PCI DSS 3.0 - Merkittävimmät muutokset

80 %
20 %
Information about PCI DSS 3.0 - Merkittävimmät muutokset
Business & Mgmt

Published on January 22, 2014

Author: NixuOy

Source: slideshare.net

Description

"PCI DSS 3.0 - Merkittävimmät muutokset” Esitetty Nixun aamiaistilaisuudessa 15.1.2014 (c) Nixu Oy, Seppo Heikkinen.

PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 © Nixu 2014 1

Yleistä PCI DSS –standardin kehittämisestä  PCI SSC (Payment Card Industry Security Standards Council) on vastuussa standardin kehittämisestä ja ylläpidosta – Kerää palautetta PCI-toimijoilta – Tavoitteena vastata kehittyviin uhkiin  Standardin elinkaari kestää kolme vuotta – Yhden vuoden siirtymäaika, jolloin vanha ja uusi standardi voimassa – PCI DSS 2.0 julkaistiin lokakuussa 2010 – PCI DSS 3.0 julkaistiin marraskuussa 2013  Voimassa 2014  Pakollinen 2015 15.1.2014 © Nixu 2014 2

3.0:n tavoitteita  Maksukorttiturvallisuus  “business  as  usual”  Koulutuksen ja tietoisuuden lisääminen  Joustavuus  Tarkastusten yhtenäisyys  Tietoturvan jaettu vastuu 15.1.2014 © Nixu 2014 3

Yleisiä muutoksia  PCI-vaatimusten vaikutusalueen (scope) tarkennukset  ”Business  as  usual”  –osio – Best practises –ohjeistus  Lisätty vaatimuksiin ohjeistussarake kuvastamaan vaatimuksen tarkoitusta  Kohdistettujen tietoturvapolitiikkojen ja – proseduurien siirtäminen omiin vaatimusryhmiinsä  Auditoinnissa käytettäviä testausproseduureja on tarkennettu  Kielellisiä ja typografisia korjauksia 15.1.2014 © Nixu 2014 4

Yksittäiset muutokset 15.1.2014 © Nixu 2014 5

Verkot, palomuurit, järjestelmien turvaparametrit (1,2)  Korttitietovirtojen dokumentointi  Tarkennukset turvattomista protokollista  Tarkennuksia vaatimusten testauksista ja tavoitteista  Inventaariolistaus PCI-ympäristön komponenteista  Tarkennuksia organisaation konfiguraatiostandardeista 15.1.2014 © Nixu 2014 6

Esimerkki tarkennuksista Vaatimus Testausproseduuri 2.0 3.0 15.1.2014 © Nixu 2014 7

Haittaohjelmat (5)  Otsikkomuutos – “Use  and  regularly  update  anti-virus  software  or  programs”  -> “Protect  all  systems  against  malware  and  regularly  update  anti-virus software  or  programs”  Haittaohjelmauhkien säännöllinen arviointi myös järjestelmissä, jotka eivät tyypillisesti ole haittaohjelmien kohteena  Käyttäjä ei voi sammuttaa tai muuttaa virustutkaa 15.1.2014 © Nixu 2014 8

Järjestelmä- ja ohjelmistokehitys (6)  Ohjelmistokehittäjien koulutus huomioimaan myös sensitiivisen tiedon käsittely muistissa  Ohjelmistokehityksen otettava huomioon haavoittuvuuksien hallinnassa  kulloisetkin  ”best  practise”-listat – Uutena  haavoittuvuusluokkana  ”broken  authentication  and  session   management”  (Best practise until Jun 2015)  Tarkennukset web-sovellusten turvatestaukseen: ei ole sama kuin verkkohaavoittuvuusskannaus  Web-application firewall ->  ”automated technical solution that detects and prevents web-based  attacks” 15.1.2014 © Nixu 2014 9

Autentikointi (8)  Otsikkomuutos – “Assign  a  unique  ID  to  each  person  with  computer  access”  -> ”Identify  and  authenticate  access  to  system  components”  Salasanoille vaihtoehtoiset autentikointimekanismit – Kompleksisuusvaatimukset voidaan korvata esim. entropialla  Käyttäjäohjeistus hyvistä salasanakäytännöistä  Palveluntarjoajien tulee käyttää uniikkeja salasanoja eri asiakasympäristöihin – Ei koske omia hostattuja ympäristöjä – (Best practise until Jun 2015)  Toimikorttipohjaiset ja vastaavat autentikointimekanismit tulee linkittää vain yksittäisiin käyttäjiin – Fyysiset tai loogiset kontrollit 15.1.2014 © Nixu 2014 10

