PCI DSS szabványról röviden - PowerPoint PPT Presentation

pci dss szabv nyr l r viden n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
PCI DSS szabványról röviden PowerPoint Presentation
Download Presentation
PCI DSS szabványról röviden

play fullscreen
1 / 19
PCI DSS szabványról röviden
148 Views
Download Presentation
channing
Download Presentation

PCI DSS szabványról röviden

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. PCI DSS szabványról röviden Krasznay Csaba kancellár.hu Kft.

  2. Mi az a PCI DSS szabvány? • A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg. • Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB. • Elsődleges céljuk a bankkártyákkal való nagyarányú visszaélések csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél. • Mindenkire vonatkozik, aki bankkártya adatokat tárol, dolgozol fel, vagy továbbít.

  3. Mi az a PCI DSS szabvány? • Tulajdonképpen egy olyan szabvány, ami a bankkártya adatokat feldolgozó cégek • biztonsági menedzsmentjével, • szabályzati rendszerével, • hálózati architektúrájával, • szoftvereivel és • más védelmi megoldásaival • kapcsolatos követelményeket támaszt. • Más szabványokkal szemben a követelményeket nem egy bizottság, hanem az élet alkotta.

  4. Előzmények • Elsőként (2001-ben) a VISA jelentetett meg követelményeket, melyek a bankkártyákkal dolgozó e-boltokra vonatkoztak. • Ezt Cardholder Information Security Programnak (CISP) hívták. • A MasterCard ez idő alatt egy Site Data Protection (SDP) nevű programot dolgozott ki. • A két cég 2004-ben kezdett együttműködni, és 2004. végére együtt dolgozták ki a PCI DSS szabványt, amihez más gyártók is csatlakoztak.

  5. A PCI DSS tartalma • Biztonságos hálózat építése és üzemeltetése: • 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. • 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. • A kártyabirtokos adatainak védelme: • 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. • 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait.

  6. A PCI DSS tartalma • Sérülékenység-kezelési program fenntartása: • 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. • 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. • Erős hozzáférés-védelmi megoldások alkalmazása: • 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. • 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. • 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.

  7. A PCI DSS tartalma • A hálózatok rendszeres monitorozása és tesztelése: • 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. • 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. • Információbiztonsági szabályzat fenntartása: • 12. követelmény: Információbiztonsági szabályzatot kell fenntartani.

  8. A PCI DSS tartalma • A követelménylista nagyon konkrét. Példának álljon itt a 6.5-ös pont, ami a webes alkalmazásokra vonatkozik. • Minden webes alkalmazást olyan biztonságos kódolási útmutatók alapján kell fejleszteni, mint az Open Web Application Security Project (OWASP) útmutatói. A kész kódot ellenőrizni kell a sérülékenységek megtalálása érdekében. Az általános kódolási sérülékenységeket el kell kerülni a szoftverfejlesztési folyamatban, figyelembe véve a következőket: • Nem validált input, • Feltört hozzáférés-vezérlés (pl. visszaélés az azonosítókkal),

  9. A PCI DSS tartalma • Feltört hitelesítés és session kezelés (visszaélés a cookie-kal), • Cross-site scripting támadás, • Puffer túlcsordulás, • Injektálásos támadások (pl. SQL injection), • Nem megfelelő hibakezelés, • Nem biztonságos tárolás, • Túlterheléses támadás, • Nem biztonságos konfigurációmenedzsment.

  10. A kártyabirtokos adatai

  11. Kire vonatkozik az előírás? • A kereskedőkre: • E-boltok, • Hagyományos boltok, • Az elfogadókra: • Bankok, • Kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal • A szolgáltatókra: • Akik több e-boltot üzemeltetnek, • Bankkártya adatokat gyűjtenek a kibocsátók nevében.

