Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
PCI DSS en la Nube
Javier Roberto Amaya Madrid
Consultor en Seguridad
QSA, ISO27001 L.A., ISO9001 L.A.
Internet Security Auditors
La CCCE asume el compromiso de regir sus actuaciones y decisiones empresarialesde conformidad con la ley colombiana y normas nacionales de competencia, yestatutos & reglamentos internos; en todo momento la libre participación de lasempresas en el mercado, el bienestar de los consumidores y la eficiencia económica.
Las conclusiones y recomendaciones realizadas en los espacios de formación,capacitación y talleres por los conferencistas, así como en los contenidos expuestospor la CCCE, directa o indirectamente, (nuestros portales, redes sociales y en generalmedios digitales o tradicionales) son de carácter informativo sin comprometer aninguno de los afiliados o en general al público con su aplicación.
Nota Legal
Agenda
Introducción Modelos de Despliegue Modelos de Servicio Responsabilidad PCI DSS Seguridad Como Servicio Consideraciones de
Segmentación Retos de Cumplimiento
Verificación de Alcance Gobierno, Riesgo y
Cumplimiento Consideraciones Legales Seguridad de los Datos Seguridad Técnica Respuesta a Incidentes
Introducción
Introducción
Modelos de Despliegue
Modelos de Servicio
Modelos de Servicio
CSP
IaaS
PaaS
SaaS
Modelos de Servicio
Capa de la NubeModelos de ServicioIaaS PaaS SaaS
Datos
Interfaces (APIs, GUIs)
Aplicaciones
Capa de Solución (lenguajes de programación)
Sistemas Operativos (OS)
Máquinas virtuales
Infraestructura virtual de red
Hipervisores
Procesamiento y memoria
Almacenamiento de datos (discos duros, discos removibles, copias de respaldo, etc.)
Red (interfaces y dispositivos, infraestructura de comunicaciones)
Instalaciones físicas, centros de datos
Responsabilidad PCI DSS
Un cliente de la nube no debe asumir nada acerca de cualquier parte otema del servicio, se debe escribir cada elemento de responsabilidad porasegurar cada uno de los procesos y componentes del sistema en loscontratos, memorandos de entendimiento y/o acuerdos de servicio.
Ejemplo Responsabilidad PCI DSS
IaaS PaaS SaaS
1. Instalar y mantener una configuración de fiirewall para proteger los datos de tarjeta-habiente. Ambos Ambos CSP
2. No use contraseñas o variables de seguridad por defecto configuradas por el fabricante de los sistemas. Ambos Ambos CSP
3. Proteja los datos de tarjeta-habiente almacenados. Ambos Ambos CSP
4. Cifre los datos de tarjeta-habiente que sean transmitidos por redes públicas abiertas. Ambos Ambos CSP
5. Use y actualice regularmente una aplicación anti-virus. Cliente Ambos Ambos
6. Desarrolle y mantenga sistemas y aplicaciones seguras. Cliente Ambos Ambos
7. Restrinja el acceso a los datos de tarjeta-habiente de acuerdo a la necesidad de conocer. Ambos Ambos Ambos
8. Asigne un identificador único a cada persona con acceso a computadores. Ambos Ambos CSP
9. Restrinja el acceso físico a los datos de tarjeta-habiente. CSP CSP CSP
10. Registre y monitoree todo acceso a los recursos de red y a datos de tarjeta-habiente. Ambos Ambos CSP
11. Pruebe regularmente la seguridad de procesos y sistemas. Ambos Ambos Ambos
12. Mantenga una política de seguridad de la informaciónpara todo el personal CSP CSP CSP
Requerimiento PCI DSSEjemplo de asignación de
Seguridad como Servicio (SecaaS)
Consideraciones de Segmentación
Consideraciones de Segmentación
Consideraciones de Segmentación
No
es
segm
enta
ció
n
Máquinas virtuales en el mismo servidor separadas por control de acceso del sistema operativo o de la aplicación
Datos de la organización guardados en la misma instancia de los datos del sistema
Retos de Cumplimiento
Identificación de Componentes
Responsabilidad de Controles
Sistemas Dinámicos Visibilidad de Seguridad Control en
Almacenamiento Control de Acceso y
Monitoreo Límites del Perímetro Acceso desde Internet Monitoreo de Acceso Privilegio de Auditoría
Verificación de Alcance
Consideraciones para el cliente
• ¿Cuanto lleva certificado el CSP?
• ¿Qué servicios están incluidos en la validación?
• ¿Donde están físicamente los servicios validados?
• ¿Se usan componentes que no están validados en el servicio?
• ¿Cómo se asegura el CSP que los clientes no introducen componentes que no cumplen?
El CSP debe proveer:
• Evidencia que identifique claramente lo que está en alcance
• Los requisitos contra los que fueron validados
• Aspectos no cubiertos por la verificación
• Identificación de los requerimientos que son responsabilidad del cliente o compartida
Verificación de Alcance
XXXXXEl cliente debe revisar periódicamente:
• Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)
• Evidencia documentada de los componentes incluidos en la verificación
• Evidencia documentada de los componentes que fueron excluidos de la verificación
Si el CSP no está certificado, durante la verificación del cliente se requiere verificar:
• Acceso a las instalaciones, entrevistas con el personal en sitio
• Políticas y procedimientos, documentación de procesos y estándares de configuración
• Registros de entrenamiento, planes de respuesta a incidentes, etc.
• Evidencia de que los componentes dentro del alcance cumplen con todos los requisitos de la norma
Gobierno, Riesgo y Cumplimiento
Adm. Riesgo
DebidaDiligen-
cia
SLA’s
Conti-nuidad
RRHH
Consideraciones Legales
Consideraciones Legales
Descubri-miento de
datos
Preservación de evidencia
Custodia de datos
Seguridad de los Datos
Adquisición de Datos
Almacenamiento y Persistencia
Ciclo de Vida
Clasificación
Cifrado
Disposición
Seguridad Técnica
Evolución de la Seguridad
Identidad y Acceso
Trazas de Auditoría
Acceso al Hypervisor
Seguridad de las APIs
Seguridad de los clientes
Multi-Usuario
Respuesta a Incidentes
Conclusión
Antes de escoger se debe:
o ENTENDER los riesgoso ESCOGER el modelo adecuado de despliegueo EVALUAR las diferentes opciones de servicioo CONOCER lo que se requiere del CSPo COMPARAR proveedores y ofertas de servicioo PREGUNTAR en qué consiste cada servicio, que incluye y que noo DOCUMENTAR todo en acuerdos con el proveedoro SOLICITAR compromisos por escrito de que la seguridad se mantendráo REVISAR periódicamente los acuerdos
¿Tienes Preguntas?