Documentos de Académico
Documentos de Profesional
Documentos de Cultura
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013
INFORMATION
QUALITY
MÓDULO 2
Alcance de la
Evaluación PCI-DSS
INFORMATION
QUALITY
MÓDULO 2
AMBIENTE DE DATOS DE TARJETAHABIENTE
(CDE)
Flujo de Datos
de Tarjeta
Habiente.
Segmentación
de red Almacenamiento
de datos de
Tarjeta Habiente
INFORMATION
QUALITY
MÓDULO 2
¿QUÉ SON DATOS DE TARJETAHABIENTE?
INFORMATION
QUALITY
MÓDULO 2
NÚMERO DE LA TARJETA (PAN)
INFORMATION
QUALITY
MÓDULO 2
EXPRESIONES REGULARES
http://www.regular-expressions.info/creditcard.html
Visa: ^4[0-9]{12}(?:[0-9]{3})?$ Todas las VISA comienzan con 4. Las nuevas tarjetas tienen
16 dígitos. Viejas tarjetas tienen 13 dígitos.
MasterCard: ^5[1-5][0-9]{14}$ Todas las tarjetas MasterCard comienzan con 51-55. Todas
son de 16 dígitos.
American Express: ^3[47][0-9]{13}$ Todas las tarjetas AMEX comienzan con 34 o 37 y son
de 15 dígitos.
INFORMATION
QUALITY
MÓDULO 2
CÓDIGO DE SERVICIO
INFORMATION
QUALITY
MÓDULO 2
DATOS DEL TRACK
BANDA MAGNÉTICA
CHIP
INFORMATION
QUALITY
MÓDULO 2
DATOS DEL TRACK 1
PROHIBIDO
ALMACENAR
Formato
de código
PAN
Separador
Apellido
CVV / CVC
Separador de
título
Sufijo
Separador de
apellido
Reservado
Nombre
para el uso del
Inicial emisor de la
Titular tarjeta
PVV/PVKI
Separador de
título
FUENTE:
Fecha de ISO/IEC 7813
expiración Track 1: hasta 79 caracteres
Código de Track 2: hasta 40
servicio Caracteres
IQ INFORMATION QUALITY SAS CONFIDENCIAL
INFORMATION
QUALITY
MÓDULO 2
DATOS DEL TRACK 2
PROHIBIDO
ALMACENAR
PAN
Separador
Fecha de
Expiración
Código de
Servicio
Datos de FUENTE:
Verificación ISO/IEC 7813
del PIN Track 1: hasta 79
caracteres
Datos Track 2: hasta 40
Discrecionales Caracteres
(CVV/CVC)
INFORMATION
QUALITY
MÓDULO 2
VALOR O CÓDIGO DE VERIFICACIÓN DE
TARJETA
INFORMATION
QUALITY
MÓDULO 2
PIN Y BLOQUE DEL PIN
PROHIBIDO
ALMACENAR
INFORMATION
QUALITY
MÓDULO 2
CDE
INFORMATION
QUALITY
MÓDULO 2
CDE
INFORMATION
QUALITY
MÓDULO 2
CDE
Se consideran dentro del alcance y por ende en el ambiente de datos de tarjetahabiente (CDE)
los servidores y PCs que cumplan con mínimo alguna de las siguientes condiciones:
INFORMATION
QUALITY
MÓDULO 2
FLUJO DE DATOS DE TARJETAHABIENTE
Los Datos de Tarjetahabiente fluyen entre y a través de Aplicaciones, sistemas y componentes de red.
Es clave tener claro en la organización, por donde fluyen y se almacenan datos de tarjetahabiente.
La prioridad inmediata es determinar y analizar la forma precisa en que los datos de tarjetas son
procesados y almacenados en sus sistemas y mapear (diagramar) todos los flujos de datos relacionados.
2) Revelar cuales componentes de estos sistemas están bajo control directo de la Organización
INFORMATION
QUALITY
MÓDULO 2
TABLAS DE UBICACIÓN DE CHD
Justificación de la
Aplicación Descripción/Ubicaci Base de Datos Retención retención
(Legal/contractual
ón /de negocio)
Justificación de la
Base de datos / Nombre de Tabla / CHD almacenado Retención retención
(Legal/contractual
Almacenamiento Archivos / Directorio /de negocio)
de CHD
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE ALMACENAMIENTO – DATOS TARJETA HABIENTES
DATA CENTER
SECUNDARIO
Supermercado con
Servidor Local
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE ALMACENAMIENTO – DATOS TARJETA HABIENTES
Servidor de procesamiento
i-series.
