Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PGSI
Establecer e implantar Polticas de Seguridad de la Informacin que permita controlar el entorno lgico y fsico de la informacin estratgica de BANCARD, teniendo en cuenta los criterios de confidencialidad, integridad, auditabilidad, disponibilidad, autenticidad y no repudio de la informacin.
1. Poltica General
Introduccin
La informacin es un activo importante de nuestra organizacin. Bancard tiene como uno de los objetivos principales asegurar los recursos informticos incluyendo los sistemas de computacin, las redes de computadoras, las comunicaciones y sobre todo los datos en cualquier medio en que estn almacenados ya que son parte integral de los servicios y gestin de la empresa. Para la adecuada gestin de la seguridad de la informacin, la Direccin de Bancard ha decido implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. El sistema de administracin de la seguridad est basado en los siguientes estndares: PCI DSS Payment Card Industry Data Security Standard: estndar desarrollado por un comit conformado por las compaas de tarjetas medios de pago ms importantes, como una gua que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago. ISO 27001: estndar para la seguridad de la informacin aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI). MCIIEF: Manual de Control Interno Informtico constituye una norma de cumplimiento obligatorio, en el cual se indican los requisitos mnimos de Control Interno Informtico a implementar en las entidades Financieras fiscalizadas por la Superintendencia de Bancos del Banco Central del Paraguay.
A travs de las medidas de proteccin definidas en el cuerpo normativo de seguridad de informacin, la compaa pretende garantizar la proteccin de los activos de informacin propios o en su custodia.
Objetivo
Establecer las directivas generales relacionadas con la Seguridad de Informacin que junto con las dems polticas por asunto, las normas y los procedimientos que sean aprobados como tales, constituyen el cuerpo normativo para la seguridad de informacin de BANCARD. Las polticas, normas y procedimientos han sido establecidos con el fin de garantizar: 1. 2. 3. La confidencialidad de la informacin La integridad de la informacin La disponibilidad de la informacin
Alcance
Esta poltica se aplica en todo el mbito de la organizacin, a sus recursos tecnolgicos y humanos, a la totalidad de los procesos internos o externos, a los proveedores y prestadores de servicios, otros, terceros, que de alguna forma pudieran tener alguna manera habitual u ocasionalmente interacten informacin o con los equipos y dispositivos que la almacenen, transmitan y/o procesen.
Administracin
Estas polticas debern ser revisadas para su actualizacin por lo menos una vez al ao o cuando algn
Vigencia Marzo/2012
Pgina 1
2. Seguridad Fsica
El acceso fsico a cualquier activo de informacin tangible tales como Servidores de Datos, elementos de red, servidores en general, documentos y otros elementos crticos de la infraestructura como transformadores, antenas, paneles elctricos, debe estar correctamente restringido. Esto se aplica sin excepcin a los activos de informacin del segmento de red que alojan, procesan o transportan datos del tarjetahabiente y/o los datos de autenticacin del tarjetahabiente. 2.1. Zonas Protegidas
Se define 3 tipos de zonas segn el nivel de proteccin que se le da a la misma: rea Alta Seguridad: Comprende lugares donde se administra informacin confidencial o superior (PAN, PIN, Banda Magnetica, llaves de cifrados, etc.). Data Center, Centro de Embozados, Sala de Monitoreo de Seguridad. Area Crtica: Donde se administra informacin resultante del proceso de datos, donde estn instalados o almacenados equipos e insumos crticos. Area Restringida: Donde se administra informacin de difusin limitada o pblica. Todos los pisos del edificio Bancard, con excepcin de la Planta Baja, estn en esta categoria, como as tambin areas administrativas de las sucursales y otros edificios utilizados.
Vigencia Marzo/2012
Pgina 2
2.3. Personas
Todo visitante ser registrado en los accesos principales del edificio. El Guardia de Seguridad de turno gestionar la autorizacin de ingreso con la persona visitada. El visitante recibir una tarjeta de visitante identificada por colores que indica el piso al cual acceder en forma exclusiva. Los visitantes, funcionarios y proveedores deben portar la tarjeta de identificacin en lugar visible y en forma permanente dentro de las instalaciones de Bancard. El ingreso de una persona no autorizada a reas crticas, deber ser solo con el acompaamiento, en todo momento, de alguna persona responsable del rea. Los medios utilizados para accesos de empleados y Proveedores, como ejemplo tarjetas, perfiles de usuarios, etc. sern desactivados o eliminados una vez que terminen vnculos laborales. La tarjeta de acceso ser recuperada y las cuentas bloqueadas y/o eliminadas. En caso de prdida de una tarjeta de acceso se comunicar inmediatamente a RR.HH. o Seguridad de la Informacin para desactivarla. Se debe mantener un registro de movimiento de las tarjetas de accesos para casos de necesidad de investigacin. Los sistemas de control de acceso sern monitoreados permanentemente por el rea de Seguridad. Todos los empleados deben tener especial cuidado de no permitir el paso a personas no autorizadas a reas restringidas. Como mecanismo de prevencin se prohbe comer, beber o fumar dentro del centro de cmputo o instalaciones con equipos tecnolgicos. Todo maletn, caja o bolso deber ser revisado por personal de seguridad en el ingreso o salida de las instalaciones.
