MPAA Best Practices App and Cloud V1!0!20150507 DRAFT r2 ES LA

Programa de seguridad de los contenidos de la MPAA
MEJORES PRCTICAS EN LA SEGURIDAD DE

CONTENIDOS
PAUTAS DE SEGURIDAD DE ENTORNO
DISTRIBUIDO/NUBE Y APLICACIN
http://www.mpaa.org/content-security-program/
Versin 1.0
Programa de seguridad de los contenidos globales de la MPAA

17 de marzo de 2015
17 de marzo de 2015
ANTECEDENTES DEL DOCUMENTO
Versin
Fecha
Descripcin
Autor
1.0
17 de marzo de 2015
Lanzamiento pblico inicial
MPAA
Empresas miembro de la MPAA
Mejores prcticas de la MPAA - Pautas de seguridad de entorno distribuido/nube y aplicacin
Pgina
NDICE
ANTECEDENTES DEL DOCUMENTO.................................................................................................................................................................................................................. ii
I.
Informacin general de las mejores prcticas...........................................................................................................................................................2
II. Informacin general de los proveedores...................................................................................................................................................................3

III. Gestin de riesgos.....................................................................................................................................................................................................4
Pautas de seguridad de aplicaciones de mejores prcticas............................................................................................................................................5
IV. Organizacin del documento.....................................................................................................................................................................................6
V. Pautas de seguridad de aplicaciones de mejores prcticas......................................................................................................................................7
VI. Pautas de seguridad de nube de mejores prcticas...............................................................................................................................................24
Anexo A: Glosario................................................................................................................................................................................................................................................ 34
Anexo B: Definiciones de ttulos y canales de distribucin de la MPAA.............................................................................................................................................................. 43
Anexo C: Preguntas frecuentes........................................................................................................................................................................................................................... 45
Anexo D: Cmo notificar actividades de piratera a la MPAA.............................................................................................................................................................................. 46
I.
INFORMACIN GENERAL
DE LAS MEJORES PRCTICAS
Introduccin
Propsito y pertinencia
Durante ms de tres dcadas, la Motion Picture Association of America, Inc.

(MPAA) (Asociacin Cinematogrfica de Estados Unidos) ha gestionado
sondeos sobre la seguridad de sitios a nombre de sus empresas miembro
(miembros): Walt Disney Studios Motion Pictures; Paramount Pictures
Corporation; Sony Pictures Entertainment Inc.; Twentieth Century Fox Film
Corporation; Universal City Studios LLC; y Warner Bros. Entertainment Inc.
El propsito de este documento es brindar a los proveedores futuros y

actuales contactados por los miembros, un entendimiento de las
expectativas generales en cuanto a la seguridad de contenidos y las
mejores prcticas actuales de la industria. Las decisiones con respecto al
uso de proveedores por parte de cualquier miembro las toma solo ese
miembro unilateralmente.
A partir del ao 2007, estas evaluaciones se realizaron con un modelo de

encuestas, procesos y plantillas de informes estandarizados. Desde entonces,
ms de 500 establecimientos han sido encuestados en 32 pases.
Las mejores prcticas con respecto a la seguridad de contenidos han sido

diseadas para analizar los servicios que ofrecen cada establecimiento, el
tipo de contenidos que el establecimiento gestiona y el perodo de
lanzamiento en que opera el establecimiento.
La MPAA se ha comprometido a proteger los derechos de quienes producen

contenidos de carcter recreativo para pblicos de todo el mundo. Desde las
artes creativas hasta la industria de software, ms y ms personas de alrededor
del mundo se ganan la vida con el poder de sus ideas. Esto significa que existe
un inters cada vez mayor por proteger los derechos de propiedad intelectual y
reconocer que estas medidas de proteccin son ejes fundamentales en una
economa de informacin global sana.
El propsito del Programa de seguridad de los contenidos de la MPAA es
fortalecer el proceso por el cual se protegen los contenidos de sus miembros
durante la produccin, posproduccin, comercializacin y distribucin. Esto se
logra a travs de lo siguiente:
La publicacin de un conjunto de mejores prcticas por establecimiento

de servicio delineando los controles estndares que ayudan a proteger los
contenidos de los miembros.
El anlisis y la evaluacin de la seguridad de los contenidos en

establecimientos de terceros segn lo publicado en las mejores prcticas.
El nfasis en la importancia de asegurar los contenidos de los miembros.

La utilizacin de un sistema de recopilacin de datos estandarizado para
anlisis individuales posteriores con respecto a la seguridad de los
contenidos entre Miembros y sus socios comerciales.
Las mejores prcticas descritas en este documento estn sujetas a leyes o

normas locales, estatales, regionales, federales y nacionales.
Las mejores prcticas descritas en este documento, as como los estndares
de la industria o referencias a ISO que el mismo incluya, estn sujetos a
cambios en forma peridica. Las mejores prcticas se dividen en pautas de
seguridad de entorno distribuido/nube y aplicacin. Los proveedores
deben ser evaluados en primer lugar por las Pautas comunes de las
mejores prcticas. En casos en los que se aplican ambas pautas,
prevalecern las pautas ms rigurosas.
El cumplimiento de las mejores prcticas es totalmente voluntario. No
se trata de un programa de acreditacin.
Proceso de excepcin
Si resultase imposible cumplir con una de las mejores prcticas, los
establecimientos deben documentar el motivo por el cual no se puede dar
cumplimiento e implementar medidas compensatorias en lugar de la mejor
prctica. Las excepciones tambin deben informarse directamente al
miembro.
Preguntas o comentarios
Si tiene preguntas o comentarios sobre las mejores prcticas, enve un
mensaje de correo electrnico a contentsecurity@mpaa.org
II.
INFORMACIN GENERAL
DE LOS PROVEEDORES
La tabla que figura a continuacin describe los servicios tpicos que se ofrecen, el tipo de funcin y el perodo de lanzamiento para cada tipo de proveedor.
N.
Tipo de proveedor
Servicios de proveedores tpicos
Tipo de funcin
Perodo de lanzamiento
Aplicacin
Desarrollo de aplicacin
Aplicacin web
Planificacin de Recursos
Empresariales (Enterprise Resource
Planning, ERP)
Software de trabajadores de
informacin
Software como Servicio (Software as a
Service, SaaS)
Entorno de desarrollo de aplicacin

Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Nube
Infraestructura como Servicio

(Infrastructure as a Service, IaaS)
Plataforma como Servicio (Platform as
a Service, PaaS)
Software como Servicio (Software as a
Service, SaaS)
Nube privada
Nube pblica
Nube hbrida
Almacenamiento de datos, recursos

informticos
Entorno de desarrollo de aplicacin
Aplicacin comercial
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Diversos
Pertinencia de controles
Las pautas de este documento (las Pautas de Seguridad de Nube y Seguridad de Aplicacin) se aplican a todos los proveedores de nube y aplicacin.
III.
GESTIN DE RIESGOS
Evaluacin de riesgos
Se deben identificar los riesgos a travs de una evaluacin de los mismos, y
se debe implementar medidas de control adecuadas para disminuir el riesgo a
un nivel aceptable y asegurar el cumplimiento de los objetivos comerciales.
La norma 27000 de la Organizacin Internacional de Normalizacin
(Organization for Standardization, ISO) define el riesgo como la "combinacin
de la probabilidad de un evento y sus consecuencias". Por ejemplo, cul es la
probabilidad de que alguien pueda hurtar los contenidos desde la red de un
establecimiento y divulgarlos pblicamente y cul es la consecuencia
comercial para una organizacin y el cliente si esto ocurre (por ej.,
incumplimiento contractual y/o prdida de ingresos para ese perodo de
lanzamiento). La norma ISO 27001 tambin destaca la importancia de un
sistema de gestin slido que muestre cmo se puede establecer un Sistema
de Gestin de Seguridad de la Informacin (Information Security Management
System, ISMS).
Clasificacin de activos
Una manera de clasificar activos en su establecimiento es seguir un proceso
de cuatro pasos, el cual se resume a continuacin:
Identificar y
clasificar
activos
Determinar un
control de
seguridad
mnimo
Vigilar y
evaluar la
eficacia
Implement
ar
controles
Junto con el miembro (su cliente), una organizacin tiene la responsabilidad de

determinar cules activos del cliente requieren un mayor nivel de seguridad. La
tabla que figura a continuacin ofrece un ejemplo de cmo clasificar contenidos:
Clasificacin
Descripcin
Ejemplos
Contenidos de
alta seguridad
Todo contenido que la

organizacin considere
que podra convertirse en
prdida financiera,
reputacin negativa para
la marca o sanciones
graves si tal activo se
extraviara o fuera hurtado.
Hurto de un xito de taquilla

antes del primer estreno en
cines a nivel mundial.
Hurto de contenidos de un
video antes del primer
estreno en tiendas.
Hurto de copias
originales o copias de
pelculas.
Medidas de control de seguridad

El IT Governance Institute define las medidas de control como las polticas, los
procedimientos, las prcticas y las estructuras organizativas creadas para
asegurar que se pueda dar cumplimiento a los objetivos comerciales y que se
eviten o se detecten y corrijan los eventos no deseados. Las medidas de control
de seguridad normalmente se eligen segn la clasificacin del activo, su valor
para la organizacin y el riesgo de que el activo se filtre o sea robado. A fin de
mitigar los riesgos identificados, las organizaciones deben implementar controles
adecuados para cada riesgo especfico. Tambin se deben evaluar tales medidas
en forma peridica para verificar su diseo y eficacia segn el ambiente actual de
riesgo. Las mejores prcticas descritas en este documento se basan en la
orientacin del Proyecto de Seguridad de Aplicaciones Web Abiertas (Open Web
Application Security Project, OWASP), Cloud Security Alliance (CSA), Norma de
seguridad de datos de Industria de Tarjetas de Pago (Payment Card Industry,
PCI), NIST 800-53, Controles de seguridad crtica del SANS e ISO 27002.
IV. Document Organization

Best Practices are organized accordingto the MPAA Content Security Model, which providesa framework for assessinga providersability to protect a
clients content. Within the context of this document, the Model comprisessecurity topicsacrosstwo areas: application security and cloud security. The
componentsof the MPAA Content Security Model are drawn fromrelevant ISO standards (27001-27002), security standards (i.e., the Open Web
Application Security Project [OWASP], Cloud Security Alliance [CSA], PCI Data Security Standard, NIST 800-53, SANSCritical Security Controls) and
17 de marzo de 2015
industry best practices.
Las mejores prcticas estn organizadas segn el Modelo de Seguridad de Contenidos de la MPAA, el cual ofrece un marco para evaluar la capacidad de un establecimiento para proteger los
contenidos de un cliente. Consta de temas de seguridad en tres reas: sistema de gestin, seguridad fsica y seguridad digital. Los componentes del Modelo de Seguridad de Contenidos de la MPAA
se derivan de normas ISO relevantes (27001-27002), estndares de seguridad (es decir, NIST, CSA, ISACA y SANS) y mejores prcticas de la industria.
Application Security
IV. Organizacin del documento

Cloud Security
Las mejores prcticas estn organizadas segn el Modelo de Seguridad de Contenidos de la MPAA, el cual ofrece un marco para evaluar la capacidad de un
Las mejores prcticas
organizadas
segn el Modelo
Seguridad
de Contenidos
dede
la seguridad
MPAA, el cual
ofrece
un marco
para evaluar
capacidad deyun
establecimiento
para Los
proteger los
establecimiento
paraestn
proteger
los contenidos
de unde
cliente.
Consta
de temas
en
dos reas:
seguridad
de la
aplicaciones
seguridad
de nube.
contenidos de un cliente. Consta de temas de seguridad en tres reas: sistema de gestin, seguridad fsica y seguridad digital. Los componentes del Modelo de Seguridad de Contenidos de la MPAA
componentes
D
evelopm
ent
del Modelo deAuthentication
Seguridad de Contenidos
and
deSecure
la MPAA
C
oding
se derivan
and
de normas
Org
ISO
a
niz
relevantes
ation
and
(27001-27002),
Opera
estndares
tions
de seguridad D
(es
ata
decir,
S
ecurity
OWASP, CSA
se derivan de normas ISO relevantes (27001-27002), estndares de seguridad (es decir, NIST, CSA, ISACA y SANS) y mejores prcticas de la industria.
(Cloud
Security Alliance), PCI DataAc
Security
800-53, Seguridad critica deMa
SANS)
y mejores
Lifecycle
cess Standard, NIST Vulnerability
nagem
ent prcticas de la industria.
Management
AS-1.0
pg. 7-8
Seguridad de
AS-2aplicaciones
.0
Desarrollo estilos de
AS-1.1, AS-1.2, AS-1.3,
vida
AS
-1.4
pg. 10-11
Autenticacin
y
AS-2.1
pg. 11
Acceso
AS-3.0
Pg. 16- 17
Codificacin
AS-3.1, AS-3.2, AS-3.3

segura
gestin
pg.y17
de vulnerabilidades
CS-1.0, CS-1.1, CS-1.2,

CS-1.3, CS-1.4, CS-1.5
pg. 25
Organizacin y
gestin
AS-2.2, AS-2.3, AS-2.4

pg. 12
AS-3.4
pg. 18-19
CS-1.6, CS-1.7, CS-1.8,

CS-1.9, CS-1.10, CS-1.11,
CS-1.12
pg. 26
AS-2.5
pg. 13-14
AS-3.5, AS-3.6
pg. 19
CS-1.13, CS-1.14, CS-1.15

pg. 27
AS-2.6, AS-2-7, AS-2.8

pg. 14
AS-3.7
pg. 20
AS-2.9, AS-2.10
pg. 15
AS-3.8
pg. 21-22
pg. 9
24
Seguridad
de nube
CS-2.0, CS-2.1, CS-2.2,
CS-2.3, CS-2.4
pg. 29
Operaciones
CS-2.5, CS-2.6
pg. 30
CS-3.0, CS-3.1, CS-3.2,

CS-3.3, CS-3.4, CS-3.5
pg. 31
Seguridad de
datos
CS-3.6, CS-3.7, CS-3.8,

CS-3.9, CS-3.10
pg. 32
CS-3.11 CS-3.6
pg. 33
CS-1.16, CS-1.17
pg. 28 25
26
AS-3.9, AS-3.10, AS-3.11,

AS-3.12
pg. 22
AS-3.15
AS-2.6,2.7,2.8,2.9
MS-6
Continuidad
del negocio y
Recuperacin
Pg. 14
pg
24
27-28
AS-3.13, AS-3.14
pg. 23
MS-7 Control
de cambio y
gestin de la
configuracin
pg. 15
AS-3.15
Pg-23
Mejores prcticas de la MPAA - Pautas de seguridad de entorno distribuido/nube y aplicacin
Pgina 4

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
SEGURIDAD DE APLICACIONES
AUTENTICACIN Y
GESTIN DE VULNERABILIDAD Y
ACCESO
CODIFICACIN SEGURA
SEGURIDAD DE NUBE
ORGANIZACIN Y GESTIN
OPERACIONES
SEGURIDAD DE DATOS
PAUTAS DE SEGURIDAD DE APLICACIONES DE MEJORES PRCTICAS

IV.
FORMATO DE MEJORES PRCTICAS
Las mejores prcticas para cada tema de seguridad incluido en el Modelo de Seguridad de Contenidos de la MPAA se presentan con el siguiente formato:
CICLO VITAL DEL
DESARROLLO
AUTENTICACIN Y ACCESO
SEGURIDAD DE NUBE
CODIFICACIN SEGURA
OPERACIONES
SEGURIDAD DE DATOS
El grfico en la parte superior de cada pgina destaca el rea de seguridad que

se aborda en el contexto del Modelo de Seguridad de Contenidos de la MPAA.
N.
Tema de seguridad
Mejor prctica
Gua de implementacin
AS-2.7
Autenticacin y Acceso
Use herramientas de verificacin humana como

CAPTCHA o reCAPTCHA con aplicaciones web.
Use CAPTCHA o reCAPTCHA para proteccin contra bots.
N.
Tema de seguridad
Mejor prctica
Glosario
A cada mejor prctica se le

asigna un nmero de
referencia con formato de
XX-Y.Z. XX para el rea
general, Y para el Tema de
seguridad y Z para la
medida de control
especfica.
Cada rea de capacidad

consta de uno o ms
Temas de seguridad. Se
aborda cada Tema de
seguridad con una o ms
mejores prcticas.
Se explican las
mejores prcticas para
cada tema de
seguridad.
Se ofrecen medidas adicionales y

posibles pasos para la
implementacin, as como
ejemplos, a fin de ayudar a las
organizaciones a implementar las
mejores prcticas.
Todos los
trminos
incluidos en el
glosario estn
resaltados en
negrita y se
definen en el
Anexo A.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
V.
N.
AS-1.0
AUTENTICACIN Y
ACCESO
CODIFICACIN SEGURA
PAUTAS
Tema de
seguridad
Ciclo vital del
desarrollo
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
DE SEGURIDAD DE APLICACIONES DE MEJORES PRCTICAS

Mejor prctica
Crear seguridad en todo el Ciclo vital del desarrollo de

software/sistemas (Systems/Software Development Lifecycle,
SDLC).
Considere usar metodologas de estndar industrial:

o Cascada
o Desarrollo rpido de aplicaciones (Rapid Application
Development, RAD)
o Agile
Consulte ISO/IEC 12207 para obtener orientacin sobre la

implementacin de procesos que establecen un ciclo vital de
software y proporcionan un modelo para el desarrollo, la
adquisicin y la configuracin de sistemas de software.
Implemente separacin de responsabilidades:
o Documente todos los procesos y datos en todas las fases de
requisitos/diseo, construccin, pruebas, lanzamiento y
mantenimiento, incluso lo siguiente:
Solicitudes de cambio de programa.
Prueba y aprobacin de aceptacin de usuarios.
Aprobacin de administracin.
o Separe entornos de desarrollo y prueba de entornos de
produccin. Haga cumplir la separacin con controles de
acceso.
o Garantice que los datos de produccin no se usen en los
entornos de desarrollo y prueba.
Lleve a cabo un anlisis de riesgo para los sistemas o el software
antes de que comience el diseo, lo que incluye lo siguiente:
o Modelo de amenaza, incluso vulnerabilidades y amenazas
esperadas.
o Revisin de profesional(es) de seguridad de aplicaciones.
o Requisitos de seguridad y privacidad.
o mbito de pruebas.
Utilice estndares de codificacin seguros.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
CODIFICACIN SEGURA
N.
Tema de
seguridad
AS-1.0
Continuacin
Ciclo vital del

desarrollo
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Implemente control de cambio:

o Registre todas las migraciones de cambios en la
produccin.
o Limite el acceso para migrar los cambios en la
produccin.
o Repita las pruebas cuando se realicen los
cambios, o al menos trimestralmente.
o Prepare los procedimientos de reserva segn el
impacto del cambio.
Lleve a cabo las pruebas:
o Ponga a prueba la seguridad en todo el SDLC y
aborde las vulnerabilidades, amenazas y
problemas de seguridad.
o Lleve a cabo pruebas manuales y
automatizadas.
o Lleve a cabo pruebas de seguridad
automatizadas, incluso anlisis de cdigo
esttico y anlisis de cdigo dinmico.
o Implemente controles para detectar defectos de
seguridad de cdigo fuente en cualquier
actividad de desarrollo de software tercerizado.
o Busque la solucin a cualquier problema.
Proteja los detalles del cdigo de aplicaciones del uso
indebido o divulgacin:
o Asigne cuentas individuales de administrador
para que cada usuario privilegiado garantice la
responsabilidad.
o Revise todos los accesos de usuarios
trimestralmente.
o Elimine todas las contraseas, identificaciones
de usuario y cuentas de aplicaciones
personalizadas, de prueba y/o de desarrollo
antes de que las aplicaciones pasen a ser
activas o sean lanzadas para los clientes.
o Evite el acceso no autorizado a la

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
CODIFICACIN SEGURA
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Tema de
seguridad
Mejor prctica
Ciclo vital del

desarrollo
Ponga a prueba la seguridad en toda la aplicacin e

infraestructura.
Garantice que el mbito incluya lo siguiente:

o Servidores de aplicaciones.
o Servidores de base de datos.
o Sistemas operativos de servidores.
o Componentes de servidores virtuales.
o Servidores web, tanto front-end como back-end.
o Componentes de arquitectura empresarial (por ejemplo,
arquitecturas orientada a servicios).
Repita las pruebas cuando se realicen los cambios, o al menos
trimestralmente.
AS-1.2
Realice pruebas de distorsiones y reparacin de defectos

para descubrir fallos de seguridad en el software, sistemas
operativos o redes al ingresar datos aleatorios masivamente en
el sistema para hacer que colapse (por ejemplo,
desbordamiento del bfer, cross-site scripting, ataques de
denegacin del servicio, fallos de formato, SQL injection).
Pruebe al proporcionar una entrada inesperada.

Evale cmo reacciona la aplicacin.
trimestralmente.
AS-1.3
Realice un seguimiento de fallos y reparacin de defectos en Obtenga informes de fallos para errores funcionales y
conjunto con extensas pruebas de caja negra, pruebas beta y
vulnerabilidades de seguridad.
otros mtodos de depuracin comprobados.
Busque la solucin a los defectos.
AS-1.4
Proporcione capacitacin y guas de usuario para las

incorporaciones y cambios de la aplicacin.
N.
AS-1.1

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
SISTEMAS Y CODIFICACIN SEGURA ORGANIZACIN Y GESTIN
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
AS-2.0
Autenticacin y
Acceso
Implemente una autenticacin segura.
Nombres/Identificaciones de usuario:
o Prohba el uso de nombres/identificaciones de usuario duplicadas.
o Prohba que se compartan los nombres/identificaciones de usuario y
el uso simultneo de los mismos nombres/identificaciones de usuario.
o Haga que los nombres/identificaciones de usuario sean sin distincin
entre maysculas y minsculas.
Use controles de contrasea, como los siguientes:
o Establezca una longitud mnima de contrasea de 8 caracteres.
o Considere usar una longitud mxima de contrasea.
o Solicite contraseas muy seguras con al menos 3 de las siguientes 5
reglas:
Al menos 1 carcter en mayscula (A-Z).
Al menos 1 carcter en minscula (a-z).
Al menos 1 dgito (0-9).
Al menos 1 carcter especial (puntuacin o espacio).
No ms de 2 caracteres idnticos consecutivos.
Conservar un historial de las diez ltimas contraseas y no permita

que se vuelvan a utilizar.
Caducidad mxima de 90 das.

Bloquee la cuenta de usuario despus de 5 a 10 intentos de contraseas
infructuosos. Mantenga la cuenta bloqueada hasta que un administrador
la desbloquee manualmente.
Cierre la sesin del usuario automticamente despus de 30 minutos de
inactividad. Considere cerrar la sesin del usuario o solicitar que el
usuario inicie una nueva sesin despus de permanecer 4 horas
registrado, independientemente de si se usa o no.
Almacene las contraseas de forma segura (por ejemplo, sin texto
simple, transmitir contraseas solamente por TLS).
Solicite reautenticacin para funciones delicadas.
Considere el uso de autenticacin de cliente de SSL .

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
N.
Tema de seguridad
AS-2.0
Continuacin
Autenticacin y
Acceso
Mejor prctica
Registre los dispositivos de usuarios.
OPERACIONES
SEGURIDAD DE DATOS
Use un servicio de directorio para llevar a cabo la autenticacin.
Utilice autenticacin con mltiples factores o con dos factores:
o
o
o
AS-2.1
SEGURIDAD DE NUBE
Algo que conoce (contraseas o detalles de cuenta).

Algo que tiene (ficha o telfono inteligente).
Algo que es (biometra).
Considere implementar un sistema de gestin de identidades y accesos

(Identity and Access Management, IAM) para iniciar, capturar, registrar y
administrar usuarios y sus permisos de acceso de manera automatizada
para garantizar lo siguiente:
o Los privilegios se otorgan segn la interpretacin de la pliza.
o Todas las personas y servicios se autentican, autorizan y fiscalizan
adecuadamente.
Registre los dispositivos utilizados por usuarios de aplicaciones que

usan, entre otros, los siguientes:
o Identificacin de dispositivo o hardware.
Nmero de Identidad de equipo mvil internacional (International

Mobile Equipment Identity, IMEI) o Nmero de Identificador de
equipo mvil (Mobile Equipment Identifier, MEID).
o Direccin de Control de acceso al medio (Media Access Control,
MAC).
Controle el dispositivo que se utiliza segn una lista de dispositivos
conocidos del usuario durante el proceso de autenticacin.
Use la autenticacin con mltiples factores (por ejemplo, contrasea de
uso nico entregada fuera de banda, Nmero de identificacin [Personal
Identification Number, PIN] de telfono inteligente) para permitir que el
usuario registre nuevos dispositivos de forma segura.
Considere fijar la cuenta de usuario a uno o dos dispositivos de usuario
cuando sea prctico.
Considere limitar la cantidad de dispositivos por usuario (como un
mximo de cinco dispositivos por usuario).
Evite que los usuarios inicien sesiones simultneamente en ms de un
dispositivo.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
AS-2.2
Autenticacin y
Acceso
Implemente una recuperacin de contrasea segura.
Tenga en cuenta los siguientes pasos:

o Recolecte preguntas creadas por usuarios, preguntas
predeterminadas o preguntas de datos de identidad (cuidado con las
inquietudes de privacidad).
o Defina una longitud mnima para las respuestas de las preguntas.
o Verifique las preguntas y respuestas de seguridad.
o Disee el sistema de almacenamiento para las preguntas y
respuestas.
o Considere que los usuarios revisen y actualicen peridicamente las
preguntas y respuestas.
o Autentique las solicitudes para cambiar las preguntas, posiblemente
usando un canal lateral, como un PIN enviado a un telfono
inteligente.
o Bloquee la cuenta del usuario inmediatamente y enve una ficha por
un canal lateral.
o Permita que el usuario cambie la contrasea en la sesin existente.
o
o
Ponga a prueba el proceso de recuperacin de contrasea con la

ingeniera social.
Verifique que el banco de pregunta de seguridad no incluya
preguntas sobre escuelas, fecha de nacimiento, apellido de soltera o
cualquier otro registro que sea accesible por sitios web como
LinkedIn, Facebook, etc.
AS-2.3
Siga el principio de privilegio mnimo.
Opere la aplicacin con una cuenta de usuario, no una cuenta con

privilegios, y con el menor nivel de permisos posible.
Prohba la ejecucin de la aplicacin con permisos de nivel de
administrador o sistema.
AS-2.4
Implemente controles para evitar los ataques mediante fuerza bruta.
Bloquee la cuenta de usuario despus de una determinada cantidad de

intentos de contraseas infructuosos. Considere usar de 5 a 10 como
umbral.
Considere mantener la cuenta de usuario bloqueada hasta que un
administrador la desbloquee manualmente.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
AS-2.5
Autenticacin y
Acceso
Implemente y documente un proceso para proteger un almacenamiento

de claves criptogrficas y garantice una administracin segura continua.
Almacene solamente datos delicados que se deben conservar.

Considere inquietudes de privacidad al almacenar datos.
Respalde claves codificadas generadas por locatarios o permita que los

locatarios codifiquen datos para una identidad sin acceso a un certificado
clave pblico (por ejemplo, codificacin basada en identidad).
Use solamente algoritmos criptogrficos seguros (por ejemplo, estndar
de codificacin avanzado (Advanced Encryption Standard, AES),
criptografa de clave pblica RSA, SHA-256 o superior).
No use algoritmos dbiles (por ejemplo, MD5 o SHA1).
Asegrese que los nmeros originados al azar (utilizados en nombres de
archivos o identificadores nicos globales [Globally Unique Identifier,
GUID]) sean criptogrficamente seguros.
Use solamente implementaciones de algoritmos criptogrficos de mayor
aceptacin (consulte NIST FIPS 140-2).
Almacene el resumen criptogrfico aleatorizado y con hash de las
contraseas y no las contraseas en s.
Asegrese de que la proteccin de almacenamiento criptogrfico
permanezca segura, incluso si los controles principales fallan (por
ejemplo, siempre codifique los datos en reposo).
Asegrese de que las claves secretas estn protegidas del acceso no
autorizado.
Define un ciclo vital clave:
o Documente los procedimientos de manejo de claves en todo el ciclo
vital.
o Documente los procedimientos para manejar un riesgo de clave.
o
o
o
o
Utilice un enfoque de administracin de claves centralizada y

automatizada en lugar de distribucin de claves manual.
Proteja las claves en una bveda.
Almacene las claves lejos de los datos utilizados para codificar.
No almacene claves en servidores de aplicaciones, servidores web,
servidores de base de datos, etc.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
N.
Tema de seguridad
AS-2.5
Continuacin
Autenticacin y
Acceso
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
o
o
o
o
o
o
o
Recomiende la creacin de claves codificadas nicas por locatario e

incluso por proyecto.
Cambie las claves peridicamente, al menos cada 1 a 3 aos.
Vuelva a generar otras claves cada 1 a 3 aos como mnimo.
Separe las responsabilidades para crear, administrar y usar las
claves.
Solicite que los custodios de claves firmen un formulario sobre sus
responsabilidades relacionadas.
Use solamente medios seguros para distribuir claves (por ejemplo,
TLS).
Use claves independientes cuando se requieran claves mltiples (por
ejemplo, no seleccione una segunda clave relacionada con la
primera).
Evite la sustitucin no autorizada de claves.
AS-2.6
Active una configuracin de caducidad automtica para que todos los

enlaces externos a contenido caduquen despus de un tiempo definido
por el usuario.
Active la configuracin predeterminada para la caducidad del enlace de

24 horas.
AS-2.7
Use herramientas de verificacin humana como CAPTCHA o

reCAPTCHA con aplicaciones web.
AS-2.8
Proporcione a los clientes la capacidad de limitar la cantidad de veces

que un usuario especfico puede descargar o transmitir un activo.
AS-2.9
Autenticacin y
Acceso
Confirme la carga y descarga de todo el contenido y activos crticos.
Use CAPTCHA o reCAPTCHA para proteccin contra bots.
Enve un correo electrnico inmediatamente a los propietarios de

contenidos, propietarios de proyectos o gerentes de proyectos siempre
que se carguen, descarguen o vean contenidos.
Incluya los siguientes detalles:
o Hora correcta de todas las actividades.
o Intentos de descarga/transmisin basados en reglas de acceso
(xitos y fallas).
o Informacin forense (por ejemplo, direcciones IP o MAC, informacin
de geolocalizacin).
o Cantidad de intentos de descargas/transmisiones por activo por
usuario.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
N.
AS-2.10
AUTENTICACIN Y
ACCESO
Tema de seguridad
SEGURIDAD DE NUBE
OPERACIONES
Mejor prctica
Incluya un mensaje breve en aplicaciones mviles para recordarles a los

usuarios habilitar contraseas de dispositivos y habilitar software de
ubicacin de dispositivo y borrado remoto.
SEGURIDAD DE DATOS
Recuerde a los usuarios instalar herramientas de borrado remoto y

ubicacin como Buscar mi iPhone, Administrador de Dispositivo
Android.
Instale, configure y mantenga un sistema de gestin de dispositivos
mviles.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
AS-3.0
Sistemas y
codificacin
segura
Lleve a cabo anlisis de penetracin/pruebas de seguridad

de aplicaciones web antes del desarrollo de produccin y al
menos trimestralmente en lo sucesivo. Valide que las
vulnerabilidades se solucionen con una reevaluacin.
Use herramientas de estndar industrial sobre ciberseguridad.

Ponga a prueba las 10 principales vulnerabilidades detectadas
por OWASP:
o A1 Injection (incluso SQL, SO y protocolo ligero de acceso a
directorios [Lightweight Directory Access Protocol, LDAP]).
o A2 Cross Site Request (XSS).
o A3 Administracin de sesin y autenticacin dbil.
o A4 Referencia directa a objetos no segura.
o A5 Cross Site Request Forgery.
o A6 Mala configuracin de seguridad.
o A7 Almacenamiento criptogrfico insuficiente.
o A8 Falla al limitar el acceso al URL.
o A9 Proteccin de capa de transporte insuficiente.
o A10 Redirecciones y envos no validados.
o Busque actualizaciones:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten
_Project.
Pruebe en busca de desbordamientos del bfer.
Pruebe en busca de manejo de errores indebido
Pruebe en busca de fallas al limitar el acceso al URL.
Pruebe en busca de directory traversal.
Repita las pruebas independientes e internas cuando se realicen
los cambios, o al menos trimestralmente.
Solicite que una organizacin independiente lleve a cabo
pruebas trimestralmente y cuando sea realizan cambios.
Use una combinacin de pruebas automatizadas y manuales, lo
que incluye, entre otros, los siguientes:
o Servidores intermediarios en lnea interactivos.
o Deteccin de desbordamiento de pila y montn.
o Inseguridades de autenticacin.
o Enumeracin de usuarios.
o Verificacin de entrada.
o Manipulacin o deconstruccin de fechas.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
N.
Tema de
seguridad
AS-3.0
Continuacin
Sistemas y
codificacin
segura
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Lleve a cabo pruebas manuales y automatizadas.
Lleve a cabo pruebas en front-end, back-end web y todas las
conexiones relacionadas. Busque la solucin a cualquier
problema vlido que se detecte inmediatamente despus de la
deteccin:
o Crtico: Solicite la reparacin inmediata.
o Alta: Solicite la reparacin inmediata.
o Medio: Solicite la reparacin en el prximo lanzamiento
regular de la aplicacin.
o Baja: Solicite una va clara cuando la reparacin se abordar
dentro de un marco de mutuo acuerdo.
AS-3.1
Lleve a cabo pruebas de vulnerabilidad al menos

trimestralmente.
Use herramientas de estndar industrial sobre ciberseguridad .

trimestralmente.
Solicite que una organizacin independiente lleve a cabo las
pruebas.
Busque la solucin a cualquier problema que se detecte
inmediatamente despus de la deteccin.
Lleve a cabo pruebas en los servidores front-end, back-end web
y todas las conexiones relacionadas.
AS-3.2
Utilice cookies de forma segura, si es necesario.
Codifique cookies en lugar de ejecutar un algoritmo hash en

cookies.
Use la configuracin HttpOnly.

Limite las cookies a aplicaciones individuales.
Limite las cookies a sesiones individuales.
AS-3.3
Valide las entradas de usuarios e implemente el manejo de

errores seguro.
Valide todas las entradas.

Limpie todas las entradas.
Responda una entrada de usuario incorrecto con mensajes de
errores seguros, es decir mensajes que no proporcionan
informacin que un usuario malicioso puede encontrar til para
atacar el sistema.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
AS-3.4
Sistemas y
codificacin
segura
Implemente procedimientos de ingreso seguros.
Registre al menos los siguientes eventos:

o Fallas de validacin de entrada.
o Fallas de validacin de salida.
o Autenticaciones exitosas e infructuosas.
o Fallas de autenticacin (control de acceso).
o Fallas de administracin de sesin (por ejemplo,
modificacin de valor de identificacin de sesin de cookie).
o Errores de aplicacin.
o Errores y eventos del sistema.
o Puestas en marcha, cierres, pausas e inicializacin de
ingresos de aplicaciones y sistemas.
o Uso de funcionalidad de alto riesgo (por ejemplo, funciones
de administrador y creador).
o Departamento jurdico y otras suscripciones.
o Todo el contenido y eventos de archivo/carpeta de clientes.
o Manejo de claves de cualquier tipo.
o Creacin y eliminacin de objetivos de nivel de sistema.
o Bloqueo de geolocalizacin.
Registre los siguientes atributos:
o Cundo (por ejemplo, fecha y hora).
o Dnde (por ejemplo, identificador de aplicaciones, servicio,
geolocalizacin, punto de entrada, ubicacin de cdigo y
direccin de aplicaciones).
o Quin (por ejemplo, direccin fuente o identidad de usuario).
o Qu (por ejemplo, tipo de evento, gravedad, indicador de
evento y descripcin, indicacin de xito o falla).

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
N.
Tema de
seguridad
AS-3.4
Continuacin
Sistemas y
codificacin
segura
AS-3.5
AS-3.6
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Proteja las bitcoras de fiscalizaciones de las alteraciones:
o En reposo:
Incorporar una deteccin de alteraciones.
Almacene o copie bitcoras a medios de solo lectura lo

antes posible.
Registre y vigile todos los accesos a las bitcoras.
Revise los privilegios de ingreso frecuentemente.

o En trnsito:
Use un protocolo de transmisin seguro.
Considere verificar el origen de los datos de eventos.
Verifique que los datos en trnsito realmente estn cifrados.

Guarde las bitcoras como mnimo dos aos.
Implemente un sistema Security Information and Event

Management (SIEM) para agregar y analizar las diversas
bitcoras.
Implemente un SIEM, lo que incluye lo siguiente:
Codifique todos los contenidos y los datos de clientes en

reposo.
Use AES de 256 bits o ms.
o Depsito de bitcora de eventos centralizado para agregado

de datos/bitcoras de eventos de servidores, sistemas,
aplicaciones y dispositivos de infraestructura.
o Correlacin automatizada de mltiples eventos de seguridad
aislados a un solo incidente de seguridad relevante.
o Alertas para notificar al equipo de seguridad sobre problemas
inmediatos a travs del uso de un tablero y/o correo
electrnico.
o Software de deteccin de cambios o vigilancia de integridad
de archivos en bitcoras para garantizar que los datos de
bitcoras existentes no se cambien sin generar alertas (a
pesar de que los nuevos datos agregados no ocasionen una
alerta).
o Alertas para indicar los ingresos simultneos en la misma
cuenta desde dos ubicaciones diferentes.
Codifique todos los contenidos en aplicaciones mviles.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
N.
Tema de
seguridad
Mejor prctica
AS-3.7
Sistemas y
codificacin
segura
Codifique todos los contenidos y los datos de clientes en

trnsito.
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Tenga en cuenta lo siguiente:
o Use Transport Layer Security (TLS):

Use TLS en todas las pginas de ingreso y autenticacin.
Use TLS al transmitir contenidos delicados.
No proporcione pginas sin TLS para contenido seguro.
Solo es compatible con protocolos seguros: TLS1.0,
o
o
TLS1.1 y TLS 1.2

Es compatible con TLS-PSK y TLS-SRP para autenticacin
mutua.
Use seguridad de transporte estricta HTTP.
Solo es compatible con renegociaciones seguras.
o Implemente certificados:
Use una autoridad de certificacin adecuada para la base
de usuarios de la aplicacin.
Use nombres totalmente calificados en los certificados.
Use un certificado que respalde los nombres de dominio
requeridos.
No use certificados comodn.
No use direcciones RFC 1918 (privado) en certificados.
Siempre proporcione todos los certificados necesarios.
Use claves seguras y protjalas.
Evite el almacenamiento en cach de datos delicados.
Deshabilite la compresin.
Mantenga los datos delicados fuera del URL.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
AS-3.8
Sistemas y
codificacin
segura
Implemente controles para una administracin de sesin

segura.
Administre las sesiones de forma segura:

o Use un nombre de sesin segura que no revele detalles
innecesarios como identificacin/nombre de usuario, ficha o
las tecnologas usadas para programar idiomas o
aplicaciones web.
o Use una identificacin de sesin lo suficientemente extensa
para evitar los ataques mediante fuerza bruta.
o Use identificaciones de sesin impredecibles al azar.
o Use una administracin de sesin estricta cuando sea
posible.
o Valide y filtre cualquier identificacin de sesin no vlida
antes de procesarla.
o Renueve la identificacin de sesin despus de cualquier
cambio de nivel de privilegio.
o Limite los mecanismos de intercambio de identificacin de
sesin (por ejemplo, parmetro de cookies o URL).
o Implemente una desconexin por inactividad en cada sesin.
o Establezca desconexiones obligatorias en cada seccin.
o Incluya una caducidad de sesin manual (por ejemplo, botn
de cierre de sesin). Imponga un cierre de sesin en eventos
de cierre de ventana de navegador web.
o Evite el almacenamiento en cach de contenido web cuando
sea posible.
o Nunca almacene en cach identificaciones de sesin, incluso
si se requiere de otra manera.
o Utilice desconexiones de sesin iniciales, en caso de que los
usuarios compartan la misma computadora o dispositivo.
o No permita varias sesiones simultneas del mismo
nombre/identificacin de usuario.
o Deshabilite las sesiones de mltiples pestaas de navegador.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
N.
Tema de
seguridad
AS-3.8
Continuacin
Sistemas y
codificacin
segura
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Administre las cookies de forma segura, si se utilizan:
o Use el atributo Seguro con cookies.
o Use el atributo HttpOnly con cookies.
o Use el atributo Dominio con cookies.
o Use el atributo Ruta con cookies.
o Use atributos no persistentes (por ejemplo, Caducidad,
Edad mxima) con cookies.
o Evite usar los mismos nombre de cookie para diferentes rutas
o mbitos de dominio dentro de la misma aplicacin.
AS-3.9
Implemente controles para evitar SQL injection.
AS-3.10
Implemente controles para evitar redirecciones y envos de URL

no vlidos.
Evite usar redirecciones y envos.

No permita que el usuario ingrese el URL si se deben usar
redirecciones.
Asegrese de que el URL suministrado sea vlido si no se puede
evitar la entrada del usuario.
Limpie la entrada con marcado en lista blanca si se debe
permitir el ingreso de URL.
AS-3.11
Implemente controles para evitar conexiones de redes annimas Rechace todas las conexiones a cualquier parte de la aplicacin,
(por ejemplo, Tor, Freenet, Netshade), si es posible.
si la direccin IP del usuario es annima, si es posible.
AS-3.12
Implemente controles para evitar filtracin de direccin IP.
Use declaraciones preparadas.

Use procedimientos almacenados.
Evada todas las entradas suministradas por el usuario.
Minimice los privilegios asignados a cada cuenta de base de
datos en el entorno.
Valide las entradas con marcado en lista blanca.
Evite la filtracin de direcciones IP del usuario a aplicaciones

externas (por ejemplo, redes sociales)

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de
seguridad
Mejor prctica
AS-3.13
Sistemas y
codificacin
segura
Implemente controles para evitar XSS (Cross-site scripting).
Nunca ingrese datos no confiables, excepto en ubicaciones

permitidas.
Evada HTML antes de ingresar datos no confiables en contenido
de elemento HTML.
Evada atributos antes de ingresar datos no confiables en
atributos comunes de HTML.
Evada JavaScript antes de ingresar datos no confiables en
valores de datos JavaScript.
Evada CSS y valide estrictamente antes de ingresar datos no
confiables en valores de propiedad de estilo HTML.
Evada URL antes de ingresar datos no confiables en valores de
parmetro URL HTML.
Limpie el marcado HTML con una biblioteca.
Evite XSS basado en DOM.
Use el indicador de cookie HTTPOnly, cuando sea posible (por
ejemplo, no se usa JavaScript).
Permita que los remitentes tengan la opcin de incluir filigranas

forenses basadas en la sesin (invisible) para el contenido.
El contenido de filigrana que se transmite.

El contenido de filigrana que se descarga.
Verifique que las filigranas forenses puedan tolerar la captura de
AS-3.14
pantalla y varias cualidades de grabacin en video.
Verifique que las filigranas forenses se puedan recuperar

exitosamente e identificar individualmente al destinatario.
Ponga a prueba la solidez de la filigrana forense regularmente.

AS-3.15
Sistemas y
codificacin
segura
Implemente un ciclo vital de contenido/activos documentado y

formal.
Incluya para contenido/activos:

o de DVD
o Versiones editadas.
o Devolucin.
o Archivo.
o Eliminacin/Destruccin certificada.
o Plazo de retencin para cada etapa.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
VI.
AUTENTICACIN Y
ACCESO
PAUTAS
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
DE SEGURIDAD DE NUBE DE MEJORES PRCTICAS .
N.
Tema de seguridad
Mejor prctica
CS-1.0
Organizacin y
gestin
Se requiere el cumplimiento con las pautas comunes de mejores Pautas aplicables:

prcticas de contenido de la MPAA. Si existen controles ms
o De MS-1 a MS-12
estrictos dentro de las Pautas de entorno distribuido/nube y
o De PS-1 a PS-21
seguridad de aplicaciones, la poltica ms estricta prevalecer.
o De DS-1 a DS-15
CS-1.1
Lleve a cabo una fiscalizacin de seguridad externa al menos

una vez al ao (por ejemplo, Declaracin de normas para
trabajos de atestificacin nm. 16 (Statement on Standards
of Attestation for Engagements, SSAE) tipo 2, SOC 1, ISO
27000/27001, MPAA).
CS-1.2
Documente e implemente polticas de seguridad y privacidad

que concuerden con marcos de industria de seguridad para la
gestin de seguridad de la informacin (por ejemplo, ISO-27001,
ISO-22307, CoBIT).
CS-1.3
Documente e implemente referencias de seguridad de la

informacin para cada componente de la infraestructura (por
ejemplo, hipervisores, sistemas operativos, enrutadores,
servidores de nombres de dominio (Domain Name Server,
DNS), etc.).
CS-1.4
Documente e implemente procedimientos de seguridad de

personal que concuerden con los procedimientos de seguridad
de informacin actual de la organizacin.
CS-1.5
Solicite que todos los empleados, contratistas y terceros firmen

acuerdos de no divulgacin/confidencialidad durante el proceso
de incorporacin.
La fiscalizacin debe medir el marco de sistema de gestin de

seguridad de la informacin.
Se deben comparar las referencias de seguridad con los

estndares de industria de seguridad.
Ponga a prueba trimestralmente.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
CS-1.6
Organizacin y
gestin
Documente e implemente procedimientos para llevar a cabo

debida diligencia sobre seguridad al delegar funcionalidad o
servicios a un tercero.
Revisiones de documentacin (por ejemplo, fiscalizaciones
Documente e implemente separacin de responsabilidades

para tareas comerciales crticas.
Documente medidas de control compensatorias cuando no se
CS-1.8
Proporcione a los clientes informacin sobre ubicaciones de su

contenido y datos.
Proporcione informacin sobre cmo se transmiten los datos.

Proporcione informacin sobre fueros judiciales/ubicaciones de
datos y contenido.
CS-1.9
Desarrolle un procedimiento documentado para responder

solicitudes de datos de clientes de gobiernos o terceros.
CS-1.10
Establezca polticas y procedimientos para etiquetar, manejar y

asegurar contenedores que contienen datos y de otro tipo.
Siga un estndar de etiquetado de datos estructurado (por
CS-1.11
Establezca procedimiento para la eliminacin segura de

contenidos/datos, incluso contenidos/datos archivados y con
copia de seguridad.
Cumpla con todos los requisitos regulatorios y legales para la

depuracin de contenidos/datos delicados.
CS-1.12
Establezca, documente e implemente situaciones a clientes

cuyos datos pueden ser transferidos de una ubicacin fsica a
otra.
Por ejemplo, copias de seguridad fuera del sitio, migracin en

caso de fallos de continuidad del negocio, replicacin.
Divulgue todos los movimiento por escrito antes de la
implementacin.
CS-1.7
independientes, bitcoras, cumplimiento, resultados de anlisis

de penetracin y planes de mitigacin).
Validacin de controles de seguridad.
Verifique que todos los proveedores de software cumplan con los
estndares de industria con respecto a la seguridad del Ciclo
vital del desarrollo de software/sistemas (SDLC).
pueda realizar la separacin de responsabilidades. Asegrese

de incluir lo siguiente:
o Administracin de claves criptogrficas.
o Control de cambio de aplicaciones.
o Gestin de cambio de configuracin de seguridad.
ejemplo, ISO 15489, especificaciones de catlogos XML de

OASIS, gua de tipo de datos CSA).

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
N.
Tema de seguridad
Mejor prctica
CS-1.13
Organizacin y
gestin
Establezca, documente e implemente caractersticas, controles,

polticas y procedimientos de administracin de claves
adicionales.
Capacite al personal con respecto a todas las polticas y

procedimientos.
OPERACIONES
SEGURIDAD DE DATOS
CS-1.14
SEGURIDAD DE NUBE
Proporcione una codificacin segura (consulte AS-3.6 y

AS-3.7) para que los clientes transfieran
contenidos/datos en redes externas/pblicas.
Use una codificacin segura siempre que los
componentes de infraestructura necesiten comunicarse
con otros mediante redes pblicas. Codifique plataformas
o datos relacionados usando al menos AES de 256 bits o
ms.
Separe las responsabilidades para crear, administrar y
usar las claves.
Determine si los empleados pueden administrar las
claves para proyectos de clientes.
Determine si los clientes pueden generar y controlar sus
propias claves codificadas.
Permita la creacin de claves codificadas nicas por
cliente e incluso por proyecto.
Documente la propiedad de cada etapa del ciclo vital de
las claves codificadas.
Documente los sistemas utilizados para administrar las
claves cifradas.
Documente la poltica sobre claves cifradas generadas
por locatarios.
Use la codificacin para proteger imgenes virtuales de
mquinas y datos durante la transferencia entre redes e
instancias de hipervisor y datos cifrados en reposo.
No almacene claves en la nube.
Garantice que los administradores y responsables de datos

comprendan sus responsabilidades legales con respecto a la
seguridad e integridad de datos.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
N.
AUTENTICACIN Y
ACCESO
Tema de seguridad
Mejor prctica
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Establezca un proceso para notificar a los clientes cuando se

realicen cambios importantes en polticas de
seguridad/privacidad.
CS-1.15
CS-1.16
Organizacin y
gestin
Planee, prepare y mida el desempeo del sistema requerido

para garantizar niveles de servicio aceptables.
Tenga en cuenta lo siguiente:

o Disponibilidad de servicio
o Calidad de servicio
o Planificacin de capacidad
Proporcione vigilancia de desempeo continuo.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
N.
CS-1.17
AUTENTICACIN Y
ACCESO
Tema de seguridad
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Mejor prctica
Desarrolle y mantenga requisitos adicionales para respuesta a

incidentes y notificacin inmediata al cliente en caso de algn
acceso no autorizado a los sistemas o contenidos.
Publique reglas y responsabilidades que especifiquen las

responsabilidades de la compaa de las responsabilidades del
cliente en caso de una incidente de seguridad.
Mantenga puntos de contacto con las fuerzas del orden.
Integre requisitos de clientes personalizados en el plan de
respuesta de seguridad.
Asegrese de que SIEM permita anlisis y alertas detalladas
sobre los datos de clientes individuales.
Asegrese de que el plan de respuesta a incidentes con los
procesos y controles de administracin de cadena de custodia.
Asegrese de que la capacidad de respuesta a incidentes
incluya el uso de anlisis y recuperacin de datos forenses
jurdicamente admisibles.
Tenga la capacidad de apoyar retenciones de litigios (bloqueo de
datos de un momento determinado) para un cliente especfico sin
bloquear otros datos de clientes.
Tenga la capacidad de hacer cumplir y certificar la separacin de
datos de locatarios al producir datos en respuesta a citaciones
judiciales.
Determine la poltica con respecto a qu datos de incidentes de
seguridad, si hay alguno, se compartirn con clientes.
Determine los criterios de notificacin y proceso para informar a
los clientes sobre un incidente.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
CS-2.0
Operaciones
Proteja los suministros y servicios de centro de datos y

condiciones ambientales.
Vigile.
Mantenga.
Ponga a prueba al menos anualmente.
CS-2.1
Asegrese de que el centro de datos tenga controles de

seguridad fsica y permetro adecuados.
Proporcione proteccin fsica contra daos (por ejemplo, causas

naturales, desastres naturales y ataques voluntarios).
Proporcione contramedidas para desastres naturales o
provocados por el hombre anticipados.
No use centros de datos ubicados en lugares con una alta
probabilidad/incidencia de riesgos ambientales de alto impacto
(inundaciones, tornados, terremotos, huracanes, inestabilidad
geopoltica, etc.).
CS-2.2
Desarrolle, documente y mantenga requisitos adicionales para

la planificacin de la continuidad del negocio.
Proporcione proteccin para cortes de servicios.

Ponga a prueba los mecanismos de copia de seguridad,
recuperacin y redundancia al menos trimestralmente.
Proporcione las opciones de copia de seguridad y recuperacin
para garantizar que se restauren los contenidos y datos de un
cliente individual.
Mantenga un inventario completo de todos los activos crticos.
Mantenga un inventario completo de todas las relaciones
proveedor/negocio crticas.
CS-2.3
Desarrolle, documente y mantenga controles de configuracin y

cambio adicional.
Implemente controles para limitar y vigilar la instalacin de

software no autorizado en sistemas.
Proporcione una capacidad de identificar mquinas virtuales a
travs de polticas/metaetiquetas (por ejemplo, TXT/TPM,
etiqueta VN).
Proporcione una capacidad de identificar hardware a travs de
identificaciones de hardware/etiquetas de
hardware/metadatos/etiquetas de polticas.
CS-2.4
Mantenga un inventario completo de todos los activos crticos,

incluso la propiedad del activo.
Realice recuentos de inventarios y conciliacin de activos

peridicamente.
CS-2.5
Operaciones
Mantenga un inventario de todas las relaciones con proveedores

crticas.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
N.
CS-2.6
AUTENTICACIN Y
ACCESO
Tema de seguridad
Mejor prctica
Desarrolle y mantenga acuerdos de nivel de servicio (service
level agreement, SLA) con clientes, socios y proveedores de
servicios.
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Incluya los siguiente como mnimo:

o mbito de relaciones comerciales y servicios
ofrecidos.
o Puntos de contacto.
o Visibilidad e informe continuo sobre el
desempeo de SLA de clientes, es decir
vigilancia de nivel de servicio y medidas de
tiempo de actividad:
Capacidad de vigilar del cliente.
Poltica sobre sobresuscripcin de sistema (por ejemplo,
red, almacenamiento, memoria, entrada/salida [I/O], etc.).
Devolucin al cliente por tiempo de inactividad.
o Requisitos de seguridad de informacin.
Poltica para evitar filtracin de datos o riesgo
intencional/accidental entre locatarios y entorno de
mltiples locatarios.
Poltica sobre la capacidad de clientes de anlisis de
penetracin y vulnerabilidad de terceros.
Poltica sobre respuesta a incidentes.
o Poltica de continuidad del negocio, incluso
poltica sobre capacidades de restauracin y
recuperacin.
o Trato de contenidos/datos al vencimiento o
finalizacin del contrato.
o Informacin sobre cualquier relacin con
terceros o subcontratistas que afecta a los
clientes.
o Poltica para actualizar el SLA al menos
anualmente.
o Poltica sobre apoyo de inicio de sesin nico
(single sign on, SSO).
o Tenga en cuenta lo siguiente:
Requisitos sobre informes de incumplimiento de
seguridad.
Derecho a fiscalizacin e inspeccin de instalaciones.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
CS-3.0
Seguridad de datos
Implemente un proceso para proporcionar todas las bitcoras

relevantes solicitadas por una buena causa para clientes en un
formato que se pueda exportar fcilmente de la plataforma para
su anlisis en caso de un incidente de seguridad.
Transporte bitcoras de fiscalizaciones con una codificacin

AES de 128 bits o ms.
CS-3.1
Considere proporcionar la capacidad de usar ubicacin

geogrfica de sistema como un factor de autenticacin
adicional.
CS-3.2
Proporcione la capacidad de controlar la geografa/ubicacin

fsica de almacenamiento de contenidos/datos de un cliente, si
es necesario.
Proporcione la capacidad de que los clientes decidan sobre la

ubicacin geogrfica de sus contenidos/datos.
Permita que los clientes especifiquen desde qu ubicaciones
geogrficas se pueden transmitir datos y hasta cules (para
abordar consideraciones jurisdiccionales legales basadas en
donde se almacena y accede a datos).
Asegrese de que los contenidos/datos no migren ms all de
los lmites geogrficos especficos.
CS-3.3
Establezca procedimientos para garantizar que no se repliquen

datos que no sean de produccin en entornos de produccin.
Separe los datos que no sean de produccin de los datos de

produccin.
CS-3.4
Establezca, documente e implemente un procedimiento

publicado para finalizar el acuerdo de servicio con un cliente,
incluso garantizar la limpieza de todos los sistemas informticos
de contenidos/datos de clientes una vez que el contrato con el
cliente haya finalizado.
Utilice un proceso de solucin o destruccin de borrado que

permite la recuperacin imposible de contenidos/datos (por
ejemplo, destruccin fsica, borrado de
desmagnetizacin/criptogrfica, revocacin de licencia).
Desarrolle polticas para reutilizar equipo.
CS-3.5
Establezca y documente polticas y procedimientos para una

eliminacin de equipo segura, categorizada segn el tipo de
activo, usada fuera de las instalaciones de la organizacin.
Consulte la norma 5220.22-M del Departamento de Defensa de
CS-3.6
Seguridad de datos
los EE. UU. sobre estndares para picar y borrar material digital.
Implemente un protocolo de servicio de tiempo sincronizado (por Considere implementar al menos dos fuentes horarias
ej., protocolo de tiempo de red) para garantizar que todos los
independientes.
sistemas tengan una referencia horaria comn.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
N.
AUTENTICACIN Y
ACCESO
Tema de seguridad
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
Mejor prctica
CS-3.7
Disee y configure entornos virtuales y de red para restringir y

vigilar el trfico entre conexiones confiables y no confiables.
CS-3.8
Disee, desarrolle e implemente aplicaciones, sistemas y

componentes de mltiples locatarios para que los contenidos y
datos del cliente se segmenten adecuadamente.
Incluya polticas y procedimientos de administracin de datos

para abordar lo siguiente:
o Una fiscalizacin de alteraciones.
o Funcin de integridad de software para identificar acceso no
autorizado a datos de locatarios.
CS-3.9
Use canales de comunicacin seguros y cifrados al migrar

servidores fsicos, aplicaciones y datos de contenidos desde y
hacia servidores virtuales.
CS-3.10
Implemente medidas tcnicas y aplique tcnicas de defensa

profunda (por ejemplo, anlisis profundo de paquetes,
interrupciones de trfico, agujeros negros) para la deteccin y
respuesta oportuna a ataques de red asociadas con patrones de
trfico de ingreso/egreso (por ejemplo, spoofing de NAC y
ataques de envenenamiento de cach ARP y/o ataques DDOS).
Revise estas configuraciones al menos anualmente.

Documente toda la infraestructura.
Actualice regularmente toda la documentacin.
Revise regularmente el acceso/la conectividad permitida entre
dominios/zonas de seguridad dentro de la red.

17 de marzo de 2015
CICLO VITAL DEL

DESARROLLO
AUTENTICACIN Y
ACCESO
SEGURIDAD DE NUBE
OPERACIONES
SEGURIDAD DE DATOS
N.
Tema de seguridad
Mejor prctica
CS-3.11
Seguridad de datos
Establezca y documente controles para garantizar entornos

virtualizados.
Limite y vigile el uso de servicios que pueden manejar particiones

virtuales.
Implemente un sistema para detectar ataques que puedan
enfocarse en la infraestructura virtual directamente (por ejemplo,
suplementacin, pldora azul, hyper jumping).
Implemente controles tcnicos para bloquear ataques de
infraestructura virtuales.
Controle los cambios realizados en imgenes virtuales de
mquinas, independientemente de su estado de ejecucin.
Limite todas las funciones de administracin de hipervisor o
consolas administrativas segn el principio de privilegio mnimo y
respete esto en todos los controles tcnicos adicionales (por
ejemplo, autenticacin con mltiples factores).
Proporcione una capacidad de identificar mquinas virtuales a
travs de metadatos o etiquetas de poltica (por ejemplo, se
pueden usar las etiquetas para limitar los sistemas operativos
invitados en el arranque/instancia/transporte de datos en el pas
equivocado).

17 de marzo de 2015
ANEXO A: GLOSARIO
Los trminos bsicos y los acrnimos de este glosario se usan con frecuencia y son remitidos en esta publicacin. Estas definiciones han sido tomadas de estndares ISO
relevantes (27001/27002), estndares de seguridad (es decir, NIST) y mejores prcticas de la industria. En las pautas sobre mejores prcticas, todos los trminos que
estn incluidos en este glosario figuran resaltados en negrita.
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Derechos de acceso
Permiso para usar o modificar un objeto o sistema.
Autorizacin
Estndar de
codificacin
avanzado (Advanced
Encryption Standard,
AES)
Es un estndar NIST de codificacin con clave

simtrica que emplea bloques de 128 bits y cuyas
claves tienen una longitud de 128, 192 o 256 bits.
La autorizacin es la funcin de especificar los

derechos de acceso a recursos relacionados con
seguridad informtica y de computadoras en general
y a controles especficos. En un tono ms formal,
"autorizar" es definir una poltica de acceso.
Pruebas beta
Agile
El desarrollo de software Agile es un grupo de

mtodos de desarrollo de software cuyos requisitos y
soluciones progresan con la colaboracin entre
equipos interfuncionales y autoorganizados. Fomenta
la planificacin adaptativa, el desarrollo evolutivo, la
entrega temprana, la mejora continua y estimula una
respuesta rpida y flexible frente al cambio.
Administrador de
Dispositivo Android
Un componente que permite a los usuarios realizar un

seguimiento, localizar y borrar de forma remota su
dispositivo Android.
Las pruebas beta tienen lugar despus de las

pruebas alfa y se pueden considerar una forma de
prueba de aceptacin de un usuario externo. Se
lanzan versiones de software, conocidas como
versiones beta, a una audiencia limitada fuera del
equipo de programacin, conocidos como beta
testers. Se lanza el software a grupos de personas
para que las pruebas adicionales puedan garantizar
que el producto tiene pocos errores o fallos.
Pruebas de caja
negra
Aplicacin
El software de aplicacin (una aplicacin) es un

conjunto de programas informticos diseados para
permitir al usuario llevar a cabo un grupo de
funciones, tareas o actividades coordinadas. El
software de aplicacin no puede ejecutarse por s
mismo, sino que depende del software del sistema
para su ejecucin.
Las pruebas de caja negra son un mtodo de prueba

de software que examina la funcionalidad de una
aplicacin sin detenerse en sus mecanismos o
estructuras internas. Este mtodo se puede aplicar a
prcticamente todos los niveles de pruebas de
software: unidad, integracin, sistema y aprobacin.
Seguimiento de fallos
Un sistema de seguimiento de fallos o sistema de

seguimiento de defectos es una aplicacin de
software que controla los fallos de software en
proyectos de desarrollo de software.
Desbordamiento del
bfer
En seguridad y programacin informtica, un

desbordamiento del bfer, o sobrecarga de memoria
intermedia, es una anomala en la que un programa,
al recopilar datos en un bfer, desborda el lmite del
bfer y sobrescribe memoria adyacente. Este es un
caso especial de violacin de seguridad de memoria.
Autenticacin
El acto de confirmar la verdad de un atributo de un

solo dato o entidad. Al contrario de la identificacin, la
cual se refiere al acto de informar o indicar de otra
forma una declaracin que supuestamente certifica la
identidad de una persona o cosa, la autenticacin es
el proceso de confirmar realmente la identidad. La
autenticacin generalmente comprende la verificacin
de la validez de al menos una forma de identificacin.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
CAPTCHA
Un CAPTCHA (acrnimo de "prueba de Turing

completamente automtica y pblica para diferenciar
computadoras de humanos" en ingls) es un tipo de
prueba de respuesta frente a desafos utilizada en
informtica para determinar si el usuario es humano o
no.
Cookies
Control de cambio
Un control de cambio dentro de sistemas de gestin

de la calidad (quality management systems, QMS) y
sistemas de tecnologa informtica (TI) es un proceso
formal usado para garantizar que se presenten
cambios en un producto o sistema de forma
controlada y coordinada.
Las cookies de autenticacin son el mtodo ms

frecuentemente utilizado por servidores web para
determinar si los usuarios estn registrados en una
cuenta. Sin este mecanismo, el sitio no sabra si
enviar una pgina que contiene informacin delicada
o solicitar a los usuarios autenticarse al registrarse.
La seguridad de una cookie de autenticacin
generalmente depende de la seguridad del sitio web
emisor, el navegador web del usuario y si los datos de
cookies estn cifrados.
Cross-Site Scripting
Cross-site scripting (XSS) es un tipo de vulnerabilidad

de seguridad informtica que se encuentra
generalmente en aplicaciones web. XSS permite que
los atacantes apliquen scripts de clientes en pginas
web vistas por otros usuarios.
CSA
Cloud Security Alliance (CSA) es una organizacin sin

fines de lucro con la misin de "promocionar el uso de
mejores prcticas para ofrecer garanta de seguridad
dentro de la informtica de nube y capacitar sobre los
usos de informtica de nube para ayudar a proteger
todas las formas de informtica".
Reparacin de
defectos
Resuelve cualquier defecto descubierto en el proceso

de prueba de software, antes de que el cdigo migre
a produccin.
Ataques de
denegacin del
servicio
En informtica, un ataque de denegacin del servicio

(DoS) o denegacin del servicio distribuido (DDoS) es
un intento de hacer que un recurso de red o mquina
no est disponible para sus posibles usuarios.
Activos digitales
Cualquier forma de contenidos y/o medios que hayan

sido formateados en una fuente binaria que incluye el
derecho a usarlos.
Entorno
distribuido/nube
La informtica de nube se basa en un modelo de

consumo y servicio para recursos informticos. La
informtica de nube puede involucrar el software de
aplicacin que se ejecuta dentro de la nube y opera a
travs de dispositivos con Internet. La informtica de
nube proporciona tres tipos de servicios de la
siguiente manera: 1) Infraestructura como Servicio
(IAAS), 2) Plataforma como Servicio (PAAS) y 3)
Software como Servicio (SAAS). IAAS incluye
mquinas virtuales, servidores y/o almacenamiento
de datos. PAAS incluye bases de datos, entorno de
desarrollo y servidores web. SAAS incluye
aplicaciones, como correo electrnico y escritorio
virtual. Las nubes se pueden clasificar como pblicas,
privadas o hbridas. Las nubes pblicas proporcionan
servicios para el pblico. Las nubes privadas estn
solamente disponibles para una sola organizacin.
Una nube hbrida tiene dos o ms nubes que son
distintas, pero estn unidas (por ejemplos, nubes
privadas y pblicas).

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Directory Traversal
Directory Traversal (o path traversal) consiste en

aprovechar la sanitizacin/validacin de seguridad
insuficiente de nombres de archivo ingresados por
usuarios, por lo que los caracteres que representan
un "cruce a directorio principal" pasan a los API de
archivo. La finalidad de este ataque es ordenar a una
aplicacin acceder a un archivo informtico al que no
debera poder acceder. Este ataque aprovecha una
falta de seguridad (el software acta exactamente
como debera) en lugar de aprovechar una falla en el
cdigo. Directory traversal tambin se conoce como el
ataque ../ (punto punto barra), escalado de directorios
y backtracking. Algunas formas de este ataque
tambin son ataques canonicalizacin.
Reglas del
cortafuegos
Conjunto de instrucciones que usa el cortafuegos

para determinar cmo se deben enviar paquetes
entre el origen y el destino.
FireWire
Una interfaz de alta velocidad que permite transmitir

datos desde dispositivos externos a una
computadora.
Fallos de formato
Una cadena de formato sin controlar es un tipo de

vulnerabilidad de software que se puede usar en
fallas de seguridad. Se pueden usar fallas de cadena
de formato para colapsar un programa o ejecutar un
cdigo daino.
Freenet
Una plataforma de transferencia de archivos entre

personas que utiliza un almacn de datos distribuidos
descentralizados para mantener y proporcionar
informacin. Contiene un conjunto de software
gratuito para publicar y comunicar por Internet.
Pruebas de
distorsiones
La pruebas de distorsiones es una tcnica de prueba

de software, generalmente automatizada o
semiautomatizada, que implica proporcionar datos no
vlidos, no esperados o aleatorios a las entradas de
un programa informtico.
Geolocalizacin
La geolocalizacin es la identificacin de la
localizacin geogrfica del mundo real de un objeto,
como un telfono mvil o terminal informtica
conectada por Internet.
Debida diligencia
La investigacin sobre un posible empleado o

trabajador de una agencia externa que se realiza
antes de la contratacin para asegurar un buen
estatus.
Codificacin
La conversin de datos a un formato, llamado texto

cifrado, el cual no puede ser fcilmente comprendido
por las personas no autorizadas.
Manejo de errores
Manejo de errores o excepciones es el proceso de

responder ante la incidencia, durante el cmputo, de
excepciones (condiciones anmalas o excepcionales
que requieren un procesamiento especial) que
generalmente cambian el flujo normal de ejecucin de
programas. Es proporcionado por construcciones de
lenguaje de programacin especializadas o
mecanismos de hardware informticos.
Buscar mi iPhone
Buscar mi iPhone (tambin conocido como Buscar

iPhone en SpringBoard y especficamente para otros
dispositivos como Buscar mi iPad, Buscar mi iPod o
Buscar mi Mac) es una aplicacin y servicio
proporcionados por Apple Inc. que permite la
localizacin remota de dispositivos iOS y
computadoras Mac.
Cortafuegos
Puerta que restringe el acceso entre redes de

conformidad con la poltica local de seguridad.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Desbordamiento de
montn
Un desbordamiento de montn es un tipo de

desbordamiento del bfer que se lleva a cabo en el
rea de datos de montn. Se pueden aprovechar los
desbordamientos de montn de una forma diferente a
los desbordamientos de pila. La memoria del montn
es asignada dinmicamente por la aplicacin en
tiempo de ejecucin y generalmente contiene datos
de programa. Se realiza el aprovechamiento al
corromper esta informacin de formas especficas
para que la aplicacin sobrescriba estructuras
internas como punteros de lista vinculados. La tcnica
de desbordamiento de montn cannica sobrescribe
el vnculo de asignacin de memoria dinmica (como
metadatos de asignacin de memoria) y usa el
intercambio de puntero resultante para sobrescribir un
puntero de funcin de programa.
HTTPOnly
Las cookies HttpOnly solo pueden usar cuando se

transmiten por HTTP (o HTTPS). No se pueden
acceder a travs de API que no sean de HTTP, como
JavaScript. Esta restriccin mitiga, pero no elimina, la
amenaza de robo de cookie de sesin a travs de
cross-site scripting (XSS). Las cookies HttpOnly
solo son compatibles con los navegadores ms
modernos.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
HTTPS
Un protocolo de comunicaciones para una

comunicacin segura en una red informtica con una
aplicacin especialmente ancha en Internet.
Seguridad de
transporte estricta
HTTP
La Seguridad de transporte estricta HTTP (HTTP

Strict Transport Security, HSTS) es un mecanismo de
poltica de seguridad web necesario para proteger
sitios web HTTPS seguros de ataques de versin
anterior y que simplifica significativamente la
proteccin contra intercepciones de cookie. Permite
que los servidores web declaren que los navegadores
web (u otros agentes de usuarios cumplidores) solo
deben interactuar con ellos usando conexiones
HTTPS seguras y nunca mediante protocolo HTTP no
seguro.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Hipervisor
Un hipervisor o monitor de mquina virtual (virtual

machine monitor, VMM) es una parte de software,
firmware o hardware informtico que crea y ejecuta
mquina virtuales.
Verificacin de
entrada
IAM
Los trminos "Gestin de identidad" (Identity

Management, IdM) y "Gestin de identidades y
acceso" (o IAM) se utilizan indistintamente en el rea
de gestin de acceso de identidad, mientras que la
gestin de identidad en s entra en el mbito de
seguridad de TI. La Gestin de identidad (IdM)
describe la administracin de autores individuales, su
autenticacin, autorizacin y privilegios dentro de
los lmites de sistemas y empresas, o entre estos, con
el objetivo de aumentar la seguridad y productividad
al reducir el costo, tiempo de inactividad y tareas
repetitivas.
La validacin de entrada o datos es el proceso de

garantizar que un programa funciona en base a datos
limpios, correctos y tiles. Usa rutinas, generalmente
denominadas "reglas de validacin", "limitaciones de
validacin" o "rutinas de verificacin", que verifican la
correccin, la importancia y seguridad de los datos
que se ingresan en el sistema.
Direccin IP
Una identificacin numrica (direccin lgica) que se

asigna a dispositivos que participan en una red
informtica.
ISO/IEC 12207
ISO/IEC 12207. Ingeniera de sistemas y software.

Procesos del ciclo vital de software es un estndar
internacional para procesos del ciclo vital de software.
Tiene el objetivo de ser el estndar que defina todas
las tareas requeridas para desarrollar y mantener
software.
ISO 15489
Un estndar internacional titulado: Informacin y

documentacin. Gestin de documentos.
ISO 27000/27001
ISO/IEC 27000 es un estndar internacional titulado:

Tecnologa informtica. Tcnicas de seguridad.
Sistemas de gestin de seguridad informtica.
Informacin general y vocabulario. ISO 27001:2013
es un estndar de seguridad informtica titulado:
"Tecnologa informtica. Tcnicas de seguridad.
Sistemas de gestin de seguridad informtica.
Requisitos".
ISO 27002
ISO/IEC 27002 es un estndar de seguridad

informtica publicado por la Organizacin
Internacional de Normalizacin (ISO) y la Comisin
electrotcnica internacional (International
Electrotechnical Commission, IEC) titulado
Tecnologa informtica. Tcnicas de seguridad.
Cdigo de prctica para la gestin de seguridad
informtica.
Administracin de
claves criptogrficas
La creacin, distribucin, almacenamiento y

revocacin de claves codificadas que se usan para
acceder a contenidos codificados.
IMEI
El Nmero de Identidad de equipo mvil internacional

o IMEI es un nmero, generalmente nico, para
identificar 3GPP (es decir, GSM, UMTS y LTE) y
telfonos mviles iDEN y algunos telfonos
satelitales. Generalmente se encuentra impreso en el
compartimiento para la batera de un telfono, pero
tambin se muestra en la pantalla de la mayora de
los telfonos al ingresar *#06# en el teclado de
marcacin o junto a otra informacin de sistemas en
el men de configuracin del sistema operativo del
telfono inteligente.
Respuesta a
incidentes
La deteccin, el anlisis y la solucin de incidentes de

seguridad.
Sistemas
informticos
Cualquier sistema electrnico informtico utilizado por

el establecimiento para procesar informacin. Los
sistemas informticos incluyen, entre otros,
aplicaciones, dispositivos de red, servidores y
estaciones de trabajo.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Red de rea local

(Local Area Network,
LAN)
Red informtica que abarca un rea fsica pequea

(por ej., una oficina).
Protocolo de red
Convencin o estndar que controla o posibilita la

conexin, comunicacin y transferencia de datos
entre terminales informticos.
Direccin MAC
Una direccin de control de acceso al medio

(direccin MAC) es un identificador nico asignado a
interfaces de redes para las comunicaciones en el
segmento de red fsica. Se utilizan direcciones MAC
como direccin de red para la mayora de las
tecnologas de red IEEE 802, incluso Ethernet y WiFi.
Lgicamente, las direcciones MAC se utilizan en la
subcapa de protocolo de control de acceso al medio
de modelo de referencia de interconexin de sistemas
abiertos (Open Systems Interconnection, OSI).
NIST 800-53
MEID
Un Nmero de identificador de equipo mvil (MEID)

es un nmero nico global que identifica una parte
fsica del equipo de estacin mvil de Acceso mltiple
con divisin de cdigo (Code Division Multiple Access,
CDMA). El formato del nmero es definido por el
informe S.R0048 de 3GPP2, pero en trminos
prcticos, puede ser visto como un IMEI con dgitos
hexadecimales.
La publicacin especial 800-53 del Instituto Nacional

de Normas y Tecnologa de los Estados Unidos
(National Institute of Standards and Technology,
NIST), "Controles de seguridad y privacidad para
sistemas informticos y organizaciones,"
proporciona un catlogo de controles de seguridad
para todos los sistemas informticos federales de
los EE. UU., excepto aquellos relacionados con la
seguridad nacional. Es publicada por el Instituto
Nacional de Normas y Tecnologa de los Estados
Unidos, el cual es una agencia no regulatoria del
Departamento de Comercio de los Estados Unidos.
OWASP
El Proyecto de Seguridad de Aplicaciones Web

Abiertas (OWASP) es una comunidad en lnea
dedicada a la seguridad de aplicaciones web. La
comunidad de OWASP incluye corporaciones,
organizaciones educativas y personas de todo el
mundo. Esta comunidad trabaja para crear artculos,
metodologas, documentacin, herramientas y
tecnologas de acceso gratuito.
Norma de seguridad
de datos de PCI
La Norma de seguridad de datos de Industria de

Tarjetas de Pago (PCI DSS) es un estndar de
seguridad informtica de propiedad exclusiva para
organizaciones que manejan tarjetas de crdito con
marca desde los sistemas de tarjetas principales,
incluso Visa, MasterCard, American Express,
Discover y JCB. Las tarjetas de marca privada que no
forman parte de un sistema de tarjetas principales no
se incluyen en el mbito de PCI DSS.
Anlisis de
penetracin
Un anlisis de penetracin es un ataque en un

sistema informtico con la intencin de encontrar
debilidades en la seguridad, lo que le permite obtener
acceso a l, su funcionalidad y datos.
Gestin de
dispositivos mviles
Autenticacin con
mltiples factores
Netshade
La gestin de dispositivos mviles (Mobile device

management, MDM) es un trmino industrial para la
administracin de dispositivos mviles, como
telfonos inteligentes, tabletas, computadoras
porttiles y computadoras de escritorio. Generalmente
se implementa MDM con el uso de un producto
externo que tiene caractersticas de gestin para
proveedores de dispositivos mviles especficos.
La autenticacin con mltiples factores (Multi-factor
authentication, MFA) es un mtodo de control de
acceso informtico por el cual un usuario puede pasar
al presentar exitosamente varias etapas de
autenticacin separadas.
NetShade es una aplicacin para Mac OS X e iOS, la
cual accede a servidores de Red privada virtual
(Virtual Private Network, VPN) e intermediarios
annimos.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Desarrollo rpido de
aplicaciones (RAD)
El desarrollo rpido de aplicaciones es un trmino

general usado para referirse a alternativas del modelo
en cascada convencional de desarrollo de software y
el nombre del enfoque de James Martin en el
desarrollo rpido. Generalmente, los enfoques RAD
en el desarrollo de software se enfocan menos en
planear tareas y ms en el desarrollo. Por el contrario,
el modelo en cascada se enfoca en planificacin y
especificacin rigurosa.
RFC 1918
En la arquitectura de direcciones de Internet, una red

privada es una red que usa espacio de direccin IP
privado al seguir los estndares establecidos por RFC
1918 para la versin 4 del Protocolo de Internet (IPv4)
y RFC 4193 para la versin 6 del Protocolo de
Internet (IPv6). Estas direcciones se utilizan para
redes de rea local (LAN) de hogar, oficina y
empresa, en las que las direcciones globalmente
ruteables no son obligatorias o no estn disponibles
para las aplicaciones de red destinadas.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
reCAPTCHA
reCAPTCHA es un sistema de dilogo con usuario

originalmente desarrollado por Luis von Ahn, Ben
Maurer, Colin McMillen, David Abraham y Manuel
Blum en el recinto principal de Pittsburgh de la
Universidad Carnegie Mellon. reCAPTCHA fue
adquirido por Google en septiembre de 2009. Como
la interfaz de CAPTCHA, reCAPTCHA les pide a los
usuarios que ingresen palabras visualizadas en
imgenes de textos distorsionados en la pantalla. Al
presentar dos palabras, protege a los sitios web de
que bots intenten acceder a reas restringidas y
ayudar a digitalizar el texto de libros.
Separacin de
responsabilidades
Un principio de seguridad por el cual ninguna persona

individual debe tener la capacidad de completar una
tarea por s misma: un principio por el cual nadie debe
tener la responsabilidad de ms de una funcin
relacionada.
Administracin de
sesin
En la informtica, especficamente en redes, una

sesin es un intercambio de informacin interactiva
semipermanente, tambin conocido como dilogo,
conversacin o reunin, entre dos o ms dispositivos
de comunicacin o entre una computadora y un
usuario. Se configura o establece una sesin en un
momento determinado y luego se derriba en el futuro.
Evaluacin de riesgos Identificar y establecer prioridades de riesgos con el

fin de identificar posibles amenazas a un negocio.
Gestin de riesgos
La identificacin, el anlisis y la mitigacin de riesgos

a travs de la evaluacin de riesgos y la
implementacin de medidas de control de seguridad.
Enrutador
Dispositivo cuyo software y hardware tienen como

finalidad guiar y hacer circular informacin.
Controles de
seguridad crtica del
SANS
Los veinte controles de seguridad crtica para la

defensa ciberntica efectiva (comnmente
denominada Pautas de fiscalizacin de consenso
[Consensus Audit Guidelines, CAG]) es una
publicacin de pautas de mejores prcticas para la
seguridad informtica. El proyecto se inici a
principios de 2008 como respuesta a prdidas
extremas de datos experimentadas por
organizaciones en la base industrial de defensa de los
EE. UU. La publicacin se puede encontrar en el sitio
web de SANS Institute.
Security information
and event
management (SIEM)
Un trmino utilizado para servicios y productos de

software que combina administracin de informacin
de seguridad (security information management, SIM)
y administracin de eventos de seguridad (security
event management, SEM). La tecnologa SIEM ofrece
un anlisis en tiempo real de alertas de seguridad
generadas por aplicaciones y hardware de red.
Inicio de sesin nico Inicio de sesin nico (SSO) es una propiedad de

control de acceso de mltiples sistemas de software
relacionados pero independientes. Con esta
propiedad, un usuario se registra una vez y obtiene
acceso a todos los sistemas sin la necesidad de
registrarse cada vez. Esto se logra generalmente
usando el servidor de protocolo ligero de acceso a
directorios (Lightweight Directory Access Protocol,
LDAP) y bases de datos LDAP almacenados en
servidores.
SLA
Un acuerdo de nivel de servicio es una parte de un

contrato de servicio en el que se define formalmente
un servicio. Los aspectos especficos del servicio
(alcance, calidad, responsabilidades) se acuerdan
entre el proveedor de servicio y el usuario del
servicio. Una caracterstica comn de un SLA es un
plazo de entrega contratado (de servicio o
desempeo).
Informe SOC 1
Un informe SOC 1 (informe de controles de

organizacin de servicio) es un informe de controles
en una organizacin de servicio que son pertinentes
para el control interno de entidades de usuarios sobre
informes financieros. El informe SOC1 es lo que
hubiera considerado previamente como estndar
SAS70, completo con informes de tipo I y tipo II, pero
se incluye bajo la gua SSAE 16.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Ingeniera social
La ingeniera social, en el contexto de seguridad

informtica, hace referencia a la manipulacin
psicolgica de personas para realizar acciones o
divulgar informacin confidencial. Es un tipo de estafa
con el fin de recopilar informacin, cometer fraude u
obtener acceso a un sistema. Se diferencia de una
estafa tradicional en que es generalmente uno de los
tantos pasos de un sistema de fraude ms complejo.
SQL Injection
SQL injection es un mtodo de infiltracin de cdigo

para atacar aplicaciones impulsadas por datos en la
que se ingresan instrucciones SQL maliciosas en un
campo de entrada para su ejecucin (por ejemplo,
para desechar los contenidos de base de datos al
atacante). SQL injection debe aprovechar una
vulnerabilidad de seguridad en el software de una
aplicacin, por ejemplo, cuando la entrada de un
usuario se ha filtrado incorrectamente para caracteres
de escape en cadena literal incrustados en
instrucciones SQL o la entrada de un usuario no se
ingresa correctamente y se ejecuta inesperadamente.
SSAE 16 tipo 2
SSAE 16 es una mejora del estndar actual para

informes sobre controles en una organizacin de
servicio, SAS70.
SSL
Consulte TLS para una definicin.
Desbordamiento de
pila
Un desbordamiento de pila ocurre si el puntero de pila

supera el lmite de pila. La pila de llamadas puede
consistir en una cantidad limitada de espacio de
direccin, generalmente determinada al comienzo del
programa. El tamao de la pila de llamadas depende
de varios factores, incluso en el lenguaje de
programacin, la arquitectura de mquina, el
procesamiento mltiple y la cantidad de memoria
disponible. Cuando un programa intenta usar ms
espacio que el disponible en la pila de llamadas (es
decir, cuando intenta acceder a memoria ms all de
los lmites de la pila de llamadas, lo que es
esencialmente un desbordamiento del bfer), la pila
se desborda, lo que generalmente resulta en un
colapso del programa.

17 de marzo de 2015

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Ciclo vital del

desarrollo de
software/sistemas
(SDLC)
Un ciclo vital del desarrollo de sistema est

compuesto por una cantidad de fases de trabajo
separadas y definidas claramente que utilizan
ingenieros en sistemas y desarrolladores de sistemas
para planificar, disear, construir, probar y
proporcionar sistemas informticos.
URL
Empleado de
agencias externas
Cualquier persona que trabaje para una empresa

externa pero que es contratado por el establecimiento
para prestar servicios. Los empleados de agencias
externas incluyen a los contratistas, trabajadores
independientes y agencias de temporarios.
TLS
Transport Layer Security (TLS) y su antecesor,

capa de conexin segura (SSL), son protocolos
criptogrficos diseados para proporcionar seguridad
en comunicaciones en una red informtica. Usan
certificados X.509 y mejoran la criptografa asimtrica
para autenticar a la contraparte con la que se
comunican y negocian una clave simtrica. Entonces
se utiliza esta clave de sesin para cifrar datos que
fluyen entre partes.
Un localizador uniforme de recursos (uniform

resource locator, URL) es una referencia a un recurso
que especifica la ubicacin del recurso en una red
informtica y un mecanismo para recuperarla. Un
URL es un tipo especfico de identificador uniforme de
recursos (uniform resource identifier, URI), a pesar de
que muchas personas usan ambos trminos
indistintamente. Un URL implica el medio de acceder
a un recurso indicado, lo cual no se aplica a cada
URI. Los URL comnmente sirven para referenciar
pginas web (http), pero tambin se usan para
transferencia de archivos (ftp), correos electrnicos
(mailto), acceso a bases de datos (JDBC) y muchas
otras aplicaciones.
Norma 5220.22-M del

Departamento de
Defensa de los
EE. UU.
(Manual operativo del
Programa de
seguridad industrial
nacional [National
Industrial Security
Program, NISP])
La norma 5220.22-M del Departamento de Defensa

de los EE. UU. o el manual operativo de NISP
establece los requisitos y procedimientos estndares
para todos los contratistas del gobierno con respecto
a informacin clasificada.
Bveda
Un rea dedicada para almacenar medios fsicos con

contenidos.
Red local de rea

virtual (Virtual Local
Area Network, VLAN)
Red informtica con atributos de una LAN/Red

interna pero sin la restriccin de tener una ubicacin
fsica.
Red privada virtual

(Virtual Private
Network, VPN)
Red informtica que permite que los usuarios

accedan a otra red mayor.
Cascada
El modelo de desarrollo en cascada (Waterfall) es un

proceso de diseo secuencial utilizado en procesos
de desarrollo de software, en el cual el progreso se ve
en un movimiento constantemente descendente
(como cascada) en las fases de concepcin,
iniciacin, anlisis, diseo, construccin, pruebas,
produccin/implementacin y mantenimiento.
TOR
Autenticacin con
dos factores
Es un software gratuito para permitir comunicacin

annima. Su nombre es un acrnimo que proviene del
nombre del proyecto de software original The Onion
Router. Tor dirige el trfico de Internet a travs de una
red gratuita mundial voluntaria que consiste en ms
de seis mil relevadores para ocultar la ubicacin de
un usuario y el uso de cualquiera que lleva a cabo
anlisis de trfico o vigilancia de red.
La autenticacin con dos factores (tambin conocida
como 2FA) proporciona una identificacin inequvoca
de usuarios por medios de la combinacin de dos
componentes diferentes. Estos componentes pueden
ser algo que el usuario sabe, algo que el usuario
posee o algo que es inseparable del usuario. La
autenticacin con dos factores es un tipo de
autenticacin con mltiples factores.
NISP o el Programa de seguridad industrial nacional

es la autoridad nominal (en los Estados Unidos) para
administrar las necesidades de la industria privada
para acceder a informacin clasificada.

17 de marzo de 2015
Trmino o acrnimo
Descripcin
Trmino o acrnimo
Descripcin
Uso de filigranas
El proceso de insertar (posiblemente) en forma

irreversible la informacin en un activo digital.
Red informtica que abarca un rea amplia (por ej.,

una empresa).
Seguridad de
aplicaciones web
La seguridad de aplicaciones web es una divisin de

la seguridad informtica que trata especficamente
con la seguridad de sitios web, aplicaciones web y
servicios web.
Red de rea amplia

(Wide Area Network,
WAN)
Trabajo en proceso
(Work in Progress,
WIP)
Cualquier bien que no se considere producto

terminado.
Marcado en lista
blanca
Una lista blanca es una lista o registro de entidades a

las que se les proporciona un privilegio, servicio,
movilidad, acceso o reconocimiento especfico. Se
aceptarn, aprobarn y/o reconocern entidades en la
lista.

17 de marzo de 2015
ANEXO B: DEFINICIONES DE TTULOS Y CANALES DE DISTRIBUCIN DE LA MPAA

Tipos de ttulo
Tipo de ttulo
Descripcin
Tipo de ttulo
Descripcin
Pelcula
Un tipo de trabajo presentado en cines o directamente en

video o Internet y que incluye los siguientes tipos:
Publicidad
Cualquier forma de anuncio, incluso comerciales

televisivos, infomerciales, anuncios de servicio pblico y
promociones no incluidas en el concepto de Promocin.
No incluye avances y sinopsis de pelculas aunque
puedan salir al aire en forma de comerciales de televisin.
Tipo de pelcula Descripcin

Largometraje
Pelcula de formato largo.
Cortometraje
Una pelcula ms breve que el

estndar de un largometraje.
Msica
Un tipo de obra que incluye tonos de timbre, videos de

msica y otros tipos de msica.
Pelcula distinta
a una pelcula
en formato largo
Otras obras, como por ejemplo, un

documental.
Otros
Un tipo de obra que incluye:
Programas
televisivos de
episodios
Un tipo de obra relacionada con la televisin, Web o

dispositivos mviles y que incluye episodios de una
temporada o miniserie. Un piloto tambin es un episodio,
como lo son otras secuencias especializadas (como los
webisodios o los movisodios).
Programas
televisivos que
no tienen
episodios
Un tipo de obra relacionada con la televisin, Web o

dispositivos mviles, pero que no tiene episodios (por ej.,
pelculas para televisin, eventos deportivos o programas
de noticias).
Promociones y
publicidad
Un tipo de obra que incluye:

Promocin: todo tipo de material promocional
relacionado con medios. Esto incluye avances,
sinopsis, paquetes electrnicos para la prensa y otros
materiales. Las promociones son casos especiales de
publicidad.
Tipo
Descripcin
Fragmento
Un activo que consta primordialmente

de partes de otra obra u otras obras.
Suplementarios
Material creado para suplementar

otras obras. Por ejemplo, extras
relacionados con un DVD.
Coleccin
Un grupo de activos que no encaja en

otra categora. Por ejemplo, una
coleccin de pelculas.
Franquicia
Una coleccin o combinacin de otros

tipos; por ejemplo, una franquicia
podra incluir varios programas de
televisin o programas de televisin y
pelculas.

17 de marzo de 2015
Canales de distribucin
Canal de
distribucin
Descripcin
Cine
Las pelculas se presentan exclusivamente en cines.
Formato
distinto al cine
Una pelcula se presenta en forma pblica de otra manera

que no es la televisin, el video ni el cine. Incluye la
exhibicin de una pelcula (i) en aviones, trenes, barcos u
otros medios de transporte comunes, (ii) en escuelas,
universidades y otras instituciones educativas, bibliotecas,
agencias gubernamentales, organizaciones comerciales o
de servicios y clubes, iglesias y otros grupos de
orientacin religiosa, museos y sociedades flmicas
(incluso la transmisin por circuito cerrado dentro del rea
inmediata de origen de tal exhibicin) y (iii) en
instalaciones militares permanentes o temporales,
instituciones de encierro, prisiones, centros de jubilados,
plataformas petroleras, campamentos forestales y
campamentos de silvicultura y construccin remotos
(incluso la transmisin por circuito cerrado dentro del rea
inmediata de origen de tal exhibicin).
Video
Una pelcula se presenta para el alquiler y venta de bienes

empaquetados a nivel mayorista; por ejemplo, en DVD o
Blu-Ray.
Televisin
abierta
Una pelcula se presenta al pblico en ondas de difusin

abierta, por lo general, segn se describe en los acuerdos
de licencia con cadenas de televisin, estaciones de
televisin o redes de televisin por cable bsico.
Televisin
pagada
Una pelcula se presenta al pblico en un formato que

requiere pago por parte de al menos un participante en la
cadena de difusin, como por ejemplo, video a pedido,
cable, satlite y pago por consumo.

17 de marzo de 2015

17 de marzo de 2015
Canal de
distribucin
Internet
Descripcin
Una pelcula se presenta en cualquiera de los siguientes
canales de distribucin en lnea:
Tipo
Descripcin
Venta electrnica
directa (Electronic SellThrough, EST) o
Descargar para poseer
(Download to Own,
DTO)
Copias digitales permanentes

que se venden en Internet.
Alquiler por Internet o

Video a pedido (Videoon-Demand, VOD)
Alquiler por Internet para

visualizacin temporal.
Video a pedido con

suscripcin
(Subscription Video-onDemand, SVOD)
Visualizacin por alquiler por

Internet con suscripcin.
Video a pedido gratuito

por Internet (Online
Free Video-onDemand, FVOD)
Visualizacin mediante
transmisin ininterrumpida
gratuita, normalmente con
anuncios comerciales.
Otros
Internet y nuevos medios,

como televisin mvil o por
protocolo de Internet.
ANEXO C: PREGUNTAS
1.
FRECUENTES
Mi proveedor de servicios debe implementar todas las mejores prcticas que se presentan?
El cumplimiento de las mejores prcticas es totalmente voluntario. Son pautas sugeridas para la planificacin, implementacin y modificacin de procedimientos de
seguridad.
2.
Mi proveedor de servicios debe aplicar todos los puntos incluidos en la seccin Gua de implementacin de las mejores prcticas?
No. La informacin incluida en esa seccin de las pautas tiene como objetivo ayudarlo a determinar la mejor forma de estructurar una medida en particular de control
de seguridad. Si su proveedor tiene una evaluacin de seguridad de contenidos realiza por la MPAA, nuestra evaluacin solo comparar las prcticas de su

17 de marzo de 2015
proveedor con la respectiva seccin sobre mejores prcticas de las pautas en un momento determinado. (Para obtener ms informacin sobre cmo recibir una
evaluacin de seguridad de contenidos de la MPAA, puede comunicarse con nosotros enviando un correo electrnico a contentsecurity@mpaa.org).
3.
Qu sucede si mi sistema actual no permite la implementacin de mejores prcticas?

Comunquese con el respectivo proveedor de los sistemas para buscar posibles soluciones a fin de permitir que los sistemas sigan las mejores prcticas. Las
soluciones pueden incluir parches, actualizaciones de versiones e incluso cambios a sistemas ms seguros. Tambin se pueden emplear medidas alternativas de
seguridad si las restricciones tcnicas evitan la implementacin de mejores prcticas; sin embargo, tales medidas por lo general no cubren los riesgos asociados. Se
debe presentar documentacin formal y la aprobacin de sus clientes con respecto a excepciones a la implementacin de las pautas de seguridad debido a
limitaciones de sistemas.
4.
Al aplicar las mejores prcticas de estas pautas, mi proveedor de servicios igualmente deber cumplir con los requisitos de seguridad establecidos
individualmente por un miembro de la MPAA?
La implementacin de las mejores prcticas es una pauta y no sustituye las disposiciones contractuales especficas de un miembro de la MPAA. Las decisiones sobre
el uso de proveedores por parte de un miembro en particular las toma cada miembro nicamente en forma unilateral. La MPAA recomienda el uso de las mejores
prcticas como pauta para futuras discusiones de seguridad con sus clientes.

17 de marzo de 2015
ANEXO D: CMO NOTIFICAR
ACTIVIDADES DE PIRATERA A LA
MPAA
Notificacin por Internet a la MPAA sobre actividades de

piratera
Usted puede notificar a la MPAA directamente sobre actividades de piratera:
http://www.mpaa.org/contact-us/
Lneas de notificacin sobre actividades de piratera de la

MPAA y MPA, disponibles las 24 horas
El siguiente listado incluye la informacin de contacto de la lnea para notificar,
disponible las 24 horas, en todos los pases donde la MPAA tiene presencia con
una oficina de proteccin de contenidos local:
Norteamrica y la regin de Latinoamrica
Canad
(800) 363-9166
Estados Unidos
(800) 371-9884
Regin Asia Pacfico (APAC)

Australia
+61 29997 8011
Hong Kong
+65 6253-1033
Malasia
+65 6253-1033
Nueva Zelanda
+65 6253-1033
Filipinas
+65 6253-1033
Singapur
+65 6253-1033
Taiwn
+65 6253-1033
En el sitio www.mpaa.org/about/around-the-world encontrar un listado

completo con la informacin general de contacto de todas las oficinas
regionales y nacionales para la proteccin de contenidos.
Regin de Europa, Medio Oriente y frica (EMEA)
Recursos en lnea de la MPAA

Blgica
+32 2 778 2711
Italia
(800) 864 120
Pases Bajos
(909) 747 2837
Ucrania
+38 0 445 013829
Reino Unido
(800) 555 111
Se puede consultar ms informacin sobre la MPAA en el sitio web

www.mpaa.org
Tambin podr obtener ms informacin sobre programas de proteccin de
contenidos en el todo el mundo durante la exhibicin en el sitio
www.fightfilmtheft.org.
Fin del documento

MPAA Best Practices App and Cloud V1!0!20150507 DRAFT r2 ES LA

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

MPAA Best Practices App and Cloud V1!0!20150507 DRAFT r2 ES LA

Diunggah oleh

Hak Cipta:

Format Tersedia

Programa de seguridad de los contenidos de la MPAA

MEJORES PRCTICAS EN LA SEGURIDAD DE

Programa de seguridad de los contenidos globales de la MPAA

ANTECEDENTES DEL DOCUMENTO

Lanzamiento pblico inicial

Mejores prcticas de la MPAA - Pautas de seguridad de entorno distribuido/nube y aplicacin

Informacin general de las mejores prcticas...........................................................................................................................................................2

II. Informacin general de los proveedores...................................................................................................................................................................3

DE LAS MEJORES PRCTICAS

Durante ms de tres dcadas, la Motion Picture Association of America, Inc.

El propsito de este documento es brindar a los proveedores futuros y

A partir del ao 2007, estas evaluaciones se realizaron con un modelo de

Las mejores prcticas con respecto a la seguridad de contenidos han sido

La MPAA se ha comprometido a proteger los derechos de quienes producen

La publicacin de un conjunto de mejores prcticas por establecimiento

El anlisis y la evaluacin de la seguridad de los contenidos en

El nfasis en la importancia de asegurar los contenidos de los miembros.

Las mejores prcticas descritas en este documento estn sujetas a leyes o

Servicios de proveedores tpicos

Entorno de desarrollo de aplicacin

Infraestructura como Servicio

Almacenamiento de datos, recursos

Junto con el miembro (su cliente), una organizacin tiene la responsabilidad de

Todo contenido que la

Hurto de un xito de taquilla

Medidas de control de seguridad

IV. Document Organization

IV. Organizacin del documento

AS-3.1, AS-3.2, AS-3.3

CS-1.0, CS-1.1, CS-1.2,

AS-2.2, AS-2.3, AS-2.4

CS-1.6, CS-1.7, CS-1.8,

CS-1.13, CS-1.14, CS-1.15

AS-2.6, AS-2-7, AS-2.8

CS-3.0, CS-3.1, CS-3.2,

CS-3.6, CS-3.7, CS-3.8,

AS-3.9, AS-3.10, AS-3.11,

Mejores prcticas de la MPAA - Pautas de seguridad de entorno distribuido/nube y aplicacin

Programa de seguridad de los contenidos globales de la MPAA

CICLO VITAL DEL

PAUTAS DE SEGURIDAD DE APLICACIONES DE MEJORES PRCTICAS

FORMATO DE MEJORES PRCTICAS

El grfico en la parte superior de cada pgina destaca el rea de seguridad que

Use herramientas de verificacin humana como

Use CAPTCHA o reCAPTCHA para proteccin contra bots.

A cada mejor prctica se le

Cada rea de capacidad

Se ofrecen medidas adicionales y

Programa de seguridad de los contenidos globales de la MPAA

CICLO VITAL DEL

DE SEGURIDAD DE APLICACIONES DE MEJORES PRCTICAS

Crear seguridad en todo el Ciclo vital del desarrollo de

Considere usar metodologas de estndar industrial:

Consulte ISO/IEC 12207 para obtener orientacin sobre la

Solicitudes de cambio de programa.

Prueba y aprobacin de aceptacin de usuarios.

Programa de seguridad de los contenidos globales de la MPAA

CICLO VITAL DEL

Ciclo vital del

Implemente control de cambio:

Programa de seguridad de los contenidos globales de la MPAA

CICLO VITAL DEL

Ciclo vital del

Ponga a prueba la seguridad en toda la aplicacin e