De Payment Card Industry Data Security Standard (PCI DSS)

26
De Payment Card Industry Data Security Standard (PCI DSS)

description

De Payment Card Industry Data Security Standard (PCI DSS). Overzicht van deze presentatie. Waarom PCI DSS? Naleving en validatienivaus Gegevens van kaarthouders Het wettelijk perspectief Uitvoering van een PCI DSS audit Vermindering van de kosten door middel van automatisering. - PowerPoint PPT Presentation

Transcript of De Payment Card Industry Data Security Standard (PCI DSS)

Page 1: De  Payment Card Industry Data Security Standard (PCI DSS)

De Payment Card Industry Data Security Standard (PCI DSS)

Page 2: De  Payment Card Industry Data Security Standard (PCI DSS)

Overzicht van deze presentatie

Waarom PCI DSS?

Naleving en validatienivaus

Gegevens van kaarthouders

Het wettelijk perspectief

Uitvoering van een PCI DSS audit

Vermindering van de kosten door middel van automatisering

Page 3: De  Payment Card Industry Data Security Standard (PCI DSS)

Wat is de Payment Card Industry Data Security Standard (PCI DSS)? De PCI DSS bestaat uit een aantal veiligheidsnormen die door de

grootste creditcardmaatschappijen, waaronder VISA en MasterCard, zijn opgesteld om gegevens van credit- en debitcards te beschermen

Tot op heden bepalen deze eisen alle betaalkanalen, waaronder detailhandel, postorders, telefonische bestellingen en e-commerce

Hoewel PCI DSS voorheen een afzonderlijke informatiebeveiligingsnorm was, is dit nu een algemene veiligheidsnorm geworden

Page 4: De  Payment Card Industry Data Security Standard (PCI DSS)

Waarom is de PCI DSS vereist?

Diefstal van gegevens van kaarthouders en fraude bestaan al sinds midden jaren 80. Dit gaf Visa aanleiding tot het opstellen van het eerste veiligheidsprogramma

De recente inbraak op het netwerk van TJC, waarbij minstens 45,6 miljoen credit- en debitcardnummer waren gestolen door hackers, die in het netwerk van de organisatie hadden ingebroken, benadrukte de behoefte voor betere veiligheidsmaatregelen.

Volgens InformationWeek kunnen hackers gestolen gegevens van credit cards voor een bedrag van $490 voor elke kaart met een PIN op de zwarte markt verkopen.

Page 5: De  Payment Card Industry Data Security Standard (PCI DSS)

PCI Data Security Standard v1.1 (1/3)

De PCI DSS raamwerk is in 12 veiligheidseisen onderverdeeld die in drie hoofdgroepen gecategoriseerd worden:

> Verzameling en opslag van alle log data, zodat deze gegevens voor analyse beschikbaar zijn

> Verslag van alle activiteiten, zodat naleving onmiddellijk bewezen kan worden

> Monitoring en alerting waarbij beheerders constant de toegang tot en het gebruik van gegevens kunnen monitoren en onmiddellijk gewaarschuwd kunnen worden wanneer problemen optreden

Page 6: De  Payment Card Industry Data Security Standard (PCI DSS)

PCI Data Security Standard v1.1 (2/3)

PCI DSS categorieën

De PCI DSS raamwerk bestaat bovendien uit zes categorieën, namelijk:

Een veilig netwerk opbouwen en onderhouden

Gegevens van kaarthouders beschermen

Een programma voor risicomanagement uitvoeren

Beleid inzake informatiebeveiliging handhaven

Netwerken regelmatig monitoren en testen

Strenge maatregelen met betrekking tot toegangscontrole toepassen

Page 7: De  Payment Card Industry Data Security Standard (PCI DSS)

PCI Data Security Standard v1.1 (3/3)

PCI DSS Eisen

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen

Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden en andere veiligheidsparameters