Vigencia Marzo/2012
Pgina 3
Vigencia Marzo/2012
Pgina 4
3.4. Internet
Todos los empleados y prestadores de servicios de Bancard debern adecuarse a las leyes vigentes en el pas, sobre derechos de reproduccin, patentes, marcas registradas y todo lo relacionado con derechos de autor que se aplican en Internet. Los empleados y prestadores de servicios de Bancard no podrn participar o publicar mensajes en grupos de discusin de Internet, foros, boletines electrnicos, o cualquier otro sistema de informacin pblico, temas relacionados a la empresa sin expresa autorizacin. No est permitida la instalacin de software o archivos obtenidos de Internet. Los empleados y prestadores de Bancard deben conocer las implicancias legales que acarrea la instalacin de software no autorizado. No est permitido el uso de los equipos de Bancard para el acceso a Internet con fines personales. Se cuenta con aplicaciones que monitorean las actividades en internet como accesos a web mail, salas de chat y mensajera instantnea de los empleados y prestadores. Los empleados son informados de esta situacin por la misma aplicacin. Los empleados que accidentalmente se conecten a pginas de Internet que tengan contenidos sexuales, racistas o cualquier otro tipo de material ofensivo debern desconectarse inmediatamente por el riesgo que estas representan y debern informar a su superior, para que los sitios sean bloqueados.
La informacin que se publique en la Intranet, debe contar con la aprobacin de la Gerencia General y del propietario de la informacin involucrada. El material que se publique en la Intranet debe ser revisado previamente para confirmar la actualidad, oportunidad e importancia de la informacin y evitar que los programas incluyan virus y/o troyanos. La informacin de Intranet debe ser nicamente utilizada por personal autorizado. Los empleados no deben redireccionar informacin que aparezca en Intranet a terceros sin autorizacin.
Vigencia Marzo/2012
Pgina 5
Correo Electrnico
Se establecer normas para proteger la confidencialidad y privacidad de la informacin que circule a travs de servicios de correo electrnico. El correo electrnico no debe ser utilizado por terceros (clientes o proveedores) sin previa autorizacin. Los contratados que no forman parte de la nomina de empleados de Bancard, solo podrn contar con una direccin de correo del dominio @bancard, previa solicitud y justificacin del Gerente a cargo. El envo de mensajes masivos a travs del correo electrnico corporativo debe ser realizado solo con aprobacin de la Gerencia de Administracin y RR.HH. Informacin confidencial, no debe ser transmitida por correo electrnico a no ser que este en formato protegido. Se establece como informacin confidencial el PAN o nmero de la tarjeta, los cdigos de seguridad de las tarjetas, las llaves que cifran datos confidenciales, etc. Los usuarios del correo corporativo no deben utilizar cuentas de correo electrnico corporativo que pertenezcan a otros usuarios. Los usuarios del correo corporativo no deben enviar mensajes de correo electrnico con contendidos hostiles que molesten a los receptores del mismo, como comentarios sobre sexo, raza, religin o preferencias sexuales. As mismo, cuando un empleado reciba este tipo de mensajes debe comunicarlo a su jefe inmediato y al rea de RR.HH. Ningn empleado esta autorizado a monitorear mensajes de correo electrnico. Seguridad de la Informacin y/o Auditora Informtica eventualmente podran tener acceso, previa autorizacin de la Gerencia General. La empresa informar al empleado involucrado, pero no est obligada a obtener su autorizacin. El sistema de correo electrnico debe ser usado nicamente para propsitos de trabajo. BANCARD se reserva el derecho de acceder y revelar los mensajes enviados y/o recibidos en su dominio @Bancard, bajo las mismas condiciones que el punto anterior. Se debe establecer procedimientos para el manejo seguro de archivos adjuntos enviados en los mensajes Se recomienda la utilizacin de firma digital.
Los servidores implementarn una funcin principal nica. Todos los servicios y protocolos innecesarios e inseguros de cada servidor deber ser deshabilitad. Todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios sern eliminadas. Los parmetros de seguridad de cada servidor deben estar configurados adecuadamente de acuerdo a los manuales de polticas definidas, deben estar activos y actualizados. Todo acceso administrativo que no sea de consola local, deber estar cifrado. Se debe utilizar tecnologas como SSH, VPN o SSL/TLS o semejantes en seguridad en los casos que corresponda.
4.2.
