Clase magistral PCI DSS | Taimur Ijlal | Skillshare
Menú
Buscar

Velocidad de reproducción


  • 0.5x
  • 1x (Normal)
  • 1.25x
  • 1.5x
  • 2x

Ve esta clase y miles más

Obtenga acceso ilimitado a todas las clases
Clases enseñadas por líderes de la industria y profesionales activos
Los temas incluyen ilustración, diseño, fotografía y más

Ve esta clase y miles más

Obtenga acceso ilimitado a todas las clases
Clases enseñadas por líderes de la industria y profesionales activos
Los temas incluyen ilustración, diseño, fotografía y más

Lecciones en esta clase

    • 1.

      Introducción

      8:02

    • 2.

      Resumen de PCI DSS

      6:10

    • 3.

      Estructura estándar

      3:29

    • 4.

      Proceso PCI DSS

      14:11

    • 5.

      Proceso de PCI DSS

      8:01

    • 6.

      Requisito 1

      4:47

    • 7.

      Requisito 2

      4:43

    • 8.

      Requisito 3

      14:11

    • 9.

      Requisito 4

      3:34

    • 10.

      Requisito 5

      2:55

    • 11.

      Requisito 6

      6:28

    • 12.

      Requisito 7

      2:03

    • 13.

      Requisito 8

      3:30

    • 14.

      Requisito 9

      4:14

    • 15.

      Requisito 10

      2:25

    • 16.

      Requisito 11

      5:10

    • 17.

      Requisito 12

      3:25

    • 18.

      Controles de compensación

      2:25

    • 19.

      SAQ y sus tipos

      8:52

    • 20.

      PCI DSS v4 y los cambios clave

      13:18

    • 21.

      Cómo prepararse

      2:03

    • 22.

      Cómo avanzar

      2:12

  • --
  • Nivel principiante
  • Nivel intermedio
  • Nivel avanzado
  • Todos los niveles

Generado por la comunidad

El nivel se determina según la opinión de la mayoría de los estudiantes que han dejado reseñas en esta clase. La recomendación del profesor o de la profesora se muestra hasta que se recopilen al menos 5 reseñas de estudiantes.

38

Estudiantes

--

Proyecto

Acerca de esta clase

El estándar PCI DSS es considerado el estándar de oro en todo el mundo para la protección de los datos de los titulares de tarjetas y ha sido implementado por millones de organizaciones hasta la fecha. Si te interesa dominar este estándar desde cero, ¡entonces este curso es para ti! Este curso asume un conocimiento CERO sobre la norma y enseña los requisitos básicos y cómo implementar la norma en cualquier entorno.

Además, PCI DSS ha pasado por un cambio importante con la versión 4.0 Este curso es uno de los primeros cursos en el mercado para cubrir con detalle la nueva versión de PCI DSS v4.0 y los nuevos requisitos que se están aplicando en los próximos años.

Da el siguiente gran paso de tu carrera

Temas cubiertos:

· Resumen de PCI

· Estructura PCI DSS

· Proceso PCI DSS desde el alcance hasta la auditoría final

· Cuáles son los requisitos de 12 PCI DSS

· Diferentes tipos de SAQs

· PCI DSS v4.0 y los cambios clave

· Cómo implementar PCI DSS en tu entorno

Además de una visión general completa de la norma, obtendrás consejos prácticos del instructor que tiene más de una década de implementar PCI DSS en todo el mundo.

Conoce a tu profesor(a)

Teacher Profile Image

Taimur Ijlal

Cloud Security expert, teacher, blogger

Profesor(a)
Level: Beginner

Valoración de la clase

¿Se cumplieron las expectativas?
    ¡Superadas!
  • 0%
  • 0%
  • Un poco
  • 0%
  • No realmente
  • 0%

¿Por qué unirse a Skillshare?

Mira las galardonadas Skillshare Originals

Cada clase tiene lecciones cortas y proyectos prácticos

Tu membresía apoya a los profesores de Skillshare

Aprende desde cualquier lugar

Ve clases sobre la marcha con la aplicación de Skillshare. Progresa en línea o descarga las clases para verlas en el avión, el metro o donde sea que aprendas mejor.

