Payment Card Industry (PCI) Data Security Standard

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Payment Card Industry (PCI) Data Security Standard"

Transcript

1 Payment Card Industry (PCI) Data Security Standard Procedure di audit sulla sicurezza Versione 1.1 Release: settembre 2006

2 Indice generale Procedure di audit sulla sicurezza... 1 Versione Indice generale... 2 Introduzione... 3 Informazioni sull'applicabilità dello standard PCI DSS... 4 Valutazione della conformità ai requisiti PCI DSS... 5 Wireless... 6 Outsourcing... 6 Campionamento... 6 Controlli compensativi... 7 Istruzioni e contenuto della Dichiarazione di conformità... 7 Riconvalida di elementi aperti... 8 Costruire e mantenere una rete protetta requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori Proteggere i dati dei titolari delle carte requisito: Proteggere i dati dei titolari delle carte memorizzati requisito: Cifrare i dati dei titolari delle carte quando vengono trasmessi attraverso reti pubbliche aperte Rispettare un programma per la gestione delle vulnerabilità requisito: Utilizzare e aggiornare con regolarità il software o i programmi antivirus requisito: Sviluppare e mantenere applicazioni e sistemi protetti Implementare misure forti per il controllo dell'accesso requisito: Limitare l'accesso ai dati dei titolari delle carte solo se effettivamente indispensabili per lo svolgimento dell'attività commerciale requisito: Assegnare un ID univoco a ogni utente che ha accesso ai computer requisito: Limitare la possibilità di accesso fisico ai dati dei titolari delle carte Monitorare e testare le reti con regolarità requisito: Eseguire test periodici dei processi e dei sistemi di protezione Adottare una politica per la protezione delle informazioni requisito: Adottare una politica per la protezione delle informazioni rivolta a dipendenti e lavoratori a contratto Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test) Requisito A.1: I provider di hosting proteggono l'ambiente dati dei titolari delle carte Appendice B: Controlli compensativi Informazioni generali sui controlli compensativi Controlli compensativi per il Requisito Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato Procedure di audit sulla sicurezza v 1.1 2

3 Introduzione Le "PCI Security Audit Procedures" sono le procedure di audit sulla sicurezza rivolte a tutti gli ispettori che svolgono i controlli presso gli esercenti e i provider di servizi, i quali devono dimostrare la conformità delle loro attività ai requisiti PCI DSS (Payment Card Industry Data Security Standard). Le procedure di audit e i requisiti descritti nel presente documento fanno riferimento allo standard PCI DSS. Contenuto del documento: Introduzione Informazioni sull'applicabilità dello standard PCI DSS Valutazione della conformità ai requisiti PCI DSS Istruzioni e contenuto della Dichiarazione di conformità Riconvalida di elementi aperti Procedure di audit sulla sicurezza APPENDICI Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test) Appendice B: Controlli compensativi Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato Procedure di audit sulla sicurezza v 1.1 3

4 Informazioni sull'applicabilità dello standard PCI DSS Nella seguente tabella sono illustrati gli elementi comunemente utilizzati riguardanti i dati dei titolari delle carte e i dati sensibili per l'autenticazione, se è consentita o vietata la memorizzazione di ciascun elemento e se ciascun elemento è sottoposto a protezione. La tabella non esaurisce l'argomento, tuttavia consente di illustrare i diversi requisiti che si applicano a ciascun elemento. Dati dei titolari delle carte Elemento Numero account primario (PAN) Memorizz. permessa Protezione richiesta PCI DSS REQ. 3.4 Sì Sì Sì Nome del titolare* Sì Sì* No Codice di servizio* Sì Sì* No Data di scadenza* Sì Sì* No Dati sensibili per l'autenticazione** Striscia magnetica intera No N/P N/P CVC2/CVV2/CID No N/P N/P PIN / Blocco PIN No N/P N/P * Questi elementi devono essere protetti se memorizzati insieme al PAN. Il livello di protezione deve essere conforme ai requisiti PCI DSS per la protezione generale dell'ambiente dati del titolare. È inoltre possibile che altre normative (ad esempio leggi sulla protezione dei dati personali dei consumatori, sul diritto alla privacy, sul furto dell'identità o sulla sicurezza dei dati) prevedano misure specifiche per la protezione degli stessi dati e persino la pubblica divulgazione delle pratiche aziendali per quanto concerne la raccolta dei dati personali dei consumatori a fini commerciali. I requisiti PCI DSS non trovano tuttavia applicazione qualora i PAN non vengano memorizzati, elaborati o trasmessi. ** I dati sensibili per l'autenticazione non devono essere conservati dopo l'avvenuta autorizzazione (neppure se cifrati). Procedure di audit sulla sicurezza v 1.1 4

