Modulo2 Final v0.9 PDF

INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013
INFORMATION
QUALITY
MÓDULO 2
Alcance de la
Evaluación PCI-DSS
IQ INFORMATION QUALITY SAS CONFIDENCIAL
INFORMATION
QUALITY
MÓDULO 2
AMBIENTE DE DATOS DE TARJETAHABIENTE
(CDE)
Flujo de Datos
de Tarjeta
Habiente.
Segmentación
de red Almacenamiento
de datos de
Tarjeta Habiente
Este documento contiene información confidencial queda prohibida su reproducción,

distribución y copia.
1
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
¿QUÉ SON DATOS DE TARJETAHABIENTE?
INFORMATION
QUALITY
MÓDULO 2
NÚMERO DE LA TARJETA (PAN)
Formula de Luhn ó Modulus 10 es el algoritmo utilizado para validar un número PAN

ISO/IEC 7813

2
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
EXPRESIONES REGULARES
http://www.regular-expressions.info/creditcard.html
Visa: ^4[0-9]{12}(?:[0-9]{3})?$ Todas las VISA comienzan con 4. Las nuevas tarjetas tienen
16 dígitos. Viejas tarjetas tienen 13 dígitos.
MasterCard: ^5[1-5][0-9]{14}$ Todas las tarjetas MasterCard comienzan con 51-55. Todas
son de 16 dígitos.
American Express: ^3[47][0-9]{13}$ Todas las tarjetas AMEX comienzan con 34 o 37 y son
de 15 dígitos.
Diners Club: ^3(?:0[0-5]|[68][0-9])[0-9]{11}$ Las tarjetas Diners comienzan con 300-305,

36 o 38. Todas son de 14 dígitos. Algunas Diners Club que comienzan con 5 tienen 16 dígitos. (Joint
Venture con Master)
Discover: ^6(?:011|5[0-9]{2})[0-9]{12}$ Comienzan con 6011 o 65. Todas tienen 16

dígitos.
JCB: ^(?:2131|1800|35\d{3})\d{11}$ Comienzan con 2131 o 1800 y tienen 15 dígitos. Las

que comienzan con 35 tienen 16 digitos
INFORMATION
QUALITY
MÓDULO 2
CÓDIGO DE SERVICIO

3
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
DATOS DEL TRACK
BANDA MAGNÉTICA
CHIP
INFORMATION
QUALITY
MÓDULO 2
DATOS DEL TRACK 1
PROHIBIDO
ALMACENAR
Formato
de código
PAN
Separador
Apellido
CVV / CVC
Separador de
título
Sufijo
Separador de
apellido
Reservado
Nombre
para el uso del
Inicial emisor de la
Titular tarjeta
PVV/PVKI
Separador de
título
FUENTE:
Fecha de ISO/IEC 7813
expiración Track 1: hasta 79 caracteres
Código de Track 2: hasta 40
servicio Caracteres

4
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
DATOS DEL TRACK 2
PROHIBIDO
ALMACENAR
PAN
Separador
Fecha de
Expiración
Código de
Servicio
Datos de FUENTE:
Verificación ISO/IEC 7813
del PIN Track 1: hasta 79
caracteres
Datos Track 2: hasta 40
Discrecionales Caracteres
(CVV/CVC)
INFORMATION
QUALITY
MÓDULO 2
VALOR O CÓDIGO DE VERIFICACIÓN DE
TARJETA
(1) En la Banda Magnética

(2) Impreso en la Tarjeta

5
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
PIN Y BLOQUE DEL PIN
PROHIBIDO
ALMACENAR
Pin Verification Data

PIN- PVV
Longitud 0 – 5 Números
Descripción Es usado para la verificación del PIN. Generalmente llamado PVV
Valor válido Números de 0 – 9:
Posición 1: PIN Índice de verificación de clave (PVKI) = 0 ó 1 hasta 6.
Posición 2- 5: Valor de verificación del PIN (PVV).
INFORMATION
QUALITY
MÓDULO 2
CDE
PCI DSS 1.2
Área de la red de cómputo que

tiene CHD o SAD, los
componentes de sistemas que
se conectan directamente y
soportan el procesamiento,
almacenamiento o transmisión de
CHD
PCI DSS 2.0
Personas, Procesos y Tecnología

que almacena, procesa o
transmite CHD o SAD, incluyendo
cualquier componente de
sistema conectado

