SECURITY SECURITY COMPLIANCE. Verizon 2010 PAYMENT CARD VALIDATION VIOLAZIONI RISK CARDHOLDER DATA INTRUSION

Transcript

1 Verizon 2010 PAYMENT CARD INDUSTRY COMPLIANCE REPORT Studio realizzato dai team Verizon PCI e RISK Intelligence. PARTNER INSIDER INTRUSION RISK CARDHOLDER DATA VIOLAZIONI VALIDATION COMPLIANCE SECURITY SECURITY EXECUTIVE SUMMARY

2 Verizon 2010 Payment Card Industry Compliance Report Studio realizzato dai team Verizon PCI and RISK Intelligence. Breve riepilogo Questo report analizza i risultati delle effettive valutazioni sul Payment Card Industry Data Security Standard (PCI DSS) condotte dal team dei Qualified Security Assessors (QSA) di Verizon. Il documento prende in esame i progressi raggiunti dalle società al fine di soddisfare l obiettivo di compliance e include argomentazioni su come e perché alcune sembrano procedere con maggiore difficoltà di altre. Sono inoltre presentati dati statistici relativamente a quali requisiti PCI DSS vengono più o meno frequentemente applicati (o compensati) durante la fase di valutazione. Infine, il report raffronta i dati di valutazione del PCI con i risultati dei servizi di Investigative Response di Verizon per fornire un punto di vista esclusivo e incentrato sul rischio relativamente alla procedura di compliance. I risultati chiave includono: Il 22% delle società è stato ritenuto compliant al momento dell Initial Report on Compliance (IROC). Queste società tendevano anno dopo anno a diventare clienti abituali. In media, le società soddisfacevano l 81% di tutte le procedure di test in ambito PCI DSS durante la fase IROC. Naturalmente, la cifra presentava valori oscillanti ma pochi (l 11% dei clienti) hanno superato meno del 50% dei test. Le società hanno riscontrato difficoltà soprattutto con i requisiti 10 (tracciamento e monitoraggio dell accesso), 11 (sistemi e procedure di test costanti) e 3 (protezione dei dati archiviati dei titolari delle carte). I requisiti 9 (accesso fisico limitato), 7 (accesso limitato al need-to-know) e 5 (uso e aggiornamento degli anti-virus) hanno mostrato i maggiori livelli di applicazione. Il requisito 3.4 (rendere il, Primary Account Number (PAN) indecifrabile) è stato soddisfatto attraverso i controlli compensativi molto più spesso rispetto a qualsiasi altro requisito nello standard. Secondo il PCI DSS Prioritised Approach pubblicato dal PCI Security Standards Council, le società non sembrano dare priorità ai loro impegni in materia di compliance. Nel complesso, le società che hanno lamentato una violazione dei dati avevano il 50% in meno delle possibilità di essere compliant rispetto a una normale popolazione di clienti PCI. Tutte le prime 10 azioni di minaccia che possono portare alla compromissione dei dati delle carte di credito rientrano nel campo di applicazione del PCI DSS. Per molte di esse, nello standard esistono molteplici livelli di controllo che possono mitigare il rischio rappresentato da queste azioni di minaccia. 1

