SlideShare ist ein Scribd-Unternehmen logo

Novedades PCI DSS v 2.0 y PA-DSS v 2.0.

Internet Security Auditors
Internet Security Auditors

Presentación de Miguel Ángel Domínguez de Internet Security Auditors en la que se explicaron las novedades de las versiones 2.0 de las normas PCI DSS y PA DSS

Technologie
1 von 25
Downloaden Sie, um offline zu lesen
1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel NOVEDADES PCI DSS V2.0 Y PA-DSS V2.0 MIGUEL ÁNGEL DOMÍNGUEZ DIRECTOR DEPTO. CONSULTORÍA / QSA MANAGER INTERNET SECURITY AUDITORS
2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 ÍNDICE  Novedades PCI DSS Versión 2.0  Novedades PA DSS Versión 2.0
3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3  Aclaraciones  Cambios principalmente del texto con el objetivo de explicar mejor el objetivo deseado con el requisito.  Guía Adicional  Introduce ejemplos o definiciones que permiten aumentar el entendimiento o proporcionar mayor información en relación a algún aspecto recogido por el requisito.  Evolución del Requisito • Verdaderas modificaciones en la implementación. PCI DSS v2.0 Tipo de Cambios
4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 PCI DSS v2.0  Implicados:  comercio, proveedores, entidades adquirientes y emisores  Account Data vs Cardholder data  PreAutorización: PCI DSS también aplica a datos sensibles de autenticación que son la pista completa en la banda magnética, el código de validación CVV2/CVC2/CAV2/CID y el PIN/PIN Block  PAN - mínimo dato que define la necesidad de PCI DSS Cambios Generales
5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 PCI DSS v2.0  Componentes de Sistema  Entornos Virtuales: Máquinas virtuales, dispositivos de red virtuales e incluso aplicaciones, escritorios e hipervisores.  Segmentación de Red  Segmentación física y lógica de la red.  La segmentación es correcta si aislamos aquellos componentes de sistema involucrados en el almacenamiento, procesamiento y transmisión de datos de tarjetas, de los que no lo están.  Muestreo  Independiente por el auditor  Localizaciones  Componentes de sistemas  No se toma muestra de requisitos Cambios Generales
6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 PCI DSS v2.0  Reestructuraciones de requisitos  Reorganización de aspectos confusos y repetidos en distintos puntos de la norma.  Alineamiento de procedimientos de auditoría con requisitos
7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7  No sólo FW o Routers  Considerar otros componentes de sistema que implementen controles del tráfico desde o hacia redes inseguras.  Req 1.3.7 Place system components that store cardholder data (such as a database) in an internal network zone, segregated from the DMZ and other untrusted networks.  Requisito aplica a cualquier tipo de almacenamiento de datos de tarjetas y no sólo a bases de datos. PCI DSS v2.0 Req 1: Instalar y mantener un cortafuegos y su configuración
8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8  Req 2.2.1 Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server.  El objetivo de este requisito es la no coexistencia de funcionalidades que requieran diferentes niveles de seguridad .  Cada sistema virtualizado debe implementar una única función primaria. PCI DSS v2.0 Req 2: No emplear parámetros de seguridad por defecto
9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 9  Req 3.2 Do not store sensitive authentication data after authorization (even if encrypted).  Entidades Emisoras: Pueden almacenar información sensible de autenticación si existe la debida justificación por necesidad del negocio y, por descontado, si estos datos son almacenados de forma segura.  Req 3.4 Render PAN unreadable anywhere it is stored.  Uso Combinado de Hash y Truncado: Se requiere implementar medidas de seguridad adicionales para que no se pueda hacer una correlación entre el hash y el dato truncado que permita obtener el PAN completo.  No se puede utilizar la técnica de hashing para substituir la parte truncada del PAN PCI DSS v2.0 Req 3: Proteger los datos almacenados de tarjetas
