View
50
Download
4
Category
Preview:
Citation preview
11/09/2013
1
ObjetivoObjetivo
•• Roles y responsabilidades de cumplimiento ante los requisitos de PCI Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de DSS en los diferentes servicios en la nube y sus modelos de desplieguedespliegue
•• Retos asociados con la validación de cumplimiento de PCI DSS en un Retos asociados con la validación de cumplimiento de PCI DSS en un entorno de nube .entorno de nube .
•• Consideraciones de seguridad empresarial y técnica para el uso de Consideraciones de seguridad empresarial y técnica para el uso de tecnologías en la nube .tecnologías en la nube .
•• Recomendaciones para el inicio de las discusiones acerca de los Recomendaciones para el inicio de las discusiones acerca de los servicios de nube.servicios de nube.
11/09/2013
2
Comprensión del entornoComprensión del entorno
Analizar Planificar Documentar
Comprensión del entornoComprensión del entorno
Seleccionar plataforma y estándar de evaluación
Identificar los riesgos y requerimientos de control
Conocer las necesidades de aplicación para el Negocio
Modelos de servicio Modelos de servicio
11/09/2013
3
IaaS PaaS SaaS
Comprensión del entornoComprensión del entorno
HardwareSoftware
Conectividad
IaaSIaaS
ServicioSoporte
Aplicaciones del Proveedor
SaaSSaaS
Desarrollo Despliegue de Aplicaciones del Cliente
PaaSPaaS
Aplicación Aplicación Plataforma Plataforma
Infraestructura Infraestructura Virtualización Virtualización
Recursos físicos Recursos físicos
Comprensión del entornoComprensión del entorno
11/09/2013
4
DefinicionesDefiniciones
Alcance de responsabilidad Cliente/Proveedor por tipo de servicioAlcance de responsabilidad Cliente/Proveedor por tipo de servicio
IaaSIaaS SaaSSaaSPaaSPaaS
Datos
Software y aplicaciones de usuarios
Sistemas operativos y bases de datos
Infraestructura Virtual
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Alcance del Alcance del servicioservicio
Alcance de Alcance de responsabilidadesresponsabilidades
Alcance de los Alcance de los controlescontroles
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
• Gestión del servicio• Tratamiento de datos• Gestión de registros• Gestión de
componentes del servicio (Documentación y RRHH)
MARCO MARCO CONTRACTUALCONTRACTUAL
11/09/2013
5
Las responsabilidades delineadas entre el Cliente y el CSP para la gestión de los controles de PCI DSS están influenciados por un determinado número de variables :
• Finalidad para la que el cliente está utilizando el servicio de nube .
• Ámbito de aplicación de los requisitos de PCI DSS que el cliente externaliza en el CSP.
• Los servicios y componentes de los procesos de ejecución que el CSP ha validado dentro de sus propias operaciones.
• La opción de servicio que el cliente ha seleccionado para contratar al CSP ( IaaS , PaaS o SaaS ).
• El alcance de los servicios adicionales que el CSP proporciona al Cliente de forma proactiva para completar el cumplimiento (por ejemplo, servicios gestionados de seguridad).
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
Requisitos PCI DSSRequisitos PCI DSS
Ejemplo de asignación de Ejemplo de asignación de
responsabilidad en la gestión de los responsabilidad en la gestión de los
controlescontroles
IaaSIaaS SaaSSaaS PaaSPaaSInstalar y mantener una configuración de firewall para proteger los datos del
titularAmbos Ambos CSP
No utilizar las contraseñas por defecto provistas por los fabricantes de los
sistemas y otros parámetros de seguridadAmbos Ambos CSP
Proteger el almacenamiento de los datos de titulares de tarjetas Ambos Ambos CSPCodificar la transmisión de los datos de titulares de tarjetas a través de redes
públicas abiertasCliente Ambos CSP
Utilizar y actualizar regularmente el software antivirus y demás programas
asociados con la seguridad y software de baseCliente Ambos CSP
Desarrollar y mantener sistemas y aplicaciones seguras Ambos Ambos AmbosRestringir el acceso a los datos de titulares de tarjetas solo para aquellas
personas del Negocio que tienen necesidad de conocerlosAmbos Ambos Ambos
Asignar un único ID para cada persona que tenga acceso a una computadora Ambos Ambos Ambos
Restringir el acceso físico a datos de titulares de tarjetas CSP CSP CSPRastrear y monitorear todo el acceso a los recursos de red y datos de titulares de
tarjetasAmbos Ambos CSP
