Está en la página 1de 102

Interpretación e Implementación de la Norma

PCI DSS v3.2.1

Bogotá, Colombia

CONFIDENCIAL
Prohibida su reproducción sin previa autorización
Norma PCI DSS
(v. 3.2.1)

Objetivos

CONFIDENCIAL
Norma PCI DSS
• Conocer los roles y demás involucrados en la industria de medios de pago “con tarjeta”. (v. 3.2.1)
• Determinar por qué es importante la seguridad en la industria de medios de pago.

• Identificar, entender e interpretar los requerimientos de la norma PCI DSS y una adecuada
metodología de implementación.

• Implementar y mantener un programa de cumplimiento de la norma PCI DSS de manera efectiva.

• Abordar consideraciones de implementación de la norma PCI DSS en ambientes reales.

• Adquirir conocimiento para abordar la implementación de PCI DSS en la organización.

Curso desarrollado, diseñado y dictado por una empresa PCI QSA y por personal PCI QSA,
quienes conocen los ins y outs de la norma

CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)

Presentación

CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)

Aldo A. Quintero D. MSc. Segurinfo, CISM, QSA PCI, ISO 27001 IA, ITIL.

CONFIDENCIAL
Norma PCI DSS
(v. 3.2.1)
• Nombre.

• Cargo.

• Experiencia en IT y en Seguridad de la Información.

• ¿Qué sabemos de la norma PCI DSS ?

CONFIDENCIAL
Norma PCI DSS
(v. 3.21)

Módulos

CONFIDENCIAL
Requerimientos de Políticas y Controles
IV Compensatorios
I Medios de Pago y la Norma PCI-DSS

Un Proyecto para alcanzar cumplimiento


V (Análisis GAP y Plan de Acción)

II Alcance de la evaluación PCI-DSS


Validación de Cumplimiento de la
VI Norma PCI-DSS

III Requerimientos PCI-DSS


Manteniendo el cumplimiento de
VII PCI-DSS

CONFIDENCIAL
Medios de Pago y Norma PCI-DSS
Módulo I

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Un “mundo” lleno de amenazas

Lo que no conoces, Entre mas se estudian, Para resolver un problema,


puede dañarte. mejor preparados estamos primero debe ser entendido.
para detenerlas.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Tendencias
• Aumento de transacciones electrónicas en Internet (bancarias y comerciales): Bienes y servicios a
un click de distancia.

• Banca Móvil, Pago Móvil (Mobile POS, Mobile Wallet, Mobile Card)

• Dinero Virtual: BitCoin, Facebook Credits, Second Life (Linden Dollars), World of Craft (WoW Gold)

• Outsourcing de las funciones de Procesamiento Transaccional

• Cash vs Tarjetas

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Tipo de datos Objetivo


Datos de los Clientes Propiedad de la organización Datos de Identidad

Brechas y Compromisos

• Info. de tarjeta de pago • Registros financieros. • Nombre, dirección, impuestos,


• Credenciales (autenticación) • Estrategias, secretos comerciales, email, SSN, CC, nombre del
• Reserva Bancaria datos de empleados, Know How. empleador, teléfonos, etc.
• Propiedad Intelectual.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Brecha / Compromiso / Fraude

Definición de Anatomía de una


Brecha de Datos Brecha de Datos
Adquisición o uso no autorizado 1. Entrada Inicial (Infiltration)
de datos sin cifrar o, datos
cifrados y el proceso confidencial 2. Propagación
o llave (key) que es capaz de
comprometer la seguridad, 3. Data Harvesting (Aggregation)
confidencialidad o integridad de
la información personal 4. Exfiltration

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Comunidad Underground
• Carders Carding Forums
• Hackers Sitios web, dedicados a la
venta de información
• Empleados y exempleados personal y financiera robada.
• (Descontentos, En Venganza, Cuello Blanco) Tiendas online ilegales
• Delincuencia Online
Mercado Negro.

• Hacktivistas, Gamers, Gamblers (Geeks, Jihadistas)


Recompensa
• Delincuencia Común
• Skimmers, Clonadores, Dumpster Divers, Vishing,
Phishing, Whaling, Elementos De Miedo, Engaño,
Manipulación, etc. Esfuerzo Riesgo

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Comunidad Carders
• Dumps
• Max “IceMan” Butler • IDs ó NOVS
• Roman (“Boa”) Vega • Full Wallets
• Maksym Yastremskiy (“Maksik”) • Malicious Code
• Simbaqueba Bonilla • Cashing PINs
Importantes Fraudes a
• Albert Gonzalez (“Segvec”) • Card-making equipment & blanks
• Genio de la Estafa (Juan Carlos
Bancos Internacionales
Guzman)
• Hernando A Plata
• Omar Ignacio Roso, alias ‘Veneco’
Carding Forums
• Luis Tapiero “Chato” http://www.cybercrime.gov/
• OPERACIÓN AURORA •Boafactory •CCPower
• Alexander Suvorov “Jonnyhell” •Carderplanet •Shadowcrew
• F1ex (Lin Mun Poo) •CardersMarket •Theftservices
•DumpsMarket •CarderPortal

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Cacería de Adversarios

https://www.tmb.co.uk/cyber-criminals/

http://www.fbi.gov/wanted/cyber

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Economía Ilícita Paralela


• Variedad de tipos de tarjetas cuya distinción influye en el precio.

