Webinar-Spanish-PCI DSS-4.0.pdf
886 views
35 slides
Aug 25, 2022
Slide 1 of 35
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
About This Presentation
PCI DSS v4.0 Overview in Spanish
Seminario Web PCI DSS v4.0
Slide Content
SEMINARIOWEB:
PCI DSS v4.0
SU ASOCIADO EN CUMPLIMIENTO DE TI
VAYA MÁS ALLÁ DE LA LISTA DE COTEJO
DescargarFichade PCI DSS 4.0
Agendar Discusión de Certificación PCI DSS
PCI DSS v4.0
SU ASOCIADO EN CUMPLIMIENTO DE TI
VAYA MÁS ALLÁ DE LA LISTA DE COTEJO
DescargarFichade PCI DSS 4.0
Agendar Discusión de Certificación PCI DSS
ANDRES GUTIERREZ
PresidenteLATAM
ControlCase
Andrés es elpresidentede ControlCaseLAC enColombia y es responsablede todaslas
operacionesy actividades, incluidala gestióny entregade losserviciosde ControlCaseenla
regiónde América Latina.
Es responsablede las Ventas y Ejecuciónde Negociosenelterritorioy de otrasoperaciones
dentrode la regiónde América Latina. Tambiénes un gerenteexperimentadocon másde 12
añosde experienciaenAuditoríay Consultoríapara losdiferentesEstándaresde Seguridadde
la Información. Andrés ha realizadoevaluacionesde seguridadde TI, incluidasevaluacionesde
brechas, compromisosde remediacióny certificaciónpara bancosy proveedoresde servicios
pequeñosa grandesenserviciosde pago, comerciantesy BPO dentrode losEstadosUnidos,
Canadáy América Latina. Antes de ControlCase, Andrés ocupóvariospuestosde seguridad
de la información, incluidaunaexperienciaBig4.
Andrés tieneunaLicenciaturaenCienciasenIngenieríaInformáticajunto con las Certificaciones
de Auditor LíderQSA e ISO/IEC 27001 y ha habladoendiferentesocasionesenvariosforosde
la Industriade TI.
Presentaciones
© ControlCase. All Rights Reserved. 2
PresidenteLATAM
ControlCase
Andrés es elpresidentede ControlCaseLAC enColombia y es responsablede todaslas
operacionesy actividades, incluidala gestióny entregade losserviciosde ControlCaseenla
regiónde América Latina.
Es responsablede las Ventas y Ejecuciónde Negociosenelterritorioy de otrasoperaciones
dentrode la regiónde América Latina. Tambiénes un gerenteexperimentadocon másde 12
añosde experienciaenAuditoríay Consultoríapara losdiferentesEstándaresde Seguridadde
la Información. Andrés ha realizadoevaluacionesde seguridadde TI, incluidasevaluacionesde
brechas, compromisosde remediacióny certificaciónpara bancosy proveedoresde servicios
pequeñosa grandesenserviciosde pago, comerciantesy BPO dentrode losEstadosUnidos,
Canadáy América Latina. Antes de ControlCase, Andrés ocupóvariospuestosde seguridad
de la información, incluidaunaexperienciaBig4.
Andrés tieneunaLicenciaturaenCienciasenIngenieríaInformáticajunto con las Certificaciones
de Auditor LíderQSA e ISO/IEC 27001 y ha habladoendiferentesocasionesenvariosforosde
la Industriade TI.
Presentaciones
© ControlCase. All Rights Reserved. 2
Agenda
© ControlCase. All Rights Reserved. 3
1.Sobre ControlCase
2.Sobre PCI DSS
3.Historia de PCI DSS
4.Actualización PCI DSS V4.0
5.A Fondo: Cambios Notables
6.Cronología de PCI DSS V4.0
© ControlCase. All Rights Reserved. 3
1.Sobre ControlCase
2.Sobre PCI DSS
3.Historia de PCI DSS
4.Actualización PCI DSS V4.0
5.A Fondo: Cambios Notables
6.Cronología de PCI DSS V4.0
1
© ControlCase. All Rights Reserved. 4
SOBRE CONTROLCASE
© ControlCase. All Rights Reserved. 4
SOBRE CONTROLCASE
InstantáneaControlCase
© ControlCase. All Rights Reserved. 5
CERTIFICACIÓN Y SERVICIOS DE CUMPLIMIENTO CONTINUOS
Vaya más allá de la lista de cotejo del auditor para:
Reducir dramáticamente el tiempo, costo y carga de certificarse y mantener cumplimiento de TI.
•Demostrar el cumplimiento más eficiente
y efectivamente en costo (certeza de
costo)
•Mejorar las eficiencias
•Hacer más con menos recursos y ganar
tranquilidad sobre cumplimiento
•Liberar sus recursos internos para
concentrarse en sus prioridades
•Descargar gran parte de la carga de
cumplimiento a un asociado de
cumplimiento de confianza
1,000+ 275+10,000+
CLIENTES CERTIFICACIONES
DE SEGURIDAD
DE TI
EXPERTOS EN
SEGURIDAD
© ControlCase. All Rights Reserved. 5
CERTIFICACIÓN Y SERVICIOS DE CUMPLIMIENTO CONTINUOS
Vaya más allá de la lista de cotejo del auditor para:
Reducir dramáticamente el tiempo, costo y carga de certificarse y mantener cumplimiento de TI.
•Demostrar el cumplimiento más eficiente
y efectivamente en costo (certeza de
costo)
•Mejorar las eficiencias
•Hacer más con menos recursos y ganar
tranquilidad sobre cumplimiento
•Liberar sus recursos internos para
concentrarse en sus prioridades
•Descargar gran parte de la carga de
cumplimiento a un asociado de
cumplimiento de confianza
1,000+ 275+10,000+
CLIENTES CERTIFICACIONES
DE SEGURIDAD
DE TI
EXPERTOS EN
SEGURIDAD
Solución
© ControlCase. All Rights Reserved. 6
Servicios de Certificación y Cumplimiento Continuo
“
He trabajado en ambos lados de la
auditoría. Jamás había visto a otra firma
entregando el mismo producto y servicio
con el mismo valor. Ninguna otra firma
proporciona esa mejora continua y el
nivel de detalle y respuesta.