6
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
CDE
Personas, Procesos y Tecnología que almacena, procesa o transmite CHD o SAD,

incluyendo cualquier componente de sistema conectado
El cumplimiento de los requerimientos aplica a todos los componentes de sistema en

el CDE. Es decir, el CDE es el Alcance donde se aplica la norma.
Un componente de sistema es cualquier elemento de red, servidor, aplicación que

esté incluido o conectado al ambiente de datos de tarjetahabiente. También se
incluyen componentes virtuales (VM, virtual SW/RO, virtual appliances, virtual
applications/desktops e Hypervisors)
Antes de abordar los requerimientos, un análisis del Alcance se debe realizar
INFORMATION
QUALITY
MÓDULO 2
CDE
Se consideran dentro del alcance y por ende en el ambiente de datos de tarjetahabiente (CDE)
los servidores y PCs que cumplan con mínimo alguna de las siguientes condiciones:
1. Almacenan datos de tarjetahabiente.
2. Procesa datos de tarjetahabiente.
3. Servidores de Control de Acceso (LDAP, AD, RACF)
4. No procesan ni almacenan datos de tarjetahabiente, pero interactúan o se conectan

directamente con componentes de sistema que si almacena o procesan datos de
tarjetahabiente.

7
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
FLUJO DE DATOS DE TARJETAHABIENTE
Los Datos de Tarjetahabiente fluyen entre y a través de Aplicaciones, sistemas y componentes de red.
Es clave tener claro en la organización, por donde fluyen y se almacenan datos de tarjetahabiente.
La prioridad inmediata es determinar y analizar la forma precisa en que los datos de tarjetas son
procesados y almacenados en sus sistemas y mapear (diagramar) todos los flujos de datos relacionados.
Se revelarán elementos críticos:
1) Identificar cualquier sistema en el cual datos de tarjetahabiente son almacenados
2) Revelar cuales componentes de estos sistemas están bajo control directo de la Organización
3) Identificar puntos de interacción (demarcar responsabilidades y fronteras)
4) Encontrar Personas que acceden y manejan datos de tarjetahabiente
INFORMATION
QUALITY
MÓDULO 2
TABLAS DE UBICACIÓN DE CHD
Justificación de la
Aplicación Descripción/Ubicaci Base de Datos Retención retención
(Legal/contractual
ón /de negocio)
Justificación de la
Base de datos / Nombre de Tabla / CHD almacenado Retención retención
(Legal/contractual
Almacenamiento Archivos / Directorio /de negocio)
de CHD

8
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE ALMACENAMIENTO – DATOS TARJETA HABIENTES
Compras on-line Los Adquirentes
Enlace con la Pasarela

de Pagos VPN
Enlaces Dedicados con las
entidades adquirentes.
X.25
Oficinas Principales
Frame Relay
DATA CENTER-
Enlaces entre almacenes, VPN
SERVIDORES DE
puntos de presencia (POP) y el MPLS, etc
TRANSACCIONES
Servidor de Transacciones
Aplicaciones de Pago
DATA CENTER
SECUNDARIO
Supermercado con
Servidor Local
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE ALMACENAMIENTO – DATOS TARJETA HABIENTES
Servidor POS Local.

OS 4690 SuperMarket
Application
DataCenter
Servidor de procesamiento
i-series.
Red
Corporativa
Servidor POS Local.

OS 4690 SuperMarket
Application
Vía Correo-e
Administración hacia Los Adquirentes

los Servidores POS
Locales.

9
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE TRANSMISIÓN – DATOS TARJETA HABIENTES
PROCESADOR
Payment
gateway
Conexión Conexión
E F G Red Red H
AP Lan/Wan Lan/Wan
A B C POS Server
D VISA II
Conexión
Conexión
Conexión
POS Server POS Server (Caja – POS)
Red Conexión
Dial-up GPRS
Lan/Wan WIFI
COMERCIO
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE TRANSMISIÓN – DATOS TARJETA HABIENTES
LAN/WAN, Dial Up, GPRS,

red del comercio
Switch Autorizador
Transaccional
HSM

10
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
Internet REALCE, Cierres,
Banking EMPAQUE, Compensación,
DISTRIBUCION Contragargos,
Adquirencia
INTERNET
Zona Conexión
Terceros Data Center Principal
HOST Bancario
Sistema de Producción
Tarjetas
WAN Mobile
Monitoreo
Banking Transaccional/
HSM
Bancario
ATMs, Kioskos, CDMs
BASES DE DATOS
Middleware switch-
EFT switch
Data Center Alterno

OFICINAS CALL IVR
CENTER
INFRAESTRUCTURA TIPICA
EN BANCOS
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE ALCANCE – PCI DSS
CANALES
Pin Pad BANCA
OFICINAS ATMs IVR MOVIL
Banca Virtual CONTACT CENTER CNB
PROVEEDORES PROCESOS TARJETAS PROVEEDORES

DE SERVICIO DE SERVICIO
Emisión, Adquirencia con
Distribución Establecimientos
Impresión de de Comercio
y Entrega Áreas del TELCOS
Extractos y listados
Banco
Administración Monitoreo y
Transaccionalidad Realce y
Gestión Documental de Tarjetas magnetización de
Tarjetas
CENTRALES DE
RIESGO
APLICACIONES Procesadores
Monitoreo
CORE BANCARIO Aplicación Banca Virtual
Transaccional
Transporte y Grupo de Empresas
entrega de tarjetas de Desarrollo
CUSTODIA DE COMPONENTES DE SISTEMAS

