Le norme Payment Card Industry Data Security Standard (PCI DSS)
-
Upload
carla-longo -
Category
Documents
-
view
221 -
download
3
Transcript of Le norme Payment Card Industry Data Security Standard (PCI DSS)
Le norme Payment Card Industry Data Security Standard (PCI DSS)
Schema riassuntivo della presentazione
Perché le norme PCI DSS
Conformità e livelli di convalida
Dati dei titolari di carte di credito o debito
Il punto di vista legale
Esecuzione di una verifica PCI DSS
Riduzione dei costi attraverso l'automazione
Che cosa sono le norme Payment Card Industry Data Security Standard (PCI DSS)? Le norme PCI DSS sono costituite da una serie di standard di
protezione elaborate dalle maggiori società mondiali emittenti di carte di credito, comprese VISA e MasterCard, al fine di proteggere i dati relativi alle carte di credito e di debito
Ad oggi, tali requisiti disciplinano tutti i canali di pagamento, compresi il settore delle vendite al dettaglio, gli ordini postali e telefonici e il commercio elettronico (e-commerce)
In precedenza, si trattava di uno standard di protezione delle informazioni distinto; tuttavia, adesso è diventato uno standard di protezione generale
Perché sono necessarie le norme PCI DSS?
Il fenomeno del furto dei dati di titolari di carte di credito o debito e della frode connessa allo stesso esiste dalla metà degli anni '80, e ha spinto VISA a stabilire il primo programma di protezione
La recente violazione di sicurezza avvenuta a TJX, con cui hacker penetrati nella sua rete sono riusciti a derubare almeno 46 milioni di numeri di carte di credito e debito, mette in rilievo la sempre maggiore esigenza di una migliore protezione
Secondo InformationWeek, sul mercato nero, gli hacker possono vendere i dati relativi a carde di credito rubate al prezzo di USD 490 per numero di carta comprensivo di PIN
PCI Data Security Standard v. 1.1 (1/3)
La struttura PCI DSS è suddivisa in 12 requisiti di protezione raggruppabili in tre aree principali:
> raccolta e archiviazione di tutti i dati di registro, affinché siano disponibili a fini di analisi
> creazione di rapporti su tutta l'attività, in modo da poter provare immediatamente la propria ottemperanza alle norme
> monitoraggio e avvisi, per far sì che gli amministratori siano sempre in grado di controllare l'accesso e l'utilizzo dei dati e possano essere avvertiti immediatamente in caso di problemi.
PCI Data Security Standard v. 1.1 (2/3)
Categorie PCI DSS
La struttura PCI DSS è inoltre composta delle sei categorie seguenti:
Creazione e manutenzione di una rete protetta
Protezione dati dei titolari di carte di credito/debito
Manutenzione di un programma di gestione della vulnerabilità
Manutenzione di un criterio di protezione delle informazioni
Monitoraggio e test regolari delle reti
Implementazione di rigide misure di controllo dell'accesso
PCI Data Security Standard v. 1.1 (3/3)Requisiti PCI DSS
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Installazione e manutenzione di una configurazione firewall per proteggere i dati dei titolari di carte di credito/debito
Non utilizzo dei valori predefiniti del fornitore per le password di sistema e altri parametri di protezione
Protezione dei dati dei titolari di carte di credito/debito memorizzati
Cifratura della trasmissione dei dati di titolari di carte di credito/debito su reti aperte e pubbliche
Utilizzo e aggiornamento regolari di software o programmi antivirus
Sviluppo e manutenzione della protezione di sistemi e applicazioni
Accesso limitato ai dati dei titolari di carte di credito/debito da parte di aziende che "hanno necessità di sapere"
Assegnazione di un ID esclusivo a chiunque abbia accesso a un computer
Accesso fisico limitato ai dati dei titolari di carte di credito/debitoIndividuazione e controllo di tutto l'accesso alle risorse di rete e ai dati dei titolari di carte di credito/debito
Regolari prove dei sistemi e processi di protezioneManutenzione di un criterio che si occupi della protezione delle informazioni per dipendenti e imprenditori
Tutte le informazioni contenute in una carta di credito/debito adoperata in una transazione
- pcianswers.com Elementi costitutivi dei dati dei titolari di carte di credito/debito
> Numero di contro primario (PAN)> Nome (e cognome) del titolare> Data di scadenza
Dati di autenticazione sensibili (SAD)> Dati della banda magnetica> Codice di convalida della carta (CVC)> Numero d'identificazione personale (PIN)
Quali sono i "dati dei titolari di carte di credito/debito"?
