Date post: | 09-Jun-2015 |
Category: |
Economy & Finance |
Upload: | juan-jose-rider-jimenez |
View: | 1,205 times |
Download: | 2 times |
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS
Juan Jose Rider JimenezOWASP memberSpain [email protected]
13/09/2011
OWASP 2
Algo sobre mi
Profesional desde 2001. Experto en e-commerce: Verified By VISA y
SecureCode. OWASP member desde 2010. Miembro del
Spain Chapter. Twitter: @jjriderWul4 Email: [email protected]
OWASP
PCI-DSS y PA-DSS
PCI-DSS es un estándar de obligado cumplimiento en la industria de los medios de pago. Es de obligado cumplimiento para comercios, entidades y proveedores de servicio.
PA-DSS está dirigido a las empresas desarrolladores de software y PCI-DSS a las instituciones (comercios, entidades y proveedores de servicios)
Su misión es proteger los datos de tarjetas de posibles usos malintencionados(robos, etc)
Ambas normativas están reguladas/definidas por el PCI SSC (Payment Card Industry – Security Standards Council)
3
OWASP
¿Qué es PCI-DSS y PA-DSS? (II)
4
PCI SSCPayment Card Industry
Security Standards Council
PA DSSPayment Application
Data Security Standard
PCI DSSPayment Card
Industry Data Security
Standards
PCI PTSPIN Transaction
Security
Merchant Compliance Validation
Acquirer
Card Brands
OWASP
Los 12 requerimientos de PCI-DSS
5
Categoría Requerimiento
Construir y Mantener una red segura 1)Instalar y mantener una configuración de firewall para proteger datos de tarjetas
2) No usar passwords ni configuraciones de seguridad por defecto
Proteger Datos de Tarjetas 3)Proteger los almacenes de datos de tarjetas
4) Encriptar transmisiones de datos de tarjetas que se produzcan en redes públicas.
Programa de gestión de vulnerabilidades
5) Usar y actualizar regularmente un software antivirus
6) Desarrollar y mantener sistemas seguros y aplicaciones
Implementar medidas de control de acceso
7) Restringir el acceso a los datos sensibles en base al ‘need-to-know’
8) Asignar un único identificador a cada individuo con acceso
9) Restringir el acceso físico a los datos
Monitorizar y probar regularmente las redes
10) Auditar y monitorizar todos los accesos a la red y a los datos sensibles
11) Testar regularmente sistemas y procesos
Política de Seguridad de la Información
12) Mantener una política que tenga en cuenta la seguridad de la información
OWASP
Los 14 requerimientos de PA-DSS
6
Requirement 1 Do not retain full magnetic stripe, card validation code or value (CAV2, CID, CVC2, CVV2), or PIN block data
Requirement 2 Protect stored cardholder data
Requirement 3 Provide secure authentication features
Requirement 4 Log payment application activity
Requirement 5 Develop secure payment applications (5.2 - OWASP Guide, SANS CWE Top 25, CERT Secure Coding)
Requirement 6 Protect wireless transmissions
Requirement 7 Test payment applications to address vulnerabilities
Requirement 8 Facilitate secure network implementation
Requirement 9 Cardholder data must never be stored on a server connected to the Internet
Requirement 10 Facilitate secure remote software updates
Requirement 11 Facilitate secure remote access to payment application
Requirement 12 Encrypt sensitive traffic over public networks
Requirement 13 Encrypt all non-console administrative access
Requirement 14 Maintain instructional documentation and training programs for customers, resellers, and integrators
OWASP
¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
Lo obvio: En la normativa PCI-DSS sólo se nombra a OWASP en el cumplimiento del requerimiento 6.5: “Develop applications based on secure coding guidelines” (PA-DSS Req.5.2)
“OWASP Development Guide”Secure coding principlesThreat Risk ModelingPhishing, Web Services, Authentication,
Session management, Cryptography, etc..
“OWASP Top 10”7
OWASP
¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
Req 6.2: “Risk Ranking” (PA-DSS Req.7.1) “OWASP Development Guide” “OWASP Testing Guide”
Req 6.3.2: “Review of code”(PA-DSS Req.5.1.4)
“OWASP Code Review Guide”Authentication, Authorization, Session
management, etcOWASP Code review Top 9
Herramientas: CodeCrawler, Orizon, LAPSE, YASCA, etc
8
OWASP
¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
Req 11.2: “Run internal and external network vulnerability scans” Herramientas: OWASP ZAP, WebScarab “OWASP Testing Guide”
Req 11.3: “Penetration Testing” Herramientas: OWASP ZAP, WebScarab “OWASP Testing Guide”
Req 11.4: “IDS” Herramientas: AppSensor
9
OWASP
¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
Existen aportaciones que no son tan obvias.Formación
A/P: WebGoat, OWASP Top Ten.Testers: Testing Guide, OWASP Live CD, ZAP, etc. Jefes de Proyecto: Development Guide, ASVSArquitectos: ASVS, SAMMManagers y Ejecutivos: Para todos: www.owaspa.org
CBT (https://www.owasp.org/index.php/Category:OWASP_CBT_Project )
APIs que mejoran la calidad/seguridad:ESAPI, AntiSamy, etc
Ciclo de Vida: CLASP10
OWASP
¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
Y algunas más:Seguridad a todos los niveles: SAMM
Entra a todos los niveles: Política, Métricas, Requerimientos, Diseño, Despliegue seguro, etc..
11
OWASP
¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?
Finalmente, otras iniciativas:OWASP PCI Project
https://www.owasp.org/index.php/Key_Project_Information:OWASP_PCI_Project.
OWASP: Congresos, conferencias, podcasts, mailing lists, etc…Colaboración en proyectos nuevos: OWASP DNIe (https://www.owasp.org/index.php/Spain/Projects/DNIe), etc
Hacer la encuesta!!!: http://www.surveymonkey.com/s/3SP5Z88
12
OWASP
Conclusiones
El cumplimiento del estándar PCI-DSS y PA-DSS no se puede alcanzar totalmente usando exclusivamente contenidos de OWASP, sin embargo, sí que se puede facilitar el cumplimiento en gran medida.
Facilita y mejora el desarrollo, la calidad del software y el conocimiento de todas las partes: desarrolladores, testadores, responsables de sistemas, etc.
13
OWASP
¿Preguntas?
14