMIENTO CON TARJETAS -CONCILIACION-

Procesamiento con Tarjetas
Settlement (conciliación)
El Banco del Comercio paga al comercio.
El Banco emisor le factura al titular de la tarjeta.
22. El banco de la
1 3. El Banco del marca (Procesador)
Comercio envía pago al banco
(Adquirente) paga al del comercio 31. El Banco del
comercio por la (adquierente) Tarjetahabiente envía
compra del el pago a la marca (al
tarjetahabiente banco de la marca).
4 El banco del
tarjeta habiente
carga a la cuenta
del tarjeta habiente.
4. El banco del
tarjetahabiente carga
a la cuenta del
CONFIDENCIAL tarjetahabiente
Autenticación como parte de la Autorización

Banda magnética /CVV/Chip
Presentar la tarjeta
al comercio
Formas tradicionales de Autenticación para transacciones con Tarjeta Presente:

• Presencia física de la tarjeta y su portador
• Firma en la tarjeta coincide con la firma en el voucher (Signature)
• PIN
CONFIDENCIAL
Proveedores de Servicios
Organizaciones directamente Ejemplos:

involucradas en el almacenamiento,
transmisión y Switching de • Procesadores de transacciones
transacciones de datos de pagos. • Gateways Payments
• ISO (Independent Sales Organization ISO)
• Servicios de reporte de crédito
• Impresión y magnetización de tarjetas
Organizaciones que proveen • Distribuidores de Tarjetas
servicios a los comercios y bancos, • Proveedores de servicio de adm. de firewalls e IDS (MSSP)
que pueden impactar la seguridad • Contact Centers
• Custodios de medios y documentación
de los datos de tarjeta habiente.
• Web Hosting y DataCenter Hosting Facilities (IaaS)
CONFIDENCIAL
Exclusiones:
• Proveedores de almacenamiento de cintas (sólo si reciben las datos cifrados, y
no reciben en las cintas las llaves de cifrado).
• Proveedores de Comunicaciones: Sólo si proveen el enlace de comunicaciones.
• ISPs.
CONFIDENCIAL
CONFIDENCIAL
QSA (Qualified Security Assessor)
• Autorizadas para validar la adherencia de una entidad a los requerimientos de PCI DSS.
• Verifican la información técnica entregada por quién desea certificarse en la norma PCI DSS.
• Provee soporte y guía para el proceso de cumplimiento.
• Evalúan en sitio.
• Seleccionan (muestreo) sistemas y componentes de sistema para la revisión en sitio.
• Evalúan controles compensatorios.
• Producen un Reporte Final (ROC).
CONFIDENCIAL
ASVs (Approved Scanning Vendor)
Organizaciones certificadas por el PCI SSC para ejecutar scan de vulnerabilidades

externos, en cumplimiento con los requisitos de la norma PCI DSS.
CONFIDENCIAL
Regulación respecto a PCI DSS
• PCI DSS representa un conjunto mínimo de objetivos de Control, los cuales pueden
ser mejorados por sectores Regulatorios Locales o Regionales.
• Los requerimientos regulatorios pueden exigir protección específica de Información

Personal u otros elementos, por ejemplo el nombre del tarjetahabiente (Leyes de
Privacidad, Leyes de Protección de Información Personal).
• PCI DSS NO PREDOMINA sobre leyes locales y otros requerimientos legales.
CONFIDENCIAL
Alcance de la Evaluación PCI-DSS
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS
Alcance
CDE – Entorno de
Datos del Tarjeta
Habiente
Segmentación
de Red
Flujo de Datos de
Tarjeta Habiente
CONFIDENCIAL
Requerimiento Zero ()

De manera anual y antes de la evaluación, la organización debe confirmar la exactitud del alcance de la norma PCI DSS,
identificando todas las ubicaciones y flujos de CHD, para garantizar que todas las ubicaciones hagan parte de la evaluación.
Identifica y documenta la existencia de CHD en el ambiente para asegurarse que no existan CHD fuera del CDE definido.
¿Herramientas de Discovery Data?

• Métodos o Procesos para identificar y documentar todas las
existencias de Datos de Tarjetahabiente.
• Efectividad y exactitud de los métodos usados serán verificados.
CONFIDENCIAL
¿CONOCEMOS NUESTRO CDE?

