PCI y medidas de seguridad en los medios electrónicos de pagoVIII Congreso Internacional de...

organizado por:

1

VIII Congreso Internacional de Seguridad de la Información“La seguridad agrega valor”

6 de mayo – Radisson Montevideo Victoria Plaza - Uruguay

PCI y medidas de seguridad en PCI y medidas de seguridad en los medios electrlos medios electróónicos de pagonicos de pago

Díaz CarlosConsultorCYBSEC

Security Systems

2

Presentada por:

VIII Congreso Internacional de Seguridad de la Información“La seguridad agrega valor”

6 de mayo – Radisson Montevideo Victoria Plaza - Uruguay

Aclaración:

©© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Agenda

Casos reales de robo de información de tarjetas de pagoPayment Card Industry Security Standards Council

(PCI-SSC)¿Qué es?¿De qué se encarga?¿Quiénes deben validar cumplimiento?Qualified Security Assessor (QSA)

PCI Data Security Standard (PCI-DSS)Ejercitación: Caso de estudio

4

Casos reales

5

Junio de 2005: Un intruso, abusando una vulnerabilidad en el sistema logró acceder a la red de la empresa “Card Systems”, un procesador de transacciones de pago. De allí robó información de

más de 40.000.000 de tarjetas de crédito y débito, que luego fueron utilizadas en estafas.

Fue uno de los mayores robos de información de tarjetas de pago de la historia.

Imagen: http://indice.elpais.com/2005/06/19/index.html

Casos reales

6

Diciembre de 2006: La cadena de retail estadounidense “TJX”detectó que atacantes lograron acceder a la red de procesamiento de transacciones de la compañía , y robaron información de más de

200.000 tarjetas de crédito.

La investigación posterior mostró que la fuga de información había comenzado 7 meses antes.

La empresa enfrenta hoy demandas de sus clientes y multas de lasfirmas de tarjetas de crédito

Imagen: http://www.boston.com/business/personalfinance/specials/tjx_credit/

Casos reales

7

Enero de 2007: Se investiga un probable robo de información de tarjetas de pago de la cadena de indumentaria “Club Monaco” en

Canada.

Los bancos emisores de las tarjetas involucradas están siguiendo de cerca los consumos de sus clientes, para detectar signos de estafas.

Imagen: http://www.scarboroughtowncentre.com/

Payment Card IndustrySecurity Standards Council (PCI-SSC)

8

Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada “Payment Card IndustrySecurity Standards Council”. Sus miembros fundadores son:

• VISA, Inc. • MASTERCARD WORLDWIDE• JCB • DISCOVER FINANCIAL• AMERICAN EXPRESS

La organización fue creada en septiembre de 2006 para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares .

Payment Card IndustrySecurity Standards Council (PCI-SC)

9

Los objetivos del PCI-SSC son:

• Emitir nuevos estándares y administrar su ciclo de vida.• Fortalecer la seguridad en el manejo de cuentas de tarjetas.• Crear conciencia y dirigir la adopción de los estándares.• Fomentar la participación y recabar “feedback”.• Entrenar, testear y certificar *QSAs/ASVs/PA-QSAs y laboratorios

PED• Proveer una única voz a nivel global sobre la industria

* QSA: Qualified Security Assessor

ASV: Approved Scanning Vendor

PA-QSA: Payment Application – Qualified Security Assessor

PED: Pin Entry Device http://www.pcisecuritystandards.org

10

¿Quiénes deben validar cumplimiento?

Cada marca de tarjetas de pago (Payment Brand), posee un programa de seguridad de transacciones de pago, Ej:

• Visa USA: CISP (Cardholder Information Security Program) • Visa: AIS (Account Information Security Program)• Mastercard: SDP (Site Data Protection) • American Express: DSOP (Data Security Operating Policy) • Discover: DISC (Discover Information Security Compliance)• JCB: Data Security Program

Por medio de ellos, se requiere el cumplimiento con el estándar PCI-DSS a los miembros y comercios, estableciéndose penalidades y multas para aquellos que no se ajusten a la norma.

11


Estos programas de cumplimiento incluyen:

• Seguimiento y exigencia al cumplimiento.• Penalidades, multas, y fechas límites para cumplimiento.• Procesos de validación y quienes deben validar.• Aprobación y difusión de cumplimiento de entidades.• Definición de niveles de comercios y proveedores de servicio.

Las marcas (Payment Brands) también son responsables por las actividades de investigación forense y respuestas a incidentes ante cualquier compromiso de información de tarjetas.

12


COMERCIOS

Nivel VISA Inc MasterCard Requisitos

1

Con más de 6.000.000.-de transacciones anuales de VISA o comecios globales identificados como Nivel 1 por VISA fuera de USA.

