Be Aware Webinar - Consideraciones más importantes para cumplir con pci

¿Cómo ayudan las soluciones de Symantec al Cumplimiento con PCI?

Jazmin Rodriguez Garcia

PM&Solutions Specialist

Rafael Aguilera Zubiaga

Solution SE

Acerca de Nuestros Presentadores

Copyright © 2015 Symantec Corporation

Rafael Aguilera ZubiagaSolution Systems Engineer

• Ingeniero con +15 anos de experiencia en áreas de consultoría de proyectos de seguridad en distintos fabricantes e integradores

• En Symantec forma parte del team de Ingenieros de Sistemas que apoya el desarrollo de soluciones para clientes Finales

Jazmin Rodriguez GarcíaProject Manager & Solutions Specialist

- 10 años de experiencia en Seguridad de la Información- 4 años en Symantec- Especialista en Soluciones de Seguridad y Cumplimiento así como en la gestión de proyectos de Seguridad de la Información- Parte del equipo de Consultoría

2

PCI 3.1| Descripción general de alto nivel

3

Item Descripción

Desarrolle y mantenga redes y sistemas seguros

1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.2. No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores

Proteger los datos del titular de la tarjeta

3. Proteja los datos del titular de la tarjeta que fueron almacenados4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas

Mantener un programa de administración de vulnerabilidades

5. Utilizar y actualizar con regularidad los programas contra malware y/o software antivirus6. Desarrolle y mantenga sistemas y aplicaciones seguras

Implementar medidas solidas de control de acceso

7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa8. Identifique y autentique el acceso a los componentes del sistema9. Restringir el acceso físico a los datos del titular de la tarjeta

Supervisar y evaluar las redes con regularidad

10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas11. Pruebe con regularidad los sistemas y procesos de seguridad

Mantener una política de seguridad de la información

12. Mantenga una política que aborde la seguridad de la información para todo el personal


PCI 3.1| Cambios mas notables de la versión 3.0 a la 3.1

4

• Todas las versiones de SSL y versiones anteriores de TLS (1.0 y algunasveces la 1.1) dejan de ser consideradas como “criptografía fuerte”(strong cryptography), lo cual impacta directamente a losrequerimientos 2.2.3, 2.3 y 4.1 de PCI DSS



5

• La fecha máxima hasta la cual SSL y versiones anteriores de TLS dejaránde ser considerados controles de seguridad será el 30 de junio 2016.



6

• Cualquier nueva implementación de PCI DSS deberá emplearalternativas seguras a SSL y versiones anteriores de TLS.



7

• Las empresas que actualmente cuenten con infraestructura quesoporte SSL y versiones anteriores de TLS deberán definir un plan demitigación de riesgo y de migración.



8

• Debido a que el plazo máximo para dejar de usar SSL y versionesanteriores de TLS expira el 30 de junio de 2016, aquellas organizacionesque requieren la ejecución de escaneos ASV podrán gestionar lasvulnerabilidades asociadas a estos protocolos como excepcionesmediante la presentación tanto del plan de mitigación de riesgo comodel plan de migración, conforme con el programa de PCI SSC ASV.


http://www.pcihispano.com/criterios-para-escoger-un-proveedor-aprobado-de-escaneo-asv/


9

• Los dispositivos POS (Point of Sale – Terminal de Punto de Venta (TPV))/ POI (Point of interaction – Punto de Interacción, como lectores debanda magnética o chip que le permiten al usuario realizar unacompra) que pueden ser verificados como no susceptibles a todos losexploits para SSL y versiones anteriores de TLS, pueden seguir usandoestos protocolos como control de seguridad después del 30 de junio de2016.


Copyright © 2015 Symantec Corporation10

SYMANTEC

Requerimientos PCI-DSS v3 .1

Sym

ante

c C

on

tro

l C

om

plia

nce

Su

ite

Sym

ante

c D

ata

Loss

P

reve

nti

on

Sym

ante

c D

ata

Cen

ter

Secu

rity

-Se

rve

r A

dva

nce

d

Sym

ante

c En

dp

oin

t En

cryp

tio

n

ATP

Sym

ante

c M

anag

ed

Secu

rity

Ser

vice

s

Sym

ante

c P

rote

ctio

n

Suit

e En

terp

rise

Ed

itio

n

Sym

ante

c M

ob

ility

Su

ite

Val

idat

ion

an

d ID

P

rote

ctio

n S

ervi

ce

Sym

ante

c IT

MS

SSL

Cer

tifi

cate

Dee

p-s

igh

t

Sym

ante

c C

MD

B

Sym

ante

c C

on

sult

ing

Serv

ice

s

1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.

o • • • • •2. No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores • • • •3. Proteja los datos del titular de la tarjeta que fueron almacenados o • • • •4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas

o • • o • •5. Utilizar y actualizar con regularidad los programas contra malware y/o software antivirus

o • • • • •

6. Desarrolle y mantenga sistemas y aplicaciones seguras • • o • • • •7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa • • •

8. Identifique y autentique el acceso a los componentes del sistema • • •

9. Restringir el acceso físico a los datos del titular de la tarjeta • o •10. Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas

o • • o •

11. Pruebe con regularidad los sistemas y procesos de seguridad o • • • •12. Mantenga una política que aborde la seguridad de la información para todo el personal • •

PCI 3.1| Symantec

Enfoque de Symantec al GRC TI



Symantec Control Compliance Suite| Visión General


Symantec Control Compliance Suite| InfraestructuraRecolección y administración de evidencia centralizada. . .


Symantec Control Compliance Suite| InfraestructuraReportes basados en seguridad, cumplimiento y una postura de riesgo. . .


Symantec Control Compliance Suite| InfraestructuraDescubrimiento de Inventario & Evaluación Continua de Parámetros de Seguridad Configurables. . .


Symantec Control Compliance Suite| Risk ManagerAlinea las Operaciones de IT y las Prioridades de Seguridad


Symantec Control Compliance Suite| Assessment ManagerEvaluación y Reportes de Procedimientos de Control


Symantec Control Compliance Suite| Policy ManagerAutomatizar la Definición de Políticas y Ciclo de Vida de la Administración


Symantec Control Compliance Suite| Vendor Risk ManagerEvaluación Continua & Administración de Riesgos de Seguridad en la Información e Infraestructura de la Cadena de Distribución.


Symantec Control Compliance Suite| Tableros de Control Dinámicos


Symantec Control Compliance Suite| Medición del Nivel de Riesgo


Symantec Control Compliance Suite| Tablero de Remediación

Preguntas del Chat


[email protected]

Próximo Webinar BE AWARE de Symantec LATAM


10:00 amCosta Rica, El Salvador, Guatemala,

Honduras , México y Nicaragua

11:00 am Colombia, Ecuador, Panamá y Perú

11:30 am Venezuela

12:00 pm Puerto Rico y República Dominicana

1:00 pmArgentina, Chile

y Uruguay

¿La seguridad del correo electrónico

sigue siendonecesaria?

Para mas información

@SymantecLatam

Symantec Latam

[email protected]

¡Gracias!

Copyright © 2016 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Copyright © 2015 Symantec Corporation 25

Technology

Be Aware Webinar - Consideraciones más importantes para cumplir con pci