3 Introduzione L esigenza di uno standard di settore per la protezione dei dati delle carte di credito nacque nel 2001, in concomitanza con la realizzazione di programmi di compliance per marchi specifici quali Cardholder Information Security Program (CISP) o Account Information Security (AIS) di Visa e Site Data Protection (SDP) di MasterCard. Nel 2003, la portata del CISP venne ampliata da processori ed emittenti a provider di servizi e merchant con elevati volumi di affari. Quindi, nel 2006, i cinque card brand si riunirono per realizzare il PCI DSS, che inglobava i principali standard in materia di compliance in un unica iniziativa, conservando la valenza del programma per i singoli brand. Da allora, il PCI DSS è stato oggetto di grande attenzione e discussione. Mentre alcuni lo considerano un grande passo in avanti nel settore in termini di protezione dei dati dei titolari di carte di credito, altri restano scettici. Gli scettici si pongono domande quali, Come facciamo a sapere che funziona?, Rappresenta la migliore combinazione fra i vari sistemi di controllo?, Quali sono i sistemi di controllo più efficaci?, La soglia è sufficientemente elevata?, La soglia è troppo bassa?, Vale l investimento?, Tiene conto in modo adeguato delle differenze tra le organizzazioni?, e Riesce ad adattarsi ai cambiamenti in un ambiente pieno di minacce?. Tutte ottime domande, che dovrebbero essere poste in merito a qualsiasi codice normativo di comportamento. Il presente report non è finalizzato a comprovare la tesi dei sostenitori del PCI DSS o a confermare lo scetticismo di altri (né potrebbe farlo qualunque altro lavoro di ricerca), ma getta le basi per un approfondimento su entrambe le tesi fornendo le necessarie informazioni. A tale scopo, il report analizza i risultati delle effettive valutazioni sugli standard PCI DSS condotte dal team dei Qualified Security Assessors (QSA) di Verizon. Il documento prende in esame i progressi raggiunti dalle società al fine di soddisfare l obiettivo di compliance e include argomentazioni su come e perché alcune sembrano procedere con maggiore difficoltà di altre. Vengono presentati inoltre dati statistici relativamente a quali requisiti PCI DSS primari e secondari vengono più o meno frequentemente applicati (o rettificati in modo da essere applicati) durante la fase di valutazione. Infine, il report raffronta i dati di valutazione del PCI con i risultati dei servizi di Investigative Response di Verizon, la fonte dei Data Breach Investigations Report (DBIR). Ciò consente un analisi specifica, incentrata sul rischio, del PCI DSS, oltre alla prima comparazione a essere pubblicata tra le practice di una normale popolazione di aziende (clienti valutati dai nostri servizi PCI) e quelle di aziende che si sono imbattute in incidenti legati alla sicurezza (vagliati dai nostri servizi di Investigative Response (IR)). Nonostante il valore puramente introduttivo del documento, ci auguriamo che i risultati e le discussioni correlate presenti in questo report aiutino le società ad avvicinarsi alla PCI compliance in modo più consapevole (e preparato). Nella fase iniziale, di miglioramento, o di proseguimento di un programma, attraverso una migliore comprensione dello stato e delle difficoltà dei vari interlocutori è possibile mettere a punto il lavoro diretto al raggiungimento della compliance, per un esperienza più positiva in occasione di valutazioni future. Cosa ancora più importante, è nostro auspicio che tale report, e le ricerche che ne seguiranno, possano limitare il più possibile le perdite di carte di credito e aiutare a migliorare in modo misurabile la sicurezza di transazioni finanziarie tanto critiche per la nostra economia. Circa 200 valutazioni sono state incluse nel dataset finale utilizzato in questo report. La maggior parte di esse è stata realizzata negli Stati Uniti dal 2008 al

4 Risultati delle valutazioni PCI DSS Figura 1. Percentuale di società compliant in fase di IROC Figura 2. Percentuale delle procedure di test soddisfatte in fase di IROC 22% Compliant 19% Non soddisfatte 78% Non compliant 81% Soddisfatte Delle società prese in esame dai QSA di Verizon nell ambito di questo studio, il 22% è risultato compliant al PCI DSS al momento dell IROC. Prendendo in esame il 22% delle società ritenute compliant, si nota come la maggior parte abbia condiviso tre caratteristiche di base. Molte sono riuscite a risolvere positivamente le problematiche individuate nel corso dell iniziale valutazione onsite prima del completamento dell IROC. Altre si potevano considerare veterane del processo di validation e/o avevano un elevato numero dei requisiti secondari nel PCI DSS che era per loro Non Applicabile. Si evince che, ovviamente, le società che avevano maggiore familiarità con gli standard PCI DSS hanno riscontrato meno difficoltà rispetto ad altre. In modo analogo, non è difficile capire perché un numero inferiore di requisiti di controllo sottoposti a valutazione risulti più semplice da gestire e valutare positivamente. Abbiamo riscontrato che, in media, i clienti hanno soddisfatto l 81% di tutte le procedure di verifica in ambito PCI DSS al momento dell IROC. Ci sono due modi per interpretare tale risultato. Come studenti o ex-studenti, potremmo considerarlo come una votazione sufficiente, sopra la media, di cui essere fieri, soprattutto se è stato raggiunto al termine di un affrettata sessione last-minute. D altro canto, le società sanno che la sufficienza per il DSS significa aderenza al 100% allo standard. A dispetto delle aspettative di superamento dei test, chi ha iniziato il processo di validation non ha superato 1/5 delle procedure di verifica. Considerando che le PCI DSS Requirements and Security Assessment Procedures comprendono all incirca 250 procedure di test (in base alla modalità di calcolo), ciò corrisponderebbe a circa 50 voci non soddisfatte per società. Non è un numero trascurabile. Quali sono i requisiti soddisfatti con maggiore facilità dalle società e quali quelli soddisfatti con maggiori difficoltà? Questa domanda può essere affrontata individuando la percentuale di organizzazioni ritenute conformi rispetto a ciascuno dei 12 requisiti. Dalla tabella si evince piuttosto chiaramente che i Requisiti ai punti 4 (cifratura delle trasmissioni), 5 (software AV), 7 (accesso logico) e 9 (accesso fisico) sono soddisfatti con minori difficoltà dalla maggior parte delle organizzazioni. Ciò non dovrebbe sorprendere, soprattutto alla luce del fatto che il Requisito 7 (accesso logico) può lasciare spazio all interpretazione e a diversi punti di vista su quello che esattamente è need-to-know. Le società hanno un esperienza riguardo ai controlli fisici di sicurezza (R9) che va al di là della necessità di proteggere i dati dei titolari di carte di credito. La cifratura del traffico (R4) ha assunto un importanza predominante con l avvento di Internet e l aggiornamento costante del software AV (R5) ha assunto carattere di procedura di routine nell ambito del pagamento degli abbonamenti e degli aggiornamenti automatici. 3

