MCA 2016 - Clockwork - Accelerating mobile payment innovations
De Payment Card Industry Data Security Standard (PCI DSS)
description
Transcript of De Payment Card Industry Data Security Standard (PCI DSS)
De Payment Card Industry Data Security Standard (PCI DSS)
Overzicht van deze presentatie
Waarom PCI DSS?
Naleving en validatienivaus
Gegevens van kaarthouders
Het wettelijk perspectief
Uitvoering van een PCI DSS audit
Vermindering van de kosten door middel van automatisering
Wat is de Payment Card Industry Data Security Standard (PCI DSS)? De PCI DSS bestaat uit een aantal veiligheidsnormen die door de
grootste creditcardmaatschappijen, waaronder VISA en MasterCard, zijn opgesteld om gegevens van credit- en debitcards te beschermen
Tot op heden bepalen deze eisen alle betaalkanalen, waaronder detailhandel, postorders, telefonische bestellingen en e-commerce
Hoewel PCI DSS voorheen een afzonderlijke informatiebeveiligingsnorm was, is dit nu een algemene veiligheidsnorm geworden
Waarom is de PCI DSS vereist?
Diefstal van gegevens van kaarthouders en fraude bestaan al sinds midden jaren 80. Dit gaf Visa aanleiding tot het opstellen van het eerste veiligheidsprogramma
De recente inbraak op het netwerk van TJC, waarbij minstens 45,6 miljoen credit- en debitcardnummer waren gestolen door hackers, die in het netwerk van de organisatie hadden ingebroken, benadrukte de behoefte voor betere veiligheidsmaatregelen.
Volgens InformationWeek kunnen hackers gestolen gegevens van credit cards voor een bedrag van $490 voor elke kaart met een PIN op de zwarte markt verkopen.
PCI Data Security Standard v1.1 (1/3)
De PCI DSS raamwerk is in 12 veiligheidseisen onderverdeeld die in drie hoofdgroepen gecategoriseerd worden:
> Verzameling en opslag van alle log data, zodat deze gegevens voor analyse beschikbaar zijn
> Verslag van alle activiteiten, zodat naleving onmiddellijk bewezen kan worden
> Monitoring en alerting waarbij beheerders constant de toegang tot en het gebruik van gegevens kunnen monitoren en onmiddellijk gewaarschuwd kunnen worden wanneer problemen optreden
PCI Data Security Standard v1.1 (2/3)
PCI DSS categorieën
De PCI DSS raamwerk bestaat bovendien uit zes categorieën, namelijk:
Een veilig netwerk opbouwen en onderhouden
Gegevens van kaarthouders beschermen
Een programma voor risicomanagement uitvoeren
Beleid inzake informatiebeveiliging handhaven
Netwerken regelmatig monitoren en testen
Strenge maatregelen met betrekking tot toegangscontrole toepassen
PCI Data Security Standard v1.1 (3/3)
PCI DSS Eisen
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen
Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden en andere veiligheidsparameters
Opgeslagen gegevens van kaarthouders beschermen
Gegevens van kaarthouders over open, publieke netwerken coderen
Antivirussoftware of –programma’s gebruiken en regelmatig updaten
Veilige systemen en applicaties ontwikkelen en onderhouden
Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen
Een uniek ID toewijzen aan elke persoon met toegang tot een computer
Fysieke toegang tot gegevens van kaarthouders beperken
Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren
Beveiligingssystemen en –processen regelmatig testen
Een beleid handhaven inzake informatiebeveiliging voor werknemers en contractanten
Alle gegevens op een credit-/debitcard die voor transacties gebruikt worden
- pcianswers.com Gegevenselementen van kaarthouders
> Rekeningnummer (PAN)> Naam van de kaarthouder> Vervaldatum
Gevoelige authenticatiegegevens (SAD)> Gegevens op de magnetische strip> CVC-code (Card Validation Code)> Persoonlijk identificatienummer (PIN)
Welke gegevens worden bedoeld met “gegevens van kaarthouders”?
1234
123
Opslag van gegevens van kaarthouders
De PCI DSS biedt bescherming voor gegevens van kaarthouders
Het is toegestaan om de volgende gegevens op te slaan, mits deze gecodeerd of ingekort worden:
> Rekeningnummer (PAN), naam van de kaarthouder, vervaldatum, bankcode
Internet
$ 0.00
Merchant
Customerpurchase
Payment Gateway
1234 5678 9012 3456
DATE: 01/01John Doe
Credit Card
CreditCard
Merchant’s Bank
Credit Card Interchange
Ž
Typische transactiestroom
Œ
De handelaar/verkoper legt de creditcardtransactie
voor aan de betalingsgateway
Ž Betalingsgateway stuurt transacties via een beveiligde
verbinding naar de bank van de handelaar/verkoperŒ Een klant gebruikt een creditcard om een
handelaar/verkoper voor gekochte goederen te betalen
De bank van de handelaar/verkoper gaat dan via de Credit
Card Interchange voor goedkeuring van de transactie
Wie moet voldoen aan de PCI DSS?
