C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48

C. Arequipa, 1 E-28043 Madrid (Spain)Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

info@isecauditors.comwww.isecauditors.com

Calle 90 # 12-28110221 Bogotá (Colombia)Tel: +57 (1) 638 68 88Fax: +57 (1) 638 68 88

TRANSFERENCIA INTERNACIONAL DE DATOS Y CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA NUBEJAVIER ROBERTO AMAYA MADRIDCISM, PCI QSA, PCIP, ISO27001 LA, ISO9000 IA, MCP

Agenda

Introducción

Modelos de despliegue y servicio

Modelos de servicio

Responsabilidad

Seguridad como servicio

Consideraciones de segmentación

Retos de cumplimiento

Verificación de alcance

Gobierno, riesgo y cumplimiento

Consideraciones legales

Seguridad de los datos

Respuesta a incidentes

Transferencia y Transmisión a Terceros Países

Conclusiones

Introducción

Introducción

Modelos de despliegue

Modelos de servicio

CSP

IaaS

PaaS

SaaS

Modelos de servicio

Capa de la NubeModelos de

Servicio

IaaS PaaS SaaS

Datos

Interfaces (APIs, GUIs)

Aplicaciones

Capa de Solución (lenguajes de programación)

Sistemas Operativos (OS)

Máquinas virtuales

Infraestructura virtual de red

Hipervisores

Procesamiento y memoria

Almacenamiento de datos (discos duros, discos removibles, copias de respaldo, etc.)Red (interfaces y dispositivos, infraestructura de comunicaciones)Instalaciones físicas, centros de datos

Modelos de servicio

Responsabilidad

Un cliente de la nube no debe asumir nada acerca de cualquier parte o tema del servicio, se debe escribir cada elemento de responsabilidad por asegurar cada uno de los procesos y componentes del sistema en los contratos, memorandos de entendimiento y/o acuerdos de servicio.

IaaS PaaS SaaS

1. Instalar y mantener una configuración de fiirewall para proteger los datos de tarjeta-habiente. Ambos Ambos CSP

2. No use contraseñas o variables de seguridad por defecto configuradas por el fabricante de los sistemas. Ambos Ambos CSP

3. Proteja los datos de tarjeta-habiente almacenados. Ambos Ambos CSP

4. Cifre los datos de tarjeta-habiente que sean transmitidos por redes públicas abiertas. Ambos Ambos CSP

5. Use y actualice regularmente una aplicación anti-virus. Cliente Ambos Ambos

6. Desarrolle y mantenga sistemas y aplicaciones seguras. Cliente Ambos Ambos

7. Restrinja el acceso a los datos de tarjeta-habiente de acuerdo a la necesidad de conocer. Ambos Ambos Ambos

8. Asigne un identificador único a cada persona con acceso a computadores. Ambos Ambos CSP

9. Restrinja el acceso físico a los datos de tarjeta-habiente. CSP CSP CSP

10. Registre y monitoree todo acceso a los recursos de red y a datos de tarjeta-habiente. Ambos Ambos CSP

11. Pruebe regularmente la seguridad de procesos y sistemas. Ambos Ambos Ambos

12. Mantenga una política de seguridad de la informaciónpara todo el personal CSP CSP CSP

Requerimiento PCI DSSEjemplo de asignación de

Ejemplo de responsabilidad PCI DSS

Seguridad como servicio (SecaaS)

Consideraciones de segmentación

Consideraciones de segmentación

No

es s

egm

enta

ción

Máquinas virtuales en el mismo servidor separadas por control de acceso del sistema operativo o de la aplicación

Datos de la organización guardados en la misma instancia de los datos del sistema

Consideraciones de segmentación

Retos de cumplimiento

Identificación de Componentes

Responsabilidad de Controles

Sistemas Dinámicos

Visibilidad de Seguridad

Control en Almacenamiento

Control de Acceso y Monitoreo

Límites del Perímetro

Acceso desde Internet

Monitoreo de Acceso

Privilegio de Auditoría

Consideraciones para el cliente

• ¿Cuanto lleva certificado el CSP?

• ¿Qué servicios están incluidos en la validación?

• ¿Donde están físicamente los servicios validados?

• ¿Se usan componentes que no están validados en el servicio?

• ¿Cómo se asegura el CSP que los clientes no introducen componentes que no cumplen?

El CSP debe proveer:

• Evidencia que identifique claramente lo que está en alcance

• Los requisitos contra los que fueron validados

• Aspectos no cubiertos por la verificación

• Identificación de los requerimientos que son responsabilidad del cliente o compartida

Verificación de alcance

El cliente debe revisar periódicamente:

• Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)

• Evidencia documentada de los componentes incluidos en la verificación

• Evidencia documentada de los componentes que fueron excluidos de la verificación

Si el CSP no está certificado, durante la verificación del cliente se requiere verificar:

• Acceso a las instalaciones, entrevistas con el personal en sitio

• Políticas y procedimientos, documentación de procesos y estándares de configuración

• Registros de entrenamiento, planes de respuesta a incidentes, etc.

• Evidencia de que los componentes dentro del alcance cumplen con todos los requisitos de la norma

Verificación de alcance

Adm. Riesgo

Debida Diligenci

a

SLA’s

Continuidad

RRHH

Gobierno, riesgo y cumplimiento

Consideraciones legales

Descubrimiento de datos

Preservación de evidencia

Custodia de datos

Responsabilidades legales

Consideraciones legales

Adquisición de Datos

Almacenamiento y Persistencia

Ciclo de Vida

Clasificación

Cifrado

Disposición

Seguridad de los datos

Respuesta a incidentes

Transferencia y Transmisión a Terceros Países

Países que cuentan con un nivel adecuado de protección de datos personales

25

Conclusión

Antes de escoger un proveedor en la nube se debe:

VERIFICAR el estado de cumplimiento de la normatividad requerida

ENTENDER los riesgos

ESCOGER el modelo adecuado de despliegue

EVALUAR las diferentes opciones de servicio

CONOCER lo que se requiere del CSP

COMPARAR proveedores y ofertas de servicio

PREGUNTAR en qué consiste cada servicio, que incluye y que no

DOCUMENTAR todo en acuerdos con el proveedor

SOLICITAR compromisos por escrito de que la seguridad se mantendrá

REVISAR periódicamente los acuerdos

C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48

C. Arequipa, 1 E-28043 Madrid (Spain)Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

info@isecauditors.comwww.isecauditors.com

Calle 90 # 12-28. Bogotá (Colombia)Tel: +57 (1) 638 68 88Fax: +57 (1) 638 68 88

C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48

C. Arequipa, 1 E-28043 Madrid (Spain)Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

info@isecauditors.comwww.isecauditors.com

Calle 90 # 12-28. Bogotá (Colombia)Tel: +57 (1) 638 68 88Fax: +57 (1) 638 68 88