Gli Obiettivi della PCI-DSS

PCI-DSS
&
Security Solutions
Paolo Marchei, Principal Sales Consultant
Oracle Italy
Gli Obiettivi della PCI-DSS
Gli Obiettivi della PCI-DSS – 1
Install and maintain a firewall configuration to protect cardholder data
Firewall
Firewall Configuration
•
•
•
•
•
•
•
•
•
Configurazione sicura di firewall e router
Adozione di standard di configurazione
Controllo del traffico in entrata e in uscita
Individuazione di servizi e protocolli in uso e loro giustificazione
Revisione semestrale delle regole
Approccio “deny all”
Installazione di firewall davanti alle reti wireless
Creazione di DMZ tra carte e Internet
Installazione di personal firewall su sistemi portatili/esterni
Web
Firewall
Application
Database
Firewall
Database
Gli Obiettivi della PCI-DSS – 2
Do not use vendor-supplied defaults for system passwords and other
security parameters
Configuration
Management
Gli Obiettivi della PCI-DSS – 3
Protect stored cardholder data
Data
Encryption
Data Encryption
•
•
•
•
•
Troncamento, hashing, indicizzazione o crittografia del PAN
Uso di tecniche di crittografia del file system non legate agli utenti
Impiego di split-knowledge e/o dual control per le chiavi
Sostituzione almeno annuale delle chiavi o in caso di compromissione
Assegnazione del ruolo di custode delle chiavi
Disk
Backups
Exports
Application
Off-Site
Facilities
Documents Encryption
•
Le informazioni sono abbastanza „sicure‟ quando risiedono nei folder, inbox, repository
•
Ma per essere utili le informazioni devono essere distribuite (desktop, laptop, chiavette
USB) all‟interno e all‟esterno dell‟azienda
•
E‟ possibile rendere sicure e controllare tutte le copie distribuite ?
Gli Obiettivi della PCI-DSS – 4
Encrypt transmission of cardholder data across open, public networks
Network Encryption
Network encryption
•
•
Uso di SSLv3+, TLS o IPSEC per trasmissione dei dati su reti pubbliche
Non trasmissione di dati su reti pubbliche se non protetti con crittografia
Application
Data

Cifratura di tutte le comunicazioni
da e verso il database


absdfghjcv
Cifratura e
Data Integrity
(Modification,
Disruption, Replay)



RC4 (40, 56, 128, 256 bits)
DES (40 and 56 bits)
3DES (2 and 3 keys)
AES (128, 192, and 256 bits)
Data integrity con checksums


