Este servicio lo ofrecemos con el objetivo de identificar y medir las diferencias existentes entre los requerimientos mínimos de seguridad establecidos por el PCI DSS y lo entregado por los sistemas de seguridad de la información de la organización. Se realiza entonces en la organización, un análisis exhaustivo del manejo que le dan a la información en los procesos relacionados con tarjetas crédito y débito de la organización. Lo anterior es realizado mediante la comparación de dos variables. La primera variable (X) es el estado actual y la segunda variable (Y) es el estado deseado. El estado actual está basado en los controles implementados actualmente y el estado deseado está basado en los requerimientos del PCI DSS:

Los beneficios ofrecidos a nuestros clientes con este servicio son:

• Proveer una guía para la toma de decisiones acerca de los procesos y controles técnicos a implementar.
• Provee un método para medir el cumplimiento.
• Definir un plan de acción de los controles a implementar, antes de llevar a cabo la evaluación por parte de una QSA.

IQ Information Quality Ltda. está acreditada por el PCI SSC, para realizar las evaluaciones a las organizaciones que requieren obtener el cumplimiento del PCI DSS. Es por eso, que realizamos en las empresas de nuestros clientes esta evaluación para identificar los controles no cubiertos por la organización y definir un plan de acción que permita en un periodo definido cerrar las no conformidades y de esta manera poder obtener el reporte de cumplimiento para que nuestros clientes reciban la certificación.

Este servicio lo ofrecemos para todas aquellas organizaciones clasificadas como comercios o proveedores de nivel II, en donde no es necesario realizar una evaluación en sitio. Para estas organizaciones proveemos el soporte necesario para la elaboración del un auto cuestionario y el acompañamiento de la elaboración del plan de acción de los controles que resulte no estar cubiertos en la organización. Adicionalmente en alianza con la ASV Qualys realizamos el scan de vulnerabilidad de la red perimetral.

De acuerdo con la necesidad específica de nuestros clientes como organización, IQ Information Quality les colaborará en la determinación de las políticas y procedimientos necesarios para implementar un marco de gestión de seguridad de la información. Estas políticas y procedimientos están alineadas con mejores prácticas internacionales como: PCI DSS e ISO 27001. Con este marco nuestros clientes obtendrán la base de preparación para una posterior certificación en las normas mencionadas, estar acorde con la legislación nacional vigente o simplemente si están interesados en dar un buen manejo a la seguridad de la información sin querer llegar a una certificación específica.

En cuanto a la definición de las políticas y procedimientos, las áreas incluyen pero no se limitan a:

• Cifrado (Encryption).
• Antivirus.
• Control de acceso físico y lógico.
• Destrucción y retención de información.
• Respaldos (backups).
• Manejo y respuesta a incidentes.
• Administración de vulnerabilidades.
• Desarrollo de software.
• Continuidad y recuperación ante desastres.
• Roles y responsabilidades.
• Administración de cuentas y contraseñas.
• Líneas base de configuración de software.

El proceso para la creación de las políticas y procedimientos implica etapas como:

• FASE UNO: Conocimiento de las necesidades de la organización mediante la recolección de la documentación relacionada con procesos, recurso humano, infraestructura tecnológica, cumplimiento legal y regulatorio. Además, se realizarán entrevistas especializadas con el ánimo de recopilar información confiable para ajustar el trabajo a las necesidades puntuales de la organización.
• FASE DOS: Con base en la información obtenida en la primera fase, IQ Information Quality documentará las políticas y procedimientos que necesita la organización para el propósito que requiera, bien sea certificarse o poseer mejores prácticas para el manejo de su información.
• FASE TRES: IQ Information Quality le entregará a la organización, los documentos generados en la segunda fase, para que se realice la verificación contra los objetivos propuestos y si es necesario realizar el ajuste de acuerdo a las sugerencias convenidas.
• FASE CUATRO: Se realizará la entrega formal de las políticas y procedimientos para su organización. Si dado el caso, necesita que le colaboremos con la implementación de las políticas y procedimientos estamos en la capacidad de suministrarles a nuestros clientes este servicio adicional.
• FASE CINCO (Opcional): Si desea que se realice una revisión posterior de las políticas y procedimientos implementados, para por ejemplo, ajustarlos con nuevas leyes y regulaciones, requerimientos contractuales o cambios en la organización, nosotros podemos colaborar efectivamente con estas actividades, todo encaminado en mantener la seguridad de información de nuestros clientes.

