Vicente Aguilera participa en el ciberdebate ¿Qué es OWASP? en el canal Palabra de Hacker

Vicente participará en la mesa de ciberdebate que se retransmitirá en directo desde el canal de Youtube Palabra de Hacker.

Palabra de Hacker es un canal dedicado al mundo de la seguridad informática donde el verbo hackear y el sustantivo seguridad se dan la mano para aprender con los mejores profesionales y construir entre todos una red más segura. Palabra de hacker acerca, a través de YouTube, el mundo de la ciberseguridad mediante entrevistas y hangouts en directo y con el foco abierto a las redes sociales para formar una comunidad cibersegura e interactiva.

En el ciberdebate se explicará en qué consiste OWASP, cuáles son los pilares fundamentales de la iniciativa, porqué es tan importante que las aplicaciones sigan unos estándares/consejos de seguridad desde su diseño, cómo es la comunidad que sustenta el proyecto, qué tipo de eventos se organizan, así como diversas cuestiones que surgirán durante el debate y a la que se sumarán las preguntas que puedan lanzar los usuarios que visualicen el directo.

Más info:
https://www.yolandacorral.com/ciberdebate-que-es-owasp

Vicente Aguilera participa como ponente en el evento GigaTIC

Una vez más itSMF España en Cataluña e ISACA Barcelona, unen sus fuerzas para celebrar el que es ya el evento más consolidado y de mayor relevancia en Cataluña en materia de Mejores Prácticas en Gobierno y Gestión de Servicios TIC, unificando en un solo congreso anual, los anteriormente bi-anuales denominados CIMA y gigaTIC, en “gigaTIC 2017”.

El Congreso gigaTIC 2017, bajo el lema "Más allá del futuro: Negocio, tecnología y robótica", se celebrará el día 26 de abril de 2017, en el auditorio de Telefónica Diagonal 00 de Barcelona, donde se hablará y se compartirán contenidos y mejores prácticas de Gobernanza y Gestión de Servicios TI, (Cobit tm 5, ITIL® 2011, ISO / IEC 20000, ISO 38500, ISO 27000, Lean IT, Ciber- Seguridad, Big Data, Smart Cities, Cloud Computing , etc.), se presentarán casos prácticos de Gobernanza y Gestión y se debatirán los temas más candentes de la profesión (Innovación, Factor Humano y Cambios Organizativos, Movilidad, Tendencias en la Era Digital, etc.), con posibilidad de conexión simultánea con Ibero América.

Vicente Aguilera participará como ponente en el evento con la presentación: Strength level before hacking - Técnicas de evaluación de Seguridad en el software. En la que presentará una evolución de las técnicas de seguridad en el software, desde las clásicas  (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio.

Más info:
http://www.itsmf.es/index.php?option=com_content&view=article&id=2518

IATA dejará de operar con las agencias que no cumplan con PCI DSS

Desde principios de este año, IATA ha estado notificando a las agencias de viajes asociadas en todo el mundo sobre la necesidad de implementar el cumplimiento de PCI DSS en sus operaciones de Medios de Pago. De hecho, ya en la Resolución 854 del 1 junio de 2016 (se recogía este punto, y que venía de una resolución anterior). En una de sus últimas notificaciones, tras la reunión de su grupo de trabajo del IATA's Passenger Agency Conference Steering Group (PSG) se decidió modificar las fechas de cumplimiento.

Esta nueva ACTA del 3 de abril es muy relevante dado que confirma la importancia que IATA concede a que las agencias asociadas cumplan con PCI DSS, pero también asume que el cumplimiento de esta norma no es trivial e implica cambios importantes para éstas. Por tanto, el cumplimiento obligatorio de PCI DSS se retrasa del 1 de junio de 2017 al 1 marzo de 2018.

A la pregunta principal de ¿qué implicará el no cumplimiento llegada la fecha? IATA deja claras las diferentes responsabilidades, y entre estas se encuentra la posibilidad de impedir seguir operando a la agencia incumplidora, pero hay más:
  • Pérdida de confianza de los clientes.
  • Repudio en ventas.
  • Pérdidas por fraude.
  • Mayores inversiones por un cumplimiento tardío.
  • Costes legales, judiciales y de compensación a terceros.
  • Multas y taxas.
  • Terminación de operaciones con pago electrónico.
  • Finalización del negocio.

Sin duda alguna, IATA le da la importancia que se merece a PCI DSS y, en el nuevo microsite de "PCI DSS & Travel Agent Compliance Requirements" las agencias van a poder encontrar información relevante en cuanto al cumplimiento.