Los programas de proteccin contra software malicioso (antivirus) deben estar instalados y actualizados las estaciones de trabajo y servidores. Estos programas deben estar activos, actualizados y deben generar registros de auditoria. Las actualizaciones de los antivirus deben estar al da y deben incluir el software, las definiciones (firmas) y/o otros elementos necesarios para la correcta proteccin del host.
Vigencia Marzo/2012
Pgina 6
4.3.
Parches de Seguridad
Todos los componentes del sistema y el software deben contar con los ltimos parches de seguridad proporcionado por los proveedores que sean compatibles para el buen funcionamiento del sistema. Los parches importantes de seguridad deben instalarse dentro del plazo mximo de 3 (tres) de su lanzamiento. Los visitantes, consultores o proveedores que necesiten utilizar servicios de red debern tener los ltimos parches y actualizaciones de anti virus. Los equipos que no estn adecuados a esta exigencia irn a una red de cuarentena con servicios restringidos.
4.3.1.Evaluaciones
Se debe contar con un procedimiento para detectar nuevas vulnerabilidades, principalmente consultando fuentes externas a la empresa. Debern ejecutarse trimestralmente evaluaciones internas de vulnerabilidades por medio de herramientas especializadas para ayuden a mantener un estado saludable de la red, las aplicaciones y los servidores. Deber realizarse por lo menos una (1) vez al ao la revisin de vulnerabilidades de la red, servidores, aplicaciones externas y aplicaciones internas. Esta tarea deber ser ejecutada por una empresa especializada en este tipo de servicio.
4.4.
Los componentes del sistema relacionados con los hosts, guardarn registros de auditora de acuerdo a los requerimientos indicados en el capitulo "Registro de Auditoria".
4.5.
La administracin, mantenimiento, modernizacin y adquisicin de equipos computacionales y de telecomunicaciones debe adoptar los siguientes criterios para proteger seguridad de informacin de la institucin.
Cambios al Hardware
Los equipos computacionales o de procesamiento de datos no sern alterados sin el consentimiento, evaluacin tcnica y autorizacin de la Gerencia de Produccin e Infraestructura Tecnolgica. Los empleados deben reportar a la Gerencia de Produccin e Infraestructura Tecnolgica, sobre daos o prdidas de equipos a su cuidado y que sean propiedad de la empresa. La intervencin directa para reparar el equipo est expresamente prohibida. Se proporcionar el soporte interno o externo necesario para la solucin del problema reportado. Todos los equipos deben estar relacionados en un inventario que incluya la informacin de sus caractersticas, configuracin, ubicacin, responsable. Todo el hardware ser solamente adquirido de los canales de compra estndares y proveedores conocidos. Todos los productos de hardware deben ser registrados en inventarios ordenados por proveedor y contar con el respectivo contrato de mantenimiento. Para todos los equipos y sistemas de comunicacin utilizados en procesos de produccin, se debe aplicar un procedimiento formal de control de cambios que garantice que solo se realicen cambios autorizados.
Vigencia Marzo/2012
Pgina 7
Control de Cambios
El procedimiento de control de cambios debe ser administrado por la Gerencia de Produccin e Infraestructura Tecnolgica y debe incluir la documentacin del proceso con las respectivas propuestas revisadas, la aprobacin de las reas correspondientes y la manera de como el cambio fue realizado. Seguridad de la Informacin, debe formar parte del proceso de control de cambio solicitado para garantizar que no afecte a la seguridad establecida en la compaa.
4.6.
Todas las conexiones con los sistemas y redes deben ser realizadas por medio de dispositivos probados y aprobados y que debe contar con mecanismos de autenticacin de usuario. Los equipos con mdems instalados como notebooks, solo podrn ser utilizados cuando no estn conectados a la red de Bancard. Los equipos de computacin que pueden ser accedidos por terceros a travs de diversos canales - como lneas conmutadas, redes de fibras pticas, frame realy, Wireless, Internet y otros. Todos los equipos estarn protegidos por mecanismos de control aprobados por la Gerencia de Seguridad de la Informacin. Todas las lneas conmutadas que permitan el acceso a la red de comunicaciones o sistemas deben pasar a travs de un punto de control adicional (firewall, routers con ACLs, etc.) antes de que la pantalla de login aparezca en el terminal del usuario final.
4.7.
Todos los procesos relacionados con cifrado de datos debern estar implementados en hardware especializado (HSM Host Security Module), para minimizar amenazas de revelacin de llaves. Los equipos computacionales porttiles pertenecientes a Bancard y que contenga informacin confidencial relacionada al negocio, utilizarn software de cifrado para proteger la informacin y en viajes debern ser registrados como equipaje de mano. Todo equipo deber estar identificado mediante un cdigo o nmero grabado en l, que permita su fcil identificacin en el inventario de activos. Se realizarn controles de inventarios fsicos en forma peridica y eficiente, por lo menos una vez al ao. Todo equipo porttil debe tener la Declaracin de Responsabilidad por parte del usuario, que incluya instrucciones de manejo de informacin y acato de normas internas y de seguridad para el caso de robo o prdida.