Transcripciones

1. 1 - Introducción: Hola, hola a todos. Mi nombre es femoris y soy el creador de este curso, discurso de bienvenida que se llama PCI DSS fundaciones a la maestría. Ahora el PCI DSS, es uno de los temas más candentes alrededor y lo ha sido por el pasado, creo que 15 años más o menos. Y seguirá siendo caliente honestamente, siempre y cuando las transacciones de pago sigan sucediendo. Entonces si estás interesado en aprender sobre el estándar PCI DSS desde cero, este curso definitivamente es para ti si ya eres experto, quiero decir, tienes unos cuantos como experiencia en la implementación de PCI DSS, entonces sigue siendo para este curso, todavía lo recomendaría ya que será un gran resumen para que solo repases algunos de los conceptos centrales y obtengas algunos consejos prácticos. Y además, estaré cubriendo las nuevas actualizaciones al estándar que está en PCI DSS versión 4. Y honestamente, no importa cuánto avance la tecnología, los datos de los titulares de tarjetas siguen siendo uno de los tipos de datos más importantes alrededor y siempre necesitarán ser protegidos. Entonces, ya sea que seas una pequeña startup, si eres una Fortune 500, honestamente, el estándar suele ser aplicable a ti. Este curso. Lo he diseñado específicamente para ayudar a las personas obtener dominio sobre el estándar PCI DSS desde cero, ¿de acuerdo? No necesitas ser un experto en transacciones con tarjeta de crédito o la industria de pagos o incluso un experto en TI. De acuerdo. Se basa en mi propia experiencia de nueve o diez años e implementando PCI DSS. Lo he implementado en múltiples estándares a través de múltiples geografías. Conozco el estándar al revés del curso. Te hará entender y dominar el estándar PCI, DSS. Y te da todo el conocimiento que necesitas para implementarlo en cualquier entorno honestamente. Y trato de asegurarme de darte consejos prácticos. No quiero aburrirte y hacerla como una muerte por PowerPoint. Pero yo sólo estoy leyendo una diapositiva y tú estás igual, voy a tratar de darte una, haz esto práctico posible. ¿ Cuáles son las cosas clave que debes saber? Cuáles son los algunos de los errores que la gente comete tan impresionante, Empecemos. Sólo un breve trasfondo sobre mí chicos no saben quién te está enseñando este curso. Mi nombre es Dan Ley de Voltaje. De acuerdo. He estado en diversos puestos de liderazgo durante los últimos 20 años, la mayoría en Medio Oriente. De acuerdo. Por lo que totalizaré alrededor de 20 años y riesgo tecnológico. Fui responsable de supervisar implementación de PCI DSS en sus propias tres o cuatro ubicaciones durante más de nueve años. Por lo que tengo una experiencia muy diversa y PCI, DSS. De acuerdo. Por lo que actualmente estoy basado fuera de Londres. Soy autor. Yo tengo, también me gusta bloguear y también soy maestra e instructora, que se puede ver aquí. También soy coach de carrera de ciberseguridad. Por lo general trato de ayudar a la gente si quieren tener éxito. Y realmente lo que llamó, Adelante ahí adentro y mejorarán sus carreras de ciberseguridad. Tengo un canal de YouTube llamado la Nube es el tipo de seguridad en la nube, que puedes echar un vistazo. Y suelo hablar cosas relacionadas con la seguridad en la nube, inteligencia artificial y el asesoramiento de ciberseguridad de género. Entonces aparte de la ciberseguridad, mi viaje ha sido altibajos. Gané múltiples premios en la industria, y me he establecido en el Medio Oriente durante muchos años. He escrito un libro también sobre gobernanza de la inteligencia artificial en ciberseguridad. Y tengo dos libros más planean este año. Sentí que este era un tema que no ha obtenido suficiente cobertura. Entonces pensé que pondré mi granito de arena para crear mayor conciencia posible para mi dinero a la industria. Me otorgaron como una visa de talento global del Reino Unido. Y también ayudo a las personas que están solicitando aval técnico de Reino Unido. Traté de ayudarlos en sus aplicaciones tanto como pude. Entonces esto es sólo un recapitulación de quién soy. Lo que hago es entender quién está enseñando en este curso. While y PCI, chicos DSS. Entonces, ¿cuál es la razón? Por qué deberías, si estás asistiendo a este curso, obviamente, debes tener una razón. Podría ser parte de tu trabajo. O tal vez tu empresa ha decidido implementarlo como requisitos regulatorios cuando no tienes opción, Todo lo que podrías ser multado si no lo implementas todo. O tal vez una empresa sólo está diciendo que es un buen estándar para implementar, es una buena práctica. Entonces sigamos adelante e implementamos una de las, algunas de las razones, ok. Mis chicos pod, VR, lo que llamó el Mudarse a una sociedad sin efectivo, ¿no? Las transacciones basadas en tarjetas son cada vez más comunes. Podrían ser terminales de punto de venta, CashRegister, smartphones, todo está siendo impulsado por transacciones sin efectivo. Y proteger esas transacciones es muy importante chicos. Si quieres sentir, si sientes que, si los clientes sienten que no pueden proteger sus datos, entonces harán transacciones contigo, lo que destruirá tu negocio. Es decir, si eres comerciante o prestador de servicios, ¿no? Y la gente no quiere tener transacciones contigo, esto se ha convertido en un gran problema. Así que aquí es donde entra en juego PCI DSS y se hace cumplir como un estándar común en todo el mundo para la protección de los datos de los titulares de tarjetas. Esta norma, seguirá siendo aplicable siempre y cuando a lo que llames a las personas que hacen transacciones, ¿de acuerdo? Y será muy importante para el futuro previsible. Es una gran cosa tener en tu CV es una gran experiencia para tener. Además, dependiendo de la industria, podría no tener otra opción. Tienes que ser conforme si estás almacenando, transmitiendo, o como procesar datos del titular de la tarjeta, lo cual veremos. Pero son, como dije, siempre son buenas razones para saber implementar un estándar PCI DSS, que es una de las razones por las que hice este curso. Entonces, ¿qué cubrirá este curso? Y espero que entiendan ahora por qué deben anotar PCI, DSS, ¿de acuerdo? ¿ Qué hay de este curso? ¿O qué te va a enseñar? Te va a enseñar, en primer lugar, PCI DSS desde cero. No voy a leer el estándar desde la página uno hasta el final. De acuerdo. Nadie quiere eso. Sinceramente, si quieres que lea bala a bala, este no es el curso para ti. Te voy a hacer entender la intención de la, todos los requisitos. ¿ Cuáles son los pasos prácticos para hacer eso? No es necesario memorizar el estándar. Mucha gente empezó a cometer ese error. De acuerdo. Lo que voy a hacer es explicar cómo funciona el estándar y cuáles son las mejores maneras de ir sobre la implementación. Voy a profundizar en estos 12 requisitos, los estándares, y vamos a repasar cada uno en detalle. ¿ De acuerdo? Te voy a dar consejos prácticos, ¿de acuerdo? En realidad asesoramiento basado en implementaciones del mundo real que he hecho. Y por último, se está revisando la norma, ¿de acuerdo? Las últimas actualizaciones para PCI, DSS para puntos, ¿cuáles son los cambios clave que debes tener en cuenta? ¿ Cuáles son las cosas para las que debes estar listo, lo que creas que deberías empezar a hacer ahora? Porque el dos mil veinticuatro veinticinco está muy cerca. Se ve muy lejos pero va a llegar. Y es posible que tengas que hacer ciertas cosas, así que quiero asegurarme de que estás listo para esto. De acuerdo. ¿Para quién es este curso? Ya sea que seas un nuevo empleado con conocimientos actuales limitados o tal vez un administrador de sistemas con experiencia. Este curso te va a ayudar a ti, tu organización a cumplir con PCI, DSS o comentarios. He hecho esto, he diseñado este curso como una guía de referencia, abordar los aspectos más desafiantes cumplimiento de PCI, DSS. Entonces dependiendo de tus antecedentes, rol laboral, la organización deja algunas secciones pueden ser más relevantes que otras, ok. Por lo que puede ser un auditor de TI que va a auditar su entorno contra PCI DSS. Puedes ser como, no sé, un QSEN ISAF, gente que se está preparando para los exámenes para PCI, DSS, podrías estar preparándote para esto. Y este ejemplo te da algunos grandes insumos sobre eso. Hay algunas buenas preguntas de prueba, consejos prácticos, están bien. Podrías ser un profesional de riesgo. ¿ Y quién quiere entender el estándar, cómo, cuáles son los riesgos? ¿ Cuáles son las cosas que tenemos que implementar, vale? O podrías ser un profesional de los negocios. Su negocio podría ser subrayado para PCI, DSS, y desea entender cómo implementarlo. Entonces estas son todas las cosas que eran las personas a las que o a quienes la norma podría ser aplicable. Como un proyecto de clase guía información que no aplicas, la vas a olvidar. ¿ De acuerdo? Esa ha sido mi experiencia a lo largo de mi vida. Si no implementas lo que estás aprendiendo, lo vas a olvidar. Entonces al final de este curso, quiero que llenes en una ciudad o vamos a entrar en detalles sobre SAQ es para un comerciante físico o de comercio electrónico. Entonces solo piensa en un hipotético comerciante. Están aceptando transacciones basadas en tarjetas. ¿ Están haciendo e-commerce? Y quiero que llenes y SEQ para eso realmente no te ayuda a cerrarlo y realmente te haga entender cómo funciona el estándar PCI DSS. Entonces espero haberte hecho ilusionarte por este curso y ¿cuáles son las cosas que te voy a estar enseñando? Y cómo vas a estar aprendiendo sobre el PCI DSS. Empecemos, chicos. Muchas gracias por tomar este curso. Y te veo en la siguiente sección. 2. 2 - Resumen de PCI DSS: Ok chicos, Bienvenidos, Bienvenidos al primer módulo de este curso, que es PCI, DSS, y visión general del estándar. Pero antes que nada, quiero enseñarte lo que PCI DSS es probable o no quiero saltar a la implementación de los estándares y requisitos de PCI DSS, ¿verdad? No entiendes lo que escuchamos ideas, así es como funciona. ¿ Cuál es el punto de esta norma, ¿verdad? Ya tenemos tantos estándares. Por uno más. Aprendamos sobre PCI DSS. Desde cero, recomendaría tomar este modelo aunque tengas experiencia implementar PCI DSS antes, porque obtendrás una buena visión general y un historial del estándar. Y te voy a enseñar cómo se estructura el estándar y algunos de los errores comunes que he visto a la gente cometer en unos diez años de implementar PCI DSS, ¿de acuerdo? De acuerdo. En primer lugar, el estándar PCI DSS, ok. Fue establecida en 2006 u ocho por las principales marcas de tarjetas, Visa, MasterCard, American Express, Discovery, JCB, todas ellas. ¿Por qué lo hicieron? En pocas palabras, históricamente, ¿qué solía pasar con todos estos esquemas de color? Tenían sus propios estándares, tenían sus propios programas, así que cumplimiento. Entonces digamos que eres comerciante, ¿verdad? Queremos emplear quieres aceptar tarjetas Visa, ¿de acuerdo? Visa tenía su propio estándar que tienes que cumplir antes de poder hacerlo, entonces Mastercard allí solo si quieres aceptar MasterCard. Y simplemente con Amazon, otra vez con American Express, estoy haciendo un gesto ser. Para que puedan entender, esto se convirtió en un gran tema para los comerciantes y proveedores de servicios. La cantidad de tiempo y dinero implementó diferentes estándares. ¿ De acuerdo? Entonces lo que pasó fueron todos los estándares que se unieron y van a establecer un estándar común. Y esta norma va a ser aplicable para las personas que están involucradas en la industria de pagos. Eliminó la necesidad de cumplir con cada una por separado promesa, ¿de acuerdo? Entonces es así como, si eres como almacenar, procesar, transmitir estos datos, estás obligado a implementar el estándar para protegerlos. Con base en miles y miles de investigaciones de comerciantes que habían sido incumplidos. Lo que se confirmó, lo que si hubieran implementado distendido adecuadamente. De acuerdo. ¿ Cómo se llama que han implementado correctamente centrados. Reduciría en gran medida el riesgo de que sean atacados o como comprometidos. Ok, entonces el estándar es muy útil. ¿ Te hace un 100% seguro? No, absolutamente no. Pero es un muy buen paso de partida. ¿De acuerdo? Entonces, ¿a quién es aplicable? Básicamente recuerda esto almacenando, procesando o transmitiendo cualquier negocio que almacene, procese o transmita datos de tarjetas de pago, está obligado a implementar el estándar para evitar que los datos del titular de la tarjeta, ¿bien? Puedes ser comerciante, puede ser un proveedor de servicios, puedes ser un banco, puedes ser un call center. Podemos ser una empresa de tecnología. No importa si estás haciendo estas tres cosas. Cualquiera de las tres cosas entraremos en alcance. Cuánto hay que implementar, ahí es donde ocurre la diferencia. Pero tenga la seguridad de que entrará en el alcance. De acuerdo. Entonces, ¿por qué? Podrías preguntarte por qué, de acuerdo. Ya estoy seguro. implementado controles y todo eso, etc. ¿Por qué necesito hacer el estándar? De acuerdo. ¿Cuál es la necesidad del estándar? En pocas palabras, como basado en lo viejo que los delincuentes van donde el dinero está bien? El mismo. En una era digital, los comerciantes se han convertido en mucho en proveedores de servicios, se convierte en un nuevo blanco para la actividad fraudulenta. ¿ De acuerdo? Entonces podrías, podría ser tu caja registradora, podría ser tu principal punto de venta. Podría ser un carrito de compras, podría ser una red Wi-Fi. Podrían ser las PC o las estaciones de trabajo que tienes. ¿ De acuerdo? Se ha convertido en un problema grave porque atacantes saben que incluso una de estas cosas puedo comprometer. Podría tener acceso a estos datos. Podría ser capaz de cometer fraude con esto. Por eso es tan crítico entender estas vulnerabilidades. Pueden ocurrir en cualquier parte del ecosistema de procesamiento de tarjetas. Como dije, podría suceder en dispositivos móviles, puntos de venta, hotspots inalámbricos donde las aplicaciones de compras, podría transmitirse y podría ir, puede que no sea en Miami seco, podría ser en un proveedor de servicios. Podría estar en tu entorno Cloud. De acuerdo, Entonces por eso entra el PCI DSS y realmente te ayuda a asegurar este entorno, realmente te hace entender lo que tengo que hacer. ¿ Qué no tengo que hacer? Otra de las actividades de due diligence que tengo que implementar. ¿ De acuerdo? Por lo que definitivamente hay absolutamente 0 cuando llamó desventaja en la implementación de esta norma. De acuerdo. Por eso cualquier tecnología, cualquier empresa que fuera, que esté procesando e involucrando transacciones de pago, siempre recomiendo implementar un estándar PCI DSS. De acuerdo. Por lo que la línea de tiempo desde el estándar ha recorrido un largo, largo camino, honestamente. Y por qué se ha revisado tanto porque es un documento vivo. Ha evolucionado para mantenerse al día con el estado del comercio electrónico y las amenazas cibernéticas más sofisticadas. Y honestamente cómo evolucionaron las tecnologías en hace 1015 años, la Nube no era tan importante. Las transacciones con teléfonos inteligentes no sucedían tanto que estaban pasando pero no tanto. De acuerdo. Ataques para diferentes que no tenían como contenedores en Cloud y Sowell como todas estas cosas han surgido, por eso el estándar sigue cambiando. No hace falta que nos guste. No necesitas memorizar la historia y esto es solo para tu referencia. Pero solo sepan que ha pasado por diversas iteraciones para mantenerse al día con las tecnologías. En 2022, se lanzó la versión 4. ¿ De acuerdo? Y sólo para hacerte entender, en 2022, ha surgido, cierto. Y se ha expandido sobre MFA, autenticación multifactor o sus roles y responsabilidades. Y han surgido muchos requisitos nuevos hasta marzo a 2024. Para ese entonces, el PCA, la versión antigua, que es la 3.20.1, se retirará y será completamente reemplazada por 4. Entonces sí tienes un poco de tiempo. Y para marzo de 2025, los nuevos requisitos entrarán en vigencia oficialmente. Algunos comentarios opcionales, está bien. Estos se basan en proyecciones del Consejo de Normas de Seguridad de la PCA, el organismo que mantiene la norma. Pueden estar sujetos a cambios, pero la línea de tiempo. Entonces por eso sigo recomendando a esos chicos. Si está en el alcance de PCI, entonces comience a mirar los 4 requisitos hoy mismo. No lo pospongas. De acuerdo, entonces este fue un resumen básico de la norma. En el siguiente módulo, voy a repasar la arquitectura vesicular, cómo se estructura el estándar, cómo funciona y cómo está estructurado. Entonces gracias chicos, y los veo en el siguiente módulo. 3. 2 - Estructura estándar: De acuerdo chicos, así que bienvenidos a este módulo que trata sobre la estructura PCI DSS, cómo funciona el estándar. Por lo que en pocas palabras, es muy sencillo. Cuenta con seis escuelas y 12 requisitos. La gente suele centrarse más en los 12 o comentarios de uno a k, tenemos que implementarlo para convertirse en compatible con PCI DSS. Podrías estar en el alcance de algunos que noto para los padres. Pero así es básicamente como se ha estructurado el estándar es bastante simple. No es tan complicado. Entonces los objetivos, estos son requisitos de paso comunes, honestamente, algunos de estos podrías mirar y decir, Oye , vale, todas muchas de estas cosas ya estoy haciendo. Pero ese es todo el punto. Porque lo que podría parecer de sentido común para ti podría no ser sentido común a otros entornos como otros proveedores de servicios mercantiles, podrían decir, Ok, no necesito implementar un firewall, no necesidad de hacer esto. Esos son mis estados de mandato. Entonces, ¿cuáles son las seis categorías básicas? Por lo general, se trata de mantener y construir una red segura a firewalls u otros dispositivos. Debe estar protegiendo los datos del titular de la tarjeta dondequiera que se almacenen. Debes tener un programa de administración de vulnerabilidades para asegurarte de que tus sistemas permanezcan seguros. De acuerdo. ¿ Algún problema surge, estás al tanto de ello? Deberíamos tener fuertes medidas de control de acceso pueden ser físicas o lógicas. Deberías estar monitoreando regularmente tu red, ¿de acuerdo? No asuma que su red es segura. Algo pudo haber pasado. Por supuesto, desde la perspectiva de la debida diligencia, debe tener un alto nivel de gobernanza a través de políticas hasta cartas, asegurándose de que la capacitación sea, ¿ hay personas conscientes de sus requerimientos? De acuerdo. Entonces estos son los objetivos. Los objetivos y cuáles son los requisitos repasarán cada uno de estos a detalle, chicos. Pero solo para darte un requisito de alto nivel para mantener un firewall, debes tener estandarización. Debe estar protegiendo los datos del titular es con asegurarlos a través de la red, protegerlos de Albert, actualizar sus sistemas. Estos son los primeros seis. El próximo seis, estamos restringiendo el acceso, ya sea lógica o físicamente, teniendo credenciales únicas, vale. No compartir contraseñas, por favor. Tener seguridad física, registrar y monitorear lo que está pasando haciendo VN, VN PT, ok. Y documente y evalúe sus riesgos que están sucediendo. Entonces estos fueron los chicos de los 12 o comentarios. Estos podrían parecer demasiado. De acuerdo, 12 horas ¿quién va a memorizar esto? Entonces esto me lleva a mi, algunos de los errores comunes que comete gente cuando está implementando los requisitos. Y quiero asegurarme de que no hagas el mismo boleto por mí. Entonces esto bastantes veces algunos de los errores comunes es que intentan memorizar el estándar. De acuerdo. Por favor, no es necesario memorizar el estándar y los requisitos de la cajuela. Nadie hace eso. No tienes que hacer esto. Simplemente puedes entender la intención de la función Comentar, ¿de acuerdo? Y luego pasado cuando puedes implementarlo, siempre y cuando entiendas lo que básicamente están comentando es la intención, puedes tener mucho de ida y vuelta con el auditor PCI y puedes satisfacer, mira, Yo estoy implementando el estándar, tal vez XYZ no está implementado, pero has hecho otras cosas. Lo miramos en detalle. Entonces eso me lleva a mi siguiente punto, que es otro error que comete la gente es no involucrarse con el QSR antes. Deberías, si tienes un auditor de PCI disponible, comprometido con ellos desde el principio. Díganles, no estoy haciendo esto para que estén al tanto. Quizás si estás cometiendo algún error, puedes cogerlo desde el principio. De acuerdo. La auditoría no trata tratar esto como si estuvieras tratando de ocultar cosas al auditor comprometido con ellos de inmediato. Entonces espero que hayas entendido cómo se estructura el estándar. Cuáles son los objetivos clave, son los requisitos clave y cualesquiera errores que debes evitar. Entonces en el siguiente módulo, vamos a estar iniciando el proceso, ¿de acuerdo? El PCI, DSS también como proceso, no es que solo puedas seguir adelante y comenzar implementar los 12 requisitos de todos modos. Hay un proceso estándar que tenemos que seguir y profundizaremos en eso. Si entiendes que el proceso PCI DSS llegará a ser, puedo prometerte que será más fácil. Entonces bien chicos, saltemos al siguiente módulo. Gracias. 4. 