requerimiento pci de la cub 316...2019/11/01 · v1.2 pci y pa dss v2.0 fundación del pci ssc pci...
TRANSCRIPT
¿Que estamos tratando de proteger?Cumplimiento de la CUB Art. 316
Bis 10
¿Qué y Quién es PCI?Estándares de seguridad
¿Quién debe cumplir?
Mejores prácticas y recomendaciones
Conclusiones
¿Que estamos tratandode Proteger?
1. Proteger los datos de los tarjeta habientes (CHD).
2. Proteger la infraestructura y losbienes, de ataques internos y externos.
3. Mantener la Confianza y la fortaleza de la Marca
¿De quién y qué estamos tratandode Proteger?
Las vulnerabilidades aparecen en cualquier lugar del ecosistema de pagos
Compromisos recientes
Cumplimiento de la CUB
Cumplimiento de la CUB
"Artículo 316 Bis 10.- . . .I. a IV. . . .
V. Tratándose del servicio de Banca Electrónica en el que se utilicen tarjetas de débito y de crédito, con las certificaciones que se indican a continuación:
a) Certificaciones de normas de seguridad de la industria de tarjetas, incluyendo entre otras: la norma de seguridad de datos (PCI-DSS), la norma de seguridad de datos para las aplicaciones de pago (PA-DSS) y los requisitos de seguridad y transacciones con NIP (PTS) o sus equivalentes o aquellos que, a criterio de la Comisión, permitan la debida protección de la información almacenada, transmitida o procesada.
Cumplimiento de la CUB
• Transitorios:
“CUARTO.- Las obligaciones contenidas en los artículos 168 Bis 11 fracciones VI, inciso f), VIII, XI, XII, XIV primer y segundo párrafos; 168 Bis 12 fracciones IV, VI, VII, IX y X; 168 Bis 14 fracciones III, IV primer párrafo, V, IX, X; así como del 316 Bis 10, fracción V respecto de los comercios y para las propias instituciones preverse en el plan director de seguridad, según dicho término se define en esta Resolución, que se adicionan, entrarán en vigor
a los doce meses siguientes al de su publicación en el Diario Oficial de la Federación.”
Quién es PCI SSC
1. El Consejo de PCI (Payment Card Industry) de Estándares de Seguridad es una organización global y abierta, formada a desarrollar, mejorar, diseminar, y asistir con el entendimiento de estándares de seguridad para los medios de pagos.
2. El Consejo fue fundado en el 2006.
3. Los miembros fundadores del Consejo son: American Express, Discover FinancialServices, JCB International, MasterCard, y Visa. Estas compañías forman el Comité Ejecutivo del Consejo (PCI SSC).
4. La Junta de Asesores es formada por expertos de la Industria de Medios de Pago.
5. Los miembros fundadores del Consejo reconocen a los Asesores de Seguridad Calificados (QSA - Qualified Security Assessors) y a los Proveedores Aprobados que ofrecen servicios de “scanning” (ASV - Approved Scanning Vendors).
Time Line
2004 2006 2008 2009 2010 2011
PCI DSS
v1.0PCI y PA DSS
v1.2PCI y PA DSS
v2.0
Fundación del
PCI SSC
PCI DSS
v1.1
PCI y PA DSS
v1.2.1
PCI PIN
v1.0
PCI Wireless
Security
Guidance
Aumenta el ciclo
de vida de los
estándares
de 2 a 3 años
PCI Virtualization &
Tokenization
Security
Guidance
2012 2013 2014 2015 2016 2017
SAQ Rev 1.1
PCI 3DS v2.0
PCI y PA DSS
v3.2
PCI y PA DSS
v3.1
PCI PIN v2.0
PCI Card
Production v 1.0
P2PE v2.0
PCI TSP v1.0
PCI y PA DSS
v3.0
PCI P2PE v1.0 PCI PTS v5.0
2018 2019 202…
SPoC v1.0
SAQ v3.2.1
PCI PIN v3.0
PCI Software
Security
Framework
SPoC v1.1
PCI DSS
v3.2.1
Nuevos:✓ PCI DSS v4.0✓ PCI P2PE v3.0
Implementación:✓ PCI PIN v3.0✓ PCI SSS v1.0✓ PCI SPoC v1.1
Estándares PCI
✓12 estándares de seguridad (DSS, PA, PIN, P2PE, …)
✓9 SAQs, cuestionarios de evaluación (SAQ A, A-EP, B, B-IP, …)
✓Guías de seguridad y best practices (Token, Cloud, Wireless, MFA, …)
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
PCI DSS
• Les aplica a las empresas que procesan, almacenan, transmiten y afectan la seguridad de los datos de tarjeta de crédito y débito.
