el estándar de seguridad de datos de la industria de pagos con tarjeta (pci dss)

El Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI DSS)

Perfil de la presentación

¿Por qué PCI DSS?

Cumplimiento y niveles de validación

Información de titulares de tarjeta

Perspectiva legal

Realizar una auditoría PCI DSS

Reducir los costes mediante la automatización

¿Qué es el Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI DSS)? PCI DSS es un conjunto de estándares de seguridad redactados por

las principales empresas de tarjetas de crédito del mundo, incluyendo VISA y MasterCard, para proteger la información de tarjetas de crédito y débito.

Hasta la fecha, estos requerimientos controlan todos los canales de pago incluyendo al detalle, pedidos por correo, por teléfono y comercio electrónico.

Anteriormente eran diferentes estándares de seguridad de la información, sin embargo han pasado a ser un estándar global.

¿Por qué se necesita PCI DSS?

El robo y el fraude de información de titulares de tarjeta lleva ahí desde mediados de los 80 y esto impulsó a VISA a establecer el primer programa de seguridad.

La reciente brecha de seguridad de TJX por la que al menos 45,6 millones de números de tarjetas de crédito y débito fueron robados por hackers que penetraron en su red, destaca la imperiosa necesidad de una mayor seguridad.

De acuerdo con InformationWeek, los hackers pueden vender la información de tarjetas de crédito robada en el mercado negro a un promedio de 490 USD por cada número de tarjeta con PIN.

PCI Data Security Standard v1.1 (1/3)

El marco PCI DSS está dividido en 12 requerimientos de seguridad que se pueden agrupar en tres áreas principales:

> Recogida y almacenamiento de todos los datos de registros de forma que estén disponibles para análisis

> Generación de informes sobre toda la actividad para poder probar el cumplimiento en el acto

> Monitorización y alerta con las cuales los administradores puedan monitorizar constantemente el acceso y uso de información y ser avisados inmediatamente de problemas


Categorías PCI DSS

El marco PCI DSS también consta de seis categorías como sigue:

Construir y mantener una red segura

Proteger la información de titulares de tarjeta

Mantener un programa de gestión de vulnerabilidad

Mantener una directiva de seguridad de la información

Monitorizar y probar regularmente las redes

Implementar fuertes medidas de control de acceso


Requerimientos PCI DSS

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta

No utilizar las contraseñas ni otros parámetros de seguridad predefinidos por el fabricante

Proteger la información almacenada de titulares de tarjeta

Encriptar la transmisión de información de titulares de tarjeta por redes abiertas, públicas

Utilizar y actualizar regularmente las aplicaciones anti-virus

Desarrollar y mantener sistemas y aplicaciones seguras

Restringir el acceso a información de titulares de tarjetas según la necesidad de su conocimiento

Asignar un ID único a cada persona con acceso a ordenadores

Restringir el acceso físico a la información de titulares de tarjeta

Rastrear y monitorizar todo acceso a los recursos de red y a la información de titulares de tarjeta

Probar regularmente los sistemas y procesos de seguridad

Mantener una política que atienda la seguridad de la información de empleados y contratistas

Toda la información de una tarjeta de crédito/débito utilizada en una transacción

- pcianswers.com Elementos de la información de titulares de tarjeta

> Número Primario de Cuenta (PAN)> Nombre del titular> Fecha de caducidad

Información Sensible de Autenticación (SAD)> Información de la banda magnética> Código de Validación de Tarjeta (CVC)> Número de Identificación Personal (PIN)

¿Qué es la “información de titulares de tarjeta”?

1234

123

Almacenamiento de información de titulares

PCI DSS proporciona protección de la información de titulares de tarjeta

Se permite almacenar los siguientes datos siempre que estén encriptados, despiezados o truncados:

> PAN, Nombre del titular, Fecha de caducidad, Código de Servicio

Internet

$ 0.00

Merchant

Customerpurchase

Payment Gateway

1234 5678 9012 3456

DATE: 01/01John Doe

Credit Card

CreditCard

Merchant’s Bank

Credit Card Interchange

El comercio envía la transacción de tarjeta de

crédito a la Pasarela de Pago

Ž La pasarela de pago pasa la transacción mediante

una conexión segura con el Banco del Comercio

Ž

Flujo habitual de una transacción

Œ

Œ Un cliente usa una tarjeta de crédito para pagar

sus compras al comercio

A continuación el banco del comercio examina el

Intercambio de Tarjeta de Crédito para la aprobación de la transacción

¿Quién debe acatar PCI DSS?

