20.03.2014_guasconi-morini
Transcript
20.03.2014_guasconi-morini
PCI-DSS, terza versione 20 Marzo 2014, Security Summit, Milano Sezione 0 PREMESSA © 2014 BL4CKSWAN S.r.l. – Pagina 2 PCI-DSS, terza versione Speakers Fabio Guasconi + Francesco Morini Fabio Guasconi Direttivo CLUSIT e UNINFO Presidente del ISO/IEC JTC1 SC27 di UNINFO QSA dal 2009 CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Partner e co-founder Bl4ckswan S.r.l. Francesco Morini QSA dal 2008 CISSP, OPST, CCNA, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Partner e co-founder Bl4ckswan S.r.l. © 2014 BL4CKSWAN S.r.l. – Pagina 3 PCI-DSS, terza versione BL4CKSWAN FONDAZIONE ESPERIENZA DEI SOCI FONDATORI 2012 a Milano, Italia da parte di 4 soci 54 anni uomo sul mercato italiano e internazionale SETTORE PROPRIETA' Consulenza Direzionale Italiana 100% Sicurezza delle Informazioni SERVIZI FORNITI Governance Risk Compliance PARTECIPAZIONI © 2014 BL4CKSWAN S.r.l. – Pagina 4 PRINCIPALI SETTORI SERVITI Servizi ICT 23% 18% 59% Finance Trasporti Energetico Telco Aerospaziale BASI OPERATIVE PCI-DSS, terza versione Agenda PCI-DSS in pillole COSA cambia nella nuova versione COME allinearsi allo standard QUAL E' la situazione del mercato © 2014 BL4CKSWAN S.r.l. – Pagina 5 PCI-DSS, terza versione Sezione 1 PCI-DSS IN PILLOLE © 2014 BL4CKSWAN S.r.l. – Pagina 6 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline © 2014 BL4CKSWAN S.r.l. – Pagina 7 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline • Risultato dell’unione dei security programs dei principali circuiti di carte di credito. • Definisce i requisiti per implementare un processo di sicurezza per l’acquisizione, elaborazione, trasmissione e memorizzazione (cardholder data processing). • Lo standard si applica a qualsiasi entità che: • Supporta direttamente o indirettamente uno o più processi di cardholder data processing. • Svolga delle attività che possano alterare la capacità di protezione di uno o più processi. © 2014 BL4CKSWAN S.r.l. – Pagina 8 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline Quando c’è di mezzo un PAN... Esercenti Istituti di pagamento • • • Online MOTO Brick and Mortar • • • • • • • GDO Trasporti Retail Government Professionisti privati Fornitori di Servizi © 2014 BL4CKSWAN S.r.l. – Pagina 9 Acquirer Issuer • Payment Gateway • • • Body Rental Managed Security Services Remote Storage locations * PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline no domini, solo tematiche (e pure vecchie): Progettazione Rete Configurazione sistemi e apparati Cifratura dati “at-rest” Cifratura dati “in-transit” Implementazione di “Sec-Techs” Patch + Change Management Sviluppo Sicuro del Software Profilazione Utenze Autenticazione Sicurezza fisica perimetrale Sicurezza fisica supporti Logging e Monitoraggio Audit Tecnico Gestione Fornitori Incident Management Analisi del Rischio Politiche per la Sicurezza Ruoli e Responsabilità © 2014 BL4CKSWAN S.r.l. – Pagina 10 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline Fonte: Verizon 2014 PCI Compliance Report © 2014 BL4CKSWAN S.r.l. – Pagina 11 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline VISA Mastercard Amex Discover JCB Livello 1 >6M Transazioni Violazione subita l’anno precedente >6M Transazioni Violazione subita l’anno precedente VISA Livello 1 >2,5M Transazioni >6M Transazioni Livello 1 per altro Brand >1M Transazioni Violazione subita l’anno precedente Livello 2 Tra 1M e 6M Transazioni Tra 1M e 6M Transazioni VISA Livello 2 Tra 50K e 2,5M Transazioni Tra 1M e 6M Transazioni Livello 2 per altro Brand <1M Transazioni Livello 3 Tra 20K e 1M Transazioni ecommerce Tra 20K e 1M Transazioni ecommerce MasterCard e Maestro VISA Livello 3 Meno di 50K Transazioni Tra 20K e 1M Transazioni ecommerce Livello 3 per altro Brand N/A Livello 4 < 20K Transazioni e-commerce Tutti gli altri merchant <1M Transazioni Tutti i merchant non compresi nei precedenti N/A Tutti i merchant non compresi nei precedenti N/A © 2014 BL4CKSWAN S.r.l. – Pagina 12 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline if Level = 1 ROC 4x ASV if Level = 2,3,4 SAQ 4x ASV © 2014 BL4CKSWAN S.r.l. – Pagina 13 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline A ? B ? C • Applicabile a contesti caratterizzati dalla totale esternalizzazione dei processi di payment processing presso una terza parte. • L’entità non acquisisce, memorizza, elabora e/o trasmette dati di carta attraverso i propri sistemi e/o all’interno della propria sede. • Il dato di carta (PAN) viene memorizzato esclusivamente su supporto cartaceo. 