• 6 dominios con 12 Requerimientos: 396 req.
• Nuevo PCI DSS v4.0
– Novedades:• Fortalecer controles de acceso (MFA) con guías del NIST.
• Cifrado en el tráfico interno.
• Optimización de los métodos y procedimientos de validación.
• Mejora de controles existentes relacionados con el monitoreo.
Los 12 controles de PCI DSS
1. Instalar un Firewall
2. Cambiar la configuracion default
3. Almacenar datos de una manera segura
4. Transmitir datos de una manera segura
5. Usar Antivirus
6. Mantener losSistemas yAplicacionesSeguros
7. Definir usuarios autorizados
8. Utilizar autenticacionfuerte
9. RestringirAcceso físico
10. Monitorer cada sistema
11. Probar los sistemas devulnerabilidades
12. Mantener políticas de seguridad
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
PCI PA
• Les aplica a entidades que fabrican software que procese, transmita o almacene datos de tarjeta como parte de los procesos de autorización o liquidación. Y que son vendidas, distribuídas o licenciadas por terceros.
• 14 Requerimientos: 238 req.
• Nuevo PCI Software Security Framework
– Novedades:• Remplazar en un futuro al estándar PA DSS por:
– PCI Secure Software Standard (S3): Controles específicos para aplicaciones de pago
– PCI Secure SLC Standard: Controles de seguridad para empresas desarrolladores de aplicaciones de pago
• Actualizar los controles de seguridad asociados con el desarrollo de software.
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
PCI PIN
• Les aplica a todas las instituciones adquirientes y agentesresponsables del procesamiento de transacciones conPIN incluyendo servicios de inyección de claves y gestiónde certificados.
• 6 Dominios con 33 Requerimientos: 305 req.
• Nueva PCI PIN v3.0.
– Novedades:• Inventario de todas las claves criptográficas empleadas en el entorno y diagrama de flujo red
esquemático.
• Retiro en fechas futuras el uso de ordenadores personales para la carga de claves y el uso de inyección declaves en texto claro en un SCD.
• Fechas límite para la retirada de claves 3DES (TDES) para llaves fijas para la encriptación de PIN y para laimplementación de “key blocks” para claves de encriptación simétricas.
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
PCI P2PE
• Consiste en una combinación de hardware, software, aplicaciones y procesos para cifrar los datos CHD desde el punto de pago hasta el entorno seguro del proveedor de la solución, donde se descifra.
• 6 Dominios con 28 Requerimientos: 722 req.
• Los datos de la cuenta son ilegibles.
• Nuevo PCI P2PE v3.0.
– Novedades:• Se centrará en modernizar, simplificar y agregar flexibilidad al Programa
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
PCI 3DS
• Se agrega un factor adicional a la autentificación entarjeta no presente.
• 3D-Secure, protocolo que mejora la seguridad en la autenticación de los clientes en las compras online.
• 2 Dominios con 14 Requerimientos: 152 req.
• Versión actual PCI 3DS v2.0.
• Les aplica a entidades que que administran: – Servidor de control de acceso 3DS (ACS): Servidor que contiene las reglas de autenticación
– Servidor Directorio Activo 3DS (DS): Servidor que mantiene listados de los rangos de
números de tarjeta aplicables.
– Servidor 3DS (3DSS): Proporciona la interfaz funcional.