5 Valutazione della conformità ai requisiti PCI DSS I requisiti per la sicurezza PCI DSS si applicano a tutti i componenti del sistema, dove per componente del sistema si intende qualunque componente, server o applicazione della rete che faccia parte o sia collegato all'ambiente dati dei titolari delle carte. L'ambiente dati dei titolari delle carte è quell'area della rete in cui sono custoditi i dati dei titolari delle carte o i dati sensibili per l'autenticazione. I componenti della rete includono, tra gli altri, firewall, switch, router, access point di tipo wireless, dispositivi di rete e altri dispositivi di sicurezza. I server possono essere di vari tipi, ad esempio: Web, database, autenticazione, posta, proxy, NTP (Network Time Protocol) e DNS (Domain Name Server). Le applicazioni comprendono tutte le applicazioni acquistate e personalizzate, comprese le applicazioni ad uso interno o esterno (Internet). Un'adeguata segmentazione della rete, in cui i sistemi per la memorizzazione, elaborazione e trasmissione dei dati dei titolari delle carte siano sufficientemente isolati dal resto della rete, può ridurre le dimensioni dell'ambiente dati dei titolari delle carte. L'ispettore di audit deve verificare che la segmentazione sia sufficiente a ridurre l'entità dell'audit. Il provider di servizi o l'esercente può affidare a un soggetto terzo (provider) la gestione di componenti quali router, firewall, database, sicurezza fisica e/o server. In tal caso, va valutato l'impatto sulla sicurezza dell'ambiente dati dei titolari delle carte. I servizi pertinenti, forniti dal provider terzo, devono essere sottoposti a valutazione 1) nel corso dei controlli di audit PCI presso ciascuno dei clienti del provider terzo oppure 2) durante il controllo di audit PCI che si svolge presso il provider terzo. Per quanto concerne i provider di servizi sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la conformità di tutti i componenti del sistema in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi, salvo diverse indicazioni. Per quanto concerne gli esercenti sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la conformità specifica di quei sistemi o componenti del sistema che sono implicati nei processi di autorizzazione delle transazioni e in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi. Tali componenti includono: Tutte le connessioni esterne alla rete dell'esercente (ad esempio, accesso remoto di dipendenti e società che emettono carte di pagamento, accesso di soggetti terzi per l'elaborazione e la manutenzione dei dati). Tutte le connessioni da e verso l'ambiente di autorizzazione delle transazioni (ad esempio, connessioni per l'accesso di dipendenti o di dispositivi quali firewall e router). Tutti gli archivi di dati esterni all'ambiente di autorizzazione delle transazioni, dove vengono custoditi più di numeri di account. Nota: anche se alcuni archivi di dati o sistemi vengono esclusi dal controllo di audit, l'esercente è comunque tenuto ad assicurare la conformità allo standard PCI DSS per tutti i sistemi in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi. Un ambiente POS (point-of-sale), ovvero il luogo fisico presso la sede dell'esercente in cui una transazione viene accettata (ad esempio un negozio, un ristorante, un hotel, un distributore di benzina, un supermercato o simile). Procedure di audit sulla sicurezza v 1.1 5