• “Venta Final” sin garantía de validación vs. Reemplazos de Tarjetas Inválidas.

• Compras en Volumen: Mejor Precio

• Ventas en distintos Formatos (determina el Precio):

CVV2 Full-info card Dump


Entre 1 y 5 Dólares. Más de 10 dls / tarjeta. Más de 15 Dólares
• Paquete ccv2
• Número de tarjeta • Fecha de nacimiento • Datos del Track.
• Nombre de tarjeta habiente • Nombre de soltera de la madre
• Dirección y CVV2 • Número de Cédula
• Lugar de Nacimiento

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Verizon DBIR (2008 - 2018)


http://www.verizonenterprise.com/DBIR/

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Verizon DBIR
2,216 Incidentes confirmados
53,000 Incidentes de seguridad
26% Atribuido a administradores de
sistema
En el 60% de los casos los atacantes
comprometen el sistema en minutos

¿Quién está tras las brechas?


• Aprox 73% es de origen externo
• Aprox 28% fue causado por personal
interno
• Aprox 50% grupos criminales

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Informe DBIR de Verizon

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Típicos patrones de ataque


Packet sniffing y Credentialed Malware
Viejos patrones de ataque siguen siendo un problema

Key loggers para capturar datos sensibles


Acceso Remoto Inseguro

Herramientas Debugging para capturar


Ataques SQL Injection y Cross Site Scripting
track data de la memoria

Amenazas Asimétricas
Mientras el fraude debido a robos o pérdidas de
tarjetas D y C ha disminuído en los anteriores 5 años,
los robos de información de tarjetas aumentan como lo
Amenazas persistentes avanzadas hace el robo de información de identidad.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Vulnerabilidades de Seguridad
Aplicaciones web con codificación segura Desconocimiento de la ubicación de la
pobre/ nula información

Sistemas sin parches aplicados y sin


Tecnologías POS no aseguradas
antivirus

Datos sensibles almacenados Puntos de acceso inalámbricos inseguros

Reglas muy abiertas en la Seguridad


Contraseñas y configuraciones default
Perimetral

Acceso remoto inseguro

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Desde la perspectiva del cliente

“Yo te di mi información, tu la expusiste, tu la perdiste, luego es tu culpa. Punto.”

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Consecuencias de un compromiso de datos


• Pérdida de confianza de los clientes: 3 de 4 clientes
no vuelven a comprar en un negocio comprometido.
• Notificación de brechas (regulaciones en algunos
países lo exigen).
• Pérdida de socios de negocios.
• Multas, sanciones.
• Impacto en la reputación corporativa.
• Procesos judiciales, legales.

Cada registro comprometido cuesta en promedio a una


• Gastos por investigaciones forenses y remediación:
organización US $148 US $35, el costo de reemplazar una tarjeta.
USD 3,86 Millones cuesta en promedio por compañia
(PONEMON INSTITUTE, 2018, Cost of Data Breach Study: • Gastos para recuperar y retener a los clientes.
Global Analysis Ponemon Institute, July 2018)

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

¿Los reconocen?

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Consecuencias de un compromiso de datos

Costo Promedio de un Registro Perdido, según PONEMON INSTITUTE, en los últimos 5 años

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

El Contexto

“Las tarjetas de pago te llevan al dinero,


el dinero te lleva a las brechas de datos,
las brechas de datos te llevan al
incumplimiento”
“El miedo te lleva a la ira,
la ira te lleva al odio,
el odio te lleva al sufrimiento”

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Razones para almacenar los datos de tarjeta

• Porque es la razón de mi de negocio. • Por Business Intelligence.

• Porque mi sistema es legacy y requiere update. • Para Chargebacks (Reembolsos).

• Porque me los entregan, pero no los necesito. • Para compartirlos con socios de negocio.

• Porque fuerzas de la Ley me lo exigen. • Para análisis contra fraudes.

• Para la Identificación y seguimiento a clientes. • Porque mi Adquirente/Procesador me lo exige.

• Para perfilar clientes, pronósticos de compras. • No hay razón, solo los mantienen en caso de
necesitarse en el futuro.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Una fuerte Invitación


Visa (July 14 2010) envió un mensaje directo a los bancos y miembros que actúan como adquirentes:

“Paren la acción de hacer que sus comercios retengan información de tarjetas, a menos que no quieran
seguir prestando servicios con Visa”

“Visa no requiere que los comercios almacenen PANs, sino, recomienda que los comercios confíen en
sus adquirentes/procesadores para el manejo de esta información, en nombre del comercio.”