1234
123
Archiviazione dati titolari di carte di credito/debito
Le norme PCI DSS forniscono la protezione dei dati dei titolari di carte di credito/debito
É consentito archiviare le seguenti informazioni, purché vengano cifrate, crittografate in hash o troncate:
> il PAN, il nome (e cognome) del titolare, la data di scadenza, il codice di servizio
Internet
$ 0.00
Merchant
Customerpurchase
Payment Gateway
1234 5678 9012 3456
DATE: 01/01John Doe
Credit Card
CreditCard
Merchant’s Bank
Credit Card Interchange
L'operatore commerciale invia l'operazione con carta di
credito al gateway di pagamento
Ž Il gateway di pagamento passa la transazione alla banca
dell'operatore commerciale, tramite una connessione protetta
Ž
Flusso di transazione tipico
Œ
ŒUn cliente adopera una carta di credito per pagare un
operatore commerciale in seguito all'acquisto di merci
La banca dell'operatore commerciale si reca quindi al Credit
Card Interchange per l'approvazione dell'operazione
Quali soggetti sono tenuti alla conformità alle norme PCI DSS? A decorrere dal settembre 2007, tutte le aziende che gestiscono dati
di titolari di carte di credito, indipendentemente dalle dimensioni delle aziende stesse, sono tenute all'osservanza di rigide norme di sicurezza emanate dalle maggiori società di carte di credito mondiali.
Le norme si applicano a tutte le entità presso cui i dati dei titolari di carte di credito/debito sono:
> archiviati> trasmessi> elaborati
Tutte le entità descritte come operatori commerciali o fornitori di servizi sono tenute a conformarsi alle norme
Operatori commerciali
Entità che accettano carte di credito quale mezzo di pagamento
Esempi di settori interessati> Commercio on line (ad esempio, ebay.com)> Commercio al dettaglio (ad es. Carrefour)> Istruzione superiore (ad esempio le università)> Salute (ad esempio, gli ospedali)> Viaggi e intrattenimento (ad esempio, i ristoranti)> Energetico (ad esempio, le stazioni di servizio)> Finanziario (ad esempio, le compagnie di assicurazione)
Livelli di conformità richiesti agli operatori commercialiLIVELLO DEGLI OPERATORI COMMERCIALI
Livello 1
Operatori commerciali i cui dati dei titolari di carte di credito/debito sono stati compromessi
Operatori commerciali con oltre 6 milioni di operazioni con carte di credito all'anno
Livello 2
Operatori commerciali con un numero di operazioni con carte di credito annuo compreso tra 1 e 6 milione
Livello 3
Operatori commerciali con un numero di operazioni con carte di credito annuo compreso tra 20.000 e 1 milione
Livello 4
Tutti gli altri operatori commerciali
Fornitori di servizi
Entità che prestano servizi agli operatori commerciali
Esempi di servizi
> gateway di pagamento (ad esempio, PayPal)
> elaboratori di pagamenti
> fornitori host di commercio elettronico
> fornitori di servizi gestiti
> agenzie di valutazioni di solvibilità
> società di gestione dei back-up di dati
> società di "tritadocumenti"
Livello di conformità dei fornitori di servizi
LIVELLO DEI FORNITORI DI SERVIZI
Livello 1
Tutti gli elaboratori e gateway di pagamento
Livello 2
I fornitori di servizi, non inclusi nel Livello 1, con oltre 1 milione di conti od operazioni con carte di credito all'anno
Livello 3
I fornitori di servizi, non inclusi nel Livello 1, con meno di 1 milione di conti od operazioni con carte di credito all'anno
Operatore commerciale
Controllo di sicurezza in situ
Questionariodi autovalutazione
Scansione rete
Livello 1 Richiesto annualmente Richiesto trimestralmente
Livello 2 Richiesto annualmente Richiesto trimestralmente
Livello 3 Richiesto annualmente Richiesto trimestralmente
Livello 4 Richiesto annualmente Richiesto trimestralmente
Provider di servizi
Livello 1 Richiesto annualmente Richiesto trimestralmente
Livello 2 Richiesto annualmente Richiesto trimestralmente
Livello 3 Richiesto annualmente Richiesto trimestralmente
A cura di: Consulenti di sicurezza qualificati (QSA)
Interni Distributori di prodotti di scansione approvati (ASV)
Consegnabile: Rapporto sulla conformità (ROC)
Questionario di autovalutazione
Rapporto di scansione
Procedure di conformità alle norme PCI DSS
Compromissione dati titolari di carte di credito
“Intrusione nel sistema di computer laddove si sospetti la divulgazione non autorizzata, la modifica o la distruzione di dati dei titolari di carte di credito/debito”
- Glossario PCI DSS Piano di risposta agli incidenti
> Requisito 12.9
Perchè riportare una compromissione?> Per limitare i danni
Canali di riferimento> Team interno di risposta agli incidenti> Associazioni di carte di credito e acquirenti> Applicazione di normative locali
Chi rischia una compromissione?