Opgeslagen gegevens van kaarthouders beschermen

Gegevens van kaarthouders over open, publieke netwerken coderen

Antivirussoftware of –programma’s gebruiken en regelmatig updaten

Veilige systemen en applicaties ontwikkelen en onderhouden

Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen

Een uniek ID toewijzen aan elke persoon met toegang tot een computer

Fysieke toegang tot gegevens van kaarthouders beperken

Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren

Beveiligingssystemen en –processen regelmatig testen

Een beleid handhaven inzake informatiebeveiliging voor werknemers en contractanten

Page 8: De  Payment Card Industry Data Security Standard (PCI DSS)

Alle gegevens op een credit-/debitcard die voor transacties gebruikt worden

- pcianswers.com Gegevenselementen van kaarthouders

> Rekeningnummer (PAN)> Naam van de kaarthouder> Vervaldatum

Gevoelige authenticatiegegevens (SAD)> Gegevens op de magnetische strip> CVC-code (Card Validation Code)> Persoonlijk identificatienummer (PIN)

Welke gegevens worden bedoeld met “gegevens van kaarthouders”?

1234

123

Page 9: De  Payment Card Industry Data Security Standard (PCI DSS)

Opslag van gegevens van kaarthouders

De PCI DSS biedt bescherming voor gegevens van kaarthouders

Het is toegestaan om de volgende gegevens op te slaan, mits deze gecodeerd of ingekort worden:

> Rekeningnummer (PAN), naam van de kaarthouder, vervaldatum, bankcode

Page 10: De  Payment Card Industry Data Security Standard (PCI DSS)

Internet

$ 0.00

Merchant

Customerpurchase

Payment Gateway

1234 5678 9012 3456

DATE: 01/01John Doe

Credit Card

CreditCard

Merchant’s Bank

Credit Card Interchange

Ž

Typische transactiestroom

Œ

De handelaar/verkoper legt de creditcardtransactie

voor aan de betalingsgateway

Ž Betalingsgateway stuurt transacties via een beveiligde

verbinding naar de bank van de handelaar/verkoperΠEen klant gebruikt een creditcard om een

handelaar/verkoper voor gekochte goederen te betalen

De bank van de handelaar/verkoper gaat dan via de Credit

Card Interchange voor goedkeuring van de transactie

Page 11: De  Payment Card Industry Data Security Standard (PCI DSS)

Wie moet voldoen aan de PCI DSS?

Vanaf september 2007 moeten alle ondernemingen, die gegevens van kaarthouders verwerken – ongeacht de grootte – aan de strenge veiligheidsnormen voldoen die door de grootste creditcardmaatschappijen ter wereld zijn opgesteld

Dit is van toepassing op alle entiteiten die gegevens van kaarthouders> opslaan> verwerken> verstrekken

Alle entiteiten die als handelaren/verkopers of service providers worden beschreven, moeten aan de PCI DSS voldoen

Page 12: De  Payment Card Industry Data Security Standard (PCI DSS)

Handelaren/verkopers

Entiteiten die creditcards als betaling accepteren

Voorbeelden van sectoren die verplicht zijn tot naleving van de PCI DSS zijn:

> Online handel (bv. ebay.com)> Detailhandel (bv. Wal-Mart)> Hoger onderwijs (bv. universiteiten)> Gezondheidszorg (bv. ziekenhuizen)> Toerisme en recreatie (bv. restaurants)> Energie (bv. gas/tankstations) > Financiën (bv. verzekeringsmaatschappijen)

Page 13: De  Payment Card Industry Data Security Standard (PCI DSS)

Niveaus van naleving van handelaren/verkopers

NIVEAUS VAN HANDELAREN/VERKOPERS

Niveau 1

Handelaren/verkopers wiens gegevens van kaarthouders in gevaar zijn gebracht

Handelaren/verkopers met méér dan 6 miljoen transacties per jaar

Niveau 2

Handelaren/verkopers met 1 tot 6 miljoen transacties per jaar

Niveau 3

Handelaren/verkopers met 20.000 tot 1 miljoen transacties per jaar

Niveau 4

Alle andere handelaren/verkopers

Page 14: De  Payment Card Industry Data Security Standard (PCI DSS)

