Propuesta curso de actualización PCI by Place to Pay

Compliance Validation Service for the Payment Card Industry Data Security Standard

Presentado a:

Curso de actualizaciรณn en la norma PCI-DSS v3.2

28 de abril de 2016

Preparado por: Estefania Loaiza Araque Consultora PCI-DSS Directo: +57 (1) 802 09 93 Mรณvil: +(57) 300 881 43 11 E-mail: eloaiza@trustme.net.co Skype: estefania.loaiza17

Informaciรณn confidencial: El contenido de la presente propuesta sรณlo puede ser utilizado para evaluar los servicios que se describen en ella, y puede contener informaciรณn que es privilegiada, confidencial o bien no apta para divulgaciรณn. La distribuciรณn para difusiรณn o copia de esta propuesta o de la informaciรณn contenida en ella total o parcialmente, queda prohibida salvo previo consentimiento por escrito de TRUST-ME Colombia SAS.

Avenida Boyacรก # 127 D 25 | Bogotรก โ Colombia SA | 316-744-37-12 |info@trustme.net.co

P á g i n a |1

Tabla de Contenido ACERCA DE TRUST-ME COLOMBIA................................................................................................................ 2 INFORMACIÓN GENERAL DE TRUSWAVE ................................................................................................... 3 PROPUESTA DE SERVICIOS ............................................................................................................................. 5 Objetivo del servicio.......................................................................................................................... 5 Alcance del servicio ........................................................................................................................... 5 INMERSIÓN EN LA NORMA PCI-DSS ................................................................................................. 5

CONTENIDO DEL CURSO DE INMERSIÓN EN PCI-DSS 3.2 ................................................................. 6 Dirigido a......................................................................................................................................... 6 Contenido ........................................................................................................................................ 6 Entregables ................................................................................................................................... 6

FECHAS DEL CURSO DE INMERSIÓN EN PCI-DSS .................................................................................. 7 HORARIO DE LA CAPACITACIÓN ......................................................................................................... 7

HOJA DE VIDA DEL FACILITADOR ................................................................................................................ 8 CONDICIONES COMERCIALES ........................................................................................................................ 9 VALOR DE LA CAPACITACIÓN ............................................................................................................. 9 Nota: .............................................................................................................................................. 9 CONDICIONES DE PAGO ................................................................................................................. 9 VALIDEZ DE LA OFERTA .................................................................................................................. 9

CONDICIONES GENERALES DE LA PROPUESTA .................................................................................... 10 CONFIDENCIALIDAD DE LA PROPUESTA ............................................................................................ 10

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |2

ACERCA DE TRUST-ME COLOMBIA TRUST-ME es una compañía colombiana, fundada en 2014 con el propósito de proveer servicios de consultoría en el área de la informática, las redes de datos y telecomunicaciones. Somos especialistas en servicios relacionados con la seguridad de la Información, tomando como base estándares de la industria y mejores prácticas internacionales como lo son ISO 27001, PCI-DSS, PA-DSS, entre otras. En noviembre de 2015, TRUST-ME, fue acreditada como partner oficial de la QSA más grande del mundo TRUSTWAVE, que la avala para ofrecer en toda Latinoamérica los productos y servicios de cumplimiento en la norma PCIDSS/PA-DSS, y certificar a través de ellos a comercios, entidades financieras y proveedores de servicio. Desde entonces, TRUST-ME complementó sus servicios de Seguridad e Ingeniería Social, con servicios de Hacking Ético, Pruebas de Vulnerabilidad y Gestión Forense de Incidentes gracias a que TRUSTWAVE es dueño de Spiderlabs, líderes internacionales en la prevención, manejo y respuesta de incidentes. Por nuestra experiencia y manejo de la norma PCI-DSS y el conocimiento del mercado Latinoamericano hemos logrado las mejores tarifas por parte de TRUSTWAVE y asesorar acertadamente a nuestros clientes para obtener la certificación en esta exigente normativa. TRUST-ME cuenta con personal de amplia trayectoria en Tecnologías de la Información y Consultoría, quienes además cuentan con estudios de postgrado y certificaciones internacionales de industria en las áreas de Seguridad de la Información, Seguridad en Medios de Pago y Seguridad en Redes, otorgadas por instituciones tales como: ISC2 (International Information Systems Security Certification Consortium), ISACA (Infomation Systems Audit and Control Association), PCI SSC (PCI Security Standards Council), CompTIA, SANS Intitute, entre otras. Ponemos a su disposición 12 SOCs (Centro de Operaciones de Seguridad) desde los cuales se monitorean todos los servicios gestionados y los dispositivos de seguridad que instalan y utilizan nuestros clientes y 1 Centro de ciberseguridad y monitoreo de identidad digital. En nuestro departamento comercial contamos con verdaderos asesores que están en capacidad de recomendar a nuestros clientes la solución que más se adecue a sus necesidades. Las empresas que se han beneficiado con nuestros servicios, son nuestra principal carta de presentación. Seguridad y Cumplimiento no solo es nuestro eslogan sino nuestra razón de ser, por la cual queremos poner al alcance de todas las Micro-Pymes, Pymes, grandes y muy grandes empresas, bienes y servicios que realmente sean parte de la solución en el área de SGSI.

