Documente Academic
Documente Profesional
Documente Cultură
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos
3.2 3.4
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 1
Un diagrama de red actualizado con todas las conexiones (incluyendo Estándar para Firewall (que aísla
wireless) y También se debe tener diagrama del flujo de datos de el CDE de las redes no confiables)
tarjetahabiente a través de sistemas y redes
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 1.3:
Segmentación de red y reglas de Firewall
INTERNET CDE
• NAT/PAT
• DMZ
• Network Ingress Filtering (No Conexiones directas entre Internet y el CDE)
• Stateful Packet Inpection o tecnología similar
• AntiSpoofing
• Copias de Configuración (protegidas)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 1.3:
Aclaraciones
1.3.1 • DMZ implementada para limitar el tráfico de entrada a solo componentes de sistema que
proveen servicios, puertos y protocolos autorizados al público.
1.3.6 • Ubicar componentes de sistema que almacenan datos de tarjetahabiente (tales como bases
de datos) en una zona de red interna, segregado de la DMZ y otras redes no confiables.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 1.3:
Tips Importantes
• Puertos a bloquear (acceso desde Internet): 1434, 1433, 1521, 3389, 22, 161,
5060(UDP), 137-139, 445.
• Tráfico sobre el puerto 6667 Internet Relay Chat (IRC) a direcciones IP externas.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 1
Tenga listo: 3. Estándares de Firewalls (y demás componentes de red en caso que aplique).
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 2
Requerimientos 2.1:
Configuraciones por defecto
Cambie toda la configuración por defecto
(Contraseñas, SNMP community strings, llaves WPA, SSID, cuentas de sistema, entre
otros) antes de instalar un sistema en la red.
¡En INTERNET!
http://cirt.net/passwords
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.2:
Estándar de configuración de sistemas
Los sistemas que hacen parte del CDE deben tener guías de configuración estándar (hardening) y aplicarlas.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.2:
Estándar de configuración de sistemas
http://publib-b.boulder.ibm.com/Redbooks.nsf/searchdomain?SearchView&query=%5Bsubjects%5D=Security+and+iseries&SearchOrder=1&category=Security
http://www.hp.com/go/nonstop/security
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.2:
2.2.1 Implemente solo una función principal por servidor para evitar que funciones que requieren distintos
niveles de seguridad coexistan en el mismo servidor.
Nota: Donde tecnologías de virtualización sean utilizadas, implemente solo una función principal por servidor virtual.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.2:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.2:
Consideraciones de la virtualización
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.2:
Consideraciones de la virtualización
• Podrían tener aún CHD o SAD. Incluso PANs sin encriptar en la memoria.
• Recomendación: todas las VMs dentro del alcance (se facilita la seguridad).
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.2:
Tips importantes
Revise las “líneas base de estándares de configuración” o las “listas de chequeo de configuración”
para todo sistema del alcance PCI.
• ¿El proceso de configuración es manual o automático?
• ¿Existe dicho proceso para todo sistema?
• ¿Hacen parte del proceso de control de cambios?
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.3:
Accesos administrativos (no consola)
Cifre cualquier acceso ADMINISTRATIVO que no sea por consola (SSH, VPN, TLS 1.2 ).
Ej. 992 TCP Secure Telnet over TLS/SSL
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 2.4:
Componentes de sistema
Listado de hardware y software en el ALCANCE
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Hosting Providers
*2.6 Los proveedores de hosting compartido deben proteger el entorno y los datos del titular de la tarjeta que aloja la
entidad.
Anexo A1:
Requisitos adicionales de las PCI DSS para los
proveedores de hosting compartido
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 2
Tenga listo:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 3
Requerimientos 3:
Ciclo de vida de los datos
Recolección de
datos
Retención y Almacenamiento
destrucción de
datos de datos
Compartir los
Uso de datos
datos
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3:
Tabla de retención de CHD
Manejo, Conservación y Borrado de Data en Servidores y PCs, cintas, CDs, Medios removibles.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3:
Ejemplos Regulatorios
• Conservación, organización y control de la información comercial, contable, legal, fiscal e
histórica de la Institución Financiera.
• Custodiar y conservar las notas de compra, vouchers, por un término no inferior al previsto
en el artículo 60 del código de comercio o disposiciones que lo sustituyan.
ELIMINACIÓN DOCUMENTAL:
Destrucción de los documentos que han perdido su valor administrativo, jurídico, legal, fiscal
o contable y que no tienen valor histórico o que carecen de relevancia.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3.1:
Políticas y Procedimientos de Retención y
Disposición de Datos
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3.2:
Datos Sensibles
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3.2:
Datos Sensibles
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
• Enmascaramiento (Masking): Método para ocultar un segmento de datos del PAN, cuando son mostrados/desplegados.
Lista de roles que necesitan acceso a despliegues de full PANs documentada, junto con una necesidad legítima de
negocio para cada rol que tiene dicho acceso.
.
• Truncado (Truncation): Método para dejar el PAN ilegible de forma permanente, al remover un segmento del PAN. (6 + 4).
• Tokenización (Index Token): Un token criptográfico que reemplaza el PAN, basado en un índice de valor impredecible.
• Cifrado Fuerte.
Precaución
• Hashing (fuerte).
¿Cuál de estos métodos reduce el alcance?
¿Qué pasa si en un mismo servidor hay PAN transformados en hash y truncados?
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Base de Datos
TDE, DEE
Cifrado a nivel de Columna, TableSpace
Sistema Operativo
Cifrado en Disco, Cifrado
en Archivo/Directorio
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Veritape CallGuard
SEMAFONE
Verint-Witness - NICE - ASC Telecom - Red Box Recorders - CallCopy - ComputerTel - Retell -
CTI - Audiosoft - Cybertech - eTalk-Autonomy - Magnetic North - Oak - DTS Smartcall -
Voicenet - Storacall - TISL - Ultra - Versadial - Voicesafe - Xarios - Liquid Voice
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 3:
Secure Voice Transactions
https://www.pcisecuritystandards.org/documents/Protecting_Telephone_Based_Payment_Card_Data_v3-0_nov_2018.pdf
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 3: Tokenización
Aplicació
Gestor de n de
Llaves prevenci
ón de
Punto de fraudes
venta Llaves
Servidor - Minería de
Aplicació Token datos
n HR T T T Business
Texto cifrado
Intelligence
T Tokens
Aplicación T T
Bodega de CRM
datos
Copia de
seguridad
(back up)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 3:
Tokenización
Sitio web
PAN
Transacción PAN PAN Transacción
Exitosa Exitosa
TOKEN
PAN
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3.4.1:
Si hay cifrado en disco
• El acceso lógico debe ser independiente y separadamente de los mecanismos de
control de acceso y autenticación del sistema operativo nativo.