Service providers

Entiteiten die diensten aan handelaren/verkopers bieden

Voorbeelden van diensten> Betalingsgateways (bv. PayPal)> Organisaties die betalingen verwerken > E-commerce host providers> Managed service providers> Ondernemingen met betrekking tot kredietrapportage> Backup management-ondernemingen> Papierverwerkende bedrijven

Page 15: De  Payment Card Industry Data Security Standard (PCI DSS)

Niveaus van naleving van service providers

NIVEAUS VAN SERVICE PROVIDERS

Niveau 1

Organisaties die betalingen verwerken en betalingsgateways

Niveau 2

Service providers die niet tot niveau 1 behoren, maar wel jaarlijks méér dan 1 miljoen creditcardrekeningen of transacties hebben

Niveau 3

Service providers die niet tot niveau 1 behoren, maar jaarlijks minder dan 1 miljoen creditcardrekeningen of transacties hebben

Page 16: De  Payment Card Industry Data Security Standard (PCI DSS)

Handelaar/verkoper On-sitesecurity audit

Vragenlijst voor zelfevaluatie

Netwerkscan

Niveau 1 Jaarlijks vereist Elk kwartaal vereist

Niveau 2 Jaarlijks vereist Elk kwartaal vereist

Niveau 3 Jaarlijks vereist Elk kwartaal vereist

Niveau 4 Jaarlijks vereist Elk kwartaal vereist

Service Provider

Niveau 1 Jaarlijks vereist Elk kwartaal vereist

Niveau 2 Jaarlijks vereist Elk kwartaal vereist

Niveau 3 Jaarlijks vereist Elk kwartaal vereist

Door: Qualified Security Assessor (QSA)

Intern Approved Scan Vendor (ASV)

Leverbaar: Rapport over de naleving (ROC)

Vragenlijst voor zelfevaluatie

Scanrapport

PCI DSS nalevingsprocedures

Page 17: De  Payment Card Industry Data Security Standard (PCI DSS)

Gevaren met betrekking tot gegevens van kaarthouders“Inbraak in het computersysteem waar vermoed wordt dat gegevens van kaarthouders ongeautoriseerd geopenbaard, gewijzigd of vernietigd zijn”

- Verklarende woordenlijst van PCI DSS Incidentenplan

> Eis 12.9

Waarom gevaren melden?> Schade beperken

Rapportagekanalen> Intern team voor het incidentenplan> Creditcardmaatschappijen en afnemers> Lokale wetshandhaving

Wie riskeert een gevaar?

Page 18: De  Payment Card Industry Data Security Standard (PCI DSS)

Consequenties

Financieel> Kan leiden tot boetes van tot $500.000 en hoge proceskosten

Reputatie> Een negatief incident kan grote invloed hebben op een handelsmerk> Betrokkenheid van wetshandhavingsinstanties

Operationeel> Niveau 2, 3 of 4 + gevaar = Niveau 1> Kan leiden tot een potentieel verlies van privileges voor het verwerken

van gegevens van kaarthouders

Page 19: De  Payment Card Industry Data Security Standard (PCI DSS)

Voorbereiding op de naleving voor PCI DSS

Bekend worden met de eisen van de PCI DSS

Alle gegevens van kaarthouders identificeren en overbodige gegevens van kaarthouders verwijderen

Analyse op veiligheidsbreuken uitvoeren

Een actieplan ontwikkelen en, indien noodzakelijk, deskundigen voor advies raadplegen

Page 20: De  Payment Card Industry Data Security Standard (PCI DSS)

PCI DSS nalevingskosten

Handelaar/verkoper On-sitesecurity audit

Vragenlijst voor zelfevaluatie

Netwerkscan

Niveau 1 Jaarlijks vereist Elk kwartaal vereist

Niveau 2 Jaarlijks vereist Elk kwartaal vereist

Niveau 3 Jaarlijks vereist Elk kwartaal vereist

Niveau 4 Jaarlijks vereist Elk kwartaal vereist

Service Provider

Niveau 1 Jaarlijks vereist Elk kwartaal vereist

Niveau 2 Jaarlijks vereist Elk kwartaal vereist

Niveau 3 Jaarlijks vereist Elk kwartaal vereist

Door: Qualified Security Assessor (QSA)

