Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.
How to use Redis with MuleSoft. A quick start presentation.
Guía de implementación, integración de la seguridad en el ciclo de vida del software, Laboratorio PCi DSS Compliant.
1. 1
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO:
GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA
SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE,
LABORATORIO PCI DSS COMPLIANT.
FERMÍN GARDE FERNÁNDEZ
RESPONSABLE DESARROLLO NEGOCIO MM.PP.
WINCOR-NIXDORF
2. 2
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
2
Indice
Guía de ImplementaciónI
Integración de la Seguridad en el ciclo de vida del
Software
II
Laboratorio de Pruebas PCI DSS CompliantIII
3. 3
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
3
• Resultado final del proceso de
desarrollo seguro de una aplicación
que gestiona datos de tarjeta.
• Explica cómo instalar la aplicación de
forma segura a:
– Clientes
– Distribuidores
– Integradores.
• Describe la forma en la que el
administrador del sistema debe activar
y configurar los parámetros de
seguridad de los distintos
componentes para que la aplicación
funcione correctamente en un entorno
PCI DSS.
La Guía de Implementación
4. 4
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
4
• La V2.0 de PA DSS, da a la Guía de Implementación
mayor relevancia, exigiendo explicar los mecanismos de
seguridad a implementar de forma más extensa y
explícita.
• Tener una aplicación certificada PA DSS, no exime al
cliente de que su entorno cumpla con PCI DSS.
• Se entiende mejor la Guía de Implementación si se ha
hecho previamente la preparación del entorno donde la
aplicación va a instalarse.
La Guía de Implementación
5. 5
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
5
• La preparación de una guía clara y concisa, no siendo sólo
un manual de instalación, debe tener en cuenta aspectos
tales como:
– Configuración segura de firewalls/routers.
– Configuración segura de tecnología inalámbrica.
– Diseño de red.
– Política segura de asignación de usuarios y contraseñas.
– Configuración de acceso remoto.
– Requisitos mínimos del administrador de base de datos para instalar la
aplicación.
– Gestión de claves criptográficas.
– Borrado seguro de datos.
– Activación de pistas de auditoría.
– Integración de registros en plataformas de control de logs.
– Gestión de actualizaciones.
La Guía de Implementación
6. 6
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
6
• Los puntos de PA DSS que la Guía de Implementación
cubre son:
– Req. 01: No retenga toda la banda magnética, el código de validación de la
tarjeta ni el valor (CAV2, CID, CVC2, CVV2) ni los datos de bloqueo del PIN.
– Req. 02: Proteja los datos del titular de la tarjeta que fueron almacenados.
– Req. 03: Provea las funciones de autenticación segura.
– Req. 04: Registre la actividad de la aplicación de pago.
– Req. 05: Desarrolle aplicaciones de pago seguras.
– Req. 06: Proteja las transmisiones inalámbricas.
– Req. 09: No almacene los datos de titulares de tarjetas en un servidor
conectado a Internet.
– Req. 10: Facilite actualizaciones de software remotas y seguras.
– Req. 11: Facilite un acceso remoto seguro a la aplicación de pago.
– Req. 12: Cifre el tráfico sensible en las redes públicas.
La Guía de Implementación
7. 7
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
7
• Generalmente el software es el origen más común de los problemas
relativos a la seguridad informática.
• Un hacker no crea agujeros en la seguridad, sólo los explota.
• Las causas reales de los problemas son el resultado de un mal
diseño y una mala implantación del software.
• Si el software no se comporta adecuadamente, surgirán problemas
de:
– Fiabilidad.
– Disponibilidad.
– Criticidad.
– Seguridad.
Seguridad en el ciclo de vida del Software
8. 8
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
8
• ¿La seguridad es una característica que puede añadirse a
un sistema existente?
• ¿Es una propiedad estática del software que permanece
inmutable en cualquier entorno en que este se utilice?
NO: LA SEGURIDAD NO ES UNA CARACTERÍSTICA QUE
PUEDA AÑADIRSE AL SISTEMA EN CUALQUIER
MOMENTO. REQUIERE UNA PLANIFICACIÓN
PREVIA, UN DISEÑO CUIDADOSO Y DEPENDE DE
CADA ENTORNO EN PARTICULAR
Seguridad en el ciclo de vida del Software
9. 9
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
9
• Lo que Wincor-Nixdorf persigue en su ciclo de
desarrollo es:
– Procesos adecuados.
– Ciclo de vida seguro del software.
– Plan de calidad.
Seguridad en el ciclo de vida del Software
10. 10
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
10
Definición
y
Diseño
Desarrollo Despliegue
Mantenimiento
y
Operación
Ciclo de Vida de Desarrollo de Software Tradicional
Revisión de la Seguridad.
Aprobación de la Seguridad.
Mantenimiento Correctivo.
Liberación de Parches.
Gestión de Incidencias.
Seguridad en el ciclo de vida del Software
11. 11
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
11
Ciclo de Vida de Desarrollo de Software Seguro
SEGURIDAD
A lo largo del ciclo de vida, se cuenta con un procedimiento de
control y gestión de cambios.
Definición
y
Diseño
Desarrollo Despliegue
Mantenimiento
y
Operación
Seguridad en el ciclo de vida del Software
12. 12
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
12
• Ámbito de actuación:
• Identificación de las áreas de seguridad de la aplicación.
• Consideraciones de seguridad respecto en el diseño.
• Requisitos funcionales de seguridad.
• Aspectos a tener en cuenta:
Principios de Seguridad: minimizar el área de exposición, no confiar en
sistemas externos, etc.
Requisitos de Seguridad: gestión de errores, criptografía, autenticación y
autorización, registros de auditoría, etc.
