12/09/2013

Objetivo

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validacin de cumplimiento de PCI DSS en un entorno de nube . Consideraciones de seguridad empresarial y tcnica para el uso de tecnologas en la nube . Recomendaciones para el inicio de las discusiones acerca de los servicios de nube.

12/09/2013

Comprensin del entorno

Analizar

Planificar

Documentar

Comprensin del entorno

Conocer las necesidades de aplicacin para el Negocio Identificar los riesgos y requerimientos de control Seleccionar plataforma y estndar de evaluacin

Modelos de servicio

12/09/2013

Comprensin del entorno

IaaS

PaaS

SaaS

Comprensin del entorno

Hardware Software Conectividad

Aplicacin Plataforma Infraestructura Virtualizacin Recursos fsicos

Desarrollo Despliegue de Aplicaciones del Cliente

Servicio Soporte Aplicaciones del Proveedor

IaaS

PaaS

SaaS

12/09/2013

Definiciones
Alcance de responsabilidad Cliente/Proveedor por tipo de servicio

IaaS
Datos Software y aplicaciones de usuarios Sistemas operativos y bases de datos Infraestructura Virtual Hardware e infraestructura de red

PaaS

SaaS

Data Center (instalaciones fsicas, infraestructura de seguridad, energa)

Responsabilidades en el cumplimiento
Alcance del servicio
Gestin del servicio Tratamiento de datos Gestin de registros Gestin de componentes del servicio (Documentacin y RRHH)

MARCO CONTRACTUAL

Alcance de responsabilidades

Alcance de los controles

12/09/2013

Responsabilidades en el cumplimiento
Las responsabilidades delineadas entre el Cliente y el CSP para la gestin de los controles de PCI DSS estn influenciados por un determinado nmero de variables : Finalidad para la que el cliente est utilizando el servicio de nube . mbito de aplicacin de los requisitos de PCI DSS que el cliente externaliza en el CSP. Los servicios y componentes de los procesos de ejecucin que el CSP ha validado dentro de sus propias operaciones. La opcin de servicio que el cliente ha seleccionado para contratar al CSP ( IaaS , PaaS o SaaS ). El alcance de los servicios adicionales que el CSP proporciona al Cliente de forma proactiva para completar el cumplimiento (por ejemplo, servicios gestionados de seguridad).

Responsabilidades en el cumplimiento

Requisitos PCI DSS

Instalar y mantener una configuracin de firewall para proteger los datos del titular No utilizar las contraseas por defecto provistas por los fabricantes de los sistemas y otros parmetros de seguridad Proteger el almacenamiento de los datos de titulares de tarjetas Codificar la transmisin de los datos de titulares de tarjetas a travs de redes pblicas abiertas Utilizar y actualizar regularmente el software antivirus y dems programas asociados con la seguridad y software de base Desarrollar y mantener sistemas y aplicaciones seguras Restringir el acceso a los datos de titulares de tarjetas solo para aquellas personas del Negocio que tienen necesidad de conocerlos Asignar un nico ID para cada persona que tenga acceso a una computadora Restringir el acceso fsico a datos de titulares de tarjetas Rastrear y monitorear todo el acceso a los recursos de red y datos de titulares de tarjetas Probar regularmente los sistemas de seguridad y sus procesos Mantenga una poltica que aborde la seguridad de la informacin para todo el personal

Ejemplo de asignacin de responsabilidad en la gestin de los controles

IaaS
Ambos Ambos Ambos Cliente Cliente Ambos Ambos Ambos CSP Ambos Ambos Ambos

SaaS
Ambos Ambos Ambos Ambos Ambos Ambos Ambos Ambos CSP Ambos Ambos Ambos

PaaS
CSP CSP CSP CSP CSP Ambos Ambos Ambos CSP CSP CSP Ambos

12/09/2013

Responsabilidades en el cumplimiento

Espacio Fsico Proveedor

Gestin de Riesgo

Gobierno

Gestin de Riesgo

Espacio Fsico Cliente

Componentes Virtuales

Enlaces

IaaS PaaS SaaS

Enlaces
Componentes Virtuales

Componentes Fsicos

Usuario Final

Componentes Fsicos

Educacin

Educacin

Cumplimiento

Seguridad y Tecnologa
Seguridad como Servicio ( SecaaS ) Managed Security Service Provider (MSSP)
Security Information and Event Management Implementation Guidance BCDR Implementation Guidance Encryption Implementation Guidance Intrusion Management Implementation Guidance Security Assessments Implementation Guidance Email Security Implementation Guidance Web Security Implementation Guidance Data Loss Prevention Implementation Guidance Network Security Implementation Guidance Identity and Access Management Implementation Guidance

https://cloudsecurityalliance.org/research/secaas/?r=54#_downloads

12/09/2013

Seguridad y Tecnologa
Segmentacin de ambientes

Segmentada
Solo para m
Servidores fsicamente separados por cliente. Servidores virtualizados de dedicacin individual para un cliente en particular, incluidos los discos virtuales

No-segmentada
Compartida con otros
La misma imagen de la aplicacin en el mismo servidor, slo separados por el control de acceso del SO o la App Diferentes imgenes de una aplicacin en el mismo servidor, slo separados por el control de acceso del SO o la App.

Entornos donde cada cliente ejecuta sus Datos almacenados en la misma instancia aplicaciones en particiones lgicas de gestin de bases de datos. separadas y no comparten almacenamiento en disco u otros recursos.