10 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 10  Gestión de claves – concepto de Criptoperiodo  Por ejemplo, un período de tiempo o una cantidad total de texto cifrado generado por la clave a cambiar.  Req 3.6.6 If manual clear-text cryptographic key management operations are used, these operations must be managed using split knowledge and dual control.  Limita la necesidad del split knowledge y el control dual a aquellas operaciones de gestión de claves que se hagan en claro y que se realicen manualmente.  Req 3.6.8 Requirement for cryptographic key custodians to formally acknowledge that they understand and accept their key-custodian responsibilities.  Aceptación formal también aceptada en formato electrónico PCI DSS v2.0 Req 3: Proteger los datos almacenados de tarjetas
11 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 11  Se aclara que el antivirus debe generar registros de auditoría  Protocolo WEP no es aceptado (30 Junio 2010) PCI DSS v2.0 Req 4: Cifrar la transmisión de datos de tarjeta en redes públicas abiertas Req 5: Usar y actualizar regularmente software antivirus
12 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 12  Req 6.2 Establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities.  30 Junio 2012: nuevas vulnerabilidades clasificadas según el riesgo que introducen y basándose en las buenas prácticas definidas por la industria como por ejemplo CVSS y/o siguiendo las clasificaciones que proporcionan los proveedores del software afectado por la vulnerabilidad.  Estructura de los requisitos 6.3, 6.4 y 6.5 Req 6.3: Develop software applications in accordance with PCI DSS Req 6.4: Follow change control processes and procedures Req 6.5: Develop applications based on secure coding guidelines  Facilitar entendimiento  Eliminar redundancias  Agrupar conceptos: aplicaciones internas/externas, Web/No Web. PCI DSS v2.0 Req 6: Desarrollar y mantener de forma segura sistemas y aplicaciones
13 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 13  Req 7.1.3 Requirement for a documented approval by authorized parties specifying required privileges.  En lugar de requerir un formulario firmado por dirección PCI DSS v2.0 Req 7: Restringir el acceso a la información de tarjetas Req 8: Asignar IDs únicos  Autenticación de 2 factores  Es diferente de utilizar autenticación de 1 factor 2 veces
14 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 14  Aclaraciones menores para los términos  Onsite Personnnel  Visitor  Media PCI DSS v2.0 Req 9: Restringir el acceso físico a datos de tarjetas
15 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 15  Se detalla más los requisitos relacionados con el uso de sincronización de tiempo.  No se limita a NTP  Concreta como debe ser y estar protegida la arquitectura de sincronización. PCI DSS v2.0 Req 10: Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas
16 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 16 PCI DSS v2.0  Escaneos Wifi  Necesidad de disponer de un proceso documentado  Métodos adicionales: Inspección física o tecnologías NAC.  Escaneos de Vulns Trimestrales Internos  Consideraciones para determinar cuando un escaneo se considera válido: El escaneo será válido si se cumple una de las siguiente condiciones: 1. Todas las vulnerabilidades (a excepción de falsos positivos) han sido solucionadas 2. Se han solucionado las vulnerabilidades “altas” siguiendo el proceso de clasificación en base al riesgo (no esperamos a 30/6/12)  IDS/IPS  Monitorización del tráfico a nivel de perímetro y en puntos considerados críticos. Req 11: Testear de forma regular la seguridad de los sistemas y procesos
17 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 17  Análisis de Riesgos  Aclaración de que se considera AR formal  Ejemplos: Octave, ISO27005, NIST SP 800-30  Req 12.3.10 For personnel accessing cardholder data via remote-access technologies, prohibit copy, move, and storage of cardholder data onto local hard drives and removable electronic media, unless explicitly authorized for a defined business need.  Se permite en el acceso remoto a datos de tarjeta copiar, mover o almacenar en local y medios removibles.  Con Justificación en base a una necesidad de negocio  Protegiendo la información según establece PCI DSS. Req 12: Mantener una política que gestione la seguridad de la información PCI DSS v2.0
18 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 18  Aclaraciones  Cambios principalmente del texto con el objetivo de explicar mejor el objetivo deseado con el requisito.  Guía Adicional  Introduce ejemplos o definiciones que permiten aumentar el entendimiento o proporcionar mayor información en relación a algún aspecto recogido por el requisito.  Evolución del Requisito • Verdaderas modificaciones en la implementación. PA DSS v2.0 Tipo de Cambios
