PCIDSS 3-2-1 Dia2 Modulo2 25042019

Requerimientos PCI – DSS 3.2.
CONFIDENCIAL
Módulo III: Requerimientos PCI - DSS
Requerimientos de PCI - DSS
CONFIDENCIAL
Requerimientos de PCI - DSS

SECCIONES REQUERIMIENTOS
1. Instalar y mantener una configuración en cortafuegos para proteger los datos de
tarjetahabiente
Construir y mantener una red y sistemas seguros
2. No use contraseñas de sistemas y otros parámetros de seguridad por defecto,
provistos por los proveedores
3. Proteger datos de tarjetahabiente almacenados
Proteger los datos de tarjetahabiente
4. Cifrar la transmisión de datos de tarjetahabiente en redes públicas abiertas
5. Proteger todos los sistemas contra de malware y actualizar regularmente el
Mantener un programa de gestión de vulnerabilidades software o los programas antivirus
6. Desarrollar y mantener sistemas y aplicaciones seguras
7. Restringir el acceso a datos de tarjetahabiente según la premisa "bussiness need-to-
know"
Implementar medidas sólidas de control de acceso
8. Identifique y autentique los accesos a componentes de sistema
9. Restringir el acceso físico a los datos de tarjetahabiente
10. Rastree y supervise todos los accesos a recursos de red y a datos de
Supervisar y probar las redes con regularidad tarjetahabiente
11. Pruebe con regularidad los sistemas y procesos de seguridad
12. Mantenga una política que aborde la seguridad de la información para todo el
Mantener una política de seguridad de la información
personal
CONFIDENCIAL
Requerimientos
El número total de Requerimientos y subrequerimientos pueden ir entre 245 y 405, dependiendo

de cómo cuentes las sentencias, cláusulas y frases.
La meta de los Controles/Requerimientos es evitar que ocurran brechas y compromisos; y si estos

suceden, tener sistemas establecidos que permitan una rápida detección y recuperación.
3.2 3.4
0 12.8 3.1 3.3 6.5 405
CONFIDENCIAL
Estructura de la norma PCI - DSS
CONFIDENCIAL
Premisas PCI – DSS 3.2.1

• La versión 3.2.1 elimina el uso de SSL/TLS antiguos.
• La versión 3.2 introduce nuevos requerimientos, y fechas de
cumplimiento.
• La versión 3.0 y 3.1 introducen más cambios que la versión
2.0.
• Las 6 secciones y 12 requerimientos principales permanecen,
hay nuevos sub-requerimientos.
• El estándar actualizado pretende ayudar a las organizaciones a

integrar la seguridad de los datos de cuenta dentro de las
actividades cotidianas de negocio (business-as-usual).
• Balance de flexibilidad, rigor y consistencia.
CONFIDENCIAL
Temas nuevos desde PCI – DSS 3.2

Educación y Concientización Flexibilidad
• La formación en desarrollo seguro a los - Se ha incorporado el Anexo A2 con la información de
desarrolladores vinculados con el entorno deberá migración y mitigación de vulnerabilidades de SSL/TLS, dentro
ser anual (como mínimo) del cual se indica que en junio 30 de 2016 todos los
proveedores de servicio deben ofrecer sus servicios con
protocolos seguros.
- Se ha incorporado el Anexo A3 con la información del
La Seguridad como una documento “Designated Entities Supplemental Validation”
(DESV), dentro del cual se especifica – entro otros – la
responsabilidad compartida necesidad de implementar una metodología para la búsqueda
• La definición de responsabilidades de cumplimiento de datos de tarjetas de pago almacenados en texto claro
de PCI DSS por parte de la Dirección y la revisión
trimestral de la aplicación de procedimientos y
políticas por parte del personal. Respuesta a Nuevas Amenazas
• 5 nuevos sub-requerimientos para proveedores de servicio que
afectan a los requerimientos 3, 6, 8, 10, 11 y 12, siendo los más
importantes la realización semestral de pruebas de penetración si
se emplea segmentación en el entorno.
CONFIDENCIAL
Requerimiento 1
Instalar y mantener una configuración de firewall para

proteger datos de tarjetahabiente
Requerimientos 1.1 – 1.2:

Estándares de configuración de Firewall
Proceso formal para aprobar conexiones externas y realizar cambios a
la configuración del firewall
Un diagrama de red actualizado con todas las conexiones (incluyendo Estándar para Firewall (que aísla
wireless) y También se debe tener diagrama del flujo de datos de el CDE de las redes no confiables)
tarjetahabiente a través de sistemas y redes
Requerimientos para las conexiones del firewall a Internet, y entre la

DMZ y la red interna.
Descripción de los grupos, roles y responsabilidades para la

administración lógica de los componentes de red.
Configure el firewall con la
Listado de los puertos, protocolos y servicios utilizados. política “Negar Todo” al final del
conjunto de reglas.
Justificar e implementar seguridad si se utiliza algún puerto o servicio
riesgoso.
Realizar revisión formal a las reglas del firewall Semestralmente
CONFIDENCIAL
CONFIDENCIAL

Reglas de Firewall documentadas
CONFIDENCIAL
Requerimientos 1.3:
Segmentación de red y reglas de Firewall
INTERNET CDE
Todo el Solo el Tráfico Permitido

Tráfico (explícitamente autorizado)
• NAT/PAT
• DMZ
• Network Ingress Filtering (No Conexiones directas entre Internet y el CDE)
• Stateful Packet Inpection o tecnología similar
• AntiSpoofing
• Copias de Configuración (protegidas)
CONFIDENCIAL

Segmentación de red y reglas de Firewall
Restringe tráfico que ingresa a la DMZ, y el que ingresa
y sale del CDE.
Inspección de paquetes dinámica (stateful inspection)
Separadas BD con CHD y Front End
Separar el CDE de las redes inalámbricas

(Para controlar y para negar).
Debe estar instalado en los equipos móviles y en

Firewall equipos de empleados con acceso a Internet.
Personal/Desktop Firewall
CONFIDENCIAL
Requerimientos 1.3:
Aclaraciones
1.3.1 • DMZ implementada para limitar el tráfico de entrada a solo componentes de sistema que
proveen servicios, puertos y protocolos autorizados al público.
1.3.4 • No permitir tráfico de salida no autorizado desde el CDE hacia Internet.
1.3.6 • Ubicar componentes de sistema que almacenan datos de tarjetahabiente (tales como bases
de datos) en una zona de red interna, segregado de la DMZ y otras redes no confiables.
CONFIDENCIAL
Requerimientos 1.3:
Tips Importantes
• Puertos a bloquear (acceso desde Internet): 1434, 1433, 1521, 3389, 22, 161,
5060(UDP), 137-139, 445.
• Tráfico sobre el puerto 6667 Internet Relay Chat (IRC) a direcciones IP externas.
• Egress Filtering (Filtrado de tráfico de salida).
Fallas en el Egress Filtering

1.3.4 Se cree equivocadamente que debido a que la red interna es Confiable, entonces
cualquier tráfico que se origina de esta red interna debe ser igualmente Confiable.
CONFIDENCIAL
Requerimiento 1
• Conozca su red mejor que sus adversarios.

• ¿Qué necesito hacer para que mi red esté segura?
1. Diagrama(s) de red y de flujos de datos de tarjetahabiente.
2. Inventario de Componentes de Red (Routers, Firewalls, Switches.
Tenga listo: 3. Estándares de Firewalls (y demás componentes de red en caso que aplique).
4. Reglas de Firewall / Router / Switch L3 documentadas.
5. Proceso de Control de Cambios y Formatos de Solicitud de Cambios al Firewall(s).
CONFIDENCIAL
Requerimiento 2
No use contraseñas ni configuraciones por defecto provistas

por el proveedor
Requerimientos 2.1:
Configuraciones por defecto
Cambie toda la configuración por defecto
(Contraseñas, SNMP community strings, llaves WPA, SSID, cuentas de sistema, entre
otros) antes de instalar un sistema en la red.
¡En INTERNET!
http://cirt.net/passwords
CONFIDENCIAL
Requerimientos 2.2:
Estándar de configuración de sistemas
Los sistemas que hacen parte del CDE deben tener guías de configuración estándar (hardening) y aplicarlas.
Joint USSS/FBI Advisory

http://usa.visa.com/download/merchants/20090212-usss_fbi_advisory.pdf
http://cisecurity.org/en-us/?route=downloads.multiform
http://web.nvd.nist.gov/view/ncp/repository
• Proyecto Bastilla para Linux OS y HP-UX

• Cisco Guide to Harden Cisco IOS Device
CONFIDENCIAL
Requerimientos 2.2:
Estándar de configuración de sistemas
http://publib-b.boulder.ibm.com/Redbooks.nsf/searchdomain?SearchView&query=%5Bsubjects%5D=Security+and+iseries&SearchOrder=1&category=Security
http://www.hp.com/go/nonstop/security
CONFIDENCIAL
Requerimientos 2.2:
Sólo una función principal por servidor
2.2.1 Implemente solo una función principal por servidor para evitar que funciones que requieren distintos
niveles de seguridad coexistan en el mismo servidor.
Nota: Donde tecnologías de virtualización sean utilizadas, implemente solo una función principal por servidor virtual.
CONFIDENCIAL
Requerimientos 2.2:
Consideraciones de la virtualización y Cloud

• Los requerimientos PCI DSS aplican a las tecnologías de virtualización.
• Tecnologías de Virtualización introducen nuevos riesgos en el CDE.
• Controles y procedimientos específicos varían para cada ambiente,

de acuerdo a como la virtualización es usada e implementada.
CONFIDENCIAL
Requerimientos 2.2:
Consideraciones de la virtualización
• Determinar comunicaciones y flujos de datos de tarjetahabiente intra-host.
• Considerar Riesgos adicionales cuando múltiples funciones están ubicadas

en un único servidor (Hypervisor).
• El Hypervisor siempre está dentro del alcance.
• Documentar todos las interfaces de administración virtual.
• Definir roles y responsabilidades en la gestión de los componentes de

sistema virtuales.
CONFIDENCIAL
Requerimientos 2.2:
Consideraciones de la virtualización
• Precaución con las VMs inactivas (“durmientes”).
• Podrían tener aún CHD o SAD. Incluso PANs sin encriptar en la memoria.
• Atención especial con las imágenes y snapshots de VM.

Podría haber captura inadvertida de SAD o PANs sin cifrar.
• Recomendación: todas las VMs dentro del alcance (se facilita la seguridad).
• Aislamiento de funciones de seguridad por Hypervisor.
• Interacciones VM-a-VM que nunca pasan por la red física.
CONFIDENCIAL
Requerimientos 2.2:
Tips importantes
Revise las “líneas base de estándares de configuración” o las “listas de chequeo de configuración”
para todo sistema del alcance PCI.
• ¿El proceso de configuración es manual o automático?
• ¿Existe dicho proceso para todo sistema?
• ¿Hacen parte del proceso de control de cambios?
Pruebe una muestra de sistemas y dispositivos de red.
• Confirme que hayan servicios sin utilizar en estado “deshabilitado”, y que

estén configurados de forma segura según políticas organizacionales.
CONFIDENCIAL
Requerimientos 2.3:
Accesos administrativos (no consola)
Cifre cualquier acceso ADMINISTRATIVO que no sea por consola (SSH, VPN, TLS 1.2 ).
Ej. 992 TCP Secure Telnet over TLS/SSL
CONFIDENCIAL
Requerimientos 2.4:
Componentes de sistema
Listado de hardware y software en el ALCANCE
CONFIDENCIAL
Hosting Providers
*2.6 Los proveedores de hosting compartido deben proteger el entorno y los datos del titular de la tarjeta que aloja la
entidad.
Anexo A1:
Requisitos adicionales de las PCI DSS para los
proveedores de hosting compartido
CONFIDENCIAL
Requerimiento 2
Tenga listo:
1. Inventario de Componentes de Sistema.

• Lista de Hardware y Software, descripción de uso/función.
• Mantener actualizado.
2. Normas de configuración/hardening de los componentes de sistema (de Bases de
Datos, de Sistemas Operativos, de dispositivos de red) y/o Líneas base de los servidores.
CONFIDENCIAL
Requerimiento 3
Proteger Datos almacenados de Tarjetahabiente

Requerimientos 3:
Ciclo de vida de los datos
Recolección de
datos
Retención y Almacenamiento
destrucción de
datos de datos
Compartir los
Uso de datos
datos
CONFIDENCIAL
Requerimientos 3:
Tabla de retención de CHD
Manejo, Conservación y Borrado de Data en Servidores y PCs, cintas, CDs, Medios removibles.
La Matriz sugerida de Datos de tarjetahabiente por el PCI SSC:

• Nombre del área/rol y/o del PC o servidor donde se encuentran los datos.
• Datos que almacenan
• Razón de su almacenamiento (Un área o una persona debe demostrar que requiere acceso al PAN).
• Periodo de retención
• Mecanismo de protección
• Procedimiento de Eliminación/Destrucción
CONFIDENCIAL
Requerimientos 3:
Ejemplos Regulatorios
• Conservación, organización y control de la información comercial, contable, legal, fiscal e
histórica de la Institución Financiera.
• Custodiar y conservar las notas de compra, vouchers, por un término no inferior al previsto
en el artículo 60 del código de comercio o disposiciones que lo sustituyan.
• Ley de Conservación de documentos bancarios.
ELIMINACIÓN DOCUMENTAL:
Destrucción de los documentos que han perdido su valor administrativo, jurídico, legal, fiscal
o contable y que no tienen valor histórico o que carecen de relevancia.
CONFIDENCIAL
Requerimientos 3.1:
Políticas y Procedimientos de Retención y
Disposición de Datos
Un Proceso Automático o Manual para identificar y borrar (de forma segura)

CHD que exceden requerimientos de retención definidos.
Requisitos para una revisión al menos trimestral
CONFIDENCIAL
Requerimientos 3.2:
Datos Sensibles
PTS y PA DSS ayudan a cumplir con este requerimiento:

• Datos de transacciones entrantes.
• Todos los registros (por ejm: transacciones, historiales, depuración, error).
• Archivos de historial.
• Archivos de seguimiento.
• Esquemas de bases de datos.
• Contenidos de bases de datos.
¿Excepciones a este requerimiento? Pre-authorization vs. Authorization
CONFIDENCIAL
Requerimientos 3.2:
Datos Sensibles
SAD (Datos Sensibles de Autenticación) no deben ser

almacenados después de la autorización, incluso si están cifrados.
• Esto aplica incluso si no hay PAN en el entorno.
• Determinar con su respectivo adquirente o con las Marcas para definir

si SAD es permitido ser almacenado antes de la autorización, por
cuanto tiempo, y cualquier requisito de uso y protección adicional.
Si datos sensibles de autenticación son recibidos, deje todos estos datos

irrecuperables (unrecoverable) tras el proceso completo de autorización
CONFIDENCIAL
Estrategias para ocultar la información

• Implementar técnicas para dejar los datos inútiles a los ”adversarios”.
• Enmascaramiento (Masking): Método para ocultar un segmento de datos del PAN, cuando son mostrados/desplegados.
Lista de roles que necesitan acceso a despliegues de full PANs documentada, junto con una necesidad legítima de
negocio para cada rol que tiene dicho acceso.
.
• Truncado (Truncation): Método para dejar el PAN ilegible de forma permanente, al remover un segmento del PAN. (6 + 4).
• Tokenización (Index Token): Un token criptográfico que reemplaza el PAN, basado en un índice de valor impredecible.
• Cifrado Fuerte.
Precaución
• Hashing (fuerte).
¿Cuál de estos métodos reduce el alcance?
¿Qué pasa si en un mismo servidor hay PAN transformados en hash y truncados?
CONFIDENCIAL

Cifrado Stack
FPE (Format Preserving Encryption):
Aplicación 1 Aplicación 2 Aplicación 2 Este tipo de encripción preserva el formato del
número de la tarjeta. Para impedir o reducir los
cambios en bases de datos y software.
Base de Datos
TDE, DEE
Cifrado a nivel de Columna, TableSpace
Sistema Operativo
Cifrado en Disco, Cifrado
en Archivo/Directorio
¿Se debe cifrar en memoria?