Conseguenze
Finanziarie> Possibilità di multe fino a USD 500.000 e costose spese legali
Reputazione> Un incidente negativo può incidere notevolmente su un nome di marca> Coinvolgimento di agenzie di applicazione delle norme
Operative> Livelli 2, 3 o 4 + compromissione = Livello 1> Potenziale perdita dei privilegi di elaborazione delle carte di
credito/debito
Preparazione ai fini della conformità ai PCI DSS
Acquisire familiarità con i requisiti PCI DSS
Identificare tutti i dati dei titolari di carte ed eliminare quelli superflui
Eseguire un'analisi di eventuali gap nella sicurezza
Creare un piano di azione e chiedere consiglio ad esperti laddove necessario
Costi della conformità ai PCI DSS
Operatore commerciale
Controllo di sicurezzain situ
Questionariodi autovalutazione
Scansione rete
Livello 1 Richiesto annualmente Richiesto trimestralmente
Livello 2 Richiesto annualmente
Richiesto trimestralmente
Livello 3 Richiesto annualmente
Richiesto trimestralmente
Livello 4 Richiesto annualmente
Richiesto trimestralmente
Provider di servizi
Livello 1 Richiesto annualmente Richiesto trimestralmente
Livello 2 Richiesto annualmente Richiesto trimestralmente
Livello 3 Richiesto annualmente
Richiesto trimestralmente
A cura di: Consulenti di sicurezza qualificati (QSA)
Interni Distributori di prodotti di scansione approvati (ASV)
Consegnabile: Rapporto sulla conformità (ROC)
Questionariodi autovalutazione
Rapporto di scansione
Punti dolenti
Proteggere sistemi e applicazioni> Controllare la rete> Eseguire la scansione alla ricerca di
vulnerabilità> Distribuire patch e service pack
Monitorare la rete> Registrare l'attività dell'utente> Registrare l'accesso ai dati dei titolari di
carte di credito/debito> Avvisare in merito a eventi importanti
Fornire prove documentali> Mantenere protetti i sistemi> Monitorare l'attività> Adottare azioni correttive
Automazione tramite software
Riduzione drastica di operazioni manuali e ripetitive:
Controlli rete
Gestione vulnerabilità
Monitoraggio attività
Avvisi in tempo reale
Azioni correttive
Generazione di rapporti
Le norme PCI DSS e i prodotti GFI di protezione della rete
Requisiti PCI DSS
1.
2.
3.
4. Cifratura della trasmissione dei dati di titolari di carte di credito/debito su reti aperte e pubbliche
5. Utilizzo e aggiornamento regolari di software o programmi antivirus
6. Sviluppo e manutenzione della protezione di sistemi e applicazioni
7.Limitazione accesso ai dati dei titolari di carte di credito/debito da parte di aziende che "hanno necessità di sapere"
8.
9. Limitazione dell'accesso fisico ai dati dei titolari di carte di credito/debito
10.
11. Regolari prove dei sistemi e processi di protezione
12.Conservazione di un criterio che si occupi della protezione delle informazioni per dipendenti e imprenditori
Installazione e manutenzione di una configurazione firewall per proteggere i dati dei titolari di carte di credito/debito
Non utilizzo di password di sistema e altri parametri di protezione dei produttori
Protezione dei dati dei titolari di carte di credito/debito memorizzati
Assegnazione di un ID esclusivo a tutti coloro che abbiano accesso a un computer
GFI
EventsManager
GFI
LANguard N.S.S.
Individuazione e controllo di tutto l'accesso alle risorse di rete e ai dati dei titolari di carte di credito/debito
ROI e vantaggi aziendali
Automazione> Riduzione di operazioni manuali e ripetitive> Riduzione del carico di lavoro dell'amministratore> Attivazione di azioni correttive
Protezione> Complemento alla propria politica di protezione> Notifica in merito a possibili minacce alla sicurezza> Tranquillità
Risparmio> Nessuna multa PCI DSS> Nessuna commissione per consulenze esterne> Continuità aziendale
Conclusioni
Dato che le società sono costantemente a rischio di perdere dati sensibili relativi ai titolari di carte di credito o debito, con conseguente possibilità di incorrere in multe, azioni legali e cattiva pubblicità, la conformità alle norme PCI DSS dovrebbe costituire uno dei principali obiettivi delle società che trattano, conservano, trasmettono o elaborano dati di carte di credito
La conformità ai PCI DSS deve essere raggiunta entro settembre 2007, che è la scadenza imposta dalle società di carte di credito
GFI Software offre a queste aziende due prodotti, GFI EventsManager e GFI LANguard Network Security Scanner (N.S.S.) al fine di aiutarle a percorrere la strada verso la conformità a tali norme
Panoramica sulla società
Costituita nel 1992
Oltre 200 dipendenti in tutto il mondo
Uffici a Malta, Londra, Raleigh, Hong Kong e Adelaide
Prodotti GFI installati su oltre 200.000 reti di tutto il mondo, soprattutto di PMI (Piccole e Medie Imprese)
Azienda orientata alla collaborazione con partner, che si avvale infatti di oltre 10.000 partner in tutto il mondo
La visioneDiventare la tecnologia di scelta tra le soluzioni informatiche di sicurezza e produttività.
La missioneFornire soluzioni di sicurezza del contenuto, protezione della rete e messaggistica convenienti e di qualità ai professionisti del settore informatico di tutto il mondo.