19 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 19 PA DSS v2.0  PA DSS por si mismo no hace cumplir PCI DSS  Desplegada en un entorno cumplidor PCI DSS.  Aplicación desplegada según la Guía de Implementación que proporciona el proveedor de la aplicación.  Ámbito de Aplicación de PA DSS  Se aclara que PA DSS No aplica si la aplicación se ha desarrollado y ha sido vendida a un solo cliente.  Aplicabilidad en aplicaciones residentes en Terminales Hardware Payment applications designed to operate on hardware terminals (also known as a standalone or dedicated POS terminal) may undergo a PA-DSS review if the vendor wishes to achieve validation and if PA-DSS compliance requirements can be met.  NO es Obligatorio: Si el vendedor desea alcanzar la certificación con PA DSS.  ¿Qué puede impulsar a la necesidad de certificación?: Necesidad de negocio (Ej: un contrato lo requiere), obligación (ej: una marca lo solicita). Cambios Generales
20 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 20 PA DSS v2.0  Laboratorio de Pruebas  El PA QSA debe tener acceso a un laboratorio donde se realizará el proceso de validación de la aplicación  El PA QSA debe validar una instalación limpia (no se puede reutilizar una instalación ya existente) del entorno de laboratorio para asegurar que simula lo más fielmente posible un situación real y que el entorno de laboratorio no ha sido manipulado por el vendedor. Cambios Generales
21 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 21 PA DSS v2.0  Reestructuraciones de requisitos  Menos referencias a la Norma PCI DSS. Se incluye en la propia norma PA DSS  Se fusionan los requerimientos 10 y 11 para eliminar redundancias  Alineamiento con las modificaciones introducidas en la norma PCI DSS v2.0
22 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 22  Req 2.5 Payment application must protect any keys used to secure cardholder data against disclosure and misuse.  También afecta a las claves utilizadas para proteger las claves de cifrado de datos (key-encrypting keys).  Req 2.6 Payment application must implement key management processes and procedures for cryptographic keys used for encryption of cardholder data  Se solicita que la guía de implementación contenga instrucciones para las funciones de gestión de claves de cifrado.  Req 2.7 Render irretrievable any cryptographic key material or cryptogram stored by previous versions of the payment application, in accordance with industry-accepted standards.  Se acepta como válido la eliminación de forma segura (irrecuperable) de la clave que protege la clave de cifrar los datos (key-encryption key). PA DSS v2.0 Cambios Destacables
23 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 23  Req 3.1 The payment application must support and enforce the use of unique user IDs and secure authentication for all administrative access and for all access to cardholder data. Secure authentication must be enforced to all accounts, generated or managed by the application, by the completion of installation and for subsequent changes after installation.  Afecta a todas la cuentas gestionadas por la aplicación y no sólo durante la instalación sino que también en cambios posteriores.  Req 4.4 Payment application must facilitate centralized logging  Nuevo Requerimiento  Las aplicaciones de pago deben facilitar la centralización de logs de PA DSS v2.0 Cambios Destacables
24 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 24  Req 5  Ha sufrido una gran reestructuración de los requisitos como consecuencia de la propia reestructuración del requisito 6 en PCI DSS v2.0.  El concepto de entorno de producción no es aplicable para el objetivo de PA DSS.  Req 7.1 Software vendors must establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities and to test their payment applications for vulnerabilities. Any underlying software or systems that are provided with or required by the payment application (for example, web servers, third-party libraries and programs) must be included in this process.  Evolución del requisito  Se añade la necesidad de clasificar las vulnerabilidades en base al riesgo y para PA DSS debe implementarse ya. No es opcional hasta el 30/6/2012 como en PCI DSS v2.0. PA DSS v2.0 Cambios Destacables
25 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTAS

Empfohlen

Prensa resumen actuaciones personas sin hogar. nov 2014
Prensa resumen actuaciones personas sin hogar. nov 2014Prensa resumen actuaciones personas sin hogar. nov 2014
Prensa resumen actuaciones personas sin hogar. nov 2014SEVILLA
 
Naturalia Invierno 2009
Naturalia Invierno 2009Naturalia Invierno 2009
Naturalia Invierno 2009Fundación Natura Bolivia
 
Calibracion PSH
Calibracion PSHCalibracion PSH
Calibracion PSHFreddy Martinez Vargas
 
Psicología aplicada a la atención socio sanitaria de
Psicología aplicada a la atención socio sanitaria dePsicología aplicada a la atención socio sanitaria de
Psicología aplicada a la atención socio sanitaria dePedro Rodriguez Picazo
 
Pci
PciPci
PciMary Jackson Nicole
 
Dr panchito vih pediatria
Dr panchito vih pediatriaDr panchito vih pediatria
Dr panchito vih pediatriaFrancisco Infantes Gómez
 
Sida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS
Sida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURASSida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS
Sida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURASMelissa Portillo
 
El Sida En La Infancia
El Sida En La InfanciaEl Sida En La Infancia
El Sida En La Infanciaguestf74877
 

Empfohlen

Prensa resumen actuaciones personas sin hogar. nov 2014
Prensa resumen actuaciones personas sin hogar. nov 2014Prensa resumen actuaciones personas sin hogar. nov 2014
Prensa resumen actuaciones personas sin hogar. nov 2014SEVILLA
 
Naturalia Invierno 2009
Naturalia Invierno 2009Naturalia Invierno 2009
Naturalia Invierno 2009Fundación Natura Bolivia
 
Calibracion PSH
Calibracion PSHCalibracion PSH
Calibracion PSHFreddy Martinez Vargas
 
Psicología aplicada a la atención socio sanitaria de
Psicología aplicada a la atención socio sanitaria dePsicología aplicada a la atención socio sanitaria de
Psicología aplicada a la atención socio sanitaria dePedro Rodriguez Picazo
 
Pci
PciPci
PciMary Jackson Nicole
 
Dr panchito vih pediatria
Dr panchito vih pediatriaDr panchito vih pediatria
Dr panchito vih pediatriaFrancisco Infantes Gómez
 
Sida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS
Sida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURASSida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS
Sida en pediatría.. MEDICINA, UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURASMelissa Portillo
 
El Sida En La Infancia
El Sida En La InfanciaEl Sida En La Infancia
El Sida En La Infanciaguestf74877
 
Vih sida odontologia
Vih sida odontologiaVih sida odontologia
Vih sida odontologiaE Cad
 
Consideraciones estomatológicas en los pacientes con VIH-SIDA
Consideraciones estomatológicas en los pacientes con VIH-SIDAConsideraciones estomatológicas en los pacientes con VIH-SIDA
Consideraciones estomatológicas en los pacientes con VIH-SIDAJavier Gonzalez
 
Paralisis cerebral infantil
Paralisis cerebral infantilParalisis cerebral infantil
Paralisis cerebral infantilAle Nevarez Castillo
 
Quimica sanguinea completa
Quimica sanguinea completaQuimica sanguinea completa
Quimica sanguinea completaFaby Navarro
 
Diapositivas VIH-sida
Diapositivas VIH-sidaDiapositivas VIH-sida
Diapositivas VIH-sidalauritacate
 
VIH - SIDA
VIH - SIDAVIH - SIDA
VIH - SIDALuisa Fernanda Murillo Moreno
 
Celulas Vegetal Y Animal
Celulas Vegetal Y AnimalCelulas Vegetal Y Animal
Celulas Vegetal Y Animalfuentes_arismar
 
Trabajo Sida (Power Point)
Trabajo Sida (Power Point)Trabajo Sida (Power Point)
Trabajo Sida (Power Point)Óscar Marcos Jurado
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Aspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraAspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraInternet Security Auditors
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...SolidQ
 
Expo Windows2003 R2
Expo Windows2003 R2Expo Windows2003 R2
Expo Windows2003 R2guestd39674
 
Expo Windows2003 R2
Expo Windows2003 R2Expo Windows2003 R2
Expo Windows2003 R2guestd39674
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
Ppt pre defensa
Ppt pre defensaPpt pre defensa
Ppt pre defensaLuis Enrique Conde del Oso
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
SGBD Postgresql
SGBD PostgresqlSGBD Postgresql
SGBD PostgresqlAlex Geovani
 
GCSW Unidad2: Actividades de la gestión de configuración del software
GCSW Unidad2: Actividades de la gestión de configuración del software GCSW Unidad2: Actividades de la gestión de configuración del software
GCSW Unidad2: Actividades de la gestión de configuración del software Franklin Parrales Bravo
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
Proyecto final crs
Proyecto final crsProyecto final crs
Proyecto final crsPame Buñay
 

Weitere ähnliche Inhalte

Andere mochten auch

Vih sida odontologia
Vih sida odontologiaVih sida odontologia
Vih sida odontologiaE Cad
 
Consideraciones estomatológicas en los pacientes con VIH-SIDA
Consideraciones estomatológicas en los pacientes con VIH-SIDAConsideraciones estomatológicas en los pacientes con VIH-SIDA
Consideraciones estomatológicas en los pacientes con VIH-SIDAJavier Gonzalez
 