(swap files, temporary folders, pagefile.sys)
CONFIDENCIAL

En Contact Center
Veritape CallGuard
SEMAFONE
Verint-Witness - NICE - ASC Telecom - Red Box Recorders - CallCopy - ComputerTel - Retell -
CTI - Audiosoft - Cybertech - eTalk-Autonomy - Magnetic North - Oak - DTS Smartcall -
Voicenet - Storacall - TISL - Ultra - Versadial - Voicesafe - Xarios - Liquid Voice
CONFIDENCIAL
Requerimiento 3:
Secure Voice Transactions
Call and screen records
https://www.pcisecuritystandards.org/documents/Protecting_Telephone_Based_Payment_Card_Data_v3-0_nov_2018.pdf
CONFIDENCIAL
Requerimiento 3: Tokenización
Aplicació
Gestor de n de
Llaves prevenci
ón de
Punto de fraudes
venta Llaves
Servidor - Minería de
Aplicació Token datos
n HR T T T Business
Texto cifrado
Intelligence
T Tokens
Aplicación T T
Bodega de CRM
datos
Copia de
seguridad
(back up)
CONFIDENCIAL
Requerimiento 3:
Tokenización
Sitio web
PAN
Transacción PAN PAN Transacción
Exitosa Exitosa
TOKEN
PAN
Comercio Procesadores “Marcas” Emisor
CONFIDENCIAL
Requerimientos 3.4.1:
Si hay cifrado en disco
• El acceso lógico debe ser independiente y separadamente de los mecanismos de
control de acceso y autenticación del sistema operativo nativo.
• No use cuentas de directorio activo ni locales del sistema.
• No vincule llaves de cifrado a cuentas de usuario del sistema operativo.
• La encripción a nivel de disco puede ser implementada a través de múltiples capas

virtuales, por ejm, en el S.O. HOST, dentro de la VM, ó en un disco duro separado que
es accesible desde la VM o el HOST.
• Precaución: Se puede perder el cifrado cuando se mueva una imagen VM a otro HOST.
Note: This requirement applies in addition to all other

PCI DSS encryption and keymanagement requirements.
CONFIDENCIAL
Requerimientos 3.5:
Protección de llaves de Cifrado
Proteja las llaves de encripción contra mal uso o divulgación (Tanto KEK y DEK).
• Restrinja el acceso a la mínima cantidad de custodios.
• Guarde las llaves de la forma más segura posible (y en la menor cantidad de ubicaciones).
La gestión de llaves puede incluirse en módulos de hardware (HSM) o dispositivos PTS aprobados.
• Verifique que el producto implemente gestión de llaves.
• La documentación del proceso de gestión de llaves del producto es necesaria, excepto, si ésta se encuentra
documentada en el manual del producto.
• Precaución con la función de Gestión de Llaves en Ambientes virtualizados.
Como mínimo dos componentes de llaves full – length que sean basados en métodos aceptados
por la industria.
*3.5.1 Requisitos adicionales solo para los proveedores de servicios: Mantenga documentada la arquitectura criptográfica
- Detalles de todos los algoritmos, protocolos y claves (complejidad de la clave y la fecha de caducidad)
- Descripción del uso de la clave para cada tecla.
- Inventario de un HSM SMS y otros SCD utilizados para la gestión de claves.
CONFIDENCIAL
Requerimientos 3.6:
Gestión de llaves de Cifrado
Documentar e implementar todos los procesos y procedimientos de gestión de llaves, incluyendo:
• Generación de llaves fuertes.

• Distribución segura de llaves (No distribuidas en claro, solo a custodios asignados).
• Almacenamiento seguro de llaves (No almacenarlas en claro).
• Cambio periódico de llaves (CryptoPeriodo).
• Destrucción de llaves antiguas .
• Control dual de llaves y Split knowledge (operaciones manuales o donde el producto de cifrado no tiene
implementado Key Management).
• Prevención de sustitución no autorizada de llaves.
• Reemplazo de llaves comprometidas (o en sospecha de compromiso).
• Revocación de llaves antiguas o inválidas.
• Firma de responsabilidad de uso de custodios.
CONFIDENCIAL
Requerimientos 3.6:
Gestión de llaves de Cifrado
de un motor de base de datos
Llaves de las columnas cifradas
con la llave maestra (KEK)
Llave maestra
almacenada en PKCS#12
Llave maestra
almacenada y
gestionada por un HSM
Las llaves de columna cifran
datos en columnas
DBA abre la billetera (PKCS) que
tiene la llave maestra
CONFIDENCIAL
Requerimiento 3
Tenga listo:
1. Política y procedimiento de retención y disposición de datos de la organización.
2. Guía técnica ó procedimiento técnico de la organización respecto al cifrado/truncado/tokenizado del

PAN en archivos y/o base de datos, o en su defecto cifrado en disco (mencionar la
herramienta/mecanismo utilizado para el cifrado).
3. Inventario de los Repositorios y Despliegues de CHD, junto con los roles definidos que pueden ver
PAN completos (full PANs).
4. Procedimiento de gestión de llaves criptográficas (para cifrado de base de datos y/o cifrado en disco).
CONFIDENCIAL
Requerimiento 4
Cifre Datos de Tarjetahabiente Transmitidos sobre redes

públicas abiertas
Requerimientos 4:
Cifre Datos de Tarjetahabiente sobre
Redes públicas abiertas
• Use criptografía fuerte y protocolos de seguridad para salvaguardar los datos de
tarjetahabiente sensibles durante la transmisión sobre redes abiertas/públicas.
• Use mínimo TLS 1.2 o IPSEC para salvaguardar los datos durante la transmisión.
• Extended Validation (EV) SSL Certificates.
Ejemplos de redes abiertas / públicas:

• Internet
• WiFi (802.11x)
• Global System for Mobile communications
(GSM)
• Code division multiple access (CDMA)
• General Packet Radio Service (GPRS).
• Satellite communications.
CONFIDENCIAL
Requerimientos 4:
Cifre Datos de Tarjetahabiente sobre
Redes públicas abiertas
Firewall
VPN
Túnel VPN Sucursal
Gateway
VPN (Virtual Private Networks):

Túnel VPN Tiene dos elementos para
conectarse externamente de forma
segura: Autorización + Cifrado.
TeleTrabajador Comercio
CONFIDENCIAL
Medidas de seguridad Wireless (802.11)
CONFIDENCIAL
Requerimientos 4.2:
Tecnologías de mensajería de usuario final
• Nunca debe enviar PAN “sin protección” por medio de

tecnologías de mensajería de usuario final.
• Política de uso aceptable de utilización de correo

electrónico, mensajería y chat: donde se exige que no se
pueden enviar PANs sin protección por estas tecnologías.
CONFIDENCIAL
Requerimiento 4
Tenga listo:
1. URL y Dirección IP del servidor web público que utilizan para recibir transacciones con tarjeta
(Incluir que versión de SSL utilizan, empresa con la que adquirieron el certificado digital).
2. Política de uso aceptable de utilización de correo electrónico, mensajería y chat.
3. Configuración de las VPNs.
4. Política y procedimientos implementados y divulgados para cifrado de transmisiones de datos de

tarjetahabiente en redes públicas abiertas.
CONFIDENCIAL
Requerimiento 5
Proteja todos los sistemas en contra de malware y

regularmente actualice el software o programas antivirus
Requerimientos 5:
Antimalware
• Despliegue mecanismos antimalware en todos los sistemas comúnmente afectados
por virus (ejm: PCs y Servidores).
Asegure que todos son capaces de detectar, remover, y proteger contra otra forma de
software malicioso, incluyendo spyware, adware, rootkits.
• Asegúrese que todos los mecanismos anti-virus están actualizados, ejecutándose

(activos), y generando logs de auditoría (cumpliendo 10.7).
• Política para el manejo de software antimalware.
• Los mecanismos de Antivirus deben estar activos y no pueden ser deshabilitados o

alterados por usuarios (5.3). A menos que sea autorizado por un tiempo limitado.
CONFIDENCIAL
Requerimientos 5:
Antimalware
Este requerimiento aplica a todos sistemas que son susceptibles a virus:
• Principalmente plataforma Windows.

• Incluye todos los métodos de entrada de los virus:
• Correo electrónico (servidores).
• Estaciones de trabajo.
Por lo general, Servidores UNIX y Mainframes no se incluyen en este requerimiento.
• Para sistemas considerados no ser comúnmente afectados por software malicioso,

realizar evaluaciones periódicas para identificar amenazas de malware
evolucionado y confirmar si es necesario el uso de software antivirus.
CONFIDENCIAL
Requerimientos 5:
Códigos Maliciosos
Visa en recientes investigaciones ha identificado Códigos Maliciosos diseñados exclusivamente
para capturar datos de tarjetahabiente y datos sensibles de autenticación:
• Fully UnDetectable (FUD).

• Malware command shell o backdoor.
• Key logger//Screen-scrapers malware. INPUT HOOKING.
• Debugging Software – Memory Parsing, Memory Scraping.
• Password collector or credential-stealing malware.
• Banking Trojans: Qakbot, Gozi, Zeus, SpyEye, Clampi, Torping, Mumba.
• Stealers, sniffers.
• Bots, Command and Control.
• Rootkits usados para ocultar otros códigos maliciosos y cambiar horas del sistema.
• Reverse Shell Tool.
• Credentialed Malware.
• Card Skimming Malware (dirigidos a ATMs).
CONFIDENCIAL
Requerimientos 5:
ATM Malware
CONFIDENCIAL
Requerimientos 5:
POS Malware
Memory-parsing software (RAM scraper)
• DEXTER
• STARDUST
• BLACKPOS
• KAPTOXA
• ALINA
• JACKPOS
CONFIDENCIAL
Requerimientos 5:
Negociando con Malware
COMMON MALWARE
VS.
TARGETED MALWARE
APPLICATION WHITELISTING
CONFIDENCIAL
Requerimientos 5:
Negociando con Malware
CONFIDENCIAL
Requerimiento VI
Desarrollar y mantener sistemas y aplicaciones seguras

Requerimientos 6:
Resolución de problemas
Pretende resolver problemas de seguridad en Aplicaciones, causados

principalmente por:
• La seguridad no es un requisito o prioridad en el desarrollo de las aplicaciones.

• Los desarrolladores y acreditadores no están entrenados en seguridad y técnicas de codificación segura.
“Trustworthy software”, que hemos traducido como: software digno de confianza.
CONFIDENCIAL
Requerimientos 6.1:
Gestión de Parches
Identificar nuevas vulnerabilidades y que un ranking basado en riesgos sea asignado a tales vulnerabilidades.
Se recomienda la siguiente herramienta de NIST:

11.2.1.b http://nvd.nist.gov/cvss.cfm?calculator
3 componentes: BASE, ENVIRONMENTAL, TEMPORAL
Corregir las
vulnerabilidades ALTAS
Vulnerabilidades severidad “Baja” si el CVSS score es de 0.0 - 3.9.
determinadas en el 6.1 Vulnerabilidades severidad “Media” si el CVSS score es de 4.0- 6.9. FAIL SCAN
Vulnerabilidades severidad “Alta” si el CVSS score es de 7.0 -10.0 FAILSCAN
CONFIDENCIAL
Requerimientos 6.2:
Tipos de Parches
No todos los componentes de software Update classification

liberan parches constantemente Connectors
Critical updates
Development kits
Drivers
Feature packs
Guidance
Security updates
Service packs
Tools
Update rollups
Updates
CONFIDENCIAL
Requerimientos 6.1 y 6.2:

Gestión de Parches
• Asegure que los componentes de sistema y de software tienen los últimos hotfixes de seguridad provistos por el fabricante.
• Instale los hotfixes de seguridad CRÍTICOS dentro de un mes máximo después de su lanzamiento.
• Establezca un procedimiento para identificar nuevas vulnerabilidades de seguridad (US-CERT, SANS, Bugtraq, Symantec
DeepSight, MS Security Newsletter, Cisco IPSThreat Defense Bulletin, OSDV, NVD).
CONFIDENCIAL
Requerimientos 6:
Integrando la seguridad en SDLC
Software Security: Building Security In

ISO 15408, SAMM, OWASP, Microsoft SDL, BSIMM, ISO 12.207: Software life cycle processes, NIST 800-64:
Consideraciones de seguridad en SDLC.
CONFIDENCIAL
Requerimientos 6:
Ciclo de seguridad en el software
DESARROLLO DESPLIEGUE
SEGURO SEGURO Revisión de:
• Diseño
• Código
• Documentación
OPERACIÓN SEGURA
CONFIDENCIAL
Requerimientos 6.3:
Controles de desarrollo de software
Desarrolle aplicaciones de software basado en las mejores prácticas de la industria e

incluya seguridad de la información en todo el ciclo de vida de desarrollo del software.
Incluya:
• Remoción de cuentas de prueba, Users ID y Passwords
• Revise el código fuente antes de llevar a producción o entregar a clientes, para

identificar cualquier vulnerabilidad potencial en el código.
• Aprobación de la Gerencia.
CONFIDENCIAL
Inspección de Código
Para escoger el mecanismo correcto de revisión de código:

1. ¿Se requiere una herramienta de análisis dinámico o estático?
2. ¿Qué lenguajes y plataformas soporta?
3. ¿Qué tan flexible es el componente de reportes?
4. ¿Qué tan fácil es agregar o actualizar reglas de inspección?
5. ¿Cómo se integra con el IDE?
CONFIDENCIAL
Inspección de Código
Revisión Manual
Pros Contras
Encuentra Problemas de Seguridad en la Arquitectura Uso costoso de Recursos Humanos
Encuentra Puertas Traseras Lógicas Requiere Experiencia y un completo entendimiento de seguridad y programación
Encuentra problemas de Implementación Lento. No todo el código puede ser cubierto en el tiempo asignado
Muy baja tasa de falsos positivos Puede estar sujeto a errores humanos
Análisis Estático
Pros Contras
Se ejecuta rápidamente Se puede pasar por alto problemas de arquitectura en la seguridad
Encuentra la mayoría de Problemas de Implementación Se puede pasar por alto Puertas traseras lógica
Completamente exhaustivo Alta tasa de falsos positivos
Barato Puede pasar por alto problemas de implementación
CONFIDENCIAL
Requerimientos 6.4:
Controles en el desarrollo de software
Incluyen:
• Datos de producción (PANs) no son usados para pruebas ni desarrollo.
• Borrar datos de prueba y de cuentas antes de llevar a producción.
• Separe ambientes de desarrollo/pruebas de ambiente de producción.
• Segregación de responsabilidades entre ambientes de desarrollo/pruebas y de producción.
CONFIDENCIAL
Control de Cambios
Ejecute el procedimiento de control de cambios

(NO LIMITADO A IMPLEMENTACIÓN DE PARCHES, MODIFICACIONES EN EL SOFTWARE,
IMPLEMENTACION DE NUEVO SOFTWARE)
• Documentación del impacto.