•Sabemos por donde fluyen números de tarjeta?
•Sabemos donde se almacenan?
•Sabemos quien los accede?
•Sabemos quien los extrae?
•Sabemos de quien los recibimos y a quien se los entregamos?
•Sabemos quien es el Responsable en caso de fugas de información de tarjetahabiente?
Es Imposible Proteger
Lo Que No Conocemos
CONFIDENCIAL
¿Qué son datos de Tarjeta-Habiente?
CONFIDENCIAL
Número de la Tarjeta (PAN)

Fórmula de Luhn ó Modulus 10 es el algoritmo utilizado para validar un número PAN - ISO/IEC 7813
CONFIDENCIAL
Datos del track

Chip Banda Magnética
CONFIDENCIAL
EMV
¿EMV resuelve el problema de Fraude ?
• EMV es una poderosa contramedida AntiFraude.
• EMV protege la tarjeta de simple clonación.
Ataques sobre EMV existen:

• Asuntos de Implementación que pueden ser resueltos.
• Son muchos mas costosos que los ataques a tarjetas de banda magnética.
• Datos sin protección pueden ser robados tanto en ambientes EMV y no EMV.
• Los criminales siempre toman el camino de menos resistencia.
CONFIDENCIAL
EMV
• Los datos Equivalentes al TRACK son mantenidos en el CHIP.
• No se debe guardar la información del TRACK.
• Los Datos del TRACK guardados en el CHIP pueden ser

utilizados para fabricar tarjetas falsas con banda magnética.
CONFIDENCIAL
Datos del Track 1 PROHIBIDO ALMACENAR
Formato
de código
PAN
Separador
Apellido
CVV / CVC
Separador de título
Sufijo
Separador de apellido
Reservado para el
Nombre
uso del emisor de la
Inicial tarjeta PVV/PVKI
Titular
Separador de título
Fecha de FUENTE:
expiración ISO/IEC 7813
Código de servicio Track 1: hasta 79 caracteres
Track 2: hasta 40 Caracteres
CONFIDENCIAL
Datos del Track II

PROHIBIDO ALMACENAR
PAN
Separador
Fecha de Expiración
Código de Servicio
Datos de
Verificación del PIN
FUENTE:
ISO/IEC 7813
Datos Discrecionales Track 1: hasta 79 caracteres
(CVV/CVC) Track 2: hasta 40 Caracteres
CONFIDENCIAL
CONFIDENCIAL
CONFIDENCIAL
Valor o Código de verificación de tarjeta
(1) En la Banda Magnética

(2) Impreso en la Tarjeta
CONFIDENCIAL
CDE
PCI DSS 3.2.1

Personas, Procesos y/o Tecnología que
almacenan, procesan y/o transmiten
CHD y/o SAD.
CONFIDENCIAL
CDE vs Alcance de Aplicabilidad

Se consideran dentro en el ambiente de datos de tarjetahabiente
(CDE) y por ende en el alcance, los componentes de sistemas que
cumplan con mínimo alguna de las siguientes condiciones:
1. Almacenan datos de tarjetahabiente.
2. Procesan datos de tarjetahabiente.
3. Transmite datos de tarjetahabiente.
CONFIDENCIAL

• Personas, Procesos y Tecnología que almacenan, procesan o
transmiten CHDo SAD.
• Los requerimientos de PCI DSS aplican a todos los componentes de

sistemas Dentro del o conectados al CDE.
• Un componente de sistema conectado es cualquier elemento de

red, servidor, dispositivo de cómputo y aplicación que está incluido
o conectado desde o hacia al ambiente de datos de tarjetahabiente.
Antes de abordar los requerimientos se debe realizar un análisis del Alcance

https://www.pcisecuritystandards.org/documents/Guidance-PCI-DSS-Scoping-and-Segmentation_v1.pdf
CONFIDENCIAL
Antes de abordar los requerimientos se debe realizar un análisis del Alcance
CONFIDENCIAL
Flujo de Datos de Tarjeta-Habiente

• CHD fluyen a través de Aplicaciones, sistemas y componentes
de red, es clave tener claro por donde fluyen y se almacenan.
• Es prioridad analizar la forma en que CHD son procesados y

almacenados en sus sistemas, y mapear todos los flujos de
datos relacionados.
1) Identificar cualquier sistema en el cual datos de tarjetahabiente son almacenados.