—Gerente de Seguridad y Cumplimiento,
Centro de Datos
ControlCase
Compliance Hub
®
Impulsadoporla
Automatización
Serviciosde
Certificación
de TI
Serviciosde
Cumplimiento
Continuo
Enfoquede
Asociación
© ControlCase. All Rights Reserved. 6
Servicios de Certificación y Cumplimiento Continuo
“
He trabajado en ambos lados de la
auditoría. Jamás había visto a otra firma
entregando el mismo producto y servicio
con el mismo valor. Ninguna otra firma
proporciona esa mejora continua y el
nivel de detalle y respuesta.
—Gerente de Seguridad y Cumplimiento,
Centro de Datos
ControlCase
Compliance Hub
®
Impulsadoporla
Automatización
Serviciosde
Certificación
de TI
Serviciosde
Cumplimiento
Continuo
Enfoquede
Asociación
AsociaciónEstratégicade Seguridadpara Cumplimientode PCI DSS
© ControlCase. All Rights Reserved. 7
Las Evaluaciones PCI DSS Deberán Ser Completadas
por un Asesor de Seguridad Calificado (QSA)
ControlCasees una compañía QSA que ofrece lo siguiente:
Enfoquede
Asociación
Gestióndel Éxito
del Cliente
Equipode Apoyo
Receptivo
Experiencia
Proactiva
Pensamiento
Innovador
© ControlCase. All Rights Reserved. 7
Las Evaluaciones PCI DSS Deberán Ser Completadas
por un Asesor de Seguridad Calificado (QSA)
ControlCasees una compañía QSA que ofrece lo siguiente:
Enfoquede
Asociación
Gestióndel Éxito
del Cliente
Equipode Apoyo
Receptivo
Experiencia
Proactiva
Pensamiento
Innovador
Serviciosde Certificación
© ControlCase. All Rights Reserved. 8
“
Cuentascon 27 segundospara daruna
primeraimpresión. Y despuésde nuestra
reunióninicial, resultóclaro que ellos
estabanmásinteresadosenauxiliar a
nuestronegocioy forjarunarelación,
no solo enhacersedel negocio.
—Director Sr., Riesgoy Cumplimientode Información,
Gran Comerciante
PCI DSS ISO 27001-2 SOC 1,2,3,&
Cybersecurity
HIPAA
FedRAMP PCI P2PE GDPR NIST 800-53
PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF
OneAudit
™
Evaluar Una Vez. Cumplir para Muchos.
© ControlCase. All Rights Reserved. 8
“
Cuentascon 27 segundospara daruna
primeraimpresión. Y despuésde nuestra
reunióninicial, resultóclaro que ellos
estabanmásinteresadosenauxiliar a
nuestronegocioy forjarunarelación,
no solo enhacersedel negocio.
—Director Sr., Riesgoy Cumplimientode Información,
Gran Comerciante
PCI DSS ISO 27001-2 SOC 1,2,3,&
Cybersecurity
HIPAA
FedRAMP PCI P2PE GDPR NIST 800-53
PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF
OneAudit
™
Evaluar Una Vez. Cumplir para Muchos.
Tablerode ControlCaseOne Audit
™
© ControlCase. All Rights Reserved. 9
™
© ControlCase. All Rights Reserved. 9
2
© ControlCase. All Rights Reserved. 10
SOBRE PCI DSS
© ControlCase. All Rights Reserved. 10
SOBRE PCI DSS
¿Quées PCI DSS?
ESTÁNDAR DE SEGURIDAD DE DATOS DE LA
INDUSTRIA DE TARJETAS DE PAGO
Establecidoen2006 poremisoras
líderde tarjetasde pago.
(VISA, MasterCard, American Express,
JCB International, y Discover Financial
Services)
MantenidoporelConsejode
Estándaresde SeguridadPCI
(PCI SSC).
PCI DSS proporcionarequerimientos
operativosy técnicospara proteger
datosde tarjetahabientes.
ACTUALMENTE EN PCI DSS VERSIÓN 3.2 RECIÉN SE ANUNCIÓ PCI DSS VERSIÓN 4.0
© ControlCase. All Rights Reserved. 11
ESTÁNDAR DE SEGURIDAD DE DATOS DE LA
INDUSTRIA DE TARJETAS DE PAGO
Establecidoen2006 poremisoras
líderde tarjetasde pago.
(VISA, MasterCard, American Express,
JCB International, y Discover Financial
Services)
MantenidoporelConsejode
Estándaresde SeguridadPCI
(PCI SSC).
PCI DSS proporcionarequerimientos
operativosy técnicospara proteger
datosde tarjetahabientes.
