Grupo: http://groups.google.com/group/forosi/topics
- Verificación de políticas de dominio [2 actualizaciones]
- BW consumido por IP privadas. [7 actualizaciones]
- Teclados virtuales y Captcha en páginas Web [2 actualizaciones]
- Borrado Seguro de información [8 actualizaciones]
- [forosi:16113] Confidencialidad y revelacion al imprimir documento. [2 actualizaciones]
- [forosi:16111] Vlan´s Switches pregunta tecnica [4 actualizaciones]
- "Gustavo Román" <tavroma@gmail.com> May 25 02:35PM -0600 ^
Buenas tardes,
Quería consultarles si conocen la forma de conocer (de manera centralizada)
si las políticas de dominio se están aplicando en las máquinas?
Hay alguna herramienta que me permita ver si las politicas se están
aplicando sin la necesidad de ir una por una.
Saludo,
GR.
- Jose Mauro Fernandez Soto <fermauni@gmail.com> May 25 03:40PM -0500 ^
Hola >Gustavo puedes utilizar el Software:
DumpSec : http://www.systemtools.com/somarsoft/?somarsoft.com
- Juan Pablo MICHELINO <jp_michelino@yahoo.com.ar> May 25 05:46AM -0700 ^
Hola a todos.
La empresa donde trabajo tiene varias sucursales interconectadas mediante una red MPLS que es provista y gestionada por un reconocido ISP.
En éstos días he necesitado un informe de las IP privadas que mas BW entre sucursales consumen.
Entiendo que técnicamente es totalmente factible que nuestro ISP tenga acceso a esa información (justamente ellos gestionar los routers), pero no estoy seguro si es eticamente factible.
Hasta ahora nuestro proveedor solo nos ha informado cuan saturados están los enlaces, pero, por lo que supongo, si ellos pueden indicarnos cuales son las IP que saturan los enlaces es porque también pueden hacer un sniffer del tráfico intersucursales.
¿Alquien me podría indicar si estoy en lo cienrto?
Muchas gracias
JP
- alejandro agis <alexagis@gmail.com> May 25 11:16AM -0300 ^
IMHO, no hay conflicto ético alguno, solo le estas pidiendo un desglose o
detalle de lo consumido en forma discriminada.
Es el equivalente a una factura colectiva de celular, vos lo que queres y
técnicamente tampoco encuentro objeción a que lo hagan, un detalle del
consumo particular de cada teléfono.
Pienso que se podrían negar y pedir que concurra personal de tu firma a
hacerlo, si el sniff es a nivel de URL´s de navegación, pero entiendo que
eso no es lo que queres.
Alejandro
- Raul Batista <raul.batista@gmail.com> May 25 12:01PM -0300 ^
Hola Juan Pablo,
Deberías averiguar con el proveedor si la red MPLS que tienen implementada
incorpora privacidad del tráfico al salir del router de cada sucursal (VPN
por ejemplo).
¿Eticamente factible? creo que antes de eso deberías revisar también el
contrato particular que firmaron y las condiciones de servicio a las que
adhirieron, y buscar la información sobre los compromisos de privacidad. Y
si no encontraras esa información (pide ayuda a un abogado para interpretar
el contrato), plantear en tu empresa que se le requiera al ISP esta
información.
O sea que deberías emprender la búsqueda o requisitoria por el lado técnico
y por el lado contractual. De tu empresa se deberían contactar con el
ejecutivo de cuenta del proveedor de comunicaciones para plantear esto. Pero
antes revisar la documentacion técnica y legal del contrato del servicio.
Desde lo técnico el hecho que el proveedor de comunicaciones pudiera tener
manejo de estadisticas de tráfico no implica otra cosa que eso, tener acceso
a estadísticas que genera cada dispositivo que se pueden obtener por SNMP no
implica capacidad para leer el tráfico el cual a su vez podría estar
encapsulado y cifrado.
Respecto a tu necesidad de estadísticas de uso de ancho de banda (BW) de TU
red privada. Estimo que eso no te lo va a dar el ISP. Ellos te proveen el
servicio de transporte, calidad de servicio, priorizacion de tráfico, etc
pero de tu red interna, estimo que nada. No les corresponde, salvo que les
hayan contratado gestion de la red interna tambien. No te olvides que aunque
tuvieran los medios técnicos, todos los servicios los venden, es un negocio.
