De Payment Card Industry Data Security Standard (PCI DSS)

1. De Payment Card Industry Data Security Standard (PCI DSS)

2. Overzicht van deze presentatie • Waarom PCI DSS? • Naleving en validatienivaus • Gegevens van kaarthouders • Het wettelijk perspectief • Uitvoering van een PCI DSS audit • Vermindering van de kosten door middel van automatisering

3. Wat is de Payment Card Industry Data Security Standard (PCI DSS)? • De PCI DSS bestaat uit een aantal veiligheidsnormen die door de grootste creditcardmaatschappijen, waaronder VISA en MasterCard, zijn opgesteld om gegevens van credit- en debitcards te beschermen • Tot op heden bepalen deze eisen alle betaalkanalen, waaronder detailhandel, postorders, telefonische bestellingen en e-commerce • Hoewel PCI DSS voorheen een afzonderlijke informatiebeveiligingsnorm was, is dit nu een algemene veiligheidsnorm geworden

4. Waarom is de PCI DSS vereist? • Diefstal van gegevens van kaarthouders en fraude bestaan al sinds midden jaren 80. Dit gaf Visa aanleiding tot het opstellen van het eerste veiligheidsprogramma • De recente inbraak op het netwerk van TJC, waarbij minstens 45,6 miljoen credit- en debitcardnummer waren gestolen door hackers, die in het netwerk van de organisatie hadden ingebroken, benadrukte de behoefte voor betere veiligheidsmaatregelen. • Volgens InformationWeek kunnen hackers gestolen gegevens van credit cards voor een bedrag van $490 voor elke kaart met een PIN op de zwarte markt verkopen.

5. PCI Data Security Standard v1.1 (1/3) • De PCI DSS raamwerk is in 12 veiligheidseisen onderverdeeld die in drie hoofdgroepen gecategoriseerd worden: • Verzameling en opslag van alle log data, zodat deze gegevens voor analyse beschikbaar zijn • Verslag van alle activiteiten, zodat naleving onmiddellijk bewezen kan worden • Monitoring en alerting waarbij beheerders constant de toegang tot en het gebruik van gegevens kunnen monitoren en onmiddellijk gewaarschuwd kunnen worden wanneer problemen optreden

6. PCI Data Security Standard v1.1 (2/3) • De PCI DSS raamwerk bestaat bovendien uit zes categorieën, namelijk: Een veilig netwerk opbouwen en onderhouden Gegevens van kaarthouders beschermen Een programma voor risicomanagement uitvoeren Strenge maatregelen met betrekking tot toegangscontrole toepassen Netwerken regelmatig monitoren en testen Beleid inzake informatiebeveiliging handhaven

7. PCI Data Security Standard v1.1 (3/3) • Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen • Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden en andere veiligheidsparameters • Opgeslagen gegevens van kaarthouders beschermen • Gegevens van kaarthouders over open, publieke netwerken coderen • Antivirussoftware of –programma’s gebruiken en regelmatig updaten • Veilige systemen en applicaties ontwikkelen en onderhouden • Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen • Een uniek ID toewijzen aan elke persoon met toegang tot een computer • Fysieke toegang tot gegevens van kaarthouders beperken • Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren • Beveiligingssystemen en –processen regelmatig testen • Een beleid handhaven inzake informatiebeveiliging voor werknemers en contractanten

8. 1234 Welke gegevens worden bedoeld met “gegevens van kaarthouders”? • Alle gegevens op een credit-/debitcard die voor transacties gebruikt worden • - pcianswers.com • Gegevenselementen van kaarthouders • Rekeningnummer (PAN) • Naam van de kaarthouder • Vervaldatum • Gevoelige authenticatiegegevens (SAD) • Gegevens op de magnetische strip • CVC-code (Card Validation Code) • Persoonlijk identificatienummer (PIN) 123

9. Opslag van gegevens van kaarthouders • De PCI DSS biedt bescherming voor gegevens van kaarthouders • Het is toegestaan om de volgende gegevens op te slaan, mits deze gecodeerd of ingekort worden: • Rekeningnummer (PAN), naam van de kaarthouder, vervaldatum, bankcode

10. Typische transactiestroom Ž   Œ ŽBetalingsgateway stuurt transacties via een beveiligde verbinding naar de bank van de handelaar/verkoper De bank van de handelaar/verkoper gaat dan via de Credit Card Interchange voor goedkeuring van de transactie ŒEen klant gebruikt een creditcard om een handelaar/verkoper voor gekochte goederen te betalen De handelaar/verkoper legt de creditcardtransactie voor aan de betalingsgateway

11. Wie moet voldoen aan de PCI DSS? • Vanaf september 2007 moeten alle ondernemingen, die gegevens van kaarthouders verwerken – ongeacht de grootte – aan de strenge veiligheidsnormen voldoen die door de grootste creditcardmaatschappijen ter wereld zijn opgesteld • Dit is van toepassing op alle entiteiten die gegevens van kaarthouders • opslaan • verwerken • verstrekken • Alle entiteiten die als handelaren/verkopers of service providers worden beschreven, moeten aan de PCI DSS voldoen