ACTUALMENTE EN PCI DSS VERSIÓN 3.2 RECIÉN SE ANUNCIÓ PCI DSS VERSIÓN 4.0
© ControlCase. All Rights Reserved. 11
12 Requerimientosde PCI DSS
OBJETIVOS DE CONTROL (6 PRINCIPIOS) 12 REQUERIMIENTOS
Construiry mantenerunared segura
1.Instalary MantenerunaConfiguraciónde Cortafuegospara ProtegerDatosde Tarjetahabientes
2.No UtilizarValoresporDefectode Fabricantepara Contraseñasde Sistema y OtrosParámetrosde Seguridad
Protegerdatosde tarjetahabientes
3.ProtegerDatosde TarjetahabientesAlmacenados
4.Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública
Mantenerun programade gestiónde vulnerabilidad
5.Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware
6.Desarrollary MantenerSistemasy AplicacionesSeguros
Implementar medidas de control de acceso robustas
7.RestringirAccesoa Datosde TarjetahabientesporEstrictaNecesidadde Negocio
8.AsignarunaID Únicaa CadaPersonacon Accesoa Computadora
9.RestringirAccesoFísicoa Datosde Tarjetahabientes
Monitorear y probar redes regularmente
10.Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes
11.Probar Regularmente Sistemas y Procesos de Seguridad
Mantener una política de seguridad de información 12.Mantener una Política que Atienda la Seguridad de Información
© ControlCase. All Rights Reserved. 12
OBJETIVOS DE CONTROL (6 PRINCIPIOS) 12 REQUERIMIENTOS
Construiry mantenerunared segura
1.Instalary MantenerunaConfiguraciónde Cortafuegospara ProtegerDatosde Tarjetahabientes
2.No UtilizarValoresporDefectode Fabricantepara Contraseñasde Sistema y OtrosParámetrosde Seguridad
Protegerdatosde tarjetahabientes
3.ProtegerDatosde TarjetahabientesAlmacenados
4.Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública
Mantenerun programade gestiónde vulnerabilidad
5.Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware
6.Desarrollary MantenerSistemasy AplicacionesSeguros
Implementar medidas de control de acceso robustas
7.RestringirAccesoa Datosde TarjetahabientesporEstrictaNecesidadde Negocio
8.AsignarunaID Únicaa CadaPersonacon Accesoa Computadora
9.RestringirAccesoFísicoa Datosde Tarjetahabientes
Monitorear y probar redes regularmente
10.Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes
11.Probar Regularmente Sistemas y Procesos de Seguridad
Mantener una política de seguridad de información 12.Mantener una Política que Atienda la Seguridad de Información
© ControlCase. All Rights Reserved. 12
Familia de EstándaresPCI DSS
PCI DSS
Seguridadde Ambientes que
almacenan, procesano transmiten
datosde cuentas
PCI PA-DSS
Aseguraque las aplicacionesde pago
soportencumplimientoPCI DSS
PCI P2PE
Aseguraque losdatosse cifrenenel
POI y que solo puedandescifrarsepor
un ambiente
PCI TSP
Requerimientospara proveedoresde
serviciode identificadorpara tokens
de Pago EMV
PCI Producciónde Tarjetas
Requerimientosde seguridadfísicos
y lógicospara manufacturay
personalizaciónde tarjetas
PCI 3DS
Requerimientosfísicosy lógicospara
entidadesque implementansolución
de Pago 3DS
PCI PTS –HSM
Controlesfísicosy lógicospara
asegurarHSM
PCI PTS –POI
Protecciónde datossensiblesenPOI
PCI PTS –SeguridadPIN
Gestión, procesamientoy transmisión
segurosde datosde PIN
© ControlCase. All Rights Reserved. 13
PCI DSS
Seguridadde Ambientes que
almacenan, procesano transmiten
datosde cuentas
PCI PA-DSS
Aseguraque las aplicacionesde pago
soportencumplimientoPCI DSS
PCI P2PE
Aseguraque losdatosse cifrenenel
POI y que solo puedandescifrarsepor
un ambiente
PCI TSP
Requerimientospara proveedoresde
serviciode identificadorpara tokens
de Pago EMV
PCI Producciónde Tarjetas
Requerimientosde seguridadfísicos
y lógicospara manufacturay
personalizaciónde tarjetas
PCI 3DS
Requerimientosfísicosy lógicospara
entidadesque implementansolución
de Pago 3DS
PCI PTS –HSM
Controlesfísicosy lógicospara
asegurarHSM
PCI PTS –POI
Protecciónde datossensiblesenPOI
PCI PTS –SeguridadPIN
Gestión, procesamientoy transmisión
segurosde datosde PIN
© ControlCase. All Rights Reserved. 13
DatosenCuestión(DatosTarjetasCrédito& Débito)
© ControlCase. All Rights Reserved. 14
DATOS DE TARJETAHABIENTES INCLUYEN:
•Número de Cuenta Primario (PAN)
•Nombre de Tarjetahabiente
•Fecha Vencimiento
•Código de Servicio
DATOS DE AUTENTICACIÓN SENSIBLES INCLUYEN:
•DatosRastreoCompletos
•CAV2/CVC2/CVV2/CID
•BloquesPINs/PIN
Tipos de Datos en una Tarjeta de Crédito
Fecha de
Expiración
Cinta Magnética
(datos en pistas
1 y 2)
# de
Cuenta
Principal
Chip
(datos
en cinta
magnética
Código de identificación de
la tarjeta de crédito
(American Express)
Código de identificación de la
tarjeta de crédito. (Discover,
JCB, MasterCard, Visa)
© ControlCase. All Rights Reserved. 14
DATOS DE TARJETAHABIENTES INCLUYEN:
•Número de Cuenta Primario (PAN)
•Nombre de Tarjetahabiente
•Fecha Vencimiento
•Código de Servicio
DATOS DE AUTENTICACIÓN SENSIBLES INCLUYEN:
•DatosRastreoCompletos
•CAV2/CVC2/CVV2/CID
•BloquesPINs/PIN
Tipos de Datos en una Tarjeta de Crédito
Fecha de
Expiración
Cinta Magnética
(datos en pistas
1 y 2)
# de
Cuenta
Principal
Chip
(datos
en cinta
magnética
Código de identificación de
la tarjeta de crédito
(American Express)
Código de identificación de la
tarjeta de crédito. (Discover,
JCB, MasterCard, Visa)
3
© ControlCase. All Rights Reserved. 15
HISTORIA DE PCI DSS
© ControlCase. All Rights Reserved. 15
HISTORIA DE PCI DSS
Fechasde Lanzamientode PCI DSS
© ControlCase. All Rights Reserved. 16
Diciembre
2004
Septiembre
2006
Octubre
2008
Octubre
2010
Noviembre
2013
Abril
2015
Abril
2016
Mayo
2018
Marzo
2022
PCI DSS v1 PCI DSS v1.1 PCI DSS v1.2 PCI DSS v2 PCI DSS v3 PCI DSS v3.1 PCI DSS v.3.2PCI DSS v.3.2.1PCI DSS v4
© ControlCase. All Rights Reserved. 16
Diciembre
2004
Septiembre
2006
Octubre
2008
Octubre
2010
Noviembre
2013
Abril
2015
Abril
2016
Mayo
2018
Marzo
2022
PCI DSS v1 PCI DSS v1.1 PCI DSS v1.2 PCI DSS v2 PCI DSS v3 PCI DSS v3.1 PCI DSS v.3.2PCI DSS v.3.2.1PCI DSS v4
4
© ControlCase. All Rights Reserved. 17
ACTUALIZACIÓN PCI DSS V4.0
DE CONTROLCASE
© ControlCase. All Rights Reserved. 17
ACTUALIZACIÓN PCI DSS V4.0
DE CONTROLCASE
ActualizaciónPCI DSS V4.0
Ningunacompañíapuedeaúncertificar
compañíasa PCI DSS V 4.0.