2) Revelar cuales componentes de estos sistemas están bajo control directo de la Organización.
3) Identificar puntos de interacción (demarcar responsabilidades y fronteras).
4) Encontrar Personas que acceden y manejan datos de tarjetahabiente.
CONFIDENCIAL
Tablas de ubicación de CHD
Aplicación Descripción/Ubicación Base de Datos Retención Justificación de la retención

(Legal/contractual/de negocio)
Base de datos / Nombre de Tabla / CHD almacenado Retención Justificación de la retención

Almacenamiento de CHD Archivos / Directorio (Legal/contractual/de negocio)
CONFIDENCIAL
Ejemplo de Almacenamiento
Los usuarios pueden almacenar Usuarios móviles
reportes que contengan CHD o Router El servidor puede estar
SSC Internet
discos locales. CHD Si almacenando los archivos de
transacciones que contengan el
PAN y los códigos CVC\CVV.
CHD Access Point Firewall

inalámbrico
Los usuarios pueden enviar emails Estaciones de Trabajo
o fax que contengan CHD a otros Servidor web
usuarios internos o terceros.
LAN Corporativa
Los servidores de
aplicaciones pueden
CHD CHD
almacenar archivos de
Los usuarios pueden
transacciones que contienen
almacenar reportes con CHD CHD
CHD códigos de PAN y CVC/CVV.
en carpetas corporativas. Servidor Servidor de
CHD Core Bancario
de e-mail bases de datos CHD
Servidor de CHD Aplicación de
archivos de la Servidor de tarjetas C/D
empresa aplicaciones (POS) Servidor
Transaccional
El CHD puede ser enviado a la base de
El CHD puede ser enviado desde un servidor de
datos del registro de auditorías del
aplicaciones hacia otro servidor de aplicaciones, El CHD puede estar en texto plano
servidor de aplicaciones.
aunque los datos no siempre sean requeridos. en los LOGS transaccionales.
CONFIDENCIAL
Ejemplo de Almacenamiento
Enlace con la Pasarela
Compras on-line de Pagos VPN Los Adquirentes
Oficinas Principales Enlaces Dedicados con las

Enlaces entre almacenes, puntos
DATA CENTER- entidades adquirentes.
de presencia (POP) y el Servidor de
SERVIDORES DE X.25
Transacciones
TRANSACCIONES Frame Relay
VPN
Aplicaciones de Pago MPLS, etc
DATA CENTER
SECUNDARIO
Supermercado con
Servidor Local
CONFIDENCIAL
Ejemplo de Transmisión
PROCESADOR
Payment gateway
Conexión Conexión
E F G Red Red H
AP Lan/Wan Lan/Wan
A B C D POS Server
Conexión Conexión Conexión
Conexión VISA II POS Server POS Server (Caja – POS)
Dial-up Red Lan/Wan WIFI
GPRS
COMERCIO
CONFIDENCIAL
Infraestructura Típica
Internet Banking REALCE, EMPAQUE, Cierres, Compensación,
DISTRIBUCION Contragargos, Adquirencia
INTERNET
Zona Conexión Data Center Principal

Terceros
HOST Bancario
WAN Sistema de Producción Tarjetas
Mobile Banking Monitoreo Transaccional / Bancario

ATMs, Kioskos, CDMs BASES DE DATOS
Middleware switch - EFT switch

HSM
Data Center Alterno

CALL CENTER
IVR
OFICINAS
CONFIDENCIAL
Procesos típicos
CONFIDENCIAL
Ejemplo de alcance PCI DSS

CANALES
Pin Pad BANCA
OFICINAS ATMs IVR MOVIL
PROVEEDORES DE PROVEEDORES DE
SERVICIO SERVICIO
Banca Virtual CONTACT CENTER CNB
Impresión de TELCOS
Extractos y listados PROCESOS TARJETAS
Emisión, Distribución y Adquirencia con Realce y
Gestión Entrega Establecimientos de Comercio
Áreas del magnetización de
Documental
Banco Tarjetas
Administración de Tarjetas Monitoreo y Transaccionalidad
CENTRALES DE
RIESGO Procesadores
APLICACIONES
Transporte y Monitoreo Grupo de Empresas
entrega de tarjetas CORE BANCARIO Aplicación Banca Virtual
Transaccional de Desarrollo
CUSTODIA DE
MEDIOS COMPONENTES DE SISTEMAS
SEGURIDAD RED SERVIDORES BASES DE DATOS
CONFIDENCIAL
Levantando flujos de CHD
¿Utiliza para su trabajo números de tarjeta crédito o débito? ¿Escanea (digitaliza) documentos con números de Tarjeta?
¿Consulta programas (Aplicaciones, Sistemas de Información) ¿Imprime documentos con Números de Tarjeta?
que muestran números de tarjeta?
¿Descarga a su computador N. de Tarjeta mostrados en los ¿Envía o carga archivos con N. de tarjeta a terceros,
sistemas de información que consulta? compañeros, jefes, subalternos, proveedores, clientes, etc.?
¿Escribe o Digita Números de Tarjeta en algún programa, ¿Almacena o consulta en un servidor de archivos de su área,
archivo o sistema de Información? oficina o del banco info. con N. de tarjeta crédito o débito?
CONFIDENCIAL
Levantando flujos de CHD
¿En qué formatos recibe números de tarjeta? En físico, por ¿Envía informes que contienen datos con N. de tarjeta
email, en CD, USB, impresos, formularios, movimientos, de crédito o débito a otra dependencia dentro del
detalles, en un File Server, dictados por teléfono. banco o fuera de éste?
¿Recibe informes o reportes que contienen datos con

