Le norme Payment Card Industry Data
Security Standard (PCI DSS)
Schema riassuntivo della presentazione
 Perché le norme PCI DSS
 Conformità e livelli di convalida
 Dati dei titolari di carte di credito o debito
 Il punto di vista legale
 Esecuzione di una verifica PCI DSS
 Riduzione dei costi attraverso l'automazione
Che cosa sono le norme Payment Card Industry
Data Security Standard (PCI DSS)?
 Le norme PCI DSS sono costituite da una serie di standard di
protezione elaborate dalle maggiori società mondiali emittenti di carte
di credito, comprese VISA e MasterCard, al fine di proteggere i dati
relativi alle carte di credito e di debito
 Ad oggi, tali requisiti disciplinano tutti i canali di pagamento, compresi
il settore delle vendite al dettaglio, gli ordini postali e telefonici e il
commercio elettronico (e-commerce)
 In precedenza, si trattava di uno standard di protezione delle
informazioni distinto; tuttavia, adesso è diventato uno standard di
protezione generale
Perché sono necessarie le norme PCI DSS?
 Il fenomeno del furto dei dati di titolari di carte di credito o debito e
della frode connessa allo stesso esiste dalla metà degli anni '80, e ha
spinto VISA a stabilire il primo programma di protezione
 La recente violazione di sicurezza avvenuta a TJX, con cui hacker
penetrati nella sua rete sono riusciti a derubare almeno 46 milioni di
numeri di carte di credito e debito, mette in rilievo la sempre maggiore
esigenza di una migliore protezione
 Secondo InformationWeek, sul mercato nero, gli hacker possono
vendere i dati relativi a carde di credito rubate al prezzo di USD 490
per numero di carta comprensivo di PIN
PCI Data Security Standard v. 1.1 (1/3)
 La struttura PCI DSS è suddivisa in 12 requisiti di protezione
raggruppabili in tre aree principali:
>
raccolta e archiviazione di tutti i dati di registro, affinché siano disponibili
a fini di analisi
>
creazione di rapporti su tutta l'attività, in modo da poter provare
immediatamente la propria ottemperanza alle norme
>
monitoraggio e avvisi, per far sì che gli amministratori siano sempre in
grado di controllare l'accesso e l'utilizzo dei dati e possano essere
avvertiti immediatamente in caso di problemi.
PCI Data Security Standard v. 1.1 (2/3)
 La struttura PCI DSS è inoltre composta delle sei categorie seguenti:
Categorie PCI DSS
Creazione e manutenzione di una rete protetta
Protezione dati dei titolari di carte di credito/debito
Manutenzione di un programma di gestione della vulnerabilità
Implementazione di rigide misure di controllo dell'accesso
Monitoraggio e test regolari delle reti
Manutenzione di un criterio di protezione delle informazioni
PCI Data Security Standard v. 1.1 (3/3)
Requisiti PCI DSS
1.
2.
3.
Installazione e manutenzione di una configurazione firewall per proteggere i dati dei
titolari di carte di credito/debito
Non utilizzo dei valori predefiniti del fornitore per le password di sistema e altri parametri
di protezione
Protezione dei dati dei titolari di carte di credito/debito memorizzati
4.
Cifratura della trasmissione dei dati di titolari di carte di credito/debito su reti aperte e
pubbliche
5.
Utilizzo e aggiornamento regolari di software o programmi antivirus
6.
Sviluppo e manutenzione della protezione di sistemi e applicazioni
7.
8.
Accesso limitato ai dati dei titolari di carte di credito/debito da parte di aziende che
"hanno necessità di sapere"
Assegnazione di un ID esclusivo a chiunque abbia accesso a un computer
9.
Accesso fisico limitato ai dati dei titolari di carte di credito/debito
10.
Individuazione e controllo di tutto l'accesso alle risorse di rete e ai dati dei titolari di carte
di credito/debito
11.
