PCI DSS

Description

PCI Security Standards Council (PCI SSC)
Gabriela Suarez
Mind Map by Gabriela Suarez, updated more than 1 year ago
Gabriela Suarez
Created by Gabriela Suarez over 6 years ago
47
0

Resource summary

PCI DSS
  1. requisitos mínimos para proteger los datos de titulares de tarjetas
    1. Los requerimientos están alineados con otros Frameworks de Seguridad, como por ejemplo ISO 27001.
      1. para reducir el fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos.
      2. No sustituyen regulaciones gubernamentales locales ni regionales
        1. Lo debe cumplir cualquier organización que transmita, procese o almacene información de tarjetas de pago
          1. No importa si la organización es grande o pequeña debe cumplir el standar
            1. dependiendo de la cantidad de transacciones anuales que la organización realice, es el modo en que su cumplimiento será auditado
              1. Se definen 4 niveles de auditoria
                1. Nivel 1 Mas de 6 millones de transacciónes anuales
                  1. Auditadas por empresas autorizadas conocidas como QSA (Qualified Security Assessors).
              2. Se catalogan 3 tipologías
                1. Comercios
                  1. Proveedores de servicios
                    1. Entidades financieras
                  2. Standar del PSI SSC (Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago), creado por las principales empresas de tarjetas de crédito
                    1. Define medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o almacenamiento de informacion de tarjetas de pago
                      1. para gestionar la seguridad
                        1. 6 controles 12 requisitos
                          1. C1: Desarrolle y mantenga redes y sistemas seguros
                            1. R1 - Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
                              1. Cortafuegos (control del tráfico, DMZ, aislamiento)
                              2. R2 - No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveesores
                                1. Hardening de sistemas (modificar configuraciones por defecto, segregación de servicios)
                              3. C2: Proteger los datos del titular de la tarjeta
                                1. R3 - Protejer los datos del titular de la tarjeta que fueron almacenados
                                  1. Cifrado/ofuscado del PAN, gestión de Claves
                                  2. R4 - Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
                                  3. C3: Mantener un programa de administración de vulnerabilidad
                                    1. R5 - Utilizar y actualizar con regularidad los antivirus y antimalware
                                      1. R6 - Desarrollar y mantener sistemas y aplicaciones seguras
                                        1. Implementar la seguridad en todo el ciclo de vida, actualización de componentes
                                      2. C4: Implementar medidas sólidas de control de acceso
                                        1. R7 - Restringir el acceso a los datos del titular de la tarjeta según la necesidad que tenga la empresa
                                          1. Gestión de Usuarios y Privilegios
                                          2. R8 - Identificar y autentificar el acceso a los componentes del sistema
                                            1. Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de conteaseñas)
                                            2. R9 - Restringir el acceso físico a los datos del titular de la tarjeta
                                              1. Control de acceso físico (ID, cámaras, registros o bitácoras)
                                            3. C5: Supervisar y evaluar las redes con regularidad
                                              1. R10 - Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titrtulares de las tarjetas
                                                1. Monitorizar accesos/pistas de auditoría (registros, revisiones)
                                                2. R11 - Pruebe con regularidad los sistemas y procesos de seguridad
                                                  1. Detectar puntos inalámbricos
                                                    1. Análisis de vulnerabilidades
                                                      1. Pruebas de penetración de red y aplicaciones
                                                        1. IDS/IPS
                                                          1. software para integridad de archivos críticos
                                                        2. C6: Mantener una política de seguridad de la información
                                                          1. R12 - Mantener una política que aborde la seguridad de la información a todo el personal
                                                            1. Políticas
                                                              1. Procedimientos de seguridad
                                                                1. Gestión de Riesgos
                                                                  1. Concientización
                                                                    1. Gestión de Proveedores - Contratos
                                                                      1. Gestión de incidentes
                                                                2. Aplica a todos todos los componentes del sistema
                                                                  1. Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de tarjetas o que este conectado a este
                                                                    1. El entorno de los datos de tarjetas consta de personas, procesos y tecnología
                                                                3. estandar seguridad del PSI SSC (Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago)
                                                                  1. Proceso Continuo (PDCA) ciclico
                                                                    1. PLAN(Planificar)
                                                                      1. 1. identificar el entorno
                                                                        1. 2. Identificar Datos Sensibles
                                                                          1. 3. Análisis GAP
                                                                            1. 4. Plan de Acción
                                                                            2. (ACT) Actuar
                                                                              1. Acciones para corregir el NO Cumplimiento
                                                                                1. Prevenir Incidentes
                                                                                2. (CHECK) Revisar
                                                                                  1. Monitorear eventos
                                                                                    1. Revisar la Política de Seguridad y Riesgos
                                                                                      1. Realizar Auditorias
                                                                                        1. Ejecutar Escaneos ASV
                                                                                        2. (DO) Implementar
                                                                                          1. Reducción del entorno
                                                                                            1. Implementación de Controles
                                                                                              1. Formación y Divulgación
                                                                                                1. Validación del cumplimiento
                                                                                              2. CICLO DE VIDA DE DESARROLLO DE SOFTWARE
                                                                                                1. A lo largo del ciclo se cuenta con un procedimiento de control y gestión de cambios
                                                                                                  1. Seguridad en todo el Ciclo de Vida del Desarrollo
                                                                                                    1. Definición y Diseño
                                                                                                      1. identificar áreas de seguridad de la aplicación
                                                                                                        1. Consideraciones de seguridad en el diseño
                                                                                                          1. Requisitos funcionales de seguridad
                                                                                                          2. Desarrollo
                                                                                                            1. Existen mayores fallas de seguridad