De nuevo en este punto deberías revisar los contratos y condición de
servicios. Y consultar al ejecutivo de cuenta del proveedor de
comunicaciones.
Acá tenes algo sobre la seguridad en MPLS de Cisco:
http://etutorials.org/Networking/MPLS+VPN+security/Part+II+Advanced+MPLS+VPN+Security+Issues/Chapter+3.+MPLS+Security+Analysis/
Algo más sobre lo de "éticamente factible": un gran proveedor de
telecomunicaciones o un ISP querrá cuidar que sus clientes no lo demanden
por invasión de la privacidad de sus comunicaciones de modo que debe tener
todo tipo de salvaguardas técnica y legales. Pero si tienes dudas o
requerimientos de privacidad en tu empresa, entonces estimo que deberán ser
suficientemente diligentes e implementar su propia VPN y entregar a los
routers administrados por el proveedor de comunicaciones el tráfico ya
cifrado.
Espero que te sea de ayuda.
Saludos,
Raúl
El 25 de mayo de 2011 09:46, Juan Pablo MICHELINO <jp_michelino@yahoo.com.ar
--
*_______________*
Saludos,
Raúl Batista
- Mario Barinas <mario.barinas@gmail.com> May 25 10:12AM -0500 ^
Juan Pablo, si lo que desea es conocer el ancho de banda de cada sucursal
,que es lo que consume ese ancho de banda, etc. existen herramientas
especializadas en este tipo de labores, no necesariamente es tarea del
proveedor del MPLS eso debe ser verificado dentro de lo que se contrato con
ellos.
Mire BlueCoat, a mi parecer es una buena herramienta que le ayudaria para lo
que esta necesitando.
- the_owner77 <the_owner77@hotmail.com> May 25 12:33PM -0700 ^
Hola,
A ver, de acuerdo con lo que he leído y pensando el tema.
Es permitido registrar el camino que toma un paquete (traza), el peso
del mismo, origen, destino y demás datos que la herramienta que se
tenga pueda guardar. El tema que es para debates, puede ser la parte
del contenido; por aquello del respeto a la privacidad.
Pero siento que en tu pregunta, lo que se quiere abordar es cuánto
está consumiendo de ancho de banda cada quien y eso es posible. Y se
debe hacer desde el lado de la LAN, antes de irse al MPLS, por lo que
ya explicaba Raul Batista.
Ahora ¿ético?, eso quiere decir que yo me comporto de acuerdo con los
lineamientos morales (lo que es correcto) que se dictan en la sociedad
en que esté. Ahora, si yo no estoy husmeando la privacidad de nadie
durante el ejercicio de mi responsabilidad, por lo menos no estoy
actuando de una manera no-ética.
Exitos!.
WAf.-
- Luis Torres <luistorres19@gmail.com> May 25 03:16PM -0430 ^
Buenas tardes
Creo que no hay tema ético alguno, ya que se está presentando un problema de
saturación de una red "PRIVADA", ya con esto se aplica el tema legal de
Auditoría a las conexiones realizadas en la red dentro de la empresa ya sea
que se interconecten por cualquier medio como MetroEthernet, Frame Relay o
en este caso MPLS.
Para la resolución de incidencias de este tipo, siempre es recomendable
poseer un sistema de Monitoreo de Red efectivo como Netflow u otros que son
realmente efectivos a la hora de informar estadísticas de red en tiempo real
e histórico.
También hay que destacar por supuesto que como la empresa donde laboras
"supongo" no tiene sistemas de Monitoreo de Red, se debe revisar, como lo
dijeron antes, el alcance del contrato con el proveedor que administra la
red MPLS, pero si este proveedor les proporciona estadísticas en cuanto a
consumo de tráfico también pueden y deben proporcionarle estadísticas de las
IP´s que más consumen ancho de banda.
Espero haber contribuido con este tema
Saludos
Luis Torres
2011/5/25 the_owner77 <the_owner77@hotmail.com>
--
Saludos
Luis Torres
- Raul Batista <raul.batista@gmail.com> May 25 05:34PM -0300 ^
Luis,
Al final creo que afirmas algo que no lo veo posible,
> red MPLS, pero si este proveedor les proporciona estadísticas en cuanto a
> consumo de tráfico también pueden y deben proporcionarle estadísticas de las
> IP´s que más consumen ancho de banda.