• Precaución: Se puede perder el cifrado cuando se mueva una imagen VM a otro HOST.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3.5:
Protección de llaves de Cifrado
Proteja las llaves de encripción contra mal uso o divulgación (Tanto KEK y DEK).
• Restrinja el acceso a la mínima cantidad de custodios.
• Guarde las llaves de la forma más segura posible (y en la menor cantidad de ubicaciones).
La gestión de llaves puede incluirse en módulos de hardware (HSM) o dispositivos PTS aprobados.
• Verifique que el producto implemente gestión de llaves.
• La documentación del proceso de gestión de llaves del producto es necesaria, excepto, si ésta se encuentra
documentada en el manual del producto.
• Precaución con la función de Gestión de Llaves en Ambientes virtualizados.
Como mínimo dos componentes de llaves full – length que sean basados en métodos aceptados
por la industria.
*3.5.1 Requisitos adicionales solo para los proveedores de servicios: Mantenga documentada la arquitectura criptográfica
- Detalles de todos los algoritmos, protocolos y claves (complejidad de la clave y la fecha de caducidad)
- Descripción del uso de la clave para cada tecla.
- Inventario de un HSM SMS y otros SCD utilizados para la gestión de claves.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3.6:
Gestión de llaves de Cifrado
Documentar e implementar todos los procesos y procedimientos de gestión de llaves, incluyendo:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 3.6:
Gestión de llaves de Cifrado
de un motor de base de datos
Llaves de las columnas cifradas
con la llave maestra (KEK)
Llave maestra
almacenada en PKCS#12
Llave maestra
almacenada y
gestionada por un HSM
Las llaves de columna cifran
datos en columnas
DBA abre la billetera (PKCS) que
tiene la llave maestra
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 3
Tenga listo:
3. Inventario de los Repositorios y Despliegues de CHD, junto con los roles definidos que pueden ver
PAN completos (full PANs).
4. Procedimiento de gestión de llaves criptográficas (para cifrado de base de datos y/o cifrado en disco).
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 4
Requerimientos 4:
Cifre Datos de Tarjetahabiente sobre
Redes públicas abiertas
• Use criptografía fuerte y protocolos de seguridad para salvaguardar los datos de
tarjetahabiente sensibles durante la transmisión sobre redes abiertas/públicas.
• Use mínimo TLS 1.2 o IPSEC para salvaguardar los datos durante la transmisión.
• Extended Validation (EV) SSL Certificates.
Requerimientos 4:
Cifre Datos de Tarjetahabiente sobre
Redes públicas abiertas
Firewall
VPN
Túnel VPN Sucursal
Gateway
TeleTrabajador Comercio
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 4.1.1:
Medidas de seguridad Wireless (802.11)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 4.2:
Tecnologías de mensajería de usuario final
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 4
Tenga listo:
1. URL y Dirección IP del servidor web público que utilizan para recibir transacciones con tarjeta
(Incluir que versión de SSL utilizan, empresa con la que adquirieron el certificado digital).
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 5
Requerimientos 5:
Antimalware
• Despliegue mecanismos antimalware en todos los sistemas comúnmente afectados
por virus (ejm: PCs y Servidores).
Asegure que todos son capaces de detectar, remover, y proteger contra otra forma de
software malicioso, incluyendo spyware, adware, rootkits.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 5:
Antimalware
Este requerimiento aplica a todos sistemas que son susceptibles a virus:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 5:
Códigos Maliciosos
Visa en recientes investigaciones ha identificado Códigos Maliciosos diseñados exclusivamente
para capturar datos de tarjetahabiente y datos sensibles de autenticación:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 5:
ATM Malware
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 5:
POS Malware
• DEXTER
• STARDUST
• BLACKPOS
• KAPTOXA
• ALINA
• JACKPOS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 5:
Negociando con Malware
COMMON MALWARE
VS.
TARGETED MALWARE
APPLICATION WHITELISTING
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 5:
Negociando con Malware
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento VI
Requerimientos 6:
Resolución de problemas
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.1:
Gestión de Parches
Identificar nuevas vulnerabilidades y que un ranking basado en riesgos sea asignado a tales vulnerabilidades.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.2:
Tipos de Parches
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
• Instale los hotfixes de seguridad CRÍTICOS dentro de un mes máximo después de su lanzamiento.
• Establezca un procedimiento para identificar nuevas vulnerabilidades de seguridad (US-CERT, SANS, Bugtraq, Symantec
DeepSight, MS Security Newsletter, Cisco IPSThreat Defense Bulletin, OSDV, NVD).
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
Integrando la seguridad en SDLC
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
Ciclo de seguridad en el software
DESARROLLO DESPLIEGUE
SEGURO SEGURO Revisión de:
• Diseño
• Código
• Documentación
OPERACIÓN SEGURA
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.3:
Controles de desarrollo de software
Incluya:
• Aprobación de la Gerencia.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.3.2:
Inspección de Código
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.3.2:
Inspección de Código
Revisión Manual
Pros Contras
Encuentra Problemas de Seguridad en la Arquitectura Uso costoso de Recursos Humanos
Encuentra Puertas Traseras Lógicas Requiere Experiencia y un completo entendimiento de seguridad y programación
Encuentra problemas de Implementación Lento. No todo el código puede ser cubierto en el tiempo asignado
Muy baja tasa de falsos positivos Puede estar sujeto a errores humanos
Análisis Estático
Pros Contras
Se ejecuta rápidamente Se puede pasar por alto problemas de arquitectura en la seguridad
Encuentra la mayoría de Problemas de Implementación Se puede pasar por alto Puertas traseras lógica
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.4:
Controles en el desarrollo de software
Incluyen:
• Datos de producción (PANs) no son usados para pruebas ni desarrollo.
• Borrar datos de prueba y de cuentas antes de llevar a producción.
• Separe ambientes de desarrollo/pruebas de ambiente de producción.
