Servicios para el cumplimiento de PCI DSS de la mano de Sabre Travel Network y ANATO

El pasado 16 de Agosto, con el apoyo de Sabre Travel Network, uno de los mayores GDS (Sistemas de Distribución Global) del mundo, se realizó en el auditorio de ANATO (Asociación Colombiana de Agencias de Viajes y Turismo) en Bogotá una conferencia enfocada principalmente a concientización del cumplimiento de PCI DSS en las Agencia asociadas a IATA así como a la presentación de los servicios de cumplimiento diseñados específicamente para pequeñas y medianas agencias de viajes.

En la conferencia participó Daniel Fernández, Global Sales Manager de Internet Security Auditors, aclarando los aspectos más relevantes del cumplimiento y  responsabilidades desde el punto de vista de las agencias del sector turístico, donde nuestra gran experiencia marca la diferencia, siendo uno de los sectores con los que se cuentan más referencias en proyectos de cumplimiento de PCI DSS. La conferencia contó con una amplia representación de agencias de viajes en todo el territorio colombiano, participando de forma presencial y virtual.


Sabre Travel Network® es proveedor líder en el mundo de soluciones que optimizan el desempeño del negocio a lo largo de toda la industria de viajes, incluyendo agencias, corporaciones, proveedores, y desarrolladores. Sabre Travel Network® atiende a agentes de viajes, proveedores de viajes, sitios de viajes en línea, corporaciones y gobiernos en todo el mundo. Siendo el proveedor líder de soluciones para viajes y el sistema de distribución global más grande del mundo, teniendo un alcance global con un servicio personalizado y accesible.

ANATO es la mayor asociación colombiana de agencias de Viajes siendo una entidad sin ánimo de lucro y de carácter gremial que representa, defiende y promociona los intereses generales del turismo y de las Agencias de Viajes en Colombia. Creada el 20 de octubre de 1949, está conformada por Agencias Asociadas en todo el territorio nacional con 9 capítulos de representación, consolidando el sector y la agremiación como la entidad de más amplio reconocimiento nacional por el desarrollo de su gestión.

Por qué la SIC sanciona a empresas por incumplimiento de la Protección de Datos

Durante el año pasado, una ferviente inquietud se extendió en Colombia por la proximidad en la fecha límite para la inscripción de bases de datos de carácter personal en el Registro Nacional de Bases de Datos (RNDB) de la SIC.

La mayoría de empresas llevaron a cabo esta labor bajo una interpretación de la consecuencia de no hacerlo: si no registramos nuestras BBDD la SIC verá que no lo hemos hecho y nos inspeccionará.
La realidad no parece ser esta dado que las sanciones siguen produciéndose ante denuncias de ciudadanos y no como resultado de inspecciones de oficio. Es decir, el registro en el RNDB no parece ser una buena razón para creerse fuera de “peligro” para ser sancionado.

Analizando las sanciones del año 2016 y 2017 vemos que entre las que están en trámite o en firme tenemos catorce en el año 2016 y seis en lo que va del año 2017. Estas sanciones recayeron en dieciséis empresas y dos personas naturales expedientadas, es decir, algunas de esas sanciones fueron sobre la misma empresa.

De los dieciocho multados, nueve habían inscrito bases de datos en el RBND (esto no quiere decir que lo hicieran correctamente, pero ya lo comentaremos más adelante). Si descontamos que es más extraño las personas naturales que las declaren e incluso que sea normal que puedan tener bases de datos, siete empresas no habrían declarado sus bases de datos. Pero entonces la cuestión que se estarán haciendo es ¿y por qué fueron sancionadas esas siete empresas que tan diligentemente habían declarado sus bases de datos? Pues veámoslo.

Intentando centrarnos en el incumplimiento que desembocan en las sanciones, debemos prestar atención a cuatro artículos de la Ley 1581/2012 y a uno del Decreto 1074 de 2015 según se muestra en el gráfico siguiente:
Algo que merece especial atención y resulta, cuanto menos, curioso es que, tras cometer alguno de los errores o violaciones en el cumplimiento, quedando éste demostrado, sólo en dos casos de sentencias en firme, el sancionado reconoció la infracción, hecho que implicó la reducción de la sanción en un 25%. En ninguno de los otros se buscó una atenuación de la sanción reconociendo el error.