Resolución de Disputas/Pleitos (Resolution Dispute Purposes)


http://www.nrf.com/modules.php?name=News&op=viewlive&sp_id=963

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Identificando cualquier transacción


Los comercios pueden de manera inequívoca identificar
cualquier transacción en su ambiente sin el PAN completo,
con las siguientes 4 piezas de información:

• PAN Truncado (6 + 4, como máximo)

• Fecha y Hora de la compra

• Cantidad de la compra: $$$

• Código de Autorización

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Reflexiones
¿Actualmente en su organización quién es el
responsable por garantizar la protección de los
datos de tarjetahabiente?

CAPTACIÓN

COLOCACIÓN

Proteger la Información de nuestros clientes


no es nuestro negocio, pero sin ella no hay
negocio.
CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Historia
Las Marcas desarrollan y
Visa – (AIS) Account Information Security y (CISP) mantienen sus propios
Cardholder Information Security Program programas de seguridad
y cumplimiento

MasterCard – (SDP) Site Data Protection

American Express – (DSOP) Data Security Operating Policy

JCB – Data Security Program

Discover – (DISC) Discover Information Security Compliance

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Historia

SET fue desarrollado por SETco (VISA y MASTER) X.509

Europay, MasterCard y Visa. Chip & PIN.


Interoperabilidad de tarjetas IC.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

PCI SSC

¿Qué es? Foro global abierto para el continuo desarrollo, mejora, almacenamiento, divulgación e
implementación de normas de seguridad para la protección de datos de tarjetahabiente.

Mejorar la seguridad en la industria de tarjetas de pago llevando a cabo educación y


Su misión concientización de las normas de seguridad PCI.

Inicio Fue fundada por las 5 principales marcas de tarjetas de pago.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Objetivos del PCI SSC


• Emitir estándares y gestionar el ciclo de vida de los estándares.

• Mejorar la seguridad en la industria de tarjetas de pago (medios electrónicos de pago).

• Fomentar la educación y la adopción de los estándares.

• Gestionar los procesos de calificación y aprobación para ASVs/QSAs y laboratorios PTS.

• Publicar el Listado de Aplicaciones y Dispositivos Certificados

• Suministrar un foro abierto de desarrollo continuo de prácticas y estándares para la seguridad en medios de pago.

• Publicar recursos como: Documentación de soporte, FAQs, programas de educación y realiza security meetings.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Qué no hace el PCI SSC


• No emite resultados de investigaciones, ni resultados de brechas o compromisos, ni estados de cumplimiento con
la norma.

• No publica listados con las organizaciones certificadas en PCI DSS.

• No publica fechas plazo de cumplimiento.

• No emite multas ni penalizaciones a las organizaciones que sufren brechas o compromisos o que no están en
cumplimiento con la norma.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Organizaciones Participantes
Entidades
Financieras
Asesores Comercios

Fabricantes Gateways

Redes ACH Proveedores de Procesadores


Servicios

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Payment Card Industry Data Security Standard


PCI DSS

• Norma de seguridad que deben cumplir las organizaciones que


Procesan, Transportan o Almacenan datos de titulares de tarjeta (CHD).

• Es la mejor línea de Defensa contra el compromiso de datos de


tarjetahabiente.

• Minimiza impactos en caso de ocurrir un Compromiso.

• De Interés Público y ocupación especial (en algunas regiones ya es Ley).

• Aplicabilidad Mundial (para mantener la confianza de los consumidores


que usan las tarjetas como principal medio de pago).

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

PCI DSS
Payment Card Industry Data Security Standard
Aplica a organizaciones que aceptan, capturan, almacenan,
transmiten o procesan datos de tarjetahabiente.

PCI DSS ver 1.0 de Enero de 2005 es la evolución del más maduro estándar de VISA.
PCI DSS ver 1.1 válido a partir de Septiembre del 2006
PCI DSS ver 1.2 válido a partir de Octubre 2008
PCI DSS ver 2.0 válido a partir de Octubre 2010
PCI DSS ver 3.0 Divulgada el 7 de Noviembre de 2013, válida a partir de 1 de Enero 2014
PCI DSS ver 3.1 Divulgada el 15 de Abril de 2015, válida hasta 31 octubre de 2016
PCI DSS ver 3.2 Publicada 27 Abril de 2016, válida hasta 31 diciembre de 2018
PCI DSS ver 3.2.1 Publicada Mayo de 2018, Por determinar

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Ciclo de cambios en la Norma

3 años
¿Más Tiempo para qué?

Para implementar las normas

Para presentar y considerar feedbacks

Para considerar la dinámica del mercado


y las amenazas emergentes

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

PCI DSS
Desarrollo y Gestión de las Normas

PCI SSC

Adquirientes Marcas
QSAs de Pago

Validan Cumplimiento Enforcement

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Ecosistema PCI Security & Compliance

PCI Security Standards


Protection of Cardholder Payment Data

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

PA - DSS

• Conjunto de Requerimientos para los fabricantes de software de


aplicaciones de Pago para facilitar el cumplimiento de la norma PCI DSS.