Vanaf september 2007 moeten alle ondernemingen, die gegevens van kaarthouders verwerken – ongeacht de grootte – aan de strenge veiligheidsnormen voldoen die door de grootste creditcardmaatschappijen ter wereld zijn opgesteld
Dit is van toepassing op alle entiteiten die gegevens van kaarthouders> opslaan> verwerken> verstrekken
Alle entiteiten die als handelaren/verkopers of service providers worden beschreven, moeten aan de PCI DSS voldoen
Handelaren/verkopers
Entiteiten die creditcards als betaling accepteren
Voorbeelden van sectoren die verplicht zijn tot naleving van de PCI DSS zijn:
> Online handel (bv. ebay.com)> Detailhandel (bv. Wal-Mart)> Hoger onderwijs (bv. universiteiten)> Gezondheidszorg (bv. ziekenhuizen)> Toerisme en recreatie (bv. restaurants)> Energie (bv. gas/tankstations) > Financiën (bv. verzekeringsmaatschappijen)
Niveaus van naleving van handelaren/verkopers
NIVEAUS VAN HANDELAREN/VERKOPERS
Niveau 1
Handelaren/verkopers wiens gegevens van kaarthouders in gevaar zijn gebracht
Handelaren/verkopers met méér dan 6 miljoen transacties per jaar
Niveau 2
Handelaren/verkopers met 1 tot 6 miljoen transacties per jaar
Niveau 3
Handelaren/verkopers met 20.000 tot 1 miljoen transacties per jaar
Niveau 4
Alle andere handelaren/verkopers
Service providers
Entiteiten die diensten aan handelaren/verkopers bieden
Voorbeelden van diensten> Betalingsgateways (bv. PayPal)> Organisaties die betalingen verwerken > E-commerce host providers> Managed service providers> Ondernemingen met betrekking tot kredietrapportage> Backup management-ondernemingen> Papierverwerkende bedrijven
Niveaus van naleving van service providers
NIVEAUS VAN SERVICE PROVIDERS
Niveau 1
Organisaties die betalingen verwerken en betalingsgateways
Niveau 2
Service providers die niet tot niveau 1 behoren, maar wel jaarlijks méér dan 1 miljoen creditcardrekeningen of transacties hebben
Niveau 3
Service providers die niet tot niveau 1 behoren, maar jaarlijks minder dan 1 miljoen creditcardrekeningen of transacties hebben
Handelaar/verkoper On-sitesecurity audit
Vragenlijst voor zelfevaluatie
Netwerkscan
Niveau 1 Jaarlijks vereist Elk kwartaal vereist
Niveau 2 Jaarlijks vereist Elk kwartaal vereist
Niveau 3 Jaarlijks vereist Elk kwartaal vereist
Niveau 4 Jaarlijks vereist Elk kwartaal vereist
Service Provider
Niveau 1 Jaarlijks vereist Elk kwartaal vereist
Niveau 2 Jaarlijks vereist Elk kwartaal vereist
Niveau 3 Jaarlijks vereist Elk kwartaal vereist
Door: Qualified Security Assessor (QSA)
Intern Approved Scan Vendor (ASV)
Leverbaar: Rapport over de naleving (ROC)
Vragenlijst voor zelfevaluatie
Scanrapport
PCI DSS nalevingsprocedures
Gevaren met betrekking tot gegevens van kaarthouders“Inbraak in het computersysteem waar vermoed wordt dat gegevens van kaarthouders ongeautoriseerd geopenbaard, gewijzigd of vernietigd zijn”
- Verklarende woordenlijst van PCI DSS Incidentenplan
> Eis 12.9
Waarom gevaren melden?> Schade beperken
Rapportagekanalen> Intern team voor het incidentenplan> Creditcardmaatschappijen en afnemers> Lokale wetshandhaving
Wie riskeert een gevaar?
