PCI DSS en la Nube Javier Roberto Amaya Madrid Consultor en Seguridad QSA, ISO27001 L.A., ISO9001 L.A. Internet Security Auditors

PCI DSS en la Nube

Javier Roberto Amaya Madrid

Consultor en Seguridad

QSA, ISO27001 L.A., ISO9001 L.A.

Internet Security Auditors

La CCCE asume el compromiso de regir sus actuaciones y decisiones empresariales

de conformidad con la ley colombiana y normas nacionales de competencia, y

estatutos & reglamentos internos; en todo momento la libre participación de las

empresas en el mercado, el bienestar de los consumidores y la eficiencia económica.

Las conclusiones y recomendaciones realizadas en los espacios de formación,

capacitación y talleres por los conferencistas, así como en los contenidos expuestos

por la CCCE, directa o indirectamente, (nuestros portales, redes sociales y en general

medios digitales o tradicionales) son de carácter informativo sin comprometer a

ninguno de los afiliados o en general al público con su aplicación.

Agenda



Introducción



Modelos de Despliegue



Modelos de Servicio



Responsabilidad PCI DSS



_{Seguridad Como Servicio}



Consideraciones de

Segmentación



Retos de Cumplimiento



Verificación de Alcance



Gobierno, Riesgo y

Cumplimiento



Consideraciones Legales



_{Seguridad de los Datos}



Seguridad Técnica

Modelos de Servicio

CSP

IaaS

PaaS

Modelos de Servicio

Capa de la Nube

Modelos de Servicio

IaaS

PaaS

SaaS

Datos

Interfaces (APIs, GUIs)

Aplicaciones

Capa de Solución (lenguajes de programación)

Sistemas Operativos (OS)

Máquinas virtuales

Infraestructura virtual de red

Hipervisores

Procesamiento y memoria

Almacenamiento de datos (discos duros, discos removibles, copias de respaldo, etc.)

Red (interfaces y dispositivos, infraestructura de comunicaciones)

Responsabilidad PCI DSS

Un cliente de la nube no debe asumir nada acerca de cualquier parte o

tema del servicio, se debe escribir cada elemento de responsabilidad por

asegurar cada uno de los procesos y componentes del sistema en los

contratos, memorandos de entendimiento y/o acuerdos de servicio.

Ejemplo Responsabilidad PCI DSS

IaaS PaaS SaaS

1. Instalar y mantener una configuración de fiirewall para proteger los datos de tarjeta-habiente. Ambos Ambos CSP 2. No use contraseñas o variables de seguridad por defecto configuradas por el fabricante de los sistemas. Ambos Ambos CSP

3. Proteja los datos de tarjeta-habiente almacenados. Ambos Ambos CSP

4. Cifre los datos de tarjeta-habiente que sean transmitidos por redes públicas abiertas. Ambos Ambos CSP

5. Use y actualice regularmente una aplicación anti-virus. Cliente Ambos Ambos

6. Desarrolle y mantenga sistemas y aplicaciones seguras. Cliente Ambos Ambos

7. Restrinja el acceso a los datos de tarjeta-habiente de acuerdo a la necesidad de conocer. Ambos Ambos Ambos 8. Asigne un identificador único a cada persona con acceso a computadores. Ambos Ambos CSP

9. Restrinja el acceso físico a los datos de tarjeta-habiente. CSP CSP CSP

10. Registre y monitoree todo acceso a los recursos de red y a datos de tarjeta-habiente. Ambos Ambos CSP

11. Pruebe regularmente la seguridad de procesos y sistemas. Ambos Ambos Ambos

12. Mantenga una política de seguridad de la informaciónpara todo el personal CSP CSP CSP

Consideraciones de Segmentación

No es segmen

tación

Máquinas virtuales en el mismo servidor separadas por control de

acceso del sistema operativo o de la aplicación

Datos de la organización guardados en la misma instancia de los datos

del sistema

Retos de Cumplimiento



Identificación de

Componentes



Responsabilidad de

Controles



Sistemas Dinámicos



Visibilidad de Seguridad



Control en

Almacenamiento



Control de Acceso y

Monitoreo



Límites del Perímetro



Acceso desde Internet



Monitoreo de Acceso

Verificación de Alcance

Consideraciones para el cliente

• ¿Cuanto lleva certificado el CSP?

• ¿Qué servicios están incluidos en la validación?

• ¿Donde están físicamente los servicios validados?

• ¿Se usan componentes que no están validados en el servicio?

• ¿Cómo se asegura el CSP que los clientes no introducen componentes que no cumplen?

El CSP debe proveer:

• Evidencia que identifique claramente lo que está en alcance

• Los requisitos contra los que fueron validados

• Aspectos no cubiertos por la verificación

Verificación de Alcance

XXXXX

El cliente debe revisar periódicamente:

• Prueba de la verificación de cumplimiento (AoC, secciones aplicables del RoC)

• Evidencia documentada de los componentes incluidos en la verificación

• Evidencia documentada de los componentes que fueron excluidos de la verificación

Si el CSP no está certificado, durante la verificación del cliente se requiere

verificar:

• Acceso a las instalaciones, entrevistas con el personal en sitio

• Políticas y procedimientos, documentación de procesos y estándares de configuración

• Registros de entrenamiento, planes de respuesta a incidentes, etc.

Gobierno, Riesgo y Cumplimiento

Adm.

Riesgo

Debida

Diligen-cia

SLA’s

Conti-nuidad

RRHH

Consideraciones Legales

Descubri-miento de

datos

Preservación

de evidencia

Custodia

de datos

Seguridad de los Datos

Adquisición de

Datos

Almacenamiento

y Persistencia

Ciclo de Vida

Clasificación

Cifrado

Disposición

Seguridad Técnica

Conclusión

Antes de escoger se debe:

o

_{ENTENDER los riesgos}

o

ESCOGER el modelo adecuado de despliegue

o

_{EVALUAR las diferentes opciones de servicio}

o

CONOCER lo que se requiere del CSP

o

_{COMPARAR proveedores y ofertas de servicio}

o

_{PREGUNTAR en qué consiste cada servicio, que incluye y que no}

o

DOCUMENTAR todo en acuerdos con el proveedor

o

_{SOLICITAR compromisos por escrito de que la seguridad se mantendrá}

o

REVISAR periódicamente los acuerdos

Gracias