• ¿Qué es una Aplicación de Pago ?

• ¿A quienes le aplica y a quienes no aplica ?

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Aplicaciones Elegibles Para Ser PA - DSS


Si la respuesta es SI a cualquiera de las 13 preguntas, la aplicación no es elegible para validación PA-DSS:

3. ¿La Aplicación facilita la Autorización o Conciliación, pero no


tienen acceso a CHD o SAD?
5. ¿La Aplicación es sistema Back-office que almacena CHD pero no
facilita Autorización o Conciliación?
• Reportería y CRM
• Recompensas o Calificación de fraude
11. ¿La Aplicación es ofrecida solo cómo Software as a Service (SAAS)
que no es vendida, distribuida o licenciada a terceras partes?

https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Requerimientos de PA - DSS
1. No retenga toda la banda magnética, código de validación, ni datos del PIN
2. Proteja los datos de tarjetahabiente almacenados
3. Características de Autenticación Segura
4. Registros de Actividades Gateway
5. Desarrollo de aplicaciones Seguras Payment Back Office
6. Protección en Transmisión Inalámbrica Payment Gateway/Switch
Payment Middleware
7. Pruebas de Vulnerabilidades Payment Switching
8. Implementación de Red Segura POS Admin
9. Datos en Servidores no conectados a Internet POS Face to Face
POS General
10. Acceso remoto seguro
POS Kiosk
11. Cifrado en redes públicas POS Specialized
12. Acceso administrativo seguro POS SUite
13. Implementar Guía de configuración Shopping Cart & Store Front
14. Documentación y capacitación

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Ejemplo de aplicación PA - DSS

Tener una aplicación PA


DSS no es garantía de
certificación PCI DSS

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

PTS
• ATMs y POS certificados ayuda con el cumplimiento de la norma de seguridad
del PIN, para bancos y entidades adquirentes (garantizando que estos equipos
no guardan el PIN Block, y demás datos sensibles).

• Tamper-evident Tamper-resistent (Tamper-Resistant Security Modules (TRSMs)).

• Cash registers, PEDs, POI, UPT, AFD, EPP, HSM.

¡PTS vs EMVco!

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Requerimientos PTS
Características del Dispositivo:
Atributos del dispositivo que definen sus características físicas y lógicas.

• Carga de llaves inicial


• SRED (Secure Reading and Exchange Data)
• Integración con POS

Gestión del Dispositivo:


Cómo el elemento es producido, controlado, transportado, almacenado y
utilizado a través de su ciclo de vida?

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

PA - DSS dentro de PTS

Las Aplicaciones PA (Payment Application) dentro de terminales PTS,


puede que no les aplique la certificación PA DSS, si y solo si:

• El dispositivo no tiene conexión a las redes y sistemas del comercio


• El dispositivo se conecta solo al Procesador/Adquirente

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Ejemplo de PTS Devices Certificados

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

P2PE (Point – to – Point encryption)


• Soluciones P2PE pueden ayudar a los comercios a reducir el alcance de su CDE y su evaluación PCI DSS.
• Quién se certifica en esta norma son los Procesadores/Adquirentes.

• P2PE no reemplaza a PCI DSS


• Los comercios se aislan de PANs en texto-claro
• P2PE incorpora todos los estandares PCI
1. PTS para los Dispositivos Point of Interaction (POI)
2. PA-DSS para las aplicaciones dentro del POI
3. PCI PIN para la Gestión de llaves criptográficas
4. PCI DSS para el Proveedor de P2PE

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Participantes
Es un miembro de Es un miembro de

Red de la marca de Tarjetas

Puede o no ser el mismo


Adquiriente Proveedores de servicio Emisor

Utiliza la tarjeta para compra


de Bienes y servicios
Recibe requerimientos de
autorizaciones y provee
servicios de procesamiento a: Comercios Tarjetahabiente (CP,CNP)

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Participantes
• Proveen servicios de Autorización, compensación y conciliación
MARCAS • Establecen reglamentos de operación.

COMERCIOS Acepta tarjetas para vender sus productos y servicios.

• Compra productos y servicios con su tarjeta.


TARJETA HABIENTE • Recibe la tarjeta y los estados de cuenta del emisor.

EMISOR Emite tarjetas de pago en nombre de las marcas.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Adquirente
• Entidad que el comercio utiliza para conectarse a la red de pagos.
• Entidad que el comercio utiliza para que le procese sus transacciones con tarjetas de pago.
• Entidad que recibe solicitudes de autorización del comercio y las reenvía al banco emisor para la aprobación.
• También se les denomina:
Banco del Comercio
Banco Adquirente
ISO (Independent Sales Organization)

• El Adquirente es el Responsable por el Cumplimiento de la norma PCI DSS en los comercios y los proveedores
de servicio de los comercios.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Procesamiento con tarjetas / Autorización


El emisor, autoriza al comercio para que la compra
El comercio solicita y recibe autorización del emisor. sea realizada. Un código de autorización es
suministrado en un tiempo de 3 a 7 segundos.

