Lo standard PCI-DSS e gli impatti sulla sicurezza informatica delle banche

Transcript

1 Lo standard PCI-DSS e gli impatti sulla sicurezza informatica delle banche ABI Eventi Banche e Sicurezza 2009 Fabio Guasconi Roma, 09/06/2009 1

2 Prima di Iniziare Fabio Guasconi ISECOM Deputy Director of Communications Presidente della Commissione JTC1/SC27 (ISO/IEC) Socio CLUSIT, ISMS Iug Italia, ISACA Responsabile Divisione Sicurezza delle Mediaservice.net S.r.l. CISA, LA27001, ITILv3 2

3 Chi è ISECOM? Institute for SECurity and Open Methodologies Nasce nel Gennaio 2001, fondata da Pete Herzog Non Profit Organization registrata in USA ed EU con sedi a New York e Barcellona Open Source Community registered OSI Sviluppa numerosi progetti Open (e.g. OSSTMM, HPP, HHS) Coordina certificazioni del personale sulla sicurezza 3

4 Chi è PCI-SSC? Il PCI SSC (Payment Card Industry Security Standard Council) è formato da: Visa, Mastercard, American Express, Discover Card e JCB 4

5 PCI-DSS: Parti interessate Chiunque tratti un PAN è soggetto ai requisiti PCI DSS. Acquirenti (acquirer, membri di un'associazione di servizi bancari che aprono e mantengono i rapporti con gli esercenti che accettano le carte di pagamento) Dati delle carte: PAN dati del titolare data di scadenza banda magnetica codice di autorizzazione 5

6 PCI-DSS: Requisiti Principali 6

7 PCI-DSS: Enforcement Il SSC ha suddiviso gli esercenti in livelli, per transazioni annue: I livelli sono usati per stabilire: date di conformità regime di controllo richiesto Livello Transazioni Controllo QSA Controllo ASV Livello 1 Oltre 6 milioni Audit QSA annuale Scansioni ASV trimestrali Livello 2 Tra 1 e 6 milioni Questionario SAQ Scansioni ASV trimestrali Livello 3 Tra e 1 milione Questionario SAQ Scansioni ASV trimestrali Livello 4 Meno di Questionario SAQ (raccomandato) Scansioni ASV trimestrali (dove applicabile) 7 7

8 PCI-DSS: Scadenze Negli USA la conformità a PCI DSS èstata richiesta a tutti i livelli entro il Nel 2006, la sola Visa negli USA ha multato entità non conformità per 4,6 M$. Lo scorso novembre Visa ha annunciato due scadenze a livello mondiale: 30/09/2009 Non memorizzazione dei codici di autorizzazione 30/09/2010 Conformitàa PCI DSS degli esercenti di livello 1 8

9 Processo PCI-DSS per Acquirer 3 Parti Merchant Interno 9

10 Dove si colloca PCI-DSS Processi ISO/IEC ISO/IEC 27000s Livello di Dettaglio BS OSSTMM CC COBIT NIST SP800s PCI DSS CMM SSE ITIL Attività OWASP Controlli di Sicurezza Genericità IT Governance 10

11 OSSTMM E una metodologia completa, collaudata e condivisa tra i migliori esperti del settore Fissa una terminologia e un impostazione condivisa in un campo sempre in evoluzione Permette di effettuare verifiche di sicurezza esaustive che considerano anche canali non convenzionali Fornisce gli strumenti per paragonare diverse analisi effettuate da fornitori differenti Ha un forte codice etico alla base 11

12 PCI-DSS e OSSTMM PCI DSS OSSTMM 11.1 Test for the presence of wireless access points by using a wireless analyzer at least quarterly. Personale Accesso Fisico 11.2 Run internal and external network vulnerability scans at least quarterly and after any significant change in the network. Sicurezza delle Informazioni Sicurezza Fisica 11.3 Perform external and internal penetration testing at least once a year and after any significant infrastructure or application upgrade or modification. TLC Wireless Reti di Dati 12

13 OSSTMM e PCI-DSS La PCI DSS può trarre vantaggio da un uso combinato con OSSTMM per migliorare in modo sensibile la sicurezza aziendale, non solo in un contesto specifico, assicurando: I. Una visione più allargata e completa delle problematiche tecnologiche relative alla sicurezza. II. III. Un modo di procedere più rigoroso e codificato nell ambito delle singole attività. Maggiore rispetto dei principi etici. 13

14 Carenze Tipiche (Finance)! Crittografia non presente sui database! Gestione delle chiavi di crittografia! Dati di sviluppo non sanitizzati! Vulnerability management! Hardening dei sistemi! Formazione degli sviluppatori e del personale! Dati trattati dagli outsourcer! Integrità di file e configurazioni! Conduzione di Risk Assessment o Penetration Test formali 14

15 Impatti sulla Sicurezza Focus su cardholder environment Nella maggior parte dei casi serve solo un affinamento (punti di contatto con ISO/IEC 27001, microcircuito, Basilea 2 SEPA Cards etc.) Trasformare necessità in opportunità riduzione frodi e rischi abbassamento dei fee per transazione sinergia con altri schemi richiesti competitività Introduzione di standard in processi poco formalizzati ma con necessità di sicurezza (OSSTMM e OWASP) 15

16 FAQ? Non abbiamo ancora avuto richieste formali in merito? Il nostro processo di gestione delle carte èin outsourcing? La conformità a PCI DSS èin corso internamente, non abbiamo bisogno di ASV o QSA? Il livello a noi applicabile èsolo 2 o 3? Abbiamo già EMV o Certified by Visa 16

17 Links osstmm.mediaservice.net 17

18 Riferimenti Potete rivolgere qualsiasi domanda o richiesta di chiarimento a: fabio@isecom.org Grazie per l attenzione 18