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
PCI SPoC
• Una forma para ingresar el PIN en una pantalla (touch screen) basada en el software.
• Para transacciones EMV y con integración con lectores de banda magnética en un dispositivo COTS.
• La solución incluye SCRP, Aplicación, Dispositivo COTS, Back-end para monitoreo y validación del sistema y procesamiento
• 2 Dominios con 14 Requerimientos: 152 req
• Versión actual PCI SPoC v1.1.
• Laboratorios avalados SSC.
Estándare PCI
VersiónActual
Datos a proteger
Auditor Aplicabilidad Nueva versión
DSS 3.2.1 CHD & SAD PCI-QSA Anual ✓ ✓ 4.0
PA 3.2 CHD & SAD PA-QSA Anual ✓ S3
PIN 2.0 PIN SA-PIN 2 años ✓ ✓ 3.0
P2PE 2.0 CHD & SAD P2PE-QSA Anual ✓ 3.0
3DS 2.0 CHD SA-3DS Anual ✓ ✓ N/A
SPoC 1.1 PIN Laboratorios 3 años ✓ * N/A
ASV N/A N/A ASV 3 meses ✓ N/A
¿Quién debe de cumplir?
PCI PTSPCI P2PEPCI PINPA DSSSPoCSecure SW
PCI-DSSPCI DSSPCI PIN
PCI DSSPCI PINPCI P2PE
RetailViajesHotelesSupermercados
TPVM-POSAppsWalletsE-Commerce
BancosProcesadores
Está
nd
ares
Eje
mp
los
EmbosadorasKIFsData Centers
Punto de VentaPOIs
Comercio Proveedor Adquirente Emisor
Bancos
PCI PINCARD PRODUCTION
Qué pasa si no cumplo?
❖Riesgo de fraude.
❖Pérdidas financieras.
❖Perdidas de oportunidad de Negocios
❖Perdida de la confianza de los clientes.
❖Retire el derecho de aceptar tarjetas de crédito y débito como medio de pago.
Mejores prácticas
• Desarrolle un progama de seguridad
• Monitoreo continuo de controles
• Desarrollo Seguro
• Tercerización de procesos
• Gestión adecuada de proveedores
Recomendaciones
1. Establecer una oficina de Cumplimiento PCI.
2. Identificación de los procesos que involucra en el flujos de datos.
3. Establecer los alcances de cumplimiento de la Norma 316 Bis 10 para cada estándar.
4. Establecer el Plan de Trabajo para el cumplimiento de los diferentes estándares:
• Capacitación
• GAP Análisis
• Implementación de controles
• Seguimiento para el Cumplimiento
5. Auditorías en los diferentes estándares.
6. Certificación de cada estándar.
Conclusiones1. Los “hackers” están atacando a los comercios pequeños
2. El crear conciencia de la relevancia de la seguridad de los datos (cumplimiento de PCI) es un reto para los comercios pequeños y medianos
3. Los compromisos fueron dirigidos por grupos criminales organizados con un fin lucrativo
4. La seguridad a veces es percibido como un gasto en vez de una inversión
5. La mayoría de los compromisos pueden ser prevenidos mediante controles sencillos:
– manejo de las claves
– actualización de mejoras (“parches”)
– manejo de accesos remotos
6. El cumplimiento con PCI se puede lograr / el precio de no cumplir es muy alto
7. La Seguridad de Datos es un pilar importante para el crecimiento del negocio
“Toma 20 años el crear una reputación ... y en unos pocos minutos de un incidente de ciberseguridad arruinarlo..”
Contactos
Estamos a sus órdenes para cualquier consulta sobre los temas que hemos cubierto el día de hoy:
✓ PCI-DSS - Raúl Mejía – [email protected]
✓ PCI-PIN – Diana Rodriguez – [email protected]
✓ PA-DSS - Ricardo España – [email protected]
✓ 3DS para Emisores Soraya Negrete – [email protected]
✓ Comercios Nivel 4 Facundo Armenta – [email protected]