Regolari prove dei sistemi e processi di protezione
Manutenzione di un criterio che si occupi della protezione delle informazioni per
dipendenti e imprenditori
12.
Quali sono i "dati dei titolari di carte di
credito/debito"?
Tutte le informazioni contenute in una carta di credito/debito adoperata in
una transazione
- pcianswers.com
 Elementi costitutivi dei dati dei titolari di carte di credito/debito
> Numero di contro primario (PAN)
> Nome (e cognome) del titolare
> Data di scadenza
1234
 Dati di autenticazione sensibili (SAD)
> Dati della banda magnetica
> Codice di convalida della carta (CVC)
> Numero d'identificazione personale (PIN)
123
Archiviazione dati titolari di carte di credito/debito
 Le norme PCI DSS forniscono la protezione dei dati dei titolari di
carte di credito/debito
 É consentito archiviare le seguenti informazioni, purché vengano
cifrate, crittografate in hash o troncate:
>
il PAN, il nome (e cognome) del titolare, la data di scadenza, il codice di
servizio
Flusso di transazione tipico
Internet
Payment Gateway


$ 0.00
Merchant
Merchant’s Bank


Credit Card
1234 5678 9012 3456
DATE: 01/01
John Doe
Credit
Card
Customer
purchase



LaIlL'operatore
Un
banca
gateway
cliente
dell'operatore
diadopera
commerciale
pagamento
una
commerciale
passa
carta
invia di
l'operazione
lacredito
transazione
si reca
perquindi
con
pagare
alla
carta
albanca
Credit
undi
dell'operatore
operatore
Card Interchange
commerciale
commerciale,
credito alper
gateway
l'approvazione
intramite
seguito
di pagamento
una
all'acquisto
connessione
dell'operazione
di merci
protetta
Credit Card Interchange
Quali soggetti sono tenuti alla conformità alle
norme PCI DSS?
 A decorrere dal settembre 2007, tutte le aziende che gestiscono dati
di titolari di carte di credito, indipendentemente dalle dimensioni delle
aziende stesse, sono tenute all'osservanza di rigide norme di
sicurezza emanate dalle maggiori società di carte di credito mondiali.
 Le norme si applicano a tutte le entità presso cui i dati dei titolari di
carte di credito/debito sono:
>
>
>
archiviati
trasmessi
elaborati
 Tutte le entità descritte come operatori commerciali o fornitori di
servizi sono tenute a conformarsi alle norme
Operatori commerciali
 Entità che accettano carte di credito quale mezzo di pagamento
 Esempi di settori interessati
>
>
>
>
>
>
>
Commercio on line (ad esempio, ebay.com)
Commercio al dettaglio (ad es. Carrefour)
Istruzione superiore (ad esempio le università)
Salute (ad esempio, gli ospedali)
Viaggi e intrattenimento (ad esempio, i ristoranti)
Energetico (ad esempio, le stazioni di servizio)
Finanziario (ad esempio, le compagnie di assicurazione)
Livelli di conformità richiesti agli operatori
commerciali
LIVELLO DEGLI OPERATORI COMMERCIALI
Livello 1
 Operatori commerciali i cui dati dei titolari di carte di credito/debito sono stati
compromessi
 Operatori commerciali con oltre 6 milioni di operazioni con carte di credito
all'anno
Livello 2
 Operatori commerciali con un numero di operazioni con carte di credito
annuo compreso tra 1 e 6 milione
Livello 3
 Operatori commerciali con un numero di operazioni con carte di credito
annuo compreso tra 20.000 e 1 milione
Livello 4
 Tutti gli altri operatori commerciali
Fornitori di servizi
 Entità che prestano servizi agli operatori commerciali
 Esempi di servizi
>
gateway di pagamento (ad esempio, PayPal)
>
elaboratori di pagamenti
>
fornitori host di commercio elettronico
>
fornitori di servizi gestiti
>
agenzie di valutazioni di solvibilità
>
società di gestione dei back-up di dati
>
società di "tritadocumenti"
Livello di conformità dei fornitori di servizi
LIVELLO DEI FORNITORI DI SERVIZI
Livello 1
 Tutti gli elaboratori e gateway di pagamento
Livello 2