Quimica sanguinea completa
Quimica sanguinea completaQuimica sanguinea completa
Quimica sanguinea completaFaby Navarro
 
Diapositivas VIH-sida
Diapositivas VIH-sidaDiapositivas VIH-sida
Diapositivas VIH-sidalauritacate
 
Celulas Vegetal Y Animal
Celulas Vegetal Y AnimalCelulas Vegetal Y Animal
Celulas Vegetal Y Animalfuentes_arismar
 

Andere mochten auch (8)

Vih sida odontologia
Vih sida odontologiaVih sida odontologia
Vih sida odontologia
 
Consideraciones estomatológicas en los pacientes con VIH-SIDA
Consideraciones estomatológicas en los pacientes con VIH-SIDAConsideraciones estomatológicas en los pacientes con VIH-SIDA
Consideraciones estomatológicas en los pacientes con VIH-SIDA
 
Paralisis cerebral infantil
Paralisis cerebral infantilParalisis cerebral infantil
Paralisis cerebral infantil
 
Quimica sanguinea completa
Quimica sanguinea completaQuimica sanguinea completa
Quimica sanguinea completa
 
Diapositivas VIH-sida
Diapositivas VIH-sidaDiapositivas VIH-sida
Diapositivas VIH-sida
 
VIH - SIDA
VIH - SIDAVIH - SIDA
VIH - SIDA
 
Celulas Vegetal Y Animal
Celulas Vegetal Y AnimalCelulas Vegetal Y Animal
Celulas Vegetal Y Animal
 
Trabajo Sida (Power Point)
Trabajo Sida (Power Point)Trabajo Sida (Power Point)
Trabajo Sida (Power Point)
 

Ähnlich wie Novedades PCI DSS v 2.0 y PA-DSS v 2.0.

Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Internet Security Auditors
 
Aspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraAspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraInternet Security Auditors
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...SolidQ
 
Expo Windows2003 R2
Expo Windows2003 R2Expo Windows2003 R2
Expo Windows2003 R2guestd39674
 
Expo Windows2003 R2
Expo Windows2003 R2Expo Windows2003 R2
Expo Windows2003 R2guestd39674
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
GCSW Unidad2: Actividades de la gestión de configuración del software
GCSW Unidad2: Actividades de la gestión de configuración del software GCSW Unidad2: Actividades de la gestión de configuración del software
GCSW Unidad2: Actividades de la gestión de configuración del software Franklin Parrales Bravo
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
Proyecto final crs
Proyecto final crsProyecto final crs
Proyecto final crsPame Buñay
 
SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...
SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...
SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...SolidQ
 
Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...
Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...
Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...José Antonio Sandoval Acosta
 
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...Luis Fernando Aguas Bucheli
 
Camino hacia la certificación en PCI DSS Adquiriente.
Camino hacia la certificación en PCI DSS Adquiriente.Camino hacia la certificación en PCI DSS Adquiriente.
Camino hacia la certificación en PCI DSS Adquiriente.Internet Security Auditors
 

Ähnlich wie Novedades PCI DSS v 2.0 y PA-DSS v 2.0. (20)

Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
Marco Normativo. Separación de funciones entre Caixa Penedès y SerinCEP.
 
Aspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente AguileraAspectos clave de seguridad en PCI. Vicente Aguilera
Aspectos clave de seguridad en PCI. Vicente Aguilera
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...
STOP a la fuga de información: la barrera indispensable de seguridad en SQL S...
 
Expo Windows2003 R2
Expo Windows2003 R2Expo Windows2003 R2
Expo Windows2003 R2
 
Expo Windows2003 R2
Expo Windows2003 R2Expo Windows2003 R2
Expo Windows2003 R2
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorio
 
Ppt pre defensa
Ppt pre defensaPpt pre defensa
Ppt pre defensa
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
SGBD Postgresql
SGBD PostgresqlSGBD Postgresql
SGBD Postgresql
 
GCSW Unidad2: Actividades de la gestión de configuración del software
GCSW Unidad2: Actividades de la gestión de configuración del software GCSW Unidad2: Actividades de la gestión de configuración del software
GCSW Unidad2: Actividades de la gestión de configuración del software
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
Proyecto final crs
Proyecto final crsProyecto final crs
Proyecto final crs
 
SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...
SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...
SSIS a fondo: monitorización y ajustes del servicio en producción - SolidQ Su...
 
Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...
Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...
Programación de Base de Datos - Unidad II: Aplicaciones con Arquitectura Clie...
 
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...
10- Unidad 3: Webservices - 3.2 Uso de Web services (Introducción, Caracterís...
 
Dominios producto final
Dominios producto finalDominios producto final
Dominios producto final
 
Camino hacia la certificación en PCI DSS Adquiriente.
Camino hacia la certificación en PCI DSS Adquiriente.Camino hacia la certificación en PCI DSS Adquiriente.
Camino hacia la certificación en PCI DSS Adquiriente.
 
PresentacióN Tesis
PresentacióN TesisPresentacióN Tesis
PresentacióN Tesis
 

Mehr von Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Mehr von Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Kürzlich hochgeladen

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Kürzlich hochgeladen (10)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Novedades PCI DSS v 2.0 y PA-DSS v 2.0.

  • 1. 1 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel NOVEDADES PCI DSS V2.0 Y PA-DSS V2.0 MIGUEL ÁNGEL DOMÍNGUEZ DIRECTOR DEPTO. CONSULTORÍA / QSA MANAGER INTERNET SECURITY AUDITORS
  • 2. 2 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 2 ÍNDICE  Novedades PCI DSS Versión 2.0  Novedades PA DSS Versión 2.0
  • 3. 3 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 3  Aclaraciones  Cambios principalmente del texto con el objetivo de explicar mejor el objetivo deseado con el requisito.  Guía Adicional  Introduce ejemplos o definiciones que permiten aumentar el entendimiento o proporcionar mayor información en relación a algún aspecto recogido por el requisito.  Evolución del Requisito • Verdaderas modificaciones en la implementación. PCI DSS v2.0 Tipo de Cambios
  • 4. 4 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 4 PCI DSS v2.0  Implicados:  comercio, proveedores, entidades adquirientes y emisores  Account Data vs Cardholder data  PreAutorización: PCI DSS también aplica a datos sensibles de autenticación que son la pista completa en la banda magnética, el código de validación CVV2/CVC2/CAV2/CID y el PIN/PIN Block  PAN - mínimo dato que define la necesidad de PCI DSS Cambios Generales
  • 5. 5 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 5 PCI DSS v2.0  Componentes de Sistema  Entornos Virtuales: Máquinas virtuales, dispositivos de red virtuales e incluso aplicaciones, escritorios e hipervisores.  Segmentación de Red  Segmentación física y lógica de la red.  La segmentación es correcta si aislamos aquellos componentes de sistema involucrados en el almacenamiento, procesamiento y transmisión de datos de tarjetas, de los que no lo están.  Muestreo  Independiente por el auditor  Localizaciones  Componentes de sistemas  No se toma muestra de requisitos Cambios Generales
  • 6. 6 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 6 PCI DSS v2.0  Reestructuraciones de requisitos  Reorganización de aspectos confusos y repetidos en distintos puntos de la norma.  Alineamiento de procedimientos de auditoría con requisitos
  • 7. 7 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 7  No sólo FW o Routers  Considerar otros componentes de sistema que implementen controles del tráfico desde o hacia redes inseguras.  Req 1.3.7 Place system components that store cardholder data (such as a database) in an internal network zone, segregated from the DMZ and other untrusted networks.  Requisito aplica a cualquier tipo de almacenamiento de datos de tarjetas y no sólo a bases de datos. PCI DSS v2.0 Req 1: Instalar y mantener un cortafuegos y su configuración
  • 8. 8 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 8  Req 2.2.1 Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server.  El objetivo de este requisito es la no coexistencia de funcionalidades que requieran diferentes niveles de seguridad .  Cada sistema virtualizado debe implementar una única función primaria. PCI DSS v2.0 Req 2: No emplear parámetros de seguridad por defecto
  • 9. 9 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 9  Req 3.2 Do not store sensitive authentication data after authorization (even if encrypted).  Entidades Emisoras: Pueden almacenar información sensible de autenticación si existe la debida justificación por necesidad del negocio y, por descontado, si estos datos son almacenados de forma segura.  Req 3.4 Render PAN unreadable anywhere it is stored.  Uso Combinado de Hash y Truncado: Se requiere implementar medidas de seguridad adicionales para que no se pueda hacer una correlación entre el hash y el dato truncado que permita obtener el PAN completo.  No se puede utilizar la técnica de hashing para substituir la parte truncada del PAN PCI DSS v2.0 Req 3: Proteger los datos almacenados de tarjetas