6 Wireless Outsourcing Se non è fornito nessun accesso esterno alla sede dell'esercente (tramite Internet, wireless, rete VPN,,modem, banda larga o tramite punti vendita e distributori automatici), l'ambiente POS potrebbe essere escluso dal controllo di audit. Se viene utilizzata la tecnologia wireless per memorizzare, elaborare o trasmettere i dati dei titolari delle carte (ad esempio, per le transazioni POS, il line-busting o alleggerimento delle code alla cassa) o se una rete LAN wireless è connessa all'ambiente dati dei titolari delle carte o ne fa parte (ad esempio, non è separata nettamente da un firewall), devono essere applicati e rispettati i requisiti e i test eseguiti sugli ambienti wireless. La sicurezza dei sistemi wireless non ha ancora raggiunto livelli di eccellenza, tuttavia i requisiti in questione obbligano ad adottare una serie di misure di protezione wireless minime. Dal momento che le tecnologie wireless non offrono un livello di sicurezza accettabile, prima che una società adotti una tecnologia wireless è necessaria una seria valutazione dei vantaggi e rischi. Un approccio valido potrebbe essere iniziare a implementare la tecnologia wireless solo per la trasmissione di dati non sensibili e attendere che la tecnologia wireless diventi più sicura prima di estenderla ad altre funzioni. Nel caso di entità che praticano l'outsourcing, ovvero delegano a terzi (in genere provider di servizi) la memorizzazione, l'elaborazione o la trasmissione dei dati dei titolari delle carte, la Dichiarazione di conformità deve documentare il ruolo svolto da ciascun provider di servizi. Inoltre i provider dei servizi sono tenuti a certificare la propria conformità ai requisiti PCI DSS, indipendentemente dai controlli di audit svolti presso i loro clienti. Gli esercenti e i provider di servizi devono altresì richiedere per contratto che tutti i soggetti terzi ad essi associati, con accesso ai dati dei titolari delle carte, aderiscano allo standard PCI DSS. Per maggiori dettagli, fare riferimento al Requisito 12.8 descritto nel presente documento. Campionamento L'ispettore di audit può scegliere di eseguire i test su un campione dei componenti del sistema, che dovrà essere rappresentativo di tutti i tipi di componenti del sistema in uso e dovrà includere le varie combinazioni di sistemi operativi, funzioni e applicazioni comunemente in uso nell'area ispezionata. Ad esempio, l'ispettore può scegliere i server Sun che eseguono Apache WWW, i server NT che eseguono Oracle, i sistemi mainframe che eseguono le applicazioni legacy per l'elaborazione delle carte, i server per il trasferimento dei dati che eseguono HP-UX e i server Linux che eseguono MYSQL. Se tutte le applicazioni sono eseguite su un unico sistema operativo (ad esempio, NT o Sun), il campione dovrà includere diverse applicazioni, ad esempio server dei database, server Web e server per il trasferimento dati. Nel selezionare i campioni per i negozi degli esercenti o per gli esercenti in franchising, gli ispettori devono considerare quanto segue: Se sono stati adottati processi PCI DSS standard e ogni negozio è obbligato a seguirli, il campione potrà essere più piccolo di quanto non sia necessario in assenza dei processi standard, poiché è ragionevole ritenere che ogni negozio sia in linea con gli standard. Procedure di audit sulla sicurezza v 1.1 6

7 Se i processi standard adottati sono più di uno (ad esempio, uno per ogni tipo di negozio), il campione dovrà essere abbastanza ampio da includere una selezione di negozi per ogni tipo di processo. Se non sono stati adottati processi PCI DSS standard e ogni negozio è responsabile dei propri, il campione dovrà essere più ampio e garantire che ogni negozio abbia compreso e implementato i requisiti PCI DSS in modo soddisfacente. Controlli compensativi Gli eventuali controlli compensativi devono essere documentati dall'ispettore e comparire nella richiesta di Dichiarazione di conformità, come mostra l'appendice C Foglio di lavoro sui controlli compensativi / esempio precompilato. Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS. Istruzioni e contenuto della Dichiarazione di conformità Il presente documento deve essere utilizzato dagli ispettori come modello per la compilazione della Dichiarazione di conformità. L'entità sottoposta al controllo di audit è tenuta al rispetto dei requisiti per le dichiarazioni di conformità previsti dalle singole società che emettono le carte di pagamento, in modo da garantire che ciascuna di esse riconosca lo stato di conformità dell'entità. Contattare le singole società che emettono le carte di pagamento per ricevere i requisiti e le istruzioni per la certificazione. Durante la stesura della Dichiarazione di conformità, tutti gli ispettori sono tenuti a seguire istruzioni specifiche sul formato e sul contenuto: 1. Indirizzi di contatto e data della dichiarazione Inserire i dati per contattare l'esercente/il provider di servizi e l'ispettore Data della dichiarazione 2. Riepilogo esecutivo Inserire le seguenti informazioni: Descrizione dell'attività commerciale Elenco dei provider di servizi e di altre entità con cui la società condivide i dati dei titolari delle carte Elenco delle relazioni con i processor Indicare se l'entità è collegata direttamente a una società che emette carte di pagamento Per gli esercenti, i prodotti POS utilizzati Tutti le entità di proprietà per le quali è richiesta la conformità allo standard PCI DSS Tutti le entità internazionali per le quali è richiesta la conformità allo standard PCI DSS Tutte le reti LAN wireless e/o i terminali POS wireless connessi all'ambiente dati dei titolari delle carte Procedure di audit sulla sicurezza v 1.1 7