Seguridad y Tecnologa
Controles de segmentacin
Firewalls fsicos y segmentacin de red a nivel de infraestructura Los firewalls en el hipervisor y a nivel de mquinas virtuales Etiquetado VLAN o zonificacin, adems de firewalls Los sistemas de prevencin de intrusiones en el hipervisor y/o a nivel de mquina virtual para detectar y bloquear el trfico no deseado Herramientas de prevencin de prdidas de datos en el hipervisor y/o nivel de mquina virtual Controles para evitar que las comunicaciones se propaguen hacia la infraestructura subyacente El aislamiento de los procesos y recursos de entornos de clientes compartidos Almacenamiento de datos separado para cada cliente Autenticacin fuerte de dos factores La separacin de funciones y la supervisin administrativa Registro continuo y vigilancia del trfico perimetral, y la respuesta en tiempo real

12/09/2013

Retos para el cumplimiento

Falta de visibilidad de la infraestructura subyacente del CSP y los controles relacionados con la seguridad Poca o ninguna supervisin o control sobre almacenamiento de datos de los tarjetahabientes Algunos componentes virtuales no tienen el mismo nivel de control de acceso , registro y seguimiento que sus contrapartes fsicas. Falta de restricciones en los lmites perimetrales entre entornos de cliente Puede ser difcil de reunir, correlacionar y/o archivar todos los registros necesarios para cumplir con los requisitos de PCI DSS. Fallas en las herramientas de control ya que en un entorno de nube puede ser difcil de realizar verificaciones y puede dar lugar a resultados incompletos. Los grandes proveedores podran no permitir el derecho a la auditora a sus clientes.

Retos para el cumplimiento

Consideraciones a tener en cuenta como Cliente: Por cunto tiempo ha estado el CSP compatible con PCI DSS ? Cundo fue su ltima validacin? Qu servicios especficos y los requisitos de PCI DSS fueron incluidos en la validacin ? Qu servicios especficos y componentes del sistema se incluyen en la validacin ? Qu procesos de servicio del CSP no se incluyeron en la validacin PCI DSS ? Cmo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para evitar que introduzcan componentes no compatibles con el medio ambiente o anular los controles?

12/09/2013

Gobernabilidad, Riesgo y Cumplimiento

Tecnologa y Operaciones Proyectos y procesos funcionales

Reingeniera de riesgos

Actividades y controles consolidados Verificacin del proveedor (debida diligencia) Acuerdos de Nivel de Servicio ( SLAs ) Planes de Continuidad del Negocio y Recuperacin de Desastres Recursos humanos

Gobernabilidad, Riesgo y Cumplimiento

Extremos de responsabilidad Cliente / Proveedor

IaaS
Datos Hardware e infraestructura de red

PaaS

SaaS

Data Center (instalaciones fsicas, infraestructura de seguridad, energa)

AHORRO
Gobierno Gestin de Riesgo

Educacin

Cumplimiento

Reinvertir en controles

12/09/2013

Entorno fsico

Control de Acceso Afecta a la confidencialidad , Integridad y Disponibilidad de los datos

Control Ambiental Afecta al rendimiento y la integridad de la prestacin del servicio.

Consideraciones legales

Propiedad de los datos y los posibles conflictos entre las exigencias legales y reglamentarias nacionales o internacionales Requisitos para la registracin electrnica, la preservacin y la integridad de las pruebas, y la custodia de datos

Procesos documentados para responder a las peticiones legales y Auditoras (registros de auditora propios y de sus clientes)

10

12/09/2013

Seguridad de los datos

Adquisicin de Datos (mapeo de los datos) Clasificacin de Datos Almacenamiento de datos Gestin del ciclo de vida Cifrado y gestin de claves de cifrado Puesta fuera de servicio y eliminacin

Ayuda a identificar donde cada entidad adquiere y cede los datos y cuales son sus responsabilidades en todo el proceso

Si los procesos de seguridad de datos no estn claramente definidos y documentados se puede exponer negativamente la informacin

Seguridad tcnica

La evolucin de las tecnologas de seguridad en virtualizacin Gestin de identidades y de acceso Registro y ficheros de auditora Acceso Hypervisor y componentes internos Seguridad de interfaces y APIs Seguridad de Sistemas Cliente Control de ambientes compartidos

11

12/09/2013

Incidentes y forencia
incluir los requisitos de notificacin entre el cliente y el proveedor en los planes de respuesta a incidentes Incluir los procesos y los plazos de notificacin en los SLA

Incluir la potencial solicitud de informacin, registros y evidencias al CSP durante la investigacin

Incluir el proceso de custodia particular para este tipo de servicio, por ejemplo ante desconexiones de VMs o cualquier otro recurso virtual

Conclusiones
Equipos Multidiciplinarios

Controlar

Preguntar

Documentar

Comparar

12

12/09/2013

La Gua y sus apndices

Apndice A: Responsabilidades PCI DSS para diferentes modelos de servicio - Consideraciones adicionales para ayudar a determinar las responsabilidades de PCI DSS a travs de diferentes modelos de servicios cloud . Apndice B : Inventario - Presenta un inventario modelo del sistema para entornos de cloud computing. Apndice C : Matriz de Responsabilidades PCI DSS Presenta una matriz de muestra para documentar cmo se asignan las responsabilidades entre el proveedor de la nube y el cliente. Apndice D: Implementacin PCI DSS - Propone un conjunto inicial de preguntas que pueden ayudar a determinar cmo los requisitos de PCI DSS se pueden cumplir en un entorno de nube particular.

https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf

MUCHAS GRACIAS

Gobierno de los datos en la nube

para el cumplimiento PCIPCI-DSS

Universidad del CEMA - Auditorio Principal Buenos Aires Argentina (2013)

Fabin Descalzo
Gerente de Governance, Risk & Compliance (GRC)
fdescalzo@cybsec.com

13