A partir del 30 de Septiembre de 2007 todos los negocios que manejen información sobre titulares de tarjetas – sin tener en cuenta el tamaño – tienen que cumplir completamente los estrictos estándares de seguridad redactados por las principales empresas de tarjetas de crédito

Esto se aplica a todas las entidades donde la información de titulares sea

> Almacenada> Transmitida> Procesada

Todas las entidades descritas como comercios o proveedores de servicios deben cumplirla

Comercios

Entidades que aceptan pagos con tarjetas de crédito

Ejemplos de sectores afectados> Comercio online (p.ej. ebay.com)> Al detalle (p.ej. Wal-Mart)> Educación Superior (p.ej. Universidades)> Salud (p.ej. Hospitales)> Viajes y entretenimiento (p.ej. Restaurantes)> Energía (p.ej. Estaciones de Servicio) > Finanzas (p.ej. Aseguradoras)

Niveles de cumplimiento de comercios

NIVELES DE COMERCIO

Nivel 1

Comercios cuya información de titulares de tarjeta ha estado comprometida

Comercios con más de 6 millones de transacciones anuales con tarjeta de crédito

Nivel 2

Comercios con entre 1 y 6 millones de transacciones anuales con tarjeta de crédito

Nivel 3

Comercios con entre 20.000 y 1 millones de transacciones anuales con tarjeta de crédito

Nivel 4

El resto de comercios

Proveedores de servicio

Entidades que proporcionan servicios a los comercios

Ejemplos de servicios> Pasarelas de pago (p.ej. PayPal)> Procesadores de pago> Alojamiento de comercio electrónico> Proveedores de servicios gestionados> Agencias de información de crédito> Empresas de gestión de copias de seguridad> Empresas de destrucción de papel

Niveles de cumplimiento de proveedor de servicios

NIVELES DE PROVEEDOR DE SERVICIOS

Nivel 1

Todos los procesadores o pasarelas de pago

Nivel 2

Proveedores de servicio que no estén en el nivel 1, con más de 1 millón de cuentas/transacciones anuales con tarjeta de crédito

Nivel 3

Proveedores de servicio que no estén en el nivel 1, con menos de 1 millón de cuentas/transacciones anuales con tarjeta de crédito

Comercio In situauditoría de seguridad

Auto evaluaciónquestionario

Análisis de Red

Nivel 1 Requerido Anualmente Requerido Trimestralmente




Proveedor de Servicios




Por: Asesor de Seguridad Cualificado (QSA)

Interno Fabricante de Escáner Aprobado (ASV)

Entregable: Informe sobre Cumplimiento (ROC)

Cuestionario de Auto Evaluación

Informe de Análisis

Procedimientos de cumplimiento PCI DSS

Información de titulares de tarjeta comprometida

“Intrusion en sistemas informáticos donde se sospecha la revelación, modificación o destrucción de información de titulares de tarjeta”

- glosario PCI DSS

Plan de respuesta a incidencias> Requerimiento 12.9

¿Por qué informar?> Limitar los daños

Canales de información> Equipo interno de respuesta a incidencia> Asociaciones y adquirentes de tarjetas de crédito> Cumplimiento de la ley local

¿Quién se arriesga?

