Tokenización y su aplicación en PCI DSS en Red Seguridad

En el número de Noviembre de Red Seguridad, David Acosta presenta la técnica de tokenización: bases, funcionamiento y características con un enfoque de aplicación en entornos que requieren cumplir con PCI DSS.

Estas tecnologías, a las que VISA ha "dado su visto bueno" como herramientas para simplificar o acotar los entornos de PCI DSS, están siendo cada vez más utilizadas, pero todavía hay dudas sobre cómo se emplean o pueden emplear. En este interesante artículo se resolverán esas grandes dudas.

El artículo está disponible en nuestra zona de Prensa.

Presentamos en Expo:QA 2010 la importancia de la seguridad en el SDLC

Vicente Aguilera presentó, en el mayor congreso en España y uno de los más importantes a nivel europeo sobre calidad en el desarrollo de software, la importancia de la inclusión de la seguridad en el desarrollo de vida de software.

Con asistentes en todos los sectores de negocio, entre los que se encontraban financieros, turismo y transporte, seguros, redes sociales, etc. Expo:QA se ha convertido en el foro de referencia donde se presentan cada año las últimas novedades y tendencias en calidad de software.

Como expertos en el área de la seguridad en desarrollo, estos foros son los más relevantes para concienciar en que la seguridad ha de ser una parte más de la calidad y que ésta última sin seguridad, es incompleta.

Éxito de la 2ª Jornada sobre Seguridad en Medios de Pago

Más de 130 asistentes a la intensa Segunda Jornada sobre Seguridad en Medios de Pago que organizamos el pasado miércoles 10 de noviembre demuestran que el interés por las normas de PCI convirtieron este evento en el mayor realizado en España sobre las normas de PCI.

Esta numerosa participación demuestra que la necesidad de información y de poder compartir experiencias con empresas que están trabajando en el cumplimiento de PCI DSS y de PCI PA-DSS es imprescindible.

Siguiendo nuestra línea de divulgación conseguimos, gracias a la inestimable colaboración y confianza de nuestros clientes y colaboradores, proponer un programa de ponencias que resultó muy interesante.

En esta jornada se presentaron las novedades de las nuevas versiones 2.0 de las normas, los aspectos de seguridad relevantes en ellas, tecnologías de un fabricante para facilitar el cumplimiento pero, sobretodo, una docena de experiencias de proyectos en los que Internet Security Auditors ha participado y participa, con representación de tipologías de empresas diversas. Sin duda, contar con la presentación de proyectos explicadas por los propios afectados era uno de los objetivos clave que nos habíamos propuesto para la jornada.

Entre los asistentes se contó con grandes comercios, tanto presenciales como virtuales, las mayores entidades financieras de España y los principales procesadores y proveedores de servicios de pago del país.

Para todos aquellos que no pudieran asistir pueden descargar las presentaciones de nuestra zonas de Presentaciones.

Esperamos poder contar con todos en la próxima jornada.

Las novedades de PCI DSS 2.0 en SIC

En el número de Noviembre de SIC, y coincidiendo con la publicación de la versión 2.0 de PCI DSS, publicamos un artículo donde Miguel ángel Domínguez analiza al detalle todas las novedades de la nueva norma: mejoras, detalles y ampliaciones (pocas estas últimas) se han incorporado en la nueva versión y todo aquel que esté trabajando en su implantación y cumplimiento por dicha norma (y que no pueda asistir a la 2ª Jornada sobre Seguridad en Medios de Pago, que organizamos el próximo 10 de noviembre), sin duda encontrará muy interesante.

Internet Security Auditors PCI Meeting 2010

Hace tres años organizamos un evento pionero en España sobre la norma PCI DSS. Tres años después, tras la experiencia acumulada y, sobretodo, por las peticiones de clientes y colaboradores, y gracias a ellos, organizaremos otro evento sobre las normas de PCI: PCI DSS y PA DSS: Madrid 10 de Noviembre.

Si hace unos años la necesidad de explicar en qué consistía PCI DSS, era imprescindible, la situación ha cambiado radicalmente: muchas son las empresas que han iniciado procesos de implantación y certificación. Procesos que han resultado ser en su gran mayoría, complejos en una situación como la actual, que no ha favorecido su avance y ha hecho que se piense mucho más cómo abordar cambios en base a un ROI claramente definido.