• Aprobación por la dirección del cambio.
• Pruebas de Funcionalidad para verificar que el cambio no impacte adversamente la Seguridad.
• Procedimientos de regreso (Back Out).
CONFIDENCIAL
Requerimientos 6:
Controles al desarrollo de Software
Deben existir prácticas de desarrollo seguro
• Basadas en una guía de desarrollo seguro:
OWASP (owasp.org), Secure Coding

SAFECode (safecode.org)
SANS Top 25 Most Dangerous Programming Errors
• Los desarrolladores están entrenados en estas guías y poseen el conocimiento necesario para aplicarlas.
Adicionalmente deben poder evitar vulnerabilidades comunes y conocer como la información sensible
es manejada en memoria
• Cursos externos, librerías, entrenamientos on-line, etc.
*6.4.6 Al término de un cambio significativo, deben implementarse todos los requisitos pertinentes de la
PCI DSS en todos los sistemas y redes nuevos o modificados, y la documentación actualizada según sea el
caso.
CONFIDENCIAL
Requerimientos 6.5:
Desarrollo de Software Seguro
• Desarrolle aplicaciones web (o TODAS) basados en guías de codificación segura.
6.5.7, 6.5.8, 6.5.9 y 6.5.10 (aplica solo a ambiente web).

• En los procesos de desarrollo de software cubra la prevención de vulnerabilidades de codificación comunes.
OWASP Open Web Application Security Project

Organismo sin ánimo de lucro establecido en 2004 enfocado en mejorar la seguridad de las Aplicaciones Web.
http://www.owasp.org/ http://cwe.mitre.org/top25/ http://www.cert.org/secure-coding/
CONFIDENCIAL
Requerimientos 6:
Tips: Seguridad en las Aplicaciones
cwe.mitre.org
http://cwe.mitre.org/top25/index.html
CWE-20: Improper Input Validation

CWE-116: Improper Encoding or Escaping of Output
CWE-89: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
CWE-89: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
CWE-79: Failure to Preserve Web Page Structure (aka 'Cross-site Scripting')
CWE-78: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
CWE-319: CleartextTransmission of Sensitive Information
CWE-352: Cross-Site Request Forgery (CSRF)
CWE-362: Race Condition
CWE-209: Error Message Information Leak
https://www.pcisecuritystandards.org/documents/PCI-Secure-Software-Standard-v1_0.pdf
CONFIDENCIAL
Requerimientos 6:
Vulnerabilidades Web
1. AUTENTICACIÓN
ROBAR CUENTAS DE USUARIO
Fuerza Bruta, autenticación, insuficiente validación
4. EJECUCIÓN DE COMANDOS
y recuperación de contraseñas débiles. SECUESTRAR LA APLICACIÓN WEB
Buffer Overflow / Format String Attack / LDAP
Injection / SSI Injection / Xpath Injection
2. AUTORIZACIÓN
ACCESO NO AUTORIZADO A APLICACIONES
Credential / Session, prediction. Autorización 5. DIVULGACIÓN DE INFORMACIÓN
insuficiente. Expiración de sesión insuficiente. MUESTRA INFORMACIÓN SENSIBLE AL ATAQUE
Directory Indexing Information Leakage
Path traversal.
3. ATAQUES DEL LADO DEL CLIENTE Predictable Resource Location.
EJECUCIÓN INTRUSIVA DE CÓDIGO FORÁNEO
Content Spoofing, Cross – Site Scripting (XSS)
CONFIDENCIAL
Requerimientos 6:
Ataques Prevalentes
• Sql Injection:
Le permite a un adversario ejecutar sentencias SQL no
autorizadas contra la base de datos, a través de la aplicación,
dándole acceso completo a la base de datos.
• Cross Site Scripting:

Le permite a un adversario ejecutar código malicioso sobre el
navegador (browser) de otro usuario, permitiéndole leer y
modificar cualquier información del sistema del usuario.
CONFIDENCIAL
Requerimientos 6:
¿Qué es el SQL Injection?
Una metodología de ataque que manipula el SQL
que hace una aplicación. Query SQL
Por ejm un hacker inserta código SQL en un form extrayendo tarjetas
de una aplicación o en el parámetro de un URL. de crédito
Base de Datos
HTTP Post Firewall de

Malicioso Intranet
Servidor Web
…Para acceder o alterar los datos de

la base de datos.
Internet DMZ Red Interna
CONFIDENCIAL
Requerimientos 6:
¿Qué nos ofrece OWASP?
• Information Gathering
• Configuration Management Testing
• Business Logic Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Data Validation Testing
Application Security Verification Standard (ASVS) • Denial of Service Testing
OWASP Developer’s Guide
OWASP Testing Guide • Web Services Testing
OWASP Code Review Guide
• Ajax Testing
CONFIDENCIAL
Requerimientos 6.6:
Proteja las Aplicaciones Web
Asegúrese que todas las aplicaciones web están protegidas de ataques

conocidos por medio de:
• Verificación que las aplicaciones WEB Externas son revisadas usando métodos o herramientas de
evaluación de vulnerabilidades WEB.
• Instalar una solución técnica que detecte y evite ataques basados en web, por ejemplo, un Firewall
de Aplicación Web (WAF).
Este requerimiento no se cumple con un escaneo de vulnerabilidades (11.2)
CONFIDENCIAL
Requerimientos 6.6:
Scan de vulnerabilidades a aplicaciones Web
http://sectools.org/web-scanners.html
Son muy conocidos Nikto, Wikto, Wapiti y N-Stealth; no confundir con scan a Web Servers.
Este es un muestreo de vulnerabilidades web que pueden encontrar las anteriores herramientas:
• Cross-site Scripting Vulnerabilities: Persistent, Reflected, Header, Browser-specific

• SQL Injection Vulnerabilities: Regular and Blind
• Persistent Cross-Site Scripting (XSS) Vulnerabilities
• Reflected Cross-Site Scripting (XSS) Vulnerabilities
• SQL Injection
• Al menos anualmente.
• Path-based Vulnerability
• Después de cualquier cambio.
• Web Application Authentication Not Attempted
• Nota: Por una organización que se especialice
• Web Application Authentication Method
en seguridad en aplicaciones.
• Web Application Authentication Failed
• Como mínimo, todas las vulnerabilidades de 6.5.
• Links Crawled
• Todas las vulnerabilidades deben ser corregidas.
• External Links Discovered
• Re-evaluar después de la corrección.
• Local File Inclusion
CONFIDENCIAL
Requerimientos 6.6:
WAF: Web Aplication Firewall
• Situado en frente de las aplicaciones

web de cara al público.
• Activo, en ejecución y actualizado.
• Generando Audit logs.
• Configurado para bloquear ataques
web, o generar una alerta.
CONFIDENCIAL
Requerimientos 6.6:
¿Qué debe tener un buen WAF?
• Proteger contra el OWASP Top Ten (Requirement 6.5)
• Inspeccionar el tráfico web de entrada y salida (permitir, bloquear, alertar, registrar) basado en reglas.
• Evitar fugas de datos.
• Tener modelos (“white list”) (“black list”).
• Inspeccionar contenido del sitio web (HTML, DHTML, CSS, HTTP/S).
• Inspeccionar mensajes web services (SOAP, XML).
• Defender contra amenazas que van dirigidas contra el mismo WAF.
• Terminador de sesiones SSL.
• Detección de Defectos en la Aplicación
• Perfilación Dinámica de Aplicaciones
CONFIDENCIAL
Requerimiento 6
1. Políticas y procedimientos de actualización de parches en IT (puede estar

dentro de control de cambios al software). (NIST 800-40)
2. Procedimientos Internos de Desarrollo de software seguro.

Tenga listo: 3. Políticas Desarrollo de software (Procedimiento Revisión de código).
4. Procedimientos de Control de Cambios (a nivel de software).
5. Evidencia de entrenamiento en Desarrollo Seguro.
CONFIDENCIAL
Requerimiento 6: Recursos adicionales
Proyecto CLASP (Comprehensive, Lightweight Application Security Process) - OWASP:

http://www.owasp.org/index.php/OWASP_CLASP_Project
Top Ten de OWASP:

http://www.owasp.org/index.php/OWASP_Top_Ten_Project (Mobile Security Project)
Guía de pruebas de OWASP:

http://www.owasp.org/index.php/Category:OWASP_Testing_Project
Top ten en prácticas seguras de codificación:

https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Coding+Practices
CONFIDENCIAL
Requerimiento VII
Restringir el acceso a los datos de los titulares de tarjetas

conforme a la necesidad de conocer de negocio

Políticas de Acceso
¿Ha limitado lo suficiente el acceso a los datos de tarjetahabiente?
7.1 Política de Control de Acceso
Defina los accesos necesarios para cada rol, incluyendo los componentes del sistema o datos de acuerdo a las funciones,
adicionalmente el privilegio requerido sobre los mismos.
7.2 Sistemas de Control de Acceso

(Para cumplir con la política del 7.1). Tenga listo:
• Política de Control de Acceso a Datos y Sistemas de la organización.
• Formato que firma tanto el usuario final y la gerencia, cuando se
conceden accesos y permisos a los componentes de sistemas.
• Mapa/cuadro de Roles de acceso a los sistemas (Tener Identificado quién
accede a los componentes de sistema y a los datos de la organización).
CONFIDENCIAL
Requerimientos 7.2:
Solución de Control de Acceso
• Para todos los componentes de sistema.

• Identificar los usuarios, roles y privilegios.
Seguridad en la aplicación
• Se monitorean todos los accesos.
• “Negar Todo” Seguridad en la aplicación
Usuarios
Servidor de Seguridad en BD
protección de Seguridad
recursos en OS
CONFIDENCIAL
Requerimiento VIII
Identificar y autenticar accesos a los componentes de

sistema
Requerimientos 8.1:
Gestión de IDs de usuarios
Identifique a todos los usuarios con un nombre de usuario único antes de

permitirles el acceso a los componentes de sistema o a datos de tarjetahabiente
Políticas y procedimientos para una

adecuada Gestión de Identificación
de Usuarios (non-consumer y
administradores)
CONFIDENCIAL
Requerimientos 8.1:
Gestión de IDs de usuarios
• Controlar la adición, borrado y modificación de credenciales de usuario, UserIDs y otros objetos
identificadores.
• Revoque acceso inmediatamente a usuarios finalizados (terminated).
• Deshabilite o remueva cuentas de usuario inactivas

por lo menos cada 90 días.
• Verificación de la identidad del usuario antes de

modificar cualquier credencial de autenticación
(reset de contraseña, proveer nuevo token).
CONFIDENCIAL
Gestión de ID de Terceros
Gestión de los IDs usados por cualquier usuario interno o externo
(Para acceso, soporte o mantenimiento de componentes de sistema vía acceso remoto) (8.1.5)
• Habilitadas solo durante el periodo necesario

(deshabilitar cuando no se use)
• Monitorearlas durante su uso
• Una credencial de autenticación por cada cliente (8.5.1)
CONFIDENCIAL
Requerimientos 8.2:
Métodos de Autenticación
Utilice al menos uno de los siguientes métodos para

autenticar usuarios:
• Contraseña (Pasword/Passphrase).
• Dispositivos Token (ejm: SecureID, SmartCard).
• Biometría.
Cifrar con criptografía fuerte todas las credenciales de

autenticación durante almacenamiento y transmisión, en
todos los componentes de Sistema.
989 TCP FTP Data Over TLS/SSL
990 TCP FTP Control Over TLS/SSL
992 TCP Secure Telnet over TLS/SSL
CONFIDENCIAL
Requerimientos 8.2: No utilice contraseñas

que sean fáciles de
Fortaleza de los Cambiar la

contraseña en su
primer uso
deducir.
Evite las palabras
obvias
Evite reciclar viejas Utilice caracteres
contraseñas. (4) alfanuméricos
Cambie la contraseña Longitud mínima de siete

periódicamente (90) caracteres.
Comunique procedimientos de
contraseña y políticas a todos los
usuarios que tengan acceso a No comparta su
contraseña, y que no Bloqueo de la cuenta
información de tarjetahabiente. sean genéricas o de después del sexto intento
grupo de login
15 minutos de Bloqueo de la
inactividad. la cuenta por 30
sesión se bloquea minutos
CONFIDENCIAL
Requerimientos 8:
Directivas de Seguridad Local
en el controlador del dominio
CONFIDENCIAL
Requerimientos 8:
Sesiones desatendidas: 15mins
CONFIDENCIAL
Requerimientos 8.3:
Autenticación de múltiples Factores
Implemente autenticación de múltiples factores para
acceso remoto a la red por parte de los empleados,
administradores o terceros.
• Use tecnologías tales como RADIUS, o TACACS con

tokens, o VPN (basado en TLS 1.1/Superior o IPSEC) con
certificados individuales.
*8.3.1 Incorporar la autenticación de múltiples factores para todo acceso que no sea
de consola en el CDE para el personal con acceso administrativo.
https://www.pcisecuritystandards.org/pdfs/Multi-Factor-Authentication-Guidance-
v1.pdf
CONFIDENCIAL
Autenticación de múltiples Factores: Acceso Remoto
AAA
Tokens
Internet VPN Clients

Router
Firewall
Remote Offices
CONFIDENCIAL
Requerimientos 8.4:
Guías a usuarios respecto a la Autenticación

Documentar y comunicar las políticas y procedimientos de autenticación a todos los usuarios incluyendo:
• Guía sobre seleccionar credenciales de autenticación fuertes.

• Guía sobre como los usuarios deben proteger sus credenciales de autenticación.
• Instrucciones para no reutilizar passwords previamente usados.
• Instrucciones para cambiar passwords si hay sospechas que el password pudo ser comprometido.
CONFIDENCIAL
Requerimientos 8.6:
En caso de uso de diferentes
Mecanismos de autenticación alternos como:

Tokens, Smart Cards, Certificados, etc. deben
ser asignados a una sola cuenta individual.
Los controles físicos y/o lógicos deben estar

definidos para asegurar que solo la cuenta
asignada pueda utilizar el mecanismo para
obtener acceso.
CONFIDENCIAL
Requerimientos 8.7:
Accesos directos a bases de datos
• Los queries SQL directos son limitados a los

administradores de BD y a las aplicaciones.
• Accesos de usuarios a BDs, a través de métodos

programáticos.
• El ID de la Aplicación para acceder a la Base de Datos

no puede ser usado por otros procesos o personas.
CONFIDENCIAL
Requerimientos 8:
Manejo de Cuentas Privilegiadas
• CUENTAS DE ADMINISTRADORES
• CUENTAS INTEGRADAS EN UN SISTEMA PARA CONECTARSE A OTRO
• CUENTAS USADAS PARA EJECUTAR SERVICIOS
¿Cómo aplicar políticas y controles a este tipo de cuentas especiales?

