Der Sicherheitsstandard PCI DSS (Grundlagen und

Transcription

Der PCI Standard
Ein muss für Firmen im Kreditkartengeschäft
Zu meiner Person
IT Security Manager Swisscard AECS GmbH
Name:
Alter:
Erfahrung:
Giancarlo Gazzoni
54
Seit 1982 in der Security tätig
phys. Sicherheit / IT Sicherheit
Master of Information Security
Diplomarbeit:
IT-Sicherheits-Handbuch
Freizeit:
“pensionierter” Extrembergsteiger ChoOyu 8201m 1987
Kilimandscharo 5895m 1989
Chimborazo 6310 1991
Aconcagua 6962 1995
Heute: Motorrad Reisen
Jazz Piano / Keyboard
Heute dreht sich alles um die Kreditkarte
3
ISACA Präsentation 2015 Giancarlo Gazzoni
01.12.2015
Die beteiligten Parteien im
Kreditkartengeschäft
Vierparteien System
Quelle: Einblicke in die Ökonomie der Zahlungskartensysteme SNB
4
01.12.2015
Die beteiligten Parteien im
Kreditkartengeschäft
Dreiparteien System
Quelle: Einblicke in die Ökonomie der Zahlungskartensysteme SNB
5
01.12.2015
Das PCI Security Standards Council
Gegründet von American Express, Discover Financial Services, JCB International,
MasterCard und Visa Inc.
Das PCI Security Standards Council ist ein offenes, weltweit tätiges, 2006
mit dem Ziel ins Leben gerufene Forum, die PCI-Sicherheitsstandards
weiterzuentwickeln, zu verwalten, über diese aufzuklären und diese
stärker ins Bewusstsein zu rücken. Zu diesen Standards gehören: der Data
Security Standard (DSS), der Payment Application Data Security Standard
(PA-DSS) und die Anforderungen an PIN-Eingabegeräte (Pin-Entry
Devices, PED).
Quelle: https://de.pcisecuritystandards.org
6
01.12.2015
Die Player im PCI Standard
Schemes
PCI SSC
QSA
ASV
7

Geben den Standard vor
 Mandat an den Standard
Council

Standards Council
 Unterhält den Standard
 Qualifiziert QSA und ASV

Qualified Security Assessor
 Zertifiziert
 Wiederholt die jährlichen Audits

Approved Scanning Vendor
 Führt die vierteljährlichen Scans
01.12.2015
8
• SW
Entwickler
• Payment
Apllication
PCI DSS
• Hersteller
• PIN
Transaction
Security
• PIN Entry
Devices
PCI PA-DSS
PCI PTS
Die Standards / Zertifizierungen
•
•
•
•
Händler
Aquirer
Issuer
Data
Security
Stanard
01.12.2015
Der PCI DSS Standard
Der Payment Card Industry Data Security Standard (PCI DSS) wurde
entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die
umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der
ganzen Welt zu vereinfachen. Der PCI-DSS liefert grundlegende technische und
betriebliche Anforderungen zum Schutz von Karteninhaberdaten. Der PCI-DSS
gilt für alle Einheiten, die an der Verarbeitung von Zahlungskarten beteiligt sind
– einschließlich Händlern, Verarbeitungsunternehmen, abrechnenden Stellen,
Kartenemittenten und Dienstleistern sowie anderen Stellen, die CHD
(Cardholder Data, Karteninhaberdaten) und/oder SAD (Sensitive
Authentication Data,Vertrauliche Authentifizierungsdaten) speichern,
verarbeiten oder weitergeben. Im Folgenden finden Sie eine übergeordnete
Übersicht über die zwölf PCI DSS-Anforderungen.
Quelle: Payment Card Industry (PCI)-Datensicherheitsstandard, v3.1
9
01.12.2015
Wer muss Zertifizieren?
LEVEL 1
LEVEL 2
LEVEL 3
LEVEL 4
Any merchant processing
over six million Visa or
MasterCard transactions
per year AND any
merchant compromised in
the last year, or identified
by a card scheme as a level
1 merchant.
•Annual Report on
Compliance (ROC) by a
(QSA) or;
•Annual Report on
Compliance (ROC) by an
Internal Security
Assessor(ISA)
•Quarterly network scan
by an Approved Scan
Vendor (ASV)
•Attestation of Compliance
Form
between one and six
million Visa or MasterCard
transactions per year.
•Annual Report on
Compliance (ROC) by a
(QSA) or;
•Annual Report on
Compliance (ROC) by an
Internal Security Assessor
(ISA)
by an Approved Scan
Vendor (ASV)
Form
between 20,000 and one
eCommerce transactions
per year.
•Annual Self Assessment
Questionnaire (SAQ)
by an Approved Scan
Vendor (ASV) - if applicable
Form – found within the
SAQs
less than 20,000 Visa or
MasterCard eCommerce
transactions per year, and
all other merchants
processing up to one
transactions per year.
•Annual Self Assessment
Questionnaire (SAQ)
by an Approved Scan
Vendor (ASV) – if
applicable
Form found within the
SAQs
Quelle: VISA
10
01.12.2015
Was erwartet eine kompromittierte Firma





Reputationsschaden
Kosten für die Aufklärung
(Forensic)
Erhöhte Audit Kosten
Beseitigung der Mängel
Bussen




Non compliance (jedes
Schemes hat einen eigenen
Bussenkatalog) ca. $ 500 000
Ersatz der Karte $ 20 - $30
pro Karte
Kosten für die
Benachrichtigung der Opfer
Kosten für das Datenleck
$300/kompromittierte Karte









Diverse Finanzielle Verluste
Schadenersatzforderungen
Störung des täglichen Betriebs
Mögliche Kündigung der
Verträge von Kunden
Mögliche Kündigung der
Verträge von Business Partnern
Absatzverluste durch Image
Verlust
Entzug der Lizenz von Schemes
Einstellen der Aktivität
Konkurs der Firma
*geschätzte Zahlen basieren auf Gartner Studie 2008
11
01.12.2015
Der PCI Standard
12
01.12.2015
Der Umgang mit Kreditkartendaten
Der PCI-DSS gilt für alle Einheiten, die an der Verarbeitung von Zahlungskarten beteiligt sind –
einschließlich Händlern,Verarbeitungsunternehmen, Finanzinstitutionen und Dienstleistern sowie
anderen Stellen, die Karteninhaberdaten und/oder vertrauliche Authentifizierungsdaten speichern,
verarbeiten oder weitergeben.
Karteninhaberdaten und vertrauliche Authentifizierungsdaten sind wie folgt definiert:
13
01.12.2015
Der Umgang mit Kreditkartendaten

Die PCI-DSS-Anforderungen 3.3 und 3.4 finden nur bezüglich der PAN Anwendung. Wenn die PAN zusammen mit anderen
Elementen der Karteninhaberdaten gespeichert wird, muss nur die PAN gemäß der PCI-DSS-Anforderung 3.4 unleserlich
gemacht werden.
14
01.12.2015
Was ist die (der?) PAN?
15
01.12.2015
Konkretes Beispiel
16
01.12.2015
Konkretes Beispiel
17
01.12.2015
Konkretes Beispiel
18
01.12.2015
Konkretes Beispiel
19
01.12.2015
PAN nicht verwenden
20
01.12.2015
PAN Maskieren
XX XXXX
21
01.12.2015
PAN digitaler Ersatz (Token)
1011101110111011000
22
01.12.2015
Die Grundlegende Problematik
Prozessbetreuung technisch
•
•
•
•
•
•
RZ / Infrastruktur
Backup / Recovery
DB Administration
Softwareupdates
Prozessteuerung
Tests
Prozessbetreuung fachlich
Run the Bank
(RTB)
•
•
•
•
•
Verarbeitung
Konsistenzprüfung
Validierung
Meldeerstellung
Manuell Korrekturen
Go in Production
Non
Compliance
Virus = Risks
Neue Gesetze & Regulatorien
• FINMA
• PCI
MeWe Fachkonzeption
• Softwareupdates
Datenanforderungen
• Datenanforderungen
Schnittstellen DV-Konzept
• Applikationsanforderunge
Customizing
Change
the
Bank
n
Test
(CTB)
• Test
Reports
Neue Produkte => Projekte/LI/Opt
•
•
•
•
•
•
23
01.12.2015
Das kennen Sie sicher!
24
01.12.2015
Zuerst die Anlayse der Firma
Network Landscape
High Level action plan
25
Application Landscape
Process Landscape
Scanning Software
Evaluate Assessor
01.12.2015
Eine grosse Herausforderung?
Den PAN nicht (mehr) verwenden / speichern!
26
01.12.2015
Die grössten Baustellen die sich durch
PCI DSS ergeben können

Verantwortlichkeiten

Daten



Applikationen



Applikationsowner
Prozesse für die Vewaltung
ISMS / IT Risk Management




27
Dataowner
Bewilligungsprozesse für den Zugriff und die Verarbeitung
Risikobasierende Security Kultur
Prozesse für das IT Riskmanagement
Risk Assessments
Prozesse für das Auditverfahren
01.12.2015

Verantwortlichkeiten

Change Management



Awareness Konzept



Schwerpunkte PCI DSS, Phishing, Umgang mit Daten
Jährliche Awareness Training
Testing



28
Kontrollpunkte setzen wann etwas in Produktion gehen darf
(Compliance Check)
Eskalation der Inbetriebnahme in Produktion
Keine Kundendaten im Test
Umgang mit PAN (Simulationen)
User acceptance Test
01.12.2015

Aufbau folgender Systeme


Data Leakage Prevention DLP
SIEM







IDS / IPS
PKI Infrastruktur
SOC Security Operation Center


29
Logging
Monitoring
Vulnerability Scans
Compliance Monitoring
Interne Security vorfälle
Cyber Risk
01.12.2015
… nicht vergessen zu dokumentieren…
30
01.12.2015
Die zwei grössten Herausforderungen
Das Management für die Sache
gewinnen
31
Die Kulturänderung der ganzen Firma
01.12.2015
Der Tag danach… eine alte Audit Weisheit
Non
Compliance
Compliance
Heute
32
Tag der
Zertifizierung
Zukunft
01.12.2015
Vergleichbar zu anderen Standard?
33
01.12.2015
Letze Chance Unklarheiten zu beseitigen
34
01.12.2015

Der Sicherheitsstandard PCI DSS (Grundlagen und

Transcription

Similar documents

Einblicke in die Ökonomie der Zahlungskartensysteme

Experten für Unternehmenstransaktionen und Finanzierungen im

Biografija

Geschäftsbedingungen - EVO Payments International GmbH

Vorvertragliche Informationen (inkl. Fernabsatz)

Software-Angebote für den Mittelstand

Immer mehr Angriffe aus dem Internet

Remote Access - Angriffsmöglichkeiten

Mikrotechnologie - Westsächsische Hochschule Zwickau

Volltanken mit FiDEs