8 3. Descrizione della portata del lavoro e approccio seguito Versione del documento "Procedure di audit per la sicurezza" utilizzato per condurre l'ispezione Durata temporale dell'ispezione Ambiente sul quale si è concentrata l'ispezione (ad esempio, access point del cliente per Internet, rete aziendale interna, punti di elaborazione per la società che emette le carte di pagamento) Tutte le aree escluse dall'ispezione Breve descrizione o diagramma dettagliato della topologia della rete e dei controlli Elenco delle persone ascoltate Elenco della documentazione letta Elenco dei componenti hardware e dei programmi software critici in uso (ad esempio, per database o cifratura) Se l'ispezione riguarda un MSP (Managed Service Provider), descrivere chiaramente quali dei requisiti elencati nel presente documento si applicano all'msp (e sono quindi inclusi nell'ispezione) e quali non sono inclusi nell'ispezione e dovranno invece essere inclusi nelle ispezioni di competenza dei clienti dell'msp Inserire informazioni su quali indirizzi IP dell'msp sono stati sottoposti a scansione durante le scansioni trimestrali delle vulnerabilità dell'msp e quali indirizzi IP dovranno invece essere inclusi nelle scansioni trimestrali di competenza dei clienti dell'msp 4. Risultati delle scansioni trimestrali Riassumere i risultati delle ultime quattro scansioni trimestrali sotto forma di commento al Requisito 11.2 Le scansioni devono coinvolgere tutti gli indirizzi IP accessibili dall'esterno (visibili sul Web) esistenti presso l'entità 5. Conclusioni e osservazioni Tutti gli ispettori sono tenuti ad utilizzare il seguente modello per fornire descrizioni e conclusioni circostanziate per ogni requisito e ogni requisito secondario. Se pertinente, devono essere documentati tutti i controlli compensativi ritenuti equivalenti al "controllo implementato" Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS. Riconvalida di elementi aperti Come riscontro della conformità è necessario un report dei controlli implementati. Se il report iniziale del controllore/ispettore contiene alcuni elementi aperti, l'esercente/il provider di servizi dovrà trovare una soluzione per tali elementi per poter completare l'iter della certificazione. Il controllore/ispettore dovrà quindi riverificare la soluzione adottata e certificare che tutti i requisiti sono stati soddisfatti. Dopo avere verificato che il sistema è pienamente conforme, l'ispettore rilascerà una nuova Dichiarazione di conformità e la presenterà coerentemente con le istruzioni ricevute (vedere paragrafo precedente). Procedure di audit sulla sicurezza v 1.1 8

9 Costruire e mantenere una rete protetta 1 requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte I firewall sono sistemi che controllano il traffico tra i computer da e verso la rete di un'azienda, nonché il traffico diretto verso le aree più sensibili della rete interna di un'azienda. Il firewall esamina tutto il traffico in rete e blocca le trasmissioni che non rispondono ai criteri di sicurezza specificati. È indispensabile proteggere tutti i sistemi contro eventuali accessi non autorizzati da Internet, sia che avvengano sotto la forma di e-commerce, di navigazione in Internet dai browser dei dipendenti o di invio e ricezione della posta elettronica dei dipendenti. Percorsi apparentemente insignificanti da e verso Internet possono spesso comportare passaggi non protetti all'interno di sistemi chiave. I firewall rappresentano un meccanismo di protezione fondamentale per tutte le reti di computer. REQUISITI PCI DSS TEST ESEGUITI 1.1 Fissare standard per la configurazione dei firewall adottando le seguenti misure: Un processo formale sia per l'approvazione e il collaudo di tutte le connessioni esterne alla rete, sia per la modifica della configurazione dei firewall Un diagramma aggiornato della rete, con tutte le connessioni ai dati dei titolari delle carte, comprese le eventuali reti wireless Obbligo di utilizzo di un firewall per ogni connessione Internet e tra tutte le zone demilitarizzate (DMZ) e la zona della rete interna. 1.1 Richiedere e ispezionare gli standard di configurazione dei firewall e altra documentazione specificata più avanti per verificare che gli standard siano completi. Completare tutte le voci in questa sezione Verificare che gli standard di configurazione dei firewall includano un processo relativo a tutte le modifiche dei firewall, compresi il collaudo e l'approvazione del management di tutte le modifiche apportate alle connessioni esterne e alla configurazione dei firewall a Verificare che esista un diagramma aggiornato della rete e che in esso siano documentate tutte le connessioni ai dati dei titolari delle carte, comprese le reti wireless b Verificare che il diagramma venga aggiornato regolarmente Verificare che gli standard di configurazione dei firewall prevedano l'uso obbligatorio di un firewall in corrispondenza di ogni connessione a Internet e tra la zona DMZ e Intranet. Verificare che il diagramma della rete disponibile sia coerente con gli standard di Procedure di audit sulla sicurezza v 1.1 9