ConsejoPCI porofrecercapacitacióninicialcirca
Junio 2022 –traslo cualQSAs puedencomenzar
evaluacionesbajo PCI DSS 4.0.
ConsejoPCI ha publicadounalistade cambiosy
documentaciónenlínea. ControlCaseactualizará
a clientesconformenosacerquemosa 3T 2022.
Hasta entoncesno hay cambioa nuestroproceso
de evaluación.
Las compañíastendrán2 añospara transitar
haciav4.0 perotambiénpuedencambiarmás
pronto.
© ControlCase. All Rights Reserved. 18
Ningunacompañíapuedeaúncertificar
compañíasa PCI DSS V 4.0.
ConsejoPCI porofrecercapacitacióninicialcirca
Junio 2022 –traslo cualQSAs puedencomenzar
evaluacionesbajo PCI DSS 4.0.
ConsejoPCI ha publicadounalistade cambiosy
documentaciónenlínea. ControlCaseactualizará
a clientesconformenosacerquemosa 3T 2022.
Hasta entoncesno hay cambioa nuestroproceso
de evaluación.
Las compañíastendrán2 añospara transitar
haciav4.0 perotambiénpuedencambiarmás
pronto.
© ControlCase. All Rights Reserved. 18
Metas para PCI DSS V4.0
LA SIGUIENTE GENERACIÓN DEL ESTÁNDAR DE PCI DSS (V4.0) TIENE LOS SIGUIENTES OBJECTIVOS
•Continuarcumpliendocon necesidadesde seguridadde la industriade pagos
•Promoverseguridadcomoprocesocontinuo
•Aumentarla flexibilidadpara las organizacionesusandométodosdiferentespara lograrobjetivosde seguridad
•Mejorarmétodosy procedimientosde validación
© ControlCase. All Rights Reserved. 19
LA SIGUIENTE GENERACIÓN DEL ESTÁNDAR DE PCI DSS (V4.0) TIENE LOS SIGUIENTES OBJECTIVOS
•Continuarcumpliendocon necesidadesde seguridadde la industriade pagos
•Promoverseguridadcomoprocesocontinuo
•Aumentarla flexibilidadpara las organizacionesusandométodosdiferentespara lograrobjetivosde seguridad
•Mejorarmétodosy procedimientosde validación
© ControlCase. All Rights Reserved. 19
CambiosCríticosDesdePCI DSS V3.2.1 a V4.0
© ControlCase. All Rights Reserved. 20
CAMBIOS
METODOLÓGICOS
•Variasactualizacionespequeñasenlosrequerimientos
con Aclaracióno Guíaañadida
•Introduccióna enfoquePersonalizadopara ofrecer
métodode validaciónde requerimientoadicionalpara
cumplircon objetivode requerimiento
•Introducciónde análisisde riesgodirigidopara
variadosrequerimientoscríticos
•Para Proveedoresde Servicio-Confirmación
de alcancePCI DSS al menosunavezcada6 meses
y ante cambiosignificativoenelambienteenel
alcance
NUEVOS REQUISITOS QUE PUEDEN REQUERIR
MAYOR ESFUERZO DE IMPLEMENTACIÓN
•Requerimientosestrictosde contraseñay MFA
(AutenticaciónMultifactor)
•Mecanismospara detectary protegeral personal
contra ataquesde phishing
•Solucióntécnicaautomatizadapara aplicacionesweb
de exposiciónpúblicaque detectaypreviene
continuamenteataquesbasadosenweb
•Mecanismosautomatizadospara revisarbitácorasde
auditoríapara todoslossistemasCDE y críticos
•Rastreosde vulnerabilidadinternosmedianterastreo
autentificado
© ControlCase. All Rights Reserved. 20
CAMBIOS
METODOLÓGICOS
•Variasactualizacionespequeñasenlosrequerimientos
con Aclaracióno Guíaañadida
•Introduccióna enfoquePersonalizadopara ofrecer
métodode validaciónde requerimientoadicionalpara
cumplircon objetivode requerimiento
•Introducciónde análisisde riesgodirigidopara
variadosrequerimientoscríticos
•Para Proveedoresde Servicio-Confirmación
de alcancePCI DSS al menosunavezcada6 meses
y ante cambiosignificativoenelambienteenel
alcance
NUEVOS REQUISITOS QUE PUEDEN REQUERIR
MAYOR ESFUERZO DE IMPLEMENTACIÓN
•Requerimientosestrictosde contraseñay MFA
(AutenticaciónMultifactor)
•Mecanismospara detectary protegeral personal
contra ataquesde phishing
•Solucióntécnicaautomatizadapara aplicacionesweb
de exposiciónpúblicaque detectaypreviene
continuamenteataquesbasadosenweb
•Mecanismosautomatizadospara revisarbitácorasde
auditoríapara todoslossistemasCDE y críticos
•Rastreosde vulnerabilidadinternosmedianterastreo
autentificado
5
© ControlCase. All Rights Reserved. 21
A FONDO: CAMBIOS NOTABLES
© ControlCase. All Rights Reserved. 21
A FONDO: CAMBIOS NOTABLES
12 Requerimientosde PCI DSS V3.2.1 vs. V4.0
PCI DSS V3.2.1 12 REQUERIMIENTOS PCI DSS V4.0 12 REQUERIMIENTOS
1.Instalary MantenerunaConfiguraciónde Cortafuegospara ProtegerDatosde Tarjetahabientes 1.Instalary MantenerControlesde Seguridadde Red
2.No UtilizarValoresporDefectode Fabricantepara Contraseñasde Sistema y OtrosParámetrosde Seguridad 2.AplicarConfiguracionesSegurasa TodoslosComponentesde Sistemas
3.ProtegerDatosde TarjetahabientesAlmacenados 3.Proteger Datos de Cuenta Almacenados
