advertisement

PCI DSS 3.0 muutokset – “editor’s pick”

100 %
0 %
advertisement
Information about PCI DSS 3.0 muutokset – “editor’s pick”
Business & Mgmt

Published on January 22, 2014

Author: NixuOy

Source: slideshare.net

Description

"PCI DSS 3.0 muutokset – “editor’s pick”” Esitetty Nixun aamiaistilaisuudessa 15.1.2014 (c) Nixu Oy, Niki Klaus.
advertisement

PCI DSS 3.0 muutokset – “editor’s pick” Niki Klaus, Manager – Compliance Services 15.1.2014 1/16/14 © Nixu 2014 1

Tyypillinen verkkokauppa §  Asiakas siirretään verkkokaupasta tekemään maksu palveluntarjoajan sivulle –  Esim. Netaxept (e-maksupalvelu, DMP) §  Korttitiedot eivät koskaan siirry kauppiaan järjestelmiin §  Does not store, process or transmit cardholder data §  PCI DSS 2.0 mukainen tulkinta: ei osa PCI-ympäristöä 1/16/14 © Nixu 2014 2

PCI DSS 3.0 ja PCI-ympäristö §  Systems that provide –  security services (for example, authentication servers) –  facilitate segmentation (for example, internal firewalls) –  or may impact the security of (for example, name resolution or web redirection servers) the CDE. §  Muutoksen kaksi pääasiallista syytä –  Verkkokaupat –  QSA:en poikkeavat ja osin lepsut tulkinnat §  Verkkokauppojen suhteen avainasemassa on tuleva itsearviointilomake (SAQ) 1/16/14 © Nixu 2014 3

Muutoksen vaikutukset §  Palveluntarjoajille mahdollisesti suurempi PCI-ympäristö –  Joidenkin järjestelmien saattaminen vaatimuksenmukaisiksi voi tuottaa lisää työtä ja kustannuksia –  Valmius kuitenkin olemassa – ei suuri hyppy §  Verkkokauppiaille muutos on erittäin suuri –  Ensimmäinen järjestelmä on se vaikein §  PCI-sertifioiduille ympäristöille suurempi kysyntä? §  Voiko tilannetta helpottaa kompensoivilla kontrolleilla? 1/16/14 © Nixu 2014 4

Maksupäätteiden hallinta §  Täysin uusi vaatimus 9.9 –  Siirtymäaika 30.6.2015 §  Nixun suositus alusta saakka, sillä monien kauppiaiden ratkaisu nojaa täysin maksupäätteiden varaan §  Vaatimukset lyhyesti –  Ajantasainen inventaario –  Periodiset tarkastukset –  Henkilökunnan koulutus §  Skimming prevention guideline §  Valmius P2PE -sertifioidulle palvelulle §  Suositus: yhteistyö palveluntarjoajan kanssa 1/16/14 © Nixu 2014 5

Palveluntarjoajien hallinta §  Tyypilliset haasteet palveluntarjoajien kanssa: katteettomat lupaukset, epäselvät vastuut §  Palveluntarjoajien roolia selkeytetty: vastaa korttitiedon turvallisuudesta, ei ainoastaan hallussaan olevasta korttitiedosta §  Kirjattava mitkä vaatimukset ovat palveluntarjoajien vastuulla, ja mitkä kauppiaan/pankin vastuulla §  Palveluntarjoajilla tulee olla mallipohja, jossa palveluntarjoaja ottaa vastuun korttitiedon turvallisuudesta §  Uusi AOC tukee tätä vaatimusta: tulee olemaan yksityiskohtaisempi –  Tarvetta ROC:n läpikäynnille? 1/16/14 © Nixu 2014 6

Tietomurtojen jakaantuminen Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 7

Mistä korttitiedot viedään Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 8

Kauppiaan asiakkaiden korttiväärinkäytökset % 80   70   60   50   40   30   20   10   0   aika 1/16/14 © Nixu 2014 Lähde: Visa Europe 9