• Segregación de responsabilidades entre ambientes de desarrollo/pruebas y de producción.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.4.5:
Control de Cambios
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
Controles al desarrollo de Software
Deben existir prácticas de desarrollo seguro
• Los desarrolladores están entrenados en estas guías y poseen el conocimiento necesario para aplicarlas.
Adicionalmente deben poder evitar vulnerabilidades comunes y conocer como la información sensible
es manejada en memoria
• Cursos externos, librerías, entrenamientos on-line, etc.
*6.4.6 Al término de un cambio significativo, deben implementarse todos los requisitos pertinentes de la
PCI DSS en todos los sistemas y redes nuevos o modificados, y la documentación actualizada según sea el
caso.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.5:
Desarrollo de Software Seguro
• Desarrolle aplicaciones web (o TODAS) basados en guías de codificación segura.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
Tips: Seguridad en las Aplicaciones
cwe.mitre.org
http://cwe.mitre.org/top25/index.html
https://www.pcisecuritystandards.org/documents/PCI-Secure-Software-Standard-v1_0.pdf
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
Vulnerabilidades Web
1. AUTENTICACIÓN
ROBAR CUENTAS DE USUARIO
Fuerza Bruta, autenticación, insuficiente validación
4. EJECUCIÓN DE COMANDOS
y recuperación de contraseñas débiles. SECUESTRAR LA APLICACIÓN WEB
Buffer Overflow / Format String Attack / LDAP
Injection / SSI Injection / Xpath Injection
2. AUTORIZACIÓN
ACCESO NO AUTORIZADO A APLICACIONES
Credential / Session, prediction. Autorización 5. DIVULGACIÓN DE INFORMACIÓN
insuficiente. Expiración de sesión insuficiente. MUESTRA INFORMACIÓN SENSIBLE AL ATAQUE
Directory Indexing Information Leakage
Path traversal.
3. ATAQUES DEL LADO DEL CLIENTE Predictable Resource Location.
EJECUCIÓN INTRUSIVA DE CÓDIGO FORÁNEO
Content Spoofing, Cross – Site Scripting (XSS)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
Ataques Prevalentes
• Sql Injection:
Le permite a un adversario ejecutar sentencias SQL no
autorizadas contra la base de datos, a través de la aplicación,
dándole acceso completo a la base de datos.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
¿Qué es el SQL Injection?
Una metodología de ataque que manipula el SQL
que hace una aplicación. Query SQL
Por ejm un hacker inserta código SQL en un form extrayendo tarjetas
de una aplicación o en el parámetro de un URL. de crédito
Base de Datos
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6:
¿Qué nos ofrece OWASP?
• Information Gathering
• Configuration Management Testing
• Business Logic Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Data Validation Testing
Application Security Verification Standard (ASVS) • Denial of Service Testing
OWASP Developer’s Guide
OWASP Testing Guide • Web Services Testing
OWASP Code Review Guide
• Ajax Testing
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.6:
Proteja las Aplicaciones Web
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.6:
Scan de vulnerabilidades a aplicaciones Web
http://sectools.org/web-scanners.html
Son muy conocidos Nikto, Wikto, Wapiti y N-Stealth; no confundir con scan a Web Servers.
Este es un muestreo de vulnerabilidades web que pueden encontrar las anteriores herramientas:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.6:
WAF: Web Aplication Firewall
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 6.6:
¿Qué debe tener un buen WAF?
• Proteger contra el OWASP Top Ten (Requirement 6.5)
• Inspeccionar el tráfico web de entrada y salida (permitir, bloquear, alertar, registrar) basado en reglas.
• Evitar fugas de datos.
• Tener modelos (“white list”) (“black list”).
• Inspeccionar contenido del sitio web (HTML, DHTML, CSS, HTTP/S).
• Inspeccionar mensajes web services (SOAP, XML).
• Defender contra amenazas que van dirigidas contra el mismo WAF.
• Terminador de sesiones SSL.
• Detección de Defectos en la Aplicación
• Perfilación Dinámica de Aplicaciones
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 6
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento VII
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 7.2:
Solución de Control de Acceso
Usuarios
Servidor de Seguridad en BD
protección de Seguridad
recursos en OS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento VIII
Requerimientos 8.1:
Gestión de IDs de usuarios
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.1:
Gestión de IDs de usuarios
• Controlar la adición, borrado y modificación de credenciales de usuario, UserIDs y otros objetos
identificadores.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.1.5:
Gestión de ID de Terceros
Gestión de los IDs usados por cualquier usuario interno o externo
(Para acceso, soporte o mantenimiento de componentes de sistema vía acceso remoto) (8.1.5)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.2:
Métodos de Autenticación
• Contraseña (Pasword/Passphrase).
• Dispositivos Token (ejm: SecureID, SmartCard).
• Biometría.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Métodos de Autenticación
Evite reciclar viejas Utilice caracteres
contraseñas. (4) alfanuméricos
Comunique procedimientos de
contraseña y políticas a todos los
usuarios que tengan acceso a No comparta su
contraseña, y que no Bloqueo de la cuenta
información de tarjetahabiente. sean genéricas o de después del sexto intento
grupo de login
15 minutos de Bloqueo de la
inactividad. la cuenta por 30
sesión se bloquea minutos
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8:
Directivas de Seguridad Local
en el controlador del dominio
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8:
Sesiones desatendidas: 15mins
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.3:
Autenticación de múltiples Factores
Implemente autenticación de múltiples factores para
acceso remoto a la red por parte de los empleados,
administradores o terceros.
*8.3.1 Incorporar la autenticación de múltiples factores para todo acceso que no sea
de consola en el CDE para el personal con acceso administrativo.
https://www.pcisecuritystandards.org/pdfs/Multi-Factor-Authentication-Guidance-
v1.pdf
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.3.2:
Autenticación de múltiples Factores: Acceso Remoto
AAA
Tokens
Firewall
Remote Offices
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.4:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.6:
En caso de uso de diferentes
Métodos de Autenticación
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8.7:
Accesos directos a bases de datos
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8:
Manejo de Cuentas Privilegiadas
• CUENTAS DE ADMINISTRADORES
• CUENTAS INTEGRADAS EN UN SISTEMA PARA CONECTARSE A OTRO
• CUENTAS USADAS PARA EJECUTAR SERVICIOS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 8:
Tenga listo:
1. Política/Norma de passwords y procedimiento de Control de Acceso (Autenticación, y Gestión
de contraseñas que apliquen a todos los componentes de sistema).