Fyysinen turvallisuus (9)  Fyysisen pääsyn tulee olla auktorisoitua ja perustua työnkuvaan – Oikeudet perutaan heti työsuhteen loppuessa  Maksupäätteiden (kortinlukijan) turvaaminen – Inventaariolistojen ylläpito – Säännölliset tarkastukset peukaloinnin varalta – Henkilökunnan koulutus  Tunnistetaan peukalointi, epäilyttävät laitteet – Raportointi esimiehelle  Valtuutettu huolto  Laitteiden asennus/luovutus – (Best practise until Jun 2015) 15.1.2014 © Nixu 2014 11

Monitorointi (10)  Lokitus muutoksista tunnistusmekanismeihin tai pääkäyttäjätunnuksiin  Havainnoi lokien pysäyttäminen kokonaan tai väliaikaisesti  Tarkennuksia siitä, mitä lokeja tutkitaan päivittäin (manuaalisesti tai työkalujen avulla) ja millä frekvenssillä muita lokeja tutkitaan organisaation politiikkojen/riskien hallinnan mukaisesti 15.1.2014 © Nixu 2014 12

Testaus (11)  Inventaario käytössä olevista langattomista verkoista ja näiden perustellusta käyttötarkoituksesta  Murtotestausta varten tulee olla määritelty metodologia – (Best practise until Jun 2015)  Segmentoinnin toimivuuden tarkistus vuosittain tai muutosten jälkeen  “Intrusion-detection systems, and/or intrusion-prevention  systems”  -> “Intrusion-detection and/or intrusion-prevention  techniques”  ”File  integrity  monitoring”  ->  ”Change  detection  mechanism”  Prosessimääritellyt kuinka muutoshälytyksiin vastataan 15.1.2014 © Nixu 2014 13

Tietoturvapolitiikat (12)  Riskien arviointi tehdään myös merkittävien muutosten jälkeen  Tarkennettu että palveluntarjoaja käsittelee korttidataa tai voi vaikuttaa maksukorttiympäristön tietoturvaan  Listaukset vaatimuksista, mitkä ovat organisaation ja mitkä palveluntarjoajan vastuulla  Palveluntarjoaja ylläpitää prosesseja, jotka varmistavat että se pystyy kirjallisesti ilmaisemaan vastuunsa soveltuvien PCI DSS –vaatimusten noudattamisesta – Auditoitava kohde on palveluntarjoaja – (Best practise until Jun 2015) 15.1.2014 © Nixu 2014 14

Yhteenveto  PCI-ympäristön (scope) tarkentuminen – Kaikki korttiturvallisuuden oleellisesti liittyvät komponentit  Lisääntynyt inventaariotarve – Tiedosta PCI-ympäristö  Maksupäätteiden turvallisuudesta huolehtiminen – Fyysinen turvallisuus – Henkilöstön koulutus  Murtotestausmetodologia  Palvelutarjoajien tarkempi seuranta – Vaatimusten kohdentaminen 15.1.2014 © Nixu 2014 15

Kiitos mielenkiinnosta!  Kysymyksiä/kommentteja? Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 15.1.2014 © Nixu 2014 16

Add a comment

Related presentations

Related pages

Payment Card Industry (PCI) Data Security Standard

November 2013 3.0 Update from v2.0. See PCI DSS ... The Payment Card Industry Data Security Standard (PCI DSS) ...
Read more

Payment Card Industry (PCI) Data Security Standard

The Payment Card Industry (PCI) Data Security Standard (DSS) was developed to encourage and enhance cardholder data security and facilitate
Read more

Payment Card Industry Data Security Standard – Wikipedia

Oktober 2009 einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen beauftragen oder ihrem Acquirer ...
Read more

PCI DSS 3.0 Update: A Cisco and Verizon Perspective

PCI DSS 3.0 Update: A Cisco and Verizon Perspective ... How PCI DSS 3.0 affects the scoping, vendor equipment assessment, and enterprise architecture of
Read more

PCI DSS 3.0: 10 Commonly Asked Questions - SecurityMetrics

PCI DSS 3.0: 10 Commonly Asked Questions ... PCI DSS 3.0 has evolved to not only address emerging threats, but also new technology like EMV, P2PE, ...
Read more

Cisco Compliance Solutions - Cisco Systems, Inc

Cisco Compliance Solutions Simplify the Compliance Process. ... Cisco Compliance Solution for PCI DSS. ... PCI Perspective Paper for 3.0 (PDF ...
Read more

Payment Card Industry Data Security Standard - Wikipedia ...

Version 3.0 was released in November 2013 and is active from January ... A Practical Guide to the Payment Card Industry Data Security Standard (PCI DSS) ...
Read more

Official PCI Security Standards Council Site - Verify PCI ...

... the PCI Security Standards Council has done a laudable job at ... Following guidance in the PCI Data Security Standard helps keep your cyber defenses ...
Read more