  • 10. 10 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 10  Gestión de claves – concepto de Criptoperiodo  Por ejemplo, un período de tiempo o una cantidad total de texto cifrado generado por la clave a cambiar.  Req 3.6.6 If manual clear-text cryptographic key management operations are used, these operations must be managed using split knowledge and dual control.  Limita la necesidad del split knowledge y el control dual a aquellas operaciones de gestión de claves que se hagan en claro y que se realicen manualmente.  Req 3.6.8 Requirement for cryptographic key custodians to formally acknowledge that they understand and accept their key-custodian responsibilities.  Aceptación formal también aceptada en formato electrónico PCI DSS v2.0 Req 3: Proteger los datos almacenados de tarjetas
  • 11. 11 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 11  Se aclara que el antivirus debe generar registros de auditoría  Protocolo WEP no es aceptado (30 Junio 2010) PCI DSS v2.0 Req 4: Cifrar la transmisión de datos de tarjeta en redes públicas abiertas Req 5: Usar y actualizar regularmente software antivirus
  • 12. 12 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 12  Req 6.2 Establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities.  30 Junio 2012: nuevas vulnerabilidades clasificadas según el riesgo que introducen y basándose en las buenas prácticas definidas por la industria como por ejemplo CVSS y/o siguiendo las clasificaciones que proporcionan los proveedores del software afectado por la vulnerabilidad.  Estructura de los requisitos 6.3, 6.4 y 6.5 Req 6.3: Develop software applications in accordance with PCI DSS Req 6.4: Follow change control processes and procedures Req 6.5: Develop applications based on secure coding guidelines  Facilitar entendimiento  Eliminar redundancias  Agrupar conceptos: aplicaciones internas/externas, Web/No Web. PCI DSS v2.0 Req 6: Desarrollar y mantener de forma segura sistemas y aplicaciones
  • 13. 13 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 13  Req 7.1.3 Requirement for a documented approval by authorized parties specifying required privileges.  En lugar de requerir un formulario firmado por dirección PCI DSS v2.0 Req 7: Restringir el acceso a la información de tarjetas Req 8: Asignar IDs únicos  Autenticación de 2 factores  Es diferente de utilizar autenticación de 1 factor 2 veces
  • 14. 14 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 14  Aclaraciones menores para los términos  Onsite Personnnel  Visitor  Media PCI DSS v2.0 Req 9: Restringir el acceso físico a datos de tarjetas
  • 15. 15 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 15  Se detalla más los requisitos relacionados con el uso de sincronización de tiempo.  No se limita a NTP  Concreta como debe ser y estar protegida la arquitectura de sincronización. PCI DSS v2.0 Req 10: Auditar y monitorizar todos los accesos a los recursos de red y datos de tarjetas
  • 16. 16 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 16 PCI DSS v2.0  Escaneos Wifi  Necesidad de disponer de un proceso documentado  Métodos adicionales: Inspección física o tecnologías NAC.  Escaneos de Vulns Trimestrales Internos  Consideraciones para determinar cuando un escaneo se considera válido: El escaneo será válido si se cumple una de las siguiente condiciones: 1. Todas las vulnerabilidades (a excepción de falsos positivos) han sido solucionadas 2. Se han solucionado las vulnerabilidades “altas” siguiendo el proceso de clasificación en base al riesgo (no esperamos a 30/6/12)  IDS/IPS  Monitorización del tráfico a nivel de perímetro y en puntos considerados críticos. Req 11: Testear de forma regular la seguridad de los sistemas y procesos
  • 17. 17 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 17  Análisis de Riesgos  Aclaración de que se considera AR formal  Ejemplos: Octave, ISO27005, NIST SP 800-30  Req 12.3.10 For personnel accessing cardholder data via remote-access technologies, prohibit copy, move, and storage of cardholder data onto local hard drives and removable electronic media, unless explicitly authorized for a defined business need.  Se permite en el acceso remoto a datos de tarjeta copiar, mover o almacenar en local y medios removibles.  Con Justificación en base a una necesidad de negocio  Protegiendo la información según establece PCI DSS. Req 12: Mantener una política que gestione la seguridad de la información PCI DSS v2.0
