Versin 1.0
17 de marzo de 2015
Versin
Fecha
Descripcin
Autor
1.0
17 de marzo de 2015
MPAA
Empresas miembro de la MPAA
Pgina
NDICE
ANTECEDENTES DEL DOCUMENTO.................................................................................................................................................................................................................. ii
I.
I.
INFORMACIN GENERAL
Introduccin
Propsito y pertinencia
Proceso de excepcin
Si resultase imposible cumplir con una de las mejores prcticas, los
establecimientos deben documentar el motivo por el cual no se puede dar
cumplimiento e implementar medidas compensatorias en lugar de la mejor
prctica. Las excepciones tambin deben informarse directamente al
miembro.
Preguntas o comentarios
Si tiene preguntas o comentarios sobre las mejores prcticas, enve un
mensaje de correo electrnico a contentsecurity@mpaa.org
II.
INFORMACIN GENERAL
DE LOS PROVEEDORES
La tabla que figura a continuacin describe los servicios tpicos que se ofrecen, el tipo de funcin y el perodo de lanzamiento para cada tipo de proveedor.
N.
Tipo de proveedor
Tipo de funcin
Perodo de lanzamiento
Aplicacin
Desarrollo de aplicacin
Aplicacin web
Planificacin de Recursos
Empresariales (Enterprise Resource
Planning, ERP)
Software de trabajadores de
informacin
Software como Servicio (Software as a
Service, SaaS)
Diversos
Diversos
Diversos
Diversos
Diversos
Nube
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Pertinencia de controles
Las pautas de este documento (las Pautas de Seguridad de Nube y Seguridad de Aplicacin) se aplican a todos los proveedores de nube y aplicacin.
III.
GESTIN DE RIESGOS
Evaluacin de riesgos
Se deben identificar los riesgos a travs de una evaluacin de los mismos, y
se debe implementar medidas de control adecuadas para disminuir el riesgo a
un nivel aceptable y asegurar el cumplimiento de los objetivos comerciales.
La norma 27000 de la Organizacin Internacional de Normalizacin
(Organization for Standardization, ISO) define el riesgo como la "combinacin
de la probabilidad de un evento y sus consecuencias". Por ejemplo, cul es la
probabilidad de que alguien pueda hurtar los contenidos desde la red de un
establecimiento y divulgarlos pblicamente y cul es la consecuencia
comercial para una organizacin y el cliente si esto ocurre (por ej.,
incumplimiento contractual y/o prdida de ingresos para ese perodo de
lanzamiento). La norma ISO 27001 tambin destaca la importancia de un
sistema de gestin slido que muestre cmo se puede establecer un Sistema
de Gestin de Seguridad de la Informacin (Information Security Management
System, ISMS).
Clasificacin de activos
Una manera de clasificar activos en su establecimiento es seguir un proceso
de cuatro pasos, el cual se resume a continuacin:
Identificar y
clasificar
activos
Determinar un
control de
seguridad
mnimo
Vigilar y
evaluar la
eficacia
Implement
ar
controles
Descripcin
Ejemplos
Contenidos de
alta seguridad
Application Security
Las mejores prcticas estn organizadas segn el Modelo de Seguridad de Contenidos de la MPAA, el cual ofrece un marco para evaluar la capacidad de un
Las mejores prcticas
organizadas
segn el Modelo
Seguridad
de Contenidos
dede
la seguridad
MPAA, el cual
ofrece
un marco
para evaluar
capacidad deyun
establecimiento
para Los
proteger los
establecimiento
paraestn
proteger
los contenidos
de unde
cliente.
Consta
de temas
en
dos reas:
seguridad
de la
aplicaciones
seguridad
de nube.
contenidos de un cliente. Consta de temas de seguridad en tres reas: sistema de gestin, seguridad fsica y seguridad digital. Los componentes del Modelo de Seguridad de Contenidos de la MPAA
componentes
D
evelopm
ent
del Modelo deAuthentication
Seguridad de Contenidos
and
deSecure
la MPAA
C
oding
se derivan
and
de normas
Org
ISO
a
niz
relevantes
ation
and
(27001-27002),
Opera
estndares
tions
de seguridad D
(es
ata
decir,
S
ecurity
OWASP, CSA
se derivan de normas ISO relevantes (27001-27002), estndares de seguridad (es decir, NIST, CSA, ISACA y SANS) y mejores prcticas de la industria.