Políticas y Procedimientos: políticas de contraseñas, políticas de copias de
seguridad, procedimientos de programación segura, etc.
Consideraciones en la Capa de Seguridad: autenticación y autorización,
validación de datos, tratamiento de errores y excepciones, etc.
Definición
Y
Diseño
Desarrollo Despliegue
Mantenimiento
Y
Operación
Seguridad en el ciclo de vida del Software
13. 13
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
13
Definición
y
Diseño
Desarrol
lo
Despliegu
e
Manteni
miento
Y
Operació
n
• Es una fase muy crítica ya que en esta fase aparecen un
mayor número de fallos de seguridad.
• Para realizar una codificación segura es necesario
conocer las amenazas con las que nos podemos
encontrar y las buenas practicas para minimizarlas:
• Clasificación de Amenazas: ataques de fuerza
bruta, revelación de información, deficiencias
lógicas, autenticación insuficiente, etc.
• Buenas Prácticas: autenticación y autorización,
validación de datos, gestión de sesiones, gestión
de errores, configuraciones, etc.
Seguridad en el ciclo de vida del Software
14. 14
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
14
Definición
Y
Diseño
Desarrollo Despliegue
Mantenimiento
Y
Operación
• En esta fase, la aplicación debe haber contemplado todas las
posibles deficiencias de seguridad mediante distintas
actuaciones (comprobación de requisitos, análisis del diseño,
revisión del código, etc.).
• Actuaciones clave:
Pruebas de Intrusión en Aplicaciones: Permite
verificar el éxito de las actuaciones realizadas y
detectar posibles vulnerabilidades que no hayan sido
contempladas anteriormente.
Comprobación de la Gestión de Configuraciones: Es
necesario verificar cómo se han implementado y
securizado los distintos componentes de la
infraestructura.
Seguridad en el ciclo de vida del Software
15. 15
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
15
Definición
y
Diseño
Desarrollo Despliegue
Mantenimiento
y
Operación
• Tras la puesta en marcha en producción, es necesario seguir
realizando acciones que permitan mantener el nivel de seguridad
requerido:
Revisiones de la Gestión Operativa: Debe existir procedimientos que detallen
como es gestionada la explotación de la aplicación y su infraestructura.
Comprobaciones Periódicas de Mantenimiento: De forma periódica y
dependiendo del nivel de criticidad, deberán realizarse comprobaciones de
seguridad para verificar que no se hayan introducido nuevos riesgos en la
aplicación y su infraestructura.
Asegurar la Verificación de Cambios: Después de que un cambio haya sido
implementado en producción, se deberá verificar que dicho cambio no haya
afectado al nivel de seguridad de la aplicación y su infraestructura.
• Se deben seguir los procedimientos de gestión de incidencias y
gestión de vulnerabilidades que permitan dar un soporte adecuado
a los clientes de la aplicación.
Seguridad en el ciclo de vida del Software
16. 16
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
16
• Para verificar que la aplicación funciona de manera
segura, y que va a permitir la correcta comunicación con
agentes externos, se debe probar la aplicación en un
entorno que sea PCI Compliant.
• La idea es reproducir un entorno que
simule el uso real de la aplicación de
pago.
• Eso significa que previo a la auditoría de
certificación o recertificación se
comprobará que los componentes del
laboratorio de pruebas cumplen con los
requerimientos PCI DSS.
Laboratorio de Pruebas PCI Compliant
17. 17
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
17
• El laboratorio no tiene porque simular en complejidad
todas las posibles arquitecturas imaginables.
• Es un diseño estándar donde se incluyen los elementos
básicos para que la aplicación funcione (firewall, servidor
de aplicación, base de datos, cliente, antivirus, TPV,
etc.).
• El valor añadido que le da PA DSS al entorno de pruebas,
es que, además de probar la funcionalidad y las medidas
de seguridad de la implantación, garantiza que la
aplicación funciona correctamente sin elementos o
configuraciones inseguros.
Laboratorio de Pruebas PCI Compliant
18. 18
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
18
• El laboratorio debe disponer de las máquinas necesarias
para que se puedan probar todos los posibles entornos
que admite la aplicación.
• Los puntos clave que se tienen en cuenta al diseñar el
laboratorio de pruebas PCI DSS compliant son:
Configuraciones de Seguridad: Se definen parámetros de
seguridad de los sistemas como:
Política de contraseñas.
Asignación de derechos de acceso.
Activación de pistas de auditoría.
Utilización de puertos, servicios y protocolos seguros.
Laboratorio de Pruebas PCI Compliant
19. 19
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
19
Políticas IPSec: Configuraciones de los servicios IPSec para
autenticar o cifrar el tráfico de red garantizando una
comunicación segura.
Tecnologías WiFi: Se definen los parámetros de seguridad que
aseguren el uso de dispositivos inalámbricos:
Protocolos aceptados.
Dispositivos aceptados.
Configuraciones permitidas.
Ubicaciones desde donde se pueden utilizar tecnologías
inalámbricas.
Restricción de Software: Se debe instalar el mínimo software
imprescindible para que la aplicación funcione.
Laboratorio de Pruebas PCI Compliant
20. 20
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
20
Gestión de Claves
Criptográficas: Se debe definir
un proceso de vida seguro de
la generación, distribución,
destrucción e instalación de
componentes criptográficos.
Conexión con Redes No
Confiables: Cualquier conexión
entre el laboratorio y una red
no segura dispondrá de un
firewall que restrinja el tráfico.
Laboratorio de Pruebas PCI Compliant
21. 21
Haga clic para modificar el estilo de
título del patrón
• Haga clic para modificar el estilo de texto del
patrón
– Segundo nivel
• Tercer nivel
– Cuarto nivel
PREGUNTAS