Control de Acceso
Todos los sistemas automatizados deben utilizar estndares para los cdigos de identificacin de usuario, nombres programas y archivos tanto en ambientes de produccin como en desarrollo, para nombres de sistemas de informacin y otras convenciones utilizadas en tecnologa. Si el sistema de control de acceso a un computador o red no est funcionando apropiadamente, debe suspenderse el acceso a todos los usuarios. Toda transaccin que afecte informacin de valor, sensible o crtica debe ser procesada nicamente cuando se valide la autenticidad del origen (usuario o sistema) y se compruebe su autorizacin mediante un mecanismo de control de acceso o perfiles. Todo programa, equipo y archivo que contenga frmulas, algoritmos u otras especificaciones que se utilicen para la generacin de claves debe estar controlado con las ms altas medidas de seguridad.
Vigencia Marzo/2012
Pgina 8
5.2.
Los perfiles de usuario sern definidos de acuerdo a la funcin y cargo de cada funcionario de tal forma que la informacin solo sea accedida y/o modificada por los usuarios autorizados y en los horarios establecidos. Las modificaciones de privilegios y/o perfiles de usuario deben ser realizados exclusivamente por los administradores, de acuerdo a la solicitud y previa autorizacin del propietario de la aplicacin o del propietario de la informacin. Se deja evidencia de los cambios realizados a los perfiles, de cambios de estado, permisos o eliminacin de la cuenta. Privilegios especiales solo se otorga a administradores del sistema o responsables de la seguridad. Los usuarios finales no podrn tener acceso a niveles de comandos para el funcionamiento del sistema. El nivel de administrador de sistemas debe tener un control dual, de tal forma que exista una supervisin a las actividades realizadas por el administrador del sistema. Todas las herramientas de sistemas de informacin, construidas o distribuidas, que adems de cumplir con sus funciones especificas pueda ser utilizada para realizar cambios no deseados, estn restringidas al uso para el propsito determinado. El hardware y software de diagnstico y/o utilitarios slo debern ser usados por personal autorizado y su uso debe ser controlado por la Gerencia de Seguridad de la Informacin.
Controles de accesos
Los usuarios no abandonarn su computador, estacin de trabajo sin haber realizado el cierre de la sesin activa y bloquear su sesin. El acceso a los sistemas debe realizarse como mnimo por medio de un cdigo de identificacin del usuario y contrasea nicos para cada usuario. Los errores de user Id o password durante el acceso no mostrar mensajes declarando la fuente del problema, simplemente debe informar que el acceso es incorrecto. El sistema operativo deber bloquear la cuenta del usuario despus de tres intentos infructuosos y consecutivos. El bloqueo permanecer hasta que el administrador del sistema o responsable de la seguridad lo habilite de nuevo siguiendo con los procedimientos establecidos para identificacin del usuario.
La aplicacin deber establecer controles sobre los perfiles de usuarios que no hayan tenido actividad durante un periodo de tiempo considerado crtico y revocar los privilegios de los mismos. Se establecen parmetros para basar este control. Seguridad Informtica monitoriza los perfiles de usuarios en estas condiciones. El sistema debe controlar el tiempo de inactividad del usuario y desactivar la sesin en forma automtica despus de que se haya cumplido el tiempo definido.
Vigencia Marzo/2012
Pgina 9
En todos los servidores y aplicaciones deber implementarse complejidad de contraseas. Deben establecerse polticas de contraseas que permitan a los usuarios definir contraseas fuertes. El sistema debe llevar un histrico de palabras clave, de tal forma que los usuarios no usen palabras claves utilizadas anteriormente Las contraseas nunca sern presentadas en forma legible en pantalla o impresiones. El sistema debe obligar en forma automtica a todo usuario a cambiar su contrasea segn lo definido por las polticas.
5.3.
Los componentes del sistema relacionados con las aplicaciones, deben guardar registros de auditoria de conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria".
5.4.
Otros Controles
Todo sistema debe contener herramientas que ayuden al administrador del sistema en la verificacin del estado de seguridad. Estas herramientas deben contener mecanismos que sirvan para detectar, informar y corregir problemas de seguridad. Todos los sistemas de informacin en produccin deben ser peridicamente revisados por el rea de seguridad de la informacin para determinar el cumplimiento de un conjunto mnimo de controles requeridos para reducir riesgos. Los servidores de sistemas en Produccin no debern contener compiladores, ensambladores, editores de fuentes u otras utilidades que puedan ser utilizadas para comprometer la seguridad del sistema. Las caractersticas especiales del sistema y que no sean necesarias en el ambiente de procesamiento, debern ser desactivadas en el momento de la instalacin del software.
5.5.