4.Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública 4.Proteger Datos de Tarjetahabientes con Criptografía Robusta Durante Transmisión En Redes Públicas Abiertas
5.Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware5.Proteger Todos los Sistemas y Redes de Software Malicioso
6.Desarrollary MantenerSistemasy AplicacionesSeguros 6.Desarrollary MantenerSistemasy Software Seguros
7.RestringirAccesoa Datosde TarjetahabientesporEstrictaNecesidadde Negocio 7.RestringirAccesoa Componentesde Sistemasy Datosde TarjetahabientesporEstrictaNecesidadde Negocio
8.AsignarunaID Únicaa CadaPersonacon Accesoa Computadora 8.IdentificarUsuariosy AutentificarAccesoa Componentesde Sistemas
9.RestringirAccesoFísicoa Datosde Tarjetahabientes 9.RestringirAccesoFísicoa Datosde Tarjetahabientes
10.Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes 10.Registrar y Monitorear Todos los Accesos a Componentes de Sistemas y Datos de Tarjetahabientes
11.Probar Regularmente Sistemas y Procesos de Seguridad 11.Probar Regularmente la Seguridad de Sistemas y Redes
12.Mantener una Política que Atienda la Seguridad de Información 12.Sustentar Seguridad de Información con Políticas y Programas Organizacionales
© ControlCase. All Rights Reserved. 22
PCI DSS V3.2.1 12 REQUERIMIENTOS PCI DSS V4.0 12 REQUERIMIENTOS
1.Instalary MantenerunaConfiguraciónde Cortafuegospara ProtegerDatosde Tarjetahabientes 1.Instalary MantenerControlesde Seguridadde Red
2.No UtilizarValoresporDefectode Fabricantepara Contraseñasde Sistema y OtrosParámetrosde Seguridad 2.AplicarConfiguracionesSegurasa TodoslosComponentesde Sistemas
3.ProtegerDatosde TarjetahabientesAlmacenados 3.Proteger Datos de Cuenta Almacenados
4.Cifrar la Transmisión de Datos de Tarjetahabientes por Redes Abiertas Pública 4.Proteger Datos de Tarjetahabientes con Criptografía Robusta Durante Transmisión En Redes Públicas Abiertas
5.Usar y Actualizar Regularmente Software Antivirus en Todos los Sistemas Comúnmente Afectados por Malware5.Proteger Todos los Sistemas y Redes de Software Malicioso
6.Desarrollary MantenerSistemasy AplicacionesSeguros 6.Desarrollary MantenerSistemasy Software Seguros
7.RestringirAccesoa Datosde TarjetahabientesporEstrictaNecesidadde Negocio 7.RestringirAccesoa Componentesde Sistemasy Datosde TarjetahabientesporEstrictaNecesidadde Negocio
8.AsignarunaID Únicaa CadaPersonacon Accesoa Computadora 8.IdentificarUsuariosy AutentificarAccesoa Componentesde Sistemas
9.RestringirAccesoFísicoa Datosde Tarjetahabientes 9.RestringirAccesoFísicoa Datosde Tarjetahabientes
10.Rastrear y Monitorear Todo Acceso a Recursos de Red y datos de Tarjetahabientes 10.Registrar y Monitorear Todos los Accesos a Componentes de Sistemas y Datos de Tarjetahabientes
11.Probar Regularmente Sistemas y Procesos de Seguridad 11.Probar Regularmente la Seguridad de Sistemas y Redes
12.Mantener una Política que Atienda la Seguridad de Información 12.Sustentar Seguridad de Información con Políticas y Programas Organizacionales
© ControlCase. All Rights Reserved. 22
ActualizacionesPrincipalesa Títulosde Requerimientos
REQUERIMIENTO 1:
•Se cambióeltítulode requerimientode “Instalary mantenerunaconfiguraciónde cortafuegospara protegerdatosde tarjetahabientes” a “Instalary MantenerControles
de Seguridadde Red”
⎻Se actualizóeltítulode requerimientopara reflejarelenfoqueenun másamplio“controlesde seguridadde red”. Se reemplazó“cortafuegos” y “enrutadores” con
“controlesde seguridadde red” para sustentarun másampliorangode tecnologías, incluyendola tecnologíacloud usadapara cumplircon losobjetivosde seguridad
atendidostradicionalmenteporcortafuegos.
REQUERIMIENTO 2:
•Se cambióeltítulode requerimientode “No usar valorespordefectode fabricantepara contraseñasde sistemay otrosparámetrosde seguridad” a “Aplicar
ConfiguracionesSegurasa TodoslosComponentesde Sistemas”
⎻Se actualizó el título de requerimiento para reflejar que el énfasis está en configuraciones seguras en general, y no solo enlos parámetros por defecto
de fabricante.
REQUERIMIENTO 3:
•Se cambióeltítulode requerimientode “Protegerdatosde tarjetahabientesalmacenados” a “ProtegerDatosde CuentaAlmacenados”
⎻Se actualizóeltítulode requerimientopara reflejarelenfoqueendatosde cuenta. Se reemplazó“Datosde tarjetahabientes” con “Datosde Cuenta” para aplicara los
requerimientosde protecciónde datosa datosde tarjetahabientesy datosde autenticaciónsensibles, y no solo a datosde tarjetahabientespara ser receptivosa las
necesidadesde variaspartestales comoEmisores.