Probar regularmente los sistemas de seguridad y sus procesos Ambos Ambos CSPMantenga una política que aborde la seguridad de la información para todo el
personalAmbos Ambos Ambos
11/09/2013
6
IaaSIaaSPaaSPaaSSaaSSaaS
Espacio FísicoProveedor Espacio Físico
Cliente
ComponentesFísicos
ComponentesFísicos
UsuarioFinal
EnlacesEnlaces
Gobierno
Educación
Cumplimiento
Gestión de Riesgo
Educación
Gestión de Riesgo
ComponentesVirtuales
ComponentesVirtuales
Responsabilidades en el cumplimientoResponsabilidades en el cumplimiento
Seguridad y TecnologíaSeguridad y Tecnología
Seguridad como Servicio ( Seguridad como Servicio ( SecaaSSecaaS ))
• Security Information and Event Management Implementation Guidance
• BCDR Implementation Guidance• Encryption Implementation Guidance• Intrusion Management Implementation Guidance• Security Assessments Implementation Guidance• Email Security Implementation Guidance• Web Security Implementation Guidance• Data Loss Prevention Implementation Guidance• Network Security Implementation Guidance• Identity and Access Management Implementation Guidance
Managed Security Service Provider (MSSP)Managed Security Service Provider (MSSP)
https://cloudsecurityalliance.org/research/secaas/?r=54#_downloads
11/09/2013
7
Seguridad y TecnologíaSeguridad y Tecnología
SegmentadaSolo para mí
No-segmentadaCompartida con otros
Servidores físicamente separados por
cliente.
La misma imagen de la aplicación en el
mismo servidor, sólo separados por el
control de acceso del SO o la App
Servidores virtualizados de dedicación
individual para un cliente en particular,
incluidos los discos virtuales
Diferentes imágenes de una aplicación en
el mismo servidor, sólo separados por el
control de acceso del SO o la App.
Entornos donde cada cliente ejecuta sus
aplicaciones en particiones lógicas
separadas y no comparten almacenamiento
en disco u otros recursos.
Datos almacenados en la misma instancia
de gestión de bases de datos.
Segmentación de ambientesSegmentación de ambientes
Seguridad y TecnologíaSeguridad y Tecnología
• Firewalls físicos y segmentación de red a nivel de infraestructura• Los firewalls en el hipervisor y a nivel de máquinas virtuales• Etiquetado VLAN o zonificación, además de firewalls• Los sistemas de prevención de intrusiones en el hipervisor y/o a nivel de máquina
virtual para detectar y bloquear el tráfico no deseado• Herramientas de prevención de pérdidas de datos en el hipervisor y/o nivel de
máquina virtual• Controles para evitar que las comunicaciones se propaguen hacia la infraestructura
subyacente• El aislamiento de los procesos y recursos de entornos de clientes compartidos• Almacenamiento de datos separado para cada cliente• Autenticación fuerte de dos factores• La separación de funciones y la supervisión administrativa• Registro continuo y vigilancia del tráfico perimetral, y la respuesta en tiempo real
Controles de segmentaciónControles de segmentación
11/09/2013
8
Retos para el cumplimientoRetos para el cumplimiento
• Falta de visibilidad de la infraestructura subyacente del CSP y los controles relacionados con la seguridad
• Poca o ninguna supervisión o control sobre almacenamiento de datos de los tarjetahabientes
• Algunos componentes virtuales no tienen el mismo nivel de control de acceso , registro y seguimiento que sus contrapartes físicas.
• Falta de restricciones en los límites perimetrales entre entornos de cliente
• Puede ser difícil de reunir, correlacionar y/o archivar todos los registros necesarios para cumplir con los requisitos de PCI DSS.
• Fallas en las herramientas de control ya que en un entorno de nube puede ser difícil de realizar verificaciones y puede dar lugar a resultados incompletos.
• Los grandes proveedores podrían no permitir el derecho a la auditoría a sus clientes.
Consideraciones a tener en cuenta como Cliente:
• ¿Por cuánto tiempo ha estado el CSP compatible con PCI DSS ? ¿Cuándo fue su última validación?
• ¿Qué servicios específicos y los requisitos de PCI DSS fueron incluidos en la validación ?
• ¿Qué servicios específicos y componentes del sistema se incluyen en la validación ?• ¿Qué procesos de servicio del CSP no se incluyeron en la validación PCI DSS ?• ¿Cómo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para
evitar que introduzcan componentes no compatibles con el medio ambiente o anular los controles?