Esto nos ha animado a enfocar muy pragmáticamente un evento como este: aprovechar el conocimiento y experiencia de todos reduce esfuerzos y beneficia, al final, de forma global a todos. Con este fin, contaremos con Proveedores de Servicio, Comercios, Entidades Adquirientes y Fabricantes afectados por las normas PCI DSS y PA DSS que hablarán de retos concretos aparecidos en el cumplimiento y cómo los han superado.

También se presentarán las recientes novedades de las normas en sus versiones 2.0 de PCI DSS y PA DSS y presentaremos los puntos mâs relevantes y a tener en cuenta en el cumplimiento de ambas normas.

El programa de esta jornada será el siguiente:

8:30 Bienvenida y registro
9:00 Presentación de la Jornada
Daniel Fernández, Internet Security Auditors
9:05 Tecnologías para el cumplimiento
Alexandre Bento, SafeNet
9:40 NOVEDADES DE PCI DSS y PA DSS v2.0
Miguel Á. Domínguez, Internet Security Auditors
10:00 ASPECTOS CLAVE DE SEGURIDAD EN PCI
Vicente Aguilera, Internet Security Auditors
10:20 PCI PROGRAMS: Q&A
Andrew Mulvenna, VISA Europe

11:00 Coffee break

11:30 EXPERIENCIAS PA-DSS: APLICACIONES DE PAGO
Raúl Reca, Indra Sistemas
José García, Informática El Corte Inglés
Fermín Garde, Wincor-Nixdorf España
12:15 EXPERIENCIAS PCI DSS: ENTIDADES ADQUIRIENTES
Carlos Prieto, Caja de Ahorros de La Rioja
Jordi Serracanta, Banca Privada d´Andorra
Jordi Solà, Caixa d´Estalvis del Penedès
13:00 EXPERIENCIAS PCI DSS: PROVEEDORES DE SERVICIO
Pedro Pablo López, Rural Servicios Informáticos
Julio Jesús Sánchez / Victoria Fernández, Telefónica España Grandes Empresas
13:30 EXPERIENCIAS PCI DSS: COMERCIOS
Mario Rueda, abertis Autopistas España
Antonio Martínez, Metro de Madrid
14:00 Mesa redonda / Preguntas

14:30 Almuerzo

Esperamos que resulte interesante para todos aquellos que puedan asistir.

Novedades del PCI SSC para el 2011

La importancia del PCI SSC como aglutinador de los programas de seguridad existentes y gestionados por cada una de las marcas de tarjetas miembro ha ido creciendo.

Si sus andaduras comenzaron con PCI DSS y la gestión de las empresas homologadas por ASV y QSA, posteriormente incorporó PTS y PA DSS y la homologación de los laboratorios y PA-QSA, la formación ISA, más novedades se han anunciado en petit comité para el 2011. La más importante de ellas consiste en el traslado de otras homologaciones al PCI SSC a fin de unificar criterios y simplificar éstos.

Todas las novedades las presentaremos en nuestro evento de PCI el 10 de noviembre en Madrid tras los Meetings del PCI SSC en Orlando y Barcelona donde tendremos una importante presencia.

Nuevos advisories de vulnerabilidades incluyen a Tuenti

Continuando con el análisis de la seguridad en redes sociales y aplicaciones de uso masivo, seguimos publicando los advisories de seguridad de las vulnerabilidades que se van descubriendo, comunicando a las empresas correspondientes y corrigiendo de forma conveniente.

En estos últimos meses Facebook y la española Tuenti han sido algunos de los incluidos en estos advisories hechos públicos hasta el momento.

Puedes consultar estas y otras vulnerabilidades en nuestra sección de Advisories.

Primera formación en España sobre las nuevas normas 2.0 de PCI DSS y PA DSS

Siguiendo la línea que siempre nos ha caracterizado en el sentido de la divulgación de la seguridad, la formación es un punto clave. Si a esto añadimos que la experiencia práctica de los formadores es un factor clave. Si incluimos el hecho de lo particular del cumplimiento normativo a cada caso concreto en el caso de PCI DSS y PA DSS, poder disponer de una formación flexible, adaptable y basada en el know-how es algo más que interesante y necesario.

Con todas estas premisas, Internet Security Auditors ha iniciado una nueva experiencia en su catálogo de formación especializada con un curso compuesto de cuatro modulos seleccionables relacionados con las normas de seguridad en datos de tarjetas de las que hemos sido pioneros en España: PCI DSS y PA DSS.