2 3
4
1

7 6 5

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Procesamiento con tarjetas / Autorización


• Número Principal de la Cuenta (PAN)
• Fecha de Expiración
• Cantidad de la Transacción $$$$
• Fecha de la Transacción
• Merchant Category Code (MCC).
Los detalles de un Ejemplos:
mensaje transaccional 5192 – Libros, Periódicos, Revistas
son, entre otros: 5542 – Automated Fuel Dispensers
6011 – Instituciones Finacieras
7230 – Salas de Belleza
• Código del POS
• PIN transaction indicator
(Indica si la transacción fué basada en PIN o basada en Firma).
• Ciudad
• País

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS
PROCESAMIENTO CON TARJETAS -LIQUIDACION-

Procesamiento con Tarjetas


El Adquirente (El Banco del Comercio) y el Banco Emisor (Banco del
Tarjetahabiente) intercambian la información
Clearing de la compra realizada.
(compensación)
Tiempo: Normalmente 1 Día
Comienza elElcálculo
adquiriente
y (la entidad del comercio)
conciliación y el Banco
de quien Emisorqué
debe (Banco
y del tarjeta habiente),
a quien.
intercambian información de la compra realizada. Toma normalmente un tiempo de 1 día.
Comienza el cálculo y la conciliación de quien debe qué a quién.

11. El Banco del


Comercio
(Adquirente) envía la
información de la 22. La Marca consolida archivos de todos los
compra a la red de la adquirentes en un único archivo para enviar a cada
marca (Red del emisor.
Procesador)

3 3.El emisor prepara datos para presentarle


4 4.La Marca provee una completa al tarjetahabiente
conciliación al banco adquirente.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

PROCESAMIENTO CON TARJETAS -CONCILIACION-


Procesamiento con Tarjetas
Settlement (conciliación)
El Banco del Comercio paga al comercio.
El Banco emisor le factura al titular de la tarjeta.

22. El banco de la
1 3. El Banco del marca (Procesador)
Comercio envía pago al banco
(Adquirente) paga al del comercio 31. El Banco del
comercio por la (adquierente) Tarjetahabiente envía
compra del el pago a la marca (al
tarjetahabiente banco de la marca).

4 El banco del
tarjeta habiente
carga a la cuenta
del tarjeta habiente.

4. El banco del
tarjetahabiente carga
a la cuenta del
CONFIDENCIAL tarjetahabiente
Módulo I: Medios de Pago y Norma PCI-DSS

Autenticación como parte de la Autorización


Banda magnética /CVV/Chip

Presentar la tarjeta
al comercio

Formas tradicionales de Autenticación para transacciones con Tarjeta Presente:


• Presencia física de la tarjeta y su portador
• Firma en la tarjeta coincide con la firma en el voucher (Signature)
• PIN

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Proveedores de Servicios

Organizaciones directamente Ejemplos:


involucradas en el almacenamiento,
transmisión y Switching de • Procesadores de transacciones
transacciones de datos de pagos. • Gateways Payments
• ISO (Independent Sales Organization ISO)
• Servicios de reporte de crédito
• Impresión y magnetización de tarjetas
Organizaciones que proveen • Distribuidores de Tarjetas
servicios a los comercios y bancos, • Proveedores de servicio de adm. de firewalls e IDS (MSSP)
que pueden impactar la seguridad • Contact Centers
• Custodios de medios y documentación
de los datos de tarjeta habiente.
• Web Hosting y DataCenter Hosting Facilities (IaaS)

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Proveedores de Servicios

Exclusiones:
• Proveedores de almacenamiento de cintas (sólo si reciben las datos cifrados, y
no reciben en las cintas las llaves de cifrado).

• Proveedores de Comunicaciones: Sólo si proveen el enlace de comunicaciones.

• ISPs.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Proveedores de Servicios

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

QSA (Qualified Security Assessor)

• Autorizadas para validar la adherencia de una entidad a los requerimientos de PCI DSS.
• Verifican la información técnica entregada por quién desea certificarse en la norma PCI DSS.
• Provee soporte y guía para el proceso de cumplimiento.
• Evalúan en sitio.
• Seleccionan (muestreo) sistemas y componentes de sistema para la revisión en sitio.
• Evalúan controles compensatorios.
• Producen un Reporte Final (ROC).

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

ASVs (Approved Scanning Vendor)

Organizaciones certificadas por el PCI SSC para ejecutar scan de vulnerabilidades


externos, en cumplimiento con los requisitos de la norma PCI DSS.

CONFIDENCIAL
Módulo I: Medios de Pago y Norma PCI-DSS

Regulación respecto a PCI DSS

• PCI DSS representa un conjunto mínimo de objetivos de Control, los cuales pueden
ser mejorados por sectores Regulatorios Locales o Regionales.

• Los requerimientos regulatorios pueden exigir protección específica de Información


Personal u otros elementos, por ejemplo el nombre del tarjetahabiente (Leyes de
Privacidad, Leyes de Protección de Información Personal).