¿Puedes fundamentar la afirmación de porque "también pueden y deben..."?
Una cosa ("si este proveedor les proporciona estadísticas en cuanto a
consumo de tráfico") no implica la otra ("también pueden y deben
proporcionarle ").
El proveedor conoce perfectamente el volumen de datos que circula en
cada router (dato básico obtenido por ejemplo por SNMP en la interfaz
del router, por ejemplo) pero eso para nada implica conocer nada más,
salvo que los datos del router A deben ir al Router B .
Conocer el volumen no implica que sea técnicamente posible o que estén
tecnicamente preparados para acceder a capas internas del tráfico y
des-encapsularlo para conocer direcciones IP de la LAN privada del
cliente y hacer estadísticas de uso x IP. Aun pudiéndose hacer, es un
trabajo completamente innecesario para brindar el servicio y de poder
darlo con seguridad querrán cobrar eso.
Y contractualmente si no se establece el dar esa información, en el
caso que fuera tecnicamente posible, no se la van a dar, ¿porque van a
dar algo que no figura en contrato?. En todo caso podrán ofrecerle una
extensión del servicio.
En mi opinión si no conoces los detalles técnicos de la implementación
del servicio en ese caso puntual, ni los términos contractuales
particulares y de prestación del servicio, no se puede afirmar nada.
--
_______________
Saludos,
Raúl Batista
- Diana Campos <securegen@gmail.com> May 25 01:17PM -0700 ^
Apreciados compañeros del Foro
En la empresa donde laboro se está implementando una página Web y
entre los requerimientos se ha definido que los ingresos de datos de
los clientes deben realizarse mediante teclados virtuales para evitar
que sean víctimas de keyloggers, pero mi pregunta es si teniendo estos
teclados virtuales me evita tener que implementar controles como el
CAPTCHA.
De antemano Gracias
Se despide
Diana Campos
- Raul Batista <raul.batista@gmail.com> May 25 05:26PM -0300 ^
Diana,
Son dos medidas para contener dos riesgos distintos.
El teclado virtual lo usan para sortear la existencia de un keylogger
y que lo que se digita pueda ser conocido por otro. (Ojo que hay
keyloggers que tambien para atrapar teclados virtuales).
El CAPTCHA es para evitar scripts de automatización de ingresos / o
registro a lo que sea que estés queriendo proteger. Que solo sea gente
haciéndolo. Por ejemplo evitar comentarios automatizados a notas en un
blog o diario. Evitar registros de nuevas cuentas de email gratuitas
hechos por criminales con algun script y que luego abusen del
servicio.etc.
Saludos,
Raúl
--
_______________
Saludos,
Raúl Batista
- "Marcos Lezcano" <mlezcano@visionamos.com> May 25 11:09AM -0500 ^
Buenas tardes, quien sabe si a nivel legal y de normatividad PCI utilizo la
herramienta free open source cuando me realicen una auditoria no hay
problema??
Muchas gracias por sus acostumbrados aportes
Cordial saludo
- "Marcos Lezcano" <mlezcano@visionamos.com> May 25 11:12AM -0500 ^
Me falto aquí que pueden ser <http://www.heidi.ie/node/14> Eraser,
<http://www.xtort.net/xtort-software/ultrashredder/> UltraShredder o
<http://dban.sourceforge.net/> DBAN
De: Marcos Lezcano [mailto:mlezcano@visionamos.com]
Enviado el: Miércoles, 25 de Mayo de 2011 11:10 a.m.
Para: 'forosi@googlegroups.com'
Asunto: Borrado Seguro de información
Buenas tardes, quien sabe si a nivel legal y de normatividad PCI utilizo la
herramienta free open source cuando me realicen una auditoria no hay
problema??
Muchas gracias por sus acostumbrados aportes
Cordial saludo
- Oscar Walther <oscar@itprosargentina.com.ar> May 25 01:27PM -0300 ^
Buenas tardes, no entendí la pregunta. QUeres saber si es posible o no hacer borrado seguro de información en tu compañía?
o queres saber si se puede usar software GNU?