4. Listado de personal interno o externo que ingresan remotamente a los componentes de sistema
a realizar revisiones y mantenimientos (mecanismo de acceso).
5. Listado de usuarios que puedan hacer consultas (queries directos) a las bases de datos sin pasar
por la aplicación, si es así, que herramienta y mecanismo utilizan.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento IX
Requerimientos 9.1:
Seguridad Física
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 9.3:
Control de Acceso Físico para personal
en sitio a las áreas sensibles
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 9.9:
Proteger de alteración y sustitución
los dispositivos que capturan CHD vía interacción directa con la tarjeta
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 9.9:
Suplemento de ayuda al Requerimiento 9.9
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 9:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 9:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento X
Requerimiento 10:
Accountability
1. Log:
Dato recolectado y automáticamente
ALERTA archivado que registra una actividad.
No vea
¡observe! EVENTO 2. Evento:
EVENTO Logs que tienen relevancia en cuanto a
EVENTO seguridad, operación o conformidad
EVENTO
(compliance).
LOG LOG LOG LOG
LOG LOG
LOG LOG LOG LOG 3. Alerta:
LOG
LOG Eventos, o combinación de eventos
LOG LOG LOG LOG
correlacionados, que requieren
Íntegros Oportunos Relevantes Autorizados
notificación y respuesta inmediata.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10.2:
Registre el acceso a datos de Tarjeta habiente
Todo acceso a
Todo acceso logs de Intentos no
de usuario auditoría válidos de
individual acceso lógico
Toda acción Uso de y
realizada por modificación a
usuario con mecanismos de
privilegios identificación y
autenticación
El inicio, pausa
Creación y
y/o apagado
EVENTOS borrado de
de los logs de
objetos a nivel
auditoría AUDITABLES
de sistema.
Establezca un proceso para enlazar todos los accesos a los componentes del sistema a un usuario, de forma individual.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10.3:
Características de los Logs
Lista de campos que un log de auditoría debe tener como mínimo: (Audit trail entries)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10:
Directivas de Seguridad local
.ORA
*.audit_sys_operations=TRUE
*.audit_trail='OS'
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10:
Logs y Accounting en Linux
/etc/syslog.conf
/var/log/secure
/var/log/messages
/var/log/httpd/error_log
/var/log/httpd/access_log
~/.bash_history
/var/run/utmp
/var/log/wtmp
/var/log/btmp
/var/log/lastlog
/var/log/audit/audit.log
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10:
Logs de acceso a datos de Tarjetahabiente
El objetivo es tener trazabilidad sobre “Quién” hizo “Qué” y
“Cuándo”, a nivel de sistema operativo, aplicación y red.
Todo Query SQL o transacción que no se haga por medio de la aplicación, se debe registrar.
Facilitar una Alertar sobre actividades Evitar ser alterados Rastrear e identificar
investigación forense sospechosas todas las actividades de los usuarios
en los componentes de sistema.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10.5:
Protección de los Logs
Registros de las
Limite la Asegure los Logs de tecnologías externas
consulta de logs Auditoría para que no en un servidor de
sean alterados: LAN interna.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10:
¿Qué tan pronto se deben mover los Logs?
Logging Matrix:
¿Cada cuánto cambian? - Con todas las fuentes de Logs identificadas.
¿Qué carga generan tanto en la red como en el servidor? - Ver que Logs se generan y donde se almacenan.
- Ver que es útil.
• Los dispositivos de red soportan syslog, snmp, AAA, y envían sus Logs casi en tiempo real, usualmente menos de 1 minuto.
• Logs basados en Archivos Planos: Generalmente la aplicación no tiene forma de enviarlo a un Servidor Central. Un batch
script o un Agente puede ser usado para mover los Logs. La frecuencia depende de la Aplicación.
• Logs de Auditoría en las bases de Datos: Depende del volumen de Logs y la carga puesta en el servidor. Se pueden mover
cada 5 a 15 minutos.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10.4:
Tiempo Sincronizado
Sincronice todos los relojes y
Centralización tiempos de los sistemas
de Logs
Servidor AAA/ Syslog
TACACS+ RADIUS
time.nist.gov
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Aseguramiento de
Logs de Auditoría
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10.6:
Monitoreo de Logs
http://www.securitywarriorconsulting.com/security-incident-log-review-checklist.pdf
https://www.pcisecuritystandards.org/documents/Effective-Daily-Log-Monitoring-Guidance.pdf
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10.6:
¿Qué tipo de alertas?
• Nuevas cuentas creadas
• Nuevos privilegios adicionados a una cuenta de usuario
• Cambios en las reglas del firewall
• Múltiples intentos de acceso fallidos
• Falla en la carga del AV
• Malware detectado
• Logs creados o reiniciados
• Recolección de Logs fallida de los componentes de sistema
• Cambios en las cuentas de usuario
• Actividades de usuarios root/administrador
• Revisión de logs periódica de otros componentes de sistema basado en las políticas y estrategia de gestión de
riesgos, como se determinó en la valoración anual de riesgos (10.6.2).
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10:
Gestión de Logs
Una Solución Optima SIEM:
ALMACENA
• Soporta almacenamiento y reportes a largo plazo (compresión de
RECOLECTA logs): ¿3 meses -1 año?
y ARCHIVA
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10:
Niveles de madurez en la gestión de Logs
Monitoreo de Logs:
Información de la Seguridad es monitoreada casi en tiempo real
Revisión de Logs:
Logs son recolectados y revisados diariamente
Reportes de Logs:
Logs son recolectados y los reportes son revisados mensualmente
Investigación de Logs:
Logs son recolectados y observados en caso de un incidente
Recolección de Logs:
Logs son recolectados y almacenados, pero son pasados por alto
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 10:
Requerimiento 10.8
• 10.8, 10.8.1 Nuevo requisito para los proveedores de servicios de detectar e
informar sobre los fallos de los sistemas críticos de control de seguridad.
• Firewalls
• IDS/IPS
• FIM
• Anti-virus
• Physical access control
• Logical access controls
• Audit logging mechanisms
• Segmentation controls (if used)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 10:
Tenga listo:
1. Norma de Sincronización de reloj de los componentes de Infraestructura.
4. Mecanismo usado para la centralización de los logs de cada uno de los componentes de sistema.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento XI
Requerimiento 11:
Wireless en PCI DSS
No permita que los requerimientos relacionados con redes inalámbricas lo desvíen del cumplimiento.
