Click here to load reader
Upload
internet-security-auditors
View
181
Download
0
Embed Size (px)
DESCRIPTION
Jordi Serracanta, Director de Medios de Pago de Banca Privada D´Andorra, detalló el camino que están siguiendo para alcanzar la certificación en PCI DSS como entidad adquiriente. Jordi nos explicó la importancia de la definición del alcance en un proyecto de implantación de la normativa PCI DSS.
Citation preview
1
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
CAMINO HACIA LA CERTIFICACIÓN EN
PCI-DSS ADQUIRIENTE
JORDI SERRACANTA MARCET DIRECTOR DE MEDIOS DE PAGO
BANCA PRIVADA D’ANDORRA
logo ponente
2
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
2
¿Qué es BPA?
Preparación
Definición de la afectación
Identificación
Entornos
Usuarios
3
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
3
Banco creado en 1958
Capital 100% andorrano
8 oficinas en Andorra
2003, expansión hacia nuevos mercados
Filiales en Latinoamérica, España y Luxemburgo
5.000 tarjetas emitidas
2.000 comercios en adquisición
Octubre 2009, inicio proyecto implantación PCI-DSS
Diciembre 2010, finalización implantación, inicio certificación
¿Qué es Banca Privada d’Andorra?
4
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
4
Preparación:
Definir el alcance:
Identificar los procesos de la entidad a los que afecta PCI-DSS
Definir las áreas implicadas y las personas responsables en el proyecto
- Organización y tecnología
- Medios de pago
- Seguridad física
- Control de riesgos IT
• Establecer un calendario - Implantación y prioridades
- Seguimiento de la evolución
5
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
5
Definición de la afectación:
Aplicación bancaria - Transacciones - Listados - Correo físico - Contratos - Ubicaciones físicas
Gestor del correo electrónico
Proveedores
Aplicaciones satélite, con acceso a datos de tarjetas
Cajeros automáticos - Diarios electrónicos - Operaciones off-line - Software de detección de acciones no autorizadas
6
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
6
Identificación:
Trabajo de investigación para poder identificar dónde puede haber datos sensibles de tarjetas de crédito
- Intervención del Departamento de Informática para poder explorar todos los sistemas e identificar la ubicación de los datos de tarjetas
Aparecen datos sensibles por todas partes - Archivos en Excel, Word y otros formatos
Almacenamiento de listados y documentación en papel
7
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
7
Entornos:
Control en los 3 entornos 1. Desarrollo
- Eliminación de datos de reales
- Creación de juegos de pruebas básicos
- Creación de procesos específicos para generar datos ficticios para pruebas masivas
2. Preproducción o test
- Mismas adaptaciones que en producción
3. Producción
- Control de acceso de los usuarios
- Cifrado de las tablas y de los ficheros
- Control de accesos auditable
8
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
8
Impacto en el usuario:
Cambio en el acceso a datos - Se puede acceder a datos de tarjetas, sin disponer del número
completo
- Acceder a los datos de forma distinta utilizando otras variables
Formación - Continuada en normativa de PCI-DSS
- Recordatorio de la prohibición de guardar datos de tarjetas de crédito
Soporte - Dar soporte al resto de empleados desde el Departamento de
Medios de Pago
9
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
9
MUCHAS GRACIAS
10
Haga clic para modificar el estilo de
título del patrón • Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
logo ponente