Saludos,
oscar
Con fecha miércoles, 25 de mayo de 2011, 01:12:50 pm, escribió:
Me falto aquí que pueden ser Eraser, UltraShredder o DBAN
De: Marcos Lezcano [mailto:mlezcano@visionamos.com]
Enviado el: Miércoles, 25 de Mayo de 2011 11:10 am
Para: 'forosi@googlegroups.com'
Asunto: Borrado Seguro de información
Buenas tardes, quien sabe si a nivel legal y de normatividad PCI utilizo la herramienta free open source cuando me realicen una auditoria no hay problema??
Muchas gracias por sus acostumbrados aportes
Cordial saludo
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
Saludos,
Oscar mailto:oscar@itprosargentina.com.ar
- "Marcos Lezcano" <mlezcano@visionamos.com> May 25 11:31AM -0500 ^
Si está bien visto usar GNU sabiendo que me voy a certificar en PCI
De: Oscar Walther [mailto:oscar@itprosargentina.com.ar]
Enviado el: Miércoles, 25 de Mayo de 2011 11:27 a.m.
Para: Marcos Lezcano
CC: forosi@googlegroups.com
Asunto: Re: [forosi:16124] RE: Borrado Seguro de información
Buenas tardes, no entendí la pregunta. QUeres saber si es posible o no hacer
borrado seguro de información en tu compañía?
o queres saber si se puede usar software GNU?
Saludos,
oscar
Con fecha miércoles, 25 de mayo de 2011, 01:12:50 p.m., escribió:
Me falto aquí que pueden ser <http://www.heidi.ie/node/14> Eraser,
<http://www.xtort.net/xtort-software/ultrashredder/> UltraShredder o
<http://dban.sourceforge.net/> DBAN
De: Marcos Lezcano [mailto:mlezcano@visionamos.com]
Enviado el: Miércoles, 25 de Mayo de 2011 11:10 a.m.
Para: 'forosi@googlegroups.com'
Asunto: Borrado Seguro de información
Buenas tardes, quien sabe si a nivel legal y de normatividad PCI utilizo la
herramienta free open source cuando me realicen una auditoria no hay
problema??
Muchas gracias por sus acostumbrados aportes
Cordial saludo
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas
de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
--
Saludos,
Oscar <mailto:oscar@itprosargentina.com.ar>
mailto:oscar@itprosargentina.com.ar
- Oscar Walther <oscar@itprosargentina.com.ar> May 25 01:51PM -0300 ^
PCI no indica que tipo de herramientas (licenciada o GNU) debes usar.
En casos puntuales te pide que sea una QSA que te audite (para certificar) y para escaneos externos debe ser un ASV del listado autorizado por ellos. Despues en todo lo que implementes "no importa" en la certificación. Te va a afectar los procesos, cantidad de hs de configuración/personalizacion/soporte, etc.
Cualquier duda está el https://www.pcisecuritystandards.org
Otro tema a tener en cuenta es para que usas las tools que mencionas, por ejemplo si las usas para borrar archivos con datos de TC no vas a cumplir PCI por el punto de almacenamiento de datos de los clientes.
Saludos,
Oscar
Con fecha miércoles, 25 de mayo de 2011, 01:31:53 pm, escribió:
Si está bien visto usar GNU sabiendo que me voy a certificar en PCI
De: Oscar Walther [mailto:oscar@itprosargentina.com.ar]
Enviado el: Miércoles, 25 de Mayo de 2011 11:27 am
Para: Marcos Lezcano
CC: forosi@googlegroups.com
Asunto: Re: [forosi:16124] RE: Borrado Seguro de información
Buenas tardes, no entendí la pregunta. QUeres saber si es posible o no hacer borrado seguro de información en tu compañía?
o queres saber si se puede usar software GNU?
Saludos,
oscar
Con fecha miércoles, 25 de mayo de 2011, 01:12:50 pm, escribió:
Me falto aquí que pueden ser Eraser, UltraShredder o DBAN
De: Marcos Lezcano [mailto:mlezcano@visionamos.com]
Enviado el: Miércoles, 25 de Mayo de 2011 11:10 am
Para: 'forosi@googlegroups.com'
Asunto: Borrado Seguro de información
Buenas tardes, quien sabe si a nivel legal y de normatividad PCI utilizo la herramienta free open source cuando me realicen una auditoria no hay problema??