Un test de Penetración es un ataque dirigido y controlado hacia componentes de infraestructura tecnológica para revelar malas configuraciones y vulnerabilidades explotables, con este test se evalúa en mayor profundidad las vulnerabilidades encontradas en el Análisis de Vulnerabilidades para cuantificar las amenazas.

Entendiendo la importancia de este test, le ofrecemos a nuestros clientes un servicio en donde realizamos un test de Penetración explotando las vulnerabilidades al utilizar técnicas y herramientas de los hackers, códigos maliciosos, entre otros, mostrando las implicaciones de una intrusión y a su vez demostrando a la organización lo que un verdadero atacante podría hacer bajo las actuales circunstancias, configuraciones y vulnerabilidades encontradas en el entorno tecnológico de nuestros clientes.

Durante nuestros test, evaluamos los procesos y tecnologías, intentando evadir los controles implementados para obtener acceso a los activos de información críticos dentro del entorno informático de nuestros clientes. El éxito de estos controles de seguridad es crucial, para poder obtener un continuo éxito de la estrategia de seguridad y del cumplimiento del PCI DSS.

Nuestros consultores usan las mismas herramientas y técnicas usadas por hackers para identificar y validar las vulnerabilidades del ambiente IT de nuestros clientes.

Las fases para cumplir con este servicio son:

• Recopilación de Información.
• Identificación de objetivos.
• Enumeración de objetivos.
• Identificación y Análisis de Vulnerabilidades.
• Explotación de Vulnerabilidades.

La identificación y remediación oportuna de las vulnerabilidades en la infraestructura tecnológica es algo que toda organización necesita llevar a cabo para evitar que ataques externos (ciberdelincuentes) y usuarios internos (empleados malintencionados o enojados con la organización) exploten dichas vulnerabilidades y comprometan a la organización. La Gestión de Vulnerabilidades son las actividades concernientes a identificar vulnerabilidades, analizarlas, categorizarlas según su impacto para el negocio, remediarlas y reportarlas a los interesados.

IQ Information Quality Ltda. está aliado con QUALYS para poder prestar los servicios de Gestión de Vulnerabilidades, ya sea para obtener el cumplimiento con PCI DSS o para establecer controles de gestión de vulnerabilidades de su SGSI basado en ISO 27001.

Estos servicios, le permiten a nuestros clientes asegurar su infraestructura IT y a su vez obtener un mapa y listado completo y detallado de su nivel de exposición a los riesgos latentes (tanto internos como externos). Analizamos sistemáticamente las vulnerabilidades encontradas en la infraestructura tecnológica de nuestros clientes para determinar el nivel de riesgo asociado con las vulnerabilidades y listar las recomendaciones para brindar un apoyo en la mitigación del riesgo, para que de esta manera nuestros clientes logren alcanzar los objetivos de seguridad de información.

Las áreas de trabajo de nuestra solución de Análisis de Vulnerabilidades son:

• Red: Vulnerabilidades vistas desde redes (Lan, Wan, Internet, etc.), switches, APs, routers, RAS, firewalls, etc.
• Sistemas Operativos: Se evalúan las vulnerabilidades asociadas a configuraciones internas de sus servidores.
• Web:Se evalúan las vulnerabilidades actuales y potenciales de las plataformas web de su empresa (Web Aplication Vulnerabilities), basados en la metodología OWASP. *Ver servicio de Análisis de Vulerabiliad en Aplicaciones Web.
• Bases de datos:Búsqueda de malas prácticas y vulnerabilidades en configuraciones de bases de datos.

Para este análisis se utiliza la metodología internacional OSSTMM, OWASP, al igual que herramientas comerciales (la galardonada QualysGuard Vulnerability Management ). Permitiendo entregar a nuestros clientes la siguiente información:

• Notificación inmediata de las vulnerabilidades de Alto Impacto para el negocio, el cómo y el cuándo fueron descubiertas.
• Reportes técnicos y ejecutivos detallando las pruebas realizadas y los hallazgos
• Profesionales disponibles durante el análisis para discutir cualquier asunto o hallazgo
• Reporte final que comprende todas las actividades y hallazgos durante el curso del análisis.