Comercios que procesen más de 6.000.000.- de transacciones MasterCard anualmente, aquellos que sean identificados como Nivel 1 por otra marca, o comercios que hayan experimentado alguncompromiso de datos de tarjetas

* Auditoría on site anual realizada por un QSA

* Escaneos trimestrales realizados por un ASV

* Formulario de Testimonio de Cumplimiento (VISA)

2

Comercios que procesen de 1 a 6 millones de transacciones VISA anualmente

Comercios que procesen de 1 a 6 millones de transacciones MasterCard anualmente o comercios que sean calificados como Nivel 2 en otras marcas

* Auditoría on site anual realizada por un QSA (MasterCard)



* Cuestionario de Autoevaluación anual (VISA)

13


COMERCIOS


3

Comercios que procesen 20.000 a 1 millón de transacciones VISA e-

commerce anualmente

Comercios que procesen 20.000 a 1 millón de

transacciones MasterCard e-commerce anualmente

o comercios que sean identificados como Nivel 3

por otras marcas

* Cuestionario de Autoevaluación anual


4

Comercios que procesen menos de 20.000

transacciones VISA e-commerce anualmente, u otros comercios que

procesen hasta 1 millón de transacciones VISA

anualmente

Los demás comercios que procesen MasterCard

* Cumplimiento a discreción del Adquiriente

* Cuestionario de Autoevaluación recomendado (VISA)

* Escaneos trimestrales realizados por un ASV recomendado (VISA)

14


PROVEEDORES DE SERVICIOS


1

Procesadores de VisaNet o cualquier proveedor de servicio que almacene, procese o transmita más de 300.000 transacciones anualmente

Todos los TPP (Third Party Processor)Todos los DSE (Data StorageEntities) que almacenen, procesen o transmitan más de 300.000 transacciones anualmente combinadas entre MasterCard y Maestro

* Auditoría on site anual realizada por un QSA



2

Cualquier proveedor de servicio que almacene, procese o transmita menos de 300.000 transacciones anualmente

Todos los DSE (Data StorageEntities) que almacenen, procesen o transmitan menos de 300.000 transacciones anualmente combinadas entre MasterCard y Maestro

* Cuestionario de Autoevaluación anual



15

Qualified Security Assessor

Es una empresa, especializada en seguridad de la información.• La empresa y sus integrantes se certifican ante el Payment CardIndustry Security Standards Council. • Es reconocida por todos los miembros de PCI (VISA, MasterCard, etc.)• Está aprobada por PCI para realizar auditorías “On Site” en los comercios y entidades de Nivel 1 para establecer el cumplimientode PCI-DSS.• Brinda asesoramiento sobre cumplimiento con PCI y “Gap Análisis”.

16

PCI Data Security Standard (DSS)

El estándar PCI-DSS define 12 requerimientos básicos separados en 6 categorías. Los mismos abarcan todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.

17


Categoría 1: Construir y Mantener Redes Seguras

1) Instalar y mantener configuraciones de “firewall” para proteger la información.• Establecer estándares de configuración de firewalls y routers• Whitelist, Stateful Inspection• Segmentación de la red (DMZs) – Opcional• Firewall de perímetro en todas las redes wireless• Utilización de IP Masquerading (NAT)

2) No usar contraseñas o parámetros de seguridad “por default”.• Definir estándares de configuración de equipos• Establecer nuevos valores para passwords, comunidades

SNMP, SSIDs, etc.• Encriptar accesos administrativos (SSH, VPN, SSL/TLS, etc)

18


Categoría 2: Proteger la Información del Titular de Tarjetas de Pago

3) Proteger Información Almacenada.• Minimizar el almacenamiento de datos de titulares de

tarjetas• Restricciones de almacenamiento de datos sensibles (Track1

/ Track2, CVV2, Primary Account Numbers, etc)• Enmascarar el “Primary Account Number” (PAN) al mostrarlo

(mostrar solo primeros 6 o últimos 4 dígitos)• Uso de algoritmos de encripción estándar de la industria (ej.

AES)• Documentar e implementar procedimientos de manejo de

claves.

19


Categoría 2: Proteger la Información del Titular de Tarjetas de Pago

4) Cifrar datos del titular de tarjetas e información sensitiva al enviarla por redes públicas • Usar criptografía fuerte y técnicas de encripción• No enviar información de titulares de tarjeta por mail sin

encripción.

20


Categoría 3: Establecer Programas de Pruebas de Vulnerabilidades

5) Usar y actualizar regularmente soluciones anti-virus• Incluir todos los sistemas Windows• Las soluciones deben estar funcionales, actualizadas y

deben generar Logs.

21


Categoría 3: Establecer Programas de Pruebas de Vulnerabilidades

6) Desarrollar y mantener sistemas y aplicativos seguros• Todos los sistemas deben tener los últimos parches de

seguridad• Establecer un proceso para identificar nuevas

vulnerabilidades• Desarrollar software siguiendo estándares de seguridad y

“buenas prácticas” de la industria (Ej: OWASP)• Incorporar seguridad a lo largo del ciclo de desarrollo del

software• Las aplicaciones WEB deben ser revisadas en busca de

vulnerabilidades por una organización especializada en seguridad

22


Categoría 4: Implementar medidas fuertes de control de Acceso

7) Restringir acceso a información de acuerdo reglas de negocio • Limitar el acceso a los recursos únicamente a quienes lo

necesitan• Utilizar criterio de Whitelist (denegar todo “por default”)