Muchas gracias por sus acostumbrados aportes
Cordial saludo
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
Saludos,
Oscar mailto:oscar@itprosargentina.com.ar
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Saludos,
Oscar mailto:oscar@itprosargentina.com.ar
- "Marcos Lezcano" <mlezcano@visionamos.com> May 25 12:01PM -0500 ^
Ok, enterado, me aclaras por favor esto "por ejemplo si las usas para borrar
archivos con datos de TC no vas a cumplir PCI por el punto de almacenamiento
de datos de los clientes."
Muchas gracias
De: Oscar Walther [mailto:oscar@itprosargentina.com.ar]
Enviado el: Miércoles, 25 de Mayo de 2011 11:51 a.m.
Para: Marcos Lezcano
CC: forosi@googlegroups.com
Asunto: Re: [forosi:16124] RE: Borrado Seguro de información
PCI no indica que tipo de herramientas (licenciada o GNU) debes usar.
En casos puntuales te pide que sea una QSA que te audite (para certificar) y
para escaneos externos debe ser un ASV del listado autorizado por ellos.
Despues en todo lo que implementes "no importa" en la certificación. Te va a
afectar los procesos, cantidad de hs de
configuración/personalizacion/soporte, etc.
Cualquier duda está el https://www.pcisecuritystandards.org
Otro tema a tener en cuenta es para que usas las tools que mencionas, por
ejemplo si las usas para borrar archivos con datos de TC no vas a cumplir
PCI por el punto de almacenamiento de datos de los clientes.
Saludos,
Oscar
Con fecha miércoles, 25 de mayo de 2011, 01:31:53 p.m., escribió:
Si está bien visto usar GNU sabiendo que me voy a certificar en PCI
De: Oscar Walther [mailto:oscar@itprosargentina.com.ar]
Enviado el: Miércoles, 25 de Mayo de 2011 11:27 a.m.
Para: Marcos Lezcano
CC: forosi@googlegroups.com
Asunto: Re: [forosi:16124] RE: Borrado Seguro de información
Buenas tardes, no entendí la pregunta. QUeres saber si es posible o no hacer
borrado seguro de información en tu compañía?
o queres saber si se puede usar software GNU?
Saludos,
oscar
Con fecha miércoles, 25 de mayo de 2011, 01:12:50 p.m., escribió:
Me falto aquí que pueden ser <http://www.heidi.ie/node/14> Eraser,
<http://www.xtort.net/xtort-software/ultrashredder/> UltraShredder o
<http://dban.sourceforge.net/> DBAN
De: Marcos Lezcano [mailto:mlezcano@visionamos.com]
Enviado el: Miércoles, 25 de Mayo de 2011 11:10 a.m.
Para: 'forosi@googlegroups.com'
Asunto: Borrado Seguro de información
Buenas tardes, quien sabe si a nivel legal y de normatividad PCI utilizo la
herramienta free open source cuando me realicen una auditoria no hay
problema??
Muchas gracias por sus acostumbrados aportes
Cordial saludo
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas
de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
--
Saludos,
Oscar <mailto:oscar@itprosargentina.com.ar>
mailto:oscar@itprosargentina.com.ar
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas
de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Saludos,
Oscar <mailto:oscar@itprosargentina.com.ar>
mailto:oscar@itprosargentina.com.ar
- Oscar Walther <oscar@itprosargentina.com.ar> May 25 02:16PM -0300 ^
El el punto 3.2.X de PCI, te paso algunos:
3.2.1 No almacene contenido completo de ninguna pista de la banda magnética (ubicada en el reverso de la tarjeta, datos equivalentes que están en un chip o en cualquier otro dispositivo). Estos datos se denominan alternativamente pista completa, pista, pista 1, pista 2 y datos de banda magnética.
Nota: En el transcurso normal de los negocios, es posible que se deban retener los siguientes elementos de datos de la banda magnética:
El nombre del titular de la tarjeta
Número de cuenta principal (PAN)
Fecha de vencimiento
Código de servicio
Para minimizar el riesgo, almacene solamente los elementos de datos que sean necesarios para el negocio.