13 C VT D requisiti 1 2 3 © 2014 BL4CKSWAN S.r.l. – Pagina 14 4 5 6 7 8 9 10 11 12 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline A ? B ? C C • Applicabile a contesti di payment processing basati esclusivamente sull’utilizzo di terminali di vendita (POS, PED, PDQ, etc. ) e/o macchinette stampigliatrici. • I terminali sono considerati “stand-alone”, ovvero unicamente collegati ad un payment gateway mediante una connessione autonoma e dedicata. • I terminali non sono in alcun modo connessi ad altri ambienti del sistema informativo 29 dell’entità. VT D • Il dato di carta (PAN) viene memorizzato esclusivamente su supporto cartaceo. requisiti 1 2 3 © 2014 BL4CKSWAN S.r.l. – Pagina 15 4 5 6 7 8 9 10 11 12 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline A ? B ? C • Applicabile a contesti di payment processing basati sull’utilizzo di una payment application la quale non esegue archiviazione del dato. • L’entità non memorizza, elabora o trasmette dati di carta in formato digitale sui propri sistemi e/o all’interno della propria sede. • Il dato di carta (PAN) viene memorizzato esclusivamente su supporto cartaceo. 80 C VT D requisiti 1 2 3 © 2014 BL4CKSWAN S.r.l. – Pagina 16 4 5 6 7 8 9 10 11 12 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline A ? • Applicabile a contesti di payment processing basati sull’utilizzo di Virtual POS, a cui si accede via browser. B • Il virtual POS deve essere fornito, attivo e gestito presso/da una terza parte. ? • Il virtual POS deve poter essere acceduto solo da un insieme di postazioni di lavoro C C dedicate e non comunicanti con altri ambienti del sistemi informativo. 51 • Il dato di carta (PAN) viene memorizzato esclusivamente su supporto cartaceo. VT D requisiti 1 2 3 © 2014 BL4CKSWAN S.r.l. – Pagina 17 4 5 6 7 8 9 10 11 12 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline A ? B ? • Applicabile a contesti di payment processing basati su modelli che non rientrano nelle opzioni descritte nei SAQ A, B, C e C-VT. • Il processo di payment processing è tipicamente caratterizzato dalla conservazione dei dati di carta. C 288 C VT D requisiti 1 2 3 © 2014 BL4CKSWAN S.r.l. – Pagina 18 4 5 6 7 8 9 10 11 12 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline La compliance PCI DSS è un’attività onerosa... ma serve? Essere compliant non è un ...ma è un buon punto d’inizio... © 2014 BL4CKSWAN S.r.l. – Pagina 19 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline 2004 2006 2008 2011 2014 V1.0 V1.1 V1.2 V2.0 V3.0 2009 2012 2013 Web applications Wireless Mobile POS Tokenisation Virtualization Mobile payment apps © 2014 BL4CKSWAN S.r.l. – Pagina 20 PCI-DSS, terza versione PCI-DSS in pillole cosa è – i diretti interessati – requisiti – applicare lo standard - timeline © 2014 BL4CKSWAN S.r.l. – Pagina 21 PCI-DSS, terza versione Sezione 2 COSA CAMBIA NELLA NUOVA VERSIONE © 2014 BL4CKSWAN S.r.l. – Pagina 22 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi La versione 3.0 di PCI-DSS è fondamentalmente una riedizione della versione precedente riorganizzata e chiarita Aggiunta delle guidelines nello standard (prima erano separate) Aggiunta di sezione relativa al "Business as usual" per il mantenimento nel tempo della conformità a PCI-DSS Spostamento del ROC reporting in un template separato ad uso dei QSA Miglioramento delle procedure di testing Chiarimento della criticità dei SAD indipendentemente dal PAN 11 nuovi requisiti © 2014 BL4CKSWAN S.r.l. – Pagina 23 24 requisiti spostati 8 requisiti cambiati e chiariti 1 requisito dismesso PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 1.1.3 Current diagram that shows all cardholder data flows across systems and networks 2.4 Maintain an inventory of system components that are in scope for PCI-DSS environment for implementing PCI DSS controls. 5.1.2 For systems considered to be not commonly affected by malicious software, perform periodic evaluations to identify and evaluate evolving malware threats in order to confirm whether such systems continue to not require anti-virus software 5.3 Ensure that anti-virus mechanisms are actively running and cannot be disabled or altered by users, unless specifically authorized by management on a case-by-case basis for a limited time period. 