(Cloud
Security Alliance), PCI DataAc
Security
800-53, Seguridad critica deMa
SANS)
y mejores
Lifecycle
cess Standard, NIST Vulnerability
nagem
ent prcticas de la industria.
Management
AS-1.0
pg. 7-8
Seguridad de
AS-2aplicaciones
.0
Desarrollo estilos de
AS-1.1, AS-1.2, AS-1.3,
vida
AS
-1.4
pg. 10-11
Autenticacin
y
AS-2.1
pg. 11
Acceso
AS-3.0
Pg. 16- 17
Codificacin
de vulnerabilidades
Organizacin y
gestin
AS-3.4
pg. 18-19
AS-2.5
pg. 13-14
AS-3.5, AS-3.6
pg. 19
AS-3.7
pg. 20
AS-2.9, AS-2.10
pg. 15
AS-3.8
pg. 21-22
pg. 9
24
Seguridad
de nube
CS-2.0, CS-2.1, CS-2.2,
CS-2.3, CS-2.4
pg. 29
Operaciones
CS-2.5, CS-2.6
pg. 30
Seguridad de
datos
CS-3.11 CS-3.6
pg. 33
CS-1.16, CS-1.17
pg. 28 25
26
AS-3.15
AS-2.6,2.7,2.8,2.9
MS-6
Continuidad
del negocio y
Recuperacin
Pg. 14
pg
24
27-28
AS-3.13, AS-3.14
pg. 23
MS-7 Control
de cambio y
gestin de la
configuracin
pg. 15
AS-3.15
Pg-23
Pgina 4
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
GESTIN DE VULNERABILIDAD Y
ACCESO
CODIFICACIN SEGURA
SEGURIDAD DE NUBE
ORGANIZACIN Y GESTIN
OPERACIONES
SEGURIDAD DE DATOS
Las mejores prcticas para cada tema de seguridad incluido en el Modelo de Seguridad de Contenidos de la MPAA se presentan con el siguiente formato:
SEGURIDAD DE APLICACIONES
CICLO VITAL DEL
DESARROLLO
AUTENTICACIN Y ACCESO
SEGURIDAD DE NUBE
GESTIN DE VULNERABILIDAD Y
CODIFICACIN SEGURA
ORGANIZACIN Y GESTIN
OPERACIONES
SEGURIDAD DE DATOS
Tema de seguridad
Mejor prctica
Gua de implementacin
AS-2.7
Autenticacin y Acceso
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
Glosario
Se explican las
mejores prcticas para
cada tema de
seguridad.
Todos los
trminos
incluidos en el
glosario estn
resaltados en
negrita y se
definen en el
Anexo A.
V.
N.
AS-1.0
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
GESTIN DE VULNERABILIDAD Y
ACCESO
CODIFICACIN SEGURA
PAUTAS
Tema de
seguridad
Ciclo vital del
desarrollo
SEGURIDAD DE NUBE
ORGANIZACIN Y GESTIN
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
Aprobacin de administracin.
o Separe entornos de desarrollo y prueba de entornos de
produccin. Haga cumplir la separacin con controles de
acceso.
o Garantice que los datos de produccin no se usen en los
entornos de desarrollo y prueba.
Lleve a cabo un anlisis de riesgo para los sistemas o el software
antes de que comience el diseo, lo que incluye lo siguiente:
o Modelo de amenaza, incluso vulnerabilidades y amenazas
esperadas.
o Revisin de profesional(es) de seguridad de aplicaciones.
o Requisitos de seguridad y privacidad.
o mbito de pruebas.
Utilice estndares de codificacin seguros.
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
GESTIN DE VULNERABILIDAD Y
ACCESO
CODIFICACIN SEGURA
N.