10 REQUISITI PCI DSS TEST ESEGUITI Descrizione di gruppi, ruoli e responsabilità per una gestione logica dei componenti della rete Elenco documentato dei servizi e delle porte necessarie per l'attività commerciale Giustificativi e documentazione per tutti i protocolli disponibili, diversi dagli standard HTTP (hypertext transfer protocol), SSL (secure sockets layer), SSH (secure shell) e VPN (virtual private network) Giustificativi e documentazione per tutti i protocolli rischiosi di cui è consentito l'uso: ad esempio, lo standard FTP (file transfer protocol) include la motivazione per cui viene utilizzato questo protocollo e le funzioni di protezione implementate Revisione trimestrale delle regole fissate per i firewall e i router Standard di configurazione dei router 1.2 Costruire una configurazione dei firewall che impedisca il traffico da reti e host di dubbia provenienza (untrusted), tranne che per i protocolli configurazione dei firewall Verificare che gli standard di configurazione dei firewall includano una descrizione dei gruppi, dei ruoli e delle responsabilità per una gestione logica dei componenti della rete Verificare che gli standard di configurazione dei firewall includano un elenco documentato dei servizi/delle porte utilizzati per l'attività commerciale Verificare che gli standard di configurazione dei firewall includano i giustificativi e la documentazione relativa a tutti i protocolli disponibili oltre a HTTP e SSL, SSH e VPN a Verificare che gli standard di configurazione dei firewall includano i giustificativi e la documentazione relativa a tutti i protocolli rischiosi di cui è consentito l'uso: ad esempio, il protocollo FTP include la motivazione per cui viene utilizzato e le funzioni di protezione implementate b Esaminare la documentazione e le impostazioni di ciascun servizio in uso a dimostrazione della necessità e della sicurezza del servizio a Verificare che gli standard di configurazione dei firewall prevedano una revisione trimestrale delle regole per i firewall e i router b Verificare che le regole vengano effettivamente riviste ogni tre mesi Verificare l'esistenza degli standard di configurazione per firewall e router. 1.2 Selezionare un campione di firewall/router 1) tra Internet e la zona DMZ e 2) tra la zona DMZ e la rete interna. Il campione dovrebbe includere il router interno (choke) per Internet, il router e il firewall per la zona Procedure di audit sulla sicurezza v

11 REQUISITI PCI DSS TEST ESEGUITI indispensabili per l'ambiente dati dei titolari delle carte. 1.3 Costruire una configurazione dei firewall che limiti le connessioni tra i server di pubblico accesso e tutti i componenti del sistema in cui sono custoditi i dati dei titolari delle carte, comprese le eventuali connessioni a reti wireless. Tale configurazione dei firewall dovrebbe includere: Limitazione del traffico Internet in entrata agli indirizzi IP (Internet Protocol) entro la zona DMZ (filtri in ingresso) Divieto per gli indirizzi interni di passare da Internet alla zona DMZ Attuazione di un meccanismo di "dynamic packet filtering", che consenta cioè soltanto alle connessioni consolidate di accedere alla rete Collocazione del database in una zona della rete interna nettamente separata dalla zona DMZ Limitazione del traffico in entrata e in uscita a quello indispensabile per l'ambiente dati dei titolari delle carte. DMZ, il segmento con i dati dei titolari delle carte nella zona DMZ, il router perimetrale e il segmento interno della rete con i dati dei titolari delle carte. Esaminare le configurazioni dei firewall e dei router per verificare che il traffico in entrata e in uscita sia limitato ai soli protocolli necessari per l'ambiente dati dei titolari delle carte. 1.3 Esaminare le configurazioni dei firewall per verificare che le connessioni tra i server di pubblico accesso e i componenti in cui sono custoditi i dati dei titolari delle carte siano limitate, nel seguente modo: Verificare che il traffico Internet in entrata sia limitato agli indirizzi IP entro la zona DMZ Verificare che gli indirizzi interni non passino da Internet alla zona DMZ Verificare che il firewall esegua il dynamic packet filtering. [Dovrebbero essere consentite solo le connessioni consolidate e solo se associate a una sessione attivata in precedenza (eseguire NMAP su tutte le porte TCP con i bit syn reset o syn ack impostati; una risposta significa che i pacchetti sono ammessi anche se non fanno parte di una sessione attivata in precedenza).] Verificare che il database sia in una zona della rete interna nettamente separata dalla zona DMZ Verificare che il traffico in entrata e in uscita sia limitato a quello strettamente necessario per l'ambiente dati dei titolari delle carte e che le limitazioni siano documentate Protezione e sincronizzazione Verificare che i file di configurazione dei router Procedure di audit sulla sicurezza v