3 - proceso PCI DSS ( Fundación ): Hola a todos, Bienvenidos a este módulo el cual trata sobre PCI DSS, entendiendo el proceso. Entonces una cosa que quiero mencionar es que mucha gente comete el error. Muchas empresas cometen el error de que han decidido implementar PCI DSS, lo que hacen es saltar, descargan el estándar y más seguir adelante y empezar a implementarlo, ¿no? Dicen: Bueno, tengo que habilitar la autenticación multifactor. Tengo que endurecer mi servidor, tengo que parchear XYZ, etc. Esa no es la forma en que quieres iniciar PCI DSS. Eso te está montando. Si desea ser compatible con PCI DSS, hay un proceso estructurado a seguir. No se puede simplemente empezar a implementar los requisitos de inmediato. No va a funcionar. Perderás mucho tiempo y serás Willis el Lewis, mucho dinero también. Entonces, veamos ¿cuál es la mejor manera de implementar PCI, DSS y medio ambiente? Hay dos fases. Una es fundacional, otra es la fase de implementación. Si haces el trabajo duro en la fase fundacional, la fase de implementación se volverá mucho, mucho más fácil. La fase de implementación, pero suele tardar más, pero es mucho más fácil porque tenemos una dirección firme. De acuerdo, entonces, ¿cuáles son los pasos? Los pasos clave que debe realizar para implementar con éxito PCI DSS dentro de su entorno. De acuerdo, empecemos. Eneste módulo, voy a repasar los fundacionales. Primer paso, lo más importante, y a veces se pierde. Reuniendo, administrando, apoyo a la gestión. Necesita soporte de administración para que su PCI DSS sea exitoso. Pci DSS, tenga en cuenta esto con mucho cuidado. No es un proyecto de TI. Se trata de personas, procesos, tecnologías operativas que deben ser probadas y protegidas. No lo es, es un proyecto, pero no es un proyecto de TI. Muchas empresas, lo que hacen es empoderar a los equipos de TI para seguir adelante e implementarlo. Puedes hacerlo, pero ¿qué va a pasar? Va a ser o fallar o será una actividad de una sola vez. Serás conforme durante el primer año, segundo año, TI se ocupará con otras cosas. olvidó todo al respecto. Por lo que has perdido tu tiempo y dinero. Se necesita cambiar la cultura primero, necesitamos un patrocinador de nivel directivo, preferentemente el CEO o el CEO o alguien podría tener la sílaba. Necesitas que ese tipo mande un mensaje claro a través de la organización. Pci, DSS es una prioridad y vamos a estar implementándolo y por favor nomine unidades de fórmula XYZ. Ellos aprobarán el presupuesto porque te va a costar, necesitas implementar cosas. No asumas que va a ser todo gratis, pero realmente el apoyo de la gerencia asegura que tu personal, todo el mundo entienda la importancia de esto. Y te harás la vida considerablemente más fácil más adelante. Para las organizaciones más grandes, si desea tener un cumplimiento continuo de PCI, DSS, necesita una cultura muy fuerte de colaboración, comunicación y compromiso por parte del liderazgo ejecutivo. Por favor, no pegues este paso. Nombra a un patrocinador ejecutivo que estará aprobando el presupuesto y quién lo hará, a quien le estará enviando las actualizaciones de su proyecto. Oigan chicos, este es el estado del PCI DSS. Entonces hazlo un proyecto, pero no hagas un proyecto de TI. Puedes ejecutarlo desde tu departamento de riesgos, sea cual sea el departamento que tengas. Pero no lo conviertas en un proyecto de TI y asegúrate de tener soporte de administración, ¿de acuerdo? De acuerdo. Segundo paso. ¿ Cuál es el segundo paso hacia la fase fundacional? Es entender tus responsabilidades, pero ¿qué eres? ¿ Eres comerciante, tu proveedor de servicios, IU o banco. De acuerdo. Porque tienes diferentes procesos, tecnologías, cosas que están en alcance, ¿de acuerdo? Te interesará, seguro sabrás que estás en PCI, DSS hacer frente o no. Pero hay que averiguar qué tipo de negocio estás haciendo. ¿ Es que el comercio electrónico es un punto de venta, eso es outsourcing? Por lo que por lo general te recomiendo llegar a tu carrera. Podría ser un banco, podría ser un esquema de tarjetas como Visa, MasterCard y pregúntales, estoy haciendo XYZ, ¿ qué tengo que hacer para cumplir con PCI DSS? ¿ Por qué digo esto? Porque el Consejo de la PCA, dijeron allá abajo, han establecido el PCR Standards Council blanco, pero cada pago flamante Visa, MasterCard, tienen el suyo. Estos lo están validando. Por lo que debes contactar las marcas de pago o al banco adquirente. De acuerdo. Eso te dará un claro lo que llamó un tono para qué? Tienes que hacer. Una auditoría completa, tienes que llenar un cuestionario, sí tienes que enviar un Esri escanea, estas cosas las puedes averiguar desde sus sitios web o puedes contactarlas ellos mismos. Yo recomendaría hacer ambas cosas sólo para asegurarme de que no haya ambigüedad. Y más adelante, no te sorprende algún uso como un cometa que de repente aparece y no estás al tanto. De acuerdo. Entonces ese es el número dos. ¿Cuál es el número tercero? Tercera parte. Por lo que has contactado con el banco de pagos o con la adquirente. Ahora entérate de cuál es tu obligación de cumplimiento. ¿ Se trata de un cuestionario de autoevaluación o como auditoría completa? Perdón. Cq. El primero, SAQ es como una validación al cuestionario de Lisa. Lo que haces es llenarlo tú mismo. No hace falta que nadie más lo haga. Puedeshacerlo tú mismo. De acuerdo. Si no estás obligado a hacer una auditoría completa, solo tienes que llenar un SAQ. Es una serie de preguntas de sí o no por cada PCI, DSS o comentarios, solo lo rellenas 111, lo firmamos, y luego lo envías como dato. Esa es una de las formas más fáciles de pasar una auditoría de PC. De acuerdo. Entonces es exactamente lo que suena. Se trata de un cuestionario de autoevaluación. Puedes llenarlo tú mismo y básicamente dirá, esta es mi postura de cumplimiento actual. Nadie lo va a verificar. Que tu trabajo y tú tienes que ser veraz, por favor no tomes esto el largo camino. Tienes que ser veraz, pero nadie va a verificar que realmente puedes hacer que tu equipo de auditoría se registre. Esa es la primera parte. O podría estar sujeto a una auditoría completa, que es que el pago Granville pidió cumplimiento importante y también una certificación de cumplimiento, que es una EOC que es básicamente una auditoría completa. Tendrá que ponerse en contacto con su ensayo Q. Tendrás que relacionarte con la compañía, que es como todo el Reino Unido, Estados Unidos lo discutirá más adelante. Llaman a un asesor de seguridad calificado. De acuerdo. Básicamente, tenían una auditoría PCI DSS. Harán una auditoría completa. Vendrán a evaluar tu entorno y te dirán: Ok, esto es satisfactorio y te darán un reporte que auto civil completo se presenten a tu banda de pagos a tu banco. De acuerdo. Pero esta es más difícil, pero por lo general recomiendo hacer la auditoría completa solo para asegurarme siempre es mejor que un tercero entre y lo revise. ¿ De acuerdo? Por lo que estas son las dos obligaciones de cumplimiento que podrías tener. De acuerdo. Entonces ahora hemos entendido que, vale, tengo que hacer obedientes a PCA. ¿Y ahora qué hago? Un paso muy, muy clave que es, por favor no te saltes. Esto está estableciendo el alcance. Muchas organizaciones tienen algún almidón. Ellos hicieron esta pregunta, ok, ¿dónde implemento ideas de PCA es, si tengo como 12 sucursales a través, no sé, 50 países y 5 mil personal sí tienen que prevenir los IDSs de PC y cada uno de ellos? No. Entonces como dije, tu alcance es básicamente donde sea que esté almacenando, procesando, transmitiendo el entorno de datos del titular de la tarjeta. Eso es muy difícil de implementar PCI, DSS. Muchas organizaciones que sí tienen problemas para averiguar qué sistemas son NPC idea de alcance y cuáles no. De acuerdo. Para eso, recomendaría documento de conjunto de datos. Voy a tratar de tocarlo si puedo, se llama el PCI, DSS scoping y suplemento de segmentación de Netflix. De acuerdo. Creo que salió en mayo de 2017. Realmente te da te da orientación para identificar qué sistemas necesitan estar en alcance, qué sistemas no están en alcance, y cómo puedes realmente reducir tu alcance a través de la segmentación. Chicos muy importantes, necesitan entender su entorno empresarial, especialmente cómo los sistemas están interactuando con los datos de los titulares de tarjetas. A través de los datos del titular de la tarjeta se están almacenando y nos meteremos en esto. Pero necesitas sentarte de verdad con tu negocio. No te quedes solo con los chicos de TI siéntate con tu negocio porque todo el flujo de datos de los titulares de tarjetas, necesitas implementar tus controles encima de eso. Y esas son las personas, los procesos y la tecnología sobre los que se implementarán los requerimientos de PCI número 12. De acuerdo, entonces qué, qué consejo en el alcance es un tema muy importante van a tomar mi tiempo en esto. Entonces, ¿qué entra en el alcance de PCS? Primero debe listar, listar y confirmar todos los sistemas conectados que son como procesar, almacenar o transmitir datos de titulares de tarjetas. De acuerdo. Hay alguna orientación que el regalo del ayuntamiento simplemente puso, cualquier sistema que almacene los procesos datos transmitidos del titular de la tarjeta o datos sensibles, o cualquier sistema que esté en la misma red los tenga. Eso es bastante sencillo. Creo que eso es bastante lógico, ¿no? Y lo que hace bien, Aparte de eso, cualquier sistema que los esté proporcionando, que estén conectados a ellos, o proporcionándoles seguridad. De acuerdo. Entonces, ¿qué puede ser eso? De acuerdo, un sistema podría estar conectado directamente a su caudal y ramificado a través de la conectividad de red interna. O podría estar indirectamente conectada, tal vez como una conexión de servidor de salto. O podría impactar tu, la seguridad de tu entorno cardinal. A lo mejor es un servidor web, un servidor DNS, o tal vez es un servidor que está proporcionando seguridad, como el filtrado de tráfico de red epoxi. Tal vez sea distribuir parches, inicio de sesión único, o tal vez sea un firewall que está segmentando el entorno en línea de su tarjeta de los demás. De acuerdo. Sus firewalls están configurados para bloquear el semáforo que entrará en alcance. O es compatible con PCI, DSS o comentarios, tal vez servidor de tiempo, su solución SIM. ¿ De acuerdo? Entonces este vistazo a este diagrama. Te ayudará a averiguarlo, ¿de acuerdo? Y por supuesto, se puede entender que esto se ve como bien, tipo de cosa administrada, mucho sistema, el alcance. ¿ Cómo acortas el alcance de PCI DSS, vale, hay cosas que puedes hacer para reducir realmente el alcance de PCI DSS dentro de tu entorno. Y lo más importante es la segmentación. Sin segmentación, su red se vuelve como una red plana. ¿ Qué significa eso? Significa que todo está en la misma red. De acuerdo. Su entorno caudal, sus sistemas de seguridad, su tarjeta de césped, sistemas más antiguos que no tienen nada que ver. Pero son datos del tarjetahabiente. Todos ellos son la misma red. Y lo que pasa es que si uno de los sistemas se ve comprometido, tal vez tu laptop se vea comprometida con la conexión a Internet. Ahora el atacante puede simplemente saltar de ese servidor a su entorno caudal. Sin, por esto aplanado, todo estará en alcance. Es por eso que necesitas segmentar de tu red. Y evita que el sistema fuera de alcance. Entonces vas a segmentar tu entorno no relacionado con el tarjetahabiente de tu entorno de tarjetahabiente , ¿de acuerdo? Y lo que hace es evitar que esos sistemas se hablen entre sí. Y aunque ese entorno no causal se vea comprometido, porque no va a ser tan seguro, no impactará en su entorno de portatarjetas, ¿de acuerdo? Aunque un atacante se meta en ese documento, no tener acceso al entorno del tarjetahabiente. ¿ De acuerdo? Entonces por eso dificulta que el atacante migre desde el punto de entrada. A lo mejor era como una laptop o estación de trabajo a otros sistemas. De acuerdo. Por lo que generalmente lo que hace la gente, usan firewalls para la segmentación o puedes crear zonas dentro de tus fibras. Y echemos un vistazo a cómo sucede eso. Por lo que sólo una simple integral en azul. Esto es como se verá una típica red de vuelos, chicos. Entonces esto se ve muy instituto. Tienes tu red, ¿verdad? Los servidores, sus midas, heterolíticos, sus escritorios, sus máquinas de punto de venta. Todos ellos se han conectado a un firewall en el mismo firewall, y se han conectado a Internet. Por lo que se puede ver acaba de decir que esto es como una pesadilla esperando a suceder. Uno de ellos se pone como una playa por un atacante. Él puede acceder prácticamente a todo lo que puedes saltar de ahí al entorno del tarjetahabiente. Esta no es la manera de hacerlo. Entonces, ¿qué tenemos que hacer, chicos? Creamos algo llamado red segmentada. Entonces lo que hacemos es crear un segmento dentro de las zonas verdes, dentro del firewall. Y lo desglosamos en redes más pequeñas como red Cardano como un on-call no red como una red de negocios. Y pones firewalls u otros dispositivos entre ellos. De manera que eso restringe su conectividad. Así es como se verá un segmento y se verá. Entonces, aunque un ambiente esté comprometido, no puedes saltar a tu otro entorno, ¿de acuerdo? Debido a que tienes otros controles, la segmentación puede ser complicada, sobre todo si no tienes antecedentes técnicos, ¿de acuerdo? Por lo que siempre recomendaría que su equipo de red lo revisara dos veces. Acaban de tener tu tipo de riesgo son los chicos de seguridad. Verifíquelo, vuelva a verificar toda su segmentación. Y se puede, vamos a indagar en eso. ¿ Cómo comprobamos si la segmentación se realiza correctamente? Pero espero que hayan entendido chicos, por qué es tan importante. Y ahora se puede ver cómo se va a reducir el alcance de su red PCI DSS, ¿verdad? Tendrás en alcance y fuera de alcance. Y sólo para ser chicos muy claros, unos graciosos hablando fuera de alcance. Entonces estamos hablando de sistemas. No están en el alcance de PCI DSS, por lo que no es necesario implementar PCI DSS allí. Pero entonces no tendrán acceso al ambiente caudal. Pero si lo hacen, entonces hay que implementar PCA, ¿de acuerdo? Tienes que tener controles como te mencioné, segmentación y otras cosas para evitar que obtengan acceso. Por lo que dentro de la consola de PCA, han dado alguna orientación. Dicen estas otras cosas por lo que no puede procesar datos del titular de la tarjeta. No puede estar en la misma red, no puede conectarte y simplemente no te gusta prácticamente nada. Si lo hace para ser considerado fuera de alcance, necesita satisfacer toda esta área gris y necesita tener controles en su lugar para proporcionar al auditor la seguridad de que al igual que, no se puede simplemente cambia esto mañana, ¿verdad? No puedes simplemente traer esta métrica en la misma red. Necesita tener otros controles como firewalls, controles de acceso físico, autenticación multifactor, restricción del acceso de administrador o monitoreo activo de esta métrica para asegurarse de que no hay red conectividad. ¿De acuerdo? Y por lo general chicos, una cosa que recomiendo, y no es popular. Por qué no se requiere implementar PCI, DSS, un otoscopio. Pero siempre recomiendo que puedas implementar de manera consistente sombra no se auditará, pero es solo la mejor práctica de seguridad porque el PCI, DSS es un estándar de control tan bueno, debes implementarlo en redes fuera de alcance también. ¿ De acuerdo? Entonces esto es lo que parece, una red típica. Vale, De eso estaba hablando cuando lo mencioné. Para que puedan ver aquí chicos, tienen como un ambiente de Calígula en la parte superior derecha, tienen una máquina de punto de venta, sus sistemas de coordenadas. Está conectado a algo servicios compartidos como territorio ártico, el procesamiento por lotes, la tala. Hay un servidor de salto y tienes una red de alcance externo, así que no hay conectividad entre el CDE, la línea corporativa, ok. Existe una conectividad entre los servicios compartidos y eso. Pero entiendes que no hay conectividad directa. Si hubo alguna conectividad directa, entonces definitivamente se convertirá en alcance. Entonces esto es, usa esto como una guía de alto nivel sobre cómo quieres segmentar fuera de tu red. De acuerdo, Entonces esto es de lo que estaba hablando, la segmentación. Es como un arte. Honestamente hablando, cambia dependiendo del tamaño de la red, dependiendo de cuánto control tengas, cuántas soluciones técnicas tengas, ¿qué tan bueno es tu equipo de red? Y solo recomendaría que contactes con tu auditor antes, muéstrales el diagrama de red antes y después de cómo te vas a segmentar , obtener su orientación. No asumas que no están ahí para ayudarte. No están ahí para fallar la auditoría. Están ahí como socios. Te ayudaremos. Por lo que sí llegar a ellos. Te ahorrará mucho problema más adelante. Espero que esto les haya sido útil chicos y esto se completa nuestra fase fundacional. Entonces pasemos ahora a la fase de implementación. Gracias. 5. 3 - proceso de PCI DSS ( implementación): Hola chicos, Bienvenidos a este módulo, que es la segunda parte del proceso PCI DSS. Ahora terminamos la parte fundacional ahí mismo. Voy a hablar de la parte de implementación, que es muy importante. Ahora. Has hecho lo fundacional, has establecido todos los fundamentos. Ahora, comienza la diversión, que en realidad está implementando PCI DSS dentro de su entorno. ¿ De acuerdo? Entonces, una de las cosas más importantes que harás si no lo has hecho ya sería involucrar a Reino Unido, EE. UU. Básicamente, el asesor de seguridad calificado. Es una designación que el consejo de la PCA otorga a ciertas personas, entonces definitivamente están calificadas para realizar ahora suspense PCI y servicios de consultoría y auditorías. Para convertirse en un PCR, es necesario cumplir con ciertos recombinantes como educación que para aprobar una certificación y tomar capacitación adecuada del consejo de la PCA. Y entonces vas a ser empleado por un particular como yo tengo firma de seguridad y auditoría. Y por lo general se tienen que certificar esto anualmente. Invitaron a la jerarquía EUA. Es un tercero independiente de organizaciones que quieren competir aquí, compatible con DSS. De acuerdo. Y quieren asegurarse de que vendrán y harán la auditoría. Te asesorarán sobre cómo cumplir con PCI DSS. Lo que durante la auditoría de preventa, el QSIF determinará si su organización ha cumplido satisfactoriamente con el PCF más comentarios, El Directorio, o tal vez no le ha importado, pero usted pone otros controles, son controles compensadores. Si esto es suficiente, entonces va a llenar un ROC e informar sobre el cumplimiento, que es como un informe grueso, y un AUC que es una certificación de cumplimiento. ti y a él un bote, yo puedo asignarle eso. Entonces lo vas a enviar a tu esquema de pago o tu banco para su verificación. Básicamente, los tres SQS como tu amigo no están ahí para hacerte fracasar. Ya eres Zai para ayudarte. Si le da muchas observaciones, créanme, es en su propio beneficio asegurarse de que esas sean rectificadas. De acuerdo. Mucha gente que sólo quiere pasar una auditoría de PC y terminar con ella. De acuerdo. Sienten que han hecho su trabajo No. Involucrarse con ellos. Asegúrate de entender cuáles son los requisitos, por qué lo está haciendo. Tratada como pareja. De acuerdo. Trátalocomo a un compañero para que puedas cumplir plenamente con el requisito del PCI DSS. De acuerdo, entonces ahora puedes llegar a la Kiva, digamos todo el trabajo fundacional que hemos hecho ahora puedes tener el alcance. Te segmentaste fuera de la red. Ahora puede comenzar a trabajar en la implementación de los requisitos de PCI DSS. Vamos a entrar en estos detalle en la siguiente sección. Entonces no voy a perder demasiado tiempo en esto. Básicamente, son tanto operativos como técnicos. Siempre el enfoque está en proteger los datos de los titulares de tarjetas. Tenemos seis categorías y 12 o comentarios y voy a entrar en detalle al respecto. Pero el PCL o el QS dicen que suele entrar y hace una auditoría filamentaria como una brecha. De acuerdo. Y te da tus hallazgos. Entonces así es como se ve. Soy la primera vez, se lo aseguro. La primera vez y haces una auditoría de brecha, vas a tener como un like vas a estar muy deprimido cuando veas los hallazgos. Van a ser montones y muchos hallazgos va a entrar porque no importa la cantidad de cimientos que hayas hecho, todas estas cosas que no sabías. Vas a encontrar datos de tarjetahabientes claros en los lugares más como impensados de los lugares que le sucede a todos. Esto se basa en mi propia experiencia de hacer PCR durante los últimos diez años. De acuerdo. Pero habrá montones y montones de lagunas. No te preocupes, es un viaje, no un destino. Por lo que harás un plan de acción con una larga lista de ítems y comenzarás a trabajar en esto. ¿ De acuerdo? Implementar un triunfos rápidos. Habrá cosas que puedes implementar de inmediato. Comience a trabajar en esos y obtenga actualizaciones regulares, el QSEN, y luego concéntrese en los largos. Aquí es donde les dije, recuerden dónde están y cuál es el estado deseado. Muchas empresas, tienen las palabras clave para hacer esto. Puedes hacerlo tú mismo también, por cierto, solo para avisarte o puedes tener una empresa completamente independiente, como una empresa separada de USA. Algunas grandes empresas, sé que lo han hecho así, ok. También. Entonces depende completamente de ti cómo lo hagas. ¿ De acuerdo? Pero como dije, enfócate en las pantallas rápidas y luego vas a tener esos hallazgos. Va a llevar algún tiempo. Aquí es donde el apoyo a la dirección, que hablé va a NP-hard. Porque si el CEO, el CEO es que te están ayudando, créeme, las cosas se van a poner en marcha. De lo contrario, otros departamentos tienen otras prioridades. Tienen otras cosas en su día de placas no su trabajo no es hacer PCI DSS. Obtendrá mucho apoyo si se involucra con el apoyo de la administración desde el principio . Asumamos que lo has hecho. Arreglas todas las brechas. Ahora lo que So ahora viene la parte final, que es la auditoría final. Antes de la final, se puede probar el control de calidad. De acuerdo. Arregle todo, entre y hagamos la auditoría final antes de que eso suceda, recoja su documentación y sus políticas de seguridad, sus acuerdos de control de cambios, informes de escaneo de diagramas de red, documentación, capacitación en y encendido. De acuerdo. asegura de que todos los interesados y se alineen y estén listos. No asuma que simplemente dejarán todo y vendrán a sus reuniones porque generalmente el QSEN necesita tener reuniones programadas, reservar todos en el calendario, poner y asegurarse que entiendan la importancia de este cronograma, aquellos que reportan que hace que su alta gerencia también esté involucrada, y las personas clave de TI, aplicaciones de seguridad, recursos humanos, legales, todos de esos tipos están ahí. Hábitos como una especie de equipo que puedes