Tema de
seguridad
AS-1.0
Continuacin
Mejor prctica
SEGURIDAD DE NUBE
ORGANIZACIN Y GESTIN
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
GESTIN DE VULNERABILIDAD Y
ACCESO
CODIFICACIN SEGURA
SEGURIDAD DE NUBE
ORGANIZACIN Y GESTIN
OPERACIONES
SEGURIDAD DE DATOS
Tema de
seguridad
Mejor prctica
Gua de implementacin
AS-1.2
AS-1.3
Realice un seguimiento de fallos y reparacin de defectos en Obtenga informes de fallos para errores funcionales y
conjunto con extensas pruebas de caja negra, pruebas beta y
vulnerabilidades de seguridad.
otros mtodos de depuracin comprobados.
Busque la solucin a los defectos.
AS-1.4
N.
AS-1.1
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
AS-2.0
Autenticacin y
Acceso
Nombres/Identificaciones de usuario:
o Prohba el uso de nombres/identificaciones de usuario duplicadas.
o Prohba que se compartan los nombres/identificaciones de usuario y
el uso simultneo de los mismos nombres/identificaciones de usuario.
o Haga que los nombres/identificaciones de usuario sean sin distincin
entre maysculas y minsculas.
Use controles de contrasea, como los siguientes:
o Establezca una longitud mnima de contrasea de 8 caracteres.
o Considere usar una longitud mxima de contrasea.
o Solicite contraseas muy seguras con al menos 3 de las siguientes 5
reglas:
Al menos 1 carcter en mayscula (A-Z).
Al menos 1 carcter en minscula (a-z).
Al menos 1 dgito (0-9).
Al menos 1 carcter especial (puntuacin o espacio).
No ms de 2 caracteres idnticos consecutivos.
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
N.
Tema de seguridad
AS-2.0
Continuacin
Autenticacin y
Acceso
Mejor prctica
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
Use un servicio de directorio para llevar a cabo la autenticacin.
Utilice autenticacin con mltiples factores o con dos factores:
o
o
o
AS-2.1
SEGURIDAD DE NUBE
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
AS-2.2
Autenticacin y
Acceso
o
o
AS-2.3
AS-2.4
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
AS-2.5
Autenticacin y
Acceso
o
o
o
o
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
N.
Tema de seguridad
AS-2.5
Continuacin
Autenticacin y
Acceso
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
o
o
o
o
o
o
o
AS-2.6
AS-2.7
AS-2.8
AS-2.9
Autenticacin y
Acceso
N.
AS-2.10
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
Tema de seguridad
SEGURIDAD DE NUBE
OPERACIONES
Mejor prctica
Gua de implementacin
SEGURIDAD DE DATOS
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
Gua de implementacin
AS-3.0
Sistemas y
codificacin
segura
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
N.
Tema de
seguridad
AS-3.0
Continuacin
Sistemas y
codificacin
segura
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
Lleve a cabo pruebas manuales y automatizadas.
Lleve a cabo pruebas en front-end, back-end web y todas las
conexiones relacionadas. Busque la solucin a cualquier
problema vlido que se detecte inmediatamente despus de la
deteccin:
o Crtico: Solicite la reparacin inmediata.
o Alta: Solicite la reparacin inmediata.
o Medio: Solicite la reparacin en el prximo lanzamiento
regular de la aplicacin.
o Baja: Solicite una va clara cuando la reparacin se abordar
dentro de un marco de mutuo acuerdo.
AS-3.1
AS-3.2
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
Gua de implementacin
AS-3.4
Sistemas y
codificacin
segura
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
N.
Tema de
seguridad
AS-3.4
Continuacin
Sistemas y
codificacin
segura
AS-3.5
AS-3.6
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
Proteja las bitcoras de fiscalizaciones de las alteraciones:
o En reposo:
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
N.
Tema de
seguridad
Mejor prctica
AS-3.7
Sistemas y
codificacin
segura
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
o
o
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
Gua de implementacin
AS-3.8
Sistemas y
codificacin
segura
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
N.
Tema de
seguridad
AS-3.8
Continuacin
Sistemas y
codificacin
segura
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
Administre las cookies de forma segura, si se utilizan:
o Use el atributo Seguro con cookies.
o Use el atributo HttpOnly con cookies.
o Use el atributo Dominio con cookies.
o Use el atributo Ruta con cookies.
o Use atributos no persistentes (por ejemplo, Caducidad,
Edad mxima) con cookies.
o Evite usar los mismos nombre de cookie para diferentes rutas
o mbitos de dominio dentro de la misma aplicacin.