© ControlCase. All Rights Reserved. 23
REQUERIMIENTO 1:
•Se cambióeltítulode requerimientode “Instalary mantenerunaconfiguraciónde cortafuegospara protegerdatosde tarjetahabientes” a “Instalary MantenerControles
de Seguridadde Red”
⎻Se actualizóeltítulode requerimientopara reflejarelenfoqueenun másamplio“controlesde seguridadde red”. Se reemplazó“cortafuegos” y “enrutadores” con
“controlesde seguridadde red” para sustentarun másampliorangode tecnologías, incluyendola tecnologíacloud usadapara cumplircon losobjetivosde seguridad
atendidostradicionalmenteporcortafuegos.
REQUERIMIENTO 2:
•Se cambióeltítulode requerimientode “No usar valorespordefectode fabricantepara contraseñasde sistemay otrosparámetrosde seguridad” a “Aplicar
ConfiguracionesSegurasa TodoslosComponentesde Sistemas”
⎻Se actualizó el título de requerimiento para reflejar que el énfasis está en configuraciones seguras en general, y no solo enlos parámetros por defecto
de fabricante.
REQUERIMIENTO 3:
•Se cambióeltítulode requerimientode “Protegerdatosde tarjetahabientesalmacenados” a “ProtegerDatosde CuentaAlmacenados”
⎻Se actualizóeltítulode requerimientopara reflejarelenfoqueendatosde cuenta. Se reemplazó“Datosde tarjetahabientes” con “Datosde Cuenta” para aplicara los
requerimientosde protecciónde datosa datosde tarjetahabientesy datosde autenticaciónsensibles, y no solo a datosde tarjetahabientespara ser receptivosa las
necesidadesde variaspartestales comoEmisores.
© ControlCase. All Rights Reserved. 23
ActualizacionesPrincipalesa Títulosde Requerimientos
REQUERIMIENTO 5:
•Se cambióeltítulode requerimientode “Usar y actualizarregularmentesoftware antivirus entodoslossistemascomúnmenteafectadospormalware” a “ProtegerTodos
losSistemasy Redes de Software Malicioso”
⎻Se actualizóeltítulode requerimientopara reflejarelenfoqueenprotegertodoslossistemasy redes de software malicioso. Se reemplazó“antivirus” con “anti-
malware”
entodoelrequerimientopara soportarun rangomásampliode tecnologíasusadaspara satisfacerlosobjetivosde seguridadtradicionalmenteacometidosporel
software antivirus.
REQUERIMIENTO 12:
•Se cambióeltítulode requerimientode “Mantenerunapolíticaque atiendala seguridadde información” a “SustentarSeguridadde Informacióncon Políticasy
ProgramasOrganizacionales”
⎻Se actualizaeltítulode requerimientopara reflejarque elénfasisestáenpolíticasy programasorganizacionalesque sustentenla seguridadde información.
© ControlCase. All Rights Reserved. 24
REQUERIMIENTO 5:
•Se cambióeltítulode requerimientode “Usar y actualizarregularmentesoftware antivirus entodoslossistemascomúnmenteafectadospormalware” a “ProtegerTodos
losSistemasy Redes de Software Malicioso”
⎻Se actualizóeltítulode requerimientopara reflejarelenfoqueenprotegertodoslossistemasy redes de software malicioso. Se reemplazó“antivirus” con “anti-
malware”
entodoelrequerimientopara soportarun rangomásampliode tecnologíasusadaspara satisfacerlosobjetivosde seguridadtradicionalmenteacometidosporel
software antivirus.
REQUERIMIENTO 12:
•Se cambióeltítulode requerimientode “Mantenerunapolíticaque atiendala seguridadde información” a “SustentarSeguridadde Informacióncon Políticasy
ProgramasOrganizacionales”
⎻Se actualizaeltítulode requerimientopara reflejarque elénfasisestáenpolíticasy programasorganizacionalesque sustentenla seguridadde información.
© ControlCase. All Rights Reserved. 24
Objetivospara PCI DSS V4.0
© ControlCase. All Rights Reserved. 25
CONTINUAR SATISFACIENDO
LAS NECESIDADES DE
SEGURIDAD DE LA INDUSTRIA
DE PAGOS
Las prácticasde seguridaddebenevolucionarpara
continuarsatisfaciendolas necesidadesde seguridad
de la industriade pagosconformelas amenazas
cambian.
Ejemplo:
•Se hicieronnuevasactualizacionesa requerimientosde
autenticaciónmultifactor (MFA)
•Requerimientosde contraseñaactualizadosenlíneacon las
mejoresprácticasactualesde la industria
•Se agregaronnuevosestándaresde e-commerce y phishing
para atenderlas amenazasactuales.
•Requerimientosactualizadospara manejosegurode Datos
Sensiblesde Autenticación(SAD)
•Se agregónuevo requerimientode rastreoautentificadode
vulnerabilidadesinternaspara un mayor conocimientodel
panorama de vulnerabilidadesde las organizaciones.
© ControlCase. All Rights Reserved. 25
CONTINUAR SATISFACIENDO
LAS NECESIDADES DE
SEGURIDAD DE LA INDUSTRIA
DE PAGOS
Las prácticasde seguridaddebenevolucionarpara
continuarsatisfaciendolas necesidadesde seguridad
de la industriade pagosconformelas amenazas
cambian.
Ejemplo:
•Se hicieronnuevasactualizacionesa requerimientosde
autenticaciónmultifactor (MFA)
•Requerimientosde contraseñaactualizadosenlíneacon las
mejoresprácticasactualesde la industria
•Se agregaronnuevosestándaresde e-commerce y phishing
para atenderlas amenazasactuales.