3.2.1 En el caso de la muestra de componentes del sistema, examine las fuentes de datos, incluido, a modo de ejemplo, lo siguiente y verifique que el contenido completo de cualquier pista de la banda magnética en el reverso de la tarjeta o cualesquiera datos almacenados en un chip no se almacenen bajo ninguna circunstancia:
Datos de transacciones entrantes
Todos los registros (por ejemplo, transacciones, historiales, depuración, error)
Archivos de historial
Archivos de seguimiento
Esquemas de bases de datos
Contenidos de bases de datos
3.2.2 No almacene el valor ni el código de validación de tarjetas (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes.
3.2.2 En el caso de la muestra de componentes del sistema, examine las fuentes de datos y verifique, incluyendo, pero sin limitarse a, que el código o el valor de verificación de la tarjeta de tres dígitos o de cuatro dígitos impreso en el anverso de la tarjeta o en el panel de firma (datos CVV2, CVC2, CID, CAV2) no quede almacenado bajo ninguna circunstancia:
Datos de transacciones entrantes
Todos los registros (por ejemplo, transacciones, historiales, depuración, error)
Archivos de historial
Archivos de seguimiento
Esquemas de bases de datos
Contenidos de bases de datos
Pajate desde el link que te pase los PDF oficiales.
Saludos
Oscar
Con fecha miércoles, 25 de mayo de 2011, 02:01:17 pm, escribió:
Ok, enterado, me aclaras por favor esto "por ejemplo si las usas para borrar archivos con datos de TC no vas a cumplir PCI por el punto de almacenamiento de datos de los clientes."
Muchas gracias
De: Oscar Walther [mailto:oscar@itprosargentina.com.ar]
Enviado el: Miércoles, 25 de Mayo de 2011 11:51 am
Para: Marcos Lezcano
CC: forosi@googlegroups.com
Asunto: Re: [forosi:16124] RE: Borrado Seguro de información
PCI no indica que tipo de herramientas (licenciada o GNU) debes usar.
En casos puntuales te pide que sea una QSA que te audite (para certificar) y para escaneos externos debe ser un ASV del listado autorizado por ellos. Despues en todo lo que implementes "no importa" en la certificación. Te va a afectar los procesos, cantidad de hs de configuración/personalizacion/soporte, etc.
Cualquier duda está el https://www.pcisecuritystandards.org
Otro tema a tener en cuenta es para que usas las tools que mencionas, por ejemplo si las usas para borrar archivos con datos de TC no vas a cumplir PCI por el punto de almacenamiento de datos de los clientes.
Saludos,
Oscar
Con fecha miércoles, 25 de mayo de 2011, 01:31:53 pm, escribió:
Si está bien visto usar GNU sabiendo que me voy a certificar en PCI
De: Oscar Walther [mailto:oscar@itprosargentina.com.ar]
Enviado el: Miércoles, 25 de Mayo de 2011 11:27 am
Para: Marcos Lezcano
CC: forosi@googlegroups.com
Asunto: Re: [forosi:16124] RE: Borrado Seguro de información
Buenas tardes, no entendí la pregunta. QUeres saber si es posible o no hacer borrado seguro de información en tu compañía?
o queres saber si se puede usar software GNU?
Saludos,
oscar
Con fecha miércoles, 25 de mayo de 2011, 01:12:50 pm, escribió:
Me falto aquí que pueden ser Eraser, UltraShredder o DBAN
De: Marcos Lezcano [mailto:mlezcano@visionamos.com]
Enviado el: Miércoles, 25 de Mayo de 2011 11:10 am
Para: 'forosi@googlegroups.com'
Asunto: Borrado Seguro de información
Buenas tardes, quien sabe si a nivel legal y de normatividad PCI utilizo la herramienta free open source cuando me realicen una auditoria no hay problema??
Muchas gracias por sus acostumbrados aportes
Cordial saludo
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
Saludos,
Oscar mailto:oscar@itprosargentina.com.ar
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Saludos,
Oscar mailto:oscar@itprosargentina.com.ar
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 6143 (20110522) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
http://www.eset.com
--
Saludos,
Oscar mailto:oscar@itprosargentina.com.ar
- the_owner77 <the_owner77@hotmail.com> May 25 12:56PM -0700 ^
Hola, interesante pregunta.
En cuanto al nivel legal, están los derechos de autor. En tal sentido,
la herramienta que se adquiera debe haberse hecho de forma legal.
Aunque la licencia sea open source, no es lo mismo que de "uso libre
para fines académicos y/o comerciales", la licencia debe indicar en
que casos está permitido el uso de la misma y así identificamos como
evitamos violentar las leyes que la protejan.