Retos para el cumplimientoRetos para el cumplimiento
11/09/2013
9
Gobernabilidad, Riesgo y CumplimientoGobernabilidad, Riesgo y Cumplimiento
ReingenieríaReingenieríade riesgosde riesgos
Actividades y controles consolidadosActividades y controles consolidados
Tecnología y OperacionesTecnología y OperacionesProyectos y procesos funcionalesProyectos y procesos funcionales
Verificación del proveedor (debida diligencia)Verificación del proveedor (debida diligencia)Acuerdos de Nivel de Servicio ( SLAs )Acuerdos de Nivel de Servicio ( SLAs )Planes de Continuidad del Negocio y Recuperación de DesastresPlanes de Continuidad del Negocio y Recuperación de DesastresRecursos humanosRecursos humanos
Extremos de responsabilidad Cliente / ProveedorExtremos de responsabilidad Cliente / Proveedor
IaaSIaaS SaaSSaaSPaaSPaaS
Datos
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Gobernabilidad, Riesgo y CumplimientoGobernabilidad, Riesgo y Cumplimiento
GobiernoGestión de
Riesgo
Educación Cumplimiento
Reinvertir en controlesReinvertir en controles
AHORRO
11/09/2013
10
Entorno físicoEntorno físico
Control de AccesoControl de AccesoAfecta a la confidencialidad , Integridad Afecta a la confidencialidad , Integridad
y Disponibilidad de los datosy Disponibilidad de los datos
Control Control AmbientalAmbientalAfecta al rendimiento Afecta al rendimiento y la integridad de y la integridad de
la prestación del servicio.la prestación del servicio.
Consideraciones legalesConsideraciones legales
Propiedad de los datos y los posibles conflictos entre las
exigencias legales y reglamentarias nacionales o internacionales
Requisitos para la registración electrónica, la preservación y la integridad de las pruebas, y la
custodia de datos
Procesos documentados para responder a las peticiones legales y Auditorías (registros de auditoría propios y de sus clientes)
11/09/2013
11
Seguridad de los datosSeguridad de los datos
• Adquisición de Datos (mapeo de los datos)• Clasificación de Datos• Almacenamiento de datos• Gestión del ciclo de vida• Cifrado y gestión de claves de cifrado• Puesta fuera de servicio y eliminación
Si los procesos de seguridad de datos no están claramente definidos y documentados se puede exponer negativamente la información
Ayuda a identificar donde cada entidad adquiere y cede los datos y cuales son sus responsabilidades en todo el proceso
Seguridad técnicaSeguridad técnica
• La evolución de las tecnologías de seguridad en virtualización• Gestión de identidades y de acceso• Registro y ficheros de auditoría• Acceso Hypervisor y componentes internos• Seguridad de interfaces y APIs• Seguridad de Sistemas Cliente• Control de ambientes compartidos
11/09/2013
12
Incidentes y Incidentes y forenciaforencia
Incluir los procesos y los plazos de notificación en los SLA
incluir los requisitos de notificación entre el cliente y el proveedor en los planes de respuesta a incidentes
Incluir la potencial solicitud de información, registros y evidencias al CSP durante la investigación
Incluir el proceso de custodia particular para este tipo de servicio, por ejemplo ante desconexiones de VMs o cualquier otro recurso virtual
Equipos Equipos MultidiciplinariosMultidiciplinarios
PreguntarPreguntar
CompararCompararDocumentarDocumentar
ControlarControlar
ConclusionesConclusiones
11/09/2013
13
La Guía y sus apéndicesLa Guía y sus apéndices
Apéndice A: Responsabilidades PCI DSS para diferentes modelos de servicio - Consideraciones adicionales para ayudar a determinar las responsabilidades de PCI DSS a través de diferentes modelos de servicios cloud .
Apéndice B : Inventario - Presenta un inventario modelo del sistema para entornos de cloud computing.
Apéndice C : Matriz de Responsabilidades PCI DSS -Presenta una matriz de muestra para documentar cómo se asignan las responsabilidades entre el proveedor de la nube y el cliente.
Apéndice D: Implementación PCI DSS - Propone un conjunto inicial de preguntas que pueden ayudar a determinar cómo los requisitos de PCI DSS se pueden cumplir en un entorno de nube particular.
https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf
MUCHAS GRACIASMUCHAS GRACIAS
Fabián DescalzoGerente de Governance, Risk & Compliance (GRC)
fdescalzo@cybsec.com
Gobierno de los datos en la nubeGobierno de los datos en la nubepara el cumplimiento PCIpara el cumplimiento PCI--DSSDSS
Universidad del CEMA Universidad del CEMA -- Auditorio PrincipalAuditorio PrincipalBuenos Aires – Argentina (2013)
Recommended