AS-3.9
AS-3.10
AS-3.11
Implemente controles para evitar conexiones de redes annimas Rechace todas las conexiones a cualquier parte de la aplicacin,
(por ejemplo, Tor, Freenet, Netshade), si es posible.
si la direccin IP del usuario es annima, si es posible.
AS-3.12
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
Gua de implementacin
AS-3.13
Sistemas y
codificacin
segura
AS-3.14
Sistemas y
codificacin
segura
VI.
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
PAUTAS
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
CS-1.0
Organizacin y
gestin
CS-1.1
CS-1.2
CS-1.3
CS-1.4
CS-1.5
Gua de implementacin
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
CS-1.6
Organizacin y
gestin
CS-1.8
CS-1.9
CS-1.10
CS-1.11
CS-1.12
CS-1.7
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
N.
Tema de seguridad
Mejor prctica
CS-1.13
Organizacin y
gestin
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
CS-1.14
SEGURIDAD DE NUBE
N.
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
Tema de seguridad
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
CS-1.15
CS-1.16
Organizacin y
gestin
N.
CS-1.17
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
Tema de seguridad
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Mejor prctica
Gua de implementacin
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
CS-2.0
Operaciones
Vigile.
Mantenga.
Ponga a prueba al menos anualmente.
CS-2.1
CS-2.2
CS-2.3
CS-2.4
CS-2.5
Operaciones
N.
CS-2.6
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
Tema de seguridad
Mejor prctica
Desarrolle y mantenga acuerdos de nivel de servicio (service
level agreement, SLA) con clientes, socios y proveedores de
servicios.
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Gua de implementacin
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
CS-3.0
Seguridad de datos
CS-3.1
CS-3.2
CS-3.3
CS-3.4
CS-3.5
CS-3.6
Seguridad de datos
los EE. UU. sobre estndares para picar y borrar material digital.
Implemente un protocolo de servicio de tiempo sincronizado (por Considere implementar al menos dos fuentes horarias
ej., protocolo de tiempo de red) para garantizar que todos los
independientes.
sistemas tengan una referencia horaria comn.
N.
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
Tema de seguridad
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Mejor prctica
Gua de implementacin
CS-3.7
CS-3.8
CS-3.9
CS-3.10
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
CS-3.11
Seguridad de datos
ANEXO A: GLOSARIO
Los trminos bsicos y los acrnimos de este glosario se usan con frecuencia y son remitidos en esta publicacin. Estas definiciones han sido tomadas de estndares ISO
relevantes (27001/27002), estndares de seguridad (es decir, NIST) y mejores prcticas de la industria. En las pautas sobre mejores prcticas, todos los trminos que
estn incluidos en este glosario figuran resaltados en negrita.
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Derechos de acceso
Autorizacin
Estndar de
codificacin
avanzado (Advanced
Encryption Standard,
AES)
Pruebas beta
Agile
Administrador de
Dispositivo Android
Pruebas de caja
negra
Aplicacin
Seguimiento de fallos
Desbordamiento del
bfer
Autenticacin
Descripcin
Trmino o acrnimo
Descripcin
CAPTCHA
Cookies
Control de cambio
Cross-Site Scripting
CSA
Reparacin de
defectos
Ataques de
denegacin del
servicio
Activos digitales
Entorno
distribuido/nube
Descripcin
Trmino o acrnimo
Descripcin
Directory Traversal
Reglas del
cortafuegos
FireWire
Fallos de formato
Freenet
Pruebas de
distorsiones
Geolocalizacin
La geolocalizacin es la identificacin de la
localizacin geogrfica del mundo real de un objeto,
como un telfono mvil o terminal informtica
conectada por Internet.