6.5.10 (Address common coding vulnerabilities on …) Broken authentication and session management © 2014 BL4CKSWAN S.r.l. – Pagina 24 1 Luglio 2015 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 8.5.1 Service providers with remote access to customer premises (for example, for 1 Luglio support of POS systems or servers) must use a unique authentication credential 2015 (such as a password/phrase) for each customer 8.6 Where other authentication mechanisms are used (for example, physical or logical security tokens, smart cards, certificates, etc.), use of these mechanisms must be assigned as follows: - Authentication mechanisms must be assigned to an individual account and not shared among multiple accounts. - Physical and/or logical controls must be in place to ensure only the intended account can use that mechanism to gain access. 9.3 Control physical access for onsite personnel to the sensitive areas as follows: - Access must be authorized and based on individual job function. - Access is revoked immediately upon termination, and all physical access mechanisms, such as keys, access cards, etc., are returned or disabled © 2014 BL4CKSWAN S.r.l. – Pagina 25 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 9.9 Protect devices that capture payment card data via direct physical interaction with the card from tampering and substitution. 1 Luglio 2015 11.3 Implement a methodology for penetration testing that includes the following: - Is based on industry-accepted penetration testing approaches (for example, NIST SP800-115) - Includes coverage for the entire CDE perimeter and critical systems - Includes testing from both inside and outside the network - Includes testing to validate any segmentation and scope-reduction controls 1 Luglio - Defines application-layer penetration tests to include, at a minimum, the 2015 vulnerabilities listed in Requirement 6.5 - Defines network-layer penetration tests to include components that support network functions as well as operating systems - Includes review and consideration of threats and vulnerabilities experienced in the last 12 months - Specifies retention of penetration testing results and remediation activities results © 2014 BL4CKSWAN S.r.l. – Pagina 26 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 12.9 Service providers acknowledge in writing to customers that they are responsible for the security of cardholder data the service provider possesses or 1 Luglio otherwise stores, processes, or transmits on behalf of the customer, or to the extent 2015 that they could impact the security of the customer’s cardholder data environment. © 2014 BL4CKSWAN S.r.l. – Pagina 27 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 2.2.2 Enable only necessary services, protocols, daemons, etc., as required for the function of the system. 2.2.2 2.2.3 Implement additional security features for any required services, protocols, or daemons that are considered to be insecure 3.1 3.1.1 3.1 Keep cardholder data storage to a minimum by implementing data retention and disposal policies, procedures and processes that include at least the following for all cardholder data (CHD) storage: … © 2014 BL4CKSWAN S.r.l. – Pagina 28 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 3.5.2 3.5.2 Store secret and private keys used to encrypt/decrypt cardholder data in one (or more) of the following forms at all times: - Encrypted with a key-encrypting key that is at least as strong as the data-encrypting key, and that is stored separately from the dataencrypting key - Within a secure cryptographic device (such as a host security module (HSM) or PTS-approved point-of-interaction device) - As at least two full-length key components or key shares, in accordance with an industry-accepted method 3.5.3 Store cryptographic keys in the fewest possible locations 6.1 6.2 Ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor-supplied security patches. Install critical security patches within one month of release. © 2014 BL4CKSWAN S.r.l. – Pagina 29 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 6.2 6.1 Establish a process to identify security vulnerabilities, using reputable outside sources for security vulnerability information, and assign a risk ranking (for example, as “high,” “medium,” or “low”) to newly discovered security vulnerabilities. 8.4 8.2.1 Using strong cryptography, render all authentication credentials (such as passwords/phrases) unreadable during transmission and storage on all system components. 