  • 18. 18 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 18  Aclaraciones  Cambios principalmente del texto con el objetivo de explicar mejor el objetivo deseado con el requisito.  Guía Adicional  Introduce ejemplos o definiciones que permiten aumentar el entendimiento o proporcionar mayor información en relación a algún aspecto recogido por el requisito.  Evolución del Requisito • Verdaderas modificaciones en la implementación. PA DSS v2.0 Tipo de Cambios
  • 19. 19 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 19 PA DSS v2.0  PA DSS por si mismo no hace cumplir PCI DSS  Desplegada en un entorno cumplidor PCI DSS.  Aplicación desplegada según la Guía de Implementación que proporciona el proveedor de la aplicación.  Ámbito de Aplicación de PA DSS  Se aclara que PA DSS No aplica si la aplicación se ha desarrollado y ha sido vendida a un solo cliente.  Aplicabilidad en aplicaciones residentes en Terminales Hardware Payment applications designed to operate on hardware terminals (also known as a standalone or dedicated POS terminal) may undergo a PA-DSS review if the vendor wishes to achieve validation and if PA-DSS compliance requirements can be met.  NO es Obligatorio: Si el vendedor desea alcanzar la certificación con PA DSS.  ¿Qué puede impulsar a la necesidad de certificación?: Necesidad de negocio (Ej: un contrato lo requiere), obligación (ej: una marca lo solicita). Cambios Generales
  • 20. 20 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 20 PA DSS v2.0  Laboratorio de Pruebas  El PA QSA debe tener acceso a un laboratorio donde se realizará el proceso de validación de la aplicación  El PA QSA debe validar una instalación limpia (no se puede reutilizar una instalación ya existente) del entorno de laboratorio para asegurar que simula lo más fielmente posible un situación real y que el entorno de laboratorio no ha sido manipulado por el vendedor. Cambios Generales
  • 21. 21 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 21 PA DSS v2.0  Reestructuraciones de requisitos  Menos referencias a la Norma PCI DSS. Se incluye en la propia norma PA DSS  Se fusionan los requerimientos 10 y 11 para eliminar redundancias  Alineamiento con las modificaciones introducidas en la norma PCI DSS v2.0
  • 22. 22 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 22  Req 2.5 Payment application must protect any keys used to secure cardholder data against disclosure and misuse.  También afecta a las claves utilizadas para proteger las claves de cifrado de datos (key-encrypting keys).  Req 2.6 Payment application must implement key management processes and procedures for cryptographic keys used for encryption of cardholder data  Se solicita que la guía de implementación contenga instrucciones para las funciones de gestión de claves de cifrado.  Req 2.7 Render irretrievable any cryptographic key material or cryptogram stored by previous versions of the payment application, in accordance with industry-accepted standards.  Se acepta como válido la eliminación de forma segura (irrecuperable) de la clave que protege la clave de cifrar los datos (key-encryption key). PA DSS v2.0 Cambios Destacables
  • 23. 23 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 23  Req 3.1 The payment application must support and enforce the use of unique user IDs and secure authentication for all administrative access and for all access to cardholder data. Secure authentication must be enforced to all accounts, generated or managed by the application, by the completion of installation and for subsequent changes after installation.  Afecta a todas la cuentas gestionadas por la aplicación y no sólo durante la instalación sino que también en cambios posteriores.  Req 4.4 Payment application must facilitate centralized logging  Nuevo Requerimiento  Las aplicaciones de pago deben facilitar la centralización de logs de PA DSS v2.0 Cambios Destacables
  • 24. 24 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel 24  Req 5  Ha sufrido una gran reestructuración de los requisitos como consecuencia de la propia reestructuración del requisito 6 en PCI DSS v2.0.  El concepto de entorno de producción no es aplicable para el objetivo de PA DSS.  Req 7.1 Software vendors must establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities and to test their payment applications for vulnerabilities. Any underlying software or systems that are provided with or required by the payment application (for example, web servers, third-party libraries and programs) must be included in this process.  Evolución del requisito  Se añade la necesidad de clasificar las vulnerabilidades en base al riesgo y para PA DSS debe implementarse ya. No es opcional hasta el 30/6/2012 como en PCI DSS v2.0. PA DSS v2.0 Cambios Destacables
  • 25. 25 Haga clic para modificar el estilo de título del patrón • Haga clic para modificar el estilo de texto del patrón – Segundo nivel • Tercer nivel – Cuarto nivel PREGUNTAS