Debida diligencia
Codificacin
Manejo de errores
Buscar mi iPhone
Cortafuegos
Descripcin
Trmino o acrnimo
Descripcin
Desbordamiento de
montn
HTTPOnly
Descripcin
Trmino o acrnimo
Descripcin
HTTPS
Seguridad de
transporte estricta
HTTP
Descripcin
Trmino o acrnimo
Descripcin
Hipervisor
Verificacin de
entrada
IAM
Direccin IP
ISO/IEC 12207
ISO 15489
ISO 27000/27001
ISO 27002
Administracin de
claves criptogrficas
IMEI
Respuesta a
incidentes
Sistemas
informticos
Descripcin
Trmino o acrnimo
Descripcin
Protocolo de red
Direccin MAC
NIST 800-53
MEID
OWASP
Norma de seguridad
de datos de PCI
Anlisis de
penetracin
Gestin de
dispositivos mviles
Autenticacin con
mltiples factores
Netshade
Descripcin
Trmino o acrnimo
Descripcin
Desarrollo rpido de
aplicaciones (RAD)
RFC 1918
Descripcin
Trmino o acrnimo
Descripcin
reCAPTCHA
Separacin de
responsabilidades
Administracin de
sesin
Enrutador
Controles de
seguridad crtica del
SANS
Security information
and event
management (SIEM)
Informe SOC 1
Descripcin
Ingeniera social
SQL Injection
SSAE 16 tipo 2
SSL
Desbordamiento de
pila
Descripcin
Trmino o acrnimo
Descripcin
URL
Empleado de
agencias externas
TLS
Bveda
Cascada
TOR
Autenticacin con
dos factores
Descripcin
Trmino o acrnimo
Descripcin
Uso de filigranas
Seguridad de
aplicaciones web
Marcado en lista
blanca
Tipo de ttulo
Descripcin
Tipo de ttulo
Descripcin
Pelcula
Publicidad
Cortometraje
Msica
Pelcula distinta
a una pelcula
en formato largo
Otros
Programas
televisivos de
episodios
Programas
televisivos que
no tienen
episodios
Promociones y
publicidad
Tipo
Descripcin
Fragmento
Suplementarios
Coleccin
Franquicia
Canal de
distribucin
Descripcin
Cine
Formato
distinto al cine
Video
Televisin
abierta
Televisin
pagada
Descripcin
Una pelcula se presenta en cualquiera de los siguientes
canales de distribucin en lnea:
Tipo
Descripcin
Venta electrnica
directa (Electronic SellThrough, EST) o
Descargar para poseer
(Download to Own,
DTO)
Visualizacin mediante
transmisin ininterrumpida
gratuita, normalmente con
anuncios comerciales.
Otros
ANEXO C: PREGUNTAS
1.
FRECUENTES
Mi proveedor de servicios debe implementar todas las mejores prcticas que se presentan?
El cumplimiento de las mejores prcticas es totalmente voluntario. Son pautas sugeridas para la planificacin, implementacin y modificacin de procedimientos de
seguridad.
2.
Mi proveedor de servicios debe aplicar todos los puntos incluidos en la seccin Gua de implementacin de las mejores prcticas?
No. La informacin incluida en esa seccin de las pautas tiene como objetivo ayudarlo a determinar la mejor forma de estructurar una medida en particular de control
de seguridad. Si su proveedor tiene una evaluacin de seguridad de contenidos realiza por la MPAA, nuestra evaluacin solo comparar las prcticas de su
3.
4.
Al aplicar las mejores prcticas de estas pautas, mi proveedor de servicios igualmente deber cumplir con los requisitos de seguridad establecidos
individualmente por un miembro de la MPAA?
La implementacin de las mejores prcticas es una pauta y no sustituye las disposiciones contractuales especficas de un miembro de la MPAA. Las decisiones sobre
el uso de proveedores por parte de un miembro en particular las toma cada miembro nicamente en forma unilateral. La MPAA recomienda el uso de las mejores
prcticas como pauta para futuras discusiones de seguridad con sus clientes.
ACTIVIDADES DE PIRATERA A LA
MPAA
(800) 363-9166
Estados Unidos
(800) 371-9884
Hong Kong
+65 6253-1033
Malasia
+65 6253-1033
Nueva Zelanda
+65 6253-1033
Filipinas
+65 6253-1033
Singapur
+65 6253-1033
Taiwn
+65 6253-1033
Italia
Pases Bajos
Ucrania
Reino Unido