IATA está haciendo esfuerzos importantes intentando concienciar a las agencias en los puntos sensibles de compromiso y las situaciones en las cuales pueden producirse el robo de datos de tarjetas de pago como son:
  • Compromiso de lectores de tarjetas
  • Acceso a documentos en papel que incluyen los datos de tarjeta.
  • Datos de pago en Bases de Datos de sistemas de pago.
  • Cámaras ocultas en sistemas de introducción de PIN en ATM o en PoS
  • Accesos ilegítimos en redes cableadas o inalámbricas.

¿Cómo cumplir con PCI DSS y los requerimientos de IATA?
IATA establece un proceso de 3 pasos que deben seguir las Agencias:

1. Revisar los requerimientos de las marcas de tarjetas.
Cada agencia deberá validar con su entidad adquiriente los procedimientos particulares asociados a las franquicias de tarjetas.

De hecho, este punto será sencillo dado que los adquirientes suelen unificar el que el criterio debe pasar por un ejercicio de evaluación que deberá tener en cuenta el tipo de procesos de pago que se realizan.

2. Evaluación con un QSA.
Será necesario contar con una empresa certificada QSA (Qualified Security Assesor) por el PCI SSC para llevar a cabo la evaluación de cumplimiento.

Es importante tener presente que en la sección de Preguntas Frecuentes del microsite sobre el cumplimiento de PCI DSS y en el documento ampliado de FAQs de IATA se menciona la existencia de los SAQ (Self Assesment Questionarie o Cuestionarios de AutoEvaluación). Cuando las agencias (que será en la mayoría de los casos) no deban llevar a cabo la Auditoría on-site, será necesario disponer del SAQ apropiado y será conveniente (si no necesario) que este esté supervisado y firmado por un QSA que garantice que el contenido es correcto y la agencia está reportando correctamente su cumplimiento.

Según el criterio de IATA, el QSA aportará en la evaluación, además:
  • Verificar toda la información técnica facilitada por el comercio (la agencia) o el proveedor de servicios.
  • Disponer del criterio evaluador adecuado para confirmar que el cumplimiento es el correcto.
  • Proveer el soporte y la guía durante el proceso de implementación.
  • Llevar a cabo las revisiones en sitio durante el proceso de Evaluación cuando sea requerido.
  • Seguir los procedimientos exigidos por PCI DSS en todas las actividades de evaluación.
  • Validar que el ámbito de cumplimiento es correcto.
  • Evaluar los controles compensatorios viables e implementados.
  • Redactar la documentación final de Reporte del Cumplimiento (RoC y AoC)

3. Reporting.
Los informes de cumplimiento son las herramientas documentales mediante las cuales los comercios y otras entidades (en este caso agencias y/o proveedores de servicio), reportan su cumplimiento con PCI DSS a las marcas de tarjetas o a sus correspondientes entidades financieras adquirientes. Estos informes deberán ser entregados a IATA como evidencia del cumplimiento.
Es por esto que resulta de suma importancia que un reporte de cumplimiento defectuoso podría poner en riesgo las operaciones de la agencia en condiciones de compromiso de datos de pago por llegar a suponer un reporte fraudulento de su cumplimiento (fuera por error u omisión). Dependiendo de la cantidad de transacciones, la agencia deberá entonces tener en cuenta el tipo de reporte a presentar:
  • El Atestado de Cumplimiento de PCI DSS (AOC) que deberá ser cumplimentado y firmado por el QSA que realizó la tarea.
  • El Cuestionario de Auto-Evaluación (SAQ) adecuado según el tipo de procesos de pago, firmado por un oficial o representante autorizado de la compañía (y que podrá ser supervisado, validado y firmado también por un QSA).
  • El resultado del escaneo de vulnerabilidades trimestral, que deberá ser realizado por un ASV (Approved Scaning Vendor) homologado también por el PCI SSC.
Cómo ayudamos a las Agencias
Internet Security Auditors cuenta con más de 10 años de experiencia en la implementación de los controles de PCI DSS en el sector del turismo, siendo España uno de los países donde éste es uno de los más relevantes en el PIB y la cantidad y diversidad de empresas del sector es de los mayores a nivel mundial.

El hecho de haber formado y ayudado a multitud de empresas para la AutoEvaluación, la supervisión y soporte de reporte mediante los SAQs, su selección y cumplimentación, pero también en procesos complejos de implementación y auditoría o de análisis de vulnerabilidades trimestral, nos permite cubrir, como empresa certificada como QSA, PA-QSA y ASV cualquier escenario, donde uno de las primeras acciones será la de definir procesos de acotación y reducción del ámbito de cumplimiento.


Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors