PCI-DSS
Transcript
PCI-DSS
Programma Introduzione PCI-DSS Frodi e SSC Soggetti coinvolti Carte e processi Famiglia di standard Applicabilità Conformità Requisiti Audit e scansione Statistiche e sanzioni Materiale a disposizione Rapporto con altri standard Conclusioni Alcune Soluzioni tecnologiche per la PCI-DSS Cifratura dati in transito e nel database Separazione dei ruoli Accesso ai dati per classificazione degli utenti Funzionalita` di auditing Mascheramento dei dati Gestione delle identita` e controllo accessi Gestione della sicurezza dei documenti Domande e discussione PCI-DSS 2 Prima di iniziare Alberto Perrone (in sostituzione di Fabio Guasconi) Lead Auditor qualificato ISO/IEC 27001:2005 OSSTMM Professional Security Tester Divisione Sicurezza Informazioni @ Mediaservice.net S.r.l. PCI-DSS 3 Prima Parte: INTRODUZIONE PCI-DSS 4 Frodi sulle carte In risposta al preoccupante fenomeno delle frodi, i principali Brand delle carte di pagamento hanno deciso di unire le forze. Furto della carta Skimming Furto d’identità Phishing Attacchi informatici Tutte le tipologie di frodi sono basate sull’acquisizione non autorizzata di dati relativi alle carte. Il dato di una carta singola non è rilevante, i DB di dati o i sistemi che ne trattano numerose (siti internet, POS, ATM) sono l’obiettivo preferenziale. PCI-DSS 5 PCI-SSC PCI-DSS 6 Soggetti coinvolti: chi Titolare • Intestatario della carta di pagamento, può usarla fisicamente o via elettronica • Riceve gli estratti conti dall’Issuer Merchant • Soggetto a favore del quale il cliente effettua una transazione Acquirer • Soggetto che elabora la transazione per conto del Merchant • Dialoga con l’Issuer, direttamente o tramite reti proprietarie • Amex, Discover e JCB possono essere acquirer Issuer* Service Provider • Soggetto che emette la carta di pagamento: - presso cui il titolare ha un conto (Banca) - a cui il titolare ha richiesto una carta (Amex, Discovery, JCB) • Soggetto coinvolto nel trattamento dei dati delle carte • Può essere legato al Merchant, all’Acquirer o all’Issuer *i Brand delle carte sono associazioni di soggetti Issuer. PCI-DSS 7 Soggetti coinvolti: cosa PCI-SSC • Gestisce gli standard creando un punto di convergenza unico • Gestisce l’accreditamento e la QA di QSA, PA-QSA, ASV e i PED Labs nonché le liste di prodotti conformi Merchant • Deve dimostrare la conformità all’Acquirer Acquirer • E’ responsabile della conformità dei Merchant • Come l’Issuer deve essere conforme a PCI-DSS senza dover però dimostrarlo come un Merchant Service Provider • E’ coinvolto nella conformità del Merchant a seconda del servizio fornito • Può essere escluso (e.g. storage senza chiave crittografica) Brand • Gestisce il proprio programma di conformità ricevendone adeguata documentazione • Effettua le indagini forensi a valle degli incidenti per stabilire cause e responsabilità PCI-DSS 8 Transazioni con carta Authorization (secondi): Il Merchant richiede l’autorizzazione all’Issuer Service Provider Service Provider 1 6 2 3 5 4 Cliente Issuer Merchant Acquirer Clearance (un giorno): Acquirer e Issuer si scambiano i dati della transazione Service Provider Service Provider 1 2 Cliente Issuer Merchant Acquirer Settlement (due giorni): L’Acquirer accredita la somma transata al Merchant e l’Issuer la addebita al Titolare della carta Service Provider Service Provider 2 1 Issuer Merchant Cliente Acquirer PCI-DSS 9 Carte: storia e tipi Timeline 1920 - Prima carta di credito negli USA 1950 - Primo brand moderno (Diners) 1958 - Amex, Bank Americard (futura VISA) 1967 - Everything Card (futura MasterCard) Tipi più diffusi di carte Classic - Limite tra 100$ e 2.000$ Gold - Limite tra 500$ e 15.000$ Business - Limite tra 500$ e 25.000$ Platinum - Limite tra 1.000$ e 100.000$ Amex Black (centurion) - Illimitata PCI-DSS 10 Carte Il PAN (Primary Account Number) è il dato singolo più importante della carta, ed è costituito da 13, 14, 15 o 16 caratteri. I PAN non sono casuali e la loro validità può facilmente essere verificata. Formula di Luhn PCI-DSS 11 Carte Espressioni regolari e lunghezze dei PAN: VISA (16 caratteri, 13 caratteri alcune “vecchie”): ^4[0-9]{12}(?:[0-9]{3})?$ MasterCard (16 caratteri): ^5[1-5][0-9]{14}$ All MasterCard numbers start with the numbers 51 through 55. All have 16 digits. American Express (15 caratteri): ^3[47][0-9]{13}$ Diners Club (14 caratteri): ^3(?:0[0-5]|[68][0-9])[0-9]{11}$ Esistono carte Diners che iniziano con 5 e hanno 16 caratteri ma vengono trattate come MasterCard Discover (16 caratteri): ^6(?:011|5[0-9]{2})[0-9]{12}$ JCB (15 o 16 caratteri): ^(?:2131|1800|35\d{3})\d{11}$ PCI-DSS 12 Carte Come misura anti frode sono stati aggiunti dei codici di sicurezza, denominati e formattati in modo diverso da ogni Brand. La differenza fondamentale tra di essi è che possono essere a 3 o 4 caratteri. CVV e CVC sono memorizzati nelle tracce magnetiche, uso se card-present. PCI-DSS 13 Tracce Le carte hanno una banda magnetica suddivisa in tracce. Traccia 1: lunghezza fino a 79 caratteri, comprende la traccia 2 (Pin Verification) PCI-DSS 14 Tracce Traccia 2: lunghezza fino a 40 caratteri, legata a compatibilità per strumenti che effettuano dial-up. I Chip contengono anche le informazioni della prima e della seconda traccia, cambia la protezione delle stesse. PCI-DSS 15 Dati dei Titolari delle Carte La tabella seguente riassume quali sono i dati considerati dallo standard. Memorizzazione Consentita Protezione Richiesta Req. 3.4 PCIDSS Sì Sì Sì Sì Sì Sì Sì Sì Sì No No No No N/A N/A CAV2/CVC2/CVV2/CID No N/A N/A PIN/Blocco PIN No N/A N/A Elemento di dati Dati di titolari delle carte Dati sensibili di autenticazione * PAN (Primary Account Number Nome titolare di carta* Codice di servizio* Data di scadenza* Dati completi della banda magnetica Questi elementi devono essere protetti se memorizzati assieme al PAN. Memorizzazione e protezione si riferiscono ai momenti successivi all’autorizzazione. PCI-DSS 16 Seconda Parte: PCI-DSS PCI-DSS 17 Standard PCI-PED (ora PTS) applicabile a POS, Pin Pad, HSM, UPT PCI PA-DSS applicabile ad applicazioni commerciali per authorization o settlement delle transazioni PCI-DSS applicabile ai soggetti che trattano dati delle carte PCI-DSS se legata agli altri standard si limita a controllarne il corretto impiego PCI-DSS 18 Passato 2001 VISA lancia il programma Cardholder Information Security Program (CISP), seguita dagli altri Brand 2004 A Dicembre viene pubblicata la prima versione della PCI-DSS, gestita da VISA e MasterCard 2005 Visa crea la Payment Applications Best Practices (PABP) 2006 VISA, MasterCard, American Express, Discover e JCB fondano il PCISSC 2006 E’ resa pubblica la versione 1.1 della PCI-DSS 2008 E’ resa pubblica la versione 1.0 della PA-DSS 2008 E’ resa pubblica la versione 1.2 della PCI-DSS PCI-DSS 19 Futuro Periodo di revisione rapido: 24 mesi Fase attuale: 3 Versioni: 1.0, 1.1, 1.2 PCI-DSS 20 Applicabilità Qualsiasi soggetto effettui un trattamento di dati delle carte (PAN) Principalmente (98%): Merchant fisici (negozi, catene) Merchant elettronici (e-commerce via web o telefono) Service Provider dei Merchant (hosting, fornitori di DR, stampatori delle carte, agenti di vendita, call center, payment gateway) Alcune operazioni oltre ai pagamenti: Programmi di fedeltà Annullamento di transazioni Pagamento di rimborsi Backup PCI-DSS 21 Applicabilità PCI-DSS si applica in modo diverso a tutti i componenti di sistema inclusi o connessi nell’ambiente in cui sono trattati i dati delle carte di pagamento. Il primo passo necessario è definire i flussi di tali dati attraverso: Sistemi informatici Apparecchiature Applicazioni Database Dispositivi di rete Personale Terze parti Nota: attenzione ai metodi meno facilmente individuabili, come registrazioni vocali e log, ma anche al cartaceo. PCI-DSS 22 Applicabilità Uno dei concetti fondamentali riguardanti i dati delle carte: “if you don’t need it, get rid of it” Spesso la memorizzazione non è necessaria oppure può essere effettuata in forma parziale: mascheramento (6/4: 5412 75** **** 0000) hashing crittografico a una sola via La segmentazione della rete e la separazione dell’ambiente in cui sono trattati i dati delle carte di pagamento permettono a loro volta di ridurre notevolmente l’ambito, come esemplificato di seguito. PCI-DSS 23 Applicabilità: esempio di rete PCI-DSS 24 Conformità a PCI-DSS Per raggiungere la conformità allo standard ci sono una serie di passaggi propedeutici: Definizione del livello (Acquirer) Validazione (Merchant) Reportizzazione (Merchant) La prima validazione può avere diverse caratteristiche da quelle successive, tecnicamente denominate rivalidazioni. Normalmente questo succede per i Service Provider, PCI-DSS 25 Definizione del livello: merchant Il livello non è legato al rispetto dei requisiti! L’Acquirer stabilisce il livello del Merchant o del Service Provider, partendo da quanto definito dai Brand. Per i Merchant: VISA Mastercard Livello 1 >6M Transazioni Violazione subita l’anno precedente >6M Transazioni Violazione subita l’anno precedente Livello 2 Tra 1M e 6M Transazioni Livello 3 Livello 4 Amex Discover JCB >2,5M Transazioni Così definito da Amex >6M Transazioni Livello 1 per altro Brand >1M Transazioni Violazione subita l’anno precedente Tra 1M e 6M Transazioni Tra 50K e 2,5M Transazioni Così definito da Amex Tra 1M e 6M Transazioni Livello 2 per altro Brand <1M Transazioni >20K Transazioni e-commerce >20K Transazioni e-commerce o Maestro Meno di 50K Transazioni >20K Transazioni e-commerce Livello 3 per altro Brand N/A Tutti i merchant non compresi nei precedenti Tutti i merchant non compresi nei precedenti N/A Tutti i merchant non compresi nei precedenti N/A PCI-DSS 26 Definizione del livello: TPP I Service Providers (definiti anche come TPP, Third Party Processors), seguono logiche differenti: VISA Mastercard Amex Discover JCB Livello 1 >300K Transazioni >300K Transazioni Tutti i TPP Tutti i TPP Tutti i TPP Livello 2 <300K Transazioni <300K Transazioni N/A N/A N/A VISA pubblica i Service Provider di livello 1 conformi in un elenco. Ogni SP può validarsi secondo i le modalità più onerose del livello 1 per comparire in questa lista. PCI-DSS 27 Altri soggetti? Acquirer Sono tenuti a raggiungere la conformità esattamente come i Merchant Devono assicurarsi della conformità dei Merchant e dei fornitori Non sono obbligati ad avvalersi di QSA Issuer Sono tenuti a raggiungere la conformità esattamente come i Merchant, con l’eccezione che possono memorizzare i dati sensibili PCI-DSS 28 Validazione Merchant Livello 1 Merchant Livello 2 Merchant Livello 3 Merchant Livello 4 TPP Livello 1 TPP Livello 2 VISA Mastercard Amex Discover JCB QSA on-site audit annuale ASV scansione trimestrale QSA on-site audit annuale ASV scansione trimestrale QSA o IA on-site audit annuale ASV scansione trimestrale QSA on-site audit annuale ASV scansione trimestrale QSA on-site audit annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale QSA on-site audit annuale (facoltativo) ASV scansione trimestrale SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale N/A SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale N/A SAQ annuale ASV scansione trimestrale N/A QSA on-site audit annuale ASV scansione trimestrale QSA on-site audit annuale ASV scansione trimestrale QSA o IA on-site audit annuale QSA on-site audit annuale ASV scansione trimestrale o SAQ annuale QSA on-site audit annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale SAQ annuale ASV scansione trimestrale N/A N/A N/A PCI-DSS 29 Livelli: esempi Caso di un electronic commerce merchant, per il quale tutte le transazioni derivano dai siti internet: VISA Acquirer A Mastercard Amex Discover JCB Totale 5M Livello 2 800K Livello 3 - - - Livello 2 Acquirer B 2M Livello 2 400K Livello 3 - 10K Livello 3 20K Livello 2 Livello 2 Acquirer C - - 20K Livello 3 - - Livello 3 Totale 1,2M NO Livello 2 - - - 7M, NO Livello 1 PCI-DSS 30 Requisiti La versione 1.2 della PCI-DSS comprende 210 + 4 requisiti divisi in 13 sezioni: 1: Configurazione dei firewall 2: Valori di default 3: Protezione dei dati archiviati 4: Protezione dei dati trasmessi 5: Antivirus 6: Sviluppo e manutenzione 7: Controllo degli accessi 8: Identificazione, autenticazione 9: Sicurezza fisica 10: Log 11: Testing 12: Policy A: Service Providers PCI-DSS 31 Requisiti La distribuzione dei requisiti per numerosità è così rappresentabile: 4% 40 2% 2% 3% 3% 2% 12 6 21% 10 9% 35 8 15% 9% 30 1 9% 10% 25 9 11% 3 2 20 7 11 15 10 5 0 12 6 10 8 9 1 3 2 7 11 A 4 5 PCI-DSS 32 1: Configurazione dei firewall Configurazione sicura di firewall e router Adozione di standard di configurazione Controllo del traffico in entrata e in uscita Individuazione di servizi e protocolli in uso e loro giustificazione Revisione semestrale delle regole Approccio “deny all” Installazione di firewall davanti alle reti wireless Creazione di DMZ tra carte e Internet Uso di tecnologie di stateful inspection e NAT Installazione di personal firewall su sistemi portatili/esterni PCI-DSS 33 2: Valori di default Rimozione di account e password di default su componenti di sistema Cambio di chiavi, communities SNMP, password su AP wireless Adozione di standard di configurazione sicuri Impostazione di una sola funzione primaria per server Rimozione di servizi, protocolli e demoni inutili Impostazione di parametri di configurazione sicuri Crittografia degli accessi amministrativi non da console Separazione totale degli ambienti dei vari clienti da parte dei service provider di hosting condiviso PCI-DSS 34 3: Protezione dei dati archiviati Politiche di mantenimento dei dati e di loro dismissione (tempi) Rimozione trimestrale automatica dei dati che superano la soglia Non memorizzazione di dati sensibili oltre all’autorizzazione Mascheramento del PAN visualizzato ove possibile Troncamento, hashing, indicizzazione o crittografia del PAN, ovunque Uso di tecniche di crittografia del file system non legate agli utenti Separazione di DEK e di KEK, controllo degli accessi alle chiavi Impiego di split-knowledge e/o dual control per le chiavi Sostituzione almeno annuale delle chiavi o in caso di compromissione Assegnazione del ruolo di custode delle chiavi Algoritmi crittografici accettati: standard di mercato, non compromessi. L’uso di hashing non sicuri è permesso tramite salting. PCI-DSS 35 4: Protezione dei dati trasmessi Uso di SSLv3+, TLS o IPSEC per trasmissione dei dati su reti pubbliche Non trasmissione di dati su reti pubbliche se non protetti con crittografia Impiego di tecniche di protezione WPA o superiori per trasmissione dei dati su reti wireless Il WEP è tollerato fino al 30 Giugno 2010 ma solo per le installazioni già esistenti al 31 Marzo 2009. PCI-DSS 36 5: Antivirus Installazione di software antivirus sui sistemi affetti da malware Adozione di prodotti in grado di individuare, rimuovere e proteggere contro tutti i tipi di malware Aggiornamento costante delle definizioni Impostazione di scansioni periodiche Impossibilità di disattivazione del software Generazione e conservazione dei log PCI-DSS 37 6: Sviluppo e manutenzione Aggiornamento dei sistemi e del software Individuazione e installazione delle patch critiche di sicurezza entro 30 giorni Allineamento degli standard di configurazione (2) in base alle patch Adozione di un processo di sviluppo sicuro del software Testing dei cambiamenti prima del rilascio Separazione degli ambienti di sviluppo (no PAN attivi) e produzione, in termini sistemistici e di personale Rimozione di account e dati di test prima dei passaggi in produzione Revisione automatica/manuale del nuovo codice scritto, non fatta dall’autore Adozione di procedure di controllo dei cambiamenti inclusive di documentazione degli impatti, approvazione, testing e roll-back Uso di tecniche di programmazione sicura Revisione annuale o dopo ogni cambiamento significativo delle applicazioni web aperte al pubblico / adozione di un WAF PCI-DSS 38 7: Controllo degli accessi Approccio del minimo privilegio Impiego di sistemi RBAC Autorizzazione necessaria da parte del management Controllo automatizzato su tutti i componenti di sistema PCI-DSS 39 8: Identificazione, autenticazione Tutti gli utenti hanno un ID unico per l’accesso ai componenti di sistema Le password relative agli ID non sono salvate o trasmesse in chiaro Uso di due fattori di autenticazione per gli accessi remoti Verifica dell’identità del richiedente per il reset della password Impostazioni di password iniziali univoche Rimozione degli account inattivi da 90 giorni Attivazione e disattivazione degli account esterni in base all’uso Le password devono essere cambiate ogni 90 giorni e devono essere lunghe almeno 7 caratteri, con vincoli di complessità e senza poter riutilizzare le 4 precedenti Divieto di utilizzo di account di gruppo e di condivisione delle password Attivazione di lockout di almeno 30 minuti dopo 6 tentativi di autenticazione Attivazione di screen-saver dopo un massimo di 15 minuti di inattività Limitazione dell’accesso diretto ai DB ai DBA e delle application ID alle sole applicazioni PCI-DSS 40 9: Sicurezza fisica Installazione di videocamere all’ingresso delle aree sensibili e mantenimento delle registrazioni Controllo delle prese di rete Limitazione dell’accesso fisico ai dispositivi di rete (AP, chioschi etc.) Assegnazione di badge distintivi Associazione dei badge ad un periodo di validità e controllo della restituzione Adozione di un registro degli accessi esterno e alle aree sensibili Ispezione annuale delle località di conservazione dei supporti Classificazione, tracciatura, etichettatura ed inventario dei supporti Dismissione sicura dei supporti PCI-DSS 41 10: Log Logging centralizzato di tutte le attività amministrative Controllo degli accessi e dell’integrità dei log Mantenimento di informazioni di logging complete Logging derivanti da tutti i componenti di sistema (OS, applicazioni, dispositivi, antivirus, DNS etc.) Mantenimento di riferimenti temporali attendibili con due o più server interni Retention dei log per 1 anno, di cui almeno 3 mesi consultabili online Revisione giornaliera (automatica) dei log PCI-DSS 42 11: Testing Analisi della presenza di reti wireless trimestrale o adozione di WIDS/WIPS Esecuzione di vulnerability assessment esterne (ASV) e interne trimestrali o a valle di cambiamenti significativi Effettuazione di penetration test annuali o a valle di cambiamenti significativi sia a livello di rete sia a livello applicativo Implementazione e mantenimento della funzionalità di sistemi IDS o IPS per monitorare tutto il traffico Adozione di sistemi per il monitoraggio dell’integrità dei file di configurazione e loro controllo settimanale PCI-DSS 43 12: Policy Diffusione e revisione annuale di una Policy di Sicurezza Sviluppo di procedure inerenti le attività giornaliere di sicurezza Diffusione di una Politica per l’Uso Accettabile della strumentazione Definizione e assegnazione delle responsabilità per la sicurezza Adozione di un programma di formazione annuale sulla sicurezza Screening preventivo all’assunzione per posizioni critiche Gestione dei Service Provider e della loro conformità Diffusione di un Piano di Risposta agli Incidenti comprensivo di procedure di reazione per le violazioni di sicurezza e testato annualmente PCI-DSS 44 A: Service Provider Se si tratta di fornitori di hosting condiviso: Impossibilità per i clienti di accedere ad ambienti oltre al loro o di monopolizzare le risorse dei sistemi Distinzione e separazione dei log dei diversi ambienti Adozione di procedure che permettano immediate indagini forensi in caso di compromissione PCI-DSS 45 Controlli Compensativi E se un requisito non si può applicare? Devono esserci: Legittimi vincoli tecnici oppure Documentati vincoli di business A questo punto è possibile indicare delle contromisure che compensano la mancata soddisfazione di un particolare requisito, le quali devono Essere allineati con l’intenzione e il rigore del requisito originale, mitigando in modo equivalente i rischi collegati Essere al di sopra degli altri requisiti di PCI-DSS implementati sul componente di sistema e non creare rischi aggiuntivi I controlli compensativi devono essere documentati in modo rigoroso. PCI-DSS 46 2: Valori di default 3: Protezione dei dati archiviati 4: Protezione dei dati trasmessi 6: Sviluppo e manutenzione 8: Identificazione, autenticazione x x x x x x x locali x x persone x x x 5: Antivirus 7: Controllo degli accessi sistemi x x db 1: Configurazione dei firewall applicazioni rete Scoping dei Requisiti x x x x x x x 9: Sicurezza fisica x 10: Log x x 11: Testing x x 12: Policy A: Service Providers x PCI-DSS x x x x x x x x 47 Approccio Prioritizzato Il PCI-SSC ha sviluppato una guida per dare priorità ai requisiti che hanno maggiore impatto sui rischi. Ogni requisito appartiene a una delle sei milestone. A Milestones 12 11 10 9 1 8 2 7 3 6 4 5 5 1 Rimozione dei dati sensibili e limitazione del loro mantenimento 2 Protezione del perimetro, delle reti interne e wireless 3 Securizzazione delle applicazioni 4 Monitoraggio e controllo degli accessi ai sistemi 5 Protezione dei dati memorizzati 6 Completamento delle misure e verifica finale 6 4 3 2 1 0 10 20 30 40 50 PCI-DSS 48 Passaggi chiave 1. Analisi dei flussi dei dati 2. Esecuzione di una Gap Analysis 3. Remediation di prima e terza parte 4. Verifica di conformità 5. Documentazione e reportizzazione PCI-DSS 49 Audit on-site e Scansione Per due attività di validazione della conformità entrano in gioco degli attori riconosciuti direttamente dal PCI-SSC: i QSA e gli ASV Approved Scanning Vendor (ASV) Requisito 11.2: Scansioni di rete esterne e interne trimestrali o a fronte di cambiamenti significativi. Si applica a tutti. Qualified Security Assessor (QSA) Audit on-site per i livelli più elevati. Entrambe le figure sono una combinazione di persone esperte in sicurezza e aziende del settore. I requisiti includono professionalità, organizzazione, indipendenza, qualità e opportune polizze assicurative. PCI-DSS 50 Audit on-site Le procedure di audit sono definite e pubblicate dal PCI-SSC. Ogni singolo requisito deve essere verificato e documentato sotto diversi aspetti nel report of compliance (ROC). Gli aspetti considerati sono, a seconda: osservazione di settaggi o configurazioni revisione di documentazione intervista osservazione di processi, azioni o stati monitoraggio del traffico Tutti questi parametri sono controllati e valutati rigidamente nei report dei QSA da parte del PCI-SSC. I QSA possono essere sospesi o radiati. Chi si occupa di seguire la remediation deve essere diverso dall’assessor. SAMPLING PCI-DSS 51 Scansione Le procedure di scansione (esterne) sono definite e pubblicate dal PCI-SSC. Per PCI-SSC una scansione individua le vulnerabilità mentre un’attività di penetration test le sfrutta per raggiungere i dati. Vulnerabilità di livello 3, 4, 5 o che ottengono uno score CVSS pari o maggiore a 4 devono essere risolte entro 30 giorni pena la non validità del test. NON SAMPLING PCI-DSS 52 ISA Programme Lanciato ufficialmente nel 2010, aggiunge la figura dell’ Internal Security Assessor, rivolta a tutte le ISA Sponsor Companies (merchant, processor, service provider o altra che deve essere conforme a PCI-DSS) per: Migliorare i self assessment interni Supportare l’applicazione dei requisiti di PCI-DSS Interagire con i QSA A questa figura non è però riconosciuto alcun ruolo ufficiale per la conformità alla PCI-DSS. PCI-DSS 53 Scadenze principali 31/07/2007 – VISA: Termine ultimo per la conformità dei merchant (solo USA) 30/09/2009 – VISA: Termine ultimo per la non memorizzazione dei codici di autorizzazione 31/12/2009 – Certificazione obbligatoria per legge in Nevada e Minnesota 30/06/2010 – Non più accettato l’uso del protocollo WEP 30/06/2010 – VISA: Non più accettato l’uso di applicazioni non conformi PA-DSS 30/06/2010 – VISA: Non più accettato l’uso di device non conformi a PTS 30/09/2010 – VISA: Conformità a PCI-DSS dei merchant di livello 1 30/06/2011 – MC: Conformità a PCI-DSS dei merchant di livello 2 negli USA, conformità a PCI-DSS dei merchant di livello 1 PCI-DSS 54 Statistiche: violazioni 81 Payment Card Data 36 Personal Information 31 Authentication Credentials 16 Account Numbers 13 Intellectual Property Monetary Assets 11 Other 11 Corporate Financial Data 6% 6 3% 4% Retail 6% Financial Services 31% 6% Food and Beverage Manufacturing Business Services 14% Hospitality Technology 30% Other Fonte: data breach investigation report 2009, Verizon Business PCI-DSS 55 Ponemon Study, USA 2009 71% PCI non è un’iniziativa strategica, 79% ha sofferto violazioni di sicurezza Incertezza su cui è internamente responsabile per PCI-DSS Budget per PCI = 1/3 di quello per IT Security (in media $ 5M) PCI-DSS 56 Mercato Italiano 2008 2009 2010 2011 2012 2013 2014 La conformità a PCI-DSS richiede tempo: tipicamente dai 6 ai 18 mesi Ogni attore ha le sue opportunità come “early adopter” PCI-DSS 57 Statistiche: conformità Fonte: VISA CISP report 31/12/2009, i nuovi merchant hanno un anno di tempo PCI-DSS 58 Sanzioni Al momento è noto che solo un brand abbia erogato sanzioni ma un altro ha reso pubblico un listino di multe: VISA A valle di compromissione se non compliant tra 5.000 e 25.000 $ a trimestre A partire dal 2011, multe da 10.000 a 200.000 $ per evento, a seconda del livello e della ripetizione … e i merchant che subiscono violazioni possono essere “spostati” a livello 1! PCI-DSS 59 Pro e Contro di PCI-DSS Vantaggi Svantaggi • Opportunità per focalizzarsi sulla sicurezza • Allineata alle best practices di sicurezza • Possibilità di ottenere migliori condizioni dagli Acquirer • Ritorno di immagine verso i Clienti (finali e non) • Oneri aggiuntivi per l’azienda • Prevede uno schema di validazione proprietario • Possibilità di ricevere sanzioni dai Brand • Difformità di gestione tra i diversi Brand e incertezza PCI-DSS 60 Materiale disponibile Il sito www.pcisecuritystandards.org contiene una buona quantità di documentazione online, di diversa natura e utilità. Diverse sono anche reperibili nella versione italiana. TUTTI GLI STANDARD Self Assessment Questionnaire (tipo A, B, C, D-Merchant, D-TPP) Security Scanning Procedures Security Audit Procedures Attestation of Compliance (AOC) legata a SAQ/ROC Glossario Guide (approccio prioritizzato, navigazione della norma) Registro di QSA e ASV Lista delle applicazioni validate Lista dei TPP validati (prossimamente) PCI-DSS 61 Altri Standard e PCI-DSS PCI-DSS 62 Altri Standard e PCI-DSS PCI-DSS può interfacciarsi utilmente all’interno di contesti in cui altri standard già si applicano: ITIL o ISO/IEC 20000 COBIT ISO/IEC 27001 ISO/IEC 38500 Common Criteria o ISO/IEC 15408 Basilea 2 Oppure appoggiarsi a certi standard per la sua attuazione OSSTMM e OWASP BS 25999 o BS25777 ISO/IEC 27005 NIST SP800 PCI-DSS 63 Confronto con CobIT/ITIL CobIT e ITIL (oltre a ISO/IEC 20000), hanno uno scope più allargato rispetto ma sono comunque legati alle medesime tematiche di sicurezza. PCI-DSS risulta completamente inclusa in entrambi. CobIT PCI-DSS ITIL Risk Control Matrix e mappature tra standard possono essere un primo passo per individuare i punti di contatto. PCI-DSS 64 Confronto con ISO/IEC 27001 I requisiti di PCI-DSS sono derivanti da standard e best practice di settore, non sorprende quindi che siano completamente compresi nella ISO/IEC 27001. Lo schema seguente riassume le principali differenze tra le norme. PCI-DSS ISO/IEC 27001 Scope fisso Scope variabile Contromisure uniformi Contromisure selezionabili Approccio prefissato al rischio Approccio reattivo al rischio Contromisure dettagliate Contromisure generali Applicazione coatta Applicazione opzionale PCI-DSS 65 Confronto con ISO/IEC 27001 Esistono tre possibili scenari di interazione tra PCI-DSS e ISO/IEC 27001: 1. PCI-DSS e 27001 sono impostate ex-novo contemporaneamente Requisiti fissati per parte dell’ambito Risk assessment complessivo Estensione delle contromisure tra le parti 2. Si aggiunge la PCI-DSS ad un contesto già 27001 Esportazione di prassi e processo in uso, effort ridotto Integrazione di misure di sicurezza 3. Si aggiunge la 27001 ad un contesto già PCI-DSS Confezionamento dei processi attorno all’ambito esistente, effort ridotto Maggiore ritorno d’immagine PCI-DSS 66 Riferimenti www.pcisecuritystandards.org www.visaeurope.com/aboutvisa/security/ais www.visa.com/cisp www.mastercard.com/sdp www.americanexpress.com/datasecurity www.discovernetwork.com/fraudsecurity/disc.html www.jcb-global.com/english/pci www.pciitalia.org [email protected] PCI-DSS 67