puedes hacer un grupo de trabajo para PCA y puedes tener que las compañías de lobby de préstamos a veces hagan eso. Chicos, por favor asegúrense de dejar un lado el tiempo suficiente para remediar los hallazgos. Si su fecha límite de cumplimiento de PCI es el 15 de mayo, no llame al auditor y el 14 de mayo, por favor no asuma que quieren encontrar cosas. Podrías encontrar algo completamente inesperado. Tener un buffer de dos semanas, un mes probablemente depende su entorno para asegurarse que por si acaso hay algunos hallazgos completamente inesperados, tenga tiempo suficiente para remediar ellos. Ahora. Enhorabuena. Posiblementehas dicho auditoría. El auditor va a llenar el informe sobre cumplimiento ROC o esa decisión de cumplimiento o es posible que no necesite esto con mis dígitos llenando un cuestionario de autoevaluación. Y no necesitabas el QSR en absoluto. Los informes son el mecanismo oficial por el cual usted, como comerciante o proveedor de servicios o banco, informa su cumplimiento de PCI a su institución financiera como un pago con la marca Visa, MasterCard. Y a veces es posible que deba presentar informe SEQ sobre cumplimiento. A veces es posible que incluso necesites presentar un Stan. De acuerdo. De verdad depende. Como dije, depende de cómo se haga. A veces es posible que también necesite enviar historiales de escaneo de red trimestralmente. ¿ Podemos discutir decilitro. Realmente depende del pago cuando es difícil simplemente darte una talla única para cada entorno. ¿ De acuerdo? De acuerdo. Y ahora pasas la PCR que la has presentado. ¿ Ahora qué? Chicos muy importantes, por favor, necesitan implementar PCA como un proceso BAU para garantizar que los controles de seguridad se sigan implementando correctamente, necesita arreglarlo en sus procesos BAU como parte de su estrategia general, como ponerlo dentro de los otros departamentos, manuales operativos, su técnico que dijo eso? No, saben que esto es algo que tienes que hacer. Ponlo en tu propio calendario, los estándares que tienes que hacer, las reseñas, tienen que hacer el anuncio. Esta es una forma de monitorear la efectividad de tus controles y se va a mantener. Entonces aunque estés ahí, no estás ahí, entra alguien más, tal vez estás de permiso. Todos saben lo que tienen que estar haciendo. ¿ De acuerdo? que puedas monitorear tus controles de seguridad para asegurarte y puedes asegurarte de que si algo está fallando, tal vez un escaneo está pasando un cuarto no está pasando el otro trimestre. Si tienes algún tipo de calendario, este es un gran mecanismo para saber lo consistente que está yendo PCI DSS si estás pasando escaneos cada trimestre, controladores de disco maduran ahora. Por lo tanto, asegúrese de implementar como parte de un BAU. No te olvides de ello y luego sermonear despierte, repente hay que hacer este negocio. Entonces así es como básicamente implementan PCI DSS en su entorno, chicos, como dije, es un proceso vivo. Sigue cambiando, sigue evolucionando. El primer año será difícil. El segundo día te verás mejorando. Tercer año podrías enfrentar algunos retos enormes. Seguir mejorando el alcance. Mantente solo, creo que con el auditor cambia a tus auditores regularmente. No confíes en el mismo auditor durante los próximos diez años. Esa no es una buena práctica. Sigue agregando cosas nuevas a tu entorno y definitivamente verás madurar tu entorno , se volverá más fácil. Y en realidad comenzarás a disfrutar todo el proceso de cumplir con PCA. De acuerdo chicos, así que esto se completa el proceso BCR uno. Ahora vamos a sumergirnos en profundidad en el estándar y los requisitos de los que he hablado antes. Nos vemos en el siguiente módulo. Gracias. 6. 4 - Requisito 1: Hola a todos. Bienvenido a este módulo en el que vamos a hacer una inmersión profunda en los requisitos de PCI. Anteriormente hablábamos del proceso, del estándar en sí. Ahora van a estar profundizando en cada uno de los requisitos de las pruebas, ¿de acuerdo? Como mencioné, no voy a repasar cada línea de cada requerimiento. Nadie quiere comer para hacer eso. Que puedes hacer tú mismo honestamente hablando, lo principal es que debes entender la intención detrás de cada requisito y tratar de cumplir con eso. Pca es un estándar técnico. Acordado. Pero te da mucho espacio para maniobrar. Entonces comencemos con el primer comentario y veamos. Y recuerda, siempre puedes llegar a tu celular. Entonces, si estás confundido acerca de algún requisito, trátalo como a un compañero de seguridad. De acuerdo, entonces comencemos con el primer requisito que es instalar y mantener un firewall. Sólo para recapitular, si recuerdas un propósito de fibras, el propósito principal de un firewall. ¿ Por qué pones un cortafuegos aquí? Es filtrar el tráfico potencialmente dañino, es la primera línea de defensa. Y simplemente instalar una red de fibra no la hace segura, ¿verdad? Por lo tanto, si su fibra no está configurada y mantenida correctamente y la eficacia no es segura en el estado predeterminado. En resumen, lo que estoy diciendo es que un firewall correctamente configurado va a ser la primera línea de defensa que va a bloquear el acceso no deseado a la red. Vas a querer ponerlo entre tu red, tus sistemas e Internet también dentro de tu red de tarjetahabientes y tus otras redes también. De acuerdo, entonces vas a necesitar múltiples fibras. Por lo general así es como lo hacen. Y el firewall suele ser cuando haces tu segmentación, vas a crear tus zonas también. Entonces eso es yo para que cuando el auditor entre, va a comprobar si se entera de que no has revisado tu firewall en los últimos dos años, eso va a ser un problema. Si ve que tu firewall sigue usando las contraseñas predeterminadas, como un acceso completo abierto a Internet. Nada en absoluto de esas cosas te van a causar problemas. Sólo para recapitular, ya hablábamos antes, ¿ recuerdas cómo funciona la segmentación, verdad? Por lo que sus reglas y nuevo entorno van a cambiar con el tiempo. No va a ser estático. Por lo que te vas a asegurar que la segmentación esté ahí y se revise cada seis meses. Mínimo. Al menos cada seis meses tienes que revisar tu fibra, perderla mantenida como documentación, tener ahí un reporte que demuestre que realmente revisaste el firewall. ¿ De quién se acuerdan de eso? De lo contrario, el auditor no tendrá forma de saber si lo estás haciendo o no. Y cuáles son las acciones clave. Entonces, como mencioné antes, un error común, un error muy, muy común que la gente comete es asumir que el firewall es como una tecnología plug and play de bomba. Después de instalarlo, casi siempre se requiere un esfuerzo adicional para restringir el acceso y proteger entorno de datos del titular de la tarjeta. Ver el objetivo final del firewall es filtrar tráfico de internet potencialmente dañino y otras redes que no son de confianza. Entonces como si estuvieras trabajando en, en e-commerce, el firewall estaría ahí entre tu Internet y estás mimando entorno, ¿verdad? Entonces hay que hacerlo, aquí es donde el alcance y todo ese arduo trabajo que hicimos antes de que eso vaya a entrar. Entonces te vas a asegurar que todas esas cosas estén ahí. Vas a tener una regla de negación. Vas a tener unidad de filtrado de paquetes de tubería. Cada vez que abre un puerto, necesitan volver a procesar la unidad IK abriéndose hacia arriba. Fue esto comprobado por los equipos, no se verificó. Si sólo una persona lo está haciendo, Nadie lo está mirando. De acuerdo. Recuerda que debes ponerlo protegido. Cualquier tráfico entrante y saliente del entorno caudal. Necesitas tener estándares para tus firewalls, lo que está permitido, lo que no está permitido, y necesitas tener algún tipo de revisión sucediendo. Obviamente, nadie va a estar revisando tu firewall o robando a nadie. Honestamente, ni siquiera es posible. Pero por lo general lo que hace la gente es asegurarse de que todo sea inocuo y francium. Y son alertas configuradas. Y como, ¿cómo se llama a alguien que lo está monitoreando? De acuerdo. Si generas un reporte, creo que generalmente viene como trescientas, quinientas reglas surgirán en un ambiente pequeño. Entonces eso no es ni remotamente práctico, pero el auditor va a revisar la IU asegurándose de que tu firewall no sea solo algo en lo que lo acabas de poner una vez y olvidarte de todo. Son como las revisiones sucediendo, los estándares están sucediendo. Se está revisando, se está monitoreando, y se coloca correctamente. Entonces se va a ver donde están las huellas dactilares, el diagrama de red de fibra también. Así que ten en cuenta estas cosas y el kilómetro de fibra es bastante sencillo, creo que honestamente dentro de tu cuerpo llama momento de seguridad. Es gracioso. Es una de esas cosas que debería estar ahí de todos modos. Pero la diferencia entre PCA es cuánto esfuerzo ponen tanto enfoque y puertos, las revisiones regulares y su debida diligencia sucediendo. Ejecutar reglas de seguridad es todo lo que se necesita para comprometer su entorno de firewall. Entonces todo eso tengo ese concepto de confianza pero verifico porque el firewall se asegura de que estén configurados cualquier motivo suceda y es una perpetuidad, el tráfico está bloqueado. De acuerdo. Asegúrate de tener personalmente fibras también en tus laptops y tus PCAs, tus plataformas móviles. De acuerdo. Por lo tanto, no es solo un firewall corporativo, asegúrese de que la seguridad del firewall se aplique de manera consistente en toda su red. Entonces eso es más o menos. Es un sencillo o comenta una identificación y puedes mirar el estándar para ver cuáles son los detalles como negación. Y una de las cosas que debería estar pasando, solo asegúrate de que esas reglas estén ahí. Y estás revisando y monitoreando tu actividad de firewall. 7. 4 - Requisito 2: Hola a todos, Bienvenidos a este requisito. En este requisito vamos a hacer sobre el segundo, que es estándares de configuración y sobre básicamente endurecer y estandarizar, estandarizar su entorno de tarjetahabiente. Si fuera a decirte como una palabra para describir esto, o dos palabras en realidad para describir este requisito. Podría ser la configuración predeterminada. Tradicionalmente, cualquiera o dispositivo, tu router o tu firewall, tu servidor, viene con ciertas configuraciones inseguras por defecto, ¿verdad? Entonces PCM manda que tenemos que asegurarnos de que lo sean. No permanecen en su configuración predeterminada y están asegurados lo que sea que estés poniendo en tu entorno Caldwell. Se ha asegurado de su defecto. Ajuste. La forma más fácil para que un hacker acceda a su red interna. Contraseñas o exploits predeterminados secos certificados basados en configuraciones predeterminadas, configuración software en su Infraestructura de Tarjetas de Pago. no te lo creerías. He visto muchas veces comerciantes, no cambian las contraseñas por defecto para las máquinas de punto de venta o las cajas registradoras. Es como si tuvieras una tienda y la hubieras dejado desbloqueada por la noche. ¿ De acuerdo? Por lo que la gran mayoría de las veces son contraseñas y configuraciones predeterminadas para dispositivos de red. Son ampliamente conocidos en Internet. Esta información proporcionó algunas herramientas de muy libre acceso . Pueden dar a los atacantes acceso no autorizado muy fácilmente a su entorno. Puedes asegurarlo todo lo que quieras. Puedes poner tantos seguidores como quieras. Pero si lo haces, no he puesto en movimiento esos ajustes predeterminados de los que dejaste abierta la ventana. Has cerrado con llave la puerta, pero has dejado la ventana abierta. Entonces, ¿cuáles son los puntos clave? ¿ Cómo se asegura de que las contraseñas predeterminadas en diferentes configuraciones estén endurecidas durante la instalación? ¿ Estás usando esas contraseñas por defecto, 123 MVC, ya sabes, las contraseñas estándar. ¿ Hay algún proceso presente el auditor va a ver si hay algo presente con lo que puedas endurecer tu IO estándar cayendo algún estándar. De acuerdo. ¿ Sabes que todos los sistemas que sí tienen como un inventario, como alguna forma automatizada de averiguar cuántos sureños hay ahí. Y si tienes como, se supone que tienes 50 servidores, pero en realidad tenemos unos 100 servidores y esos 50 restantes, en realidad no son seguros. ¿ Cómo sabrías de eso? De acuerdo. En estándares presente valor cayendo cualquier norma de la industria. Entonces estas son las cosas que debes tener en cuenta. ¿ Cuáles son las acciones clave a tomar? La consistencia es lo principal aquí. Si le quitas algo a esta norma, es consistencia. Entonces una vez que no tuvieras un servidor y haces, tienes que hacerlo fácil suponiendo que has creado un estándar de harding, ¿no? Dices que voy a seguir el referente del CIS. ¿ De acuerdo? Tienes que aplicar a todos los ambientes y al cliente de manera consistente. Entonces una vez que hayas configurado el sistema y te hayas asegurado de que todo esté ahí. Tienes otro trabajo que hacer, ¿verdad? Tienes que asegurarte de que este inventario esté actualizado. En realidad está mapeando con el medio ambiente. Mucho tiempo la gente usa algún tipo de sistema automatizado. Nadie lo va a hacer manualmente. ¿ De acuerdo? Entonces de esa manera si hay algún sistema, sistema en el ambiente caudal el cual no está aprobado para su uso. Se puede descubrir, Espera. Usualmente uso algún tipo de software de administración de sistemas para ayudar a obtener este inventario. Pueden informar sobre el hardware que se está utilizando o el software que está ahí. Y como nuevos dispositivos se están comprando en línea de lo que pueden hacer cumplir los estándares, está bien. El administrador recibirá una alerta si tu sistema no cumple con tu estándar interno. Por lo general muchas veces he visto compañía usando herramientas. De acuerdo. Por lo que necesita tener una forma segura de administrar el entorno y el inventario de todo, todo el hardware y software y los estándares de configuración documentados. No necesitas hacerlas desde cero, usa algo como el benchmark CIS, ¿de acuerdo? Y hay que tener alguna forma segura de acceder a sus sistemas. asegura de que todo lo predeterminado sea eliminado. ¿ Cómo se hace eso? Hay muchas herramientas disponibles, está bien. Por lo general, se ve así. De acuerdo. Por lo que traes un servidor o un firewall o un appliance en cualquier ciudad o estado, tu equipo va a hacer algún endurecimiento. Van a hacer algunos escaneos. Ellos van a mirar el reporte. Se les va a decir, Ok. No se endurece según el punto de referencia CIS. Esta contraseña está ahí, estas cosas están ahí. Todas estas cosas son configuraciones de contraseña no están ahí. Ya sabes, la complejidad básica de la configuración de contraseña de la parte y todas esas cosas. Esos no están ahí que el administrador vaya a hacer el trabajo y lo van a endurecer. ¿ Cómo se hace cumplir eso de manera consistente? Por lo general, la gente usa algo así como una imagen dorada o tienen algún tipo de guión, alterna todo. Y encima de eso tienen un escaneo que está sucediendo de manera consistente. Ese escaneo está sucediendo y comprobando si algún incumplimiento. Por lo que debes tener esas herramientas en tu entorno. El auditor va a echar un vistazo a eso y asegurarse de averiguar si hay alguna desviación de sus estándares, vale, debe tener un proceso para abordar eso. Así que asegúrate de que esas cosas sean, solo se dicen, solo recuerda que no hay configuraciones predeterminadas o endurecimiento y estandarización y un proceso de monitoreo para estar ahí para asegurarte que todo esté estandarizado en su entorno de tarjetahabiente. De acuerdo, obviamente esto es bastante sencillo. Seguro que podrías estar pensando que esto ya está ahí. Bueno, si ya está ahí, entonces formalizalo y mira los requisitos si hay algo que no seas de manera significativa. De acuerdo. Gracias chicos. Te veré en el siguiente video. 8. 4 - Requisito 3: Hola a todos, Bienvenidos a este módulo. Ahora bien, este es muy posiblemente el requisito más importante para PCI DSS son muchas veces cuando la gente habla de PCI DSS, están hablando de este requisito en particular solo porque básicamente captura lo que PCI DSS es una de esas cosas únicas que tiene PCI DSS. De acuerdo. Y hablo de la protección de los datos de los titulares de tarjetas. No recuerdo lo que te dije antes sobre no memorizar ningún requisito. No aplica a éste. Definitivamente debes conocer este requisito al revés porque aquí es donde más se va a enfocar el auditor. De acuerdo. Aquí es donde si te metes y no lo sigues correctamente, podrías potencialmente fallar la auditoría. Entonces esto es muy, muy importante. Entonces cuando hablamos de datos de tarjetahabientes, básicamente estamos hablando cualquier información de proceso impreso, transmitido, o almacenado en una tarjeta de pago, ¿de acuerdo? Si eres como aceptar tarjetas de pago y se espera que protejas esos datos, ya sean impresos o almacenados en una base de datos o red pública interna, o tal vez en una nube. Por lo que las partes esenciales saben dónde estás almacenando esos datos y qué no necesitas para no almacenarlos. Y tener alguna forma de averiguar dónde estás almacenando esos datos. No quieres que el auditor lo encuentre. Quieres averiguarlo tú mismo, ¿de acuerdo? Entonces esas son las cosas. Entonces PCI, DSS es muy, muy claro sobre lo que puedes y no puedes almacenar. Y debes saber qué estás almacenando, dónde estás almacenando, cómo lo estás almacenando para asegurarte de que estás cayendo en los estándares PCI DSS. Entonces sólo para echar un vistazo, cuando se habla de carnaval, los elementos, ¿de qué estamos hablando? Hay algo llamado el número de cuenta, el número del tarjetahabiente, básicamente el pan que lo llamaremos, Ese es un número de 16 dígitos. Tenemos cosas como el nombre del titular de la tarjeta, la fecha de vencimiento, el código de servicio. En la parte posterior tienes que rastrear los datos, los datos de banda magnética, y tienes el código CVD que puedes usar para las transacciones de comercio electrónico. Básicamente, cuando estás almacenando estos datos, que protegerlos. Entonces lo almacenas estaba mostrando estos datos. Tiene que ser protegido cuando se está imprimiendo el Delta, tiene que estar protegido. El problema suele venir cuando las personas, sin saberlo, terminan distorsionando y no protegiendo estos datos, que es donde entra la gran mayoría de los problemas. Entonces, ¿qué hace PECSA y ver como lo que se debe almacenar? ¿ De acuerdo? En primer lugar, entonces divide los datos en dos elementos, ¿de acuerdo? Estás hablando de datos de titulares de tarjetas y datos confidenciales de autenticación. De acuerdo. Entonces tu pan, eres el código de servicio de exploración de nombre del titular de la tarjeta, eso es datos del titular de la tarjeta. puede almacenar, pero hay que protegerlo. Y el otro que es datos de autenticación sensibles como los datos, el código CVD, el pin y el bloque pin, el pin, el pin que pones cuando estás haciendo una transacción que es datos de autenticación sensibles o SAD, no los almacene. Si no lo estás, no tienes que almacenarlo después de que se autorice la transacción. De acuerdo. Entonces la gran mayoría de las veces, esos grandes compromisos que sucedieron, personas maliciosas, pueden, descubren que estos datos están almacenados y los usan para reproducir tu tarjeta y realizar una transaccionesfraudulentas. El código CPP es usted nota que el código de tres dígitos que utiliza para transacciones de comercio electrónico tarjeta no presenta transacciones. Entonces el bloque de pines es, por supuesto, el pin que estás usando. Se, se convierte en un bloque de alfileres. Se encripta. Pero aunque, aunque esté encriptado, no se puede almacenar, chicos, para solo recordar esto, creo cosas que se pueden almacenar si se produce. Entonces creo cosas que no puedes almacenar, ¿de acuerdo? Y esto es lo principal que tienes que tener en cuenta si estás almacenando el nombre Guardiola y qué llamas si estás almacenando la sartén, tienes que cifrarla. O posiblemente si lo estás mostrando , tienes que hacer otras cosas. Entonces voy, lo que voy a hacer es porque tienen muchas, muchas maneras de hacerlo. ¿ Cómo se llama protegerlo? Entonces lo estás almacenando cuando lo estás mostrando, cuando lo estás imprimiendo. Yo quiero ir uno por uno. ¿ Cuáles son los pasos que te dice PCA? Entonces, en primer lugar es enmascarar o lo que es enmascarar videos generalmente cuando lo estás mostrando en pantallas o recibos de impresiones. No se debe confundir con los otros requisitos como almacenar, ¿de acuerdo? Entonces cuando estás mostrando en pantalla, cuando estás vertical y esa persona no tiene un requisito para verlo. ¿ De acuerdo? Entonces lo que puedes hacer es enmascarar la sartén, básicamente puedes XXX como son los números de las tarjetas. Aparte de eso, se obtiene el máximo. Nos puedes mostrar los primeros seis y los últimos cuatro. Todo lo demás que simplemente puedes enmascarar. Por lo que se puede ver este es el tanque de almacenamiento. Cuando se está compartiendo en la pantalla puedes mascota completamente, vale, no estamos hablando de cómo se almacenan los datos. Estamos hablando de cuándo se está mostrando. De acuerdo. Cuando las pantallas de la computadora de la gente Missy y cuando no hay necesidad de negocio para ver toda la cacerola a veces como sus agentes del centro de llamadas o algunas otras personas, pueden tener una ordenada para ver el pan completo, ok, necesitas documentar eso. Pero nueve veces fuera de cosas no tienes necesidad. ¿ De acuerdo? Por lo que básicamente concediendo ciertos dígitos durante la visualización, incluso un día festivo, independientemente de cómo se esté almacenando la sartén, se puede enmascarar el sabor. De acuerdo, entonces el primer paso es enmascarar. Averigua a dónde vas necesitas enmascararlo. Y en realidad, el enmascaramiento debería ser el defecto solo con alguien que tenga un requisito comercial. Si tu sistema tiene la capacidad de enmascararlo, solo lo enciendo en todos los ámbitos después de que lo