  12. Kire nem vonatkozik az előírás? • A bankkártya kibocsátó bankokra • A tranzakciók jóváhagyóira, akik nem befogadói a tranzakcióknak • Azokra a kereskedőkre, akik nem kezelnek bankkártya adatokat. • A kereskedők és más entitások megfelelőségéről az elfogadónak kell gondoskodnia!

  13. Miért érdemes megfelelni a szabványnak? • Amennyiben a kártyainformációk kiszivárognak, és az érintett nem felel meg a PCI DSS-nek, a kibocsátó büntetést szabhat ki. • Ez az elfogadónál akár 500.000 $-os büntetést is jelenthet, amit kiszivárgott kártyaadatonként akár 25 $-ral is kiegészíthetnek. • Az elfogadó csak akkor mentesülhet a büntetés alól, ha a kereskedői megfelelnek a PCI DSS-nek. • Emellett elvileg minden félnek jól felfogott érdeke biztonságban tudni a rendszerét. • Egy bankkártyaadat a Symantec információja szerint 0.50-5 $-t ér az internetes feketepiacon.

  14. A megfelelőség ellenőrzésének módjai • Helyszíni vizsgálat: évente kötelező a Level 1 kereskedőknek és a Level 1, 2 szolgáltatóknak. A kereskedők belső vagy független auditot hajthatnak végre, a szolgáltatóknak a PCI DSS auditra felhatalmazott tanácsadót kell alkalmazniuk. • Önfelmérő tesztek: évente kötelező a Level 2, 3, 4 kereskedőknek és a Level 3 szolgáltatóknak. • Hálózatbiztonsági ellenőrzés: a weboldalak biztonságának ellenőrzése a célja. A Level 1, 2, 3 kereskedőknek és minden szolgáltatónak kötelező negyedévente végrehajtani.

  15. Kire hogyan vonatkozik PCI DSS megfelelőség? • Level 1 kereskedő: • Minden olyan kereskedő, akinek feltörték a rendszerét, vagy adatok szivárogtak ki tőle. • Minden olyan kereskedő, aki évente 6 milliónál több kártyatranzakciót hajt végre. • Level 2 kereskedő: • Minden online kereskedő, aki évente 150.000-6 millió tranzakciót hajt végre. • Level 3 kereskedő: • Minden online kereskedő, aki évente 20.000-150.000 tranzakciót hajt végre. • Level 4 kereskedő: • Aki nem tartozik ebbe a kategóriába, annak opcionális a megfelelés.

  16. Kire hogyan vonatkozik PCI DSS megfelelőség? • Level 1 szolgáltató: • Aki a Level 1 és 2 kereskedő nevében tárol adatot. • Level 2 szolgáltató: • Aki Level 3 kereskedő nevében tárol adatot. • Level 3 szolgáltató: • Azok, akik a fenti kategóriába nem férnek be.

  17. Kik végezhetik el a tesztelést? • A PCI DSS-t összefogó szerv jelöli ki azokat a cégeket, akik a helyszíni ellenőrzést és a hálózati ellenőrzést elvégezhetik. • A Qualified Security Assessor-ok végzik a helyszíni ellenőrzést. • Az Approved Scanning Vendor-ok végzik a hálózati ellenőrzést. • Rájuk komoly minőségi elvárások vonatkoznak. • A közép-kelet-európai régióban alig található ilyen szolgáltató. • Magyarországot egyetlen szolgáltató vállalta fel.

  18. Magyarországon ez mennyire számít? • A Level 1 kereskedők mintegy 35%-a rendelkezik PCI DSS megfelelőséggel. • Magyarországon egyetlen projektről sikerült információt szerezni. • A Google magyar vonatkozásban nem túl bőbeszédű. • Azonban ha szigorúan vesszük a követelményeket, legalábbis a PCI DSS FAQ szerint, akár az IP alapú POS terminálok is érintettek lehetnek. • Elfogadóként mindenesetre érdemes utánanézni a kibocsátók követelményeinek…

  19. Köszönöm szépen! krasznay.csaba@kancellar.hu