 I fornitori di servizi, non inclusi nel Livello 1, con oltre 1 milione di conti od
operazioni con carte di credito all'anno
Livello 3
 I fornitori di servizi, non inclusi nel Livello 1, con meno di 1 milione di conti od
operazioni con carte di credito all'anno
Procedure di conformità alle norme PCI DSS
Operatore
commerciale
Livello 1
Controllo di sicurezza
in situ
Questionario
di autovalutazione
Richiesto annualmente
Scansione rete
Richiesto trimestralmente
Livello 2
Richiesto annualmente
Richiesto trimestralmente
Livello 3
Richiesto annualmente
Richiesto trimestralmente
Livello 4
Richiesto annualmente
Richiesto trimestralmente
Provider di servizi
Livello 1
Richiesto annualmente
Richiesto trimestralmente
Livello 2
Richiesto annualmente
Richiesto trimestralmente
Livello 3
Richiesto annualmente
Richiesto trimestralmente
A cura di:
Consulenti di sicurezza
qualificati (QSA)
Interni
Distributori di prodotti di
scansione approvati (ASV)
Consegnabile:
Rapporto sulla conformità
(ROC)
Questionario di
autovalutazione
Rapporto di scansione
Compromissione dati titolari di carte di credito
“Intrusione nel sistema di computer laddove si sospetti la divulgazione
non autorizzata, la modifica o la distruzione di dati dei titolari di carte di
credito/debito”
- Glossario PCI DSS
 Piano di risposta agli incidenti
>
Requisito 12.9
 Perchè riportare una compromissione?
>
Per limitare i danni
 Canali di riferimento
>
>
>
Team interno di risposta agli incidenti
Associazioni di carte di credito e acquirenti
Applicazione di normative locali
 Chi rischia una compromissione?
Conseguenze
 Finanziarie
>
Possibilità di multe fino a USD 500.000 e costose spese legali
 Reputazione
>
>
Un incidente negativo può incidere notevolmente su un nome di marca
Coinvolgimento di agenzie di applicazione delle norme
 Operative
>
>
Livelli 2, 3 o 4 + compromissione = Livello 1
Potenziale perdita dei privilegi di elaborazione delle carte di
credito/debito
Preparazione ai fini della conformità ai PCI DSS
 Acquisire familiarità con i requisiti PCI DSS
 Identificare tutti i dati dei titolari di carte ed eliminare quelli superflui
 Eseguire un'analisi di eventuali gap nella sicurezza
 Creare un piano di azione e chiedere consiglio ad esperti laddove
necessario
Costi della conformità ai PCI DSS
Operatore
commerciale
Livello 1
Controllo di sicurezza
in situ
Questionario
di autovalutazione
Richiesto annualmente
Scansione rete
Richiesto trimestralmente
Livello 2
Richiesto annualmente
Richiesto trimestralmente
Livello 3
Richiesto annualmente
Richiesto trimestralmente
Livello 4
Richiesto annualmente
Richiesto trimestralmente
Provider di servizi
Livello 1
Richiesto annualmente
Richiesto trimestralmente
Livello 2
Richiesto annualmente
Richiesto trimestralmente
Livello 3
Richiesto annualmente
Richiesto trimestralmente
A cura di:
Consulenti di sicurezza
qualificati (QSA)
Interni
Distributori di prodotti di
scansione approvati (ASV)
Consegnabile:
Rapporto sulla conformità
(ROC)
Questionario
di autovalutazione
Rapporto di scansione
Punti dolenti
 Proteggere sistemi e applicazioni
>
>
>
Controllare la rete
Eseguire la scansione alla ricerca di
vulnerabilità
Distribuire patch e service pack
 Monitorare la rete
>
>
>
Registrare l'attività dell'utente
Registrare l'accesso ai dati dei titolari di
carte di credito/debito
Avvisare in merito a eventi importanti
 Fornire prove documentali
>
>
>
Mantenere protetti i sistemi
Monitorare l'attività
Adottare azioni correttive
Automazione tramite software
Riduzione drastica di operazioni manuali e ripetitive:
 Controlli rete
 Gestione vulnerabilità
 Monitoraggio attività
 Avvisi in tempo reale
 Azioni correttive
 Generazione di rapporti
Le norme PCI DSS e i prodotti GFI di protezione
della rete
Requisiti PCI DSS
GFI
GFI
EventsManager
LANguard N.S.S.