5 Tabella 3. Percentuale delle società conformi ai requisiti PCI DSS. Dati IR basati su revisioni post-violazione; dati PCI basati su valutazioni QSA in fase di IROC. Requisito PCI DSS Dati PCI Dati IR 1: Installare una configurazione di firewall per proteggere i dati e occuparsi della relativa manutenzione 2: Non utilizzare i valori predefiniti del fornitore per password di sistema e altri parametri di sicurezza 46% 32% 48% 41% 3: Proteggere i dati archiviati 43% 19% 4: Criptare la trasmissione dei dati dei titolari di carta di credito e le informazioni sensibili sulle reti pubbliche 63% 77% 5: Utilizzare e aggiornare regolarmente il software anti-virus 70% 58% 6: Sviluppare sistemi e applicazioni sicuri e occuparsi della relativa manutenzione 7: Limitare l accesso ai dati in base al need-to-know dell azienda 8: Assegnare un ID univoco a ogni persona che accede al computer 48% 12% 69% 27% 44% 26% 9: Impedire l accesso fisico ai dati dei titolari di carte di credito 59% 49% 10: Tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carte di credito 39% 15% 11: Controllare regolarmente sistemi e procedure di sicurezza 38% 19% 12: Gestire una policy che garantisca la sicurezza delle informazioni 44% 25% I tre valori più bassi sono indicati in rosso e i tre più alti in neretto. All opposto troviamo i Requisiti ai punti 3 (dati archiviati), 10 (tracciamento e monitoraggio), e 11 (test regolari), che mostrano livelli di compliance inferiori. Anche in questo caso, i professionisti nell ambito della sicurezza non possono restarne sorpresi. La protezione dei dati archiviati (R3) può essere complicata a causa di sistemi legacy, difficoltà di data tracking, problematiche chiave di gestione, ecc. La verifica (R11) e il monitoraggio (R10) costanti possono essere tra gli aspetti di sicurezza più decisivi ma anche più sottovalutati e meno considerati. Inoltre, il carico di lavoro e l impegno richiesti in queste attività non agevolano certo la compliance. Analisi di Investigative Response Data Negli ultimi anni Verizon ha pubblicato una serie di report con indagini forensi realizzate dal proprio Investigative Response (IR) team. I Data Breach Investigations Report approfondiscono chi, cosa, quando, dove, come, e perché delle violazioni dei dati aziendali e rendono successivamente pubblici i dati rilevati. Sono compresi sei anni di informazioni, oltre 900 violazioni, e oltre 900 milioni di record di dati compromessi. Dal momento che molte delle perdite coinvolgono le informazioni delle carte di credito, questo vasto insieme di dati offre due interessanti e particolari vie per affrontare le analisi nell ambito degli standard PCI DSS. La prima mette a confronto le società prese in esame dai nostri QSA e le vittime delle violazioni delle carte di credito che hanno ingaggiato il nostro team IR. La seconda elenca le principali azioni di minaccia utilizzate per compromettere i dati dei titolari delle carte di credito nei casi IR analizzati negli ultimi due anni. 4