12 REQUISITI PCI DSS TEST ESEGUITI dei file di configurazione del router. Ad esempio, i file di configurazione in esecuzione (per il regolare funzionamento dei router) e i file di configurazione eseguiti all'avvio (quando i dispositivi vengono riavviati) dovrebbero avere la stessa configurazione Divieto di tutto il restante traffico in entrata e in uscita, se non autorizzato in modo specifico Installazione di firewall perimetrali tra le reti wireless e l'ambiente dati dei titolari delle carte; configurazione dei firewall affinché impediscano tutto il traffico proveniente dall'ambiente wireless o controllino il traffico qualora questo sia necessario per l'attività commerciale Installazione di firewall personali (software) su tutti i computer portatili e i computer di proprietà dei dipendenti (ad esempio, i laptop dei dipendenti) che possono connettersi direttamente a Internet e che vengono utilizzati per accedere alla rete dell'organizzazione. 1.4 Vietare l'accesso pubblico diretto tra le reti esterne e i componenti del sistema in cui sono custoditi i dati dei titolari delle carte (ad esempio, database, registri e file trace) Predisporre una zona DMZ per filtrare e analizzare tutto il traffico, bloccando inoltre ogni percorso diretto per il traffico Internet in entrata siano protetti e sincronizzati: ad esempio, i file di configurazione in esecuzione (per il regolare funzionamento dei router) e i file di configurazione eseguiti all'avvio (quando i dispositivi vengono riavviati) hanno la stessa configurazione Verificare che tutto il restante traffico in entrata e in uscita non coperto nei punti 1.2 e 1.3 precedenti sia negato in modo esplicito Verificare che siano installati dei firewall perimetrali tra le reti e i sistemi wireless in cui sono memorizzati i dati dei titolari delle carte e che tali firewall neghino o controllino (se tale traffico è indispensabile per fini commerciali) tutto il traffico proveniente dall'ambiente wireless verso i sistemi in cui sono memorizzati i dati dei titolari delle carte Verificare che nei portatili e/o nei computer utilizzati dai dipendenti (ad esempio, i laptop di loro proprietà) con connettività diretta a Internet e con accesso alla rete dell'organizzazione sia installato e attivato un firewall personale. Tale software deve essere configurato dall'organizzazione in base a specifici standard e non deve essere modificabile dal dipendente. 1.4 Per verificare che sia effettivamente vietato l'accesso diretto tra le reti pubbliche esterne e i componenti del sistema in cui sono memorizzati i dati dei titolari delle carte, eseguire la seguente procedura specifica per la configurazione di firewall/router implementati tra la zona DMZ e la rete interna: Esaminare le configurazioni di firewall/router e verificare che non vi sia nessun percorso diretto in entrata o in uscita per il traffico Internet. Procedure di audit sulla sicurezza v

13 e in uscita. REQUISITI PCI DSS TEST ESEGUITI Limitare il traffico in uscita dalle applicazioni delle carte di pagamento verso gli indirizzi IP della zona DMZ. 1.5 Implementare l'ipmasquerading per impedire che gli indirizzi interni vengano tradotti o svelati in Internet. Utilizzare le tecnologie che implementano lo spazio indirizzi RFC 1918, ad esempio le tecnologie PAT (port address translation) e NAT (network address translation) Esaminare le configurazioni di firewall/router e verificare che il traffico interno in uscita dalle applicazioni con i dati dei titolari delle carte abbia accesso soltanto agli indirizzi IP entro la zona DMZ. 1.5 Per costituire il campione di componenti firewall/router di cui sopra, verificare che venga impiegata la tecnologia NAT o un'altra tecnologia basata sullo spazio indirizzi RFC 1918 per limitare la trasmissione degli indirizzi IP dalla rete interna a Internet (IP-masquerading). 2 requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori. Spesso gli hacker (esterni o interni a un'azienda) utilizzano le password predefinite e le altre impostazioni dei fornitori per compromettere i sistemi. Queste password e impostazioni sono note alle comunità di hacker e sono facilmente reperibili in quanto informazioni pubbliche. REQUISITI PCI DSS TEST ESEGUITI 2.1 Cambiare sempre le impostazioni predefinite dei fornitori prima di installare un sistema nella rete: ad esempio, aggiungere password, stringhe di comunità SNMP (simple network management protocol) ed eliminare gli account superflui. 2.1 Scegliere un campione di componenti del sistema, di server critici e di access point di tipo wireless e, con l'aiuto dell'amministratore del sistema, effettuare un tentativo di collegamento ai dispositivi utilizzando gli account e le password predefinite del fornitore, in modo da verificare che sia gli uni che le altre siano stati effettivamente cambiati (utilizzare i manuali dei prodotti e altre fonti reperibili su Internet per trovare le combinazioni di account/password preimpostate dai produttori). Procedure di audit sulla sicurezza v