Todos los sistemas de Bancard debern estar adecuados para solo permitir la visualizacin o impresin de PAN (nmero de tarjeta) en formato enmascarado. El formato definido por las normas que rigen este negocio es: Los primeros seis digitos y los ltimos cuatro digitos es la cantidad mxima de dgitos que debe mostrarse. (9999 99** **** 9999).
5.6.
Los funcionarios de Bancard S.A. que tengan funciones y responsabilidades con los sistemas de informacin debern adecuarse a las siguientes normas para proteger estos activos y la informacin que a travs de estos se maneje.
5.7.
Bancard S.A. deber contar con un inventario actualizado del software de su propiedad, el comprado a terceros, el desarrollado internamente, el adquirido bajo licenciamiento, el entregado y/o recibido en comodato. Las licencias y los dispositivos de almacenamiento sern resguardadas en un lugar seguro bajo llave y responsabilidad de un funcionario designado por el Gerente de Produccin e Infraestructura Tcnica.
Vigencia Marzo/2012
Pgina 10
5.8.
Adquisicin de Software
Bancard S.A. implementar un esquema de adquisicin de software de terceros que incluya un contrato con el proveedor que contemple clusulas para la proteccin de la informacin y del software adquirido, la documentacin correspondiente y los medios de respaldos necesarios. Todo software o licencia de uso de software adquirido deber ser asignado a un propietario segn las Polticas de Propiedad de la Informacin antes de ser instalado y puesto en produccin. El software adquirido debe contar con acceso controlado que permita al usuario propietario del mismo restringir su uso solo a usuarios autorizados. Cada usuario deber identificarse por medio de una nica identificacin de usuario y contrasea antes de que se le permita el acceso al sistema. El software registrar los eventos en los sistemas relacionados con la seguridad. Cuando se adquiera una licencia de uso de software, a travs de un proveedor o la contratacin de desarrollo de software a medida, se deber agregar al contrato clusulas que garanticen el riesgo de la continuidad de la prestacin de los servicios del proveedor definiendo la figura de fiel depositario de los programas fuentes. Las aplicaciones adquiridas de terceros o desarrolladas internamente, debern incluir en sus especificaciones puntos de seguridad de la informacin. Como mnimo deberan estar definidos; perfiles de usuarios, control de acceso, registros de las transacciones, registro de las actividades de usuarios (log), pistas de auditoria (journal).
5.9.
Con el propsito de asegurar la integridad de la informacin, la funcin de parametrizacin del software a instalar estar a cargo de un equipo interdisciplinario. Este equipo estar compuesto por representantes de los usuarios, el proveedor, Seguridad de la Informacin, Auditora y el rea propietaria de la aplicacin. El documento final de parametrizacin del software deber contar con la aprobacin por parte del equipo interdisciplinario antes de su paso al ambiente de prueba y su posterior puesta en produccin.
5.10.
Desarrollo de Software
Bancard S.A. implementar una metodologa formal para el desarrollo de software seguro y las actividades de mantenimiento que cumplirn con las polticas, normas, procedimientos, controles y otras definiciones, del el proyecto aplicables en el desarrollo de sistemas y exigibles por el negocio. Los controles implementados debern ser como mnimo los exigidos en los puntos relacionados a Adquisicin de Software. Su revisin deber estar incluida en los planes de auditoria de sistemas.
Vigencia Marzo/2012
Pgina 11
Las aplicaciones web debern ser desarrolladas en base a directrices de codificacin segura, como la Gua para proyectos de seguridad de aplicaciones web abierta OWASP (Open Web Application Security Project o Proyecto de Seguridad de Aplicaciones WEB Abiertas), en conformidad con el requerimiento 6.5 de PCI DSS. Las aplicaciones web publicas debern ser chequeadas por metodos manuales o automticos por lo menos una vez al ao o despues de cada cambio.
5.11.
Pruebas de Software
El rea de desarrollo de sistemas deber entregar el software desarrollado con cdigos fuentes al rea responsable de ejecutar las pruebas. Ser conformado un equipo de trabajo para realizar las pruebas correspondientes del funcionamiento del software desarrollado. Este equipo contar con representantes de usuarios para certificar que el desarrollo ha sido efectuado en base a sus requerimientos. Los tipos de pruebas mnimas a realizar debern ser establecidas por los usuarios de la aplicacin. Para garantizar la integridad de la informacin en produccin, estas debern ser planeadas, ejecutadas, documentadas y establecer control de sus resultados. El ambiente de pruebas ser lo ms idntico posible en configuracin, al ambiente de produccin. Contemplar aspectos funcionales, de seguridad y tcnicos. Se har una revisin a la documentacin mnima requerida y de los procesos de retorno a la versin anterior. Si hay necesidad de ingresar llaves o claves utilizadas en el ambiente de produccin, estas debern ser ingresadas y utilizadas de manera segura. Se deber contar con un cronograma para la ejecucin de las pruebas con el fin de cumplir con los compromisos institucionales acordados. Se garantiza la atencin de los requerimientos por problemas presentados durante las pruebas. Se contar con un procedimiento que permita dejar evidencia del estado de las pruebas una vez corregido el problema. Una vez se hayan realizado todos los cambios al software, detectados durante las pruebas, deber ejecutarse nuevamente una serie de pruebas integrales, que garanticen su correcto funcionamiento. El cdigo fuente ser revisado en bsqueda de cdigos mal intencionado o debilidades de seguridad, utilizando herramientas automticas, para luego ser compilado y transferido a produccin.