compruebes con el negocio. De acuerdo. Entonces esta fue la primera que está enmascarando. El segundo inverso es el truncamiento. También puedes truncar los datos cuando los estés almacenando. truncamiento es similar al enmascaramiento, pero ahí no se XXX nuestros datos, simplemente descartamos esos dígitos. Por lo que puedes ver aquí, este es un número de pan completo. Y cuando lo estés almacenando en una base de datos, podrías usar simplemente desecharlo, ¿de acuerdo? Entonces básicamente hace que la tarjeta sea ilegible. Eliminación de un segmento de esos datos. Y por lo general se usa, lo he visto siendo usado en bases de datos y archivos. Por lo que aunque un atacante sea capaz de obtener acceso a este día, no puede hacer nada porque esos dígitos se han eliminado. En ocasiones las empresas pueden usar esto como método también. Esto está más en el almacenamiento, ¿de acuerdo? De acuerdo, ¿Qué más hay? Puedes hacer hashing de una manera. Entonces estás almacenando datos. ¿ Qué es el hash unidireccional? Es como un proceso criptográfico. Toma tus datos y los convierte en un tipo diferente de cadena. Por lo que cada vez que lo hagas en una sartén, va a mostrar un resultado diferente. ¿ Por qué lo llamas un hash unidireccional? Porque aún es reversible. Entonces no se puede obtener esa vertical del hash. No puedes recuperar el número de la tarjeta. ¿De acuerdo? Entonces mucho tiempo la gente lo usa para comprobar si los datos han sido modificados o no, pero también puedes usarlo para almacenarlos, ¿de acuerdo? Por lo que básicamente, estás creando un hash irreversible unidireccional de tus datos. Depende de ti si quieres usar este proceso. Ya lo he visto siendo usado. Sólo recuerda que no puedes regresar de ese hash. No puedes usarlo para futuras transacciones, ¿de acuerdo? Porque esos datos están siendo cambiados irreversiblemente. Al igual que a veces necesitamos dulces que no tienes que almacenar, como lo haces no es necesario enmascarar. No es solo para truncar y no necesitas estos datos, puedes almacenarlos como un hash. Esa es una forma como sea posible. Entonces hemos hablado de chicos de truncamiento sólo para volver. Entonces esto era caucásico. Cuando lo estás almacenando, esto es hashing. Ahora ya sabes la diferencia. Una cosa muy, muy importantes chicos. No puedes almacenar versiones truncadas y hash de la misma tarjeta de pago. Ambiente caudal de Virginia. ¿De acuerdo? Porque lo que pasa es que estos se pueden correlacionar. ¿ A qué me refiero con eso? Si el atacante tiene acceso, ¿cómo se llama a la truncada y esa banda y las versiones hash del número de registro, realidad pueden recuperar el plan original basado en estos dos datos. Por lo que cuando lo estés almacenando en bases de datos y archivos planos como hojas de cálculo o tal vez como registros de auditoría de respaldo, posible que tengas que protegerlo y no almacenarlos juntos. De acuerdo. Fue uno de los dos, pero no los almacenen juntos. Muchas personas que he visto a veces se olvidan de este requisito y es truncamiento y hashing se está haciendo al mismo tiempo. Porfavor, no hagas esto. De acuerdo, ¿qué más hay? Tokenización. tokenización es un proceso muy sencillo. Lo que pasa es que a veces has visto que cuando lo hacías, lo trunca. El formato de 16 dígitos cambia, ¿verdad? Ya no es como número de 16 dígitos. tokenización es un proceso que reemplaza el número de tarjeta original. Otro número de 16 dígitos. Eso también se llama token. El token puede parecer un número legítimo de titular de la tarjeta, pero no lo es, no tiene valor para un atacante. Ok? Entonces generalmente lo que pasa es que esto es reversible, por lo que puedes hacer tokenizar que tienes algo llamado token volt. Entonces con el formulario ese token, puedes volver, recuperar el número de tarjeta original, vale, puedes recuperarlo. Entonces tokenización, por lo general lo he visto, Se está utilizando cuando gente solo quiere almacenar el titular de la tarjeta, los datos del titular de la tarjeta para futuras transacciones. Pero quieren asegurarse de que sea seguro y no quieren que se cambie ese formato. Entonces quiero decir, puedes haber múltiples formas de hacerlo. Puedes hacerlo desde la sartén. Se puede generar aleatoriamente. Puede tener un token, un almacén de tokens que se está creando, que es los datos de tokenización y D tokenización. Hay múltiples formas de hacerlo. Simplemente entienda el token que conserva el almacenamiento, formatee el pan de 16 dígitos, y puede invertirlo para que pueda tokenizarlo y D tokenizarlo. A veces tus bases de datos, pueden almacenar grandes cantidades de datos que saldrían si lo estás hash y necesitan un número de 16 dígitos. Por lo que la tokenización te ayuda. Tokenización también a veces incluso la sacaré del alcance. Pero hay mucho trabajo por hacer en torno a eso. Entonces esta es la diferencia básica entre tokenización y otras funciones. Por último está el cifrado, que es lo más común. El cifrado es un poco similar a la tokenización en que Japón está siendo reemplazado por otros datos que no tienen valor. Pero el cifrado es algo diferente porque en primer lugar, no conserva el formato original. Y utiliza un gestor de claves como un muro con una clave criptográfica. Y usa como un administrador de claves porque tu hijo, usa una clave y un algoritmo para generar un número enorme, cual no puedes recuperar el número de tarjeta original de esos datos. ¿ De acuerdo? Por lo tanto, típicamente el tamaño de los datos aumenta como si no preservara el formato original. Entonces realmente depende de ti lo que quieras usar. Algunas personas prefieren la tokenización porque quieren restaurar ese formato en el dígito 16 de algunas personas prefieren el cifrado. Por lo general, depende de los requisitos de su negocio. Sólo sé una cosa. Hablé de una clave como tú necesitas una clave para cifrar esos datos. que esa clave, tienes que encriptar esa clave también con otra clave, y tienes que almacenar esa por separado. Es como si pudieras referirte al requisito. Sólo tienes que saber cuando encriptas datos, datos de un titular de tarjeta, tienes que cifrarlos con una clave y tienes que proteger esa clave también, tienes que encriptar esa clave nuevamente. Entonces solo recuerden que cuando se habla de encriptación, sé que es un billete de lotería chicos. Simplemente pasa por esto, revísalo y poco a poco, poco a poco empiezas a entenderlo. No tienes que implementar todas estas cosas son números que solo puedes conformarte con encriptación o hashing o tokenización. Sólo conoce estos diferentes departamentos. ¿De acuerdo? Entonces hablas de, como recuerdo, hablé de encontrar nuestros datos. Por lo que necesita revisar sus fuentes de datos para asegurarse que el NADH almacena los datos del titular de la tarjeta sin cifrar. No tienes ningún dato de autenticación sensible. Mira tus registros de transacciones, los datos de transacción, tu rastreo. Prueba como sabes, a veces la gente activa el rastreo para la solución de problemas. Muchas veces que empieza a almacenar datos sin cifrar, ok. Mira tus esquemas de base de datos. Los esquemas podrían mostrarte si hay algún número de tarjeta allí. De acuerdo. Mire sus copias de seguridad, cualquier archivo de volcado de bloqueo de memoria existente. De acuerdo. Tu DLP, montones y montones de cosas lo son, apenas están empezando desde la izquierda. Puedes mirar tus terminales de pago, ya sea que estés dominando o truncando todos los datos que estás almacenando cualquier dato de autenticación confidencial. No estás almacenando ningún dato indeterminado. Mira tus pantallas e informes. De acuerdo. ¿Hay alguien que tenga un requisito de ver datos, datos de tarjetahabientes, si no, solo muselina truncada en los reportes, puede usar esta extremidad, este dato desolado. ¿ Y si puedes aguantarlo? De acuerdo. Y si alguien tiene acceso remoto, puede sacar estos datos. ¿ Tenemos algún control DLP? ¿ Y las bases de datos y el almacenamiento? De acuerdo. Entonces, cuando estás almacenando esos datos, ¿tenemos ahí un cifrado de protones? ¿ Hay algún dato de autenticación sensible? Por lo general las personas, lo que hacen es que tienen algún tipo de herramienta que escanea las bases de datos y les hace reportar. No puedes hacerlo manualmente. Habrá millones de registros, no puedes hacerlo manualmente. Y por último, compartir archivos. Muchas veces archivos compartidos o un punto ciego. La gente no sabe que los empleados están poniendo los datos de los tarjetahabientes en hojas de Excel o lo que llamó archivos planos y no lo saben y de repente haciendo la auditoría, surge. Así que asegúrate de que estás escaneando esos también, y asegúrate de que no pueda ser exfiltrado. Estas otras cosas, chicos, he pasado más tiempo en esto porque esto es muy, muy importante saberlo. Por lo que acciones clave. Averiguar los primeros datos del titular de la tarjeta de video es no solo usar el método técnico, hablar con la gente también, dibujar diagrama de datos del titular de la tarjeta. Siéntese con su negocio y descubra cuál es el flujo de datos desde el punto en que se capturan los datos, el titular de la tarjeta hasta momento en que se autorice y almacene. De acuerdo. Por lo que lo encontrarás en bases de datos, recursos compartidos de archivos, incluso correos electrónicos, lo encontrarás una nube externalizar proveedores. Y por último, quiero hablar de, vale, ¿y si no se puede implementar PCA control soviet? Quiero tener esto en cuenta. Vamos a hablar de algo que se llama controles compensadores más adelante. Entonces eso es algo que hay que tener en cuenta. ¿ Y si no puedes encriptar porque es una aplicación heredada, verdad? Entonces, ¿qué vas a hacer eso? Entonces esto es algo que quiero que tengáis en cuenta. De acuerdo. qué se necesita tener una política de retención de datos. A lo mejor no necesitas detener los datos de los tarjetahabientes después de 30 días, vale. Simplemente elimínalo entonces no hay necesidad de conservarlo. Debe tener un diagrama de flujo de datos. El auditor se va a preguntar, ¿cómo averiguas, antes que nada, dónde se almacenan tus datos? ¿ Tenemos algún tipo de herramienta que esté escaneando regularmente sus servidores, bases de datos, computadoras portátiles, y los chicos más importantes, por favor no almacene datos confidenciales de autenticación. Después de que se haga la autorización de su tarjeta. Retire su camión a datos o MOOC. No nos detenemos en bloques enmascarando pinos en el cliente recibe. Y si lo está almacenando, la información del titular de la tarjeta, entonces por favor mascota o truncado o seguridad al cifrado. Asegúrate de que sean las bases de datos o su almacenamiento sea accedido por la menor cantidad posible de personas. De acuerdo. Entonces este era el requisito, chicos. Espero que no haya sido demasiado. Sólo tómate tu tiempo, ve al estándar. Lo principal es averiguar dónde están los datos de sus titulares de tarjeta y protegidos en consecuencia. Entonces no almacene datos a menos que no los necesite. Entonces solo pasa por este modelo una vez más. Se revisará. Por lo que se tiene una mejor idea de ello y toma notas para después intentar implementarlo dentro de su entorno. Te lo puedo garantizar. Si estás en el negocio de tarjetas, encontrarás datos del titular donde no esperabas encontrarlos. Eso es algo común. No te asustes por eso. Solo asegúrate de tener un proceso para remediarlo en el futuro. De acuerdo, chicos, ya nos vemos en la siguiente sección. Ojalá tengas una mejor idea ahora y te veré en el siguiente módulo. 9. 4 - Requisito 4: Hola chicos, Bienvenidos a este módulo. Este módulo es relativamente corto. Es bastante sencillo, que es asegurar datos, redes abiertas y públicas. Esto es bastante sencillo. Yo creo. No creo que necesite explicar esto demasiado sino calcularlo. Es decir, si lo estás enviando a través red abierta y pública, tienes dos encriptados, ¿no? No quieres que la gente solo mire estos datos. Esto va a ser enviarlo a un procesador de terceros, tal vez copias de seguridad, tal vez a través de la Nube. Y lo más importante, los ciberdelincuentes tal vez puedan interceptar esta transmisión a través de datos de Guardiola. Por lo que es importante poner en controles su encriptación puede usarlo. Se puede poner cualquier cifrado utilizando TLS fuerte unidad criptográfica y todos estos otros controles. Es posible que tenga terminales de punto de venta, que están enviando datos a través de internet o inalámbrico o GPRS. Tienes encriptación sobre eso, sobre tus violinistas y otras tecnologías celulares. De acuerdo. ¿ Y qué pasa con la mensajería? Al igual que el correo electrónico, mensajería instantánea, SMS, chat. Se pueden enviar datos de tarjetahabientes con eso también. Entonces necesitas poner políticas, necesitas poner controles como DLP. Entonces es muy, muy importante tener esas cosas. Existe alguna mezcla de controles técnicos y operativos. Se podría pensar que es muy sencillo, pero créanme, sobre todo si estás usando terminales de punto de venta, mucho tiempo lo que pasa es terminales de punto de venta que usan versiones antiguas de TLS, TLS 1.1, y no estamos usando las versiones más nuevas como la 1.21.3. Debes asegurarte tener un plan para migrarlos. Simplemente construye a partir de los diagramas de flujo de datos hablamos antes en común tres, sabrás la fecha cardo que viene de NBC que se envía afuera. Quiero asegurarme de que esté encriptado. Al ser enviado a través de redes públicas abiertas. No quieres asegurarte de que esos encriptados o tengan una política interna no enviar números de tarjeta claros a través de SMS, chat, a través de equipos de Slack. Por favor no tengan eso. ¿De acuerdo? Desea revisar sus terminales de punto de venta para asegurarse de que están encriptando de forma adecuada. Si no los está manteniendo, tiene un proveedor que se ponga en contacto el proveedor y se asegure de que esos terminales de punto de venta, no sean susceptibles a ninguna explotación conocida, como vulnerabilidades estándar. Por lo general, es el proveedor quien te dice que puedes hacer tus propias pruebas. También. Muchas veces lo que hacen estas empresas, se aseguran de que sus terminales de punto de venta ya estén certificados a PCI DSS. Puedes consultar el número modal. Se puede ir a la página web y en realidad poner el mortero lumbar, poner esa versión y ver donde hay estilo de vida certificado a lo general se llama la transacción rosa PDF Standard. Y creo que hay un estándar más, pero puedes consultarlo en su página web. Le dirá de inmediato si este dispositivo es seguro o no está certificando datos según el estándar PCI DSS. Esto es más o menos lo que es. Ustedes asegúrense de tener un inventario de todos sus datos los cuales están enviando a salir. Muchas veces son las terminales de punto de venta. Asegúrate de tener control sobre tus mensajes de usuario final como correos electrónicos, tiempo de holgura, lo que sea que uses. Esos controles tienen que estar ahí para evitar que los datos de los tarjetahabientes se envíen a través de la red pública abierta. De acuerdo, eso termina esta sección en particular. Y por último, solo asegúrate de que no estás usando TLS 1, deshabilita todos esos protocolos inseguros. No quieres estar usando esas implementaciones tempranas de SSL y TLS porque eso es muy fácil de comprometer. No se considera seguro. Así que consulte con su punto de venta cuando su punto de proveedor de BI y tenga algún tipo de plan. Si descubres que tus dispositivos de punto de venta lo están utilizando, necesitas tener un plan de mitigación de riesgos y un plan de migración dejándolo en los próximos 12 meses o 18 meses, voy para migrar todo a TLS 1.2 porque créanme, el auditor te va a preguntar eso. De acuerdo, eso lo envuelve, chicos. Te veré en el siguiente módulo. Gracias. 10. 4 - Requisito 5: Hola chicos, Bienvenidos a esta sección. Este requisito es, creo distribuido más fácil para ti, que es hablar si no tienes esto, entonces solo hay un problema mayor que no estar certificado PCI DSS. Este requisito se ocupa de antivirus, anti-malware que necesita ser instalado en todos los sistemas comúnmente afectados por el malware. Tienes que asegurarte de que tienes una solución antivirus ahí, que está ahí, que todo dentro del entorno cardinal, quieres asegurarte de que esté ahí. Está de pie regularmente, está regularmente actualizado. Y deberías tener un proceso para averiguar si hay algún nuevo ataque sucediendo. ¿ Cómo sabrás si hay un exploit de día cero pasando o algún malware está ahí afectando de repente a todos los sistemas? ¿ Tienes algún tipo de forma de averiguar qué está pasando, cuáles son las alertas que entran, vale. Por lo tanto, asegúrese de que por lo general un PCSS que implemente anti-malware en los sistemas que comúnmente se ven afectados. La gente lo toma para estar en Windows, pero debes ponerlo en Linux también, muchos de los sabores de servidor Linux que hay, sí soportan anti-malware. Asegúrate de que esté ahí. No te pongas perezoso en Linux. Y se aseguró de haber implementado el anti-malware en general. Lo estás escaneando. Y lo que pasa. Mucho tiempo a la gente le gusta que le ponen un anti-malware, pero si llega una alerta, nadie la está mirando. ¿ De acuerdo? Por lo que quieres asegurarte de que esas alertas vayan a algún lugar de alguna manera realmente tomando una acción basada en esa alerta para que esa ventana de compromiso, tiene que ser muy corta. Esas cosas se aseguran de que tus anticuerpos estén actualizados y que esté enviando alertas. Vale, aquí no asumas nada. Como dije, los puntos clave son desplegar antivirus en comúnmente afectados y sistemas no comúnmente afectados también, por favor chicos, si tienen algún tipo de como Linux o alguna otra cosa, si existe la posibilidad de implementar anti-malware, por favor despliéguelo. No te pongas perezoso, vale, asegúrate de que se esté actualizando si configura para escanear automáticamente y si pasa algo, esas alertas van a algún lado. De acuerdo. Tu definición debe ser actual. No debería poder a tu administrador de TI pero no puede simplemente ir y desactivar antivirus blanco, asegúrate de que haya una segregación de deberes ahí. Y debe asegurarse de que hay algún tipo de prácticas que cuando los llame para evaluar regularmente los sistemas, como tal vez usted tiene un antiguo sistema heredado AS 424 tándem HP no detenga todos esos sistemas antiguos que mucha gente ya no usa. Pero tener algún tipo de evaluación de riesgos regulatorios que se está haciendo para averiguar si hay alguna alerta de la industria que sale. A lo mejor hay algún nuevo virus que ha salido recientemente que no conoces, y está afectando esos sistemas. Así que por favor asegúrate de que esos controles estén ahí y que esté documentado, que puedan darle a ese auditor que la seguridad como usaid que tienes un proceso está muerto y vas muy por encima y más allá. ¿ De acuerdo? Estás viendo las tendencias de la industria y estás poniendo controles que tienen que estar ahí. Por lo que este es un estándar bastante fácil de cumplir. No creo que deba haber ninguna dificultad. Por lo general, las personas que se topan con problemas cuando están mirando esos sistemas heredados. Pero aparte de eso, creo que debería ser sencillo de implementar. Gracias chicos. Nos vemos en el siguiente módulo. 11. 