Privileged Account Management de Quest Software
Identity And Access Management Solutions from Hitachi ID Systems Privileged Access
Privileged Session Management Suite de Cyber-Ark Management Systems
CA Control Minder de CA
CONFIDENCIAL
Requerimientos 8:
Tenga listo:
1. Política/Norma de passwords y procedimiento de Control de Acceso (Autenticación, y Gestión
de contraseñas que apliquen a todos los componentes de sistema).
2. Formatos de Autorización de acceso a los componentes de sistemas.
3. Listado de personas retiradas en los últimos seis meses.
4. Listado de personal interno o externo que ingresan remotamente a los componentes de sistema
a realizar revisiones y mantenimientos (mecanismo de acceso).
5. Listado de usuarios que puedan hacer consultas (queries directos) a las bases de datos sin pasar
por la aplicación, si es así, que herramienta y mecanismo utilizan.
CONFIDENCIAL
Requerimiento IX
Restrinja el acceso físico a los datos de tarjetahabiente

Requerimientos 9.1:
Seguridad Física
Limitar y Monitorear el acceso físico

(entrada)
Use cámaras para áreas sensibles

Para sistemas que almacenen,
Controles de (CCTV, Webcams)
procesen o transmitan datos
Acceso físico de tarjetahabiente.
Para cuartos de comunicaciones
123
456
7 8
09
1
42
53
78
09
6
Para access points, gateways, y
dispositivos handheld
CONFIDENCIAL

Seguridad Física
Procedimientos para distinguir entre

visitantes y empleados
Que sean autorizados en la entrada

Gestión de
Visitantes Darles un token físico (que tenga
expiración, y de carácter devolutivo)
Utilice un registro de visitantes

(fines de auditoría)
CONFIDENCIAL
Requerimientos 9.3:
Control de Acceso Físico para personal
en sitio a las áreas sensibles
• Acceso debe ser autorizado y basado en la función del individuo.
• Acceso es revocado inmediatamente al terminar el empleo, y

todas las llaves, tarjetas de acceso y mecanismos de acceso
físico deben ser regresados o deshabilitados.
CONFIDENCIAL

Seguridad Física
Clasifique la información
Asegure todos los documentos
(Confidencial)
físicos o electrónicos
Controle estrictamente la
distribución de documentos Almacene los backups en una
ubicación segura,
preferiblemente externa.
Si Destruye la información,
hágalo siempre de forma segura
(NIST Special Publication 800-88,
DoD 5220.22-M).
Asegure que la gerencia

aprueba todo movimiento de
Mantenga control estricto sobre el acceso a medios de un sitio seguro, y
medios de almacenamiento (inventario…) envíelo con un courier seguro.
CONFIDENCIAL
Requerimientos 9.9:
Proteger de alteración y sustitución
los dispositivos que capturan CHD vía interacción directa con la tarjeta
Examinar políticas y procedimientos documentados

para verificar que estos incluyan:
• Mantenimiento de una lista de dispositivos.
• Inspeccionar periódicamente dispositivos para

buscar manipulaciones o sustituciones.
• Entrenar al personal para que sepan identificar

comportamientos sospechosos y para reportar las
alteraciones o sustituciones de los dispositivos.
CONFIDENCIAL
Requerimiento 9.9:
Suplemento de ayuda al Requerimiento 9.9
CONFIDENCIAL
Requerimiento 9:
1. Planillas/registros de ingreso al datacenter.
2. Mapa de ubicación de los access points.
3. Procedimiento de acceso físico a las instalaciones de la organización (que incluya generación

Tenga listo: de tarjetas, revocación de tarjetas, etc.).
4. Procedimiento de protección de medios físicos (papel, documentos, archivos, medios

removibles, faxes, cartas, etc.).
5. Política de distribución de medios físicos (papel, documentos, etc.)
CONFIDENCIAL
Requerimiento 9:
6. Política/norma de almacenamiento de medios y documentos.
7. Política de destrucción de medios (datos de tarjetahabiente).

Tenga listo:
8. Que mecanismo usan para destruir medios de papel, documentos, etc.
9. Que mecanismos usan para el borrado de datos en medios de almacenamiento obsoletos o

que serán reutilizados.
CONFIDENCIAL
Requerimiento X
Rastree y supervise todo acceso a los recursos de la red y

datos de titulares de tarjeta
Requerimiento 10:
Accountability
1. Log:
Dato recolectado y automáticamente
ALERTA archivado que registra una actividad.
No vea
¡observe! EVENTO 2. Evento:
EVENTO Logs que tienen relevancia en cuanto a
EVENTO seguridad, operación o conformidad
EVENTO
(compliance).
LOG LOG LOG LOG
LOG LOG
LOG LOG LOG LOG 3. Alerta:
LOG
LOG Eventos, o combinación de eventos
LOG LOG LOG LOG
correlacionados, que requieren
Íntegros Oportunos Relevantes Autorizados
notificación y respuesta inmediata.
CONFIDENCIAL
Requerimiento 10.2:
Registre el acceso a datos de Tarjeta habiente
Todo acceso a
Todo acceso logs de Intentos no
de usuario auditoría válidos de
individual acceso lógico
Toda acción Uso de y
realizada por modificación a
usuario con mecanismos de
privilegios identificación y
autenticación
El inicio, pausa
Creación y
y/o apagado
EVENTOS borrado de
de los logs de
objetos a nivel
auditoría AUDITABLES
de sistema.
Establezca un proceso para enlazar todos los accesos a los componentes del sistema a un usuario, de forma individual.
CONFIDENCIAL
Requerimiento 10.3:
Características de los Logs
Lista de campos que un log de auditoría debe tener como mínimo: (Audit trail entries)
• Identificación del usuario.

• Tipo de evento.
• Fecha y hora exacta.
• Indicador de éxito o falla.
• Origen del evento.
• Identidad o nombre de los datos, sistema o recurso afectado
CONFIDENCIAL
Requerimiento 10:
Directivas de Seguridad local
.ORA
*.audit_sys_operations=TRUE
*.audit_trail='OS'
CONFIDENCIAL
Requerimiento 10:
Logs y Accounting en Linux
/etc/syslog.conf
/var/log/secure
/var/log/messages
/var/log/httpd/error_log
/var/log/httpd/access_log
~/.bash_history
/var/run/utmp
/var/log/wtmp
/var/log/btmp
/var/log/lastlog
/var/log/audit/audit.log
CONFIDENCIAL
Requerimiento 10:
Logs de acceso a datos de Tarjetahabiente
El objetivo es tener trazabilidad sobre “Quién” hizo “Qué” y
“Cuándo”, a nivel de sistema operativo, aplicación y red.
Todo Query SQL o transacción que no se haga por medio de la aplicación, se debe registrar.
Los Logs deben estar en

capacidad de:
Facilitar una Alertar sobre actividades Evitar ser alterados Rastrear e identificar
investigación forense sospechosas todas las actividades de los usuarios
en los componentes de sistema.
CONFIDENCIAL
Requerimiento 10.5:
Protección de los Logs
Proteja los logs

de cambios no
autorizados Movimiento
Detección de
Alteración de “inmediato” de logs
LOGs (FIM) a un servidor
centralizado
Registros de las
Limite la Asegure los Logs de tecnologías externas
consulta de logs Auditoría para que no en un servidor de
sean alterados: LAN interna.
CONFIDENCIAL
Requerimiento 10:
¿Qué tan pronto se deben mover los Logs?
Logging Matrix:
¿Cada cuánto cambian? - Con todas las fuentes de Logs identificadas.
¿Qué carga generan tanto en la red como en el servidor? - Ver que Logs se generan y donde se almacenan.
- Ver que es útil.
• Los dispositivos de red soportan syslog, snmp, AAA, y envían sus Logs casi en tiempo real, usualmente menos de 1 minuto.
• Logs basados en Archivos Planos: Generalmente la aplicación no tiene forma de enviarlo a un Servidor Central. Un batch
script o un Agente puede ser usado para mover los Logs. La frecuencia depende de la Aplicación.
• Logs de Auditoría en las bases de Datos: Depende del volumen de Logs y la carga puesta en el servidor. Se pueden mover
cada 5 a 15 minutos.
• Batch Diarios – Una o dos veces al día.
CONFIDENCIAL
Requerimiento 10.4:
Tiempo Sincronizado
Sincronice todos los relojes y
Centralización tiempos de los sistemas
de Logs
Servidor AAA/ Syslog
TACACS+ RADIUS
time.nist.gov
Access Router Switches

Points Firewall
CONFIDENCIAL
Requerimiento 10.6 – 10.7:

Monitoreo y Retención de Logs
Tus LOGs piden atención
¡no los ignores!
Revise logs
diariamente
Retenga los logs por lo

Sincronice todos
menos un año
los relojes de los
(3 meses disponibilidad
Sistemas
inmediata)
Aseguramiento de
Logs de Auditoría
CONFIDENCIAL
Requerimiento 10.6:
Monitoreo de Logs
http://www.securitywarriorconsulting.com/security-incident-log-review-checklist.pdf
https://www.pcisecuritystandards.org/documents/Effective-Daily-Log-Monitoring-Guidance.pdf
CONFIDENCIAL
Requerimiento 10.6:
¿Qué tipo de alertas?
• Nuevas cuentas creadas
• Nuevos privilegios adicionados a una cuenta de usuario
• Cambios en las reglas del firewall
• Múltiples intentos de acceso fallidos
• Falla en la carga del AV
• Malware detectado
• Logs creados o reiniciados
• Recolección de Logs fallida de los componentes de sistema
• Cambios en las cuentas de usuario
• Actividades de usuarios root/administrador
• Revisión de logs periódica de otros componentes de sistema basado en las políticas y estrategia de gestión de
riesgos, como se determinó en la valoración anual de riesgos (10.6.2).
CONFIDENCIAL
Requerimiento 10:
Gestión de Logs
Una Solución Optima SIEM:
• Soporta la recolección y análisis en tiempo real de Logs de Hosts,

dispositivos de seguridad, dispositivos de red. Formato Universal
ALMACENA
• Soporta almacenamiento y reportes a largo plazo (compresión de
RECOLECTA logs): ¿3 meses -1 año?
y ARCHIVA
• Los logs son almacenados de forma segura (10.5)
• Permite reportes y personalización de reportes
REPORTA Y • Se puede configurar alertas (10.6)

ALERTA
• Acepta distintas fuentes y marcas
• Sexy GUI: NO, NIST 800-92

Opensource: Project LASSO, OSSEC, OSSIM • ¿Quién(es) serán los Analistas encargados de la Gestión?
CONFIDENCIAL
Requerimiento 10:
Niveles de madurez en la gestión de Logs
Monitoreo de Logs:
Información de la Seguridad es monitoreada casi en tiempo real
Revisión de Logs:
Logs son recolectados y revisados diariamente
Reportes de Logs:
Logs son recolectados y los reportes son revisados mensualmente
Investigación de Logs:
Logs son recolectados y observados en caso de un incidente
Recolección de Logs:
Logs son recolectados y almacenados, pero son pasados por alto
Ignorancia de los Logs:

Logs nos están activos, no son recolectados o revisados
CONFIDENCIAL
Requerimiento 10:
Requerimiento 10.8
• 10.8, 10.8.1 Nuevo requisito para los proveedores de servicios de detectar e
informar sobre los fallos de los sistemas críticos de control de seguridad.
• Firewalls
• IDS/IPS
• FIM
• Anti-virus
• Physical access control
• Logical access controls
• Audit logging mechanisms
• Segmentation controls (if used)
CONFIDENCIAL
Requerimientos 10:
Tenga listo:
1. Norma de Sincronización de reloj de los componentes de Infraestructura.
2. Procedimiento diario de revisión de Logs de los componentes de infraestructura.
3. Normas / Políticas de retención de registros (logs) de la organización.
4. Mecanismo usado para la centralización de los logs de cada uno de los componentes de sistema.
CONFIDENCIAL
Requerimiento XI
Pruebe con regularidad los sistemas y procesos de seguridad

Requerimiento 11:
Wireless en PCI DSS
No permita que los requerimientos relacionados con redes inalámbricas lo desvíen del cumplimiento.
1.1.2
1.2.3
2.1
2.1.1
4.1
4.1.1
9.1.3
10.5.4
11.1
12.3
12.10.3
12.10.5
CONFIDENCIAL
Requerimiento 11.1:
Wireless en PCI DSS
Al menos trimestralmente, identificar elementos
wireless intrusos utilizando un Wireless Analyzer, ó
Wireless IPS/IDs (en tiempo real), u otro
mecanismo efectivo (Inspección visual, NAC, etc.)
OJO: Una red sin elementos inalámbricos no
significa que el numeral 11.1 No Aplica.
CONFIDENCIAL

Escaneo de Vulnerabilidades
y Pruebas de Intrusión
Proceso por el cual se detectan e identifican vulnerabilidades

ESCANEO DE en los componentes de sistemas. Desde fuera de la red de la
VULNERABILIDADES organización e internamente.
PRUEBAS DE Intrusión Pruebas que intentan explotar las vulnerabilidades o

componentes “mal” configurados, para determinar si accesos
no autorizados u otras actividades maliciosas son posibles.
Desde fuera de la red de la organización e internamente.
Network-layer penetration tests Application-layer penetration tests
CONFIDENCIAL

Escaneo de Vulnerabilidades
Se recomienda para el scan interno hacerlo

Trusted Scanning/Authenticated Scanning.
Los ASV tiene prohibido hacer Trusted

Scanning/Authenticated Scanning.
CONFIDENCIAL

Frameworks en torno a la
Gestión de Vulnerabilidades
Se refiere a la base de datos de NIST de las vulnerabilidades

conocidas y detalles de las mismas.
Se refiere a una lista libre y pública de identificadores

estandarizados para las exposiciones y vulnerabilidades communes.
Vulnerabilidades severidad “Baja” si el CVSS score es de 0.0 - 3.9. PASS SCAN

Vulnerabilidades severidad “Media” si el CVSS score es de 4.0 - 6.9. FAIL SCAN
Vulnerabilidades severidad “Alta” si el CVSS score es de 7.0 10.0 FAILSCAN
CONFIDENCIAL
Requerimiento 11:
Niveles CVSS
CONFIDENCIAL
Requerimiento 11:
ASVs (Approved Scanning Vendor)
Organizaciones certificadas por el PCI SSC para ejecutar scan de vulnerabilidades externos,
en cumplimiento con los requisitos de la norma PCI DSS.
• La empresa ASV utiliza un set de servicios y herramientas

de seguridad (―ASV scan solution) para validar los
requerimientos de escanning externo de vulnerabilidades.
• La ASV scan solution es probada y aprobada por PCI SSC

antes de que la empresa ASV sea adicionada a List of
Approved Scanning Vendors.
CONFIDENCIAL
Requerimiento 11:
ASVs (Approved Scanning Vendor)
Una ASV debe garantizar:

No impactar la operación normal del cliente.
No penetrar o alterar el ambiente del cliente.
No está permitido:
Denial of service (DoS)
Buffer overflow exploit
Brute-force attack resulting in a password lockout
Uso excesivo de ancho de banda
https://www.pcisecuritystandards.org/pdfs/asv_report.html
CONFIDENCIAL
Requerimiento 11:
Consideraciones sobre el ASV
• Determinar versión de Sistema Operativo, si son versiones que ya no tienen soporte, el escan se considera fallido.
• Las ASVs deben retener reportes por 2 años.
• Tener en cuenta IDS/IPS y balanceadores de carga, para que no afecten el resultado del escan externo.
• Coordinar con el ISP y/o Hosting Provider.
• La solución de escanning del ASV debe ser capaz de detectar accesos abiertos a bases de datos desde el Internet.
• La solución de escan del ASV debe detectar y reportare validez, autenticidad y fecha de expiración del certificado
digital del sitio web.
• Todas las IPs externas y FQDN (Dominios). Resultados fallidos en un Scan de Vulnerabilidades
externo pueden ser indicador de que Otros
requerimientos de PCI DSS no están implementados
CONFIDENCIAL
Requerimiento 11:
Informe / Reporte de Test de Vulnerabilidades
El reporte de los escaneos debe basarse en prácticas de industria y como mínimo debe incluir para cada
vulnerabilidad encontrada, lo siguiente:
• Nombre de la vulnerabilidad.
• Número de Referencia de Industria, ya sea CVE, CAN o Bugtraq ID.
• Nivel de severidad basado en el Common Vulnerability Scoring System (CVSS), http://www.first.org/cvss
• Explicación completa de la vulnerabilidad.
• Solución o mitigación.
• Referencias a las compañías/organizaciones que proveen las solución para la vulnerabilidad (si está disponible).
• Para cada dirección IP, un plan de mitigación/solución consolidado.
CONFIDENCIAL
Requerimiento 11:
Ejemplos de herramientas de
Análisis de Vulnerabilidades
CONFIDENCIAL
Requerimiento 11:
Recomendaciones / Test de Vulnerabilidades
Cambios temporales pueden necesitarse, para remover interferencias que

afecten los resultados del scan de vulnerabilidades externo.
Si el escan no puede detectar vulnerabilidades en los sistemas de cara a Internet (públicos) debido a que es bloqueado
por un IDS/IPS, estas vulnerabilidades permanecerán sin corrección y pueden ser explotadas si el IDS/IPS cambia o falla.
• Acordar un tiempo para minimizar los cambios de configuración en los IPS/IDS.

• Llevar a cabo el escan durante ventanas de mantenimiento, y bajo monitoreo.
• Re-aplicar las configuraciones tan pronto el escan finalice.
CONFIDENCIAL
Requerimiento 11.3:
Test de Intrusión Para verificar que la segmentación sigue siendo efectiva y está operando, y se mantiene
el aislamiento de sistemas fuera del alcance.
11.3 Implementar una metodología para pruebas de

intrusión que incluya lo siguiente:
• Basada en enfoques de industria (por ejemplo, NIST SP800-115).
• Que cubra el perímetro completo del CDE y los sistemas críticos.
• Incluya pruebas tanto desde adentro como afuera de la red.
• Incluya pruebas para validar cualquier segmentación y controles
de reducción de alcance.
• Defina las pruebas de penetración a la capa de aplicación, como
mínimo las vulnerabilidades del requerimiento 6.5.
* 11.3.4.1 Si se utiliza la segmentación, confirme el alcance de la PCI DSS al realizar pruebas de penetración en los controles de
Services providers segmentación al menos cada seis meses. Verificar personal calificado. 11.3.4.c
CONFIDENCIAL
Requerimiento 11.3:
Metodologías de PEN Testing
CONFIDENCIAL
Requerimiento 11.3:
Tips: Test de Intrusión
Profesional Calificado intentará probar los controles de seguridad en Red y Aplicaciones
Intentará obtener niveles de acceso no autorizados y acceder a datos sensibles
La Organización debe preguntarse lo siguiente antes de contratar un servicio de Pen Testing:
• ¿Estamos tratando de defendernos de Atacantes con pocas habilidades quienes son capaces de descargar y ejecutar un
Scanner de Vulnerabilidades contra nosotros?
• ¿Estamos tratando de defendernos contra atacantes inteligentes, con herramientas avanzadas, habilidades y mucho
tiempo, quienes hábilmente pueden explotar una serie de vulnerabilidades y obtener acceso a nuestros datos sensibles?
Vs.
CONFIDENCIAL

Cambios Significativos
El requerimiento 11.2 y 11.3 pide “pruebas” después de cambios significativos
• Nuevas instalaciones de componentes de sistema (nuevos sistemas, nuevos servidores, nuevas aplicaciones).
• Cambios en la topología de red (especialmente nuevos caminos entre el CDE y el mundo externo, Internet).
• Modificación de reglas en el firewall (especialmente reglas adicionales que permiten tráfico a o desde el CDE.
• Actualización de productos.
CONFIDENCIAL
Requerimiento 11.4:
IPS o IDS
• Usar Sistemas de Detección/Prevención de Intrusos.
• Eventos sospechosos que pueden ser síntomas de un compromiso exitoso incluyen:

Inesperada Transmisión de salida de datos sensibles y datos de tarjetahabiente.
Conexiones de red originándose desde sistemas críticos internos que normalmente no se comunican con
redes externas.
• Alertar al personal sobre posibles compromisos.

Mantener todos los motores de los sistemas de detección o prevención de intrusos actualizados.
¿Cuál es la mejor ubicación del IDS/IPS?
¿Se refieren a HIPS/HIDS o NIDS/NIPS ?
CONFIDENCIAL
Requerimiento 11.5:
Mecanismos de detección de cambios
(ej. FIM – FILE INTEGRITY MONITORING)
• Para detectar actividades causadas por malware, packet sniffers o rootkits.

• Detectar nuevos archivos en directorios de sistema, archivos borrados, modificaciones de archivos.
• Modificaciones a permisos / ACL.
• Cambios de User ID del Propietario, group ID del propietario.
• Tipo de archivo y directorio, tamaño.
• Cambios en las marcas de tiempo de acceso, creación, escritura.
• Valores y llaves del Registro.
• Flags: archivos comprimidos, ocultos, fuera de línea, del sistema, etc.
CONFIDENCIAL
Requerimiento 11.5:
FIM: File Integrity Monitoring
AIDE (Advanced Intrusion Detection Environment)

file & directory integrity checker.
Hashes de cientos de aplicaciones y

docenas de sistemas operativos
CONFIDENCIAL
Requerimiento 11.5:
C:\WINDOWS\explorer.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\vmmreg32.dll
C:\WINDOWS\winhelp.exe
C:\boot.ini
C:\ntldr
C:\WINDOWS\system
C:\WINDOWS\system32
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Ejemplos de
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters Archivos/Directorios/Registros a
Monitorear en Windows 2008.
CONFIDENCIAL
Requerimiento 11.5:
/.profile
/.ssh/known_hosts
/bin
/etc Ejemplos de Archivos a
/sbin Monitorear en AIX 5.3
/lib
/usr/ccs/lib
/usr/lpp/X11/lib
AUTL
MODULE
MSGF
PGM Ejemplos de
USRSPC Extensiones/Archivos a
/QSYS.LIB/QAFP.LIB Monitorear en AS/400
/QSYS.LIB/QDEVTOOLS.LIB
/QSYS.LIB/QCCA.LIB
/QSYS.LIB/QSYSINC.LIB
CONFIDENCIAL
Requerimiento 11.5:
Ejemplos de Directorios a
C:\Program Files\Microsoft SQL Server Monitorear en SQL 2008
y SQL 2012
/u01/app/oracle/product/10.2.0/network/admin/tnsnames.ora
Ejemplos de Archivos/Directorios a
/u01/app/oracle/product/10.2.0/srvm/admin/init.ora
/u01/app/oracle/oradata/orcl Monitorear en Oracle bajo Solaris
CONFIDENCIAL
Requerimiento 11 :
Tenga listo:
1. Procedimiento de manejo de incidentes.
2. Mecanismo de detección o prevención de elementos inalámbricos no Autorizados.
3. Procedimiento de escaneo de vulnerabilidades de la organización y procedimiento de Ethical Hacking.
4. Resultados de los últimos 4 escaneos trimestrales de vulnerabilidades (internos y externos).
5. Resultados de escaneos de vulnerabilidades ejecutados cuando hubo cambios en la red y en las aplicaciones.
6. Resultados del último test de penetración.
7. Mecanismo de IDS/IPS a nivel de red, usado en la organización.
8. Software utilizado en la organización para el Monitoreo de Integridad de Archivos (FIM).
CONFIDENCIAL
Requerimiento XII
Mantener una política que contemple la seguridad de la información

para Todo el Personal
Requerimiento 12:
Sub - Requerimientos
Individuo o
Política de Responsabilidades
Políticas Equipo de
Seguridad De Seguridad
De Uso Aceptable Seguridad de
de la Información de la Información
la Información *12.4.1: Asignación formal
programa PCI
*12.11: Revisión trimestral de
Programa de
Procedimiento de Procedimiento aplicación de políticas y
Concienciación Plan de Respuesta
Selección de para procedimientos. Revisión de
de Seguridad a Incidentes
Personal Gestionar Terceros informes de gestión del programa.
de la Información
CONFIDENCIAL
Requerimiento 12.2:
Valoración formal de Riesgos
Es importante que las organizaciones comprendan que una Protección de Datos completa requiere tecnologías
y procesos que se extienden más allá de los requerimientos planteados por PCI DSS
Al menos anualmente o tras cambios significativos

en el ambiente (fusiones, reubicación, etc):
• ACTIVOS DE INFORMACION
(Componentes de Sistema dentro del CDE)
• AMENAZAS
• VULNERABILIDADES
EXISTEN VARIAS METODOLOGIAS, ¿CUÁLES?
CONFIDENCIAL
Requerimiento 12.3:
Políticas de uso
Es necesario identificar y establecer políticas de uso para las tecnologías criticas
USO DE INTERNET. USO DE CORREO ELECTRONICO, ACCESO REMOTO, LAPTOPS, DISPOSITIVOS EXTRAIBLES, entre otros
• Autorización explicita de uso.

• Uso Aceptable de tecnologias criticas
• Listado de usuarios
• Mecanismo de etiquetado
• Acceso Remoto
CONFIDENCIAL

Responsabilidades de Seguridad de Información
Asegure que las políticas y procedimientos definen claramente responsabilidades en seguridad
de la información para empleados y contratistas.
• Establecer, documentar y distribuir políticas y procedimientos

• “Monitorear” y analizar alertas de seguridad y distribuirlas
• Plan de Respuesta a Incidentes
• Administrar la Gestión de usuarios
• “Monitorear” y controlar el acceso a los datos.
• La gerencia ejecutiva deberá establecer :
- Responsabilidad general de mantener el cumplimiento de la PCI DSS.
Equipo de Seguridad de
la Información
- Definir un estatuto para el programa de cumplimiento de la PCI DSS y
la comunicación a la gerencia ejecutiva
CONFIDENCIAL
Requerimientos 12.6:
Programa de concienciación de Seguridad
Programa de Personas, como la primer
Concientización línea de Defensa
Objetivo Tenga en cuenta
Que todos los empleados Capacite al contratar, y por Solicite confirmación de

conozcan la importancia de la lo menos una vez al año. lectura y entendimiento de
seguridad de la información. políticas y procedimientos.
Que sepan cómo aportan a la Mida la eficacia de las
seguridad de la información. capacitaciones.
CONFIDENCIAL
Programa de concienciación de Seguridad
Un Refuerzo continuo en conceptos y prácticas de seguridad para todos los usuarios debería tener lo siguiente:
• Identificar el alcance del programa.

• Seleccionar entrenadores.
• Identificar grupos de usuarios a recibir el entrenamiento.
• Motivar una completa participación.
• Continuamente administrar, mantener y evaluar el programa.
*****Awareness, Training, Education
CONFIDENCIAL
Requerimientos 12:
Temas comunes en campañas de concienciación
• Vigile el Fax.
• Envío de email de forma segura. Cifre primero, o no envíe nada.
• Haga copias cuidadosamente. Uso de la impresora y fotocopiadora.
• Utilice la máquina destructora de papel (shredder).
• Deje mensajes de voz discretos.
• Proteja su ID de la oficina. Como si fuera su propia tarjeta o dinero en efectivo.
• Evite tratar temas sensibles en público. Nunca se sabe quien está escuchando.
• Identifique extraños. Gestión de visitantes.
• Cuidado con lo que está en pantalla. Sólo para tus ojos
• Tenga cuidado con sus documentos. (Política de escritorio limpio).
• Evite tratar temas sensibles por Teléfono.
CONFIDENCIAL
Requerimiento 12:
Security Mindset
Convencer a las personas que la Seguridad es importante
Disipar malos conceptos e ideas de la seguridad
Fundamentos de Seguridad
Proveer acciones que el personal puede realizar en su día a día
El mejor sistema de Detección de Intrusos son los empleados
CONFIDENCIAL
Datos de tarjeta habiente
compartidos con terceros
Tengo que hacerles

Seguimiento sobre el
cumplimiento de PCI
¿Mis Proveedores protegerán la
información de la forma en que mi
organización la trata?
• Las organizaciones son responsables si la seguridad de sus terceros falla.