Trendit ja tekotavat §  Pienet verkkokaupat kohteina §  Hotellit VISAn mielenkiinnon kohteena §  Tehdään tietoverkkojen yli (95 %) §  Myös paperiaineistoa varastetaan §  Tyypilliset syyt –  –  –  –  Suojaamaton etäyhteys Puutteellinen verkkosegmentointi Suojaamaton verkkokauppa Phishing hyökkäykset (esiinnytään pankkina, pyydetään tiedot) §  Vahingot pienen kauppiaan tapauksessa yli 100.000€ 1/16/14 © Nixu 2014 10

Tietomurron jälkipyykki §  Kauppiaan pankki saa sanktion §  VISAlle tulee toimittaa puhdas auditointiraportti (ROC) 90 päivän sisällä §  Vaihtoehtoisesti roadmap 30 päivän sisällä §  Mikäli ei toimita kumpaakaan, seuraa siitä sanktio 30 päivän välein §  Kauppiaan pankki voi yleensä vyöryttää sanktion kauppiaalle 1/16/14 © Nixu 2014 11

Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 1/16/14 © Nixu 2014 12

Add a comment

Related presentations

Canvas Prints at Affordable Prices make you smile.Visit http://www.shopcanvasprint...

30 Días en Bici en Gijón organiza un recorrido por los comercios históricos de la ...

Con el fin de conocer mejor el rol que juega internet en el proceso de compra en E...

With three established projects across the country and seven more in the pipeline,...

Retailing is not a rocket science, neither it's walk-in-the-park. In this presenta...

What is research??

What is research??

April 2, 2014

Explanatory definitions of research in depth...

Related pages

PCI DSS 3.0 MUUTOKSET - 'EDITOR'S PICK' / NIKI KLAUS, NIXU ...

... home #785613 pci dss 3.0 muutokset - 'editor's pick' / niki klaus, nixu oy . latest files: modulation of dna conformation by heart-focused intention ...
Read more

PCI DSS 3.0 muutokset – “editor’s pick” - HubSlide

"PCI DSS 3.0 muutokset – “editor’s pick”” Esitetty Nixun aamiaistilaisuudessa 15.1.2014 (c) Nixu Oy, Niki Klaus.
Read more

PCI DSS | Nixu Oyj - Cybersecurity.

Muutokset voidaan jakaa kahteen kategoriaan: ... Aikaisemmassa artikkelissa pohdin PCI DSS 3.0 -version vaikutuksia erityisesti verkkokaupoille.
Read more

PCI-DSS 3.0 Security Now Officially a Standard - eWeek

PCI-DSS 3.0 Security Now Officially a Standard . ... PCI-DSS 3.0 is now an ... eWeek Editor's Pick News & Views Cloud Computing Mobile and ...
Read more

Page 2 - PCI-DSS 3.0 Security Compliance Gets Stronger

Security / PCI-DSS 3.0 Security Compliance Gets Stronger . PCI-DSS 3.0 Security ... With the PCI-DSS 3.0 ... eWeek Editor's Pick News & Views ...
Read more

Hacking through complexity: huhtikuuta 2014

Kuinka Councilin määrittelemät muutokset sitten näkyvät itse ... Esimerkiksi PCI DSS 3.0 vaatii toteutettujen kontrollimekanismien kattavan ...
Read more

Hacking through complexity: PCI-DSS -standardi v3.0

... sta versioon 3.0 julkaistiin marraskuussa 2013 ja on ... PCI Security Standards Council:n ... Kuinka Councilin määrittelemät muutokset sitten ...
Read more

Boubyan Bank receives PCI DSS Certification - Zawya

KUWAIT: Boubyan Bank has made a new achievement by receiving the Payment Card Industry Data Security Standard Certification (PCI DSS), V.03 for the second ...
Read more