PCI DSS 3.0 muutokset – “editor’s pick”

100 %
0 %
Information about PCI DSS 3.0 muutokset – “editor’s pick”
Business & Mgmt

Published on January 22, 2014

Author: NixuOy

Source: slideshare.net

Description

"PCI DSS 3.0 muutokset – “editor’s pick”” Esitetty Nixun aamiaistilaisuudessa 15.1.2014 (c) Nixu Oy, Niki Klaus.

PCI DSS 3.0 muutokset – “editor’s pick” Niki Klaus, Manager – Compliance Services 15.1.2014 1/16/14 © Nixu 2014 1

Tyypillinen verkkokauppa §  Asiakas siirretään verkkokaupasta tekemään maksu palveluntarjoajan sivulle –  Esim. Netaxept (e-maksupalvelu, DMP) §  Korttitiedot eivät koskaan siirry kauppiaan järjestelmiin §  Does not store, process or transmit cardholder data §  PCI DSS 2.0 mukainen tulkinta: ei osa PCI-ympäristöä 1/16/14 © Nixu 2014 2

PCI DSS 3.0 ja PCI-ympäristö §  Systems that provide –  security services (for example, authentication servers) –  facilitate segmentation (for example, internal firewalls) –  or may impact the security of (for example, name resolution or web redirection servers) the CDE. §  Muutoksen kaksi pääasiallista syytä –  Verkkokaupat –  QSA:en poikkeavat ja osin lepsut tulkinnat §  Verkkokauppojen suhteen avainasemassa on tuleva itsearviointilomake (SAQ) 1/16/14 © Nixu 2014 3

Muutoksen vaikutukset §  Palveluntarjoajille mahdollisesti suurempi PCI-ympäristö –  Joidenkin järjestelmien saattaminen vaatimuksenmukaisiksi voi tuottaa lisää työtä ja kustannuksia –  Valmius kuitenkin olemassa – ei suuri hyppy §  Verkkokauppiaille muutos on erittäin suuri –  Ensimmäinen järjestelmä on se vaikein §  PCI-sertifioiduille ympäristöille suurempi kysyntä? §  Voiko tilannetta helpottaa kompensoivilla kontrolleilla? 1/16/14 © Nixu 2014 4

Maksupäätteiden hallinta §  Täysin uusi vaatimus 9.9 –  Siirtymäaika 30.6.2015 §  Nixun suositus alusta saakka, sillä monien kauppiaiden ratkaisu nojaa täysin maksupäätteiden varaan §  Vaatimukset lyhyesti –  Ajantasainen inventaario –  Periodiset tarkastukset –  Henkilökunnan koulutus §  Skimming prevention guideline §  Valmius P2PE -sertifioidulle palvelulle §  Suositus: yhteistyö palveluntarjoajan kanssa 1/16/14 © Nixu 2014 5

Palveluntarjoajien hallinta §  Tyypilliset haasteet palveluntarjoajien kanssa: katteettomat lupaukset, epäselvät vastuut §  Palveluntarjoajien roolia selkeytetty: vastaa korttitiedon turvallisuudesta, ei ainoastaan hallussaan olevasta korttitiedosta §  Kirjattava mitkä vaatimukset ovat palveluntarjoajien vastuulla, ja mitkä kauppiaan/pankin vastuulla §  Palveluntarjoajilla tulee olla mallipohja, jossa palveluntarjoaja ottaa vastuun korttitiedon turvallisuudesta §  Uusi AOC tukee tätä vaatimusta: tulee olemaan yksityiskohtaisempi –  Tarvetta ROC:n läpikäynnille? 1/16/14 © Nixu 2014 6

Tietomurtojen jakaantuminen Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 7

Mistä korttitiedot viedään Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 8

Kauppiaan asiakkaiden korttiväärinkäytökset % 80   70   60   50   40   30   20   10   0   aika 1/16/14 © Nixu 2014 Lähde: Visa Europe 9

Trendit ja tekotavat §  Pienet verkkokaupat kohteina §  Hotellit VISAn mielenkiinnon kohteena §  Tehdään tietoverkkojen yli (95 %) §  Myös paperiaineistoa varastetaan §  Tyypilliset syyt –  –  –  –  Suojaamaton etäyhteys Puutteellinen verkkosegmentointi Suojaamaton verkkokauppa Phishing hyökkäykset (esiinnytään pankkina, pyydetään tiedot) §  Vahingot pienen kauppiaan tapauksessa yli 100.000€ 1/16/14 © Nixu 2014 10

Tietomurron jälkipyykki §  Kauppiaan pankki saa sanktion §  VISAlle tulee toimittaa puhdas auditointiraportti (ROC) 90 päivän sisällä §  Vaihtoehtoisesti roadmap 30 päivän sisällä §  Mikäli ei toimita kumpaakaan, seuraa siitä sanktio 30 päivän välein §  Kauppiaan pankki voi yleensä vyöryttää sanktion kauppiaalle 1/16/14 © Nixu 2014 11

Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 1/16/14 © Nixu 2014 12

Add a comment

Related presentations

Related pages

PCI DSS 3.0 MUUTOKSET - 'EDITOR'S PICK' / NIKI KLAUS, NIXU ...

... home #785613 pci dss 3.0 muutokset - 'editor's pick' / niki klaus, nixu oy . latest files: modulation of dna conformation by heart-focused intention ...
Read more

PCI DSS 3.0 muutokset – “editor’s pick” - HubSlide

"PCI DSS 3.0 muutokset – “editor’s pick”” Esitetty Nixun aamiaistilaisuudessa 15.1.2014 (c) Nixu Oy, Niki Klaus.
Read more

PCI DSS | Nixu Oyj - Cybersecurity.

Muutokset voidaan jakaa kahteen kategoriaan: ... Aikaisemmassa artikkelissa pohdin PCI DSS 3.0 -version vaikutuksia erityisesti verkkokaupoille.
Read more

PCI-DSS 3.0 Security Now Officially a Standard - eWeek

PCI-DSS 3.0 Security Now Officially a Standard . ... PCI-DSS 3.0 is now an ... eWeek Editor's Pick News & Views Cloud Computing Mobile and ...
Read more

Page 2 - PCI-DSS 3.0 Security Compliance Gets Stronger

Security / PCI-DSS 3.0 Security Compliance Gets Stronger . PCI-DSS 3.0 Security ... With the PCI-DSS 3.0 ... eWeek Editor's Pick News & Views ...
Read more

Hacking through complexity: huhtikuuta 2014

Kuinka Councilin määrittelemät muutokset sitten näkyvät itse ... Esimerkiksi PCI DSS 3.0 vaatii toteutettujen kontrollimekanismien kattavan ...
Read more

Hacking through complexity: PCI-DSS -standardi v3.0

... sta versioon 3.0 julkaistiin marraskuussa 2013 ja on ... PCI Security Standards Council:n ... Kuinka Councilin määrittelemät muutokset sitten ...
Read more

Boubyan Bank receives PCI DSS Certification - Zawya

KUWAIT: Boubyan Bank has made a new achievement by receiving the Payment Card Industry Data Security Standard Certification (PCI DSS), V.03 for the second ...
Read more