• Cuando los terceros son extensiones de las operaciones de la organización. El riesgo permanece en la organización.
• Organizaciones deben validar el cumplimiento de los terceros, como si fueran parte de la entidad.
• Capacidad, compromiso y trazabilidad del cumplimiento de los terceros con los mandatos de seguridad.
CONFIDENCIAL
Requerimientos 12:
Más sobre Proveedores de Servicio
Grupo 1: Grupo 2:
Aquel que almacena, procesa o Aquel que gestiona
transmite datos de tarjetahabiente (en componentes como routers,
nombre de la entidad y/o para cumplir firewalls, bases de datos, y/o
con un servicio adicional). servidores.
Cualquiera de ellos podría impactar la seguridad de los datos detarjetahabiente, y podría impactar el logro
de la certificación.
Estos proveedores pueden emprender su propia evaluación PCI DSS, o será necesario ser revisados durante
el curso de la evaluación propia de la entidad.
CONFIDENCIAL
Requerimientos 12:
A tener en cuenta con Proveedores
• La organización que usa servicios de Hosting, debe tener certeza que la evaluación PCI DSS de su proveedor es
suficiente, y que todos los controles relevantes al ambiente de la organización han sido evaluados.
• El Proveedor debe estar preparado para entregarle a sus clientes evidencia suficiente y rigurosa que indique
claramente que los componentes bajo su control están cumpliendo PCI DSS.
• Determinar cuáles controles siguen siendo responsabilidad del cliente.
• Como con cualquier servicio gestionado, es crucial que la entidad hosteada y el proveedor claramente definan y
documenten las responsabilidades asignadas a cada parte para mantener los requerimientos de la norma PCI DSS.
CONFIDENCIAL
PCI DSS en la Nube
CONFIDENCIAL
Seguimiento a Terceros
Al menos una vez al año, se deberá revisar la lista de proveedores de servicio y hacer el seguimiento para
verificar el cumplimiento de la norma PCI DSS. Tener en cuenta y usar a discreción la siguiente plantilla.
Nombre del Descripción del Fecha de inicio Cantidad de Datos de Fecha en la que se Área, entidad o
Proveedor de Proveedor de y finalización Tarjetahabiente que accede, realizó el último persona
Servicio Servicio de contrato procesa o recibe (para determinar seguimiento del estado responsable del
nivel de riesgo y prioridad) de cumplimiento PCI seguimiento PCI
CONFIDENCIAL
A tener en cuenta con Proveedores
• Mantener información sobre cuales requerimientos PCI DSS son gestionados por cada proveedor de
servicio, y cuales son gestionados por la entidad.
12.9 Requerimiento adicional para los proveedores de servicio:

Los proveedores de servicio reconocen por escrito a sus clientes, que ellos
son responsables por la seguridad de los datos de tarjetahabiente que el
proveedor posee, o almacena, procesa o transmite en nombre del cliente,
o al grado en que ellos puedan impactar la seguridad del CDE del cliente
(Alineado con 12.8.2).
CONFIDENCIAL
Incidentes: Cuando lo peor ha sucedido
Los Incidentes de seguridad son un evento simple
o una serie de eventos inesperados e indeseados,
que van contra la seguridad de la información.
Van en contra del CDE
Entre más pronto se reporte un compromiso, más

pronto se cierra la ventana de oportunidad de
fraude y se limita la exposición.
¿A quién
reportar el
Incidente?
CONFIDENCIAL
Requerimientos 12:
Plan de respuesta a Incidentes
• Preparación: Lograr que el entorno organizacional y su personal esté listo para
1 manejar incidentes
• Identificación: Detectar desviaciones de las situaciones normales, y detectar daños o

2 intentos de daños que comprometen la seguridad y las operaciones de la organización
• Contención: Actividades para detener el incidente

3
• Erradicación: Actividades para la remoción o correcciones que permitieron la
4 manifestación del incidente
• Recuperación: Actividades para que la organización y sus componentes vuelvan a la

5 normalidad de manera controlada
• Lecciones Aprendidas: Actividades para determinar y analizar lo sucedido, y evitar su

6 re ocurrencia
CONFIDENCIAL
Requerimientos 12:
Plan de respuesta a Incidentes
Ataque Inicial a
Compromiso Inicial
Compromiso Inicial a
Exfiltración de Datos
Compromiso Inicial
al Descubrimiento
Descubrimiento a la
Contención/Restauración
CONFIDENCIAL
Requerimientos 12:
Señales de un Incidente, sospechemos de:
• Intentos de inicio de sesión fallidos.
• Modificación o borrado de datos sin explicación.
• Presencia de direcciones IP desconocidas en las redes.
• Servicios inesperados y desconocidos configurados para que se activen automáticamente en el proceso de boot.
• Intentos de SQL Injection en los servidores web.
• Nuevas cuentas de usuario creadas de forma inexplicable.
• Presencia de archivos zip, rar, tar, u otros tipos de archivos comprimidos que contienen datos de tarjetahabiente.
• Sistemas reiniciándose o apagándose por razones desconocidas.
• Presencia de Rootkits, los cuales ocultan ciertos archivos y procesos.
• Actividades en los sistemas, en horas no laborales.
CONFIDENCIAL
Requerimientos 12:
Señales de un Incidente, sospechemos de:
• Conexiones desde terceros hacia el CDE sin previa autorización o consentimiento (ticket).
• Programa AV en mal funcionamiento o se deshabilita por razones desconocidas.
• Archivos, software y dispositivos desconocidos instalados sobre los sistemas.
• Modificaciones en los Logs de eventos de autenticación (ej. eventos de logs sin explicación están siendo borrados).
• Tráfico desconocido o inesperado saliendo hacia Internet desde el CDE.
CONFIDENCIAL
Requerimientos 12:
¿Quién descubre los Incidentes?
• De acuerdo a los Reportes (de VERIZON), el 70% de las brechas son descubiertas por terceros.
• Por las Marcas de Tarjetas de Pago.
• Por las Fuerzas de la Ley.
13% Descubiertas por empleados internos durante actividades normales.

11% descubiertas durante resolución de fallos.
6% durante monitoreo o análisis de Logs.
2% durante auditorías internas de rutina.
2% debido a emails de extorsión.
CONFIDENCIAL
Requerimientos 12:
Una Entidad comprometida debe:
Contener y limitar la exposición inmediatamente.
Notificar a las Partes Necesarias inmediatamente (Adquirente, Banco, Marca).
Notificar a las autoridades competentes.
Trabajar en conjunto con la marca en la investigación forense, y en

reportar y bloquear las cuentas comprometidas.
Provea un reporte del incidente y las cuentas comprometidas a su banco

adquiriente y a las marcas.
CONFIDENCIAL
• 12.11, 12.11.1 requerimiento para los proveedores de servicios

para llevar a cabo una revisión al menos cada trimestre, para
confirmar el personal aplique políticas de seguridad y procedimientos
operacionales.
CONFIDENCIAL
Requerimientos 12:
Tenga listo:
1. Procedimiento o marco de evaluación de riesgos de activos de información.
2. Políticas de uso aceptable (email, Internet, uso de medios removibles, marcación de equipos,
acceso remoto, etc.)
3. Política de gestión o coordinación de la seguridad de la información.
4. Procedimiento de respuesta a incidentes de seguridad (Registro de Incidentes, Pruebas al Plan).
5. Procedimiento de creación, borrado y desvinculación de usuarios de la organización.
CONFIDENCIAL
Anexo A
• Anexo A Anexo A1 Renumerado Anexo “Additional PCI DSS
Requirements for Shared Hosting Providers” Debido a la inclusion de
nuevos Anexos.
Anexo A
• Anexo A2 Nuevo Anexo con requisitos adicionales para entidades
que utilicen SSL / versiones obsoletas de TLS, incorporando nuevos
plazos de migración para la eliminación de SSL / versiones obsoletas
de TLS.
Anexo A
• Anexo A3 Nuevo Anexo para incorporar la "Validación
Complementaria de Entidades Designadas" (DESV), que
anteriormente era un documento separado.
Requerimientos 12:
Tenga listo:
6. Procedimiento o Planes de campañas de concientización en seguridad de la información

(anual e inducción).
7. Listado de personas que ingresaron el último año a la organización (para validar si fueron
sensibilizadas en temas de seguridad cuando recibieron la inducción).
8. Procedimiento de selección de personal en la organización.
9. Procedimiento de contratación y manejo de proveedores.
10. Registros de auditorías o seguimientos hechos a los proveedores de servicio.
CONFIDENCIAL
Requerimientos de la Política de
Seguridad de la Información
CONFIDENCIAL
Módulo IV: Requerimientos de la Política de Seguridad de la Información
Requerimientos de documentación PCI DSS

• La mejor forma de estar preparado para lo inevitable es documentar sus prácticas.
• La documentación es fácil de ignorar, cuesta y a nadie le gusta hacerla (¡la cruda verdad!).
• Debería ser tratada con el mismo cuidado que la documentación de impuestos,

pólizas de seguros y la documentación crítica de la organización.
• La documentación tiene un ciclo de vida.
Ciclo de vida típico:

Borrador, Revisión, Aprobación,
Divulgación, Seguimiento y Actualización.
CONFIDENCIAL
Política de seguridad de la Información:

Aborda todos los requerimientos PCI DSS
Seguridad Seguridad en Seguridad en Seguridad de Continuidad
Framework de Mejores prácticas en
física personas datos. TI. de Negocio.

Seguridad (PCI, 27001, etc.)
Acceso a las Personal Secretos de Redes Procedimientos y
Compromiso de la Gerencia
instalaciones permanente mercado Documentación.
Sitios
Activos físicos Empleados Datos de remotos. Plan de
(genérico) de terceros empleados Respuesta a
Usuarios Emergencias.
Hardware de TI remotos.
(Centro de Socios Bases de datos Planes de
Cómputo) Continuidad
Seguridad en de Negocio.
Datos de los Aplicaciones
Visitantes
clientes. Planes de
Sitio Web. Recuperación de
Seguridad en Datos de Desastres.
eventos Tarjetahabiente Evaluación
especiales Intranet. Formal de
Riesgos
Tip: Las Políticas de Seguridad no necesitan imitar la numeración de cada requerimiento de PCI DSS,
aunque dicha numeración puede simplificar su creación.
CONFIDENCIAL
Pirámide Documental
Políticas
Normas
Estándares
Procedimientos
Guías de Configuración
Registros
CONFIDENCIAL
Requerimientos que necesita una política escrita

(muestra)
9.8
Política de Seguridad de la Información
8.1
8.4
8.5.b
9.6
9.7 12.10
CONFIDENCIAL
Las Normas…
Las normas siguen la misma estructura de las políticas, pero especifican lo
que se debe hacer (en términos generales) para cumplir con las políticas.
Ejemplo: Normas que soportan la política de “Control de Acceso a Datos”.
CONFIDENCIAL
Los Estándares…
Las normas y los estándares son como las “leyes” de la Seguridad de

la Información. Es la base de lo que se audita.
CONFIDENCIAL
Los Procedimientos…
Las procedimientos indican claramente las acciones a seguir y los responsables (roles).
CONFIDENCIAL
Las Guías de Configuración…
Todo dispositivo o sistema que haga parte del alcance PCI, debe tener
una guía de configuración y aseguramiento basado en las mejores
prácticas de seguridad de la información (Hardening).
CONFIDENCIAL
Registros…
CONFIDENCIAL
Buenas Prácticas respecto a la

implementación de Políticas y Procedimientos
• La dirección (gerencia) debe asegurarse que las políticas son aprobadas, distribuidas y usadas.
• Las políticas y procedimientos son revisados regularmente y actualizados (al menos una vez al año).
• Políticas y procedimientos escritos en forma clara, concisa y de forma amigable al usuario.
• La dirección (gerencia) debe proveer entrenamiento y concientización en el uso de políticas y procedimientos.
• Tener y usar un sistema de documentación electrónica, controlar las versiones de los documentos.
CONFIDENCIAL
Controles Compensatorios
Solo Organizaciones que han desempeñado una

Evaluación de Riesgos formal y tienen
limitaciones/restricciones tecnológicas ó de negocio
“legítimas” pueden considerar el uso de controles
compensatorios para alcanzar cumplimiento.
CONFIDENCIAL
Consideraciones sobre los

• Los controles compensatorios NO son un atajo hacia el cumplimiento.
• De hecho, la mayoría de controles compensatorios son mas difíciles de implementar

y pueden costar más a largo plazo que implementar el control original PCI DSS.
• Buenos Controles Compensatorios son el resultado entre “ciencia y arte”.
• No hay garantía que un control compensatorio aceptado hoy, sea igual de efectivo
dentro de un año. Surgen nuevas amenazas.
CONFIDENCIAL
Consideraciones sobre los

• Cumplir el propósito y rigor del requerimiento original.
• Mitigar suficientemente el riesgo para el que el requerimiento

original fue diseñado.
Los Controles
Compensatorios • Estar por encima de otros requerimientos de PCI DSS:
deben: requerimientos existentes pueden ser combinados con nuevos
controles para llegar a ser control compensatorio.
• Ser proporcional con el riesgo adicional que puede surgir por no

cumplir con el requerimiento original (Risk Assessment: anual).
CONFIDENCIAL
Pueden ser
PERMANENTES
Reevaluados anualmente para
TEMPORALES
determinar su efectividad en el
Mientras dure la restricción.
tiempo, a la luz de la evolución de las
amenazas o de cambios en el entorno.
CONFIDENCIAL
Ejemplos de Restricciones
4.1.1 – No hay presupuesto para actualizar a WPA o WPA2.
6.2 – No es factible instalar Parches de seguridad en 30 días.
8.2.3 – Sistemas antiguos no aceptan contraseñas de 7 o más caracteres y no aceptan contraseñas alfanuméricas.
2.3 – Los componentes de sistema no soportan SSH.
12.2 – No tenemos tiempo para hacer políticas y divulgarlas.
6.3 – No hay presupuesto ni personal para ambientes separados de desarrollo, pruebas y producción.
CONFIDENCIAL
Hoja de Trabajo Controles Compensatorios
1. Limitaciones/Restricciones.
2. Objetivo (del control original).

3. Riesgo identificado (identificar riesgos adicionales por la falta del control original).
4. Definición del Control Compensatorio.
5. Validación del Control compensatorio (como el control fue validado y probado).
6. Mantenimiento (procedimientos para mantener el control compensatorio).
CONFIDENCIAL
Nuevas tecnologías como

• DAM -> DAP
• DLP
• Autenticación de dos factores interna
• 802.1x
• NAP/C
• Secuware (SSF) (Circuitos Cerrados de Información)
• Identity Management (IAM) -> IAG
• Right Management
• DataBase Firewalls
• WAF internos
• Next-Generation Firewalls
• Anti-Screen Capturing, Anti Keylogging, Secure Environment (K7 Secure Web)
• Activity monitoring for privileged access (Shell Control Box (SCB) www.balabit.com)
• Virtual Patching
CONFIDENCIAL
Un Proyecto para alcanzar
cumplimiento
CONFIDENCIAL
Módulo V: Un Proyecto para alcanzar cumplimiento
PHVA
PLANEAR HACER VERIFICAR ACTUAR
Levantar y Documentar Flujos de Implementar plan de acción Evaluación de PCI DSS Asegurar sostenibilidad del
información de Tarjeta Habiente Cumplimiento de PCI DSS
Asignación de recursos Sistema de Gestión de
Descubrimiento de datos Seguridad de la Información
de tarjeta Habiente Implementar Controles para los Procesos de
Información de tarjeta habiente
Definición de Alcance Implementar Procesos y ISO 27000
Procedimientos
Valoración de Riesgos
Ambiente de tarjeta Habiente
GAP PCI DSS
Identificación de Vulnerabilidades
de red, Aplicación
Plan de acción
Entrenar al personal
CONFIDENCIAL
Objetivos del GAP Análisis
Evaluar el estado actual de la Organización frente

al requerido por la Norma PCI DSS.
Conocer el nivel actual de cumplimiento.
Determinar el nivel de recursos que pueden ser

requeridos y los periodos (tiempos-plazos) para
completar el proceso de cumplimiento.
CONFIDENCIAL
Actividades a Realizar
1.
Observación de sistemas y sus configuraciones
o archivos de configuración. 4.
2. Observaciones, procesos, acciones o estado
Revisión de documentación y registros.