                                                                                                              1. Para una codificación segura debemos
                                                                                                                1. Conocer las Amenazas y clasificarlas
                                                                                                                  1. Buenas prácticas para minimizar las amenazas
                                                                                                                2. Despliegue
                                                                                                                  1. Deben haberse contemplado todas las deficiencias de seguridad
                                                                                                                    1. mediante
                                                                                                                      1. comprobación de requisitos
                                                                                                                        1. análisis del diseño
                                                                                                                          1. revisión de código
                                                                                                                            1. Pruebas de intrusión en aplicaciones
                                                                                                                              1. Comprobación de gestión de configuraciones
                                                                                                                          2. Mantenimiento y Operación
                                                                                                                            1. acciones para mantener el nivel de seguridad
                                                                                                                              1. comprobación periódica de mantenimientos
                                                                                                                                1. asegurar la verificación de cambios
                                                                                                                          3. Su implementación es un proceso
                                                                                                                            1. Definir procesos
                                                                                                                              1. Asignar Recursos
                                                                                                                                1. Comprometer a la dirección
                                                                                                                                  1. Monitorizar y revisar
                                                                                                                                    1. Integrar PCI DSS en la gestión de seguridad de la compañia
                                                                                                                                    2. Datos de la tarejeta
                                                                                                                                      1. Allmacenamiento permitido
                                                                                                                                        1. Ilegible
                                                                                                                                          1. Número de cuenta principal (PAN)
                                                                                                                                          2. Legible
                                                                                                                                            1. Nombre del titular de la tarjeta
                                                                                                                                              1. Código de servicio
                                                                                                                                                1. Fecha de vencimiento
                                                                                                                                              2. No se puede almacenar
                                                                                                                                                1. Contenido completo de la pista
                                                                                                                                                  1. CAV2/CVC2/CVV2/CID4
                                                                                                                                                    1. PIN/Bloqueo de PIN5 No No se pueden almacenar según el Requisito
                                                                                                                                                  Show full summary Hide full summary

                                                                                                                                                  Similar

                                                                                                                                                  FUNDAMENTOS DE REDES DE COMPUTADORAS
                                                                                                                                                  anhita
                                                                                                                                                  Test: "La computadora y sus partes"
                                                                                                                                                  Dayana Quiros R
                                                                                                                                                  Abreviaciones comunes en programación web
                                                                                                                                                  Diego Santos
                                                                                                                                                  Seguridad en la red
                                                                                                                                                  Diego Santos
                                                                                                                                                  Excel Básico-Intermedio
                                                                                                                                                  Diego Santos
                                                                                                                                                  Evolución de la Informática
                                                                                                                                                  Diego Santos
                                                                                                                                                  Introducción a la Ingeniería de Software
                                                                                                                                                  David Pacheco Ji
                                                                                                                                                  Conceptos básicos de redes
                                                                                                                                                  ARISAI DARIO BARRAGAN LOPEZ
                                                                                                                                                  La ingenieria de requerimientos
                                                                                                                                                  Sergio Abdiel He
                                                                                                                                                  TECNOLOGÍA TAREA
                                                                                                                                                  Denisse Alcalá P
                                                                                                                                                  Navegadores de Internet
                                                                                                                                                  M Siller