5.12.
Para la puesta en produccin de algn software, indefectiblemente deber existir autorizacin del responsable de la aplicacin, la conformidad del usuario final y la autorizacin por parte de Seguridad de la informacin.
Vigencia Marzo/2012
Pgina 12
Se deber contar con un cronograma de puesta en marcha en produccin con el fin de tener la posibilidad de realizar controles y ajustes necesarios para minimizar el impacto de la implantacin del mismo. Los mdulos ejecutables nunca debern ser trasladados directamente de las libreras de pruebas a las libreras de produccin sin previa compilacin por el rea asignada para tal efecto, que no deber ser el rea de desarrollo. Los programas en el ambiente de produccin, sern modificados de acuerdo con los procedimientos de Control de Cambios establecidos.
Clasificacin de la Informacin
Toda la informacin contenida en los sistemas de Bancard S.A. deber ser clasificada de acuerdo a su nivel de sensibilidad. Se deber contar con una metodologa que permita clasificar la informacin y conocer su valor. Los responsables de la informacin sern los encargados de clasificar, proteger y autorizar el acceso a la informacin. Los responsables asumen el papel de tutores de la informacin, en tanto la propiedad siempre ser de las entidades miembros del sistema Bancard
Vigencia Marzo/2012
Pgina 13
Toda informacin debe etiquetarse (marcarse) segn la categora definida y todos los datos que se divulguen por cualquier medio deben mostrar la clasificacin de sensibilidad de la informacin. Cuando se consolida informacin con varias clasificaciones de sensibilidad, los controles usados deben proteger la informacin ms sensible y se debe clasificar con el mximo nivel de restriccin que contenga la misma. En caso de ser necesario compartir informacin sensible desde estaciones de trabajo, se debe utilizar la seguridad que ofrecen los sistemas para restringir el acceso a travs de claves o usuarios especficos. La responsabilidad para definir la clasificacin de la informacin ser del dueo de la informacin en conjunto con Seguridad de la Informacin, tambin debe existir un cronograma de revisin para realizar mantenimiento a la clasificacin de sensibilidad de la informacin.
6.2.
Las bases de datos que contengan datos crticos deben estar en el segmento de red de datos crticos, segregada de la DMZ. Los datos del tarjetahabiente deben almacenarse la menor cantidad posible, lo suficiente para las necesidades de las operaciones o de los requisitos legales. Los datos confidenciales de autenticacin, luego de la autorizacin no debern almacenarse aunque estn cifrados. El PAN (nmero de tarjeta) debe hacerse ilegible en cualquier lugar en el que se encuentre almacenado, incluyendo logs de base de dato, o cualquier otro tipo de registro de auditora, adems de los medios de utilizados para back-up, Todo dato crtico debe tener un proceso de respaldo peridico, un periodo de retencin, fecha de la ltima modificacin, fecha de caducidad y fecha en que pierde su estado de crtico. Toda informacin administrada por Bancard S.A. debe tener una copia de respaldo completa y actualizada, en un sitio externo al local en que se procesan dichos datos. Todos los medios fsicos donde la informacin de valor, sensitiva y crtica es almacenada por periodos mayores de seis (6) meses, no deben estar sujetos a una rpida degradacin o deterioro por lo tanto deben mantenerse almacenados bajo condiciones ambientales de temperatura y humedad ptimas que permitan conservar la informacin. La empresa debe contar con un procedimiento para la restauracin de los backups. Estar administrado por el rea de Produccin y Monitoreo Tcnico. Los respaldos de informacin deben tener un proceso de validacin por lo menos cada 6 meses con el fin de garantizar que no han sufrido ningn deterioro y que podrn ser utilizados en el momento en que se necesite. Toda la informacin contable, de impuestos y de tipo legal debe ser conservada de acuerdo con las normas legales vigentes.
Vigencia Marzo/2012
Pgina 14
El proceso de creacin de claves criptogrficas y el conocimiento y control se debe segregar entre distintas personas responsables. Estos custodios de claves criptogrficas debern firmar un formulario en el que declaren que comprenden y aceptan su responsabilidad como custodios de las claves criptograficas.
6.3.
