Modelo para cumplimiento de PCI DSS en interfaces web de pago sobre Cloud Computing

Fecha

Autores

Autor corporativo

Título de la revista

ISSN de la revista

Título del volumen

Editor

Compartir

Director

Leguizamón Páez, Miguel Ángel

Altmetric

Archivos

DiazSerranoCamiloAndres2024.pdf (2.23 MB)
DiazSerranoCamiloAndres2024Anexos.pdf (1.75 MB)

Resumen

This research explores the integration between the prioritized approach to PCI DSS compliance along with the practices defined in the OWASP DevSecOps Maturity Model (DSOMM). For this purpose, a continuous compliance model is proposed that relates the PCI DSS requirements that would be applicable to a web payment interface on cloud computing with the DevSecOps phases, in this way, compliance efforts are focused on the entire life cycle of the software development in specific parts, thus guaranteeing that PCI DSS compliance occurs in all phases where applicable and occurs continuously. In the proposed model, in addition to establishing the integration between the prioritized approach of PCI DSS and DevSecOps, the standard of compliance evidence will also be established for each of the DevSecOps phases, and the processes and procedures for the delivery and review of the evidence. For the final validation of the proposed model, it was qualitatively compared against the implementation of the prioritized approach to PCI DSS compliance without integration with DevSecOps or compliance evidence standard or defined processes or procedures for the delivery and review of evidence, resulting that the proposed model provides the robust cybersecurity expected by achieving compliance through: Equitable distribution of all compliance efforts applicable to all phases of DevSecOps, consolidation of a better compliance program compared to the application of the prioritized approach alone of PCI DSS, the correct segregation of roles in compliance that allows the unification of joint compliance efforts, and the reduction of human error in compliance since the orientation towards DevSecOps provides automations.

Descripción

En esta investigación, se explora la integración entre el enfoque priorizado del cumplimiento de PCI DSS junto con las prácticas definidas en el Modelo de Madurez del DevSecOps de OWASP (del inglés: DSOMM, DevSecOps Maturity Model). Para ello se propone un modelo de cumplimiento continuo que relaciona los requerimientos PCI DSS que serían aplicables a una interfaz de pago web sobre cloud computing con las fases del DevSecOps, de esa manera, se centran los esfuerzos de cumplimiento en todo el ciclo de vida del desarrollo de software en partes específicas garantizando así, que el cumplimiento de PCI DSS se de en todas las fases en donde aplique y se de en forma continua. En el modelo propuesto además de establecer la integración entre el enfoque priorizado de PCI DSS y DevSecOps, también se establecerá el estándar de evidencias de cumplimiento para cada una de las fases del DevSecOps, y se definirán los procesos y procedimientos para la entrega y revisión de las evidencias. Para la validación final del modelo propuesto, se comparó de forma cualitativa contra la implementación del enfoque priorizado del cumplimiento PCI DSS sin integración con DevSecOps ni estándar de evidencias de cumplimiento ni procesos ni procedimientos definidos para la entrega y revisión de evidencias, dando como resultado que el modelo propuesto brinda la ciberseguridad sólida que se espera al obtener el cumplimiento mediante: La repartición equitativa de todos los esfuerzos de cumplimiento aplicables a todas las fases del DevSecOps, la consolidación de un mejor programa de cumplimiento en comparación a la sola aplicación del enfoque priorizado de PCI DSS, la correcta segregación de roles en el cumplimiento que permite la unificación de esfuerzos conjuntos de cumplimiento, y la disminución del error humano en el cumplimiento ya que la orientación hacia el DevSecOps brinda automatizaciones.

Palabras clave

PCI DSS, DevOps, DevSecOps, Modelo de Cumplimiento, DSOMM, AWS, Cloud

Citación

URI

http://hdl.handle.net/11349/42215

Colecciones

Maestría en Gestión y Seguridad de la Información
Universidad Distrital Francisco José de Caldas - Biblioteca UDFJC

Institución de Educación Superior sujeta a inspección y vigilancia por el Ministerio de Educación Nacional | Acuerdo de creación N° 10 de 1948 del Concejo de Bogotá | Acreditación Institucional de Alta Calidad - Resolución N° 23096 del 15 de diciembre del 2016.

Contáctenos
  • Calle 13 No. 31 - 75 Bogotá D.C. - República de Colombia
  • (+57 601) 3239300
  • Lunes a viernes de 8 a.m. a 5 p.m.
  • repositorio@udistrital.edu.co
Síguenos en redes sociales

Software DSpace copyright © 2002-2025 LYRASIS