1.1.2
1.2.3
2.1
2.1.1
4.1
4.1.1
9.1.3
10.5.4
11.1
12.3
12.10.3
12.10.5
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.1:
Wireless en PCI DSS
Al menos trimestralmente, identificar elementos
wireless intrusos utilizando un Wireless Analyzer, ó
Wireless IPS/IDs (en tiempo real), u otro
mecanismo efectivo (Inspección visual, NAC, etc.)
OJO: Una red sin elementos inalámbricos no
significa que el numeral 11.1 No Aplica.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11:
Niveles CVSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11:
ASVs (Approved Scanning Vendor)
Organizaciones certificadas por el PCI SSC para ejecutar scan de vulnerabilidades externos,
en cumplimiento con los requisitos de la norma PCI DSS.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11:
ASVs (Approved Scanning Vendor)
No está permitido:
Denial of service (DoS)
Buffer overflow exploit
Brute-force attack resulting in a password lockout
Uso excesivo de ancho de banda
https://www.pcisecuritystandards.org/pdfs/asv_report.html
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11:
Consideraciones sobre el ASV
• Determinar versión de Sistema Operativo, si son versiones que ya no tienen soporte, el escan se considera fallido.
• Tener en cuenta IDS/IPS y balanceadores de carga, para que no afecten el resultado del escan externo.
• La solución de escanning del ASV debe ser capaz de detectar accesos abiertos a bases de datos desde el Internet.
• La solución de escan del ASV debe detectar y reportare validez, autenticidad y fecha de expiración del certificado
digital del sitio web.
• Todas las IPs externas y FQDN (Dominios). Resultados fallidos en un Scan de Vulnerabilidades
externo pueden ser indicador de que Otros
requerimientos de PCI DSS no están implementados
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11:
Informe / Reporte de Test de Vulnerabilidades
El reporte de los escaneos debe basarse en prácticas de industria y como mínimo debe incluir para cada
vulnerabilidad encontrada, lo siguiente:
• Nombre de la vulnerabilidad.
• Número de Referencia de Industria, ya sea CVE, CAN o Bugtraq ID.
• Nivel de severidad basado en el Common Vulnerability Scoring System (CVSS), http://www.first.org/cvss
• Explicación completa de la vulnerabilidad.
• Solución o mitigación.
• Referencias a las compañías/organizaciones que proveen las solución para la vulnerabilidad (si está disponible).
• Para cada dirección IP, un plan de mitigación/solución consolidado.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11:
Ejemplos de herramientas de
Análisis de Vulnerabilidades
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11:
Recomendaciones / Test de Vulnerabilidades
Si el escan no puede detectar vulnerabilidades en los sistemas de cara a Internet (públicos) debido a que es bloqueado
por un IDS/IPS, estas vulnerabilidades permanecerán sin corrección y pueden ser explotadas si el IDS/IPS cambia o falla.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.3:
Test de Intrusión Para verificar que la segmentación sigue siendo efectiva y está operando, y se mantiene
el aislamiento de sistemas fuera del alcance.
* 11.3.4.1 Si se utiliza la segmentación, confirme el alcance de la PCI DSS al realizar pruebas de penetración en los controles de
Services providers segmentación al menos cada seis meses. Verificar personal calificado. 11.3.4.c
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.3:
Metodologías de PEN Testing
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.3:
Tips: Test de Intrusión
Profesional Calificado intentará probar los controles de seguridad en Red y Aplicaciones
• ¿Estamos tratando de defendernos de Atacantes con pocas habilidades quienes son capaces de descargar y ejecutar un
Scanner de Vulnerabilidades contra nosotros?
• ¿Estamos tratando de defendernos contra atacantes inteligentes, con herramientas avanzadas, habilidades y mucho
tiempo, quienes hábilmente pueden explotar una serie de vulnerabilidades y obtener acceso a nuestros datos sensibles?
Vs.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
• Nuevas instalaciones de componentes de sistema (nuevos sistemas, nuevos servidores, nuevas aplicaciones).
• Cambios en la topología de red (especialmente nuevos caminos entre el CDE y el mundo externo, Internet).
• Modificación de reglas en el firewall (especialmente reglas adicionales que permiten tráfico a o desde el CDE.
• Actualización de productos.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.4:
IPS o IDS
• Usar Sistemas de Detección/Prevención de Intrusos.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.5:
Mecanismos de detección de cambios
(ej. FIM – FILE INTEGRITY MONITORING)
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.5:
FIM: File Integrity Monitoring
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.5:
FIM: File Integrity Monitoring
C:\WINDOWS\explorer.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\vmmreg32.dll
C:\WINDOWS\winhelp.exe
C:\boot.ini
C:\ntldr
C:\WINDOWS\system
C:\WINDOWS\system32
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Ejemplos de
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters Archivos/Directorios/Registros a
Monitorear en Windows 2008.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.5:
FIM: File Integrity Monitoring
/.profile
/.ssh/known_hosts
/bin
/etc Ejemplos de Archivos a
/sbin Monitorear en AIX 5.3
/lib
/usr/ccs/lib
/usr/lpp/X11/lib
AUTL
MODULE
MSGF
PGM Ejemplos de
USRSPC Extensiones/Archivos a
/QSYS.LIB/QAFP.LIB Monitorear en AS/400
/QSYS.LIB/QDEVTOOLS.LIB
/QSYS.LIB/QCCA.LIB
/QSYS.LIB/QSYSINC.LIB
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11.5:
FIM: File Integrity Monitoring
Ejemplos de Directorios a
C:\Program Files\Microsoft SQL Server Monitorear en SQL 2008
y SQL 2012
/u01/app/oracle/product/10.2.0/network/admin/tnsnames.ora
Ejemplos de Archivos/Directorios a
/u01/app/oracle/product/10.2.0/srvm/admin/init.ora
/u01/app/oracle/oradata/orcl Monitorear en Oracle bajo Solaris
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 11 :
Tenga listo:
1. Procedimiento de manejo de incidentes.
5. Resultados de escaneos de vulnerabilidades ejecutados cuando hubo cambios en la red y en las aplicaciones.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento XII
Requerimiento 12:
Sub - Requerimientos
Individuo o
Política de Responsabilidades
Políticas Equipo de
Seguridad De Seguridad
De Uso Aceptable Seguridad de
de la Información de la Información
la Información *12.4.1: Asignación formal
programa PCI
*12.11: Revisión trimestral de
Programa de
Procedimiento de Procedimiento aplicación de políticas y
Concienciación Plan de Respuesta
Selección de para procedimientos. Revisión de
de Seguridad a Incidentes
Personal Gestionar Terceros informes de gestión del programa.