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |3

INFORMACIÓN GENERAL DE TRUSWAVE Desde 1995, TRUSTWAVE ha proporcionado a miles de organizaciones un portafolio líder en la industria de soluciones de conformidad y seguridad de datos, junto con experiencia, conocimiento especializado e innovación comprobados. 

Experiencia: TRUSTWAVE tiene más de 130 consultoras alrededor del mundo con experiencia en funciones de auditoría interna, conformidad y seguridad de la información para diversas industrias, entre las que se incluyen medios de comunicación y entretenimiento, finanzas, comercio minorista, cuidado de la salud, hospitalidad y manufactura.



Conocimientos especializados: Los expertos en conformidad y seguridad de TRUSTWAVE tienen credenciales y antecedentes académicos y profesionales avanzados, acreditados ante agencias líderes de negocios y de cumplimiento de la ley. Nuestro equipo proporciona investigación actualizada y un fuerte liderazgo en la seguridad de datos y las industrias de pago.



Innovación: TRUSTWAVE es líder de la industria en tecnologías de seguridad de datos, que se traducen en procesos modernizados, mejoras en el desempeño e importantes ahorros en costos. Muestras soluciones integradas conservan recursos y al mismo tiempo proporcionan una visión clara de la posición de una organización en cuanto a la seguridad, condición de conformidad y supervisión de riesgo en tiempo real.

TRUSTWAVE comprende las motivaciones de los negocios, los programas de conformidad y gestión de riesgos y la seguridad técnica profunda, lo que da por resultado soluciones integrales inigualables para las organizaciones que buscan un socio confiable de conformidad y seguridad de datos. TRUSTWAVE ofrece las siguientes soluciones integrales para satisfacer las necesidades individuales de un negocio: Desarrollo y automatización del programa Experiencia en diversas industrias, normas y estándares de seguridad y conformidad  Automatización del proceso de conformidad y seguridad, con la solución de software GRC de  TRUSTWAVE Evaluaciones de análisis de brechas, para establecer valores de referencia y prepararse para una  próxima auditoría Asistencia en corrección Experiencia en la orientación de los clientes sobre los requerimientos de seguridad y conformidad  técnicos y de los procesos Servicios de desarrollo de políticas y procedimientos  Servicios de seguridad gestionados administrados, para satisfacer los requerimientos de seguridad  exigidos Capacitación en desarrollo de código seguro para desarrolladores  Soluciones técnicas de seguridad Control de acceso a la red  SSL y Gestión de ciclo de vida de certificado  Gestión unificada de amenazas  Supervisión de registros de seguridad  Detección y prevención de intrusiones  Prevención de pérdida de datos  Descubrimiento de datos  Servicios de evaluación Experiencia en evaluaciones en diversas localidades, normas múltiples para grandes empresas  internacionales para negocios pequeños y medianos SpiderLabs, el equipo de seguridad especializado de TRUSTWAVE que se concentra en revisiones  técnicas de seguridad e investigaciones de crimen cibernético, tales como: o Servicios de pruebas de seguridad que incluyen pruebas de penetración, revisión de códigos, ingeniería social y seguridad física o Respuesta a incidentes e investigaciones forenses

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |4

Servicios especializados de seguridad, que incluyen recuperación de la información, relaciones públicas, vigilancia electrónica, contramedidas técnicas de seguridad (TSCM) e investigaciones internas encubiertas Servicios de validación de conformidad de PCI-DSS Trustkeeper y Trustkeeper Agent, motor y agentes propios de análisis que identifican o vulnerabilidades, datos de rastreo de tarjetas de pago, números de cuenta no encriptados y violaciones de políticas o Más de 100 Asesores de seguridad calificados (QSAs) en todo el mundo o Sociedades de alianzas con 17 de los 20 principales bancos adquirientes de Estados Unidos o



Con sede en chicago, TRUSTWAVE tiene oficinas en todo estados unidos y el mundo. Las locaciones internacionales de TRUSTWAVE se pueden encontrar en: https://www.trustwave.com/locations.php.