8.5.2 8.2.2 © 2014 BL4CKSWAN S.r.l. – Pagina 30 Verify user identity before modifying any authentication credential—for example, performing password resets, provisioning new tokens, or generating new keys. PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 8.5.6 8.1.5 Manage IDs used by vendors to access, support, or maintain system components via remote access as follows: - Enabled only during the time period needed and disabled when not in use - Monitored when in use 8.5.7 8.4 Document and communicate authentication procedures and policies to all users including: - Guidance on selecting strong authentication credentials - Guidance for how users should protect their authentication credentials - Instructions not to reuse previously used passwords - Instructions to change passwords if there is any suspicion the password could be compromised 8.5.10 8.5.11 8.2.3 Passwords/phrases must meet the following: - Require a minimum length of at least seven characters. - Contain both numeric and alphabetic characters. Alternatively, the passwords/phrases must have complexity and strength at least equivalent to the parameters specified above © 2014 BL4CKSWAN S.r.l. – Pagina 31 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 8.5.16 8.7 All access to any database containing cardholder data (including access by applications, administrators, and all other users) is restricted as follows: - All user access to, user queries of, and user actions on databases are through programmatic methods. - Only database administrators have the ability to directly access or query databases. - Application IDs for database applications can only be used by the applications (and not by individual users or other non-application processes). 9.6 9.5 Physically secure all media. 9.7 9.6 Maintain strict control over the internal or external distribution of any kind of media, including the following. © 2014 BL4CKSWAN S.r.l. – Pagina 32 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 9.8 9.6.3 Ensure management approves any and all media that is moved from a secured area (including when media is distributed to individuals). 9.9 9.7 Maintain strict control over the storage and accessibility of media. 9.10 9.8 Destroy media when it is no longer needed for business or legal reasons as follows 11.3 11.3.3 Exploitable vulnerabilities found during penetration testing are corrected and testing is repeated to verify the corrections © 2014 BL4CKSWAN S.r.l. – Pagina 33 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 1.5 Ensure that security policies and operational procedures for managing firewalls are documented, in use, and known to all affected parties. 2.5 Ensure that security policies and operational procedures for managing vendor defaults and other security parameters are documented, in use, and known to all affected parties 12.1.1 3.7 Ensure that security policies and operational procedures for protecting stored cardholder data are documented, in use, and known to all affected parties. 4.3 Ensure that security policies and operational procedures for encrypting transmissions of cardholder data are documented, in use, and known to all affected parties. 5.4 Ensure that security policies and operational procedures for protecting systems against malware are documented, in use, and known to all affected parties. © 2014 BL4CKSWAN S.r.l. – Pagina 34 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 6.7 Ensure that security policies and operational procedures for developing and maintaining secure systems and applications are documented, in use, and known to all affected parties. 7.3 Ensure that security policies and operational procedures for restricting access to cardholder data are documented, in use, and known to all affected parties. 12.1.1 8.8 Ensure that security policies and operational procedures for identification and authentication are documented, in use, and known to all affected parties. 9.10 Ensure that security policies and operational procedures for restricting physical access to cardholder data are documented, in use, and known to all affected parties. 10.8 Ensure that security policies and operational procedures for monitoring all access to network resources and cardholder data are documented, in use, and known to all affected parties. © 2014 BL4CKSWAN S.r.l. – Pagina 35 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 12.1.1 11.6 Ensure that security policies and operational procedures for security monitoring and testing are documented, in use, and known to all affected parties. 