No conozco una normativa (ISO, PCI, etc) que me oblique a que tenga
que ser un software de paga. Si la que mencionas (PCI) u otra, lo
señala, sería bueno que otro compañero forista nos lo indique.
Hay que resaltar que los software de borrado seguro usan métodos que
son de conocimiento publico; tales como que si de 7 borrados con 1's y
después 0's o más borrados, que si caracteres aleatorios etc. Existen
metodos, uno escoge el método que se desee, requiera, recomiende o
exija. Lo que habría que evaluar son otros aspectos como fiabilidad,
desempeño, hardware soportado, etc.
WAf.-
- Daniel Garcia Montes <dgmontes@gmail.com> May 25 10:58AM -0500 ^
Hay que arrancar de dos puntos principales:
¿Hay una política de seguridad de la información?
¿Esta documentado este proceso que mencionas?
Si el proceso esta documentado y así tiene que hacerce, entonces habrá que
buscar asegurar el proceso con procedimientos y herramientas que ayuden a
mantener rastreable cualquier cambio o movimiento, y en ese punto hay
herramientas de DLP y de administración de logs que pueden ayudarte.
Si el proceso no esta documentado, hay que comenzar por ese punto y
aplicarle algún análisis de riesgo donde alguien se haga responsable del
manejo de esa información y de sus procesos.
Saludos
Daniel García Montes
UDLAP
México
- the_owner77 <the_owner77@hotmail.com> May 25 11:59AM -0700 ^
Hola,
Yo entiendo que estás exponiendo un riesgo identificado y es el no
repudio de la impresión de un documento altamente sensible para la
organización y para otros. Es decir, que no pueden asociar a una
persona o funcionario a un documento impreso.
Así mismo, dices que se hace a través de unos sistemas que se manejan
en la empresa, puede que sea software in-house o estandar.
Así las cosas, a vuelo de pajaro necesitamos un log de impresión, en
donde se registre precisamente quién imprimió que, en qué momento y
desde dónde. Un log habilitado en la aplicación y/o el sistema
operativo correspondientes y además asegurar ese log.
El problema, no veo que pueda el log decir que iba en el documento
impreso, osea su contenido. Por que en caso de un impresión de Word,
el usuario puede cambiar el nombre del documento y así no levantar
sospechas. Sin embargo, el que la organización pueda acceder al
contenido de los documentos que los funcionarios imprimen, podrían
exponerla a una vulneración de derechos, como la privacidad.
Ahora, por ser un riesgo identificado, es importante el respectivo
tratamiento de riesgo, recuerda lo de Evitar, Minimizar, Trasferir y/o
Asumir.
El caso, me puso a pensar en el hecho que de acuerdo con el Código
Sustantivo del Trabajo en Colombia, es causal justa de terminación de
contrato: "El que el trabajador revele los secretos técnicos o
comerciales o dé a conocer asuntos de carácter reservado, con
perjuicio de la empresa".
Esta es una manera de mínimizar el riesgo al concientizar a los
empleados en las responsabilidades que incurren por un sólo hecho. Se
demuestra la debida diligencia por parte de la empresa al demostrar
que se les ha concientizado a los funcionarios.
Por otro lado, los controles de acceso a las aplicaciones, la
separación de deberas y la necesidad de conocer pueden ayudarte a
enfrentar el problema, esto impactaría la operación, puede que se
requieran más permisos de otra persona al menos para que se pueda
imprimir un documento sensible.
En fin, habría que revisar el escenario y valorar costo-beneficio y
control-efectividad.
Espero haberte sido util.
WAf.-
- Marlon Perez <marlonjoseperezsotomayor@yahoo.com.mx> May 25 07:19AM -0700 ^
hermano, tanto en switches, routers y firewall se hace de la misma manera. por algo llamado ACL(listas de control de accesso).
hay dos tipos de acl, las estandar y las extendidas.
a mi me gustan mas las extendidas por que definis red de origen, red de destino, y protocolos o aplicaciones ademas del tipo de paquete si es udp o tcp.
busca en internet como hacer acl's que hay bastante informacion.
con lo del firewall la unica diferencia al menos en el asa de cisco es que tenes que poner inside outside.
saludes.!!!!