¿Dónde guarda los números de tarjeta que recibe? N. de tarjeta de crédito o débito a otra dependencia
del banco o de alguna fuera de éste?
En caso de recibir en físico (medios impresos, Fax, CDs, DVDs, ¿Por cuanto tiempo debe almacenar esos archivos que
etc.) que contienen N. de Tarjeta, ¿donde guarda o a quién le contienen números de tarjeta y por qué?
entrega estos medios?
CONFIDENCIAL
Reducir el alcance
• Reducir al mínimo donde se almacenan datos de tarjetahabiente
• Segmentar la red y restringir el acceso
• Tercerizar el procesamiento y almacenamiento de CHD a organizaciones Cumpliendo

con PCI DSS.
El costo de la implementación y evaluación.

¿Por qué y para qué La dificultad de mantener PCI DSS compliance.
reducir el alcance?
El riesgo (al consolidar CHD en sitios controlados).
CONFIDENCIAL
Reducir al mínimo donde se almacenen datos de

Tarjetahabiente
ELIMINACIÓN
Muchas organizaciones y varias áreas no necesitan almacenar datos de tarjetahabiente.
Excusa: “Porque siempre lo hemos hecho así”.
CONSOLIDACIÓN
Identificación y consolidación de archivos, bases de datos y aplicaciones.
TRUNCADO, HASHING Y TOKENIZACIÓN
CONFIDENCIAL
Métodos de Segmentación
1. Firewalls Internos.
2. Routers y Switches L3
3. Otra tecnología que restrinja accesos a un segmento de red particular.
Según el documento de la norma PCI DSS, la segmentación

puede ser alcanzada a través de medios físicos o lógicos
CONFIDENCIAL
Propiedades de las ACLs Fuertes
Listas de Control de Acceso Fuertes al interior del alcance
1. No permitir Protocolos Riesgosos (Telnet, FTP).

2. Limitar el acceso a solo aquellos puertos o servicios requeridos.
3. Limitar el acceso por usuario/ por dirección IP/ por Terminal a sólo aquellos que requieren
acceso (justificado y documentado).
4. Habilitar Audit Loging en los elementos de red que tienen habilitadas las listas de acceso.
CONFIDENCIAL
Segmentación
Si la segmentación es nula, TODO esta en el alcance.
Network segmentation
Concepto que se refiere a la práctica de dividir la red en segmentos funcionales
e implementar un mecanismo de aislamiento entre los bordes.
Segmentación de la red aísla los sistemas del alcance de

aquellos que no pertenecen.
¿Quién determina si la Segmentación de Red es adecuada?
CONFIDENCIAL
CDE
Componentes de sistema que no pertenecen a
Debe existir desconexión física y/o
la categoría 1 ó 2. Componentes sin CHD, bien
lógica entre los componentes de la
segmentados del CDE y sin conexión al CDE.
Categoría 3 y la Categoría 1
Categoría 3
Fuera del alcance
Componentes de sistema que proveen servicios o
controles de seguridad al CDE (2A) o administran
un componente de sistema del CDE (2B).
Alcance de cumplimiento Categoría 2 Componentes que solo reciben información del
PCI DSS Conectados CDE (2C) o que envían información al CDE (2D).
Categoría 1 Las personas, procesos y tecnología que