Los detalles (temarios, fechas, costes y localización) los puedes encontrar en nuestra página de formación.

Vicente Aguilera galardonado como Circle of Excelence 2010 Triner por el EC-Council

EC-Council, una organización líder en formación en seguridad de la información anunció a finales del mes de Agosto los ganadores de los EC-Council Awards 2010. Estos premios reconocen el compromiso continuo por la calidad en la formación de Internet Security Auditors y de Vicente Aguilera como uno de sus representantes y de los mayores investigadores y promotores de la seguridad en desarrollo a través del capítulo español de la OWASP del que es presidente.

Volvemos a colaborar con el No cON Name

De nuevo este año Internet Security Auditors patrocinará el congreso No cON Name (NcN).
Siendo esta ya la décima convocatoria del congreso, se sitúa en uno de los eventos más veteranos y de un reconocimiento considerable, dado que se ha convertido en el foro donde los mayores expertos en seguridad de España (y fuera del país) dan a conocer sus investigaciones durante los últimos años.

Animamos a todo aquel que tenga interés en conocer a los mayores exponentes de la seguridad nacionales e internacionales, a reservar en su agenda los días 20 y 21 de octubre para asistir a este congreso como un evento ineludible. El congreso se celebrará en CosmoCaixa, Barcelona.

Publicado el calendario de formación del segundo semestre

Dando continuidad a nuestra apuesta por la formación especializada en Seguridad de la Información, Internet Security Auditors presenta su calendario de cursos de formación para el segundo semestre de 2010.

Los detalles (temarios, fechas, costes y localización) de todos los cursos ofrecidos los puedes encontrar en la sección de Formación de nuestra página web.

Internet Security Auditors nuevo miembro del CNCCS

De una sociedad cada día más dependiente de medios como Internet con un alto grado de inseguridad surge el CNCCS (Consejo Nacional Consultivo de CyberSeguridad).

CNCCS es una iniciativa privada que nace a mediados del 2009 fruto de la inquietud de los líderes de la industria de seguridad española de los que ha pasado a formar parte Internet Security Auditors, para ponerse a disposición de entidades gubernamentales o privadas para asesorar en materias relacionadas con cyberseguridad, con el fin de hacer más segura Internet y las redes de Información a la vez que potenciar la innovación y el crecimiento económico.

Con éste objetivo el órgano consultor se dirigirá entre otras a las siguientes áreas:
  • La protección de identidad de los consumidores
  • La protección de infraestructuras críticas
  • La creación de leyes nacionales contra el cybercrimen
  • La protección de la información corporativa
  • La evolución de la estructura gubernamental desde el foco del ámbito físico al del cyberespacio
  • La mejora y el apoyo, desde el punto de vista del Consejo, de la prosperidad económica y la seguridad nacional
El CNCCS está abierto a la participación de más entidades tanto del ámbito privado como gubernamental, todo ello en un esfuerzo conjunto en la mejora y apoyo de la prosperidad económica y la seguridad nacional.

Patrocinamos el IV OWASP Spain Chapter Meeting en Barcelona

El próximo viernes 18 de junio tendrá lugar en Barcelona el VI OWASP Spain Chapter Meeting. Como ya es costumbre, estas jornadas son abiertas y gratuitas. El evento está, una vez más, patrocinado por Internet Security Auditors.

Vicente Aguilera, presidente del capítulo español de OWASP, socio y director de auditoría de Internet Security Auditors, realizará la bienvenida y apertura del evento. Esta edición cuenta, entre otros destacados ponentes, con un invitado de excepción: Richard Stallman. El creador del sistema operativo GNU llevará a cabo la presentación "El software Libre y tu libertad", donde explicará los objetivos y el estado actual del Software Libre así como el estado y la historia del sistema operativo GNU.

Puedes encontrar más información del evento y la forma de inscripción en la web del evento.

Patrocinamos el II Congreso Ibero-Americano de OWASP, IBWAS'10

Por segundo año consecutivo, Internet Security Auditors patrocina el Congreso Ibérico de la OWASP. El IBWAS'10 se celebrará en Lisboa (Portugal) durante los días 16 y 17 de Diciembre de este año 2010. El objetivo del evento es reunir a expertos en seguridad de aplicaciones, investigadores, miembros del mundo académico y representantes de la industria de la Seguridad TI para dialogar sobre los problemas de seguridad de las aplicaciones y proponer soluciones a éstos.