MEDIOS
SEGURIDAD RED SERVIDORES BASES DE DATOS

11
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE FLUJO DE DATOS DE TARJETAHABIENTE
EN CONTACT CENTER
Usuarios llaman Agente del Contact

al número PBX de la Center toma la orden
empresa “cliente” del usuario
Los datos de
Tarjeta son
solicitados directamente
por el IVR ?
SI
La conversación NO
es grabada El agente solicita los datos
de tarjetahabiente y éstos
son ingresados en la
Aplicación correspondiente El aplicativo del IVR
interactúa con el sistema
Procesador
La Aplicación Interactúa
con el sistema Procesador
Transacción aprobada ó
rechazada
INFORMATION
QUALITY
MÓDULO 2
PROCESAMIENTO, GATEWAYs
BANCOS
Switch
Transaccional MARCAs
Sistema de
COMERCIOS
Administración
de Comercios
Monitoreo
Transaccional
PCs de Operaciones y Sistemas.

12
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE FLUJOs
Realce COURIER
Tarjetas ALISTAMIENTO,
DISTRIBUCION
Banco
VPN/WAN
Oficinas
Tarjetahabiente
INFORMATION
QUALITY
MÓDULO 2
REALCE, MAGNETIZACION TARJETAS
Monitoreo de Área
sensible
Banco Apertura segura de

archivos
Area de Realce
Bodega, empaque,
alistamiento

13
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
¿ CONOCEMOS NUESTRO CDE ?
•Sabemos por donde fluyen números de tarjeta ?
•Sabemos donde se almacenan ?
•Sabemos quien los accede ?
•Sabemos quien los extrae ?
•Sabemos a quien se los entregamos ?
•Sabemos quien es el Responsable en caso de fugas de información de tarjetahabiente ?
Es Imposible
Proteger Lo Que No
Conocemos
INFORMATION
QUALITY
MÓDULO 2
REQUERIMIENTO ZERO ()
De manera anual y antes de la evaluación, la organización debe
confirmar la exactitud del alcance de la norma PCI DSS,
identificando todas las ubicaciones y flujos de CHD, para garantizar
que todas las ubicaciones hagan parte de la evaluación.
Identifica y documenta la existencia de CHD en el ambiente, para

asegurarse que no existan CHD fuera del CDE definido.
¿Herramientas de Discovery Data?:
•Métodos o Procesos para identificar y documentar todas las

existencias de Datos de Tarjetahabiente.
•Efectividad y exactitud de los métodos usados serán verificados.


14
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
REDUCIR EL ALCANCE
1 ) Reducir al mínimo donde se almacenan datos de tarjetahabiente

2 ) Segmentar la red y restringir el acceso
3 ) Tercerizar el procesamiento y almacenamiento de CHD a organizaciones en
cumplimiento con PCI DSS.
El costo de la implementación y evaluación.

¿Por qué y para qué reducir
el alcance?. La dificultad de mantener PCI DSS compliance.
El riesgo (al consolidar CHD en sitios controlados)
INFORMATION
QUALITY
MÓDULO 2
REDUCIR AL MÍNIMO DONDE SE ALMACENAN DATOS
DE TARJETAHABIENTE
ELIMINACIÓN
Muchas organizaciones y varias áreas no necesitan
almacenar datos de tarjetahabiente. “La excusa para
almacenarlos: Porque siempre lo hemos hecho así”
CONSOLIDACIÓN
Identificación y consolidación de archivos, bases de
datos y aplicaciones.
TRUNCADO, HASHING Y TOKENIZACIÓN

15
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
TOKENIZACIÓN
Gestor de Aplicación
Llaves de
prevención
de fraudes
Llaves
Punto de venta
Texto
Servidor - Token Minería de datos cifrado
Aplicación
– Business
HR T
T T Intelligence
T
T T Tokens
Aplicación
CRM
Bodega de
Copia de datos
seguridad
(back up)
INFORMATION
QUALITY
MÓDULO 2
SEGMENTACIÓN
Si la segmentación es nula, TODO esta en el

alcance
Network segmentation es un concepto que se
refiere a la práctica de dividir la red en segmentos
funcionales e implementar un mecanismo de
control de acceso entre los bordes.
Segmentación de la red aísla los sistemas que

almacenan, procesan y transmiten CHD de aquellos
que no lo hacen.
¿Quién determina si la Segmentación de Red es

adecuada ?
IQ INFORMATION QUALITY LTDA CONFIDENCIAL

16
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
MÉTODOS DE SEGMENTACIÓN
Firewalls Internos
Routers y Switches L3 con Listas de Control