de la Información
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 12.2:
Valoración formal de Riesgos
Es importante que las organizaciones comprendan que una Protección de Datos completa requiere tecnologías
y procesos que se extienden más allá de los requerimientos planteados por PCI DSS
• ACTIVOS DE INFORMACION
(Componentes de Sistema dentro del CDE)
• AMENAZAS
• VULNERABILIDADES
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 12.3:
Políticas de uso
Es necesario identificar y establecer políticas de uso para las tecnologías criticas
USO DE INTERNET. USO DE CORREO ELECTRONICO, ACCESO REMOTO, LAPTOPS, DISPOSITIVOS EXTRAIBLES, entre otros
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.6:
Programa de concienciación de Seguridad
Programa de Personas, como la primer
Concientización línea de Defensa
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.6:
Programa de concienciación de Seguridad
Un Refuerzo continuo en conceptos y prácticas de seguridad para todos los usuarios debería tener lo siguiente:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Temas comunes en campañas de concienciación
• Vigile el Fax.
• Envío de email de forma segura. Cifre primero, o no envíe nada.
• Haga copias cuidadosamente. Uso de la impresora y fotocopiadora.
• Utilice la máquina destructora de papel (shredder).
• Deje mensajes de voz discretos.
• Proteja su ID de la oficina. Como si fuera su propia tarjeta o dinero en efectivo.
• Evite tratar temas sensibles en público. Nunca se sabe quien está escuchando.
• Identifique extraños. Gestión de visitantes.
• Cuidado con lo que está en pantalla. Sólo para tus ojos
• Tenga cuidado con sus documentos. (Política de escritorio limpio).
• Evite tratar temas sensibles por Teléfono.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimiento 12:
Security Mindset
Fundamentos de Seguridad
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.8:
Datos de tarjeta habiente
compartidos con terceros
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Más sobre Proveedores de Servicio
Grupo 1: Grupo 2:
Aquel que almacena, procesa o Aquel que gestiona
transmite datos de tarjetahabiente (en componentes como routers,
nombre de la entidad y/o para cumplir firewalls, bases de datos, y/o
con un servicio adicional). servidores.
Cualquiera de ellos podría impactar la seguridad de los datos detarjetahabiente, y podría impactar el logro
de la certificación.
Estos proveedores pueden emprender su propia evaluación PCI DSS, o será necesario ser revisados durante
el curso de la evaluación propia de la entidad.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
A tener en cuenta con Proveedores
• La organización que usa servicios de Hosting, debe tener certeza que la evaluación PCI DSS de su proveedor es
suficiente, y que todos los controles relevantes al ambiente de la organización han sido evaluados.
• El Proveedor debe estar preparado para entregarle a sus clientes evidencia suficiente y rigurosa que indique
claramente que los componentes bajo su control están cumpliendo PCI DSS.
• Como con cualquier servicio gestionado, es crucial que la entidad hosteada y el proveedor claramente definan y
documenten las responsabilidades asignadas a cada parte para mantener los requerimientos de la norma PCI DSS.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.8:
PCI DSS en la Nube
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.8:
Seguimiento a Terceros
Al menos una vez al año, se deberá revisar la lista de proveedores de servicio y hacer el seguimiento para
verificar el cumplimiento de la norma PCI DSS. Tener en cuenta y usar a discreción la siguiente plantilla.
Nombre del Descripción del Fecha de inicio Cantidad de Datos de Fecha en la que se Área, entidad o
Proveedor de Proveedor de y finalización Tarjetahabiente que accede, realizó el último persona
Servicio Servicio de contrato procesa o recibe (para determinar seguimiento del estado responsable del
nivel de riesgo y prioridad) de cumplimiento PCI seguimiento PCI
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.9:
A tener en cuenta con Proveedores
• Mantener información sobre cuales requerimientos PCI DSS son gestionados por cada proveedor de
servicio, y cuales son gestionados por la entidad.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.10:
Incidentes: Cuando lo peor ha sucedido
Los Incidentes de seguridad son un evento simple
o una serie de eventos inesperados e indeseados,
que van contra la seguridad de la información.
Van en contra del CDE
¿A quién
reportar el
Incidente?
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Plan de respuesta a Incidentes
• Preparación: Lograr que el entorno organizacional y su personal esté listo para
1 manejar incidentes
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Plan de respuesta a Incidentes
Ataque Inicial a
Compromiso Inicial
Compromiso Inicial a
Exfiltración de Datos
Compromiso Inicial
al Descubrimiento
Descubrimiento a la
Contención/Restauración
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Señales de un Incidente, sospechemos de:
• Intentos de inicio de sesión fallidos.
• Modificación o borrado de datos sin explicación.
• Presencia de direcciones IP desconocidas en las redes.
• Servicios inesperados y desconocidos configurados para que se activen automáticamente en el proceso de boot.
• Intentos de SQL Injection en los servidores web.
• Nuevas cuentas de usuario creadas de forma inexplicable.
• Presencia de archivos zip, rar, tar, u otros tipos de archivos comprimidos que contienen datos de tarjetahabiente.
• Sistemas reiniciándose o apagándose por razones desconocidas.
• Presencia de Rootkits, los cuales ocultan ciertos archivos y procesos.
• Actividades en los sistemas, en horas no laborales.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
• Conexiones desde terceros hacia el CDE sin previa autorización o consentimiento (ticket).
• Programa AV en mal funcionamiento o se deshabilita por razones desconocidas.
• Archivos, software y dispositivos desconocidos instalados sobre los sistemas.
• Modificaciones en los Logs de eventos de autenticación (ej. eventos de logs sin explicación están siendo borrados).
• Tráfico desconocido o inesperado saliendo hacia Internet desde el CDE.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
¿Quién descubre los Incidentes?
• De acuerdo a los Reportes (de VERIZON), el 70% de las brechas son descubiertas por terceros.
• Por las Marcas de Tarjetas de Pago.