Consecuencias

Financieras> Puede llevar a sanciones de hasta 500.000 USD y a caros costes de

litigación

Reputación> Un incidente negativo podría tener un gran impacto en la marca> Implicación de agencias de cumplimiento de la ley

Operacional> Nivel 2, 3 o 4 + comprometido = Nivel 1> Podría llevar a una pérdida potencial de los privilegios de procesamiento

de tarjetas

Preparación para el cumplimiento PCI DSS

Familiarícese con los requerimientos PCI DSS

Identifique toda la información de titulares de tarjeta y elimine la información innecesaria

Realice un análisis de desviación de seguridad

Cree un plan de acción y llame a expertos para asesoramiento si es necesario

Costes del cumplimiento PCI DSS

Comercio In situauditoría de seguridad

Auto evaluacióncuestionario

Análisis de Red

Nivel 1 Req. Anualmente Req. Trimestralmente




Proveedor de Servicios




Por: Asesor de Seguridad Cualificado (QSA)

Interno Fabricante de Escáner Aprobado (ASV)

Entregable: Informe sobre Cumplimiento (ROC)

Auto EvaluaciónCuestionario

Informe de Análisis

Inquietudes

Mantener sistemas y aplicaciones seguras> Auditar su red> Buscar vulnerabilidades> Implantar parches/service packs

Monitorizar la red> Registrar la actividad de usuarios> Registrar el acceso a la información de

titulares de tarjeta> Avisar de sucesos importantes

Proporcionar evidencia documentada> Mantener sistemas seguros> Monitorizar la actividad> Tomar acciones correctoras

Automatización mediante software

Reduce drásticamente las tareas manuales, repetitivas:

Auditorías de red

Gestión de vulnerabilidad

Monitorización de la actividad

Alertas en tiempo real

Acciones correctoras

Generación de informes

PCI DSS y los productos de seguridad de red GFI

Requerimientos PCI DSS

1.

2.

3.

4. Encriptar la transmisión de información de titulares de tarjeta por redes abiertas, públicas

5. Utilizar y actualizar regularmente las aplicaciones anti-virus

6. Desarrollar y mantener sistemas y aplicaciones seguras

7.Restringir el acceso a información de titulares de tarjetas según la necesidad de su conocimiento

8.

9. Restringir el acceso físico a la información de titulares de tarjeta

10.

11. Probar regularmente los sistemas y procesos de seguridad

12. Mantener una política que atienda la seguridad de la información de empleados y contratistas

Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta

No utilizar las contraseñas ni otros parámetros de seguridad predefinidos por el fabricante

Proteger la información almacenada de titulares de tarjeta

Asignar un ID único a cada persona con acceso a ordenadores

GFI

EventsManager

Rastrear y monitorizar todo acceso a los recursos de red y a la información de titulares de tarjeta

GFI

LANguard N.S.S.

ROI y beneficios para el negocio

Automatización> Reduzca las tareas manuales y repetitivas> Reduzca la carga del administrador> Active acciones correctoras proactivas

Protección> Complemente su directiva de seguridad> Avísese de potenciales amenazas de seguridad> Proporciónese tranquilidad

Ahorros> Sin sanciones PCI DSS> Sin cuotas de consultoría externa> Continuidad del negocio

Conclusión

Como las empresas están constantemente en riesgo de perder datos sensibles de titulares de tarjetas, que podrían suponer multas, acciones legales y mala publicidad, conseguir el cumplimiento de la PCI DSS debe ser una prioridad para las empresas que almacenan, transmiten o procesan datos de tarjetas de crédito

El cumplimiento PCI DSS necesita conseguirse para Septiembre de 2007 – esta es la fecha tope presentada por las empresas de tarjetas de crédito.

GFI Software ofrece a dichos negocios dos productos, GFI EventsManager y GFI LANguard Network Security Scanner (N.S.S.) para ayudarlos en su camino al cumplimiento

Visión empresarial

Fundada en 1992

Más de 200 empleados en todo el mundo

Oficinas en Malta, Londres, Raleigh, Hong Kong y Adelaide

Productos GFI instalados en más de 200.000 redes por todo el mundo, la mayoría Pymes

Empresa enfocada al canal con más de 10.000 partners en todo el mundo

La visiónLlegar a ser la tecnología preferida para soluciones de seguridad y productividad en TI.

La misiónProporcionar soluciones de calidad y eficaces en seguridad de contenido, seguridad de red y mensajería para los profesionales de TI de todo el mundo.

el estándar de seguridad de datos de la industria de pagos con tarjeta (pci dss)

Documents