14 REQUISITI PCI DSS TEST ESEGUITI Per gli ambienti wireless, cambiare le impostazioni predefinite del fornitore wireless, tra le quali, ad esempio: chiavi WEP (wired equivalent privacy), identificativi SSID (default service set identifiers), password e stringhe di comunità SNMP. Disattivare le trasmissioni SSID. Abilitare le tecnologie di accesso protetto WiFi (WPA e WPA2) per la cifratura e l'autenticazione (se la tecnologia WPA è disponibile). 2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che tali standard affrontino tutte le vulnerabilità della sicurezza note e siano coerenti con gli standard di System Hardening che sono accettati, ad esempio, da enti quali il SysAdmin Audit Network Security Network (SANS), il National Institute of Standards Technology (NIST) e il Center for Internet Security (CIS) Implementare una sola funzione primaria per server (ad Per quanto riguarda le impostazioni predefinite del fornitore di ambienti wireless, verificare i seguenti punti: Le chiavi WEP predefinite sono state cambiate durante l'installazione e vengono cambiate ogniqualvolta un dipendente che le conosce lascia la società o cambia mansione. L'identificativo SSID predefinito è stato cambiato. La trasmissione dell'identificativo SSID è stata disabilitata. Le stringhe di comunità SNMP predefinite sugli access point sono state cambiate. Le password predefinite sugli access point sono state cambiate. La tecnologia WPA o WPA2 è abilitata (se il sistema wireless supporta la tecnologia WPA). Altre impostazioni predefinite del fornitore del sistema wireless sono state cambiate (se disponibili). 2.2.a Esaminare gli standard di configurazione dell'organizzazione per i componenti della rete, i server critici e gli access point di tipo wireless, verificandone la coerenza con gli standard di System Hardening che sono accettati, ad esempio, da enti quali il SANS, il NIST e il CIS. 2.2.b Verificare che gli standard di configurazione del sistema includano tutte le voci descritte più avanti (da a 2.2.4) 2.2.c Verificare che gli standard di configurazione vengano applicati per la configurazione di tutti i nuovi sistemi Per un campione di componenti del sistema, di server critici e di access point di tipo wireless, Procedure di audit sulla sicurezza v

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 1.2.1 Luglio 2009 Modifiche del documento Data Versione Descrizione Pagine Ottobre 2008

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 2.0 Ottobre 2010 Modifiche del documento Data Versione Descrizione Pagine Ottobre 2008 luglio

Dettagli

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e Attestato di conformità per provider di servizi

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e Attestato di conformità per provider di servizi Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e At di conformità per provider di servizi Provider di servizi idonei per il questionario SAQ Versione 3.0

Dettagli

Payment Card Industry (PCI) Data Security Standard. Versione 1.1

Payment Card Industry (PCI) Data Security Standard. Versione 1.1 Payment Card Industry (PCI) Data Security Standard Versione 1.1 Release: settembre 2006 Costruire e mantenere una rete protetta 1 requisito: Installare e mantenere una configurazione con firewall per proteggere

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità Tutti gli altri esercenti e provider di servizi idonei al questionario SAQ Versione 2.0 Ottobre

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Versione 3.0 Novembre 2013 Modifiche del documento Data Versione Descrizione

Dettagli

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità Esercenti con sistemi di pagamento connessi a Internet, nessuna memorizzazione elettronica

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati. Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati. Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2. Settore delle carte di pagamento (PCI) Standard di protezione dei dati Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2.0 Ottobre 2010 In tutto il documento Eliminati i riferimenti specifici

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) Requisiti e procedure di valutazione della sicurezza Versione 3.0 Novembre 2013 Modifiche

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità Esercenti di e-commerce parzialmente in outsourcing che utilizzano

Dettagli

Comprensione dello scopo dei requisiti

Comprensione dello scopo dei requisiti Payment Card Industry (PCI) Data Security Standard Navigazione in PCI DSS Comprensione dello scopo dei requisiti Versione 2.0 ottobre 2010 Modifiche del documento Data Versione Descrizione 1 ottobre 2008

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione Istruzioni e linee guida Versione 2.0 Ottobre 2010 Modifiche del documento Data Versione Descrizione 1 ottobre 2008 1.2

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione B-IP Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni sulla valutazione

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione D - Provider di servizi Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità Terminali di pagamento hardware in una soluzione P2PE inclusa nell

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione B Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni sulla valutazione

Dettagli

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Versione 1.2 Ottobre 2008 AAA Accesso remoto Account predefiniti

Dettagli

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 PROTEZIONE DEI DATI 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Sommario 1. INTRODUZIONE... 3 2. ARCHITETTURE PER L'ACCESSO REMOTO... 3 2.1 ACCESSO REMOTO TRAMITE MODEM... 3 2.2

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0 Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Versione 2.0 Ottobre 2010 AAA Controllo dell'accesso Dati

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL è una tecnica di trasmissione dati che permette l accesso a Internet fino a 8 Mbps in downstream ed 1 Mbps