12.1.2 12.2 Implement a risk-assessment process that: - Is performed at least annually and upon significant changes to the environment (for example, acquisition, merger, relocation, etc.), - Identifies critical assets, threats, and vulnerabilities, and - Results in a formal risk assessment. 12.1.3 12.1.1 Review the security policy at least annually and update the policy when the environment changes 12.9 12.10 Implement an incident response plan. Be prepared to respond immediately to a system breach © 2014 BL4CKSWAN S.r.l. – Pagina 36 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 1.1.6 Documentation and business justification for use of all services, protocols, and ports allowed, including documentation of security features implemented for those protocols considered to be insecure. Examples of insecure services, protocols, or ports include but are not limited to FTP, Telnet, POP3, IMAP, and SNMP v1 and v2 6.5 Address common coding vulnerabilities in software-development processes as follows: - Train developers in secure coding techniques, including how to avoid common coding vulnerabilities, and understanding how sensitive data is handled in memory. - Develop applications based on secure coding guidelines 6.6 … Installing an automated technical solution that detects and prevents webbased attacks (for example, a web-application firewall) in front of public-facing web applications, to continually check all traffic © 2014 BL4CKSWAN S.r.l. – Pagina 37 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 7.1.1 Define access needs for each role, including: - System components and data resources that each role needs to access for their job function - Level of privilege required (for example, user, administrator, etc.) for accessing resources. 10.2.5 Use of and changes to identification and authentication mechanisms— including but not limited to creation of new accounts and elevation of privileges—and all changes, additions, or deletions to accounts with root or administrative privileges 11.1.1 Maintain an inventory of authorized wireless access points including a documented business justification © 2014 BL4CKSWAN S.r.l. – Pagina 38 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 11.4 Use intrusion-detection and/or intrusion-prevention techniques to detect and/or prevent intrusions into the network. Monitor all traffic at the perimeter of the cardholder data environment as well as at critical points in the cardholder data environment, and alert personnel to suspected compromises. 11.5 Deploy a change-detection mechanism (for example, file-integrity monitoring tools) to alert personnel to unauthorized modification of critical system files, configuration files, or content files; and configure the software to perform critical file comparisons at least weekly. © 2014 BL4CKSWAN S.r.l. – Pagina 39 PCI-DSS, terza versione Cosa cambia nella nuova versione Nuovi requisiti – Requisiti spostati – Requisiti cambiati e chiariti – Requisiti rimossi 7.1.4 Implementation of an automated access control system © 2014 BL4CKSWAN S.r.l. – Pagina 40 PCI-DSS, terza versione Sezione 3 COME ALLINEARSI ALLO STANDARD © 2014 BL4CKSWAN S.r.l. – Pagina 41 PCI-DSS, terza versione Come allinearsi allo standard Partendo dalla 2.0 – Partendo da zero – Strategie per l'ottimizzazione – Interazione con altre norme – Nuovi SAQ Ragionando per priorità: PCI-DSS v 3.0 SAQ A-EP Priorità 0: verifica dei nuovi SAQ (se applicabile) SAQ B-IP Priorità 1: nuovi requisiti e requisiti modificati in vigore subito Priorità 2: nuovi requisiti e requisiti modificati in vigore dal 1 Luglio 2015 © 2014 BL4CKSWAN S.r.l. – Pagina 42 PCI-DSS, terza versione Come allinearsi allo standard Partendo dalla 2.0 – Partendo da zero – Strategie per l'ottimizzazione – Interazione con altre norme – Nuovi SAQ Per chi deve affrontare in toto la PCI-DSS conviene orientarsi direttamente verso la 3.0 L'approccio consigliato rimane per il resto lo stesso, come schematizzato di seguito: Scoping Gap analysis Remediation Preaudit Audit SAQ Livelli ≠ 1 © 2014 BL4CKSWAN S.r.l. – Pagina 43 PCI-DSS, terza versione Come allinearsi allo standard Partendo dalla 2.0 – Partendo da zero – Strategie per l'ottimizzazione – Interazione con altre norme – Nuovi SAQ Vediamo come ottimizzare l'implementazione di alcuni dei nuovi requisiti: 1.1.3 Current diagram that shows all cardholder data flows across systems and networks arricchire i diagrammi esistenti con i flussi è la strada più semplice può essere una buona occasione per aggiornare i flussi censiti 5.1.2 For systems considered