Consideraciones y retos de seguridad

en transacciones con tarjeta de crédito

por teléfono

Ing: Rodrigo Ferrer QSA PCI DSS

Agenda

1. Introducción

2. El problema

3. Convergencia

4. Tipos de comunicación

5. PCI DSS

6. Escenarios de riesgo posibles

7. Personas, procesos y tecnología

8. Conclusiones

Introducción

Introducción

Mass surveillance

Mass surveillance

Introducción

¿Está intervenido mi teléfono?

(International Mobile

Equipment Identifier)

¿Traicionados por nuestros datos?

Por qué espiarme si no soy nadie?

APT

Desplazamiento del fraude

Es posible interceptar las líneas telefónicas (A8, A5, A3)

Software espía para smartphone

¿Están mi información y mi dinero seguros?

Money

1

Time

2

People

3

El problema

CVV2

Convergencia

Tipos de comunicación

PCI DSS

¿Qué es PCI DSS?

Origen

La norma PCI DSS (Payment Card Industry Data Security Standard) fue desarrollada por un conjuntode compañías de tarjetas de débito y crédito en el año 2006 entre las que estaban: America Express,Discover, JCB, Mastercard y VISA. De esta unión se creó el Payment Card Industry Security StandardsCouncil (PCI-SSC), el cual es responsable de la creación, desarrollo, y difusión de la norma PCI DSS.

Requisitos

PCI es una de las normas más exigentes a nivel mundial en lo relacionado con la protección de lainformación sensible debido al énfasis que pone en los requerimientos de tipo tecnológicos y larigurosidad que exige en el proceso de evaluación para otorgar la certificación de cumplimiento. Laevaluación, para obtener la certificación, exige que el 100% de los requerimientos y sub-requerimientos estén implementados correctamente. Se logra así una mejora sustancial en laciberseguridad y la protección de la información.

Aspectos considerados por PCI DSS

Requerimientos Descripción del Requerimiento

1 Instalar y mantener un firewall para proteger los datos de sensibles.2 No utilizar los valores predeterminados suministrados por el proveedor.3 Proteger los datos almacenados sensibles.4 Cifrar la transmisión de los datos sensibles a través de redes públicas abiertas.5 Usar y actualizar con regularidad el software antivirus y contar con una consola centralizadora.6 Desarrollar y mantener aplicaciones seguras.7 Limitar el acceso a los datos sensibles.8 Asignar una identificación única a cada persona con acceso a los sistemas.9 Restringir el acceso físico a los datos sensibles.

10 Rastrear y monitorizar todo acceso a los recursos de la red y a los datos sensibles.11 Realizar continuamente análisis de vulnerabilidades y test de intrusión.

12 Mantener una política que aborde la seguridad de la información, riesgos e incidentes

PCI DSS Vs ISO 27001 Vs ISO 27032

Administrativos

Mantener política de seguridad

Tecnológicos

Instalar y mantener un firewall

No usar valores por defecto

Proteger datos almacenados y en tránsito

Uso de antivirus

Desarrollo de sistemas

Control de acceso

Supervisar recursos

Probar con regularidad los sistemas

Físicos

Restringir el acceso físico

En PCI DSS es notable la preeminenciade controles tecnológicos para protegerla información y optimizar laciberseguridad

Escenarios posibles de riesgo

Contact center diagrama de red básico

PSTN

VoIP

AGENTES

RED (IVR + DB)

CLIENTES

GSM

PBXIP PBX

Dos categoríasprincipales

Otras categorías

Pago por pasarela

DTMF

Contact center diagrama de red básico

RED (IVR + DB)

CLIENTESPBXIP PBX

GRABACIÓN LLAMADAS

Personas, tecnologías y procedimientos

• Mantener una cultura de seguridadde la información

• Definir roles y responsabilidades

• Optimizar la contratación depersonal

• Implementar controles físicos

• Programa de sensibilización

Personas

• Procedimientos para asegurar mediosfísicos

• Procedimientos para no almacenarinformación sensible

• Procedimientos de borrado seguro

• En caso de contar con outsourcing delservicio se debe delimitar claramente lasresponsabilidades

• Procedimientos para evitar el uso decelulares y otros dispositivos que permitanalmacenar datos sensibles

Procedimientos

• Contar con firewalls y antivirus en lasestaciones de trabajo

• Instalar actualizaciones de seguridad

• Contar con estándares de seguridad

• Deshabilitar servicios no requeridos

• Utilizar criptografía fuerte para datossensibles

• Registros de las actividades realizadas enespecial sobre los IVR

• Utilizar protocolos seguros (SIPS, SRTP)

Tecnología

Conclusiones

Medidas de seguridad…

Finalmente…

Componentes posibles del alcance

Por fuera del alcance PCI

Red Voz

• PCI DSS v3.21

• ISO 27001:2013

• ISO 27032

• www.semafone.com

• www.theintercept.com

• www.flexispy.com

• www.intercept.ws

• Book: No place to hide (Glenn Greenwald)

• www.zeitonline.com

Bibliografía

!Gracias¡

Ing: Rodrigo Ferrer QSA PCI DSS