•Requerimientosactualizadospara manejosegurode Datos
Sensiblesde Autenticación(SAD)
•Se agregónuevo requerimientode rastreoautentificadode
vulnerabilidadesinternaspara un mayor conocimientodel
panorama de vulnerabilidadesde las organizaciones.
Objetivospara PCI DSS V4.0
© ControlCase. All Rights Reserved. 26
PROMOVER LA SEGURIDAD
COMO UN PROCESO
CONTINUO, YA QUE LA
SEGURIDAD EN CURSO ES
CRUCIAL PARA PROTEGER
DATOS DE PAGO
Ejemplo:
•Roles y responsabilidadesclaramenteasignadospara personal
trabajandoencadarequerimiento.
•Se agregóguíaa travésde requerimientospara ayudara las
organizacionesa comprendermejorcómoimplementary
mantenerla seguridad.
•Se agregóunanuevaopciónde reportespara resaltaráreas
a mejorary proporcionamayor transparenciapara revisores
de reportes.
© ControlCase. All Rights Reserved. 26
PROMOVER LA SEGURIDAD
COMO UN PROCESO
CONTINUO, YA QUE LA
SEGURIDAD EN CURSO ES
CRUCIAL PARA PROTEGER
DATOS DE PAGO
Ejemplo:
•Roles y responsabilidadesclaramenteasignadospara personal
trabajandoencadarequerimiento.
•Se agregóguíaa travésde requerimientospara ayudara las
organizacionesa comprendermejorcómoimplementary
mantenerla seguridad.
•Se agregóunanuevaopciónde reportespara resaltaráreas
a mejorary proporcionamayor transparenciapara revisores
de reportes.
Objetivospara PCI DSS V4.0
© ControlCase. All Rights Reserved. 27
AUMENTAR FLEXIBILIDAD
PARA ORGANIZACIONES QUE
USAN DIFERENTES MÉTODOS
PARA LOGRAR OBJETIVOS DE
SEGURIDAD.
Proporcionarmásopcionesy métodosde validación
diferentespara aumentarla flexibilidadpara las
organizacionespara lograrobjetivosde seguridady
sustentala innovaciónentecnologíade pago.
Ejemplo:
•Permitióelusode cuentasgrupales, compartidasy públicas, con
excepciones.
•Se introdujeronanálisisde riesgodirigidosque habilitana las
organizacionespara determinarla frecuenciade realizarciertas
actividades.
•Se introdujoun nuevo métodode aproximacióncustomizado
para validarlosrequerimientosPCI DSS, da a las
organizacionesotraopciónpara considerarmétodos
innovadorespara lograrsus objetivosde seguridad.
© ControlCase. All Rights Reserved. 27
AUMENTAR FLEXIBILIDAD
PARA ORGANIZACIONES QUE
USAN DIFERENTES MÉTODOS
PARA LOGRAR OBJETIVOS DE
SEGURIDAD.
Proporcionarmásopcionesy métodosde validación
diferentespara aumentarla flexibilidadpara las
organizacionespara lograrobjetivosde seguridady
sustentala innovaciónentecnologíade pago.
Ejemplo:
•Permitióelusode cuentasgrupales, compartidasy públicas, con
excepciones.
•Se introdujeronanálisisde riesgodirigidosque habilitana las
organizacionespara determinarla frecuenciade realizarciertas
actividades.
•Se introdujoun nuevo métodode aproximacióncustomizado
para validarlosrequerimientosPCI DSS, da a las
organizacionesotraopciónpara considerarmétodos
innovadorespara lograrsus objetivosde seguridad.
Objetivospara PCI DSS V4.0
© ControlCase. All Rights Reserved. 28
MEJORAR MÉTODOS Y
PROCEDIMIENTOS DE
VALIDACIÓN CON OPCIONES
DE VALIDACIÓN Y REPORTES
CLARAS PARA SOPORTAR
TRANSPARENCIA Y
GRANULARIDAD.
Ejemplo:
•Mayor alineaciónentre informaciónreportadaenun Reporte
sobreCumplimientoo Cuestionariode Autoevaluacióny la
informaciónresumidaenunaCertificaciónde Cumplimiento
© ControlCase. All Rights Reserved. 28
MEJORAR MÉTODOS Y
PROCEDIMIENTOS DE
VALIDACIÓN CON OPCIONES
DE VALIDACIÓN Y REPORTES
CLARAS PARA SOPORTAR
TRANSPARENCIA Y
GRANULARIDAD.
Ejemplo:
•Mayor alineaciónentre informaciónreportadaenun Reporte
sobreCumplimientoo Cuestionariode Autoevaluacióny la
informaciónresumidaenunaCertificaciónde Cumplimiento
Compensaciónde Controlesvs AcercamientoCustomizado
© ControlCase. All Rights Reserved. 29
COMPENSACIÓN
DE CONTROLES
La entidadno puedecumplircon el
requerimientotalcualse enunciaa
causa de restriccionestécnicaso de
negociodocumentadas, peroha
implementadocontrolesalternativos
para mitigarelriesgo.
ACERCAMIENTO
CUSTOMIZADO
La entidadcuentacon prácticas
madurasde gestiónde riesgoy elige
implementarcontrolesdiferentesque
satisfacenelObjetivode Acercamiento
Customizadoperoque no satisfaceel
requerimientotalcualse declara.
© ControlCase. All Rights Reserved. 29
COMPENSACIÓN
DE CONTROLES
La entidadno puedecumplircon el
requerimientotalcualse enunciaa
causa de restriccionestécnicaso de
negociodocumentadas, peroha
implementadocontrolesalternativos
para mitigarelriesgo.
ACERCAMIENTO
CUSTOMIZADO
La entidadcuentacon prácticas
madurasde gestiónde riesgoy elige
implementarcontrolesdiferentesque
satisfacenelObjetivode Acercamiento
Customizadoperoque no satisfaceel
requerimientotalcualse declara.