--- El lun 23-may-11, molina@uagro.mx <molina@uagro.mx> escribió:
De: molina@uagro.mx <molina@uagro.mx>
Asunto: Re: [forosi:16111] Vlan´s Switches pregunta tecnica
A: forosi@googlegroups.com
Fecha: lunes, 23 de mayo de 2011, 18:40
Partiendo de lo que comenta Daniel, se supone que las vlans que tienes, estan asociadas a subredes ip de manera independiente. Solo si esto ultimo se cumple, puedes establecer el control en el firewall a nivel de subred o de cualquier rango de ips.
Lo que exactamente quiero hacer es crear tres VLAN´s por ejemplo la VLAN 5, vlan id 10 y vlan id 20 , y en el firewall decirle quien puede pasar de la vlan 5 a la vlan 10 por ejemplo , no hacerlo en el swithe sino en el firewall por políticas. Disculpa la ignorancia.
De: forosi@googlegroups.com [mailto:forosi@googlegroups.com] En nombre de Daniel Garcia Montes
Enviado el: Lunes, 23 de Mayo de 2011 05:21 p.m.
Para: forosi@googlegroups.com
Asunto: Re: [forosi:16106] Vlan´s Switches pregunta tecnica
Estimado mlezcano, como que no es clara tu pregunta.
¿Exactamente que quieres hacer? un switch es un dispositivo de capa 2 en el que se pueden configurar VLAN's. El Firewall ve tráfico básicamente de las capas 3 y 4, y su interacción con los switches o las VLAN's solo tienen que ver con conectividad a una red local.
La marca de switches es irrelevante, mientras soporten los estándares ethernet y de las VLAN's (802.1q)
Una lectura interesante sobre el tema la pueden encontrar en la página de Cisco:
http://docwiki.cisco.com/wiki/Internetworking_Technology_Handbook
Saludos
Daniel García Montes
UDLAP
México
El 23 de mayo de 2011 16:49, Marcos Lezcano < mlezcano@visionamos.com > escribió:
Buenas tardes, alguien del foro, tiene información clara y técnica de cómo
es el manejo, configuración e interacción de los switches con VLAN´s contra
el firewall, las políticas en el firewall y ejemplos. Por ejemplos switches
cisco y/o Linksys
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
- "Alfonso L. Magaña" <alfonso_sistemas@live.com.mx> May 25 11:10AM -0500 ^
Esimados todos.
Tengo una pregunta, ¿como garego otro segmento de red a la red actual?
es decir:
tengo la red 192.168.1.xx
pero ya se saturo como agredo el segmento 192.168.2.xx
Tengo un servidor dhcp por linux.
y por medio de iptables comparto el internet que es un dsl.
No uso router ni vlans.
Por sus respuesta de antemano gracias
H. Alfonso L. Magaña
Tel. (cel.) 04455 44882157
Correo & Messenger alfonso_sistemas@live.com.mx
- Daniel Garcia Montes <dgmontes@gmail.com> May 25 11:27AM -0500 ^
Estimado Alfonso
Solo cambia la máscara de tu red.
Generalmente las redes 192.168.x.x tienen máscara 255.255.255.0, si cambias
la longitud de la máscara, multiplicas las direccines disponibles.
Por ejemplo:
La red 192.168.1.0 255.255.255.0 tiene 255 direcciones disponibles (de la
192.168.1.1 a la 192.168.1.254)
La red 192.168.1.0 255.255.252.0 tiene 1024 direcciones disponible (de la
192.168.0.1 a la 192.168.3.254)
Un cambio en la máscara tiene muchas implicaciones en el ruteo, reglas de
firewall y ondas de ese tipo, se cuidadoso con el cambio.
Saludos
Daniel García Montes
UDLAP
México
El 25 de mayo de 2011 11:10, Alfonso L. Magaña <alfonso_sistemas@live.com.mx
- él <xebaxtian24@gmail.com> May 25 11:26AM -0500 ^
Le debés cambiar la máscara a una que permita mas hosts
Por ejemplo: 192.168.1.0/255.255.254.0
Rango: 192.168.1.0 - 192.168.2.255
Eso si no querés implementar vlans o algo mas avanzado
2011/5/25 Alfonso L. Magaña <alfonso_sistemas@live.com.mx>
--
Linux User #471301
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
No hay comentarios:
Publicar un comentario