Para tener una idea de qué han implicado las diferentes sanciones en cantidades dinerarias, el volumen de estas (en SMLMV) el año 2016 ($689.455/SMLMV) sumó un total de 3.775 SMLMV ($2.602.692.625) y una media por sanción de 270 SMLMV aproximadamente, aunque hay que tener presente que las sanciones a personas físicas fueron las menores por lo que, eliminando estas, la media de sanciones a personas jurídicas fue de 340 SMLMV ($234.414.700) aproximadamente; en lo que llevamos de año 2017 ($737.717/SMLMV) suma ya 1.222 SMLMV ($901.490.174) con una media de 135 SMLMV aproximadamente ($100.165.575), con lo que la media de sanciones a razones sociales estos últimos 18 meses ha sido de unos 250 SMLMV ($183.212.017 en SMLMV del 2017). El detalle de la cantidad de las sanciones es el que la siguiente gráfica:

A parte de esto, comentábamos que el declarar bases de datos no quiere decir que esto lo estemos haciendo correctamente, la efervescencia tiene un problema, es llamativa, pero de corta duración, y eso es lo que a veces sucede cuando nos estresamos en ejecutar una tarea sin un estudio adecuado. De las siete empresas que comentábamos que habían declarado sus BBDD, claramente, algunas se han dejado llevar por esa efervescencia: algunas de ellas no tiene registrada ninguna base de datos de empleados por lo que, lógicamente, salta a la vista que ninguna empresa podrá funcionar sin ellos, y no podrá realizar procesos propios de cualquier empresa sin disponer de los datos personales de éstos, por lo tanto su registro de BBDD es claramente defectuoso; alguna otra tiene decenas de bases de datos, claramente asociadas a aplicaciones, no a usos, esto quiere decir que si cambiamos de la aplicación A a la B para gestionar un conjunto de datos personales, deberemos rehacer el trabajo de gestión de las BBDD; incluso, una de las sanciones, es un claro ejemplo de cómo no puede tratarse el cumplimiento de Protección de Datos como un mero asunto legal dado que el grave problema que desembocó en sanción fue debido a una deficiente implementación de medidas técnicas para la protección de la información que derivó en una publicación -cuya magnitud real pudo no haber sido identificada correctamente en el proceso investigativo- en Internet, etc.

Defectos de este tipo suelen estar asociados a no realizar un análisis previo adecuado sobre los repositorios de los datos personales de los que dispone la compañía a fin de definir las bases de datos a declarar de la forma más adecuada, no sólo para un registro, si no para el mantenimiento de la declaración y publicación de estas con una estrategia a largo plazo.

Las conclusiones que podemos extraer de este breve análisis sobre las sanciones (teniendo en cuenta que algunas de ellas todavía están en trámite y podrían sufrir cambios, incluso anularse a favor del demandado, aunque esto no resultaría muy esperable tras la revisión de todas ellas) son que:
  1. La declaración de Bases de Datos no es razón eximente en ninguna de las sanciones firmes o en trámite.
  2. Que la mayoría de sanciones se producen por el envío indiscriminado de comunicaciones comerciales, de forma abrumadora, en un período de tiempo prolongado.
  3. Que, en los casos anteriores, cuando los clientes ejercen sus derechos, las empresas no tiene realmente implantados procesos integrales de respuesta: en algunos casos se atienden las peticiones, se da respuesta tarde o de forma incorrecta, incluso se responde como si se hubiera tramitado pero los procesos internos, al ser incompletos demuestran que el trámite no ha sido realmente llevado a cabo.
  4. Que las empresas no disponían de las políticas de seguridad realmente implementadas y que los controles de seguridad y de protección de la información no eran adecuados.
  5. Que las personas encargadas de mantener la comunicación con los clientes no tienen la capacitación necesaria sobre qué se puede y no se puede hacer con la información personal, cual no debe transmitirse de forma pública o qué medios deben emplearse.
  6. Que las autorizaciones en los procesos de obtención de información (importante cuando esta se utilizara para comunicaciones publicitarias) no se custodian, requieren o notifican a los clientes de forma adecuada sobre el uso de esa información.
Claro está, no todos los errores anteriores se producen en todas las ocasiones. En algunos casos sólo se da uno de ellos, en otros, algunos más. Todo ello muestra que la implementación correcta de los requerimientos exigidos por la Ley 1581/2012, los reglamentos y otras regulaciones relacionadas, necesitan desarrollarse mediante un proceso global, holístico en toda la compañía que aborda un proyecto de este tipo, capacitando a su personal, a todo el que pueda llegar a estar involucrado en el manejo de datos personales, y, además, tener presente que ni la Ley es un asunto puramente de las áreas legales, ni lo es de seguridad de la información.

