CASO COMPAA EASYPAY

Informacin de la compaa
La empresa EASYPAY, es una compaa que presta servicios de procesamiento de transacciones
de tarjetas (VISA, MASTERCARD, AMERICAN EXPRESS), emite tarjetas para diversos comercios o
bancos, venta de POS (Point of Sale) y monitorea el fraude. Cuenta con 02 oficinas principales en
Lima y 08 sucursales en provincias. Como estrategia de negocio la gerencia ha decidido implantar
el estndar PCI DSS para generar mayor confianza con sus clientes actuales, incrementar el
nmero de ventas y asegurar sus operaciones crticas del negocio. La gerencia sabe que esta
adopcin de PCI DSS implica invertir en asesoramiento, infraestructura y rediseo de procesos (TI
y Negocio) buscando el mayor costo beneficio. La gerencia tiene planteado lograr la implantacin y
certificacin PCI DSS en 1 ao como mximo. Aprovechando la implantacin de PCI DSS requiere
tomar las medidas correctivas para las observaciones de auditoria externa relacionadas a la
circular SBS G-140 basada en la ISO 27001/27002.
Infraestructura Tecnologica
EASYPAY cuenta con estaciones de trabajo cuento con 500 estaciones de trabajo Windows XP y
Windows 7, 10 servidores AS/400, 20 servidores Web (13 IIS, 5 Apache, 2 Apache Tomcat), 10
servidores Linux, 04 Directorio Activo, 04 firewalls, 10 Access Point (02 en Lima y 08 en Provincia),
01 Exchange, 80 Laptops, 02 Proxy, 25 Servidores de Base de Datos (SQL Server, Oracle, DB2), 02
IPS, 01 Servidor Antivirus, 02 SIEM (01 para AS/400 y 01 para otros productos), 01 Filtro de
Contenidos, 02 Servidores para la deteccin del Fraude,.
Problema de Negocio
El negocio requiere un crecimiento de 13% en participacin de mercado, se busca una
rentabilidad mnima de 15% y la reduccin del riesgo operacional en por lo menos el 10%.
El negocio utiliza servicios FTP para compartir archivos con sus sucursales o internamente. La
administracin de servidores Windows se da mediante el servicio Remote Desktop. Los servidores
Linux son administrados por TELNET. El firewall acta como Gateway. Todas las aplicaciones Web
cuentan con SSLv1 en sus mdulos de autenticacin. Las estaciones de trabajo no cuentan con
password de BIOS.
El informe de Ethical hacking del ao pasado menciono que la organizacin tiene 05
vulnerabilidades altas, 04 medias y 10 bajas, en las cuales se mencionaba que haban llaves
criptogrficas con ao y medio de vida, fallas de construccin de cdigo, actualizacin de parches,
password por defecto entre otros.
El servicio de correo est compuesto por clientes Outlook y un servidor Exchange cara a Internet
(OWA). El acceso al servidor del correo es el mismo que el de las estaciones de trabajo. El rea
comercial almacena nmeros de tarjeta (PAN). La telefona IP en Lima est bajo el mismo
segmento que el de datos, este servicio tiene muchas interrupciones como llamadas que se cortan
o dejas de escuchar por algunos segundos. El acceso remoto se realiza mediante VPNs.
Existe personal que controla el acceso que solicita llenar formatos a los nuevos ingresantes a la
organizacin con el visto bueno de los propietarios de la informacin, la misma accin se realiza
cuando el personal sale de vacaciones o se retira de la organizacin. Al momento de ingresar se le
solicita al personal sus antecedentes penales y judiciales, su CV documentado y recursos humanos
valida la veracidad de su CV.
Los puntos de acceso inalmbrico utilizan WEP tanto en Lima como en provincias. Los
desarrolladores no tienen conocimientos de desarrollo seguro, su metodologa se basa en
requerimientos, anlisis, construccin, certificaciones y pase a produccin en cual se solicitan la
documentacin necesaria para el pase, sin embargo, muchas veces los pases de emergencia no se
regularizan.
En algunos campos importantes de las bases de datos se utiliza el algoritmo DES para el cifrado de
la columna de password o nmeros de tarjeta, otras veces se enmascara el nmero de tarjeta en
la base de datos.
Se cuenta con una red plan para todas las estaciones de trabajo y los servidores de produccin se
encuentran en una red diferente, los servidores de desarrollo estn en la misma red de las
estaciones de trabajo.
El rea comercial tiene asignado para todo su personal dispositivos mviles Blackberry con los
cuales hacen consultas a sus servidores Web mediante aplicaciones personales y almacenan
informacin de la empresa y de los comercios (clientes). As mismo los comerciales viajan a
provincias a vender servicios llevando consigo el Smartphone dado por la organizacin y 01 laptop
de la organizacin.
Los servidores AS/400 son los encargados de procesar las transacciones de tarjetas y cuentan con
bases de datos DB2 los cuales cuentan con cifrado 3DES de 01 longitud.
La organizacin cuenta con poltica y procedimiento que en muchos casos no estn actualizados.
Uno de sus procedimientos de gestin de llaves criptogrficas menciona que las llaves tienen una
vigencia de 365 das y posteriormente deben ser renovadas o revocadas segn sea el caso para
nmeros de tarjeta o para servicios como SSL, SSH, etc.
Hace dos aos se tuvo un incidente de virus informtico que detuvo las operaciones durante un
da, soporte tcnico tomo las acciones correctivas y actualizo un parche que el virus informtico
aprovecho para expandirse por las estaciones de trabajo.
Todas las estaciones de trabajo son administradas mediante directorio activo pero algunas laptops
entregadas al rea comercial no. El servidor SIEM se llena de logs de auditoria constantemente y
solo soporta hasta 03 meses de almacenamiento luego se empieza a sobrescribir. En el proceso de
respaldo del backup offsite se realiza de manera mensual en cintas magnticas cifradas con el
algoritmo IDEA.
Se solicita tus servicios como consultor de Seguridad Informtica solicitandote un diagnstico de
la situacin actual de las tecnologas de informacin y las recomendaciones de solucin en base al
estndar PCI DSS e ISO 27001/27002 relacionadas a controles criptogrficos (tecnolgicos,
administrativos o fsicos)