PCI-DSS & Security Solutions. Paolo Marchei, Principal Sales Consultant Oracle Italy

Transcript

1 PCI-DSS & Security Solutions Paolo Marchei, Principal Sales Consultant Oracle Italy

2 Gli Obiettivi della PCI-DSS

3 Gli Obiettivi della PCI-DSS 1 Install and maintain a firewall configuration to protect cardholder data Firewall

4 Firewall Configuration Configurazione sicura di firewall e router Adozione di standard di configurazione Controllo del traffico in entrata e in uscita Individuazione di servizi e protocolli in uso e loro giustificazione Revisione semestrale delle regole Approccio deny all Installazione di firewall davanti alle reti wireless Creazione di DMZ tra carte e Internet Installazione di personal firewall su sistemi portatili/esterni Web Firewall Application Database Firewall Database

5 Gli Obiettivi della PCI-DSS 2 Do not use vendor-supplied defaults for system passwords and other security parameters Configuration Management

6 Gli Obiettivi della PCI-DSS 3 Protect stored cardholder data Data Encryption

7 Data Encryption Troncamento, hashing, indicizzazione o crittografia del PAN Uso di tecniche di crittografia del file system non legate agli utenti Impiego di split-knowledge e/o dual control per le chiavi Sostituzione almeno annuale delle chiavi o in caso di compromissione Assegnazione del ruolo di custode delle chiavi Disk Backups Exports Application Off-Site Facilities

8 Documents Encryption Le informazioni sono abbastanza sicure quando risiedono nei folder, inbox, repository Ma per essere utili le informazioni devono essere distribuite (desktop, laptop, chiavette USB) all interno e all esterno dell azienda E possibile rendere sicure e controllare tutte le copie distribuite?

9 Gli Obiettivi della PCI-DSS 4 Encrypt transmission of cardholder data across open, public networks Network Encryption

10 Network encryption Uso di SSLv3+, TLS o IPSEC per trasmissione dei dati su reti pubbliche Non trasmissione di dati su reti pubbliche se non protetti con crittografia Application absdfghjcv Data Cifratura e Data Integrity (Modification, Disruption, Replay) Cifratura di tutte le comunicazioni da e verso il database RC4 (40, 56, 128, 256 bits) DES (40 and 56 bits) 3DES (2 and 3 keys) AES (128, 192, and 256 bits) Data integrity con checksums MD5 SHA-1

11 Gli Obiettivi della PCI-DSS 5 Use and regularly update anti-virus software or programs Antivirus

12 Gli Obiettivi della PCI-DSS 6 Develop and maintain secure systems and applications Patching / Security Best Practices

13 Patching / Security Best Practices Aggiornamento dei sistemi e del software Individuazione e installazione delle patch critiche di sicurezza Allineamento degli standard di configurazione (2) in base alle patch Adozione di un processo di sviluppo sicuro del software Testing dei cambiamenti prima del rilascio Separazione degli ambienti di sviluppo e produzione, in termini sistemistici e di personale (Data Masking) Rimozione di account e dati di test prima dei passaggi in produzione Revisione automatica/manuale del nuovo codice scritto, non fatta dall autore Adozione di procedure di controllo dei cambiamenti inclusive di documentazione degli impatti, approvazione, testing e roll-back Uso di tecniche di programmazione sicura PCI-DSS 13

14 Gli Obiettivi della PCI-DSS 7 Restrict access to cardholder data by business need to know Role Mining / Role Management Segregation of Duties

15 Role Mining Applications Custom App Role Mining Mining Data DB Resources Identities Entitlements Existing Roles Mainframe Discover Patterns Suggested Roles Estratrarre gli entitlements Scoprire i patterns Identificare Ruoli e Regole

16 Roles Management (RBAC) App Business Role General Ledger App Assigned Project CRM App Location UK Benefits App Gestione dei ruoli centralizzata Provisioning basato sui ruoli e sulle regole Mappare ruoli di business e ruoli e privilegi IT Ruoli gererchici e basati su piu fattori (Progetto, Location, )

17 Attestation / Ricertificazione Processo di verifica dei privilegi 1 Set Up Periodic 2 Reviewer Is Notified Review Goes to Self Service 3 Automated Action is taken based on Periodic Review 4 Report Built And Results Stored in DB Reviewer Selections What Is Reviewed? Certify Result to User Reject Automatically Terminate User Who Reviews It? Start When? How Often? Decline Delegate Comments Notify the Process Owner Notify Delegated Reviewer Audit Attested Data Attestation Actions Delegation & Revocation Paths

18 Segregation of Duties Separazione dei ruoli Applicazione Procurement HR Finance DBA select * from finance.customers Realizzare la separazione dei ruoli/doveri tra User, DBA e Sec. Admin. Limitare il potere e sollevare da responsabilità gli utenti con privilegi di gestione del sistema

19 Gli Obiettivi della PCI-DSS 8 Assign a unique ID to each person with computer access Soluzioni Identity Management / Provisioning

20 IAM/ Provisioning Processo di assegnazione delle risorse Identity Manager New Contractor Self Registration Approval On-Premise Applications Identity Store User Group Access Policy Workflow Connector New HRMS Reconciliation SPML Employee Engine

21 Gli Obiettivi della PCI-DSS 9 Restrict physical access to cardholder data Physical Access Security

22 Gli Obiettivi della PCI-DSS 10 Track and monitor all access to network resources and cardholder data Auditing

23 Auditing Centralizzazione e automazione attivita di Audit con reporting Operating Systems! Alerts CRM ERP Audit Data Built-in Reports Custom Reports Databases Policies Auditor Consolidamento dei dati di audit in repository centrale e sicuro Riconoscimento e allarme su attivita sospette Reportistica di compliance Gestione centralizzata delle regole di audit

24 Gli Obiettivi della PCI-DSS 11 Regularly test security systems and processes Security Assessment & Penetration Tests...

25 Security Assessment & Penetration Tests... Esecuzione di vulnerability assessment esterne (ASV) e interne trimestrali o a valle di cambiamenti significativi Effettuazione di penetration test annuali o a valle di cambiamenti significativi sia a livello di rete sia a livello applicativo Implementazione e mantenimento della funzionalità di sistemi IDS o IPS per monitorare tutto il traffico

26 Gli Obiettivi della PCI-DSS 12 Maintain a policy that addresses information security for all personnel Security Policy

27 Security Policy Diffusione e revisione annuale di una Policy di Sicurezza Definizione e assegnazione delle responsabilità per la sicurezza Adozione di un programma di formazione annuale sulla sicurezza Screening preventivo all assunzione per posizioni critiche Diffusione di un Piano di Risposta agli Incidenti comprensivo di procedure di reazione per le violazioni di sicurezza e testato annualmente

28 rete applicazioni db sistemi persone locali Gli Obiettivi della PCI-DSS / Tecnologia 1: Configurazione dei firewall x 2: Valori di default x x x x 3: Protezione dei dati archiviati x x x 4: Protezione dei dati trasmessi x 5: Antivirus x 6: Sviluppo e manutenzione x x x 7: Controllo degli accessi x x x x 8: Identificazione, autenticazione x x x x 9: Sicurezza fisica x 10: Log x x x x 11: Testing x x x x 12: Policy x x A: Service Providers x x x

29