6
© ControlCase. All Rights Reserved. 30
CRONOLOGÍA DE PCI DSS V4.0
© ControlCase. All Rights Reserved. 30
CRONOLOGÍA DE PCI DSS V4.0
2022
Q1 Q2 Q3 Q4
Lanzamiento Oficial:
PCI DSS V4.0 con
documentos de
validación
Documentos de
capacitación y
sustento ISA/QSA
31 de marzo de 2024
PCI DSS V3.2.1
se retira
31 de marzo de 2025
Nuevos requerimientos
fechados a futuro
se hacen efectivos
2023
Q1 Q2 Q3 Q4
2024
Q1 Q2 Q3 Q4
2025
Q1 Q2 Q3 Q4
Cronograma de Implementación de PCI DSS V4.0*
© ControlCase. All Rights Reserved. 31
Periodo de Transición de PCI DSS V3.2.1 a V4.0
Implementación de Nuevos Requerimientos Fechados a Futuro
* Fechasbasadasenproyeccionesactualesy estánsujetasa cambios.
Q1 Q2 Q3 Q4
Lanzamiento Oficial:
PCI DSS V4.0 con
documentos de
validación
Documentos de
capacitación y
sustento ISA/QSA
31 de marzo de 2024
PCI DSS V3.2.1
se retira
31 de marzo de 2025
Nuevos requerimientos
fechados a futuro
se hacen efectivos
2023
Q1 Q2 Q3 Q4
2024
Q1 Q2 Q3 Q4
2025
Q1 Q2 Q3 Q4
Cronograma de Implementación de PCI DSS V4.0*
© ControlCase. All Rights Reserved. 31
Periodo de Transición de PCI DSS V3.2.1 a V4.0
Implementación de Nuevos Requerimientos Fechados a Futuro
* Fechasbasadasenproyeccionesactualesy estánsujetasa cambios.
PróximosPasos
© ControlCase. All Rights Reserved. 32
Q1 2022
•PCI DSS v4.0 y documentos
de validaciónse publicaronel
31 de marzo
•Resúmenesde respuestaa
RFCs estarándisponiblesen
elportal PCI
•Contenidosde blog y videos
planeadospara introducirv4.0
Q2 2022
•Traducciones, documentos
de soportey capacitación
estarándisponiblesal final
de junio
•SimposioGlobal de
PCI DSS v4.0
Q3-Q4 2022
•Participación, soporte
de partesinteresadas
•Actualizacionesde
documentosde guía
adicionales
© ControlCase. All Rights Reserved. 32
Q1 2022
•PCI DSS v4.0 y documentos
de validaciónse publicaronel
31 de marzo
•Resúmenesde respuestaa
RFCs estarándisponiblesen
elportal PCI
•Contenidosde blog y videos
planeadospara introducirv4.0
Q2 2022
•Traducciones, documentos
de soportey capacitación
estarándisponiblesal final
de junio
•SimposioGlobal de
PCI DSS v4.0
Q3-Q4 2022
•Participación, soporte
de partesinteresadas
•Actualizacionesde
documentosde guía
adicionales
Transición de PCI DSS V3.2.1 a V4.0
© ControlCase. All Rights Reserved. 33
Q3 2022
*Finales de junio en adelante
•CapacitacionesTransicionales
QSA e ISA Disponibles
•Toda la documentaciónliberada
•Organizacionespueden
comenzarevaluacionescontra
v4.0 usandoQSAs aprobados**
Q1 2024
* 31 de Marzo de 2024
•PCI DSS Retirode PCI
DSS v3.2.1
•PCI v4.0 se Vuelve versión
exclusivapara uso
Q1 2025
* 31 de Marzo de 2025
•NuevosrequerimientosPCI
DSS con fechasfuturasse
hacenefectivos
* Basadoencronogramaactual. ** QSAs debenhabercompletadoexitosamenteV4.0. Capacitaciónprevia a tomarevaluacionesV4.0
© ControlCase. All Rights Reserved. 33
Q3 2022
*Finales de junio en adelante
•CapacitacionesTransicionales
QSA e ISA Disponibles
•Toda la documentaciónliberada
•Organizacionespueden
comenzarevaluacionescontra
v4.0 usandoQSAs aprobados**
Q1 2024
* 31 de Marzo de 2024
•PCI DSS Retirode PCI
DSS v3.2.1
•PCI v4.0 se Vuelve versión
exclusivapara uso
Q1 2025
* 31 de Marzo de 2025
•NuevosrequerimientosPCI
DSS con fechasfuturasse
hacenefectivos
* Basadoencronogramaactual. ** QSAs debenhabercompletadoexitosamenteV4.0. Capacitaciónprevia a tomarevaluacionesV4.0
7
© ControlCase. All Rights Reserved. 34
PREGUNTAS & RESPUESTAS
© ControlCase. All Rights Reserved. 34
PREGUNTAS & RESPUESTAS
GRACIAS POR LA OPORTUNIDAD
DE CONTRIBUIR A SU PROGRAMA
DE CUMPLIMIENTO DE TI.
www.controlcase.com
(US) + 1 703.483.6383 (INDIA) + 91.22.62210800
[email protected]
DE CONTRIBUIR A SU PROGRAMA
DE CUMPLIMIENTO DE TI.
www.controlcase.com
(US) + 1 703.483.6383 (INDIA) + 91.22.62210800
[email protected]
Categories
BusinessDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 886
- Slides 35
- Age 1194 days
Related Slideshows
1
DTI BPI Pivot Small Business - BUSINESS START UP PLAN
MeljunCortes
28 views
1
CATHOLIC EDUCATIONAL Corporate Responsibilities
MeljunCortes
30 views
11
Karin Schaupp – Evocation; lançamento: 2000
alfeuRIO
28 views
10
Pillars of Biblical Oneness in the Book of Acts
JanParon
26 views
31
7-10. STP + Branding and Product & Services Strategies.pptx
itsyash298
27 views
44
Business Legislation PPT - UNIT 1 jimllpkggg
slogeshk98
30 views