Revisando los importes medios de las sanciones de este último año y medio, podríamos hacer un ejercicio sencillo y es pensar si realmente no se podría haber realizado un proceso de adecuación y cumplimiento robusto por, digamos, el 50% de lo que supuso la media de sanción a las compañías afectadas, sin tener en cuenta el costo del proceso legal cuando éste puede extender más allá de año. Posiblemente, la respuesta sea en muchos casos afirmativa.


Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors

PCI DSS y Protección de Datos con la Asociación Colombiana de Empresas de Contact Center y BPO

El próximo 30 de Agosto en colaboración con la Asociación Colombiana de Empresas de Contact Centers y BPO se realizará en Bogotá un ciclo de conferencias sobre Ciberseguridad enfocadas principalmente a concienciación de la norma PCI DSS y Ley de Protección de Datos abordando temas como:
  • Protección de Datos y metodologías de implementación de la Ley 1581/2012.
  • PCI DSS, justificación de cumplimiento de la normativa.
  • Problemáticas particulares de cumplimiento de PCI DSS en CC&BPO.
  • Transferencia internacional de datos y cumplimiento de PCI DSS con proveedores Cloud.
En las conferencias participarán nuestros ponentes expertos Daniel Fernández, David A. González y Javier R. Amaya, además de nuestros partners legales de Summa-Consultores, Esteban Jaramillo y Laura Bernal, y como objetivo realizar presentaciones de alto contenido formativo sobre temáticas particulares del sector de CC&BPO en cuanto al cumplimiento de la legislación en Protección de Datos y PCI DSS.

La ACDECC&BPO es la única entidad dedicada exclusivamente al desarrollo de la Industria de BPO y de las empresas asociadas a su cadena de valor en Colombia como: Proveedores de tecnología, proveedores de conocimiento y proveedores de infraestructura, CSC, entre otros y agrupa a más de 50 empresas, siendo el principal referente de la industria a nivel nacional e internacional con la organización del encuentro sectorial más importante en Latinoamérica del sector.

El evento estará abierto a todos los interesados y el registro deberá realizarse a través de la ACDECC&BPO, contando con un aforo limitado a 100 personas, y tendrá lugar en el auditorio del Edificio ADVANCE en la dirección Calle 99 # 7A-77.

Esperamos sea de total éxito, una jornada completamente productiva y llena de grandes proyecciones en Seguridad de Sistemas de Información.

Más informacion y contenido:
https://gallery.mailchimp.com/224eb707621d0bf4e0960cab4/files/7c46d4f1-3082-48ee-b6d9-29b6fdd7148a/brochure_security_2.compressed.pdf

Nueva versión Tinfoleak 2.1 "SHA2017 Edition"

Las redes sociales son una fuente de información imprescindible en procesos de análisis e investigación con distintos propósitos. Entre estas redes, Twitter destaca por la actividad de sus usuarios dada la facilidad de uso y su simplicidad.

Con idea de disponer de una herramienta SOCMINT (Social Media Intelligence) que permita automatizar la extracción de información en Twitter y facilitar el análisis posterior para la generación de inteligencia, Vicente Aguilera Díaz ha desarrollado la herramienta Tinfoleak.

En esta versión 2.1 "SHA2017 Edition", se han incorporado cuatro nuevas funcionalidades:
  • Análisis basado en el timeline global
  • Análisis de followers y friends
  • Análisis de frecuencia de palabras
  • Análisis de likes
También hay cambios “menores”, principalmente:
  • Ligeros cambios en aspectos estéticos del reporte HTML
  • Corrección de bugs


 Tinfoleak v2.0
Información básica sobre el usuario:
  • Imagen del perfil.
  • Fecha de creación de la cuenta.
  • Estado de verificación de la cuenta.
  • Nombre en Twitter.
  • Nombre completo de usuario.
  • Descripción de la cuenta.
  • ID de Twitter.
  • Número de seguidores.
  • Número de usuarios a los que sigue.
  • Número de tweets enviados y promedio de tweets por día.
  • Número de likes.
  • Número de listas.
  • URL extendida.
  • Característica de geolocalización.
  • Ubicación.
  • Zona horaria.
  • Idioma.