• Por las Fuerzas de la Ley.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Una Entidad comprometida debe:
Contener y limitar la exposición inmediatamente.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12.11:
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Tenga listo:
1. Procedimiento o marco de evaluación de riesgos de activos de información.
2. Políticas de uso aceptable (email, Internet, uso de medios removibles, marcación de equipos,
acceso remoto, etc.)
CONFIDENCIAL
Anexo A
• Anexo A Anexo A1 Renumerado Anexo “Additional PCI DSS
Requirements for Shared Hosting Providers” Debido a la inclusion de
nuevos Anexos.
Anexo A
• Anexo A2 Nuevo Anexo con requisitos adicionales para entidades
que utilicen SSL / versiones obsoletas de TLS, incorporando nuevos
plazos de migración para la eliminación de SSL / versiones obsoletas
de TLS.
Anexo A
• Anexo A3 Nuevo Anexo para incorporar la "Validación
Complementaria de Entidades Designadas" (DESV), que
anteriormente era un documento separado.
Módulo III: Requerimientos PCI - DSS
Requerimientos 12:
Tenga listo:
7. Listado de personas que ingresaron el último año a la organización (para validar si fueron
sensibilizadas en temas de seguridad cuando recibieron la inducción).
CONFIDENCIAL
Requerimientos de la Política de
Seguridad de la Información
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
• La documentación es fácil de ignorar, cuesta y a nadie le gusta hacerla (¡la cruda verdad!).
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Compromiso de la Gerencia
instalaciones permanente mercado Documentación.
Sitios
Activos físicos Empleados Datos de remotos. Plan de
(genérico) de terceros empleados Respuesta a
Usuarios Emergencias.
Hardware de TI remotos.
(Centro de Socios Bases de datos Planes de
Cómputo) Continuidad
Seguridad en de Negocio.
Datos de los Aplicaciones
Visitantes
clientes. Planes de
Sitio Web. Recuperación de
Seguridad en Datos de Desastres.
eventos Tarjetahabiente Evaluación
especiales Intranet. Formal de
Riesgos
Tip: Las Políticas de Seguridad no necesitan imitar la numeración de cada requerimiento de PCI DSS,
aunque dicha numeración puede simplificar su creación.
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Pirámide Documental
Políticas
Normas
Estándares
Procedimientos
Guías de Configuración
Registros
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
9.8
8.1
8.4
8.5.b
9.6
9.7 12.10
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Las Normas…
Las normas siguen la misma estructura de las políticas, pero especifican lo
que se debe hacer (en términos generales) para cumplir con las políticas.
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Los Estándares…
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Los Procedimientos…
Las procedimientos indican claramente las acciones a seguir y los responsables (roles).
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Todo dispositivo o sistema que haga parte del alcance PCI, debe tener
una guía de configuración y aseguramiento basado en las mejores
prácticas de seguridad de la información (Hardening).
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Registros…
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
• La dirección (gerencia) debe asegurarse que las políticas son aprobadas, distribuidas y usadas.
• Las políticas y procedimientos son revisados regularmente y actualizados (al menos una vez al año).
• Tener y usar un sistema de documentación electrónica, controlar las versiones de los documentos.
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Controles Compensatorios
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
• No hay garantía que un control compensatorio aceptado hoy, sea igual de efectivo
dentro de un año. Surgen nuevas amenazas.
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Controles Compensatorios
Pueden ser
PERMANENTES
Reevaluados anualmente para
TEMPORALES
determinar su efectividad en el
Mientras dure la restricción.
tiempo, a la luz de la evolución de las
amenazas o de cambios en el entorno.
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Ejemplos de Restricciones
8.2.3 – Sistemas antiguos no aceptan contraseñas de 7 o más caracteres y no aceptan contraseñas alfanuméricas.
6.3 – No hay presupuesto ni personal para ambientes separados de desarrollo, pruebas y producción.
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
1. Limitaciones/Restricciones.
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
CONFIDENCIAL
Un Proyecto para alcanzar
cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
PHVA
PLANEAR HACER VERIFICAR ACTUAR
Levantar y Documentar Flujos de Implementar plan de acción Evaluación de PCI DSS Asegurar sostenibilidad del
información de Tarjeta Habiente Cumplimiento de PCI DSS
Asignación de recursos Sistema de Gestión de
Descubrimiento de datos Seguridad de la Información
de tarjeta Habiente Implementar Controles para los Procesos de
Información de tarjeta habiente
Definición de Alcance Implementar Procesos y ISO 27000
Procedimientos
Valoración de Riesgos
Ambiente de tarjeta Habiente
Identificación de Vulnerabilidades
de red, Aplicación
Plan de acción
Entrenar al personal
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
Actividades a Realizar
1.
Observación de sistemas y sus configuraciones
o archivos de configuración. 4.
2. Observaciones, procesos, acciones o estado
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
Fuente: https://www.pcisecuritystandards.org/documents/PCI_DSS_2.0_ROC_Reporting_Instructions.pdf
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
Definir Responsables
• Seguridad de la información.
• Operadores y Administradores de IT:
• Administradores de aplicaciones.
• Administradores de Bases de Datos.
• Administradores de S.O.
• Administrador de componentes de redes y seguridad informática.
• Encargado del servidor de sincronización de hora.
• Encargado del test de vulnerabilidades.
• Encargado de archivo y gestión documental.
• Encargado de los backups.
• Administrador Data Center.
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
Definir Responsables
• Seguridad Física.
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
• Business Case.
• Educar al personal.
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
• Efectividad
Cuando esté buscando • Costo
productos y servicios para
• Tiempo de Instalación
estar en cumplimiento,
considere: • Tiempo de Mantenimiento
• “Transparencia”
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
Enfoque Priorizado
6 HITOS
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
Evaluación en SITIO
CONFIDENCIAL
Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Clasificación de comercios
por parte de las marcas
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Clasificación de comercios
por parte de las marcas
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Clasificación de comercios
por parte de las marcas
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Validación de Requerimientos
Comercios 1 y 2
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Validación de Requerimientos
Comercios 1 y 2
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Validación de Requerimientos
Comercios 3 y 4
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Adquirentes - Comercios
• Puede parecer injusta la norma a los comercios, pues se está en el negocio para vender mercancía, no para
ser expertos en seguridad.
• Aunque los comercios de Nivel 4 manejan pocas transacciones comparados con los otros niveles, ellos son
cerca del 99 % de los comercios.