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |5

PROPUESTA DE SERVICIOS Objetivo del servicio Por medio de una capacitación de 16 horas hacer un recorrido en profundidad por los diferentes componentes de la norma PCI-DSS 3.2 desde la perspectiva de las empresas para poder entrar en cumplimiento.

Alcance del servicio 

Capacitar a los asistentes en los diferentes aspectos que componen la norma PCI-DSS 3.2 para la protección de datos de tarjeta habiente.



Adelantar el curso de inmersión en la norma PCI-DSS de dieciséis (16) horas a los funcionarios de las áreas de riesgos, tecnología, seguridad de la información, control interno y auditoría.

INMERSIÓN EN LA NORMA PCI-DSS El aumento en el uso de los medios de pago electrónicos y la clara tendencia a dejar de utilizar el efectivo, han hecho que las diferentes franquicias de tarjetas de crédito y débito hallan asumido un estándar de seguridad para proteger estos datos y que por medio de la creación del PCI-SSC (Security Standards Counsil) se consolidara la norma PCI-DSS la cual deben asumir todos los que trasmiten, procesen o almacenen el PAN (Principal Acount Number) Pero que es el PAN? El número de cuenta principal es el factor que define los datos del titular de la tarjeta. Si el nombre del titular de la tarjeta, el código de servicio o la fecha de vencimiento se almacenan, procesan o transmiten con el PAN (número de cuenta principal) o se encuentran presentes de algún otro modo en el entorno de datos del titular de la tarjeta, se deben proteger de conformidad con los requisitos de la norma PCI-DSS. Los requisitos de la norma PCI-DSS se aplican a las organizaciones y entornos en los que se almacenan, procesan o transmiten datos de cuenta (datos del titular de la tarjeta y datos de autenticación confidenciales). Algunos requisitos de la norma también se aplican a organizaciones que han tercerizado las operaciones de pago o la gestión del CDE (entorno de los datos del titular de la tarjeta) Además, las organizaciones que tercerizan el CDE (entorno de los datos del titular de la tarjeta) o las operaciones de pagos a terceros deben asegurarse de que estos protejan los datos de cuenta de acuerdo con todos los requisitos correspondientes a la norma PCI-DSS. Por qué proteger el PAN? Así como el uso de los diversos canales para realizar transacciones electrónicas va en aumento, los fraudes, robos e incidentes de todo tipo relacionados a estas; también han aumentado y se han diversificado haciendo que todos los factores involucrados en dichas transacciones mejoren día a día sus niveles de seguridad. Los incidentes que involucran el robo de información del tarjeta habiente le ocasionan a los comercios, proveedores de servicio, adquirentes y emisores: pérdidas de clientes, multas y pérdidas financieras por fraudes.

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |6

CONTENIDO DEL CURSO DE INMERSIÓN EN PCI-DSS 3.2 El curso de PCI-DSS 3.2 tiene una duración de dos (2) días y tiene como objetivo que los participantes conozcan y comprendan los requerimientos de la norma PCI-DSS y cómo estos aplican a la infraestructura tecnológica y a los procedimientos regulares para el manejo de los datos de tarjeta habiente en su organización.

Dirigido a Personal de áreas de riesgo y cumplimiento; seguridad de la información, auditoría, tecnología de la información, proyectos y otros funcionarios con responsabilidad o interés en el manejo de riesgo y cumplimiento de normativas de la entidad.

Contenido Sesión 1 – Medios de pago y la norma PCI-DSS.     

Justificación de la norma PCI-DSS. Terminología de la industria del pago Actores en los medios de pago con tarjeta. Requerimientos de la norma PCI-DSS Lo nuevo de la Versión PCI-DSS v3.2

Sesión 2 – Alcance de la Evaluación PCI-DSS    

Flujos de información Infraestructura tecnológica involucrada Métodos para reducir el alcance. Taller de definición de alcance y controles involucrados.

Sesión 3 - Requerimientos de PCI-DSS.    

Business As Usual PCI-DSS Información General PCI-DSS Requerimientos Prioridades para el cumplimiento de los requerimientos

Sesión 4 - Cumplimiento de PCI-DSS.   

Proceso de Validación de Cumplimiento PCI La Auditoria Requerimientos de cumplimiento de las marcas

Entregables   

Norma PCI-DSS 3.1 en PDF Cuadernillo con las memorias del curso Certificado de asistencia

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |7

FECHAS DEL CURSO DE INMERSIÓN EN PCI-DSS El curso se llevará a cabo los días 27 y 28 de octubre en 4 sesiones de 4 horas cada una en la mañana y en la tarde.

HORARIO DE LA CAPACITACIÓN  El curso se llevara a cabo 8:00 a.m. a 5:00 p.m. durante dos días.  Los refrigerios de mañana y tarde así como el almuerzo están incluidos en el valor del curso.

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |8

HOJA DE VIDA DEL FACILITADOR LUIS SANMARTIN RESUMEN: Consultor en seguridad de medios de pago de la firma Trustwave. La experiencia de más de 10 años de Luis Sanmartin incluye asesorías en la implementación de la norma PCI-DSS en varias organizaciones de Latinoamérica. Ha realizado contribuciones y ha participado en los procesos de preparación y aplicación de metodologías y mejores prácticas de la tecnología, tales como COBIT, ITIL, ISO 20000 e ISO 27000, asesorando y apoyando a más de 14 agencias estatales en la aplicación del Sistema de Gestión de la Seguridad de la Información, como parte de la estrategia de Gobierno en línea. Es asesor certificado (QSA) en la norma PCI-DSS y tiene experiencia certificada en herramientas de gestión y apoyo para la gestión de seguridad de la información, tales como: Control de Cortafuegos, Sistema de prevención de intrusiones de ISS, Secure Network VPN de Juniper Networks, Soluciones de interconexión de Cisco Systems, RSA, Aseguramiento Fuerte de Autenticación y Sistemas de Symantec Endpoint. En los últimos años Luis ha sido líder de la práctica de cumplimiento de la norma PCI-DSS en la firma Trustwave. Es Ingeniero de Redes y Tecnólogo en sistematización de datos egresado de la Universidad Distrital "Francisco José De Caldas", Auditor líder ISO/IEC 27000 y cuenta con varias certificaciones como ITIL v3, COBIT e ISO/IEC 27002, 20.000, LVC entre otras.

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a |9

CONDICIONES COMERCIALES VALOR DE LA CAPACITACIÓN Ítem

Cantidad

Valor Unitario

Valor Total en Pesos

Curso de Inmersión en la norma PCIDSS 3.2

$1.500.000

De 2 a 3 participantes de una misma empresa

$1.350.000

$2.700.000

De 4 participantes en delante de una misma empresa

$1.200.000

Nota:   

Los precios anteriores no incluyen el valor del I.V.A. Los clientes de Place to Pay tendrán el 10% de descuento sobre los valores anteriores. El mínimo de participantes es 10 y el máximo 15. Si el mínimo no se cumple Trust-Me se reserva el derecho de reprogramar el curso.

CONDICIONES DE PAGO 

El pago se realizará con mínimo 8 días de antelación al inicio del curso por el 100% del valor del mismo.

VALIDEZ DE LA OFERTA  

Treinta (30) días a partir de la fecha de presentación. Favor diligenciar la orden de compra o servicios a nombre de Trust-Me Colombia SAS. Con número de NIT 900.775.957-3.

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME

P á g i n a | 10

CONDICIONES GENERALES DE LA PROPUESTA CONFIDENCIALIDAD DE LA PROPUESTA EL CLIENTE se obliga a que toda información contenida en la presente propuesta no sea de acceso público. Esta "Información", será mantenida en forma estrictamente confidencial y utilizada exclusivamente para el desarrollo del objeto de la(s) actividad(es) en esta descrita(s) por TRUST-ME COLOMBIA SAS. Igualmente EL CLIENTE se compromete a tomar todas las medidas necesarias para que la información no llegue a manos de terceros bajo ninguna circunstancia y se obliga a no utilizarla para ningún objeto diferente al de adelantar las tareas que se deriven directamente del cumplimiento de las actividades mencionadas. Las obligaciones señaladas en el presente acuerdo, continuaran vigentes aún después de su vencimiento o terminación.

FIN DEL DOCUMENTO –

INFORMACIÓN PROPIEDAD EXCLUSIVA DE TRUST-ME