Aplicaciones utilizadas por el usuario:
  • Aplicaciones utilizadas por el usuario para publicar tweets.
  • Número de tweets publicados por el usuario desde cada una de las aplicaciones.
  • Porcentaje de uso de cada aplicación respecto el total de aplicaciones.
  • Fecha del primer uso de la aplicación.
  • Primer tweet publicado con cada aplicación.
  • Fecha del último uso de la aplicación.
  • Último tweet publicado con cada aplicación.
  • Número total de aplicaciones identificadas.


Análisis de hahstags:
  • Hashtags utilizados, fecha, hora, número de retweets, número de likes, usuario que publica el hashtag, imagen de perfil del usuario que publica el hashtag, ubicación del usuario que publica el hashtag y consulta de los tweets publicados por el usuario conteniendo hashtags.
  • Para cada hashtag utilizado por el usuario, se muestra el periodo de tiempo en el que fue publicado, el número de retweets, el número de likes, y el número de veces que fue utilizado.
  • Identificación de los diez hashtags más utilizados, incluyendo periodo de tiempo en el que fue publicado, número de retweets, número de likes, y consulta de hashtag.
  • Número de hashtags identificados.
 

Análisis de menciones de usuario:
  • Menciones de usuario, fecha, hora, número de retweets, número de likes, usuario que publica las menciones, imagen del perfil del usuario que publica las menciones, ubicación del usuario que publica las menciones y consulta de los tweets publicados por el usuario conteniendo menciones de usuario.
  • Para cada usuario mencionado, se muestra el periodo de tiempo en el que fue mencionado, el número de retweets, el número de likes, y el número de veces que fue utilizado.
  • Identificación de los diez usuarios más mencionados, incluyendo periodo de tiempo en el que fue mencionado, número de retweets, número de likes, nombre del usuario y consulta del usuario mencionado.
  • Número de menciones identificadas.

 

Análisis de LIKES:
  • Tweets marcados como “like”, incluyendo fecha y hora de la publicación del tweet, usuario que lo publica e imagen del perfil de dicho usuario, contenido multimedia publicado, texto y consulta de cada tweet.

Análisis del contenido de Tweets:
  • Se muestran los tweets publicados por el usuario que cumplen el filtro especificado (búsqueda por palabras clave, retweets y contenido multimedia).
  • Para cada tweet, se muestra la fecha, hora, el usuario que publica el tweet, la imagen del perfil del usuario, el nombre del usuario, la ubicación del usuario, texto y el contenido del tweet.
  • Número de tweets identificados.

Análisis de Metadatos:
  • Se muestran metadatos asociados a las fotografías del perfil, o de las imágenes publicadas por los usuarios.

Análisis de contenido multimedia:
  • Se muestran las imágenes y videos publicados por el usuario, junto a la fecha y hora de su publicación, la aplicación utilizada, el usuario a quien se ofrece respuesta (si la hubiera), el número de retweets y likes, así como la consulta del tweet donde se publica el contenido multimedia asociado.
  • Número de imágenes y videos publicados por el usuario.
  • Descarga de todo el contenido multimedia publicado por el usuario.

Análisis de la geolocalización de un usuario:
  • Fecha y hora de la publicación del tweet.
  • Coordenadas y localización desde las que se publicó el tweet.
  • Información sobre el contenido multimedia (fotografía o video) contenido en el tweet.
  • Acceso al tweet geolocalizable.
  • Aplicación utilizada para la publicación del tweet.
  • Consulta de ubicación asociada a las coordenadas desde las que se publicó el tweet.
  • Ruta seguida por el usuario (incluyendo periodo de tiempo en el que permanece en cada ubicación, y número de tweets que envía desde cada una de ellas).
  • Localizaciones más visitadas por el usuario, incluyendo periodo de tiempo desde el que publica tweets desde cada localización, número de tweets que envía, días de la semana en los que ha publicado tweets desde cada localización, día de la semana que más publicaciones ha realizado, coordenadas de cada localización y nombre de la ubicación.
  • Generación de fichero de salida en formato KML para ser importado desde Google Earth, mostrando los tweets y el contenido multimedia publicado desde cada ubicación.
 