MD5
SHA-1
Gli Obiettivi della PCI-DSS – 5
Use and regularly update anti-virus software or programs
Antivirus
Gli Obiettivi della PCI-DSS – 6
Develop and maintain secure systems and applications
Patching /
Security Best Practices
Patching / Security Best Practices
•
•
•
•
•
•
•
•
•
•
Aggiornamento dei sistemi e del software
Individuazione e installazione delle patch critiche di sicurezza
Allineamento degli standard di configurazione (2) in base alle patch
Adozione di un processo di sviluppo sicuro del software
Testing dei cambiamenti prima del rilascio
Separazione degli ambienti di sviluppo e produzione, in termini
sistemistici e di personale (Data Masking)
Rimozione di account e dati di test prima dei passaggi in produzione
Revisione automatica/manuale del nuovo codice scritto, non fatta dall‟autore
Adozione di procedure di controllo dei cambiamenti inclusive di
documentazione degli impatti, approvazione, testing e roll-back
Uso di tecniche di programmazione sicura
PCI-DSS
13
Gli Obiettivi della PCI-DSS – 7
Restrict access to cardholder data by business need to know
Role Mining / Role
Management
Segregation of Duties
Role Mining
Applications
Role Mining
Mining Data
Custom App
DB
Resources
Mainframe
Identities
Entitlements
Discover Patterns
Suggested Roles
• Estratrarre gli „entitlements‟
• Scoprire i „patterns‟
• Identificare Ruoli e Regole
Existing Roles
Roles Management (RBAC)
E-mail App
Business Role
General Ledger App
Assigned Project
Location
CRM App
UK Benefits App
• Gestione dei ruoli centralizzata
• Provisioning basato sui ruoli e sulle regole
• Mappare ruoli di business e ruoli e privilegi IT
• Ruoli gererchici e basati su piu‟ fattori (Progetto, Location, …)
Attestation / Ricertificazione
Processo di verifica dei privilegi
1
Set Up
Periodic
Review
2
Reviewer Is Notified
Goes to Self Service
3
Automated Action
is taken based on
Periodic Review
4
Report Built
And Results
Stored in DB
Reviewer Selections
What Is
Reviewed?
Who
Reviews It?
Certify
Email Result
to User
Reject
Automatically
Terminate User
Decline
Notify the
Process Owner
Audit
Delegate
Start When?
How Often?
Comments
Notify Delegated
Reviewer
Attested Data
Attestation
Actions
Delegation &
Revocation
Paths
Segregation of Duties
Separazione dei ruoli
Procurement
HR
DBA
Applicazione
Finance
select * from finance.customers
• Realizzare la separazione dei ruoli/doveri tra User, DBA e Sec.
Admin.
• Limitare il potere e sollevare da responsabilità gli utenti con privilegi
di gestione del sistema
Gli Obiettivi della PCI-DSS – 8
Assign a unique ID to each person with computer access
Soluzioni Identity
Management / Provisioning
IAM/ Provisioning
Processo di assegnazione delle risorse
Identity Manager
On-Premise
New
Self
Contractor
Registration
Approval
Applications
Identity
Store
User
Access
Group
Policy
Workflow
Connector
SPML
New
Employee
HRMS
Reconciliation
Engine
Gli Obiettivi della PCI-DSS – 9
Restrict physical access to cardholder data
Physical Access Security
Gli Obiettivi della PCI-DSS – 10
Track and monitor all access to network resources and cardholder data
Auditing
Auditing
Centralizzazione e automazione attivita’ di Audit con reporting
!
Operating
Systems
CRM
ERP
Audit
Data
Databases
Alerts
Built-in
Reports
Custom
Reports
Policies
Auditor
• Consolidamento dei dati di audit in repository centrale e sicuro
• Riconoscimento e allarme su attivita‟ sospette
• Reportistica di compliance
• Gestione centralizzata delle regole di audit
Gli Obiettivi della PCI-DSS – 11
Regularly test security systems and processes
Security
Assessment &
Penetration Tests
...
Security Assessment &
Penetration Tests ...

Esecuzione di vulnerability assessment esterne (ASV) e interne trimestrali o a
valle di cambiamenti significativi

Effettuazione di penetration test annuali o a valle di cambiamenti significativi
sia a livello di rete sia a livello applicativo

Implementazione e mantenimento della funzionalità di sistemi IDS o IPS per
monitorare tutto il traffico
Gli Obiettivi della PCI-DSS – 12
Maintain a policy that addresses information security for all personnel
Security
Policy
Security Policy
•
•
•
•
•
Diffusione e revisione annuale di una Policy di Sicurezza
Definizione e assegnazione delle responsabilità per la sicurezza
Adozione di un programma di formazione annuale sulla sicurezza
Screening preventivo all’assunzione per posizioni critiche
Diffusione di un Piano di Risposta agli Incidenti comprensivo di procedure di
reazione per le violazioni di sicurezza e testato annualmente
3: Protezione dei dati archiviati
4: Protezione dei dati trasmessi
6: Sviluppo e manutenzione
8: Identificazione, autenticazione
x
x
x
x
x
x
x
x
x
x
x
x
x
x
9: Sicurezza fisica
10: Log
11: Testing
x
x
x
x
x
12: Policy
A: Service Providers
locali
x
x
persone
x
x
x
5: Antivirus
7: Controllo degli accessi
sistemi
2: Valori di default
x
x
db
1: Configurazione dei firewall
applicazioni
rete
Gli Obiettivi della PCI-DSS /
Tecnologia
x
x
x
x
x
x
x
x
x