6 Confronto rispetto alle valutazioni IR Uno degli argomenti più comuni utilizzati dagli scettici contro il PCI DSS è la scarsa disponibilità di prove che ne supportino l efficacia. Dal momento che gli studi basati su risultati in merito al PCI risultano insufficienti, l obiezione è quantomeno giustificabile (a prescindere dalla veridicità o meno del presupposto). Uno studio esaustivo e controllato che raffronti le inadempienze/perdite in materia di sicurezza delle società con un alto grado di conformità e di quelle non compliant contribuirebbe decisamente ad appianare la contesa (o quantomeno a fornire del materiale empirico). Per quanto non siano né esaustive né controllate, le valutazioni condotte dai team PCI e IR di Verizon consentono di effettuare un confronto tra le società per le quali i risultati in materia di compliance e sicurezza sono almeno in parte noti. Al termine di un indagine forense, il responsabile dei controlli effettua una revisione dei requisiti PCI DSS e trasmette i risultati alle aziende emittenti carte di credito interessate. Questa procedura non ha valenza ufficiale, ma consente un approfondimento sui requisiti che tendono ad essere carenti fra le vittime di violazione. La tabella 3 mostra i risultati relativi alla PCI DSS compliance per due gruppi di società. Il primo include lo stesso campione di clienti PCI discusso nel corso del presente report. Il secondo gruppo si compone di società che hanno lamentato una comprovata violazione delle proprie informazioni e che sono state prese in esame dal nostro team IR tra il 2008 e Il messaggio è palese: i clienti IR mostrano una minore probabilità di soddisfare i requisiti PCI DSS rispetto ai clienti PCI. Per dirla diversamente, le vittime delle violazioni risultano meno compliant rispetto a una normale1 popolazione di società. Questo è verosimile per tutti i requisiti tranne per il 4 (trasmissioni cifrate). I tentativi di danneggiare il traffico dati sulle reti pubbliche non rappresentavano un azione di minaccia comune nei casi presi in esame dal nostro report riguardanti la nostra clientela. Sebbene la disparità tra i gruppi sia variabile per ciascun requisito, in media i clienti PCI si sono comportati meglio rispetto alle vittime di violazioni, con un margine del 50 per cento2. Pertanto, sebbene il termine prova sia troppo forte da utilizzare in questo caso, da questi risultati si denota che per una società che desideri limitare le violazioni sia molto meglio conformarsi agli standard PCI DSS che ignorarli del tutto. Conclusioni e raccomandazioni Ci auguriamo che il materiale presentato in questo report possa fornirvi un quadro migliore della compliance nel settore delle carte di credito. Ancor meglio sarebbe se potesse esservi di aiuto a stabilire dove la vostra società si inserisca nell ambito di questo quadro di riferimento e si dimostrasse utile per il raggiungimento dei vostri obiettivi. In conclusione, non esiste una formula magica in grado di garantire il successo in tutte le vostre future valutazioni e in tutti i vostri tentativi di conformità agli standard PCI DSS. Tuttavia, esistono alcune pratiche condivise da società di grande successo in tema di osservanza e gestione della compliance. Molte di esse rimandano al senso comune, ma poi, per qualche ragione, spesso si perdono tra le questioni e la routine quotidiana che caratterizzano la gestione di un azienda. Tre di queste pratiche sono indicate qui di seguito. Ulteriori suggerimenti sono disponibili nel report completo. 1 La parola normale non viene qui utilizzata in senso statistico. Si riferisce semplicemente al fatto che il gruppo di clienti PCI rappresenta un insieme di società con caratteristiche atipiche sconosciute tranne per il fatto che tutte hanno impiegato i nostri servizi di valutazione PCI. 2 Bisognerebbe tenere conto che questi risultati rappresentano un IROC. Molte delle società presenti nel PCI dataset hanno saputo gestire le inosservanze qui indicate e alla fine sono state reputate totalmente conformi. A tale riguardo, la differenza tra i dataset IR e PCI potrebbe risultare addirittura maggiore. 5