Análisis basado en coordenadas geográficas
  • Identificación de tweets publicados en el área geográfica especificada. Posibilidad de filtrar resultados que cumplen el filtro especificado (búsqueda por palabras clave, retweets y contenido multimedia).
  • Fecha, hora, coordenadas geográficas, contenido multimedia publicado, y aplicación utilizada en la publicación de cada tweet, así como el usuario geolocalizado y consulta del tweet asociado.
  • Identificación de usuarios geolocalizados, incluyendo fotografía del usuario, su identificador en Twitter, así como sus identidades digitales en Instagram, Foursquare y Facebook.
  • Identificación de usuarios etiquetados en el área geográfica especificada. Se incluye el usuario etiquetado, el usuario que lo ha etiquetado, la fecha y hora de publicación del tweet, la fotografía en la que se ha etiquetado al usuario, y las coordenadas geográficas donde se publicó el tweet.
  • Análisis de contenido multimedia publicado en el área geográfica especificada.
  • Análisis de hashtags y menciones realizadas en el área geográfica especificada.
 
 


Análisis basado en el timeline global
  • Identificación de tweets publicados en el timeline global (no asociado a un usuario en particular) y con posibilidad de filtrar resultados que cumplen el filtro especificado
    (búsqueda por palabras clave, retweets y contenido multimedia).
  • Fecha, hora, consulta de tweet publicado, contenido multimedia, aplicación utilizada, así como la imagen de perfil del usuario y su identificador en Twitter.
  • Número de tweets identificados.

Análisis de conversaciones entre usuarios
  • Se muestran las conversaciones que ha mantenido el usuario especificado con el resto de usuarios.
  • Los tweets se agrupan por conversación y se muestran ordenados en base al tiempo, mostrando una apariencia de chat.
  • Las conversaciones pueden ser filtradas en base a usuarios, fechas, o palabras clave.
  • Se muestra el número de conversaciones y el número de mensajes por conversación.

Análisis de Followers:
  • Se genera un fichero CSV con información detallada
    sobre los followers del usuario especificado.
  • Para cada follower, se muestra su identificador de Twitter, nombre de usuario, descripción, URL de la imagen del perfil, URL de la imagen de background, fecha de alta del usuario,
    localización, zona horaria, estado de la geolocalización, número de followers, número de friends, número de likes, número de listas en las que se ha incluido, estado de la verificación de la cuenta e idioma configurado.
  • Posibilidad de limitar los resultados al número de followers especificado.
  • Descarga de la imagen del perfil de cada follower.
 


Análisis de Friends:
  • Se genera un fichero CSV con información detallada sobre los friends del usuario especificado.
  • Para cada friend, se muestra su identificador de Twitter, nombre de usuario, descripción, URL de la imagen del perfil, URL de la imagen de background, fecha de alta del usuario, localización, zona horaria, estado de la geolocalización, número de followers, número de friends, número de likes, número de listas en las que se ha incluido, estado de la verificación de la cuenta e idioma configurado.
  • Posibilidad de limitar los resultados al número de friends especificado.
  • Descarga de la imagen del perfil de cada friend.
 


Análisis de frecuencia de palabras:
  • A partir del timeline de un usuario, o un timeline global, se identifican las palabras que aparecen en cada tweet y se analiza el número de palabras más frecuentes que haya definido el usuario.
  • En el análisis, se descartan menciones de usuario y hashtags, así como “palabras vacías” en inglés y español.
  • Se muestra cada una de las palabras más frecuentes, junto al número de ocurrencias, el porcentaje de ocurrencias, así como la fecha de la primera y última ocurrencia de cada palabra.



Análisis de Identidades Digitales
  • Identificación de la presencia del usuario en otras redes sociales
  • Se muestra la red social en la que se ha identificado al usuario, el identificador en dicha red, nombre y fotografía que utiliza en cada red social, así como información adicional.
  • Se analiza la presencia del usuario en las siguientes redes sociales:
  • Twitter, Instagram, Foursquare, Facebook, LinkedIn, Runkeeper, Flickr, Vine, Periscope, Kindle, Youtube, Google+ y Frontback.



 Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.