Analisi e sviluppo di uno strumento per l'automazione della verifica di conformità

allo standard PCI-DSSLaureando

Lorenzo Caenazzo

RelatoreProf. Alberto Bartoli

CorrelatoriAlessandro Budai

Enrico MilaneseAnno accademico

2011-2012

Premessa: lo standard PCI-DSSCertifica la buona protezione dei

sistemi informatici dei portali d’acquisto

Situazione preesistenteFoglio di calcolo per ogni cliente

◦Indirizzi IP◦Storico analisi◦Analisi rimanenti◦Note◦Contatti

Situazione preesistente: problemiAll’aumentare della richiesta:

◦Fogli di calcolo distribuiti tra tutti gli operatori

◦Reperimento dati difficoltoso◦Nessun report o avviso

Di questo approccio◦Rappresentazione “artistica” dei dati

Colori significativi Formato date non standard

◦Dati duplicati

Situazione preesistente: problemi

Il Problema

Realizzare un sistema che faciliti gli operatori nel:

Seguire il workflow PCI-DSSGestione anagrafica clientiGestione contrattuale clientiGestione documentale analisi

SoluzioneSviluppo di un’applicazione web

◦Accessibile tramite rete interna◦Facile da usare◦Facile da mantenere◦Tipi di dati standard◦Salvataggio documenti◦Report◦Avvisi

Problemi

1. Salvataggio documenti2. Report 3. Avvisi4. Autenticazione utente5. Facile da mantenere6. Facile da usare

1. Salvataggio DocumentiTramite un CMS esternoSalvataggio nel File System

◦Consente di accedere ai file da: Applicazione Accesso remoto alla cartella

◦Backup sistema più complessoSalvataggio nella base dati

◦Backup sistema semplice◦Accesso ai file solo tramite

applicazioni specifiche

Scelta DBMS

PostGreSQLRelazionaleTransazioniNessun metodo

di salvataggio file nativo

Nessuna replica

MongoDBNon relazionaleNessuna

TransazioneSalvataggio file

nativo (GridFS)Possibilità di

replica su più nodi

2. Report3. AvvisiReport

◦Filtrati per contratto◦Esportabili in formato CSV

Avvisi◦In evidenza nell’interfaccia◦Tramite e-mail automatiche

4. AutenticazioneDelegata al server LDAP

aziendale◦Gestione utenti e password unificata

agli altri sistemi aziendali◦Possibilità di creare gruppi di lavoro

5. Facile da mantenereDesign pattern

◦Strategy◦MVC◦Facade

Framework◦Spring◦ExtJS

Test

Interfaccia grafica HomeLe ultime analisi con il relativo

statoGli avvisi

Interfaccia grafica Home – AvvisiGli avvisi

◦Contratti in scadenza ◦Poche analisi rimanenti◦Analisi in scadenza

Interfaccia grafica Home – DettaglioDettaglio

di tutte le informazioni riguardanti un’analisi

Interfaccia grafica Pagina di gestione

Interfaccia grafica Pagina di gestione – FunzioniClienti

◦ Inserimento◦ Modifica

Indirizzi IP◦ Inserimento

Analisi◦ Inserimento◦ Modifica

Documenti◦ Upload◦ Download◦ Cancellazione

Interfaccia grafica Pagina di gestione – FunzioniContratti

◦InserimentoTicket di supporto

◦Inserimento◦Modifica◦Cancellazione

Report CSV

ConclusioniTutti gli obiettivi “gestionali” sono

stati raggiuntiIl sistema è in produzioneSviluppi futuri:

◦Avvio automatico analisi pianificate◦Invio documenti a clienti◦Controllo automatico report analisi◦Rendicontazione automatica lavoro

operatori