CDE almacena, transmite datos de tarjeta-habiente o
En el límite de la Categoría 1 es datos sensibles de autenticación (1A), incluyendo
necesario aplicar segmentación cualquier componente de sistema conectado
de acuerdo a PCI DSS. directamente (1B) (no segmentado, ni aislado, ni
controlado el acceso según PCI DSS).
CONFIDENCIAL
Segmentación
Usuarios
Servidores Servidores
Financieros,
de CHD Usuarios de CHD
Tesorería
Financieros,
Tesorería
Servidores
Servidores
BackOffice
BackOffice
Usuarios
Servidores de Usuarios Servidores de
Desarrollo Desarrollo
CONFIDENCIAL
Mejores prácticas para la Implementación

de PCI DSS dentro de los procesos de negocio normales/cotidianos
• Monitoreo de los controles de seguridad.
• Si un control falla:
Restauración, Identificar la causa de la falla, resolver los asuntos de seguridad que
surgieron durante la falla, evitar que falla del control vuelva a ocurrir, monitoreo
mejorado por un periodo de tiempo para verificar la restauración efectiva del control.
• Cambios en el entorno.
• Comunicaciones y revisiones periódicas.
• Revisiones anuales de hardware y software (soporte).
CONFIDENCIAL

PCIDSS 3-2-1 Dia1 Modulo1 25042019

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

PCIDSS 3-2-1 Dia1 Modulo1 25042019

Încărcat de

Drepturi de autor:

Formate disponibile

Interpretación e Implementación de la Norma

PCI DSS v3.2.1

• Implementar y mantener un programa de cumplimiento de la norma PCI DSS de manera efectiva.

• Abordar consideraciones de implementación de la norma PCI DSS en ambientes reales.

• Adquirir conocimiento para abordar la implementación de PCI DSS en la organización.

• Experiencia en IT y en Seguridad de la Información.

• ¿Qué sabemos de la norma PCI DSS ?

Un Proyecto para alcanzar cumplimiento

II Alcance de la evaluación PCI-DSS

III Requerimientos PCI-DSS

Un “mundo” lleno de amenazas

Lo que no conoces, Entre mas se estudian, Para resolver un problema,

• Outsourcing de las funciones de Procesamiento Transaccional

Tipo de datos Objetivo

• Info. de tarjeta de pago • Registros financieros. • Nombre, dirección, impuestos,

Brecha / Compromiso / Fraude

Definición de Anatomía de una

• Hacktivistas, Gamers, Gamblers (Geeks, Jihadistas)

Economía Ilícita Paralela

• “Venta Final” sin garantía de validación vs. Reemplazos de Tarjetas Inválidas.

• Compras en Volumen: Mejor Precio

• Ventas en distintos Formatos (determina el Precio):

CVV2 Full-info card Dump

Verizon DBIR (2008 - 2018)

¿Quién está tras las brechas?

Informe DBIR de Verizon

Típicos patrones de ataque

Key loggers para capturar datos sensibles

Herramientas Debugging para capturar

Sistemas sin parches aplicados y sin

Datos sensibles almacenados Puntos de acceso inalámbricos inseguros

Reglas muy abiertas en la Seguridad

Acceso remoto inseguro

Desde la perspectiva del cliente

“Yo te di mi información, tu la expusiste, tu la perdiste, luego es tu culpa. Punto.”

Consecuencias de un compromiso de datos

Cada registro comprometido cuesta en promedio a una

Consecuencias de un compromiso de datos

“Las tarjetas de pago te llevan al dinero,

Razones para almacenar los datos de tarjeta

• Porque es la razón de mi de negocio. • Por Business Intelligence.

• Porque mi sistema es legacy y requiere update. • Para Chargebacks (Reembolsos).

• Porque fuerzas de la Ley me lo exigen. • Para análisis contra fraudes.

• Para la Identificación y seguimiento a clientes. • Porque mi Adquirente/Procesador me lo exige.

Una fuerte Invitación

Resolución de Disputas/Pleitos (Resolution Dispute Purposes)

Identificando cualquier transacción

• PAN Truncado (6 + 4, como máximo)

• Fecha y Hora de la compra

• Cantidad de la compra: $$$

Proteger la Información de nuestros clientes

MasterCard – (SDP) Site Data Protection

American Express – (DSOP) Data Security Operating Policy

JCB – Data Security Program

Discover – (DISC) Discover Information Security Compliance

SET fue desarrollado por SETco (VISA y MASTER) X.509

Europay, MasterCard y Visa. Chip & PIN.

Mejorar la seguridad en la industria de tarjetas de pago llevando a cabo educación y

Inicio Fue fundada por las 5 principales marcas de tarjetas de pago.

Objetivos del PCI SSC

• Mejorar la seguridad en la industria de tarjetas de pago (medios electrónicos de pago).

• Fomentar la educación y la adopción de los estándares.

• Gestionar los procesos de calificación y aprobación para ASVs/QSAs y laboratorios PTS.