Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS

Juan Jose Rider JimenezOWASP memberSpain ChapterJuan.Rider@owasp.org

13/09/2011

OWASP 2

Algo sobre mi

Profesional desde 2001. Experto en e-commerce: Verified By VISA y

SecureCode. OWASP member desde 2010. Miembro del

Spain Chapter. Twitter: @jjriderWul4 Email: juan.rider@owasp.org

OWASP

PCI-DSS y PA-DSS

PCI-DSS es un estándar de obligado cumplimiento en la industria de los medios de pago. Es de obligado cumplimiento para comercios, entidades y proveedores de servicio.

PA-DSS está dirigido a las empresas desarrolladores de software y PCI-DSS a las instituciones (comercios, entidades y proveedores de servicios)

Su misión es proteger los datos de tarjetas de posibles usos malintencionados(robos, etc)

Ambas normativas están reguladas/definidas por el PCI SSC (Payment Card Industry – Security Standards Council)

3

OWASP

¿Qué es PCI-DSS y PA-DSS? (II)

4

PCI SSCPayment Card Industry

Security Standards Council

PA DSSPayment Application

Data Security Standard

PCI DSSPayment Card

Industry Data Security

Standards

PCI PTSPIN Transaction

Security

Merchant Compliance Validation

Acquirer

Card Brands

OWASP

Los 12 requerimientos de PCI-DSS

5

Categoría Requerimiento

Construir y Mantener una red segura 1)Instalar y mantener una configuración de firewall para proteger datos de tarjetas

2) No usar passwords ni configuraciones de seguridad por defecto

Proteger Datos de Tarjetas 3)Proteger los almacenes de datos de tarjetas

4) Encriptar transmisiones de datos de tarjetas que se produzcan en redes públicas.

Programa de gestión de vulnerabilidades

5) Usar y actualizar regularmente un software antivirus

6) Desarrollar y mantener sistemas seguros y aplicaciones

Implementar medidas de control de acceso

7) Restringir el acceso a los datos sensibles en base al ‘need-to-know’

8) Asignar un único identificador a cada individuo con acceso

9) Restringir el acceso físico a los datos

Monitorizar y probar regularmente las redes

10) Auditar y monitorizar todos los accesos a la red y a los datos sensibles

11) Testar regularmente sistemas y procesos

Política de Seguridad de la Información

12) Mantener una política que tenga en cuenta la seguridad de la información

OWASP

Los 14 requerimientos de PA-DSS

6

Requirement 1 Do not retain full magnetic stripe, card validation code or value (CAV2, CID, CVC2, CVV2), or PIN block data

Requirement 2 Protect stored cardholder data

Requirement 3 Provide secure authentication features

Requirement 4 Log payment application activity

Requirement 5 Develop secure payment applications (5.2 - OWASP Guide, SANS CWE Top 25, CERT Secure Coding)

Requirement 6 Protect wireless transmissions

Requirement 7 Test payment applications to address vulnerabilities

Requirement 8 Facilitate secure network implementation

Requirement 9 Cardholder data must never be stored on a server connected to the Internet

Requirement 10 Facilitate secure remote software updates

Requirement 11 Facilitate secure remote access to payment application

Requirement 12 Encrypt sensitive traffic over public networks

Requirement 13 Encrypt all non-console administrative access

Requirement 14 Maintain instructional documentation and training programs for customers, resellers, and integrators

OWASP

¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?

Lo obvio: En la normativa PCI-DSS sólo se nombra a OWASP en el cumplimiento del requerimiento 6.5: “Develop applications based on secure coding guidelines” (PA-DSS Req.5.2)

“OWASP Development Guide”Secure coding principlesThreat Risk ModelingPhishing, Web Services, Authentication,

Session management, Cryptography, etc..

“OWASP Top 10”7

OWASP

¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?

Req 6.2: “Risk Ranking” (PA-DSS Req.7.1) “OWASP Development Guide” “OWASP Testing Guide”

Req 6.3.2: “Review of code”(PA-DSS Req.5.1.4)

“OWASP Code Review Guide”Authentication, Authorization, Session

management, etcOWASP Code review Top 9

Herramientas: CodeCrawler, Orizon, LAPSE, YASCA, etc

8

OWASP

¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?

Req 11.2: “Run internal and external network vulnerability scans” Herramientas: OWASP ZAP, WebScarab “OWASP Testing Guide”

Req 11.3: “Penetration Testing” Herramientas: OWASP ZAP, WebScarab “OWASP Testing Guide”

Req 11.4: “IDS” Herramientas: AppSensor

9

OWASP

¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?

Existen aportaciones que no son tan obvias.Formación

A/P: WebGoat, OWASP Top Ten.Testers: Testing Guide, OWASP Live CD, ZAP, etc. Jefes de Proyecto: Development Guide, ASVSArquitectos: ASVS, SAMMManagers y Ejecutivos: Para todos: www.owaspa.org

CBT (https://www.owasp.org/index.php/Category:OWASP_CBT_Project )

APIs que mejoran la calidad/seguridad:ESAPI, AntiSamy, etc

Ciclo de Vida: CLASP10

OWASP

¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?

Y algunas más:Seguridad a todos los niveles: SAMM

Entra a todos los niveles: Política, Métricas, Requerimientos, Diseño, Despliegue seguro, etc..

11

OWASP

¿Qué puede aportar OWASP al cumplimiento de PCI-DSS y PA-DSS?

Finalmente, otras iniciativas:OWASP PCI Project

https://www.owasp.org/index.php/Key_Project_Information:OWASP_PCI_Project.

OWASP: Congresos, conferencias, podcasts, mailing lists, etc…Colaboración en proyectos nuevos: OWASP DNIe (https://www.owasp.org/index.php/Spain/Projects/DNIe), etc

Hacer la encuesta!!!: http://www.surveymonkey.com/s/3SP5Z88

12

OWASP

Conclusiones

El cumplimiento del estándar PCI-DSS y PA-DSS no se puede alcanzar totalmente usando exclusivamente contenidos de OWASP, sin embargo, sí que se puede facilitar el cumplimiento en gran medida.

Facilita y mejora el desarrollo, la calidad del software y el conocimiento de todas las partes: desarrolladores, testadores, responsables de sistemas, etc.

13

OWASP

¿Preguntas?

14