Toda informacin crtica solamente ser remitida fuera de las instalaciones Bancard S.A. en forma segura cumpliendo con los procedimientos establecidos. Todos los mensajes de correo electrnico remitidos en formato libre de texto y que contengan informacin crtica deben cumplir con los procedimientos establecidos de manera que se realice y/o almacenen en forma segura. Toda la informacin transmitida por medios como por ejemplo el fax, e-mails, chats, etc. debern seguir procedimientos establecidos para asegurar la confidencialidad e integridad de la informacin. No deben enviarse datos crticos por medio de tecnologas de mensajera de usuario final (por ejemplo, el correo electrnico, la mensajera instantnea o el chat) si no estn cifrados, en particular los siguientes: el PAN (nmero de tarjeta), el nombre del titular de la tarjeta, el Cdigo de Servicio, la Fecha de Vencimiento, los Datos completos de la banda magntica (Track), los cdigos de seguridad CAV2/CVC2/CVV2/CID, el PIN, Toda informacin crtica que aparece en recibos generados por computador, POS, ATM y entregados a los clientes (voucher) deben ser truncados o enmascarados siguiendo lo que recomienda la norma de presenta solo los primeros 6 dgitos y los ltimos cuatro.
6.4.
Eliminancin de Datos
La eliminacin de la informacin debe seguir procedimientos seguros y debidamente aprobados por la Gerencia de Seguridad Informtica. 6.5.
Administracin de la Informacin
Cualquier tipo de informacin interna no puede ser vendida, transferida o intercambiada con terceros para ningn propsito diferente al del negocio. En caso de que la informacin sea requerida por auditores internos o externos, la entrega de dicha documentacin deber ser autorizada por el propietario de la informacin solicitada. Son derecho de propiedad intelectual exclusiva de Bancard S.A. todos los productos desarrollados o modificados por empleados o personas contratadas por la empresa. Los datos y programas deben ser modificados nicamente por personal autorizado de acuerdo con los procedimientos establecidos en la metodologa de desarrollo de software. Tambin el acceso a depsitos de informacin (almacenamiento fsico o medio magntico) debe restringirse nicamente a personal autorizado. Cuando la informacin crtica no est siendo utilizada se la debe guardar en sitios destinados para el efecto, los cuales deben contar con las debidas medidas de seguridad que garanticen su confidencialidad
Vigencia Marzo/2012
Pgina 15
6.6.
Para reducir la probabilidad de ingreso errneo de datos de alta sensibilidad, todos los procedimientos de ingreso de informacin deben contener controles de validacin. Se debe contar con procedimientos de control y validaciones para transacciones rechazadas o pendientes de procesar, adems de los tiempos determinados para dar la solucin y tomar las medidas correctivas. Todas las transacciones que ingresen a un sistema de produccin computarizado, deben ser sujetos a un chequeo razonable, chequeos de edicin y/o validaciones de control. Todos los errores cometidos por los empleados y que son detectados por los clientes deben cumplir con un proceso de investigacin de acuerdo con los procedimientos y tiempos establecidos. Se utilizar cifras de control, as como definir procedimientos para el cuadre de estas cifras de control, que garanticen la integridad de la informacin procesada. Los controles establecidos en los procesos y las vulnerabilidades de seguridad detectados en los procesos y recursos informticos, no pueden ser dados a conocer a terceros por parte de los empleados.
6.7.
Logs
Los componentes del sistema relacionados con los datos, deben guardar registros de auditoria de conformidad a los requerimientos aplicables indicados en el capitulo "Registro de Auditoria".
Vigencia Marzo/2012
Pgina 16
7. Personas
Los funcionarios con relacin a la seguridad de la informacin. La responsabilidad de la seguridad de la informacin es una obligacin de cada funcionario de Bancard S.A.
7.1.
La identificacin del usuario (Id. usuario) debe ser nico para cada usuario habilitado en los sistemas de Bancard S.A. La identificacin, el perfil y la contrasea de acceso del usuario sern de uso personal e intransferible. Los mecanismos de acceso para el uso de los recursos informticos otorgados a los usuarios, ser exclusiva responsabilidad de cada uno y cuando sean ingresados en los sistemas debern ser protegidos contra su divulgacin a terceros. El rea de Seguridad Informtica implementar los medios necesarios para salvaguardar la integridad de la identificacin, perfil y contrasea de acceso del usuario. Las contraseas se transmitirn o se almacenaran en forma ilegible mediante una slida criptografa. Los usuarios sern responsables de todas las actividades llevadas a cabo con su identificacin, perfil y contrasea de acceso.
7.2.