• PCI DSS NO PREDOMINA sobre leyes locales y otros requerimientos legales.

CONFIDENCIAL
Alcance de la Evaluación PCI-DSS

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Alcance

CDE – Entorno de
Datos del Tarjeta
Habiente

Segmentación
de Red
Flujo de Datos de
Tarjeta Habiente

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Requerimiento Zero ()


De manera anual y antes de la evaluación, la organización debe confirmar la exactitud del alcance de la norma PCI DSS,
identificando todas las ubicaciones y flujos de CHD, para garantizar que todas las ubicaciones hagan parte de la evaluación.

Identifica y documenta la existencia de CHD en el ambiente para asegurarse que no existan CHD fuera del CDE definido.

¿Herramientas de Discovery Data?


• Métodos o Procesos para identificar y documentar todas las
existencias de Datos de Tarjetahabiente.

• Efectividad y exactitud de los métodos usados serán verificados.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

¿CONOCEMOS NUESTRO CDE?


•Sabemos por donde fluyen números de tarjeta?
•Sabemos donde se almacenan?
•Sabemos quien los accede?
•Sabemos quien los extrae?
•Sabemos de quien los recibimos y a quien se los entregamos?
•Sabemos quien es el Responsable en caso de fugas de información de tarjetahabiente?

Es Imposible Proteger
Lo Que No Conocemos

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

¿Qué son datos de Tarjeta-Habiente?

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Número de la Tarjeta (PAN)


Fórmula de Luhn ó Modulus 10 es el algoritmo utilizado para validar un número PAN - ISO/IEC 7813

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Datos del track


Chip Banda Magnética

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

EMV
¿EMV resuelve el problema de Fraude ?
• EMV es una poderosa contramedida AntiFraude.
• EMV protege la tarjeta de simple clonación.

Ataques sobre EMV existen:


• Asuntos de Implementación que pueden ser resueltos.
• Son muchos mas costosos que los ataques a tarjetas de banda magnética.
• Datos sin protección pueden ser robados tanto en ambientes EMV y no EMV.
• Los criminales siempre toman el camino de menos resistencia.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

EMV

• Los datos Equivalentes al TRACK son mantenidos en el CHIP.

• No se debe guardar la información del TRACK.

• Los Datos del TRACK guardados en el CHIP pueden ser


utilizados para fabricar tarjetas falsas con banda magnética.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Datos del Track 1 PROHIBIDO ALMACENAR

Formato
de código

PAN
Separador
Apellido
CVV / CVC
Separador de título

Sufijo

Separador de apellido

Reservado para el
Nombre
uso del emisor de la
Inicial tarjeta PVV/PVKI
Titular

Separador de título

Fecha de FUENTE:
expiración ISO/IEC 7813
Código de servicio Track 1: hasta 79 caracteres
Track 2: hasta 40 Caracteres

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Datos del Track II


PROHIBIDO ALMACENAR

PAN

Separador

Fecha de Expiración

Código de Servicio

Datos de
Verificación del PIN
FUENTE:
ISO/IEC 7813
Datos Discrecionales Track 1: hasta 79 caracteres
(CVV/CVC) Track 2: hasta 40 Caracteres

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

CONFIDENCIAL
CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Valor o Código de verificación de tarjeta

(1) En la Banda Magnética


(2) Impreso en la Tarjeta

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

CDE

PCI DSS 3.2.1


Personas, Procesos y/o Tecnología que
almacenan, procesan y/o transmiten
CHD y/o SAD.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

CDE vs Alcance de Aplicabilidad


Se consideran dentro en el ambiente de datos de tarjetahabiente
(CDE) y por ende en el alcance, los componentes de sistemas que
cumplan con mínimo alguna de las siguientes condiciones:

1. Almacenan datos de tarjetahabiente.

2. Procesan datos de tarjetahabiente.

3. Transmite datos de tarjetahabiente.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

CDE vs Alcance de Aplicabilidad


• Personas, Procesos y Tecnología que almacenan, procesan o
transmiten CHDo SAD.

• Los requerimientos de PCI DSS aplican a todos los componentes de


sistemas Dentro del o conectados al CDE.

• Un componente de sistema conectado es cualquier elemento de


red, servidor, dispositivo de cómputo y aplicación que está incluido
o conectado desde o hacia al ambiente de datos de tarjetahabiente.

Antes de abordar los requerimientos se debe realizar un análisis del Alcance


https://www.pcisecuritystandards.org/documents/Guidance-PCI-DSS-Scoping-and-Segmentation_v1.pdf

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

CDE vs Alcance de Aplicabilidad

Antes de abordar los requerimientos se debe realizar un análisis del Alcance

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Flujo de Datos de Tarjeta-Habiente


• CHD fluyen a través de Aplicaciones, sistemas y componentes
de red, es clave tener claro por donde fluyen y se almacenan.

• Es prioridad analizar la forma en que CHD son procesados y


almacenados en sus sistemas, y mapear todos los flujos de
datos relacionados.