7 Non crea una scissione tra compliance e sicurezza. Qualunque sia la vostra posizione nel dibattito compliance contro sicurezza, possiamo essere tutti d accordo sul fatto che tenere intenzionalmente separati i due fattori non ha senso sia dal punto di vista della compliance sia da quello della sicurezza. Perché forzare una falsa dicotomia tra due concetti che dovrebbero, in teoria, essere in linea tra loro? Dopo tutto, l obiettivo di entrambi è la protezione dei dati. Certo, forse dovrete intraprendere azioni per la compliance che non fareste per la sicurezza (in base a valutazione del rischio o tolleranza) o viceversa, ma nella maggior parte delle situazioni i due valori non rappresentano due alternative diverse. La direttiva comune di gestione della compliance dovrebbe allinearsi alla strategia relativa alla sicurezza. Il vostro team di gestione della compliance è lo stesso che si occupa di gestione della sicurezza? In caso contrario, i due team si sforzano di collaborare quando e dove possibile oppure gestiscono ognuno la propria attività senza avere mai contatti fra loro? Se quest ultima osservazione è quella più vicina alla vostra organizzazione, forse dovreste chiedervi il perché e se proseguire in tale direzione è meglio per voi. Incorporate la sicurezza nei vostri processi, non limitatevi ad aggiungerla. Considerate la compliance come un processo continuo, non un evento. Al giorno d oggi, la maggior parte delle società ha imparato a proprie spese che la sicurezza applicata come una sorta di rimedio è sia costosa sia inefficace. Quello di cui molte aziende non sembrano accorgersi è che tale approccio si riflette anche sulla compliance. È difficile effettuare un analisi approfondita sui dati grezzi, ma l esperienza ci suggerisce che le società che incorporano la sicurezza nei propri processi core solitamente spendono meno e ottengono di più nel momento in cui devono convalidare la compliance. Questo probabilmente ha qualcosa a che fare con il consiglio precedente: se una società si impegna a fondo e costantemente nella sicurezza non deve fare passi da gigante per raggiungere la compliance. La differenza tra i programmi di compliance process-driven ed event-driven è relativamente semplice da individuare per un consulente esperto. Le società che godono di un costante successo nell acquisizione e conservazione della compliance PCI sono quelle che hanno integrato le attività DSS nelle operazioni quotidiane. Esse operano su base continua nella revisione e nel soddisfacimento dei requisiti, oltre a lavorare su altre iniziative di compliance interne ed esterne. Documentano le procedure di sicurezza, conservano registri, osservano controlli periodici interni, attestando rapidamente l osservanza ai controlli stabiliti. Creano una roadmap per gli anni immediatamente a seguire e la consultano regolarmente per capire quali sono le sfide all orizzonte, i cambiamenti necessari, e il modo migliore per integrare gli sforzi nella strategia di breve e lungo termine per la protezione delle infrastrutture di pagamento e dei dati. In altre parole, l acquisizione e la conservazione della compliance PCI non dovrebbero costituire un progetto annuale ma quotidiano. 6

8 Verizon PCI Service Non impegnarsi nella PCI compliance o non comprenderne pienamente le modalità di applicazione può essere più costoso di quanto possiate immaginare. Potreste incorrere in sanzioni e multe, contenziosi, e in costi per una nuova emissione delle carte danneggiate. E in caso di violazione dei dati, potreste perdere non solo denaro ma anche la reputazione che avete guadagnato nel tempo. Qualora abbiate necessità di assistenza per implementare le soluzioni e rettificare i controlli ai fini di conformarvi ai requisiti PCI DSS, noi possiamo fornirvi le risorse adatte. Il Verizon Business PCI Team effettua centinaia di valutazioni ogni anno e collabora con le aziende Fortune 500 locali e mondiali. È composto da QSA e PA-QSA presenti in sei regioni del mondo e supporta più di 20 lingue. Questo team specializzato concentra la propria attività su valutazioni PCI DSS e PA-DSS nonché su servizi di preparazione, consulenza e rettifica per PCI. Oltre a servizi professionali, Verizon Business assiste i clienti PCI con una varietà di piattaforme di prodotto, tra cui i nostri Merchant Compliance Program (MCP), Online Compliance Program (OCP) e Partner Security Program (PSP). verizonbusiness.com/it verizonbusiness.com/it/socialmedia verizonbusiness.com/thinkforward (il sito è in lingua inglese) 2010 Verizon. Tutti i diritti riservati. MC /10. I nomi e i loghi Verizon e Verizon Business e tutti gli altri nomi, loghi e slogan che identificano i prodotti e i servizi di Verizon sono marchi registrati e marchi di servizio di Verizon Trademark Services LLC o delle sue affiliate negli Stati Uniti e/o in altri paesi. Tutti gli altri marchi registrati e marchi di servizio appartengono ai rispettivi proprietari.