8) Asignar IDs únicos para cada persona con acceso a sistemas • Identificar a cada usuario con un ID único antes de brindar

accesos• Utilizar métodos de autenticación (password, tokens,

biometrics)

23


Categoría 4: Implementar medidas fuertes de control de Acceso

9) Restringir acceso a la información de titulares de tarjetas de pago.• Limitar y monitorear el acceso a información sobre tarjetas• Definir procedimientos para administración de accesos y

registro de visitantes• Almacenar los backups de manera segura• Asegurar físicamente los medios de información• Implementar una política de destrucción de documentos

descartados

24


Categoría 5: Monitorear y Probar regularmente el Acceso a la Red

10) Rastrear y monitorear todos los accesos a la Red e información de titulares de Tarjetas de Pago • Implementar auditoría automática en todos los componentes

del sistema• Mantener sincronizada la hora de todos los servidores• Asegurar los registros de auditoría.• Revisar diariamente los Logs de los servidores

25


Categoría 5: Monitorear y Probar regularmente el Acceso a la Red

11) Regularmente probar sistemas y procedimientos de seguridad• Testear anualmente limitaciones, controles y conexiones de

red• Realizar periódicamente escaneos de vulnerabilidades

internos y externos• Realizar Penetration Tests anuales.• Utilizar NIDS/HIDS• Utilizar sistemas de monitoreo de integridad de archivos.

26


Categoría 6: Mantener Políticas de Seguridad de la Información

12) Establecer políticas dirigidas a la Seguridad de la Información• Mantener, establecer, publicar y diseminar una política de

seguridad• Desarrollar procedimientos diarios de seguridad operacional• Desarrollar políticas para la utilización de tecnologías críticas

por parte de los empleados (Ej: Modems y Wireless)• Implementar un programa formal de concientización en

Seguridad de la Información• Educar a los empleados, desde la contratación y de manera

regular.• Implementar un plan de respuesta ante incidentes• Mantener e implementar políticas y procedimientos de

seguridad para con todas las entidades conectadas con la organización

27

Caso de estudio – Super ShoPYng S.A.

Super ShoPYng S.A:

• Cadena de retail en Paraguay • Catalogada como de “Nivel 1” por las procesadoras locales• Tiene una sede central y 4 sucursales en el interior• Acepta transacciones con tarjetas de débito y crédito

28


Super ShoPYng S.A

Topología Actual

29


Super ShoPYng S.A

Cambios Propuestos

30


La VPN utiliza encripción DES de 56 bits.

• El autorizador local de transacciones corre sobre un equipo Linux

• Almacena información sobre las ventas para un programa de fidelidad

• Se incluyen todos los datos de la tarjeta de crédito, “ofuscados”usando un algoritmo propietario y secreto que diseñó un desarrollador de Super ShoPYng.• Únicamente 4 personas tienen acceso a la base de datos de ventas.• Las 4 personas utilizan el usuario “dbadmin” con password“r98Ja03P”.

• Hay un administrador de red que “configura” la seguridad en los equipos

• También configura las reglas de firewall cuando se lo solicitan.• Cada tanto, actualiza parches de seguridad en los servidores Windows.• Cuando el tiempo se lo permite, revisa los logs de algunos equipos

31


• La VPN utiliza encripción 3DES de 168 bits.



• Se incluyen todos los datos de la tarjeta de crédito, “ofuscados” usando un algoritmo propietario y secreto que diseñó un desarrollador de SuperShoPYng.• Únicamente 4 personas tienen acceso a la base de datos de ventas.• Las 4 personas utilizan el usuario “dbadmin” con password “r98Ja03P”.



32


La VPN utiliza encripción 3DES de 168 bits.



• Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary AccountNumber (PAN)• Únicamente 4 personas tienen acceso a la base de datos de ventas.•Cada persona tiene su propio ID usuario y debe cambiar su clave cada 90 días



33


•La VPN utiliza encripción 3DES de 168 bits.• El autorizador local de transacciones corre sobre un equipo Linux• Almacena información sobre las ventas para un programa de fidelidad

• Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary AccountNumber (PAN)• Únicamente 4 personas tienen acceso a la base de datos de ventas.• Las 4 personas utilizan el usuario “dbadmin” con password“r98Ja03P”.

• Hay un responsable de seguridad de la información• Se definió una política para la modificación de reglas de

firewall• Se definió un procedimiento periódico de patch

management para todas las plataformas (Windows y Linux)

• Se implementó una herramienta de monitoreo remoto y parsing de logs, así como un procedimiento para su

Gracias por asistir a esta sesión…

34

Para mayor información:

Carlos Díaz

[email protected]

Para descargar esta presentación visite www.segurinfo.org

35Los invitamos a sumarse al grupo “Segurinfo” en

PCI y medidas de seguridad en los medios electrónicos de pagoVIII Congreso Internacional de...

Documents

Transcript of PCI y medidas de seguridad en los medios electrónicos de pagoVIII Congreso Internacional de...