El evento está organizado por los capítulos español y portugués de la OWASP. La anterior edición, que también fue patrocinada por Internet Security Auditors, se celebró en Diciembre de 2009 en Madrid. Este año el evento viaja a Portugal, concretamente a Lisboa y tendrá lugar en el ISCTE-Lisbon University Institute.

El CFP (Call For Papers) está abierto desde ya. Es una oportunidad única para presentar ideas, investigaciones o descubrimientos ante un público experto en Seguridad TI y en el marco de un evento que poco a poco se está volviendo una referencia internacional en lo que a Seguridad Web se refiere.

La OWASP es una organización sin ánimo de lucro enfocada a la mejora de la Seguridad de las Aplicaciones Web; Vicente Aguilera, socio y Director de Auditoría de Internet Security Auditors es el presidente de su capítulo español.

Ponencia sobre Seguridad del Software en Expo:QA 2010

Este año estaremos en el evento Expo:QA 2010 Conferences tras ser aceptado por el comité el paper presentado al congreso. Expo:QA es un referente internacional en las tendencias de Calidad del Software y su próximo evento "Expo:QA Conferences" se celebrará en Madrid durante los días 16, 17 y 18 de noviembre.

La presentación que ofrecerá Vicente Aguilera versará sobre la Seguridad en el Ciclo de Vida del Software (SSDLC) como un factor más, muchas veces no procedimentado con tanta exhaustividad o ni siquiera incluido, en el proceso de QA de éste. La presentación también estará centrada en el pentest de aplicaciones como actuación para verificar el éxito en la implantación del SSDLC. Vicente Aguilera es socio y director de Auditoría de Internet Security Auditors así como Presidente del Capítulo Español de OWASP.

Artículo sobre Seguridad en Cloud Computing en Security Acts

En el número 3 de la revista online Security Acts se publica un artículo, en el que uno de los miembros del equipo Comercial de Internet Security Auditors desgrana los aspectos más importantes de la Seguridad en el Cloud Computing.

El artículo describe las principales características de este nuevo modelo de computación, así como sus principales tipologías y modelos de servicio. El Cloud Computing introduce numerosas ventajas en el mundo de las tecnologías de información principalmente asociadas a un significativo ahorro de coste. Al tratarse de un nuevo modelo de funcionamiento basado, principalmente, en la publicación de servicios en Internet y la completa externalización de los mismos, el Cloud Computing lleva asociado una serie de nuevas amenzas en lo que a Seguridad de la Información se refiere. Por otro lado, aspectos como la especialización de los proveedores de Cloud Computing y la compartición de recursos entre otros, proporcionan una serie de beneficios que también se analizan en este artículo.

Puedes encontrar el artículo completo en nuestra zona de Prensa

(ISC)² presenta los exámenes de CSSLP en versión online

El (ISC)² ha anunciado la posibilidad de realizar los exámenes de sus certificación CSSLP (Certified Secure Software Lifecycle Professional) en formato online. Los exámenes de la certificación CSSLP son los primeros que estarán disponibles en esta nueva modalidad basada en ordenador (computer-based) ya que la nueva estrategia de (ISC)² pretende lanzar, durante los próximos tres años, plataformas online (computer-based) para los exámenes de todas sus certificaciones.

La certificación CSSLP pretende frenar la proliferación de las vulnerabilidades en el desarollo de software mediante el establecimiento de mejores prácticas y la validación de las competencias individuales para abordar las cuestiones de seguridad en el ciclo de vida del software. Con neutralidad en lo que al lenguaje de programación se refiere, la certificación CSSLP es aplicable a analistas, desarrolladores, ingenieros de software, arquitectos de software, gerentes de proyectos, calidad, programadores y otras personas involucradas en el ciclo de vida del software.

El (ISC)² es una entidad internacional con reputado prestigio en la formación en el campo de la Seguridad IT. Internet Security Auditors tiene acuerdos de colaboración con (ISC)² en certificaciones como CISSP, CISSP-ISSMP, CISSP-ISSAP y CSSLP.