4 - Requisito 6: Hola a todos, bienvenidos a esta lección. Y en la vista VHDL, estamos a medio camino a través de la matriz para meter y seis, que está desarrollando y manteniendo sistemas seguros. ¿ De acuerdo? Y este es uno de esos departamentos que mucha gente odia porque tiene que ver con parchear. Nuevamente. No creo que a nadie le guste parchear, pero desafortunadamente, es una parte obligatoria de cualquier sistema de seguridad. Y es necesario, es necesario tener un sistema en su lugar como propicio para parchear sistemas vulnerables. ¿ Por qué haces eso? Es bastante sencillo, ¿verdad? Vulnerabilidadesde seguridad en sistemas y aplicaciones. Pueden permitir a los delincuentes eludir controles y acceder a los datos de los titulares de tarjetas. La mayoría de estas vulnerabilidades se pueden eliminar instalando parches de seguridad. Cuando proporcionaron parches, fuimos de Microsoft o de su proveedor de terceros. Y es como si se enchufa al agujero de seguridad y a lo que llamamos Asper PCIe. Todos los sistemas críticos, necesitan tener instalados los parches de software recientemente lanzados dentro, creo que es lo más pronto posible dentro de los 30 días. Y otras puedes hacerlo dentro de 90 días, pero esta es realmente una de las cosas más difíciles de lograr . Se puede entender por qué. Debido a que los servidores críticos, los servidores son muy críticos y no se puede simplemente tener tiempo de inactividad sucediendo. Y al mismo tiempo tienes atacantes a los que se les paga, posiblemente explotando esto. Y se vuelve más peligroso cuando no lo es. Una cosa interesante. Así que al igual que necesitan tener un proceso de administración de parches muy fuerte en su lugar para implementar parches de seguridad críticos, chicos, es uno de los más difíciles y más importantes para los comentarios y PCI. ¿ De acuerdo? Entonces, ¿qué tienes que hacer? Bueno, hay que asegurarse de que las políticas de administración de parches en su lugar y tengan un proceso. ¿ Cómo sabes que vienen algunos parches críticos? Es necesario tener eso también un proceso de gestión del cambio tiene que estar ahí para cualquier cambio químico. ¿ Cómo sabes que tus cambios no están introduciendo nuevos problemas de seguridad, verdad? Y como mencioné, tienen un mes, un mes, lo que llamamos instalación ahí. A veces las empresas no pueden cumplirlo. necesario tenerlo que otros controles compensadores en su lugar. Necesita tener un sistema para aplicar parches rápidamente, implementar parches en el entorno de prueba y luego implementarlo en producción. Es muy, muy difícil de cumplir, lo sé, pero es algo de su postura de seguridad. Pci, DSS en realidad puede ayudarte aquí porque los equipos de TI, TI a veces pueden volverse perezosos cuando se trata implementar parches y PCI DSS realmente te ayudará aquí. Y te ayudará a empujar a los equipos de tecnología a implementar parches lo más rápido posible. Esto es más desde la perspectiva del SO. Aplica a las aplicaciones. Además, tendrás parches a nivel de aplicación que vienen. Pero desde el lado de la aplicación, los requisitos seis introducen ciertas cosas nuevas que necesito que estén al alcance sobre la comprensión. ¿ Cuáles son. Entonces cuando desarrolles aplicaciones chicos, tus desarrolladores, necesitan tener capacitación sobre vulnerabilidades de seguridad de aplicaciones con las que estarás familiarizado, ¿de acuerdo? Es probable que sea un estándar común para la seguridad de las aplicaciones. Deberían ser entrenados en cuáles son estas vulnerabilidades. Al mismo tiempo, su código fuente debe ser revisado. También. Deberías tener algún tipo de cosa en su lugar que en realidad está revisando tu código, haciendote saber si hay nuevas vulnerabilidades aquí y tu desarrollo y drama, no puede tener ningún vivo datos del titular de la tarjeta. A veces la gente hace eso para hacer pruebas. Ponen ambiente Guardiola en pruebas o UAT o algo así, por favor. No se puede absolutamente no tener que pasar la cosa. De acuerdo. Y luego cuando se pasa a la producción Raman día debe ser un proceso adecuado de gestión del cambio allí. Si es como una aplicación que se enfrenta a internet , es necesario mitigar. ¿ Cómo mitigas ese riesgo? O puedes tener una aplicación web como una prueba de pluma pasando, ¿de acuerdo? Al igual que sucede abstracto, que si te dejo saber si hay alguna vulnerabilidad o puedes tener un firewall de aplicaciones web, ya sabes, estoy seguro que debes estar al tanto de eso. Idealmente, recomendaría ambos. No creo que una sustituya a la otra. Deberías tener un vav y no deberías tener una aplicación pruebas de seguridad pasando muere. Por lo que todos ellos trabajan juntos. Tienes que entender, estás haciendo revisión de código, tus desarrolladores de capacitación y técnicas de grabación CCA-Secure. Te estás asegurando que no hay cartílago, hay datos que pruebas o UAT. Tú asegurándote de que la gestión adecuada de la cadena esté ahí. Y luego tienes un escaneo de aplicaciones web y apps el acoplamiento. Entonces todos estos realmente ayudaron a mitigar el riesgo de que algún problema le ocurriera a alguien, ya sabes, qué tan comunes son las vulnerabilidades a nivel de aplicación, ¿verdad? Pero todos estos, si los implementas correctamente, realmente van un largo, largo camino para mitigar los riesgos de seguridad de las aplicaciones. Y realmente ayudaron a traer a mejorar tu postura de seguridad. De acuerdo. Pasando chicos. Entonces, ¿cuáles son las acciones clave que hay? Sólo para recordar, debes tener una aplicación de fórmulas de política de seguridad y distribuidas a tus desarrolladores. Debes tener una capacitación de codificación segura sucediendo y una revisión de código. Algo que te permite saber si hay código inseguro y no deja que se propague a la producción. Puedes usar herramientas comerciales comunes están ahí las cuales realmente ayudan a los desarrolladores. Se puede tener como herramienta de código abierto también. En tercer lugar, ¿cómo saber si hay una sartén en el entorno de desarrollo? Es necesario ampliar su escaneo allí. Es necesario asegurarse de que no hay máscara Only o como un interrumpido o ni siquiera se ha cifrado. Sólo dominas trunca o gustan completamente los números ahí. El entorno de desarrollo. Como mencioné, usted debe tener un Web Application Firewall felpa y pruebas de lápiz de seguridad de aplicaciones sucediendo. Y por supuesto la gestión de la cadena. Así que recuerden que la seguridad de las aplicaciones nunca será perfecta, ¿de acuerdo? Nunca serán un momento para decir ahora mi seguridad de aplicaciones se ha vuelto perfecta. Yo puedo detenerlo. No, no. Por eso hay que seguir refinando este proceso. Solo se necesita un agujero de seguridad para que el atacante entre y comprometa tu entorno, ¿no? Por lo que parcheo y seguridad de aplicaciones, todos ellos pero se juntaron. Este es uno de los más difíciles de comentar, pero tiene uno de los mayores beneficios para tu postura de seguridad si implementaste correctamente. Por lo que espero que hayas entendido ahora, Como todo esto funciona en conjunto, como dije, estoy seguro que encontrarás en aplicaciones secretas, encontrarás como versiones antiguas de Windows que no pueden ser parcheadas. Por lo que hay que tomarlo en cuenta. Ya sea eliminarlos de su entorno actual o poner en otros controles. Siempre son formas de hacerlo. Muchas veces he visto aplicaciones que se ejecutan en aplicaciones antiguas heredadas. Tal vez puedas visualizarlo, puedes contenerizarlo. Se puede poner en algunos, en algún tipo de como un Citrix, algo que está encapsulado, establecido o elimina el día. Muchas formas de hacerlo llegan a tu USA y seguro que te ayudará. Pero solo asegúrate de estar al tanto de estas vulnerabilidades y no te atrapen en un jarrón, vale. De acuerdo, chicos, pasaré al siguiente recommit. Gracias. Y te veré en la siguiente lección. 12. 4 - Requisito 7: Hola chicos, Bienvenidos a esta lección. Este es uno de ellos más fáciles de comentar, sobre todo después del último. Y esto tiene que ver con restringir el acceso, ¿de acuerdo? Básicamente, si estás siguiendo el principio de menor privilegio, si no estás siguiendo, deberías estarlo siguiendo. Pero si los agregas, esto se vuelve fácil porque tu cartílago se daña muy sensible. Deberías tener algo así como un control de acceso basado en roles, que te asegure que solo las personas que tienen un requisito legítimo de ver los datos de los titulares de tarjetas lo están haciendo bien. No quieres tus cuentas de usuario avanzadas que no tienen ninguna razón para mirar los datos de los titulares de tarjetas, están llegando. Por lo tanto, PCA, requiere una lista actualizada, como una matriz de control de acceso basada en roles. Seguro que tendrás esa matriz, ¿no? Deberías tener eso. El auditor se lo va a llevar. Esa lista no tiene cada rol. ¿ Qué papel tiene a qué tipo de cosas que tiene acceso, cuál es el privilegio actual es realmente necesario? Entonces con base en eso y deberías estar certificando esto regularmente, ¿verdad? Deberías estar mirando si TI tiene acceso a, no sé, como lo hacen programadores tienen acceso a la producción, ¿verdad? ¿ Tienen acceso administrativo del sistema al escritor de bases de datos de aplicaciones, deben tener ese derecho? Entonces estas cosas que necesitas, necesitas documentarlo y necesitas formalizarlo. Además de eso, necesitas estar teniendo revisiones regulares sucediendo. Entonces sí, esto es lo que necesitamos. Cuáles son las acciones clave son políticas escritas para todos como detallar controles de acceso, control de acceso documentado. Deberías mapearlo a la clasificación de puestos, ¿verdad? Entonces si hay como un Administrador de Seguridad de Red, no deberías tener acceso a tu base de datos de producción, ¿verdad? ¿ Por qué necesitarías tener acceso a eso? Hace que todas esas palabras en público deben definirse como mínimo privilegio, eso es lo clave aquí. Y debes tener una póliza escrita detallada solo estos crezcan tendrán acceso a los datos del titular de la tarjeta. Sólo el administrador de la base de datos puede tener acceso de lectura a la base de datos y todas estas cosas. Esto realmente, realmente te ayudará y debes tener estos regularmente de forma trimestral, a diario, asegúrate de que estos estén siendo revisados y recertificados por parte de todos los usuarios. Entonces esta es una economía bastante simple de hacer. Muchas empresas han visto que ya tienen algún tipo de cosa en su lugar, ya sea manual o automatizada. Por lo que solo necesitas formalizarlo para tu entorno de tarjetero. Esto lo envuelve para este requisito. Pasemos al siguiente. 13. 4 - Requisito 8: Hola chicos, Bienvenidos a esta clase en particular. Y este es uno de los, de nuevo, bastante fácilmente requisito a cumplir si estás siguiendo una buena higiene de seguridad ya, que está utilizando potenciales UniqueID. Por lo que PCS establece que buenas credenciales básicas como su analizador debemos cambiar cada 90 días, que deben tener longitud y complejidad. Antes solían ser siete personajes ahora por fin lo actualizan. Pero si estás usando algo como Active Directory o un inicio de sesión único, generalmente hacen cumplir una política de contraseñas seguras. No quieres tener una contraseña que pueda ser fácilmente rota por un hacker a herramientas automatizadas, ¿verdad? Debido a que la potencia informática sigue aumentando cada año, potencia informática se está volviendo cada vez más poderosa. El forzamiento bruto es cada vez más fácil. Entonces necesitas tener contraseñas complejas, que sea muy, muy difícil un atacante lo comprometa. ¿ De acuerdo? No quieres tener nombres de usuario estándar, no tienes administrador ni KPIs guiándolo que todavía veo esas personas usando algunas cosas muy básicas. Entonces no quieres tener estas cosas como las que se pueden romper fácilmente a través de un ataque de ingeniería social o un ataque de forzamiento bruto. De acuerdo, Esto es algo muy básico, pero es tan importante que los PCAs lo convirtieron en un clima separador. Otro tema muy importante chicos es MFA, autenticación multifactor. Si no sabes lo que es, como, estoy seguro que debes estar pendiente de ello, pero además del ID de usuario y contraseña, necesitas otro factor para, en PCI DSS para acceso remoto o acceso administrativo. Así que esto puede ser algo que tienes como una contraseña de una sola vez, como un token o algo que eres como una bio-métrica, ya sabes, como esto puede ser cosas como algo que tienes, puede ser una tarjeta inteligente, token de seguridad físico, lógico , contraseña única en tu smartphone, ok. Y algo que eres sería un biométrico como escaneo retiniano de huellas dactilares, impresión de bombas, escaneo de iris, cualquier otra cosa que sea única para ti desde tu perspectiva biológica. Por lo que puedes usar uno de estos dos además del ID de usuario y contraseña. Pero recuerden, tienen que ser independientes el uno del otro, como si uno se ve comprometido o no se ve afectado. Entonces, por ejemplo, si tu smartphone está comprometido tasa y un atacante obtiene acceso a la contraseña OTP de una sola vez, todavía no tendrá acceso a tu ID de usuario y contraseña, ¿verdad? Por lo que tienen que ser independientes el uno del otro. Así que recuerda que en este comentario en particular, debes tener acceso administrativo para acceso remoto y autenticación multifactor para acceso remoto y autenticación multifactor para su acceso administrativo. 1 a tener en cuenta chicos, esto se va a hacer mucho más duro NPCI versión cuatro. De acuerdo, entraré en más detalle en otra sección donde solo vamos a discutir los requisitos de la versión cuatro de la PCA, pero solo ten esto en cuenta. El cabildo está haciendo esto un poco más duro ahora en adelante. De acuerdo, Entonces, ¿cuáles son las acciones clave para tomar chicos? Definitivamente debes tener una contraseña y un estándar MFA en todos los ámbitos de manera consistente. Este es el valor p. Estos son los comentarios positivos mínimos y estos son los requisitos de MFA para degradar o acceso administrativo. Asegúrate de que tus cuentas remotas. Muchas veces tienes acceso a proveedores, socios de negocios, consultores, ¿verdad? Y tienen que ser monitoreados y desactivados cuando no están en uso. Sólo debes tenerlas. Entonces como y cuando lo usan. Mucha gente pone en aplicaciones de terceros como VDI o algo así. Es decir, depende de ti cómo se configura tu entorno, pero solo tienes eso en su lugar. Y eso realmente lo hará, así que básicamente esto es como un simple requisito de sentido común. Seguro que muchas de estas cosas las tendrás ya. Si no es definitivamente, deberías estar teniendo MFA para tu entorno administrativo, especialmente si es el entorno de datos del titular de la tarjeta. Definitivamente lo han hecho cumplir. Está bien chicos, Así que eso envuelve esto comentará. Pasemos a la siguiente. 14. 4 - Requisito 9: Hola chicos. Bienvenido al comentario del distrito. Dice como un área que siempre pienso en ella como un punto ciego, que es cuando se trata de PCI, DSS, que es seguridad física. Muchas empresas, ponen muchos controles técnicos, pero olvidan el lado físico de cosas como las impresiones, los reportes. Muchas empresas, ya sabes, tienen back-office es lo que repita la facturación como guardan el número de la tarjeta. Conservan copias físicas de tarjeta vigente. Y no creerás que estos estén abiertamente disponibles, ¿verdad? Por lo que necesita tener cosas en su lugar para proteger cosas como robo de datos y el acceso sensible a áreas sensibles. Debe contar con políticas y procedimientos de seguridad física . Sólo se puede mantener como por ejemplo, sólo mantener información confidencial. lugar de trabajo los aseguró en un área cerrada. Los forasteros no pueden simplemente entrar. Los no empleados tienen que usar gafetes, no están almacenando información sensible. El V abierto en mi, una de mis empresas que solíamos limpiar las calles después del horario de oficina. Solíamos ir a revisar que todo el mundo haya limpiado su escritorio, ¿verdad? Ahí no hay información sensible. Entonces estos son controles que son de sentido común, pero desgraciadamente que te pierdes por alguna razón, ¿no? Entonces, ¿cuáles son las cosas que necesitas tener? Se necesita contar con una política de seguridad física adecuada que destaque cuáles otras áreas sensibles. Una cosa que olvidé mencionar son tus tomas de red, ¿no? No quieres que las personas simplemente conecten sus laptops y conecten tu entorno objetivo. los medios físicos o de respaldo y otras cosas deben asegurarlos medios físicos o de respaldo y otras cosasy debe estar ahí un estricto control. ¿ Y si alguien no puede comprometer el medio ambiente? ¿ Qué pasa si es capaz de acceder a la mordaza, obtener acceso a la cinta de respaldo, correcto. Que tiene toda la información que necesita tener como un ponerlo en seguridad, están claramente marcados para eso. Los documentos deben tener cosas como confidenciales para ser triturados y hay que poder destruir medios, ¿no? Diego dijo destruirlo con base en su clasificación. Muchas de estas cosas, de nuevo, probablemente están haciendo, pero es posible que no te lo extiendan a tu entorno de tarjetero. Asegúrate de que se extiendan. Deberás estar coordinando con tus equipos de seguridad física para asegurarte de que tengas la capacitación adecuada. Se acordonan las zonas sensibles. No todos los empleados pueden simplemente caminar en sus áreas sensibles a la luz. Por lo que todos estos controles Metrodorus no forzaron a tener una adecuada cobertura de cctv. Debe ser una mezcla de controles preventivos y detectives. Básicamente las mismas cosas que pones en tu entorno, ¿no? Su entorno técnico como la segmentación. Segmentación, bloqueas esa área. Cctv es como un gafete auditivo y blanco y placa de contraseña y pines. Son como MFA. Todasesas cosas, sólo lo replicas a un entorno físico. Un entorno único, chicos, si tienen terminales de punto de venta, como máquinas de punto de venta. Deberías tener un inventario completo de eso. Deberás tener un inventario actualizado de esos. Deberías saber dónde están. Cuál es la ubicación física, número de serie, modelo desnudo. ¿ Por qué? Porque debería estar inspeccionándolo. ¿ Y si alguien lo ha manipulado, pero si alguien lo ha reemplazado por otra C, entonces otro ambiente, generalmente muchas empresas que mantienen como ventajas de él, no? ¿ Y si alguien ha entrado , lo ha manipulado, inyectado algún dispositivo y tú no lo sabes, verdad? Puedes hacerlo básicamente, podrías hacerlo todos los días, cada mes se basa en todavía como en qué tipo de nivel tienes, ok. Deberías tener cobertura de cctv. Esos, estos son dispositivos muy sutiles, ¿de acuerdo? Asegúrate de que la parte superior esté completamente restringida. Y deberías estar dando conciencia personal que está interactuando con estas cosas día a día, como un cajero, quién es quien tiene ese tipo de máquina de punto de venta, ¿verdad? Deberías saber si alguien lo ha reemplazado. Si hay algún dispositivo ahí, deberías poder saber si alguien tiene me gusta, deberías poder verificar el número de serie. La física básica. Estas son cosas simples que puedes tener como un entrenamiento en video. Se puede visitar físicamente y enseñarles y les gusta, pero sólo para asegurarse de que el riesgo de sustitución, alguien sustituya el dispositivo cuando algo o hay algún otro dispositivo maliciosamente o como la manipulación, manipulación de ese dispositivo, poner algún otro dispositivo encima de él. Aquellos que chalecos tienen que ser mitigados. Desde la perspectiva de PCI DSS. Son como muchos, muchos entrenamientos comunes disponibles incluso desde el sitio web de PCAOB, lo puedes encontrar. Es como una cosa única de PCI, los otros controles físicos que podrías estar haciendo ya. Pero esto es algo único y debes asegurarte de tenerlo en tu entorno, ¿de acuerdo? De acuerdo, eso envuelve este nuevo compromiso. Pasemos al siguiente. 15. 4 - Requisito 10: Hola chicos, Bienvenidos a esta lección que es ahora hemos llegado casi al final, que es un diez común, registro y monitoreo. Registro y monitoreo. Yasabes, es una de esas cosas que hacen casi muchas empresas. Casi todas las empresas lo hacen, pero muy pocas empresas lo hacen correctamente. Porque lo que pasa es muchas veces que solo están grabando cosas. Pero nadie está tomando ninguna acción como inteligente basada en esas alertas, ¿verdad? Sim solutions, tienes información de seguridad y gestión de eventos. Estás enviando todos los logs ahí, pero realmente no estás buscando crear alertas accionables. realidad no estás refinando las mismas cosas. Es necesario capturar todo lo que es donde dentro del entorno de datos del titular de la tarjeta, PCI en realidad tiene como una lista mínima de eventos que deben ser capturados. ¿ De acuerdo? La mayoría de los sistemas de software generan registros asegurando el sistema operativo, pausa del navegador , firewall, todas estas cosas que debes estar capturando, ok, Así que asegúrate de que esas cosas estén ahí. Ya sea que tengas una solución SIM o alguna otra cosa, necesitas estar capturando todo. Y yo teniendo alertas accionables basadas en eso. De acuerdo. Entonces, cuáles son las cosas que empezamos va a estar revisando va a ser verificar si tienes un registro de auditoría automatizado de seguimiento para todos los eventos de seguridad. ¿ Cómo lo estás haciendo? Es como si alguien no vas a tener a alguien mirándolo y esencialmente escribir algún sistema automatizado. ¿ Existe un proceso para revisar registros y eventos de seguridad diariamente? Por lo general es como una solución SIM. Tal vez usted podría tener un equipo de SOC, o puede que tenga turnos como, o puede que nos haga tomar un sistema administrativo recibe alertas. De verdad depende cómo lo estés haciendo. posible que tengas, si lo estás haciendo en la Nube, podrías tener automatización, pero el proceso tiene que estar ahí. Tus bitácoras de auditoría, necesitan estar ahí al menos un año y los últimos tres meses. Necesitan ser bitácoras en línea. Deberías ser no puedes tener estar archivando los últimos 90 días, vale. Necesitas tenerlo en línea. Y cuáles son eventualmente para estar capturando PCI, DSS es muy específico al respecto. Al igual que la actividad de administración es inicios de sesión fallidos, cambios en escalaciones de privilegios de cuenta. Y debes llevar capturando lo que sabían quién era el usuario, cuál era el evento, cuál era la fecha y hora, si fue un éxito, qué fracaso donde sucedió, todas esas cosas. Lo encontrarás fácilmente dentro del estándar. Pero asegúrate de que lo estás capturando. Asegúrate de tener esas ranuras disponibles y pruébalo. No asumas que tendrás estas bitácoras bien. A probarlo y asegúrate que tienes esos eventos siendo capturados. Muchas soluciones SIM, ya tienen plantillas predefinidas para PCI DSS a través de ella no debería ser tan difícil. Sólo asegúrate de que esos estén encendidos. Que este fue bastante sencillo. Pasemos a la siguiente. 16. 