Upload
others
View
14
Download
0
Embed Size (px)
Citation preview
Sr, Tenemos una nueva misión imposible: Debemos implementar PCI en Dia%.
Déjelo en nuestras manos, el equipo de Sistemas podrásolucionarlo.
Seminario: Tendencias de la seguridad de la Información
2008
Pablo Benitez<[email protected]>
Implementando medidas para cumplimiento con PCI.
Introducción
Pablo BenitezJefe Microinformática
Lider de Proyecto PCI Compliance – Pago Online.
Dia Argentina:Empresa de Supermercadismo Hard Discount.
400 Locales operando Tarjetas mediante Pos.
Proyecto: Implementar Pago Online cumpliendo PCI.
¿Qué es PCI?
El PCI Security Standards Council (PCI-DSS) es un organismo internacional que regula la industria de las tarjetas de pago.
Se creó en 2006, soportado por las principales empresas de tarjetas de crédito y débito (Visa, MasterCard, American Express, Discover, JCB).
Define el standard “PCI-DSS” al que todos los comercios, emisores y adquirentes deben adecuarse.
Payment Card Industry
¿Por qué DIA debe certificar Compliance?
El Standard PCI especifica diferentes niveles de cumplimiento según el tipo de negocio y el volumen de transacción.
Ibamos a comenzar de cero a operar Online con Tarjetas de Crédito.
Dadas las características de nuestro negocio y la cantidad de locales fuimos clasificados como “Tier 1”.
Por este motivo todas las autorizadoras nos exigieron Homologar PCI con una consultora Certifificada.
Uhh! Entramos en PCI %$#% !!!
El estado inicial
Inicialmente era algo abstracto .
No sabíamos cuan alejados estábamos del Standard.
Intuíamos que muy lejos…
Por este motivo decimos hacer un GAP Analisis.
che qué es PCI… ? Ehhh no se….!
Análisis de Gap
Se decidió contratar a CYBSEC para el asesoramiento en el proceso de cumplimiento con el standard PCI-DSS.
Se comenzó con un análisis de Gap para determinar la brecha entre el estado inicial y el requerido para la aprobación por parte de las tarjetas.
¿De donde venimos… y hacia donde vamos?
Análisis de Gap
Se identificaron las áreas de incumplimiento y se categorizaron las mismas según su criticidad.
En el caso de DIA, las áreas a mejorar fueron las siguientes: Definición de roles y responsabilidades
Adquisición de Hardware y Software.
Definición de Normas y Procedimientos
Concientización del Personal en Seguridad de la Información
Acceso Físico y Seguridad.
Descubriendo los agujeros negros…
El proceso de regularizaciónDesde el ingreso al edificio hasta ………..
Parsing de Logs
Camaras de Seguridad
Nuevos Requerimientos en la Toma de PersonalSoftware de Encripción
Legitimación de Normas y ProcedimientosFirewalls/IDS/IPS
Test de Seguridad periódicosCapacitaciones en Seguridad para el PersonalAnalizadores Wireless
Definición de aplicación de cambiosResponsables para todos los procesos PCICentralizador de Logs
Definición de respuesta ante incidentesDefinición de Normas y ProcedimientosTarjetas de identificación
Análisis de Logs diariamenteDefinición de un Responsable de SeguridadDispositivos Biométricos
Procesos ImplementadosCambios OrganizacionalesNuevas Herramientas
La auditoría “On-Site” de CYBSEC
La Auditoría On Site, fue realizada por CYBSEC en su carácter de Qualified Security Assessor (QSA).
No hubo mayores inconvenientes.
Se armó un planning detallado de la auditoría para facilitar el proceso y así tener a disposición todo lo requerido por el Auditor.
Se regularizó casi el 100% de los puntos encontrados en el Gap Analisis.
Llegó la hora de la verdad
La aprobación de las operadoras
Se presentó el Informe Final a las Autorizadoras.
No hubo inconvenientes.
OK para salir en Producción !!
El último paso: “La lucha Final”
¿Cómo sacar provecho de PCI?
Intentar hacer extensivo los procedimientos a todo IT.
Aprovechar para lograr autorizaciones de compras necesarias.
Implementación de controles Organizacionales pendientes de larga data.
Regularización de normas y procedimientos internos.
Mejoras en la seguridad física de la compañía.
Me autorizas el gasto para…?
Conclusiones
El análisis de Gap permitió establecer con claridad la brecha entre el estado inicial y el requerido para la aprobación.
La regularización de proceso como elemento positivo y extensivo.
El proceso de regularización es complejo pero no es imposible.
Se pueden implementar soluciones de bajo costo.
Lo logramos…
Pablo Benitez<[email protected]>
Muchas gracias