- Resumen Ejecutivo

- Visión global del análisis

- Hallazgos técnicos

- Matriz de Impactos por las vulnerabilidades encontradas

- Conclusiones

- Recomendaciones

Adicionalmente nuestros clientes obtendrán los siguientes beneficios al obtener este servicio:

• Obtener un análisis de Vulnerabilidades con una visión detallada de las vulnerabilidades existentes en su infraestructura IT.
• Desarrollar una estrategia de remediación proactiva. Enfocándose en elementos específicos dentro de su infraestructura o la infraestructura completa.

Para garantizar la seguridad de la información es importante contar con la participación de las personas que acceden a los activos de información; para lograr involucrar a estas personas es necesario realizar una concientización y entrenamiento en seguridad de la información, mediante la cual podrán conocer sus responsabilidades y la manera correcta de realizarlas, además de crear en el recurso humano la sensibilidad de las amenazas y vulnerabilidades del sistema de computo y a reconocer la necesidad de proteger la información y los medios utilizados para su procesamiento.

IQ Information Quality Ltda. ofrece los servicios de concientización, capacitación y entrenamiento en distintas modalidades y niveles que se traducen en una amplia oferta de cursos, seminarios, charlas y programas que cubren todos los aspectos actuales de la seguridad de la información.

Los entregables de este servicio son:

• Informe de diagnóstico.
• Diseño de la campaña.
• Plan de medios
• Mecanismos de monitoreo y evaluación.

La evaluación de riesgos en un entorno de datos de tarjetahabiente (CDE) es uno de los principales esfuerzos para lograr cumplimiento con la norma PCI DSS. Es por esto que IQ Information Quality Ltda., entrega a sus clientes una imagen real de su situación frente al riesgo de la información y de su ambiente de datos de tarjetahabiente (CDE). Priorizamos y clasificamos los riesgos únicos de su negocio, junto con la infraestructura tecnológica frente a los posibles compromisos que pueden sufrir los datos sensibles del tarjetahabiente, que en últimas es la información de los clientes.

Nuestra metodología de Gestión de Riesgos es flexible, escalable y acorde al tipo de negocio que se esté trabajando, considera a su vez las realidades empresariales y el entorno de las amenazas en el que navega el sector de medios de pago electrónico. Este enfoque es pragmático y aplicado, basado en experiencias del mundo real, apoyados en estadísticas y estudios de consultoras de investigación internacional y los reportes emitidos por las propias marcas de tarjetas de pago.

Nuestros servicios de gestión de riesgos CDE se ofrecen de acuerdo a las necesidades de la norma PCI DSS de cada negocio. Contamos con un equipo de ingenieros consultores que proveen un enfoque basado en las mejores prácticas internacionales, incluyendo:

• BS 7799-3
• ISO 27005
• NIST 800-30
• NTC 5254 - AS/NZ 4360

El objetivo con la prestación de este servicio es: determinar la posibilidad para las empresas, de un compromiso de datos y su impacto donde dicho compromiso ocurra. Además determinar cuál es el riesgo por no cumplir con los requerimientos de PCI DSS y mostrar a la dirección los costos por el no cumplimiento.

Los reportes entregados serán la piedra angular para las políticas y demás procedimientos de nuestros clientes, así como apoyo para la justificación de los controles compensatorios que se puedan generar durante el proceso.

Nuestro servicio de análisis de vulnerabilidades de aplicaciones WEB le entrega a nuestros clientes una visión detallada de la efectividad de los controles de seguridad establecidos para proteger las aplicaciones web de ataques. IQ Information Quality Ltda. en conjunto con QUALYS y WhiteHat y su plataforma avanzada de análisis de vulnerabilidades para plataformas web y aplicando el proyecto OWASP (Open Web Application Security Project), tiene un completo servicio para evaluar la seguridad y vulnerabilidades de las aplicaciones WEB de nuestros clientes.

Este servicio incluye revisiones que permite detectar:

• Parámetros inválidos de entrada de datos.
• Cross Site Scripting (XSS).
• Cross Site Request Forgery (CSRF)
• SQL and Command Injection
• Buffer Overflows, etc

Descubrir Datos de Tarjetahabiente (CHD) es uno de los pasos claves e iniciales necesarios para apoyar el cumplimiento con el estándar de seguridad PCI DSS. Claramente PCI prohíbe almacenar datos de tarjetahabiente sin cifrar.