5.
3. Muestreo
Conversaciones / Entrevistas
CONFIDENCIAL
ROC Reporting Instructions
Fuente: https://www.pcisecuritystandards.org/documents/PCI_DSS_2.0_ROC_Reporting_Instructions.pdf
CONFIDENCIAL
GAP Análisis: Aproximación
R ¿Se ha definido la persona Responsable del control?
I ¿Se ha Implementado efectivamente el control?

Para cada control
¿Se han Documentado apropiadamente las políticas
D y procedimientos que soporten el control?
¿Hay disponible Evidencia efectiva sobre la

E implementación del control?
CONFIDENCIAL
Definir Responsables
• Seguridad de la información.
• Operadores y Administradores de IT:
• Administradores de aplicaciones.
• Administradores de Bases de Datos.
• Administradores de S.O.
• Administrador de componentes de redes y seguridad informática.
• Encargado del servidor de sincronización de hora.
• Encargado del test de vulnerabilidades.
• Encargado de archivo y gestión documental.
• Encargado de los backups.
• Administrador Data Center.
CONFIDENCIAL
Definir Responsables
• Seguridad Física.
• Área de calidad y RRHH (para el tema de roles y responsabilidades

en los contratos, en las cartas de definición de cargos, etc) y para
el tema de creación y eliminación de cuentas de usuario.
• Usuarios finales en sitio (área de medios de pago, tesorería,

contabilidad, mercadeo, cajeros, revisores de ventas, etc).
CONFIDENCIAL
Implementación PCI DSS
• Recomendaciones, marcos de tiempo y los recursos requeridos para

Lo resultados y las cumplir con los requerimientos PCI.
recomendaciones se
capturan en un plan de • Un cronograma de trabajo con Esfuerzo, Tiempo, e Hitos.
mejora que debe incluir:
• Cualquier área donde se puedan implementar controles compensatorios.
El plan de remediación normalmente resulta en un número de “work streams”

que representan el agrupamiento lógico de categorías de controles.
CONFIDENCIAL
Implementación PCI DSS
Plazo estimado de la implementación:

• Depende de la estrategia de la organización.
• Depende de los proyectos existentes en seguridad.
• Solo por cumplir, ya que me lo exigen.

• Porque hay conciencia en seguridad y está alineado con los objetivos de la organización.
CONFIDENCIAL
Cronograma General PCI
Una vez los cambios se hayan efectuado, la organización puede

ser sometida a la Evaluación de cumplimiento por un QSA
CONFIDENCIAL
Gestión de Proyecto PCI
• Business Case.
• Determinar los interesados, impactados, involucrados (Participantes clave- PCI Team).
• Obtener apoyo de la dirección.
• Presupuestar tiempo y demás recursos.
• Establecer Hitos (Enfoque Priorizado).
• Educar al personal.
• Determinar cuales controles se pueden establecer con recurso interno, y cuales se

requiere el apoyo de Proveedores.
CONFIDENCIAL
Evaluando soluciones de Remediación
• Efectividad
Cuando esté buscando • Costo
productos y servicios para
• Tiempo de Instalación
estar en cumplimiento,
considere: • Tiempo de Mantenimiento
• “Transparencia”
CONFIDENCIAL
Planes de Acción (Enfoque Priorizado)

• Ofrece una guía sobre cómo enfocar los esfuerzos de implementación en una forma
que acelere la seguridad de los Datos de Tarjetahabiente.
• El Enfoque Priorizado no provee atajos ni trucos para alcanzar PCI DSS

Compliance.
Ayuda a las organizaciones a identificar

riesgos altos, crear un lenguaje común
en torno a la implementación de PCI DSS,
provee una ruta organizada de
implementación, soporta la planeación,
promueve indicadores de progreso.
CONFIDENCIAL
Enfoque Priorizado
6 HITOS
CONFIDENCIAL
Evaluación en SITIO
Certificado con validez anual

• Es una evaluación detallada de PCI DSS.
• Metodología Aplicada: Security Assessment Procedures.
• Cubre todos los sistemas y comunicaciones que almacenan,

procesan o transmiten información de los tarjeta habientes.
• El resultado es un reporte de cumplimiento (ROC) para ser

enviado al Banco, Entidad Adquirente o Marca de tarjeta.
CONFIDENCIAL
Cumplimiento de PCI DSS
CONFIDENCIAL
Módulo VI: Cumplimiento de PCI DSS
Clasificación de comercios
por parte de las marcas
CONFIDENCIAL
CONFIDENCIAL
CONFIDENCIAL
Validación de Requerimientos
Comercios 1 y 2
CONFIDENCIAL
Comercios 1 y 2
CONFIDENCIAL
Comercios 3 y 4
CONFIDENCIAL
Adquirentes - Comercios
• Puede parecer injusta la norma a los comercios, pues se está en el negocio para vender mercancía, no para
ser expertos en seguridad.
• Aunque los comercios de Nivel 4 manejan pocas transacciones comparados con los otros niveles, ellos son
cerca del 99 % de los comercios.
• Consecuentemente, compromisos de datos de tarjetahabiente afectan a comercios de nivel 4 con mayor

frecuencia que los otros niveles combinados.
• Adquirentes deben clasificar sus comercios, basados en las tablas que emiten las marcas, pero pueden tener
en cuenta criterios locales adicionales.
CONFIDENCIAL
Cuestionarios de Autoevaluación SAQ
• Herramienta de validación cuya misión es asistir a los comercios y proveedores de

servicio en auto evaluar su cumplimiento con PCI DSS.
Para aquellos que no les exigen un ROC.
• El SAQ puede ser solicitado por una marca o entidad adquirente.
Responda SI, solamente cuando:
Usted hace las cosas a las que el SAQ se refiere.

Puede demostrarlo (Mantiene evidencia que las cosas son realizadas).
CONFIDENCIAL
Cuestionarios de Autoevaluación SAQ

• Múltiples versiones del SAQ que se adaptan a distintos escenarios (Flexibilidad).
CONFIDENCIAL
Tipos de SAQ
SAQ A: 14 Preguntas + Confirmación de cumplimiento.
SAQ A-EP 153 Preguntas + Confirmación de cumplimiento.
SAQ B: 50 Preguntas + Confirmación de cumplimiento.
SAQ B-IP: 96 Preguntas + Confirmación de cumplimiento.
SAQ C-VT: 83 Preguntas + Confirmación de cumplimiento.
SAQ C: 153 Preguntas + Confirmación de cumplimiento.
P2PE HW: 43 Preguntas + Confirmación de cumplimiento.
SAQ D: 373 Preguntas + Confirmación de cumplimiento.
CONFIDENCIAL
Cuestionario de Autoevaluación SAQ

COMPONENTES DEL SAQ:
• Preguntas que se correlacionan con los requisitos de la Norma PCI DSS, apropiadas para los
Proveedores de Servicio y Comercios.
• Confirmación de Cumplimiento (Attestation of Compliance).
CONFIDENCIAL
Niveles de Proveedores de Servicio
TPP: Third-party Processors
CONFIDENCIAL
Niveles de Proveedores de Servicio
CONFIDENCIAL
Validación de Proveedores (AMEX)
CONFIDENCIAL
Validación de Proveedores (DISC, JCB, MASTER)
CONFIDENCIAL
Validación de Proveedores (VISA)
CONFIDENCIAL
URLs de las Marcas

VISA:
http://www.visa.com/cisp
http://www.visalatam.com/ais
MASTERCARD
http://www.mastercard.com/sdp
AMEX
http://www.americanexpress.com/datasecurity
DISCOVER
http://www.discovernetwork.com/merchants/fraud-protection
http://servicecenter.discovernetwork.com/msc/exec/dataSecForm.do
JCB
http://www.jcb-global.com/english/pci/index.html
CONFIDENCIAL
Consideraciones respecto al QSA

• No son auditores, sino asesores. Piense en ellos como un socio, no como un adversario.
• La QSA asesora o sugiere soluciones al cliente. Incluso cuando su preocupación es el costo.
• Dado que el QSA no trabaja en la compañía todo el tiempo, le es imposible asegurarse que la compañía cumpla
con el estándar el 100% del tiempo.
• Únicos autorizados para validar la adherencia de una entidad a los requerimientos de PCI DSS.
• Se recomienda que el GAP Analysis lo realice una compañía QSA.
• SINERGIA. Influyen Positivamente a sus clientes, pero también son influenciados positivamente por ellos.
• Desconfíe de evaluadores que basan sus evaluaciones en solo Preguntas y respuestas.
• Un nuevo enfoque: Encuentra todo lo que puedas. Pagamos por tiempo y materiales, y encuentra todo lo posible e
infórmenos de las debilidades.
• Una QSA no solo asesora a un negocio en cómo alcanzar cumplimiento, sino cómo permanecer en cumplimiento.
CONFIDENCIAL
Consideraciones respecto al QSA
• Cuando escoja a su asesor, entienda su metodología y cultura de negocio. ¿Encaja con la cultura de su organización?
• Buenos asesores interactúan constantemente. Inclúyalos en las fases de remediación. Establecer relaciones a largo plazo.
• Los asesores son humanos y pueden cometer errores. Tener un diálogo abierto para resolver diferencias.
• Algunos QSAs tiene sus raíces en la seguridad, otros tienen raíces en la auditoría.
Asesores con la capacidad de emitir juicios basados en el riesgo.

El nivel de cumplimiento y seguridad de su CDE Y CHD, es solo tan bueno como la QSA que lo asesora y evalúa.
CONFIDENCIAL
Manteniendo el Cumplimiento
de PCI - DSS
CONFIDENCIAL
Módulo VII: Manteniendo el Cumplimiento de PCI - DSS
¿Qué cuesta más?

EL COSTO DEL CUMPLIMIENTO EL COSTO DEL NO CUMPLIMIENTO
Actualizando los sistemas de pagos y su seguridad El costo de una brecha puede ser
fácilmente 20 veces más costoso que el
Verificando el cumplimiento Cumplimiento con PCI
Manteniendo el cumplimiento
¿Cuánto cuesta esto para la organización?
“El Valor Absoluto de la Seguridad” PCI Compliance Cost Analysis: A Justified Expense.
Analisis realizado por Solidcore Systems, Emagined Security and Fortrex. Enero 2008.
CONFIDENCIAL
Algunas Creencias
¡Trabajamos duro y pasamos la evaluación en

sitio por una QSA; ahora estamos seguros!
¡Tenemos PCI DSS bajo control,

estamos seguros ahora!
¡Ya archivé mis documentos y registros de PCI,

ahora estoy cumpliendo y seguro!
CONFIDENCIAL
Enfoque Inapropiado para PCI - DSS
• Obtener la certificación, y listo!
• “Preparémonos para la evaluación en 15 días”.
• Realizar el cumplimiento sólo para evitar una multa.
• El cumplimiento no está alineado con los objetivos de seguridad ni

de la organización.
• La cultura de complacer al auditor, mantener a un auditor feliz no

es sinónimo que su organización está protegida.
CONFIDENCIAL
Recomendación PCI - DSS
CONFIDENCIAL
El cumplimiento con PCI DSS

es un proceso continuo
• Compañías que están certificadas PCI DSS no es garantía de

DOS ENFOQUES
seguridad constante.
• El mejor enfoque es Asumir que seremos Comprometidos y

prepararnos de acuerdo a esta premisa. Cumplimiento como Defensa
• Considerar que no hay forma para remover completamente

Sólida Gestión de la Seguridad y
el riesgo.
enfoque en Riesgos
• Definir Métricas para determinar si el requerimiento se está
cumpliendo (ej. NIST 800-55).
PCI DSS debería ser una consecuencia
automática de la implementación de la
¿EN QUE PUNTO EN EL TIEMPO YO ESTOY CUMPLIENDO?
seguridad de la información en la compañía.
CONFIDENCIAL
Al Salmo respondemos…
El cumplimiento con estándares (tal como PCI DSS) no tiene significado si

no hay un mecanismo de monitoreo continuo a dicho cumplimiento.
VALIDACIÓN ≠ CUMPLIMIENTO
CUMPLIMIENTO ≠ SEGURIDAD
VALIDACION ≠ SEGURIDAD
CONFIDENCIAL
Revisión y Mantenimiento periódico de controles
REQUISITOS PCI DSS Procedimientos de Prueba Período
1.1.7.a Verificar que los estándares de configuración de los

1.1.7 Requisitos para la revisión del conjunto de reglas de los
firewall y routers soliciten la revisión de las reglas al menos
firewalls y routers, al menos, cada seis meses.
cada seis meses.
Cada 6 meses
1.1.7.b Examine la documentación relacionada con la revisión
de las reglas y entreviste al personal responsable para verificar si
las reglas se revisan al menos cada seis meses.
2.4.a Revise el inventario de los sistemas para verificar que la lista

de los de los componentes de software y hardware es mantenida e
incluye una descripción de la función para cada uno de ellos.
2.4 Mantener un inventario de los componentes del sistema Si hay un nuevo
que están dentro del alcance de las PCI DSS. componente
2.4.b Entreviste al personal y verifique que el inventario esté
actualizado.
CONFIDENCIAL

6.6 Revise los procesos documentados, entreviste al personal y revise los
registros de los análisis de seguridad de las aplicaciones para verificar qie las
aplicaciones web de cara al público son revisadas, usando herramientas
6.6 Para aplicaciones web públicas, aborde las nuevas amenazas y
automática o manuales de análisis de vulnerabilidades de seguridad como se
vulnerabilidades en forma permanente y asegure que estas
menciona: Cada año o después de
aplicaciones están protegidas contra ataques conocidos por
cualquier cambio
cualquiera de los siguientes métodos:
- Por lo menos, anualmente
.
-Después de cualquier cambio
-……..
8.1.4 Elimine/deshabilite las cuentas 8.1.4 Observe las cuentas de usuario para verificar que se eliminen o se desactiven las cuentas
Cada 90 días
de usuario inactivas al menos cada 90 días. que lleven más de 90 días inactivas.
8.2.4.a En un muestreo de componentes de sistema, inspeccione los parámetros de configuración

8.2.4 Cambie las contraseñas /passphrases
del sistema para verificar que los parámetros de passwords para los usuarios son establecidos Cada 90 días
de usuario al menos cada 90 días.
para que le pida al usuario cambio de password al menos cada 90 días.
CONFIDENCIAL

9.5.1 Almacenar los medios de copias de seguridad (backups) en un
lugar seguro, preferiblemente en un lugar externo a la empresa, como
9.5.1.b Verifique que la seguridad del lugar de almacenamiento se
un centro alterno para copias de seguridad, o un centro de Cada año
revisa al menos una vez al año.
almacenamiento comercial. Revise la seguridad de dicho lugar una vez
al año como mínimo.
9.7.1 Obtener y revisar el registro de inventario de medios para