• Adquirentes deben clasificar sus comercios, basados en las tablas que emiten las marcas, pero pueden tener
en cuenta criterios locales adicionales.
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Tipos de SAQ
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
• Preguntas que se correlacionan con los requisitos de la Norma PCI DSS, apropiadas para los
Proveedores de Servicio y Comercios.
• Confirmación de Cumplimiento (Attestation of Compliance).
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
MASTERCARD
http://www.mastercard.com/sdp
AMEX
http://www.americanexpress.com/datasecurity
DISCOVER
http://www.discovernetwork.com/merchants/fraud-protection
http://servicecenter.discovernetwork.com/msc/exec/dataSecForm.do
JCB
http://www.jcb-global.com/english/pci/index.html
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
• Dado que el QSA no trabaja en la compañía todo el tiempo, le es imposible asegurarse que la compañía cumpla
con el estándar el 100% del tiempo.
• Únicos autorizados para validar la adherencia de una entidad a los requerimientos de PCI DSS.
• SINERGIA. Influyen Positivamente a sus clientes, pero también son influenciados positivamente por ellos.
• Un nuevo enfoque: Encuentra todo lo que puedas. Pagamos por tiempo y materiales, y encuentra todo lo posible e
infórmenos de las debilidades.
• Una QSA no solo asesora a un negocio en cómo alcanzar cumplimiento, sino cómo permanecer en cumplimiento.
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
• Cuando escoja a su asesor, entienda su metodología y cultura de negocio. ¿Encaja con la cultura de su organización?
• Buenos asesores interactúan constantemente. Inclúyalos en las fases de remediación. Establecer relaciones a largo plazo.
• Los asesores son humanos y pueden cometer errores. Tener un diálogo abierto para resolver diferencias.
• Algunos QSAs tiene sus raíces en la seguridad, otros tienen raíces en la auditoría.
CONFIDENCIAL
Manteniendo el Cumplimiento
de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Actualizando los sistemas de pagos y su seguridad El costo de una brecha puede ser
fácilmente 20 veces más costoso que el
Verificando el cumplimiento Cumplimiento con PCI
Manteniendo el cumplimiento
“El Valor Absoluto de la Seguridad” PCI Compliance Cost Analysis: A Justified Expense.
Analisis realizado por Solidcore Systems, Emagined Security and Fortrex. Enero 2008.
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Algunas Creencias
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Al Salmo respondemos…
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
8.1.4 Elimine/deshabilite las cuentas 8.1.4 Observe las cuentas de usuario para verificar que se eliminen o se desactiven las cuentas
Cada 90 días
de usuario inactivas al menos cada 90 días. que lleven más de 90 días inactivas.
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
10.6.1 Revisar lo siguiente al menos diariamente: 10.6.1.b Observe los procesos y entreviste al personal para
verificar que lo siguiente es revisado al menos diariamente:
• Todos los eventos de seguridad
• Los logs de todos los componentes de sistema que procesan, • Todos los eventos de seguridad
almacenan , o transmiten CHD y/o SAD o que podrían • Los logs de todos los componentes de sistema que
impactar la seguridad de los CHD y/o SAD procesan, almacenan , o transmiten CHD y/o SAD o que
Diariamente
• Logs de todos los componentes de sistema críticos. podrían impactar la seguridad de los CHD y/o SAD
• Logs de todos los servidores y componentes de sistema que • Logs de todos los componentes de sistema críticos.
ejecutan funciones de seguridad (Firewalls, IPS/IDS, • Logs de todos los servidores y componentes de sistema
Servidores de Autenticación , Servidores de redirección de e- que ejecutan funciones de seguridad (Firewalls, IPS/IDS,
commerce, etc.. Servidores de Autenticación , Servidores de redirección
de e-commerce, etc..
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
12.6.2 Solicitar a los empleados que reconozcan al menos una vez al año 12.6.2 Verifique que el programa de concienciación sobre seguridad les exija a los
haber leído y entendido la política y los procedimientos de seguridad de la empleados realizar, al menos, una vez al año, una declaración escrita o electrónica de Cada año
información de la empresa. que leyeron y entendieron la política de seguridad de la información de la empresa.
12.9.2 Pruebe el plan al menos anualmente 12.9.2 Verifique que se realice una prueba del plan al menos una vez al año. Cada año
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
¿Qué es Gestionar?
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Elementos de SGSI
ISO 27001: 2013
MAGERIT
OCTAVE
AS/NZS 4360 (1999 Y 2004) O SU
versión homologada en Colombia NTC
ISO 27002: 2013
5254
CORAS
NIST 800-30
BS7799-3
TR 13335-3
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Ciclo PHVA
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Ciclo PHVA
PLANEAR HACER VERIFICAR ACTUAR
Levantar y Documentar Flujos de Implementar plan de acción Evaluación de PCI DSS Asegurar sostenibilidad del
información de Tarjeta Habiente Cumplimiento de PCI DSS
Asignación de recursos Sistema de Gestión de
Descubrimiento de datos Seguridad de la Información
de tarjeta Habiente Implementar Controles para los Procesos de
Información de tarjeta habiente
Definición de Alcance Implementar Procesos y ISO 27000
Procedimientos
Valoración de Riesgos
Ambiente de tarjeta Habiente Entrenar al personal
Identificación de Vulnerabilidades
de red, Aplicación
Plan de acción
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Aspectos de Seguridad
Seguridad
en la continuidad
del Recurso Humano
Integridad Confidencialidad
Gestión de
Incidentes
Gestión de Activos
Mantenimiento,
Desarrollo y
Información
Adquisición de sistemas
Control de acceso
Relación con Disponibilidad
proveedores
Criptografía
Seguridad en las
operaciones Seguridad en las Seguridad física
comunicaciones y ambiental
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
Integridad Confidencialidad
Información
Disponibilidad
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
COBIT, COSO
ISO 2700X PMI
ORGANIZACION
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
https://www.pcisecuritystandards.org
https://www.iqcol.com
CONFIDENCIAL
¿Inquietudes?
CONFIDENCIAL
Prohibida su reproducción sin previa autorización
IQ INFORMATION QUALITY SAS
Tel: (+57 1) 7439605
http://www.iqcol.com
Calle 98 No. 70-91 of. 905
Edifício Vardí
Bogotá D.C. Colombia
CONFIDENCIAL
Prohibida su reproducción sin previa autorización