de Acceso Fuertes.
Otra tecnología que restrinja accesos a un

segmento de red particular.
Según el documento de la norma PCI DSS, la segmentación puede ser alcanzada a

través de medios físicos o lógicos
INFORMATION
QUALITY
MÓDULO 2
PROPIEDADES DE LAS ACLs FUERTES
Listas de Control de Acceso Fuertes
No permitir Protocolos Riesgosos (Telnet, FTP)
Limitar el acceso a solo aquellos puertos o servicios requeridos
Limitar el acceso por usuario/ por dirección IP/ por Terminal a

solo aquellos que requieren acceso (justificado y
documentado)
Habilitar Audit Loging en los elementos de red que tienen

habilitadas las listas de acceso.

17
INFORMATION
QUALITY
INFORMATION
QUALITY
MÓDULO 2
CDE
Debe existir desconexión física y/o lógica Componentes de sistema que no pertenecen
entre los componentes de la Categoría 3 y la a la categoría 1 ó 2. Es decir:
Categoría 1 Componentes sin CHD, correctamente
segmentados del CDE y sin conexión al CDE
Categoría 3
Fuera del alcance
Componentes de sistema que proveen
servicios o controles de seguridad al CDE
(2A) o administran un componente de
Categoría 2 sistema del CDE (2B).
Conectados Componentes que solo reciben información
del CDE (2C) o que envían información al
CDE (2D)
Alcance de
cumplimiento Las personas, procesos y tecnología que
PCI DSS almacena, procesa o transmite datos de
tarjeta-habiente o datos sensibles de
Categoría 1
autenticación (1A), incluyendo cualquier
CDE componente de sistema conectado
directamente (1B) (no segmentado, ni
aislado, ni controlado el acceso de acuerdo
a los requerimientos de PCI DSS)
En el límite de la Categoría 1 es necesario
aplicar segmentación de acuerdo a los
requerimientos de PCI DSS
INFORMATION
QUALITY
MÓDULO 2
¿COMO VAMOS ?

18

Modulo2 Final v0.9 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo2 Final v0.9 PDF

Cargado por

Copyright:

Formatos disponibles

INFORMATION

IQ INFORMATION QUALITY SAS CONFIDENCIAL

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Formula de Luhn ó Modulus 10 es el algoritmo utilizado para validar un número PAN

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

Diners Club: ^3(?:0[0-5]|[68][0-9])[0-9]{11}$ Las tarjetas Diners comienzan con 300-305,

Discover: ^6(?:011|5[0-9]{2})[0-9]{12}$ Comienzan con 6011 o 65. Todas tienen 16

JCB: ^(?:2131|1800|35\d{3})\d{11}$ Comienzan con 2131 o 1800 y tienen 15 dígitos. Las

IQ INFORMATION QUALITY SAS CONFIDENCIAL

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

IQ INFORMATION QUALITY SAS CONFIDENCIAL

(1) En la Banda Magnética

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

Pin Verification Data

IQ INFORMATION QUALITY SAS CONFIDENCIAL

PCI DSS 1.2

Área de la red de cómputo que

PCI DSS 2.0

Personas, Procesos y Tecnología

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

Personas, Procesos y Tecnología que almacena, procesa o transmite CHD o SAD,

El cumplimiento de los requerimientos aplica a todos los componentes de sistema en

Un componente de sistema es cualquier elemento de red, servidor, aplicación que

Antes de abordar los requerimientos, un análisis del Alcance se debe realizar

IQ INFORMATION QUALITY SAS CONFIDENCIAL

1. Almacenan datos de tarjetahabiente.

2. Procesa datos de tarjetahabiente.

3. Servidores de Control de Acceso (LDAP, AD, RACF)

4. No procesan ni almacenan datos de tarjetahabiente, pero interactúan o se conectan

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

Se revelarán elementos críticos:

1) Identificar cualquier sistema en el cual datos de tarjetahabiente son almacenados

3) Identificar puntos de interacción (demarcar responsabilidades y fronteras)

4) Encontrar Personas que acceden y manejan datos de tarjetahabiente

IQ INFORMATION QUALITY SAS CONFIDENCIAL

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

Compras on-line Los Adquirentes

Enlace con la Pasarela

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Servidor POS Local.

Servidor POS Local.

Administración hacia Los Adquirentes

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

IQ INFORMATION QUALITY SAS CONFIDENCIAL

LAN/WAN, Dial Up, GPRS,

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su reproducción,

Data Center Alterno

Banca Virtual CONTACT CENTER CNB

PROVEEDORES PROCESOS TARJETAS PROVEEDORES

CUSTODIA DE COMPONENTES DE SISTEMAS

IQ INFORMATION QUALITY SAS CONFIDENCIAL