Consequenties
Financieel> Kan leiden tot boetes van tot $500.000 en hoge proceskosten
Reputatie> Een negatief incident kan grote invloed hebben op een handelsmerk> Betrokkenheid van wetshandhavingsinstanties
Operationeel> Niveau 2, 3 of 4 + gevaar = Niveau 1> Kan leiden tot een potentieel verlies van privileges voor het verwerken
van gegevens van kaarthouders
Voorbereiding op de naleving voor PCI DSS
Bekend worden met de eisen van de PCI DSS
Alle gegevens van kaarthouders identificeren en overbodige gegevens van kaarthouders verwijderen
Analyse op veiligheidsbreuken uitvoeren
Een actieplan ontwikkelen en, indien noodzakelijk, deskundigen voor advies raadplegen
PCI DSS nalevingskosten
Handelaar/verkoper On-sitesecurity audit
Vragenlijst voor zelfevaluatie
Netwerkscan
Niveau 1 Jaarlijks vereist Elk kwartaal vereist
Niveau 2 Jaarlijks vereist Elk kwartaal vereist
Niveau 3 Jaarlijks vereist Elk kwartaal vereist
Niveau 4 Jaarlijks vereist Elk kwartaal vereist
Service Provider
Niveau 1 Jaarlijks vereist Elk kwartaal vereist
Niveau 2 Jaarlijks vereist Elk kwartaal vereist
Niveau 3 Jaarlijks vereist Elk kwartaal vereist
Door: Qualified Security Assessor (QSA)
Intern Approved Scan Vendor (ASV)
Leverbaar: Report on Compliance (ROC)
Self-AssessmentQuestionnaire
Scanreport
Problemen
Veilige systemen en applicaties onderhouden> Uw netwerk auditen> Op kwetsbaarheden scannen> Patches/service packs plaatsen
Het netwerk monitoren> Gebruikersactiviteit registreren> Toegang tot gegevens van kaarthouders
registreren> Waarschuwingen geven over belangrijke events
Gedocumenteerd bewijs aanbieden> Veilige systemen onderhouden> Activiteiten monitoren> Herstelmaatregelen nemen
Automatisering door middel van software
Vermindert drastisch handmatige, herhaalde taken:
Netwerkcontroles
Risicomanagement
Monitoring van activiteiten
Real-time alerts
Herstelmaatregelen
Rapportgeneratie
PCI DSS en GFI producten voor netwerkbeveiliging
PCI DSS Eisen
1.
2.
3.
4. Gegevens van kaarthouders over open, publieke netwerken coderen
5. Antivirussoftware of –programma’s gebruiken en regelmatig updaten
6. Veilige systemen en applicaties ontwikkelen en onderhouden
7.Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen
8.
9. Fysieke toegang tot gegevens van kaarthouders beperken
10.
11. Regelmatig beveiligingssystemen en –processen testen
12. Een beleid handhaven inzake informatiebeveiliging voor werknemers en contracten
Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden
Opgeslagen gegevens van kaarthouders beschermen
Een uniek ID toewijzen aan elke persoon met toegang tot een computer
GFI
EventsManager
Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren
GFI
LANguard N.S.S.
Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen
ROI en bedrijfsvoordelen
Automatisering> Vermindering van handmatige, herhaaldelijke taken> Vermindering van de werkdruk van de beheerder> Het nemen van proactieve herstelmaatregelen
Bescherming> Aanvulling op uw veiligheidsbeleid> Waarschuwingen voor potentiële veiligheidsbedreigingen> Geeft u rust
Besparingen> Geen PCI DSS boetes> Geen kosten voor advies over uitbesteding> Bedrijfscontinuït
Conclusie
Aangezien ondernemingen constant het risico lopen gevoelige gegevens van kaarthouders te verliezen, dat tot boetes, gerechtelijke stappen en slechte publiciteit kan leiden, zou naleving van de PCI DSS hoog op de agenda moeten staan bij ondernemingen die creditcardgegevens opslaan, verstrekken of verwerken
Naleving van de PCI DSS dient voor september 2007 bereikt te zijn - dit is de door creditcardmaatschappijen gestelde deadline
GFI Software biedt dergelijke ondernemingen twee producten aan - GFI EventsManager en GFI LANguard Network Security Scanner (N.S.S.) - om hen te helpen bij de naleving van deze norm
Bedrijfsoverzicht
Opgericht in 1992 Méér dan 200 werknemers over de hele
wereld Vestigingen in Malta, Londen, Raleigh,
Hong Kong en Adelaide Er zijn GFI-producten geïnstalleerd op
méér dan 200.000 netwerken over de wereld, voornamelijk kleine en middelgrote bedrijven
Een kanaalgericht bedrijf met meer dan 10.000 partners over de hele wereld
De visieDe eerste keus worden op het gebied van producten voor IT-beveiliging en productiviteitsverbetering.
De missieHet leveren van degelijke, rendabele producten op het gebied van inhoudsbeveiliging, netwerkbeveiliging en messaging aan IT-professionals over de hele wereld.