4 - Requisito 11: Hola chicos. Estamos en el segundo último requisito, que es realizar exploraciones de vulnerabilidad y PET está bien. ¿ Por qué hacemos estas cosas, chicos? Entonces, en pocas palabras, estas, necesitas averiguar cuáles son las debilidades dentro de tu entorno, ¿no? No quieres esperar a venga un atacante y comprometa tu entorno, ¿verdad? escaneos de vulnerabilidades y los PT son una de las mejores maneras de averiguar a qué tipo de ataques eres susceptible. Va es como un escáner de vulnerabilidades es un escaneo automatizado de alto nivel. De acuerdo. Acabas de hacer un escaneo. Porlo general lo tienen. Tienes algún tipo de software que escanea el ambiente, te da un reporte, ¿verdad? Tienes que ejecutar esto interna y externamente de forma trimestral. Y PT seguro que ya te resulta familiar es como un detalle práctico. Por lo general hay una persona real ahí que intenta detectar y explotar las debilidades de tu sistema. Y esto, nuevamente, esto tiene que ser interno y externo, tanto en su entorno. Pr requiere que estas cosas sucedan en múltiples capas, ¿de acuerdo? Simplemente puedes hacerlo en una capa y llamarlo efectivo. Entraremos en detalle de qué estoy hablando, qué tipo de capas estoy hablando antes de irnos. Una cosa muy importante chicos, si tienen ambiente de Guardiola de cara al público, ¿no? IPs públicas. Pcs requiere que las empresas que comporten como externas vía scan y lo llaman y ESV scan para averiguar si tienen algún defecto potencial. Esto no puedes hacerlo tú mismo. Usted tiene que ser realizado por una empresa llamada un Vendedor de Escaneo Aprobado se llama ASP. ¿ De acuerdo? No puedes hacerlo tú mismo. Tienes que lixiviar a esta empresa. Entonces lo que pasa es porque se te cobrará a esta empresa y ellos harán el escaneo trimestralmente. Tienes que remediar cualquier vulnerabilidad más alta. Entonces tienes que seguir haciéndolo hasta que pases. Y te darán una tomografía pasajera. Y por lo general que tienes que someterte a los esquemas de autos o al blank. Entonces esto no es algo que solo lo escaneas y te olvidas de ello. Tienes que hacerlo en una base trimestral mínima y tienes que pasarla. Eso es una de las cosas más importantes. Generalmente es un requisito muy bueno porque frente público es como un entorno de alto riesgo. necesario poder escanearlo y saber cuáles son las vulnerabilidades. De acuerdo, así que solo ten esto en cuenta. Su banco o su esquema de pago por lo general le dirá si usted, hablamos de las obligaciones antes en tasa. Por lo que tu banco o tu marca de pago te dirán si estás obligado a hacer esto o no. Pero recuerden, les dije que tenemos que hacerlo en múltiples niveles. Entonces esto es de lo que estaba hablando. Simplemente tome una vista de alto nivel. Si estás buscando desde internet, necesitas tener escaneos ASP sucediendo y un PD sucediendo. De acuerdo. Desde la perspectiva externa, dentro de tu entorno cardinal, no tenías trimestralmente vía escaneos, paga anual está sucediendo un PT y algo llamado monitoreo de integridad de archivos. ¿ Qué es un monitoreo de integridad de archivos? Si no estás al tanto, básicamente, es un software que significa entorno para cualquier cambio crítico a los archivos, ok. Es posible que tengas archivos sensibles en tu entorno. No esperas que cambien un software de monitoreo de integridad de archivos te dirá si este archivo de cambio y levantará una alerta. Por lo que necesitas tener eso también dentro de tu entorno. Entonces suponiendo que estás mimada aplicación tiene un archivo de configuración sensible que no se supone que cambie. ¿ Y si eso se pone extraño? De acuerdo, Entonces esa solución de monitoreo de integridad de archivos levantará una alerta y te la enviará que debería estar ahí. Y aparte de eso, si tiene un entorno inalámbrico sucediendo inalámbrico, necesita liberar candidato para latas inalámbricas también para asegurarse que el nuevo inseguro o tal vez rogue wireless puntosde acceso. Habiendo creado, por lo general tenemos tres herramientas y herramientas comerciales. Se puede escanear todo el entorno y averiguaremos si hay alguna vulnerabilidad o algún punto de violencia vial allí. Y hablamos de segmentación. ¿ Recuerdas? Dijimos que, vale, para la perspectiva de segmentación, deberían ser algo que ahí está cayendo. Y así que eso suele ser un firewall e IDS e IPS. Entonces hacemos algo que se llama una lata de segmentaciones, ¿qué es el escaneo de segmentación? Segmentaciones ¿puede alguien realmente tratar de comprometer la segmentación? Por lo que desde el entorno del tarjetahabiente, trata de saltar al ambiente no nuboso o desde el sabor no Guardiola umami El saltó al cardo, el ambiente. Comprueba la adecuación de la segmentación que ha ocurrido, sea buena o no. Entonces por eso es tan importante chicos, como las todas estas cosas que tienes que estar haciendo, los diferentes tiempos que son de alguna manera sabía alguna manera medio semestral ponlo en tu calendario. Hablamos de tener un proceso BAU, ¿no? Esto es de lo que estaba hablando. Por lo general, lo que hacen las empresas y los mandatos de PCL se debe tener una metodología para las pruebas de penetración. Y pones lo que son externos, internos, como qué, ¿qué va a pasar anualmente? ¿ Qué va a pasar después de cada cambio? Si la segmentación cambia, ¿cómo vas a probar eso? ¿ Cómo vas a hacer la aplicación nivel uno? ¿ Cómo vas a poner un interruptor? Pueden todos tener su documentado en una fórmula adecuada es documento y ponerlo a disposición de todos. Entonces de esta manera, no te vas a quedar como una sorpresa de algodón y te pierdes algún escaneo crítico que se supone que debes estar haciendo. Este es un nivel alto, como un poco simplista, pero esto te dice cuáles deberían estar sucediendo los estándares en tu entorno. Entonces espero que esto, esto fue como si te diera una claridad. Empieza con él. Inicialmente se vuelve muy abrumador y poco a poco, poco a poco se vuelve como un BAU para ti. Una vez que lo pongas en tu proceso BAU, encontrarás que se vuelve mucho más fácil. De acuerdo, chicos. De acuerdo, eso envuelve el segundo último. Por lo que deberíamos pasar al último. 17. 4 - Requisito 12: Hola a todos, bienvenidos a esta lección. Ahora, hemos alcanzado el último requisito del parámetro Alpha, que es documentación y evaluaciones de riesgos. Por lo que el anterior fue un requisito muy técnico respecto a las pruebas de pluma y b, a y P, D y todas esas cosas. Ahora estamos hablando de algo que es mucho más sencillo, documentación y evaluaciones de riesgos. Entonces aquí chicos, estamos hablando de algo que tienen que hacer como, desde la perspectiva de la debida diligencia, el auditor necesita saber que pesado formalizó todas sus políticas de seguridad de la información, otras cosas lejos de lo que deberían estar haciendo y no deberían estar haciendo. Esto ayuda a protegerte en caso que algo suceda, hay una brecha. Entonces puedes demostrar que hiciste todo desde tu perspectiva. Es necesario asegurarse de que sus políticas de seguridad han sido aprobadas y el cuerpo llamado, comunicado, y firmado por todos los empleados que han reconocido en él. De acuerdo. Si eres un proveedor de servicios, necesitas tener algo llamado carta PCI DSS. Dice que quién es el responsable de PCI DSS y quién va a implementar el programa y quién es responsable de PCI, DSS. Tiene que decirte quién es la persona responsable y cómo se comunicará con la dirección ejecutiva, ok. Aparte de eso, también necesita tener un inventario de cualquier proveedor de terceros, personas externalizadas o proveedores de terceros que tengan acceso a su entorno cardinal. Porque si consiguen compromisos potencialmente esto a su entorno, necesita tener una lista de todos los proveedores de servicios de terceros y si están certificados por PECS o no. De acuerdo. Es necesario tener la lista. La mayoría de ellos tiene generalmente disponible y puedes hacer esto como parte de tu calendario, pero asegúrate de que esa documentación oscura y oscura esté atrasada. Así que esto es bastante sencillo de comentar es sobre todo acerca de la documentación. Lleva mucho tiempo. Pero si trabajas con tu TSA, muchas veces son plantillas prefabricadas ya disponibles. Por lo que deberías poder ahorrar algo de tiempo con esto. Al igual que mencioné, hay que tener una política escrita de cumplimiento y seguridad. El charter debe estar aquí para su proveedor de servicios. Es necesario asegurarse de que tengo una revisión trimestral para asegurarse de que todo el mundo está siguiendo los requisitos que todo el mundo ha firmado sobre la seguridad de ilustrar. Y por último, una evaluación de riesgos muy importante, PCR requiere que todos realicen una evaluación anual de riesgos para identificar activos críticos. La vulnerabilidad Scratch está bien porque esto te ayudará a priorizar los riesgos. Y si tomas un enfoque proactivo a esto, esto realmente vale la pena a largo plazo. Esto es algo que ella dice algo que la gente piensa que esto es como una tarde de formalidad cada año. Pero si lo haces correctamente y le das el tiempo y respeto adecuados, te puedo decir que las evaluaciones de riesgo pueden identificar tantos temas de manera proactiva, mucho más antes de que el auditor encuentre que quiero abanderar esto antes, porque las evaluaciones de riesgo van a ser muy, muy importantes en la próxima revisión, que es la versión PCI DSS para ello. Si lo haces, si no te has enfocado demasiado en esto, esto podría convertirse en un problema para ti. Por lo que definitivamente empieza a enfocarte en esto. Hablaré más de ello en la clase futura, en la siguiente clase que tengo, que son sobre PCI DSS 4. Pero por favor no tomes evaluación de riesgos, le gusta la formalidad de forma de arte que tienes que hacer y olvídate de ello. ¿ De acuerdo? Así que realmente concéntrate, no va copiar pegar lo que hiciste el año pasado hasta el próximo año y realmente enfocado en ello y definitivamente dará sus frutos a largo plazo. De acuerdo, para que eso remata su demanda que viene chicos, espero que esto les haya sido de utilidad. Pasemos a un tema muy importante que tenemos que cubrir, que es la compensación de controles. Eso es lo que pasa si no puedes cumplir con un requisito. Te veo en la siguiente clase. 18. 4 - Compensar los controles: Hola chicos. Entonces clase muy, muy corta, pero esto es muy importante. Entonces ahora has cubierto todos los requisitos de senderos, ¿verdad? Pero, ¿qué pasa si no puedes faltar a un requisito de PCI? ¿ De acuerdo? Al igual, tomemos un ejemplo. Tienes que aplicar parches en un plazo de 30 días, ¿verdad? Parches críticos. ¿ Y si no podemos aplicar un parche? ¿ O qué pasa si no se puede implementar monitoreo de integridad de archivos? ¿Qué pasa entonces? Entonces hay algo llamado controles compensadores. Esto sucede cuando un, cuando una fiesta no puede cumplir con un apartamento preestablecido, lo hace razón ilegítima. No está ahí siendo perezoso, mejor el sistema no lo soporta o no lo hacen. Ahí hay algunas limitaciones. Pero lo que haces es poner otros controles ahí, ¿de acuerdo? A lo mejor no puedes parchearlo. Pero tienes monitoreo 24-seven y tienes otras herramientas que te alertarán inmediatamente si alguna manera alguien intenta explotar ese parche. ¿ De acuerdo? Por lo que realmente depende. Los datos son realmente como un arte. ¿ Qué dices? Es como si tuvieras que sentarte con el QSEN, hacerle entender lo que has hecho, cómo has mitigado ese riesgo y variar la efectividad de esto. Cambia de ambiente a ambiente a partir de unos pocos EUA estéticos. ¿ De acuerdo? Pero recuerda que realmente tienes que ser bueno en las evaluaciones de riesgos para hacer esto. Por lo que el control compensador en fin, hay que llenar una hoja para apuntalar al auditor. ¿ Qué aspecto tiene? Es como esta. Al igual que tomé el ejemplo. Esto es, hay que terminar esto. Tienes que mostrar cuáles son las restricciones, ok, por qué no puedes reunirte en un comentario como por qué no puedes parchear este trimestre o por qué no te puede gustar implementar monitoreo de integridad de archivos, entonces tienes que tener la vieja definición. ¿ Cuáles son los controles que has implementado? ¿ Cuál es el objetivo de estos controles? ¿ Cuál es el riesgo de que por el parcheo no esté ahí o algo así, Y cómo ha validado el auditor densos controles compensadores? ¿ Y cómo vas a asegurarte que nadie altere esos controles? Entonces esto es algo que vamos a revisar. ¿ Y realmente tienes que satisfacerlo para asegurarte que esto no es sólo tienes algo que has puesto ahí para escapar? No, esto es algo en lo que has pensado y lo implementaste correctamente. Entonces por favor, compensar los controles son tema muy importante. No van a ser reemplazados, pero son una nueva forma de hacer las cosas que se avecina, que se llama el enfoque personalizado. Voy a hablar de ello en la versión PCI DSS para módulo. Pero solo saber que están compensando los controles son lo que tienes que hacer si no eres capaz de cumplir con un requisito en particular. Y hay otras formas de hacer esto que se avecinan. De acuerdo chicos, así que esto envuelve el módulo de requisitos. Espero que lo hayan disfrutado y espero que hayan aprendido algunas cosas y nos veamos en el siguiente módulo. Gracias. 19. 5 - SAQ y sus tipos: Hola a todos, bienvenidos a esta lección. Ahora que van a estar hablando de los tipos de cuestionarios de autoevaluación que ha completado los requisitos PCI, DSS, ¿no? Y sólo para recapitular rápidamente, el SAQ, el cuestionario de autoevaluación. Es como una herramienta de validación para comerciantes y proveedores de servicios para reportar los resultados de la evaluación PCI DSS. Si no está obligado a hacer una auditoría completa y presentar un ROC, escriba un informe sobre cumplimiento. Depende de la forma en que proceses transmitidas almacenadas en los datos, son diferentes SET fue que debe llenar. Al igual que si no tienes como una tienda de comercio electrónico, podría ser bastante para llenar algo más. O si tienes alguna constante, es algo como si estuvieras obligado a hacerlo. La forma en que estás procesando los datos, cambia el tipo de vesicular. He visto a veces a la gente confundirse a la hora de ejecutar. Entonces los tipos de ellos porque son como a su alrededor. Por lo que pensé que sería bueno conseguir como solo dar alguna orientación sobre qué tipo de SEQ se requiere para qué tipo de escenario. Entonces echemos un vistazo a esto. Sólo un resumen rápido. ¿ Cuál es el básico ustedes sólo para hacerles saber, si no están obligados a hacer una auditoría completa, están obligados a llenar un SAQ suele ser para pequeños proveedores de servicios mercantiles. Se trata de una serie de cuestionarios. Puede ser bastante largo. Escomo las corridas hasta a veces 87 páginas, sí o no preguntas. Y como dije, hay ocho veces, así que básicamente usa y dependiendo del tipo de ambiente que tengas, vas a después de seleccionar ese. No intentes hacerlo tú mismo la primera vez que puedas consultar con USA o con tu plan de pagos. Y les preguntaron qué tipo de SEQ se supone que debo llenar. Por lo que no debería ser difícil siempre y cuando hagas bien tu tarea. Estos son los tipos de SKU. No voy a leer de una mesa aburrida. Sé que nadie quiere que haga eso. Pero estos son los términos alrededor de ocho tipo de llamada de audio acíclica. Entoncesechemos un vistazo. Mucho el cuestionario de autoevaluación. Entonces, ¿qué dice la orientación de la PCA? Esto es si su empresa tiene completamente nosotros mismos la recopilación y procesamiento de los datos de los titulares de tarjetas al proveedor de servicios externo compatible con PCI. Si no estás haciendo nada con respecto a los datos del titular de la tarjeta, has externalizado por completo todo. Así que por lo general lo que pasa es, he visto esto en escenarios donde hay un e-commerce completo, muy parecido a un entorno de e-commerce donde no estás haciendo nada en tu sitio web cuando el el usuario hace clic por estos, como si fueran redirigidos a otra persona y ahí es donde ocurre la transacción. Y acaba de volver y decir: Vale, esa transacción ha sido exitosa. No tienes que hacer nada. Para este tipo de escenarios. He visto que un SAQ es el más adecuado como un outsourcing completo y completo. Y es como si no almacenas tarjeta de transmisión de procesos relacionada en ningún momento. Entonces esto es para el QA básico, suele ser el mejor ajuste para ese escenario. Hay otra que se llama API SQL. Así que de nuevo, hay un entorno de comercio electrónico y la recopilación de procesamiento de datos de titulares de tarjetas se ha subcontratado bien, a un tercero compatible con PCI. Entonces es similar a la anterior, pero en ésta, ¿qué está pasando? Usted está controlando el flujo de datos del titular de la tarjeta al proveedor del servicio. ¿ De acuerdo? Entonces por lo general lo que sucede clientes, quieren más personalización en el entorno. Por lo que controlan cómo el sitio web está enviando los datos del titular de la tarjeta y son lo que ustedes llaman. No toman datos de titulares de tarjetas, pero sí controlan el flujo de cómo los usuarios redirigidos al sitio web para el cobro de pagos. Por lo general esto sucede cuando no les gusta el tercero es lo que llamas páginas por defecto y quieren tener alguna personalización hecha. Entonces, para este tipo de escenarios donde la API segura, esa suele ser la elección correcta para su documentación de cumplimiento. De acuerdo. Cuestionario B. B. Estos son los cuatro que por correo, las transacciones de pedidos telefónicos que le gustaría que el banco apruebe terminales de pago. Suelen hacer líneas analógicas, no líneas telefónicas analógicas. Por lo que no tienen ningún procesamiento electrónico y almacenamiento de datos. Básicamente, estamos hablando de líneas telefónicas y no están conectadas ni a IP de voz en off como analógicas. Verás a estos comerciantes que generalmente están algo cortados del mundo como lejos por cada comerciantes que solo sienten por lo que llamó las terminales y las terminales de pago que son conectados a las líneas telefónicas porque no tienen conectividad a Internet y no tienen nada por el estilo. Están usando eso para ese tipo de preguntas. Seq B es la que se está utilizando. No lo he usado. No he visto que se esté utilizando tanto. Ese es el escenario en el que usarás este. ¿ Qué es SEQ BIP? Entonces en esta, nuevamente, tenemos las transacciones de pedido por correo, teléfono y terminales de pago, pero también lo estás recibiendo en persona. Y está conectado a una red IP. Entonces, ¿cómo llamas? lo es, no es como una conexión analógica aquí tienes una conexión IP. De pronto podrían tener acceso a internet o inalámbrico así. Normalmente resulta en tiempos de procesamiento más rápidos, pero luego necesitas poner más colores, hay más controles de seguridad en su lugar, y necesitas segmentar esa red, ¿ de acuerdo? Porque en este caso los datos de pago se están transmitiendo a través de la red. Entonces aquí es donde entra en juego el BIP. Si puedes comprobarlo desde el nombre. Ip. En el anterior 22 es sólo líneas telefónicas analógicas aquí. Es una red IP. De acuerdo. ¿ Qué significa ensayo Q. C. Okay. Sí, entonces en este, estás recibiendo los datos del titular en persona, y nuevamente, transacciones de pedidos por correo y estás usando un sistema de punto de venta. ¿ Qué fue eso en la anterior. Entonces eso fue como un terminal de pago de la justicia. Pero aquí tienes un terminal de punto de venta y eso no muestra los datos completos de la tarjeta. Recuerda recordar de dónde habló, correcto, del almacenamiento de datos de tarjetas. Por lo que normalmente aquí tienes esas cajas registradoras y están conectadas a una parte trasera de un servidor. Y ese servidor podría estar alojado afuera. Pero esto es lo que el escenario. Entonces cabeza, tienes como un terminal de punto de venta que no está configurado para almacenar los datos de la tarjeta de combustible. Y tienes como un preciso a cerca de un servidor back-end. Por lo general, he visto a esos comerciantes minoristas usando esas grandes cajas registradoras, ¿verdad? Aquí es donde el SAT suele aplicarse a C v, t Y para éste, aunque sea solo por el propio nombre, se puede decir que esto es como un terminal virtual de Verbit. Por lo que en algunos casos no se tiene un terminal físico. ¿ De acuerdo? Por lo que aquí tienes un terminal virtual de propósito. Y por lo general hay como una estación de trabajo que se dedica en un lugar particular para procesar pagos. A veces cuando permites que tus clientes pudieran hacer autoservicio y todo eso, ¿verdad? Aquí es donde entra esto. De acuerdo, P2. Entonces P2, P0, P2P significa cifrado punto a punto. Por lo que este es un estándar que el consejo del PCI ha introducido. El, todos los, todos los datos se encriptan desde el punto de captura matar el punto envía de vuelta para su procesamiento. Entonces si eres comerciante, no tienes que hacerlo. Es un estándar completamente offshore, pero reduce el alcance del cumplimiento de Piaget. He visto mucho código de servicio no es el banco ofrecer esto como solución a los comerciantes si quieren reducir la complejidad, no queremos tener la molestia de preocuparse por el pago y todo eso. Por lo general tiene que tener terminales especiales dedicados para esto. ¿De acuerdo? Después la transacción vuelve a enviarla al proveedor de servicios para su descifrado y procesamiento. Entonces, aquí, lo principal es que estamos usando terminales validados de encriptación punto a punto. ¿ De acuerdo? Si estás usando eso, entonces este es un cuestionario. Este cuestionario es mucho más sencillo que los demás, y ese es el punto. Desea reducir la carga de cumplimiento. No quieres llenar esas grandes, grandes preguntas es esta, y esto se convierte en un incentivo para que los comerciantes adopten este tipo de soluciones. ¿ De acuerdo? Y ahora estamos en el último, que es la seguridad mucho y así cualquier cosa que no se aplique a los criterios anteriores. Y no quieres como, estás almacenando información del titular de la tarjeta y no usas como un sistema estratificado punto a punto. Y básicamente cualquiera de los criterios anteriores no te aplica como seguridad. Muchas veces he visto a comerciante empezar con esto porque en este escenario, solo estás tomando el enfoque más seguro y solo llenas su seguridad porque no quieren ir a la molestia de averiguarqué exactamente igual que lo que son los comentarios seguros de datos de ajuste fino, que sólo llenan su seguridad y el presentado. Por lo que esto se aplica a los comerciantes y a los prestadores de servicios, también prestador de servicios. Yo solía estar en un proveedor de servicios durante muchos, muchos años. Básicamente, no es como si un pago fuera como Visa, MasterCard, y no eres como un banco, ¿verdad? Pero usted está llevando a cabo su procesamiento, almacenamiento, transmisión de datos del titular de la tarjeta en nombre de un comerciante de ofertas bancarias. Entonces básicamente lo descarga todo, ¿de acuerdo? Por lo general, los proveedores de servicios, se hacen la auditoría completa porque su entorno es mucho más crítico. Eres no tienes datos. Entidad, tienes beta. Dios sabe cuántas entidades son cientos de bancos, cientos de miles de comerciantes. Por lo que suelen hacer la auditoría completa, pero puedes llenar su seguridad. Debes consultar con tu carrera permanente y averiguar qué piensa que es aplicable a ti. Yo recomendaría si eres un proveedor de servicios para hacer la auditoría completa, no confíe en una clave segura porque no se verifica de forma independiente. Trató de ver con repasar la auditoría completa siempre. Sobre todo si eres proveedor de servicios. De acuerdo, chicos. De tal manera que cierra el cuerpo llamado parte SEQ. Y te veré en el siguiente módulo, que es muy importante, que tiene que ver con los cambios clave en su versión 4 del estándar. Graciaschicos. Nos vemos en la próxima lección. 