QSA Meeting en Madrid con el General Manager del PCI SSC

El pasado 22 de Marzo, Bob Russo, general manager del PCI SSC, visitó Madrid para reunirse con los integrantes de la industria de seguridad en pagos con tarjeta. Internet Security Auditors estuvo presente en esa reunión en la que se Bob nos informó de las actualizaciones de los estándares PCI así como sobre el enfoque del PCI SSC para el año 2010.

En la reunión también hubo tiempo para una sesión de preguntas y respuestas en las que los presentes (entidades QSAs, proveedores de servicios, comercios y entidades financieras) plantearon una serie de cuestiones sobre las distintas normas que Bob, muy amablemente, fué contestando.

Por último el General Manager del PCI SSC nos informó sobre los detalles de la próxima Reunión Anual de la Comunidad PCI que tendrá lugar en Barcelona durante los días 18, 19 y 20 del próximo mes Octubre.

Presentación del Top 10 OWASP 2010 en las FIST Conferences

El Chapter Leader de OWASP España y Director del Dpto. de Auditoría de Internet Security Auditors, Vicente Aguilera, presentó en las Conferencias FIST, celebradas en Barcelona el pasado 26 de febrero, el nuevo y revisado Top Ten de las vulnerabilidades más habituales para aplicaciones web a nivel mundial.

Este Top 10 publicado y mantenido por la Fundación OWASP (Open Web Application Security Project) y en el que Vicente Aguilera participa es uno de los documentos de referencia en la seguridad en desarrollo y estándares y normas de seguridad lo emplean como punto de partida para definir las mínimas consideraciones de seguridad con las que deben contar los desarrollos web. Estándares de seguridad como es el PCI DSS hacen referencia a este documento.

Puedes encontrar la presentación que realizó Vicente Aguilera en nuestra zona de Presentaciones.

Primeros resultados del Estudio sobre la seguridad en Redes Sociales

Durante el 2010, y en colaboración con diferentes empresas de Redes Sociales, se pretende realizar un estudio sobre la seguridad en la que se estudiarán las medidas existentes, la respuesta ante vulnerabilidades que aplica cada una de ellas y las vulnerabilidades que se detecten en cada una de ellas.

Los primeros resultados con la Red Social más usada del mundo -más de 400 millones de usuarios-, Facebook, han sido "prometedores".

Vulnerabilidades típicas como XSS han sido descubiertas y comunicadas para su corrección y algunas ya se han publicado abiertamente. La respuesta por parte de Facebook ha sido rápida y han incluído en su lista de colaboradores a un miembro de nuestro equipo.

A lo largo del año iremos publicando las vulnerabilidades identificadas y corregidas y, a finales de año, un informe resumirá los resultados obtenidos.

Éxito en la conferencia IBWAS'09

Alrededor de 40 participantes y varias decenas de estudiantes de tecnologáa y sus profesores asistieron a la conferencia Ibérica de Seguridad de Aplicaciones Web (IBWAS'09) que se celebró en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación, Universidad Politécnica de Madrid, España, los días 10 y 11 de diciembre de 2009.

La conferencia fue organizada por los capítulos español y portugués de OWASP y el objetivo principal era reunir a expertos en seguridad de aplicaciones, investigadores, educadores y profesionales de la industria para discutir los problemas y soluciones en materia de seguridad de aplicaciones.

Internet Security Auditors patrocinó el evento y participó muy activamente en el mismo. Vicente Aguilera, socio y Director de Auditoría de Internet Security Auditors y presidente del capítulo español de OWASP, intervino en la charla inagural del evento junto a Bruce Schneier y otros renocidos expertos en Seguridad Informática (vídeo). Del mismo modo miembros del departamento de Auditoría de Internet Security Auditors ofrecieron una conferencia sobre la implantación de firewalls de aplicación en entornos con requisitos de alta disponibilidad.

Publicamos el calendario de formación para el primer semestre

Continuando con su apuesta de ofrecer una formación de calidad en el ámbito de la Seguridad de la Información, Internet Securty Auditors presenta su calendario de cursos de formación para el primer semestre de 2010. Los acuerdos alcanzados con algunos de los principales institutos de más prestigio internacional, como (ISC)2, BSI o EC-Council, nos permiten impartir gran parte de sus programas de formación.

Los detalles (temarios, fechas, costes y localización) de todos los cursos ofrecidos los puedes encontrar en nuestra sección de Formación.