El Servicio de Descubrimiento de Datos (SDD) de Tarjetahabiente va dirigido a conocer dónde existen datos de tarjetahabiente en la organización, y no solamente en sistemas de archivos, sino CHD almacenado en la mayoría de bases de datos comerciales y open source, discos duros removibles y unidades compartidas. En muchas ocasiones, por el tamaño y/o la complejidad de los procesos de negocio, las organizaciones no saben en dónde almacenan CHD (incluyendo Tracks, PIN, CVV) lo que imposibilita una definición clara del alcance de una valoración PCI, la no protección adecuada de los datos, y en últimas, un posible incumplimiento con la norma PCI.

Conocer exactamente en dónde se almacenan datos de tarjetahabiente permite que una organización controle el almacenamiento de CHD, y no se lleve sorpresas en momentos de auditorías o valoraciones PCI DSS realizadas por una QSA.

Características principales:

• Descubre CHD en archivos Word, Excel, PDFs y bases de datos. El descubrimiento no se limita al tipo del archivo, permite descubrir CHD en todo el disco duro.
• Descubre CHD en unidades de red.
• Descubre CHD en todo el dominio de la red, desde un único lugar sin instalar ningún tipo de agentes en los PCs, ni laptops, ni en servidores. (agentless)
• Descubre CHD de forma rápida y consumiendo pocos recursos computacionales. No sobrecarga recursos de red ni de procesamiento (CPU), los usuarios pueden seguir sus actividades normalmente, sin impacto.

Sistemas operativos soportados: Windows (Todas las versiones), AIX, Solaris, BSD.

Bases de datos soportadas: Oracle, Sybase, MySQL, SQL Server, PostgreSQL.

Sistemas de archivos: Dominio Windows, carpetas compartidas, unidades de red mapeadas.

Requerimientos técnicos:

• Sistema operativo: Windows 2003 (SP1, Server Edition) o Windows XP (SP2/SP3 Laptop Edition).
• Procesador y memoria mínima recomendada: Dual/Quad Core 2.0 GHz. RAM 4GB.
• Disponibilidad en disco duro: Mínimo 30 GB.

El Servicio de diseño de SGSI permite a las organizaciones realizar la gestión sobre los controles de PCI DSS de manera que sean parte de la operación diaria de la organización.

IQ INFORMATION QUALITY, ofrece un servicio que ejecuta análisis de seguridad de manera automática en Firewalls para reducir el riesgo de tener en los Firewalls reglas inseguras, innecesarias y/o redundantes.

Un precepto básico en la seguridad de la información es la imposibilidad de proteger lo que se desconoce. Basados en esta premisa, IQ Information Quality ha desarrollado un servicio para identificar y documentar los flujos de alto nivel relacionados con procesos que gestionan datos de tarjeta-habiente en su organización. Con este enfoque se identifican los componentes por los cuales transitan, se almacenan y se procesan los datos de tarjeta-habiente a través de su organización y de esta forma contar con una herramienta valiosa para optimizar el alcance de su certificación PCI.

Este objetivo se logra mediante la identificación de la ubicación, actividades de procesamiento, almacenamiento, transmisión y presentación de los datos dentro de los procesos, terceros, personas e infraestructura tecnológica involucrada.

Una vez realizado el proceso de identificación de flujos de datos de tarjeta-habiente la organización da un paso muy importante en su proceso de evaluación PCI DSS, ya que puede realizar actividades de reducción de alcance, reajuste de elementos y estrategias de almacenamiento para el procesamiento de datos de tarjeta-habiente en áreas en las que no es necesario, esto redunda en la optimización de las inversiones necesarias para la implementación de su plan de tratamiento para el cumplimento y certificación PCI.

Este servicio de IQ Information Quality buscar asesorar a la organización con el objetivo de optimizar el alcance del ambiente de tarjeta-habiente y así disminuir el costo y la complejidad del cumplimiento de PCI DSS. Las estrategias que se evalúan y se analizan para optimizar el alcance son:

• Cifrado
• Consolidación
• Eliminación
• Enmascaramiento
• Hashing
• Segmentación de redes
• Tercerización
• Tokenización (Tokenization)
• Truncado

Es necesaria la experiencia y sólidos conocimientos en PCI DSS, seguridad de la información y en los procesos relacionados con datos de tarjeta-habiente para diseñar la mejor estrategia de disminución de alcance, de acuerdo con la arquitectura tecnológica y la realidad operativa de la organización.