12. Handelaren/verkopers • Entiteiten die creditcards als betaling accepteren • Voorbeelden van sectoren die verplicht zijn tot naleving van de PCI DSS zijn: • Online handel (bv. ebay.com) • Detailhandel (bv. Wal-Mart) • Hoger onderwijs (bv. universiteiten) • Gezondheidszorg (bv. ziekenhuizen) • Toerisme en recreatie (bv. restaurants) • Energie (bv. gas/tankstations) • Financiën (bv. verzekeringsmaatschappijen)

13. Niveaus van naleving van handelaren/verkopers

14. Service providers • Entiteiten die diensten aan handelaren/verkopers bieden • Voorbeelden van diensten • Betalingsgateways (bv. PayPal) • Organisaties die betalingen verwerken • E-commerce host providers • Managed service providers • Ondernemingen met betrekking tot kredietrapportage • Backup management-ondernemingen • Papierverwerkende bedrijven

15. Niveaus van naleving van service providers

16. PCI DSS nalevingsprocedures

17. Gevaren met betrekking tot gegevens van kaarthouders • “Inbraak in het computersysteem waar vermoed wordt dat gegevens van kaarthouders ongeautoriseerd geopenbaard, gewijzigd of vernietigd zijn” - Verklarende woordenlijst van PCI DSS • Incidentenplan • Eis 12.9 • Waarom gevaren melden? • Schade beperken • Rapportagekanalen • Intern team voor het incidentenplan • Creditcardmaatschappijen en afnemers • Lokale wetshandhaving • Wie riskeert een gevaar?

18. Consequenties • Financieel • Kan leiden tot boetes van tot $500.000 en hoge proceskosten • Reputatie • Een negatief incident kan grote invloed hebben op een handelsmerk • Betrokkenheid van wetshandhavingsinstanties • Operationeel • Niveau 2, 3 of 4 + gevaar = Niveau 1 • Kan leiden tot een potentieel verlies van privileges voor het verwerken van gegevens van kaarthouders

19. Voorbereiding op de naleving voor PCI DSS • Bekend worden met de eisen van de PCI DSS • Alle gegevens van kaarthouders identificeren en overbodige gegevens van kaarthouders verwijderen • Analyse op veiligheidsbreuken uitvoeren • Een actieplan ontwikkelen en, indien noodzakelijk, deskundigen voor advies raadplegen

20. PCI DSS nalevingskosten

21. Problemen • Veilige systemen en applicaties onderhouden • Uw netwerk auditen • Op kwetsbaarheden scannen • Patches/service packs plaatsen • Het netwerk monitoren • Gebruikersactiviteit registreren • Toegang tot gegevens van kaarthoudersregistreren • Waarschuwingen geven over belangrijke events • Gedocumenteerd bewijs aanbieden • Veilige systemen onderhouden • Activiteiten monitoren • Herstelmaatregelen nemen

22. Automatisering door middel van software • Vermindert drastisch handmatige, herhaalde taken: • Netwerkcontroles • Risicomanagement • Monitoring van activiteiten • Real-time alerts • Herstelmaatregelen • Rapportgeneratie

23. PCI DSS en GFI producten voor netwerkbeveiliging GFI EventsManager GFI LANguard N.S.S. Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden Opgeslagen gegevens van kaarthouders beschermen Een uniek ID toewijzen aan elke persoon met toegang tot een computer Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren

24. ROI en bedrijfsvoordelen • Automatisering • Vermindering van handmatige, herhaaldelijke taken • Vermindering van de werkdruk van de beheerder • Het nemen van proactieve herstelmaatregelen • Bescherming • Aanvulling op uw veiligheidsbeleid • Waarschuwingen voor potentiële veiligheidsbedreigingen • Geeft u rust • Besparingen • Geen PCI DSS boetes • Geen kosten voor advies over uitbesteding • Bedrijfscontinuït

25. Conclusie • Aangezien ondernemingen constant het risico lopen gevoelige gegevens van kaarthouders te verliezen, dat tot boetes, gerechtelijke stappen en slechte publiciteit kan leiden, zou naleving van de PCI DSS hoog op de agenda moeten staan bij ondernemingen die creditcardgegevens opslaan, verstrekken of verwerken • Naleving van de PCI DSS dient voor september 2007 bereikt te zijn - dit is de door creditcardmaatschappijen gestelde deadline • GFI Software biedt dergelijke ondernemingen twee producten aan - GFI EventsManager en GFI LANguard Network Security Scanner (N.S.S.) - om hen te helpen bij de naleving van deze norm

26. Bedrijfsoverzicht • De visieDe eerste keus worden op het gebied van producten voor IT-beveiliging en productiviteitsverbetering. • De missieHet leveren van degelijke, rendabele producten op het gebied van inhoudsbeveiliging, netwerkbeveiliging en messaging aan IT-professionals over de hele wereld. • Opgericht in 1992 • Méér dan 200 werknemers over de hele wereld • Vestigingen in Malta, Londen, Raleigh, Hong Kong en Adelaide • Er zijn GFI-producten geïnstalleerd op méér dan 200.000 netwerken over de wereld, voornamelijk kleine en middelgrote bedrijven • Een kanaalgericht bedrijf met meer dan 10.000 partners over de hele wereld