Red
Corporativa
Vía Correo-e
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE TRANSMISIÓN – DATOS TARJETA HABIENTES
PROCESADOR
Payment
gateway
Conexión Conexión
E F G Red Red H
AP Lan/Wan Lan/Wan
A B C POS Server
D VISA II
Conexión
Conexión
Conexión
POS Server POS Server (Caja – POS)
Red Conexión
Dial-up GPRS
Lan/Wan WIFI
COMERCIO
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE TRANSMISIÓN – DATOS TARJETA HABIENTES
Switch Autorizador
Transaccional
HSM
INFORMATION
QUALITY
MÓDULO 2
Internet REALCE, Cierres,
Banking EMPAQUE, Compensación,
DISTRIBUCION Contragargos,
Adquirencia
INTERNET
Zona Conexión
Terceros Data Center Principal
HOST Bancario
Sistema de Producción
Tarjetas
WAN Mobile
Monitoreo
Banking Transaccional/
HSM
Bancario
ATMs, Kioskos, CDMs
BASES DE DATOS
Middleware switch-
EFT switch
INFRAESTRUCTURA TIPICA
EN BANCOS
IQ INFORMATION QUALITY SAS CONFIDENCIAL
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE ALCANCE – PCI DSS
CANALES
Pin Pad BANCA
OFICINAS ATMs IVR MOVIL
CENTRALES DE
RIESGO
APLICACIONES Procesadores
Monitoreo
CORE BANCARIO Aplicación Banca Virtual
Transaccional
Transporte y Grupo de Empresas
entrega de tarjetas de Desarrollo
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE FLUJO DE DATOS DE TARJETAHABIENTE
EN CONTACT CENTER
Los datos de
Tarjeta son
solicitados directamente
por el IVR ?
SI
La conversación NO
es grabada El agente solicita los datos
de tarjetahabiente y éstos
son ingresados en la
Aplicación correspondiente El aplicativo del IVR
interactúa con el sistema
Procesador
La Aplicación Interactúa
con el sistema Procesador
Transacción aprobada ó
rechazada
INFORMATION
QUALITY
MÓDULO 2
PROCESAMIENTO, GATEWAYs
BANCOS
Switch
Transaccional MARCAs
Sistema de
COMERCIOS
Administración
de Comercios
Monitoreo
Transaccional
INFORMATION
QUALITY
MÓDULO 2
EJEMPLO DE FLUJOs
Realce COURIER
Tarjetas ALISTAMIENTO,
DISTRIBUCION
Banco
VPN/WAN
Oficinas
Tarjetahabiente
INFORMATION
QUALITY
MÓDULO 2
REALCE, MAGNETIZACION TARJETAS
Monitoreo de Área
sensible
Area de Realce
Bodega, empaque,
alistamiento
INFORMATION
QUALITY
MÓDULO 2
¿ CONOCEMOS NUESTRO CDE ?
•Sabemos por donde fluyen números de tarjeta ?
•Sabemos donde se almacenan ?
•Sabemos quien los accede ?
•Sabemos quien los extrae ?
•Sabemos a quien se los entregamos ?
•Sabemos quien es el Responsable en caso de fugas de información de tarjetahabiente ?
Es Imposible
Proteger Lo Que No
Conocemos
INFORMATION
QUALITY
MÓDULO 2
REQUERIMIENTO ZERO ()
De manera anual y antes de la evaluación, la organización debe
confirmar la exactitud del alcance de la norma PCI DSS,
identificando todas las ubicaciones y flujos de CHD, para garantizar
que todas las ubicaciones hagan parte de la evaluación.
INFORMATION
QUALITY
MÓDULO 2
REDUCIR EL ALCANCE
INFORMATION
QUALITY
MÓDULO 2
REDUCIR AL MÍNIMO DONDE SE ALMACENAN DATOS
DE TARJETAHABIENTE
ELIMINACIÓN
Muchas organizaciones y varias áreas no necesitan
almacenar datos de tarjetahabiente. “La excusa para
almacenarlos: Porque siempre lo hemos hecho así”
CONSOLIDACIÓN
Identificación y consolidación de archivos, bases de
datos y aplicaciones.
INFORMATION
QUALITY
MÓDULO 2
TOKENIZACIÓN
Gestor de Aplicación
Llaves de
prevención
de fraudes
Llaves
Punto de venta
Texto
Servidor - Token Minería de datos cifrado
Aplicación
– Business
HR T
T T Intelligence
T
T T Tokens
Aplicación
CRM
Bodega de
Copia de datos
seguridad
(back up)
INFORMATION
QUALITY
MÓDULO 2
SEGMENTACIÓN
INFORMATION
QUALITY
MÓDULO 2
MÉTODOS DE SEGMENTACIÓN
Firewalls Internos
INFORMATION
QUALITY
MÓDULO 2
PROPIEDADES DE LAS ACLs FUERTES
INFORMATION
QUALITY
MÓDULO 2
CDE
Debe existir desconexión física y/o lógica Componentes de sistema que no pertenecen
entre los componentes de la Categoría 3 y la a la categoría 1 ó 2. Es decir:
Categoría 1 Componentes sin CHD, correctamente
segmentados del CDE y sin conexión al CDE
Categoría 3
Fuera del alcance
Componentes de sistema que proveen
servicios o controles de seguridad al CDE
(2A) o administran un componente de
Categoría 2 sistema del CDE (2B).
Conectados Componentes que solo reciben información
del CDE (2C) o que envían información al
CDE (2D)
Alcance de
cumplimiento Las personas, procesos y tecnología que
PCI DSS almacena, procesa o transmite datos de
tarjeta-habiente o datos sensibles de
Categoría 1
autenticación (1A), incluyendo cualquier
CDE componente de sistema conectado
directamente (1B) (no segmentado, ni
aislado, ni controlado el acceso de acuerdo
a los requerimientos de PCI DSS)
En el límite de la Categoría 1 es necesario
aplicar segmentación de acuerdo a los
requerimientos de PCI DSS
INFORMATION
QUALITY
MÓDULO 2
¿COMO VAMOS ?