1) Identificar cualquier sistema en el cual datos de tarjetahabiente son almacenados.


2) Revelar cuales componentes de estos sistemas están bajo control directo de la Organización.
3) Identificar puntos de interacción (demarcar responsabilidades y fronteras).
4) Encontrar Personas que acceden y manejan datos de tarjetahabiente.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Tablas de ubicación de CHD

Aplicación Descripción/Ubicación Base de Datos Retención Justificación de la retención


(Legal/contractual/de negocio)

Base de datos / Nombre de Tabla / CHD almacenado Retención Justificación de la retención


Almacenamiento de CHD Archivos / Directorio (Legal/contractual/de negocio)

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Ejemplo de Almacenamiento
Los usuarios pueden almacenar Usuarios móviles
reportes que contengan CHD o Router El servidor puede estar
SSC Internet
discos locales. CHD Si almacenando los archivos de
transacciones que contengan el
PAN y los códigos CVC\CVV.

CHD Access Point Firewall


inalámbrico
Los usuarios pueden enviar emails Estaciones de Trabajo
o fax que contengan CHD a otros Servidor web
usuarios internos o terceros.
LAN Corporativa
Los servidores de
aplicaciones pueden
CHD CHD
almacenar archivos de
Los usuarios pueden
transacciones que contienen
almacenar reportes con CHD CHD
CHD códigos de PAN y CVC/CVV.
en carpetas corporativas. Servidor Servidor de
CHD Core Bancario
de e-mail bases de datos CHD
Servidor de CHD Aplicación de
archivos de la Servidor de tarjetas C/D
empresa aplicaciones (POS) Servidor
Transaccional
El CHD puede ser enviado a la base de
El CHD puede ser enviado desde un servidor de
datos del registro de auditorías del
aplicaciones hacia otro servidor de aplicaciones, El CHD puede estar en texto plano
servidor de aplicaciones.
aunque los datos no siempre sean requeridos. en los LOGS transaccionales.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Ejemplo de Almacenamiento
Enlace con la Pasarela
Compras on-line de Pagos VPN Los Adquirentes

Oficinas Principales Enlaces Dedicados con las


Enlaces entre almacenes, puntos
DATA CENTER- entidades adquirentes.
de presencia (POP) y el Servidor de
SERVIDORES DE X.25
Transacciones
TRANSACCIONES Frame Relay
VPN
Aplicaciones de Pago MPLS, etc

DATA CENTER
SECUNDARIO

Supermercado con
Servidor Local

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Ejemplo de Transmisión

PROCESADOR
Payment gateway

Conexión Conexión
E F G Red Red H
AP Lan/Wan Lan/Wan
A B C D POS Server
Conexión Conexión Conexión
Conexión VISA II POS Server POS Server (Caja – POS)
Dial-up Red Lan/Wan WIFI
GPRS

COMERCIO

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Infraestructura Típica
Internet Banking REALCE, EMPAQUE, Cierres, Compensación,
DISTRIBUCION Contragargos, Adquirencia
INTERNET

Zona Conexión Data Center Principal


Terceros
HOST Bancario

WAN Sistema de Producción Tarjetas

Mobile Banking Monitoreo Transaccional / Bancario


ATMs, Kioskos, CDMs BASES DE DATOS

Middleware switch - EFT switch


HSM

Data Center Alterno


CALL CENTER
IVR
OFICINAS

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Procesos típicos

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Ejemplo de alcance PCI DSS


CANALES
Pin Pad BANCA
OFICINAS ATMs IVR MOVIL
PROVEEDORES DE PROVEEDORES DE
SERVICIO SERVICIO
Banca Virtual CONTACT CENTER CNB

Impresión de TELCOS
Extractos y listados PROCESOS TARJETAS
Emisión, Distribución y Adquirencia con Realce y
Gestión Entrega Establecimientos de Comercio
Áreas del magnetización de
Documental
Banco Tarjetas
Administración de Tarjetas Monitoreo y Transaccionalidad
CENTRALES DE
RIESGO Procesadores
APLICACIONES
Transporte y Monitoreo Grupo de Empresas
entrega de tarjetas CORE BANCARIO Aplicación Banca Virtual
Transaccional de Desarrollo

CUSTODIA DE
MEDIOS COMPONENTES DE SISTEMAS
SEGURIDAD RED SERVIDORES BASES DE DATOS

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Levantando flujos de CHD

¿Utiliza para su trabajo números de tarjeta crédito o débito? ¿Escanea (digitaliza) documentos con números de Tarjeta?

¿Consulta programas (Aplicaciones, Sistemas de Información) ¿Imprime documentos con Números de Tarjeta?
que muestran números de tarjeta?

¿Descarga a su computador N. de Tarjeta mostrados en los ¿Envía o carga archivos con N. de tarjeta a terceros,
sistemas de información que consulta? compañeros, jefes, subalternos, proveedores, clientes, etc.?