Intern Approved Scan Vendor (ASV)

Leverbaar: Report on Compliance (ROC)

Self-AssessmentQuestionnaire

Scanreport

Page 21: De  Payment Card Industry Data Security Standard (PCI DSS)

Problemen

Veilige systemen en applicaties onderhouden> Uw netwerk auditen> Op kwetsbaarheden scannen> Patches/service packs plaatsen

Het netwerk monitoren> Gebruikersactiviteit registreren> Toegang tot gegevens van kaarthouders

registreren> Waarschuwingen geven over belangrijke events

Gedocumenteerd bewijs aanbieden> Veilige systemen onderhouden> Activiteiten monitoren> Herstelmaatregelen nemen

Page 22: De  Payment Card Industry Data Security Standard (PCI DSS)

Automatisering door middel van software

Vermindert drastisch handmatige, herhaalde taken:

Netwerkcontroles

Risicomanagement

Monitoring van activiteiten

Real-time alerts

Herstelmaatregelen

Rapportgeneratie

Page 23: De  Payment Card Industry Data Security Standard (PCI DSS)

PCI DSS en GFI producten voor netwerkbeveiliging

PCI DSS Eisen

1.

2.

3.

4. Gegevens van kaarthouders over open, publieke netwerken coderen

5. Antivirussoftware of –programma’s gebruiken en regelmatig updaten

6. Veilige systemen en applicaties ontwikkelen en onderhouden

7.Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen

8.

9. Fysieke toegang tot gegevens van kaarthouders beperken

10.

11. Regelmatig beveiligingssystemen en –processen testen

12. Een beleid handhaven inzake informatiebeveiliging voor werknemers en contracten

Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden

Opgeslagen gegevens van kaarthouders beschermen

Een uniek ID toewijzen aan elke persoon met toegang tot een computer

GFI

EventsManager

Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren

GFI

LANguard N.S.S.

Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen

Page 24: De  Payment Card Industry Data Security Standard (PCI DSS)

ROI en bedrijfsvoordelen

Automatisering> Vermindering van handmatige, herhaaldelijke taken> Vermindering van de werkdruk van de beheerder> Het nemen van proactieve herstelmaatregelen

Bescherming> Aanvulling op uw veiligheidsbeleid> Waarschuwingen voor potentiële veiligheidsbedreigingen> Geeft u rust

Besparingen> Geen PCI DSS boetes> Geen kosten voor advies over uitbesteding> Bedrijfscontinuït

Page 25: De  Payment Card Industry Data Security Standard (PCI DSS)

Conclusie

Aangezien ondernemingen constant het risico lopen gevoelige gegevens van kaarthouders te verliezen, dat tot boetes, gerechtelijke stappen en slechte publiciteit kan leiden, zou naleving van de PCI DSS hoog op de agenda moeten staan bij ondernemingen die creditcardgegevens opslaan, verstrekken of verwerken

Naleving van de PCI DSS dient voor september 2007 bereikt te zijn - dit is de door creditcardmaatschappijen gestelde deadline

GFI Software biedt dergelijke ondernemingen twee producten aan - GFI EventsManager en GFI LANguard Network Security Scanner (N.S.S.) - om hen te helpen bij de naleving van deze norm

Page 26: De  Payment Card Industry Data Security Standard (PCI DSS)

Bedrijfsoverzicht

Opgericht in 1992 Méér dan 200 werknemers over de hele

wereld Vestigingen in Malta, Londen, Raleigh,

Hong Kong en Adelaide Er zijn GFI-producten geïnstalleerd op

méér dan 200.000 netwerken over de wereld, voornamelijk kleine en middelgrote bedrijven

Een kanaalgericht bedrijf met meer dan 10.000 partners over de hele wereld

De visieDe eerste keus worden op het gebied van producten voor IT-beveiliging en productiviteitsverbetering.

De missieHet leveren van degelijke, rendabele producten op het gebied van inhoudsbeveiliging, netwerkbeveiliging en messaging aan IT-professionals over de hele wereld.