to be not commonly affected by malicious software, perform periodic evaluations … non avete ancora uno scadenziario per le attività periodiche? E' arrivata l'ora 11.3 Implement a methodology for penetration testing … se è un fornitore esterno sceglietene uno che già usi una metodologia documentata se è svolto internamente il NIST SP800-115 costituisce un'ottima guida anche presa direttamente © 2014 BL4CKSWAN S.r.l. – Pagina 44 PCI-DSS, terza versione Come allinearsi allo standard Partendo dalla 2.0 – Partendo da zero – Strategie per l'ottimizzazione – Interazione con altre norme – Nuovi SAQ Gestione dei service provider o dei merchant (dove applicabile) © 2014 BL4CKSWAN S.r.l. – Pagina 45 PCI-DSS, terza versione Come allinearsi allo standard Partendo dalla 2.0 – Partendo da zero – Strategie per l'ottimizzazione – Interazione con altre norme – Nuovi SAQ Gli standard del Council sono sempre di più, cosa si applica a chi? PA-QSA l'uso di applicazioni certificate permette di non dover verificare come sono state sviluppate (ma solo che siano state installate e configurate correttamente) PTS non ci sono particolari legami tra PCI-PTS e PCI-DSS P2PE una soluzione certificata P2PE può essere utilizzata per ridurre l'ambito di applicazione della PCI-DSS soprattutto dove vi sono più punti di acquisizione dati Card Production non ci sono particolari legami tra i requisiti per la Card Production e PCI-DSS © 2014 BL4CKSWAN S.r.l. – Pagina 46 PCI-DSS, terza versione Come allinearsi allo standard Partendo dalla 2.0 – Partendo da zero – Strategie per l'ottimizzazione – Interazione con altre norme – Nuovi SAQ A • Applicabile a contesti di payment processing basati su modelli “card not present”. A • Totale esternalizzazione dei processi di payment processing presso una terza parte, certificata PCI EP DSS. B • Il sito dell’esercente non raccoglie il dato di carta, e gestisce il reindirizzamento verso il payment B IP processor. C • Il sito dell’esercente è isolato da qualsiasi altro elemento infrastrutturale. C • Il pagamento è effettuato attraverso infterfacce gestite dal payment processor.. VT D 105 • La memorizzazione di dati di carta è svolta esclusivamente su supporti cartacei. • Applicabile esclusivamente a canali “e-commerce”. requisiti 1 2 3 © 2014 BL4CKSWAN S.r.l. – Pagina 47 4 5 6 7 8 9 10 11 12 PCI-DSS, terza versione Come allinearsi allo standard Partendo dalla 2.0 – Partendo da zero – Strategie per l'ottimizzazione – Interazione con altre norme – Nuovi SAQ A • Applicabile a contesti di payment processing basati esclusivamente sull’utilizzo di terminali di vendita (POS, PED, PDQ, etc. ) certificati PCI PTS. A EP • I terminali sono connessi mediante IP al payment processor. B • I terminali non sono in alcun modo connessi ad altri ambienti del sistema informativo dell’esercente, B IP inclusi dispostivi. C • Il dato di carta (PAN) viene memorizzato esclusivamente su supporto cartaceo. C • Non applicabile a modelli di pagamento basati su e-commerce. VT 62 D requisiti 1 2 3 © 2014 BL4CKSWAN S.r.l. – Pagina 48 4 5 6 7 8 9 10 11 12 PCI-DSS, terza versione Sezione 4 QUAL E' LA SITUAZIONE DEL MERCATO © 2014 BL4CKSWAN S.r.l. – Pagina 49 PCI-DSS, terza versione Qual è la situazione del mercato Mercato mondiale – Mercato italiano 56.2% of North America organizations complied with 80%+ of controls 75.0% of Asia-Pafic organizations complied with 80%+ of controls 31.3% of European organizations complied with 80%+ of controls Fonte: Verizon 2014 PCI Compliance Report © 2014 BL4CKSWAN S.r.l. – Pagina 50 PCI-DSS, terza versione Qual è la situazione del mercato Mercato mondiale – Mercato italiano Lo scudo "stiamo lavorando su SEPA" sta venendo meno per le banche europee I principali acquirer italiani iniziano a concludere le loro certificazioni Il mercato nazionale si sta arricchendo di attori che entrano nel settore Nuove modalità di pagamento (mobile POS, NFC) pongono nuove sfide per la sicurezza dei dati relativi alle carte di pagamento Alcune associazioni di settore stanno iniziando a mettersi insieme per cercare strade comuni e meno onerose d'accordo con i Brand Le controllanti e i partner stranieri iniziano a spingere per traguardare un allineamento a PCI-DSS Il Garante per la Privacy sta studiando misure per tutelare i dati personali tra i dati relativi alle carte di pagamento © 2014 BL4CKSWAN S.r.l. – Pagina 51 PCI-DSS, terza versione Per riassumere … No PCI-DSS Compliance? © 2014 BL4CKSWAN S.r.l. – Pagina 52 PCI-DSS, terza versione