¿Escribe o Digita Números de Tarjeta en algún programa, ¿Almacena o consulta en un servidor de archivos de su área,
archivo o sistema de Información? oficina o del banco info. con N. de tarjeta crédito o débito?

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Levantando flujos de CHD

¿En qué formatos recibe números de tarjeta? En físico, por ¿Envía informes que contienen datos con N. de tarjeta
email, en CD, USB, impresos, formularios, movimientos, de crédito o débito a otra dependencia dentro del
detalles, en un File Server, dictados por teléfono. banco o fuera de éste?

¿Recibe informes o reportes que contienen datos con


¿Dónde guarda los números de tarjeta que recibe? N. de tarjeta de crédito o débito a otra dependencia
del banco o de alguna fuera de éste?

En caso de recibir en físico (medios impresos, Fax, CDs, DVDs, ¿Por cuanto tiempo debe almacenar esos archivos que
etc.) que contienen N. de Tarjeta, ¿donde guarda o a quién le contienen números de tarjeta y por qué?
entrega estos medios?

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Reducir el alcance

• Reducir al mínimo donde se almacenan datos de tarjetahabiente

• Segmentar la red y restringir el acceso

• Tercerizar el procesamiento y almacenamiento de CHD a organizaciones Cumpliendo


con PCI DSS.

El costo de la implementación y evaluación.


¿Por qué y para qué La dificultad de mantener PCI DSS compliance.
reducir el alcance?
El riesgo (al consolidar CHD en sitios controlados).

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Reducir al mínimo donde se almacenen datos de


Tarjetahabiente
ELIMINACIÓN
Muchas organizaciones y varias áreas no necesitan almacenar datos de tarjetahabiente.
Excusa: “Porque siempre lo hemos hecho así”.

CONSOLIDACIÓN

Identificación y consolidación de archivos, bases de datos y aplicaciones.

TRUNCADO, HASHING Y TOKENIZACIÓN

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Métodos de Segmentación

1. Firewalls Internos.
2. Routers y Switches L3
3. Otra tecnología que restrinja accesos a un segmento de red particular.

Según el documento de la norma PCI DSS, la segmentación


puede ser alcanzada a través de medios físicos o lógicos

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Propiedades de las ACLs Fuertes

Listas de Control de Acceso Fuertes al interior del alcance

1. No permitir Protocolos Riesgosos (Telnet, FTP).


2. Limitar el acceso a solo aquellos puertos o servicios requeridos.
3. Limitar el acceso por usuario/ por dirección IP/ por Terminal a sólo aquellos que requieren
acceso (justificado y documentado).

4. Habilitar Audit Loging en los elementos de red que tienen habilitadas las listas de acceso.

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Segmentación

Si la segmentación es nula, TODO esta en el alcance.

Network segmentation
Concepto que se refiere a la práctica de dividir la red en segmentos funcionales
e implementar un mecanismo de aislamiento entre los bordes.

Segmentación de la red aísla los sistemas del alcance de


aquellos que no pertenecen.

¿Quién determina si la Segmentación de Red es adecuada?

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

CDE
Componentes de sistema que no pertenecen a
Debe existir desconexión física y/o
la categoría 1 ó 2. Componentes sin CHD, bien
lógica entre los componentes de la
segmentados del CDE y sin conexión al CDE.
Categoría 3 y la Categoría 1
Categoría 3
Fuera del alcance
Componentes de sistema que proveen servicios o
controles de seguridad al CDE (2A) o administran
un componente de sistema del CDE (2B).
Alcance de cumplimiento Categoría 2 Componentes que solo reciben información del
PCI DSS Conectados CDE (2C) o que envían información al CDE (2D).

Categoría 1 Las personas, procesos y tecnología que


CDE almacena, transmite datos de tarjeta-habiente o
En el límite de la Categoría 1 es datos sensibles de autenticación (1A), incluyendo
necesario aplicar segmentación cualquier componente de sistema conectado
de acuerdo a PCI DSS. directamente (1B) (no segmentado, ni aislado, ni
controlado el acceso según PCI DSS).

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Segmentación

Usuarios
Servidores Servidores
Financieros,
de CHD Usuarios de CHD
Tesorería
Financieros,
Tesorería
Servidores
Servidores
BackOffice
BackOffice

Usuarios
Servidores de Usuarios Servidores de
Desarrollo Desarrollo

CONFIDENCIAL
Módulo II: Alcance de la Evaluación PCI-DSS

Mejores prácticas para la Implementación


de PCI DSS dentro de los procesos de negocio normales/cotidianos

• Monitoreo de los controles de seguridad.

• Si un control falla:
Restauración, Identificar la causa de la falla, resolver los asuntos de seguridad que
surgieron durante la falla, evitar que falla del control vuelva a ocurrir, monitoreo
mejorado por un periodo de tiempo para verificar la restauración efectiva del control.

• Cambios en el entorno.

• Comunicaciones y revisiones periódicas.

• Revisiones anuales de hardware y software (soporte).

CONFIDENCIAL

También podría gustarte