9.7.1 De forma apropiada mantener registros del inventario de todos
verificar que se realicen inventarios periódicos de medios al menos Cada año
los medios y realizar inventario de medios anualmente como mínimo.
una vez al año.
10.6.1 Revisar lo siguiente al menos diariamente: 10.6.1.b Observe los procesos y entreviste al personal para
verificar que lo siguiente es revisado al menos diariamente:
• Todos los eventos de seguridad
• Los logs de todos los componentes de sistema que procesan, • Todos los eventos de seguridad
almacenan , o transmiten CHD y/o SAD o que podrían • Los logs de todos los componentes de sistema que
impactar la seguridad de los CHD y/o SAD procesan, almacenan , o transmiten CHD y/o SAD o que
Diariamente
• Logs de todos los componentes de sistema críticos. podrían impactar la seguridad de los CHD y/o SAD
• Logs de todos los servidores y componentes de sistema que • Logs de todos los componentes de sistema críticos.
ejecutan funciones de seguridad (Firewalls, IPS/IDS, • Logs de todos los servidores y componentes de sistema
Servidores de Autenticación , Servidores de redirección de e- que ejecutan funciones de seguridad (Firewalls, IPS/IDS,
commerce, etc.. Servidores de Autenticación , Servidores de redirección
de e-commerce, etc..
CONFIDENCIAL

11.1.a Revise las políticas y procedimientos para verificar que los
11.1 Implemente procesos para determinar la presencia de puntos de procesos están definidos para la detección e identificación
acceso inalámbrico (802.11), detectar e identificar trimestralmente, trimestralmente de puntos de acceso inalámbricos autorizados y no Cada 3 meses
todos los puntos de acceso inalámbricos autorizados y no autorizados. autorizados.
11.2 Ejecutar escaneos de vulnerabilidades de red internos y externos al

11.2.1.a Revise los reportes de los scans y verifique los escaneos
menos trimestralmente y después de cada cambio significativo en la
internos trimestrales ocurridos en el más reciente período de 12 meses.
red (tales como instalación de nuevos componentes del sistema,
cambios en la topología de red, modificaciones en las reglas del firewall,
actualización de productos).
Cada 3 meses
11.2.2.a Revisar la salida de los cuatro análisis de vulnerabilidades

externos más recientes y verifique que los escaneos externos de
vulnerabilidades ocurrieron en el más reciente período de 12 meses.
CONFIDENCIAL

11.3.1.a Revise el alcance del trabajo y los resultados de la última prueba de
11.3.1 Lleve a cabo pruebas de penetración externas, al menos, una vez al penetración externa para verificar que se realice de la siguiente manera:
año y después de implementar una actualización o modificación significativa
en las infraestructuras o aplicaciones (como por ejemplo, actualizar el -Según la metodología definida Cada año o
sistema operativo, agregar una subred o un servidor web al entorno). -Por lo menos, anualmente. después de
-Después de cualquier cambio significativo en el entorno. un cambio /
11.3.2 Lleve a cabo pruebas de penetración internas, al menos, una vez al 6 Meses
11.3.2.a Revise el alcance del trabajo y los resultados de la última prueba de
año y después de implementar una actualización o modificación significativa
penetración interna para verificar que se realice, al menos, una vez al año y
en las infraestructuras o aplicaciones (como por ejemplo, actualizar el
después de cualquier cambio significativo en el entorno.
sistema operativo, agregar una subred o un servidor web al entorno).
11.5 Implementar un mecanismo de detección de cambios (por ejemplo
11.5 Verificar el uso de mecanismo de detección de cambios dentro del CDE
herramientas FIM) para alertar al personal ante modificaciones no
mediante la observación de la configuración del sistema y los archivos Cada
autorizadas de archivos críticos del sistema, archivos de configuración o
monitoreados, al igual que la revisión de los resultados de las actividades de semana
archivos de contenido; configurar el software para desempeñar
monitoreo.
comparación de archivos críticos al menos semanalmente.
CONFIDENCIAL

12.2. Implemente un proceso de evaluación de riesgos que cumpla con lo 12.2.a Verifique que se documente un proceso anual de evaluación de riesgos que
siguiente: identifique activos, amenazas, vulnerabilidades y que genere como resultado una Cada año
evaluación de riesgos formal.
12.1.1 Verifique que la política de seguridad de la información se revise, al menos, una
12.1.1 Revise la política de seguridad, al menos, una vez al año y actualícela
vez al año y se actualice cuando sea necesario, de manera que refleje los cambios en Cada año
cuando se realicen cambios en el entorno.
los objetivos del negocio o en el entorno de riesgos.
12.6.1.a Verifique que el programa de concienciación sobre seguridad proporcione
diversos métodos para informar y educar a los empleados en lo relativo a la
12.6.1 Eduque a los empleados al contratarlos y al menos una vez al año.
concienciación (por ejemplo, carteles, cartas, notas, capacitación basada en Web, Al ingreso y
reuniones y promociones) Cada año
12.6.1.b Verifique que los empleados concurran a la capacitación sobre concienciación
al ser contratados y al menos una vez al año.
12.6.2 Solicitar a los empleados que reconozcan al menos una vez al año 12.6.2 Verifique que el programa de concienciación sobre seguridad les exija a los
haber leído y entendido la política y los procedimientos de seguridad de la empleados realizar, al menos, una vez al año, una declaración escrita o electrónica de Cada año
información de la empresa. que leyeron y entendieron la política de seguridad de la información de la empresa.
12.9.2 Pruebe el plan al menos anualmente 12.9.2 Verifique que se realice una prueba del plan al menos una vez al año. Cada año
CONFIDENCIAL
¿Qué es Gestionar?
Es llevar a cabo todas las actividades

necesarias para lograr un determinado fin
o un objetivo propuesto.
¿Qué es gestionar la seguridad?
Consiste en la realización de actividades

necesarias para garantizar los niveles de
seguridad exigibles en una organización.
CONFIDENCIAL
Elementos de SGSI
ISO 27001: 2013
MAGERIT
OCTAVE
AS/NZS 4360 (1999 Y 2004) O SU
versión homologada en Colombia NTC
ISO 27002: 2013
5254
CORAS
NIST 800-30
BS7799-3
TR 13335-3
CONFIDENCIAL
Ciclo PHVA
CONFIDENCIAL
Ciclo PHVA
PLANEAR HACER VERIFICAR ACTUAR
Levantar y Documentar Flujos de Implementar plan de acción Evaluación de PCI DSS Asegurar sostenibilidad del
información de Tarjeta Habiente Cumplimiento de PCI DSS
Asignación de recursos Sistema de Gestión de
Descubrimiento de datos Seguridad de la Información
de tarjeta Habiente Implementar Controles para los Procesos de
Información de tarjeta habiente
Definición de Alcance Implementar Procesos y ISO 27000
Procedimientos
Valoración de Riesgos
Ambiente de tarjeta Habiente Entrenar al personal
GAP PCI DSS
Identificación de Vulnerabilidades
de red, Aplicación
Plan de acción
CONFIDENCIAL
Dominios ISO 27002

Políticas de
Cumplimiento Seguridad de la Información Organización de
la Seguridad de la Información
Aspectos de Seguridad
Seguridad
en la continuidad
del Recurso Humano
Integridad Confidencialidad
Gestión de
Incidentes
Gestión de Activos
Mantenimiento,
Desarrollo y
Información
Adquisición de sistemas
Control de acceso
Relación con Disponibilidad
proveedores
Criptografía
Seguridad en las
operaciones Seguridad en las Seguridad física
comunicaciones y ambiental
CONFIDENCIAL
Dominios ISO 27002
Integridad Confidencialidad
Información
Disponibilidad
CONFIDENCIAL
Gestión del cambio para

permanecer en cumplimiento
El alcance de PCI DSS puede aumentar o disminuir

y afectar el cumplimiento continuo:
• Adquisiciones o Fusiones con nuevas organizaciones.
• Nuevos métodos de captura de datos de tarjetas.
• Nuevas oficinas y sitios de venta.
• Actualizaciones o nuevas aplicaciones y sistemas POS.
• Procesos nuevos.
• Alta rotación de personal.
• Controles Compensatorios: la justificación de las limitaciones/restricciones ¿aún son válidas?
CONFIDENCIAL
Otro factores del Éxito

Para empezar, conocer la Norma:
https://www.pcisecuritystandards.org
https://www.pcisecuritystandards.org/saq/instructions_dss.shtml#instructions
1. No es solo responsabilidad de Sistemas/Informática.

2. Apoyo visible de la Dirección de la Organización.
3. Participación comprometida de Empleados con altos conocimientos de los Procesos relacionados con sistemas
de pago con tarjeta.
4. Colaboración eficiente de Áreas Claves “Ustedes”.
5. Integración con otras normas y regulaciones (SGSI: ISO 27001, ISO 9001, Circular 042, Circular 038, SOX, etc).
6. Disponibilidad de una buena estrategia comunicativa (Divulgación, socialización de la norma y del SAQ-Auto
cuestionario-).
CONFIDENCIAL
ISO 27001 / PCI DSS
CONFIDENCIAL
PCI DSS vs ISO 27001

REQUERIMIENTOS A5 A6 A7 A8 A9 A A A A A A A A A
10 11 12 13 14 15 16 17 18
1. Instalar y mantener un cortafuegos y su
configuración para proteger la información X X X X
de las tarjetas
2. No emplear parámetros de seguridad y
X X X X
usuarios del sistema por defecto
3. Proteger los datos almacenados de tarjetas X X X X X
4. Cifrar las transmisiones de datos de
X X X
tarjetas en redes abiertas o públicas.
5. Proteger todos los sistemas en contra de
malware y regularmente actualizar los X X
programas o software de antivirus.
CONFIDENCIAL

10 11 12 13 14 15 16 17 18
6. Desarrollar y mantener de forma segura los
X X X
sistemas y aplicaciones
7. Restringir el acceso a la información de
X X
tarjetas según la premisa “need to know”.
8. Identificar y autenticar el acceso a los
X X X X
componentes de sistema.
9. Restringir el acceso físico a los datos de
X X X
tarjeta
10. Auditar y monitorear todos los accesos a
X X X
los recursos de red y datos de tarjeta
CONFIDENCIAL

10 11 12 13 14 15 16 17 18
11. Testear de forma regular la seguridad de
X X X X X
los sistemas y procesos
12. Mantener una política que aborde la
seguridad de la información para todo el X X X X X X X X X
personal
CONFIDENCIAL
La sobrecarga del cumplimiento

Regulación Internacional
SOX
SARO Regulación Nacional
¿Intromisión
C042 Ley 1273, 1266 SARC, SARLAFT Externa no Deseada?
C038 Regulación de Industria

PCI
DSS
COBIT, COSO
ISO 2700X PMI
ORGANIZACION
CONFIDENCIAL
Mitos sobre la norma PCI DSS
• PCI no nos aplica.

• PCI es confuso.
• PCI es oneroso.
• Las brechas ocurridas demuestran que PCI es irrelevante.
• PCI es todo lo que necesitamos para estar seguros.
• PCI es realmente fácil.
• Mis productos son PCI Compliant.
• Es un Problema de IT.
CONFIDENCIAL
https://www.pcisecuritystandards.org
https://www.iqcol.com
PCI LatinoAmérica y Caribe

Grupo en Linkedin
CONFIDENCIAL
¿Inquietudes?
IQ INFORMATION QUALITY SAS

Tel: (+57 1) 7439605
http://www.iqcol.com
Calle 98 No. 70-91 of. 905
Edifício Vardí
Bogotá D.C. Colombia
CONFIDENCIAL
Prohibida su reproducción sin previa autorización
IQ INFORMATION QUALITY SAS
Tel: (+57 1) 7439605
http://www.iqcol.com
Calle 98 No. 70-91 of. 905
Edifício Vardí
Bogotá D.C. Colombia
CONFIDENCIAL
Prohibida su reproducción sin previa autorización

PCIDSS 3-2-1 Dia2 Modulo2 25042019

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

PCIDSS 3-2-1 Dia2 Modulo2 25042019

Загружено:

Авторское право:

Доступные форматы

Requerimientos PCI – DSS 3.2.

Requerimientos de PCI - DSS

Requerimientos de PCI - DSS

El número total de Requerimientos y subrequerimientos pueden ir entre 245 y 405, dependiendo

La meta de los Controles/Requerimientos es evitar que ocurran brechas y compromisos; y si estos

0 12.8 3.1 3.3 6.5 405

Estructura de la norma PCI - DSS

Premisas PCI – DSS 3.2.1

• El estándar actualizado pretende ayudar a las organizaciones a

• Balance de flexibilidad, rigor y consistencia.

Temas nuevos desde PCI – DSS 3.2

Instalar y mantener una configuración de firewall para

Requerimientos 1.1 – 1.2:

Requerimientos para las conexiones del firewall a Internet, y entre la

Descripción de los grupos, roles y responsabilidades para la

Requerimientos 1.1 – 1.2:

Requerimientos 1.1 – 1.2:

Todo el Solo el Tráfico Permitido

Requerimientos 1.3 – 1.4:

Inspección de paquetes dinámica (stateful inspection)

Separadas BD con CHD y Front End

Separar el CDE de las redes inalámbricas

Debe estar instalado en los equipos móviles y en

1.3.4 • No permitir tráfico de salida no autorizado desde el CDE hacia Internet.

• Egress Filtering (Filtrado de tráfico de salida).

Fallas en el Egress Filtering

• Conozca su red mejor que sus adversarios.

1. Diagrama(s) de red y de flujos de datos de tarjetahabiente.

2. Inventario de Componentes de Red (Routers, Firewalls, Switches.

4. Reglas de Firewall / Router / Switch L3 documentadas.

5. Proceso de Control de Cambios y Formatos de Solicitud de Cambios al Firewall(s).

No use contraseñas ni configuraciones por defecto provistas

Joint USSS/FBI Advisory

• Proyecto Bastilla para Linux OS y HP-UX

Sólo una función principal por servidor

Consideraciones de la virtualización y Cloud

• Tecnologías de Virtualización introducen nuevos riesgos en el CDE.

• Controles y procedimientos específicos varían para cada ambiente,

• Determinar comunicaciones y flujos de datos de tarjetahabiente intra-host.

• Considerar Riesgos adicionales cuando múltiples funciones están ubicadas

• El Hypervisor siempre está dentro del alcance.

• Documentar todos las interfaces de administración virtual.

• Definir roles y responsabilidades en la gestión de los componentes de

• Precaución con las VMs inactivas (“durmientes”).

• Atención especial con las imágenes y snapshots de VM.

• Aislamiento de funciones de seguridad por Hypervisor.

• Interacciones VM-a-VM que nunca pasan por la red física.

Pruebe una muestra de sistemas y dispositivos de red.

• Confirme que hayan servicios sin utilizar en estado “deshabilitado”, y que

1. Inventario de Componentes de Sistema.

Proteger Datos almacenados de Tarjetahabiente

La Matriz sugerida de Datos de tarjetahabiente por el PCI SSC:

• Ley de Conservación de documentos bancarios.

Un Proceso Automático o Manual para identificar y borrar (de forma segura)

Requisitos para una revisión al menos trimestral

PTS y PA DSS ayudan a cumplir con este requerimiento:

¿Excepciones a este requerimiento? Pre-authorization vs. Authorization

SAD (Datos Sensibles de Autenticación) no deben ser

• Esto aplica incluso si no hay PAN en el entorno.

• Determinar con su respectivo adquirente o con las Marcas para definir

Si datos sensibles de autenticación son recibidos, deje todos estos datos

Requerimientos 3.3 – 3.4:

Estrategias para ocultar la información