20. 6- PCI DSS v4 y los cambios clave: Hola a todos. De acuerdo, Así que hemos llegado al capítulo final, que es el final y que es el más prospectivo, que son los cambios clave en la versión 4 ceros. Por lo que podría ser consciente de que la versión 4 marido liberó al público. Esto fue resultado de diversos esfuerzos consejo de la PCA para actualizar la norma. No lo haces más relevante. Pueden la razón por la que no hice esto una sección aparte es porque quiero que mantengan la calma y sigan enfocándose en sus esfuerzos de cumplimiento con la versión actual de la norma. Al mismo tiempo, tómate un tiempo para leer y planificar para PCI DSS versión 4. No trates de implementar 4 ahora mismo te harás mayor porque es un cambio importante. No es algo que solo puedas empezar a implementar de inmediato. Es necesario entender completamente cuáles son los cambios y cómo encajarán en el panorama más amplio. De acuerdo chicos, así que solo un cable, no se emocionan todos y empiezan a implementar de inmediato. Entonces, ¿de qué estamos hablando? En primer lugar, ¿por qué ha cambiado el estándar? Entonces, si ocurriera una revisión importante, bueno, esa podría ser una pregunta. Se podría decir, ¿por qué la consola PCA una reescritura tan importante de la PCI DSS. Y el PCI DSS es un estándar bastante maduro por razones que quieren asegurarse de que necesita unos estándares de seguridad, las necesidades de la industria de pagos, ¿verdad? Porque la tecnología está evolucionando. No teníamos nube antes y otras cosas antes, ¿verdad? Y lo han hecho más maduro desde una perspectiva de seguridad. La seguridad no se parecía tanto a lo que llamamos enlace aquí a la gestión de riesgos y procesos maduros. Las empresas ahora cuentan con tecnologías innovadoras que pueden cumplir con la intención de los requisitos. ¿ Recuerdas lo que te dije antes? Trata de entender la intención. No trates de memorizar el estándar, ¿de acuerdo? Porque eso no te ayudará. Y te da mucha flexibilidad, también soporte de metodología adicional. Por lo que lo han hecho mucho más flexible, mucho más abierto. Se puede tener muchas discusiones con el QS es solo recordar, pero muy, muy importante. Pero chicos, hay que enfocarse en la gestión de riesgos como metodología. No seas solo técnico. Entender cómo es. ¿ Cómo funciona la administración? Sino lo sabes ya. La línea de tiempo clave, sólo para mí para darle sentido a este diagrama, el estándar, el nuevo sigue siendo opción hasta el 31 de marzo de 2024. Y entonces esta versión tres irá la versión anterior, 3.2.1, se retira. Después de eso, sus auditorías van a empezar ocurrir contra PCI DSS versión 4.2 solamente. Algunos de los nuevos requisitos, tampoco son obligatorios hasta el 31 de marzo de 2025. Hasta ese momento se considerará la mejor práctica. De acuerdo. Tantos comentarios se han agregado a la norma, su futuro fechado en marzo de 2055, como dije, para permitir que se desarrollen los nuevos procesos antes de que necesite hacer comentarios se puedan hacer cumplir. Entonces esa es la razón por la que me concentro. Yo lo hice un estándar aparte porque no quería confundirte, cierto. Voy a estar enfocado en los grandes cambios. Por lo que tienes hasta el 31 de marzo de 2024 para entender y desplegar los nuevos requisitos a los estándares. Y el QS es que vamos a estar llegando. Pueden comenzar a auditar contra la norma. De acuerdo. Ahora dos años parece mucho, pero en realidad no son dados. Por favor, no subestime lo rápido que pasa el tiempo y qué tan rápido cambian las cosas. Obtendrás una taza fuerte. Otras cosas. Te enseñaré a enfocarte en las cosas en las que enfocarte y cuáles son las cosas que deberías estar haciendo, ¿de acuerdo? ¿ De acuerdo? Entonces lo primero es que no es tan grande de una cadena, sino de alcance. Por lo que previamente el alcance, si nos fijamos en este tipo de alcance era como si estuviera empezando a cualquier discusión inicial. Fue en la introducción. No era parte de los requisitos de la norma, pero ahora el cabildo lo han trasladado a los estándares de requisitos. ¿ De acuerdo? Y lo han hecho un requisito rastreable efectivo de inmediato para la versión 4. Entonces esto no es como datos futuros en otros. ¿ De acuerdo? Por lo que deberá documentar su ejercicio de alcance. Si eres comerciante, tienes que hacerlo anualmente y si ocurre algún cambio o algo así, si eres proveedor de servicios, tendrás que hacerlo cada seis meses. O un patrón es datos de estructura de datos. Entonces, si eres comerciante, asegúrate de que estás haciendo tu, deberías estar haciendo tu alcance de todos modos, comienza a documentar tu ejercicio de alcance sobre una base anual. Podría ser un poco complicado la primera vez, pero luego se vuelve más fácil. Si eres proveedor de servicios, saber que después del 31 de marzo de 2025, debes estar haciendo esto después de cada seis meses. Pero después de cualquier cambio importante, como algo cambió de una manera que los sistemas de las personas procesan, hay que tener en cuenta eso. De acuerdo. ¿ Qué más hay un almacenamiento de datos confidenciales de autenticación? Bueno, no deberías estar almacenando datos confidenciales de autenticación, sino después de la autorización. Entonces ya discutimos esto antes, ¿verdad? Algunasorganizaciones. Por lo que antes de que se autorice la transacción, sí mantienen almacenadas los datos temporalmente. Se recomendó que bien. Lo almacenas por un minuto, media hora, sea lo que fuera recomendado, debes intentar cifrar un derecho protegido. No se requería. Bueno, ya no es no será una recomendación después del 31 de marzo de 2025. Lo que ha pasado es que han visto muchos ataques. Los atacantes pueden tratar comprometerlo desapareció dentro de la memoria, este almacenamiento temporal, tratan de comprometerlo. De acuerdo. Por lo que aunque lo estés almacenando durante cinco minutos, entonces lo sabrán y tratarán de sacarlo de la memoria. Por lo que incluso dentro de la memoria, pero luego el almacenamiento temporal, tendrá que cifrarlo. De acuerdo. Entonces solo ten esto en cuenta. Y esto no sería una recomendación después del 31 de marzo de 2025. De acuerdo. ¿ Qué más hay acceso remoto. Entonces, si estás usando el acceso remoto al entorno del tarjetahabiente, ¿de acuerdo? Entonces debe evitar la copia y reubicación del caso de datos del titular de la tarjeta. Alguien puede copiar y pegar estos datos. Esto es lo que se ha mencionado antes en la recomendación estándar va a ser un requisito. Muchas empresas han visto lo que solían hacer las cosas para poner una política alrededor de esto. Pero ahora necesita ser forzada por una tecnología, ¿de acuerdo? Por lo general, simplemente no debería ser demasiado difícil. Por lo general si tienes configuraciones en tu software de acceso remoto que impiden copiar pegar o tienes funciones DLP, ¿de acuerdo? Entonces dependiendo de lo que tengas y tu proceso actual a pesar de ser muy fácil, podría ser un poco difícil. Es posible que necesites invertir en un poco más de tecnología es todo lo que necesitas para poner algunos controles en torno a esto. Entonces solo ten esto en cuenta para este requisito. De acuerdo, Firewall de Aplicaciones Web. Entonces esto es chicos bastante directos. Recuerda, te dije que puedes tener Web Application Firewall o pintores de aplicaciones. Fueuna recomendación. Bueno, ahora necesitas tenerla. Ya no es opcional. De acuerdo. Necesitas tener una válvula después del 21 de marzo de 2025. Honestamente, deberías tener un áspero como te dije antes, no intentes conformarte con revisiones de codificación seguras o molesto, deberías tener un firewall de aplicaciones web por defecto. Entonces, si no estás haciendo esto, empieza a hacerlo ahora mismo, empieza a presupuestar para ello. Omite en páginas de pago. Entonces esto es bastante interesante. Esto solía ser como un suplemento del Consejo de la PTA. Esto no debe inicialmente no ser parte del estándar PCI. Si tienes páginas de comercio electrónico con scripts que se están ejecutando, tienes que ahora ¿qué tenemos que hacer si se están cargando tus scripts? Tienes que asegurarte de que estén autorizados y nadie pueda alterar esos guiones. Y tienes un inventario de todos los scripts que se están ejecutando. ¿Por qué? ¿ Por qué sucede esto? Debido a que fenómenos llamados pagos skimming, skimming, lo que los atacantes solían hacerlo es comprometer estas páginas de pago e inyectar sus propios scripts o alterar los scripts existentes. De acuerdo, entonces es como si estuvieras ingresando tus datos, pero esos datos en realidad se están ingresando en página del atacante y el pH es genuino, ¿verdad? Pero apenas se compararon con el guión. Por lo que ni siquiera es como un ataque de phishing porque la URL seguirá siendo la misma. Por eso ahora este es un comentario muy bueno personalmente porque el comercio electrónico ha comenzado. Es como si casi el comercio electrónico se estuviera apoderando lentamente del mundo físico. Y deberías tener estos controles. Entonces definitivamente échale un vistazo a eso. Si tienes un motor de comercio electrónico que ha llegado cargado de primavera, empieza a echar un vistazo a cómo vas a estar implementando esto. Y puedes echar un vistazo al suplemento de comercio electrónico del consejo de la PCA. Ese también es un muy buen documento que entra en más detalle. De acuerdo. ¿ Qué más son los requisitos de MFA? Por lo que MFA se ha ampliado un poco. Entonces, ¿a qué llamas ahora si recibimos era para admin y acceso remoto en este momento se va a ampliar cubrir el acceso al entorno del tarjetahabiente. De acuerdo. Entonces una cosa más. Por lo que han agregado un detalle. Puede ser un poco complicado. Entonces, ¿qué es esto que antes lo que solía pasar? Por lo general, en la mayoría de las soluciones de MFA pondrás en tu ID de usuario y contraseña ¿verdad? Haga clic en Enter, y luego aparece otra pantalla. Entonces tienes que poner en tu código MFA ¿verdad? Ahora. Todo esto tiene que suceder al mismo tiempo. Entonces no es como una contraseña de ID de usuario por primera vez. Y luego entran en el otro factor justo debajo del token. Ahora, tienen que ser suceden al mismo tiempo y no pueden decirte qué manera falla el campo de contraseña de ID de usuario en token. No se puede revelar esa información. Por lo que la mayoría de los proveedores deberían estar actualizándolo. Pero algo a tener en cuenta. Otra cosa fue finalmente buena vista. Entonces como te dije antes, los requisitos de contraseña PCI DSS solían ser como siete. Ahora por fin lo actualizaron a 12. No deberían ser un tema más grande. Pero si tienes algunos de tus sistemas que necesitan actualizarse, tal vez necesites cambiar la política de contraseñas o algo así. Tenganeso en cuenta. Un problema menor es que cambiaron, han eliminado las referencias a firewalls y routers. Ahora lo mencionaron en vigor, controles de seguridad y anti-malware. Lo han hecho más sincronizado con lo que es la terminología de la industria. La mayoría de las empresas ahora no usan un constructo de antivirus reutilizan algo anti-malware. De acuerdo. ¿Qué más hay? Escaneo autenticado. Por lo que interno vía escaneo ahora tiene que ser autenticado. Ahora significa que puedes simplemente escanear tus puertos y servicios y llamarlo vía escaneo. Por lo que si tienes como un servidor o algo así, generalmente lo que haces es darle un te proporcionará el appliance o ID de usuario y contraseña. Se iniciará sesión en esa máquina y hará un escaneo completo. De acuerdo, prepárate para un reporte mucho más grande si no estás haciendo esto ya, honestamente, deberíamos estar haciendo esto ya. Siempre debes estar haciendo escaneo autenticado. De acuerdo, pero si no lo estás y cuando enciendes esto yoga, porque ahora se va a estar mirando, se va a autenticar y realidad hacer un escaneo mucho más profundo. Van a surgir muchas cosas, Ok chicos, así que prepárense para empezar a hacer esto ahora mismo. Parte importante de este nuevo requisito es que las, las credenciales que ingreses, tengan que ser ingresadas y almacenadas de forma segura. De acuerdo. Entonces échale un vistazo a eso. Si tienes algo así como una bóveda de contraseñas o tal vez puedas integrar muchas de estas soluciones que sí integran con Password works, por lo que no tienes que introducirlo manualmente y guárdelo en cualquier lugar. De acuerdo. Tan solo tenlo en cuenta. Por último, está bien, lo más, personalmente en mi opinión, el mayor cambio ha sido la introducción de Customize Controls. Entonces, ¿qué solía pasar? Como te dije antes, si anteriormente las empresas no podían cumplir con los requisitos, podrían proponer algo llamado control compensador y usarlo para moverse no cumpliendo con su comentario. Por ejemplo, no se puede cifrar sistema heredado de datos del titular ubicado, poner otros controles. Y eso es como una atenuación de ese riesgo. Mucho tiempo curioso es que sí se les hace la pregunta, cierto. El auditor Las empresas me han pedido, vale, tenemos una seguridad pero no puedo cumplir con el requisito específico, pero tengo controles seguros. De acuerdo. La respuesta solía estar bien porque puedes implementar un control compensador, que es una solución temporal hasta que cumples con el requisito, hasta que finalmente arreglas esto. ¿ De acuerdo? Por lo que la versión cuatro del estándar, han tratado de resolver este escenario introduciendo este concepto de enfoque personalizado. Entonces empresas clientes que tienen seguridad madura, ¿de acuerdo? Y tienen otros controles, pueden cumplir con el requisito de otras maneras. Por lo que no es un control compensador es tanto como una forma mucho más compleja y mucho más mejor de cumplir con el requisito. ¿De acuerdo? Entonces las cosas anteriores, la forma anterior de hacerlo y se le llamó un enfoque definido. Pci se ha implementado se llama un enfoque definido. Ahora vas a tener una sección separada llamada el enfoque personalizado, ¿de acuerdo? Y básicamente vas a estar proponiendo un nuevo control, eso significa los requisitos. Entonces no estás compensando no estás compensando una brecha. De acuerdo. Estás poniendo una nueva que está cumpliendo el objetivo del PSA y eso es por supuesto, será valorado por el auditor de PCI. Esta es una gran solución para las empresas que no pueden cumplir directamente con los requisitos, pero tienen prácticas maduras de gestión de riesgos en su lugar, y tienen tecnologías innovadoras. ¿ De acuerdo? ¿ Cómo se vería? Es un poco así. Entonces el viejo que definió enfoque era, bueno, tengo un requerimiento PCI y no puedo cumplirlo, así que voy a poner en un control compensador. Estoy compensando una falta de control y soy documental obtener a corto plazo. El auditor solía decir, Ok, lo aceptamos ahora tal vez después de un año, cinco años, tenemos que implementar alguna solución. De acuerdo, ahora, tengo una pizza que no puedo cumplir, tengo un control personalizado, he hecho y cumple con el objetivo del requerimiento. El estándar PCI está diciendo Esto XYZ no debe suceder, cognitivo no debe ser robado. De acuerdo, estoy cumpliendo con el requisito y lo he implementado. Por lo que todavía se pueden hacer controles compensadores, pero estos nuevos enfoques son forma mucho más estratégica de cumplirlo. Entonces como dije, solo recuerda que no estás compensando como de una manera a corto plazo. Ahora está implementando un enfoque a largo plazo para asegurar adecuadamente sus requerimientos PCI. ¿ De acuerdo? Entonces así es como se ve el estándar para que puedan echarle un vistazo y darle estilo. No tienes que empezar a implementarlo de inmediato. Y podría parecer un poco abrumador. Entonces te voy a dar el consejo para ese premio. Qué hacer al respecto, cómo enfocarse en ello, ¿de acuerdo? Y sólo para ser claros chicos, esta gestión y documentación es un gran foco en la nueva hebra. Entonces, cuando estás haciendo tus actividades, necesitas hacer un análisis de riesgo dirigido de por qué estás haciendo cosas. Tienes que asegurarte de que esos estén firmados. Usted si pone controles personalizados, tendrá que ser firmado por su Director de Riesgos o CEO. Alguien mayor, está bien. Esto no es algo como lo mencioné antes. Pci DSS no es un proyecto de TI. Pero en la nueva tienen mucho más énfasis en eso. Que se necesita tener roles y responsabilidades claramente definidos . Los controles personalizados deben ser firmados. Y es necesario hacer una evaluación de riesgos dirigida. No creas que puedes simplemente hacer una hoja de Excel con una columna diciendo, he hecho una evaluación de riesgos. No, no se aceptará así. ¿ Cómo lo haces? 21. 6 - Cómo prepararse para estar: Si conoces a Michael Lumia antes sobre evaluación de brechas, lo mismo. De acuerdo. ¿Cuáles son las cosas más importantes las que enfocarse ahora mismo? En primer lugar, lea la versión PCI DSS para Standard, familiarízate con los cambios más grandes que pueden afectar tu proceso de cumplimiento, luego comienza a hacer una evaluación de brechas ¿de acuerdo? A mí, implementar cambios. Probaciónpara entrada. Tienes tiempo, empieza temprano y no tendrás problemas durante tu conversación. De acuerdo, no olvides seguir implementando tu estándar actual, 3.211, pero empieza a pensar en cómo vas a estar haciendo evaluaciones de riesgo. Más bien una evaluación de riesgos más formal es la documentación que se requiere, ¿de acuerdo? Y la mayoría de las organizaciones necesitarán agregar procesos y adquirir habilidades para hacer esto correctamente. Averigua qué tipo de certificaciones hay. Empieza a concertarte contigo. Y el cubo, a pesar de que no pueden realizar una evaluación 4 en este momento hasta que hayan sido formalizados formalmente. Pero va a pasar muy, muy rápido. De acuerdo. Pero tipo de conseguirnos esto te dará consejos, pero por favor no esperes hasta 2024 para comenzar a cambiar a PCI DSS por fido, extiende tus esfuerzos el próximo par de años y estarás bien, ¿de acuerdo? De acuerdo. Sólo recuerda estas cosas. Incluso tienen un mayor enfoque en la documentación. gestión de riesgos dirigida comenzó a invertir en este árbol y hay muchas, muchas certificaciones para la gestión de riesgos. Puedes mirar esas certificaciones. No voy a nominar a ninguna específica. Puedes echarle un vistazo a eso. Sería una gran idea invertir en obtener certificaciones y gestión de riesgos. Estos no son técnicos, pero te enseñarán las metodologías para hacer evaluaciones de riesgos adecuadas. Está bien chicos. De acuerdo, entonces esto envuelve la versión 4. Espero que entiendas ahora los grandes cambios que están entrando, cómo puedes seguir haciéndolo. Parece que, como dije, dos años, parece lejano. Puede ser muy corto, puede ser muy largo. Difundir sus esfuerzos y tener un plan de acción adecuado en su lugar y usted debe estar bien con esto. De acuerdo, chicos, espero que eso haya sido de utilidad. Eso lo envuelve y gracias por asistir a esta capacitación. Ahora vamos a pasar a la conclusión. Y en este curso, muchas gracias por quedarte conmigo durante este tiempo. 22. 7 - camino hacia adelante: De acuerdo chicos, felicidades por llegar al final de este curso. Espero que te haya parecido interesante. No era aburrido. Traté de hacerlo lo más práctico posible y darte cantidad de consejos accionables que pudiera para el proyecto de clase. Sólo quiero recordarles, recuerden que hablamos de Essex. Quiero que recoja un SAQ, que sea tan sencillo como la seguridad o el de alguien para un comerciante físico en comercio electrónico que realmente le enseñará sobre los diferentes estándares, diferentes departamentos. Te dará una buena idea de qué otros comentarios también, llénalo. Hazme saber cómo vas al respecto y si enfrentas algún reto desde acércate a mí y házmelo saber. De acuerdo. ¿ Qué más pueden hacer, chicos? Puedes echar un vistazo al programa PCI ISA, asesor de seguridad en internet, que es una certificación internista que puedes hacer por tu empresa. Te hace casi equivalente a lo que USA, pero no lo eres, lo eres, no eres como en usaid, tú por encima de tu propio auditor interno, pero te da la capacitación completa para cómo llevar a cabo estas auditorías. Si te interesa esto definitivamente cuál sale. Como dije, no esperen a la auditoría. Por favor, comience a implementar este conocimiento ahora mismo. Y definitivamente esta es la mejor manera de retener ese conocimiento o decir, un tip procesable que te puedo dar crea un documento PCI o manual para tu empresa para el e-commerce, cómo implementar estos requisitos tarifa diaria para su organización. Y aprenderás mucho, créeme, aprenderás mucho sobre tu empresa y cómo encajan los diferentes comentarios. Y lo más importante, empezar a gapping contra el PCI DSS versión 4 es 0 hoy, no lo pospongas para el próximo año o el año siguiente, lo contrario, tendrás serios problemas. Empieza a actuar hoy mismo. Toma el conocimiento que te he enseñado y preséntalo a tu dirección y estas son las cosas que tenemos que estar haciendo. De acuerdo, chicos, eso lo envuelve. Muchas gracias por asistir a esta capacitación. Por favor deje una reseña. Si pensaste que este entrenamiento fue útil, maravilloso, por favor házmelo saber. Si cogiste este entrenamiento fue como lo peor que has asistido, por favor házmelo saber para no sentirme ofendido. Y voy a usar eso para mejorar en su entrenamiento o tomar. Si te interesa, puedes comunicarte conmigo en mi canal, como el chico de seguridad en la nube y otros cursos que tengo aquí, vale, conéctate conmigo en LinkedIn. gusto te puedo ayudar si tienes algún problema. De acuerdo, Y eso llega al final de este curso, chicos, muchísimas gracias. Espero que hayan disfrutado este entrenamiento tanto como yo disfruté haciéndolo. Echa un vistazo a mis otros cursos y hazme llegar. Te deseo todo lo mejor en tu viaje PCI DSS y te veo en otros cursos. Muchas gracias y buena suerte.