14430804
Description
Mind Map by Gabriela Suarez, updated more than 1 year ago
|
Created by Gabriela Suarez
over 5 years ago
|
|
PCI DSS
- requisitos mínimos para proteger los datos de titulares de tarjetas
- Los requerimientos están alineados con otros Frameworks de Seguridad, como por ejemplo ISO
27001.
- para reducir el fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos
datos.
- Los requerimientos están alineados con otros Frameworks de Seguridad, como por ejemplo ISO
27001.
- No sustituyen regulaciones gubernamentales locales ni regionales
- Lo debe cumplir cualquier organización que transmita, procese o almacene información de tarjetas de pago
- No importa si la organización es grande o pequeña debe cumplir el standar
- dependiendo de la cantidad de transacciones anuales que la organización realice, es el modo en que su
cumplimiento será auditado
- Se definen 4 niveles de auditoria
- Nivel 1 Mas de 6 millones de transacciónes anuales
- Auditadas por empresas autorizadas conocidas como QSA (Qualified Security Assessors).
- Auditadas por empresas autorizadas conocidas como QSA (Qualified Security Assessors).
- Nivel 1 Mas de 6 millones de transacciónes anuales
- Se definen 4 niveles de auditoria
- Se catalogan 3 tipologías
- Comercios
- Proveedores de servicios
- Entidades financieras
- Comercios
- No importa si la organización es grande o pequeña debe cumplir el standar
- Standar del PSI SSC (Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago), creado por las principales empresas de tarjetas de crédito
- Define medidas de protección para las infraestructuras que intervienen en el tratamiento, procesado o
almacenamiento de informacion de tarjetas de pago
- para gestionar la seguridad
- 6 controles 12 requisitos
- C1: Desarrolle y mantenga redes y sistemas seguros
- R1 - Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
- Cortafuegos (control del tráfico, DMZ, aislamiento)
- Cortafuegos (control del tráfico, DMZ, aislamiento)
- R2 - No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveesores
- Hardening de sistemas (modificar configuraciones por defecto, segregación de servicios)
- Hardening de sistemas (modificar configuraciones por defecto, segregación de servicios)
- R1 - Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
- C2: Proteger los datos del titular de la tarjeta
- R3 - Protejer los datos del titular de la tarjeta que fueron almacenados
- Cifrado/ofuscado del PAN, gestión de Claves
- Cifrado/ofuscado del PAN, gestión de Claves
- R4 - Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
- R3 - Protejer los datos del titular de la tarjeta que fueron almacenados
- C3: Mantener un programa de administración de vulnerabilidad
- R5 - Utilizar y actualizar con regularidad los antivirus y antimalware
- R6 - Desarrollar y mantener sistemas y aplicaciones seguras
- Implementar la seguridad en todo el ciclo de vida, actualización de componentes
- Implementar la seguridad en todo el ciclo de vida, actualización de componentes
- R5 - Utilizar y actualizar con regularidad los antivirus y antimalware
- C4: Implementar medidas sólidas de control de acceso
- R7 - Restringir el acceso a los datos del titular de la tarjeta según la necesidad que tenga la empresa
- Gestión de Usuarios y Privilegios
- Gestión de Usuarios y Privilegios
- R8 - Identificar y autentificar el acceso a los componentes del sistema
- Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de
conteaseñas)
- Identificadores nominales (autenticación de doble factor en accesos remotos, gestión de
conteaseñas)
- R9 - Restringir el acceso físico a los datos del titular de la tarjeta
- Control de acceso físico (ID, cámaras, registros o bitácoras)
- Control de acceso físico (ID, cámaras, registros o bitácoras)
- R7 - Restringir el acceso a los datos del titular de la tarjeta según la necesidad que tenga la empresa
- C5: Supervisar y evaluar las redes con regularidad
- R10 - Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titrtulares de
las tarjetas
- Monitorizar accesos/pistas de auditoría (registros, revisiones)
- Monitorizar accesos/pistas de auditoría (registros, revisiones)