1.
Installazione e manutenzione di una configurazione firewall per proteggere i dati dei titolari di
carte di credito/debito
n
n
2.
Non utilizzo di password di sistema e altri parametri di protezione dei produttori
n
n
3.
Protezione dei dati dei titolari di carte di credito/debito memorizzati
n
4.
Cifratura della trasmissione dei dati di titolari di carte di credito/debito su reti aperte e pubbliche
5.
Utilizzo e aggiornamento regolari di software o programmi antivirus
n
6.
Sviluppo e manutenzione della protezione di sistemi e applicazioni
n
7.
Limitazione accesso ai dati dei titolari di carte di credito/debito da parte di aziende che "hanno
necessità di sapere"
n
8.
Assegnazione di un ID esclusivo a tutti coloro che abbiano accesso a un computer
n
n
9.
Limitazione dell'accesso fisico ai dati dei titolari di carte di credito/debito
10.
Individuazione e controllo di tutto l'accesso alle risorse di rete e ai dati dei titolari di carte di
credito/debito
n
n
11.
Regolari prove dei sistemi e processi di protezione
n
n
12.
Conservazione di un criterio che si occupi della protezione delle informazioni per dipendenti e
imprenditori
ROI e vantaggi aziendali
 Automazione
>
>
>
Riduzione di operazioni manuali e ripetitive
Riduzione del carico di lavoro dell'amministratore
Attivazione di azioni correttive
 Protezione
>
>
>
Complemento alla propria politica di protezione
Notifica in merito a possibili minacce alla sicurezza
Tranquillità
 Risparmio
>
>
>
Nessuna multa PCI DSS
Nessuna commissione per consulenze esterne
Continuità aziendale
Conclusioni
 Dato che le società sono costantemente a rischio di perdere dati
sensibili relativi ai titolari di carte di credito o debito, con conseguente
possibilità di incorrere in multe, azioni legali e cattiva pubblicità, la
conformità alle norme PCI DSS dovrebbe costituire uno dei principali
obiettivi delle società che trattano, conservano, trasmettono o
elaborano dati di carte di credito
 La conformità ai PCI DSS deve essere raggiunta entro settembre
2007, che è la scadenza imposta dalle società di carte di credito
 GFI Software offre a queste aziende due prodotti, GFI
EventsManager e GFI LANguard Network Security Scanner (N.S.S.)
al fine di aiutarle a percorrere la strada verso la conformità a tali
norme
Panoramica sulla società
 Costituita nel 1992
 Oltre 200 dipendenti in tutto il mondo
 Uffici a Malta, Londra, Raleigh, Hong
Kong e Adelaide
 Prodotti GFI installati su oltre 200.000
reti di tutto il mondo, soprattutto di PMI
(Piccole e Medie Imprese)
 Azienda orientata alla collaborazione
con partner, che si avvale infatti di oltre
10.000 partner in tutto il mondo
 La visione
Diventare la tecnologia di
scelta tra le soluzioni
informatiche di sicurezza e
produttività.
 La missione
Fornire soluzioni di sicurezza
del contenuto, protezione
della rete e messaggistica
convenienti e di qualità ai
professionisti del settore
informatico di tutto il mondo.