Los funcionarios no deben proporcionar de forma externa o interna informacin procesada por Bancard sin autorizacin de la gerencia de rea respectiva o de la Gerencia General. Los funcionarios podrn consultar, modificar, destruir, copiar o distribuir archivos o informacin solamente con la debida autorizacin del Usuario Propietario de la Informacin. (Ver Poltica de Propiedad de la informacin) La Instalacin de software ser controlada y administrada por la Gerencia de Produccin e Infraestructura Tcnica con autorizacin expresa y escrita del rea de Seguridad de la Informacin. Los usuarios no debern instalar software de aplicacin para obtener informacin en forma no autorizada. Los usuarios finales no tendrn nivel Administrador en sus equipos personales. Los usuarios no debern acceder en forma no autorizada a los sistemas de aplicacin, examinar equipos servidores de procesamiento, estaciones de trabajo individuales y redes informticas con el propsito de obtener informacin confidencial o datos no relacionados con su actividad laboral. La informacin administrada por Bancard S.A. es de carcter confidencial y no ser incluida en listas de correo electrnico. Los usuarios deben actuar con la debida diligencia para salvaguardar en todo momento la confidencialidad de la informacin. Los usuarios tienen la responsabilidad de controlar la integridad, confidencialidad, disponibilidad y trazabilidad de la informacin que utilicen, especialmente si la informacin est clasificada como crtica. Los usuarios deben informar inmediatamente al rea de Seguridad de la Informacin o al gerente de su rea, la ocurrencia de intentos de acceso indebido al sistema, aparicin de virus informtico, ejecucin de programas desconocidos y errores del sistema que otorguen facilidades de acceso no previstas en la definicin de su perfil de usuario.
7.3.
Otras Consideraciones
Los usuarios utilizarn exclusivamente los recursos de tecnologa provistos por Bancard para actividades propias de la empresa y relacionadas al negocio. Todos los nuevos funcionarios de Bancard S.A. debern firmar el documento COMPROMISO DE CUMPLIMIENTO DE MEJORES PRCTICAS DE SEGURIDAD DE LA INFORMACIN entregado por el rea de Seguridad de la Informacin en el momento de su incorporacin. Los usuarios de sistemas de informacin de Bancard S.A. debern cumplir con las recomendaciones de estas Polticas y las recomendaciones mencionadas en el documento resumen Pautas a Seguir para la Seguridad de la Informacin, a ser distribuido durante el programa de induccin al nuevo funcionario.
Vigencia Marzo/2012
Pgina 17
Administracin de Logs
Se debe establecer un proceso para vincular todos los accesos a componentes del sistema a cada usuario en particular. Estas medidas se tomarn con el requisito especifico de rastrear y monitorizar todos los accesos a los recursos del sistema que luego podrn ser utilizados para determinar y/o reconstruir los eventos ocurridos en los componentes del sistema. Todos los archivos de logs de los diferentes sistemas deben retenerse por periodos definidos segn su criticidad y la exigida de ley en forma obligatoria. Adems, deben ser custodiados en forma segura para que no puedan ser modificados y para que puedan ser ledos nicamente por personas autorizadas; los usuarios que no estn autorizados deben solicitarlos al rea encargada de su administracin y custodia. Todos los accesos a datos crticos, asi como a los elementos de sistemas deben quedar registrados en los registros de auditoria. Estos registros deben contener informacin suficiente para que por si mismo o en conjuncin con otros recursos puedan identificar las actividades realizadas y vincularlos con cada usuario en particular. Debe incluir como mnimo la siguiente informacin: Identificacin del cdigo del usuario Identificacin de la terminal Fecha/hora de la entrada y de la salida de cada sesin del sistema Aplicaciones invocadas Cambios de informacin en los archivos de las aplicaciones crticas Adiciones y/o cambios a los privilegios de los usuarios Controles del sistema modificados Fecha/hora de iniciacin y terminacin de ingreso al sistema de informacin Intentos de accesos no autorizados Intentos de uso de privilegios de comandos no autorizados Uso de comandos privilegiados y de software utilitario del sistema
Todos los logs habilitados en el sistema deben tener definido un usuario para su administracin y control, quien adems deber encargarse de realizar seguimientos y revisiones peridicas a los mismos. Los logs deben tener mecanismos de seguridad y control administrativo resistentes a ataques capaces de detectar y grabar eventos significativos en aspectos de seguridad de informacin. Estos ataques incluyen intentos de desactivar, modificar, intentar o detectar las claves de acceso al software y/o a los mismos logs. Los registros de auditoria automticos implementados deben permitir reconstruir los siguientes eventos como mnimo: Todos los accesos de personas a los datos crticos Todas las acciones realizadas por cuentas de usuario con privilegios de administrador, root, super usuario, etc. El acceso a todas las pistas de auditoria Intentos de acceso logico no validos Uso de mecanismos de identificacin y autenticacin. Inicializacin de los registros de auditoria Creacin y eliminacin de objetos a nivel del sistema Intentos de desactivar, modificar, interceptar o probar las claves de acceso Cada vez que se hacen copias adicionales de informacin sensible definida en la Poltica de clasificacin de la informacin, deber quedar registro en un log.
Para cada evento debe registrarse los siguientes datos: identificacin del usuario, tipo de evento, fecha y hora, estado de exito o falla, origen del evento, identidad o nombre de los datos, componentes del sistema
Vigencia Marzo/2012
Pgina 18
Vigencia Marzo/2012
Pgina 19