- R11 - Pruebe con regularidad los sistemas y procesos de seguridad
- Detectar puntos inalámbricos
- Análisis de vulnerabilidades
- Pruebas de penetración de red y aplicaciones
- IDS/IPS
- software para integridad de archivos críticos
- Detectar puntos inalámbricos
- R10 - Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titrtulares de
las tarjetas
- C6: Mantener una política de seguridad de la información
- R12 - Mantener una política que aborde la seguridad de la información a todo el personal
- Políticas
- Procedimientos de seguridad
- Gestión de Riesgos
- Concientización
- Gestión de Proveedores - Contratos
- Gestión de incidentes
- Políticas
- R12 - Mantener una política que aborde la seguridad de la información a todo el personal
- C1: Desarrolle y mantenga redes y sistemas seguros
- 6 controles 12 requisitos
- Aplica a todos todos los componentes del sistema
- Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de
tarjetas o que este conectado a este
- El entorno de los datos de tarjetas consta de personas, procesos y tecnología
- El entorno de los datos de tarjetas consta de personas, procesos y tecnología
- Un componente es cualquier elemento de red, servidor o aplicación incluida en el entorno de los datos de
tarjetas o que este conectado a este
- para gestionar la seguridad
- estandar seguridad del PSI SSC (Consejo de Normas de Seguridad de la Industria de Tarjeta de Pago)
- Proceso Continuo (PDCA) ciclico
- PLAN(Planificar)
- 1. identificar el entorno
- 2. Identificar Datos Sensibles
- 3. Análisis GAP
- 4. Plan de Acción
- 1. identificar el entorno
- (ACT) Actuar
- Acciones para corregir el NO Cumplimiento
- Prevenir Incidentes
- Acciones para corregir el NO Cumplimiento
- (CHECK) Revisar
- Monitorear eventos
- Revisar la Política de Seguridad y Riesgos
- Realizar Auditorias
- Ejecutar Escaneos ASV
- Monitorear eventos
- (DO) Implementar
- Reducción del entorno
- Implementación de Controles
- Formación y Divulgación
- Validación del cumplimiento
- Reducción del entorno
- PLAN(Planificar)
- CICLO DE VIDA DE DESARROLLO DE SOFTWARE
- A lo largo del ciclo se cuenta con un procedimiento de control y gestión de cambios
- Seguridad en todo el Ciclo de Vida del
Desarrollo
- Definición y
Diseño
- identificar áreas de seguridad de la aplicación
- Consideraciones de seguridad en el diseño
- Requisitos funcionales de seguridad
- identificar áreas de seguridad de la aplicación
- Desarrollo
- Existen mayores fallas de seguridad
- Para una codificación segura debemos
- Conocer las Amenazas y clasificarlas
- Buenas prácticas para minimizar las amenazas
- Conocer las Amenazas y clasificarlas
- Existen mayores fallas de seguridad
- Despliegue
- Deben haberse contemplado todas las deficiencias de seguridad
- mediante
- comprobación de requisitos
- análisis del diseño
- revisión de código
- Pruebas de intrusión en aplicaciones
- Comprobación de gestión de configuraciones
- comprobación de requisitos
- mediante
- Deben haberse contemplado todas las deficiencias de seguridad
- Mantenimiento y
Operación
- acciones para mantener el nivel de seguridad
- comprobación periódica de mantenimientos
- asegurar la verificación de cambios
- comprobación periódica de mantenimientos
- acciones para mantener el nivel de seguridad
- Definición y
Diseño
- A lo largo del ciclo se cuenta con un procedimiento de control y gestión de cambios
- Su implementación es un proceso
- Definir procesos
- Asignar Recursos
- Comprometer a la dirección
- Monitorizar y revisar
- Integrar PCI DSS en la gestión de seguridad de la compañia
- Definir procesos
- Datos de la tarejeta
- Allmacenamiento permitido
- Ilegible
- Número de cuenta principal (PAN)
- Número de cuenta principal (PAN)
- Legible
- Nombre del titular de la tarjeta
- Código de servicio
- Fecha de vencimiento
- Nombre del titular de la tarjeta
- Ilegible
- No se puede almacenar
- Contenido completo de la pista
- CAV2/CVC2/CVV2/CID4
- PIN/Bloqueo de PIN5 No No se pueden almacenar según el Requisito
- Contenido completo de la pista
- Allmacenamiento permitido
Want to create your own Mind Maps for free with GoConqr? Learn more.