Dettagli

Payment Card Industry (PCI) Data Security Standard. Glossario, abbreviazioni e acronimi

Payment Card Industry (PCI) Data Security Standard. Glossario, abbreviazioni e acronimi Payment Card Industry (PCI) Data Security Standard Glossario, abbreviazioni e acronimi AAA Accounting Controllo degli accessi Harvesting degli account Numero account Acquirente AES ANSI Programma antivirus

Dettagli

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE Marco Gallone Sella Holding Banca 28 Novembre 2006 Il Gruppo Banca Sella ed il Commercio Elettronico Dal 1996 Principal Member dei circuiti Visa e MasterCard

Dettagli

ORIEME ITALIA SpA Viale Sarca, 45 Telefono +39 02.64.41.16.1 Orieme Italia S.p.A. I-20125 Milano Telefax +39 02.64.36.990 www.orieme.

ORIEME ITALIA SpA Viale Sarca, 45 Telefono +39 02.64.41.16.1 Orieme Italia S.p.A. I-20125 Milano Telefax +39 02.64.36.990 www.orieme. Visio Wifi Setup - Windows Rev. 1.0.0 Prerequisiti: Prima di procedere con l installazione assicurarsi di avere pieno accesso alla configurazione del router Wifi. Attenzione: non tutti i router risultano

Dettagli

Protezione delle informazioni in SMart esolutions

Protezione delle informazioni in SMart esolutions Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti

Dettagli

Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi?

Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi? Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi? NCR Security diminuisce la difficoltà di essere conformi a PCI e protegge l integrità della vostra rete Un White Paper

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ Panoramica di Microsoft ISA Server 2004 Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ ISA Server 2004 - Introduzione ISA Server 2004 offre

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Rete Wireless del Comune di Padova

Rete Wireless del Comune di Padova Ricorda che per qualsiasi chiarimento gli operatori dell'informagiovani sono a tua disposizione nei seguenti orari: martedì e mercoledì dalle 10.00 alle 13.00 e dalle 15.00 alle 18.00 giovedì dalle 15.00

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Manuale. di configurazione. Interfaccia di gestione. Configurazioni. Storage. Stampanti SOMMARIO

Manuale. di configurazione. Interfaccia di gestione. Configurazioni. Storage. Stampanti SOMMARIO Manuale di configurazione 2 Configurazioni 8 Storage 30 Stampanti 41 Manuale Interfaccia di gestione di configurazione SOMMARIO Interfaccia di gestione INTRODUZIONE La configurazione del modem può essere

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Banda 3.5 Mobile Accesso a internet tramite segnali 3.5G Mobile - Riconosce e configura automaticamente segnali 3G, 2.75G e 2.5G

Banda 3.5 Mobile Accesso a internet tramite segnali 3.5G Mobile - Riconosce e configura automaticamente segnali 3G, 2.75G e 2.5G Router Wireless 54 Mbps 802.11b/g ultra compatto Antenna e trasformatore integrati, con presa rimuovibile, facile da portare, settare e usare ovunque ed in ogni momento Banda 3.5 Mobile Accesso a internet

Dettagli

Progettazione di reti AirPort

Progettazione di reti AirPort apple Progettazione di reti AirPort Indice 1 Per iniziare con AirPort 5 Utilizzo di questo documento 5 Impostazione Assistita AirPort 6 Caratteristiche di AirPort Admin Utility 6 2 Creazione di reti AirPort

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

Panoramica. LogMeIn Rescue. L architettura di LogMeIn Rescue

Panoramica. LogMeIn Rescue. L architettura di LogMeIn Rescue LogMeIn Il documento fornisce una panoramica sull architettura sulla quale è basato LogMeIn. 1 Introduzione 2 Riservatezza dei dati 3 Autenticazione 4 Chiave concordata 5 Scambio dei messaggi 6 Autenticazione

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati e Standard di protezione dei dati per le applicazioni di pagamento (PA- DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati e Standard di protezione dei dati per le applicazioni di pagamento (PA- DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati e Standard di protezione dei dati per le applicazioni di pagamento (PA- DSS) Glossario, abbreviazioni e acronimi Versione 3.0 Gennaio

Dettagli

1) Reti di calcolatori. Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di

1) Reti di calcolatori. Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di 1) Reti di calcolatori 2) Internet 3) Sicurezza LAN 1) Reti di calcolatori Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di rete (cavi UTP) o con tecnologia

Dettagli

Protezione dei dati INTRODUZIONE

Protezione dei dati INTRODUZIONE Protezione dei dati INTRODUZIONE Le reti LAN senza filo sono in una fase di rapida crescita. Un ambiente aziendale in continua trasformazione richiede una maggiore flessibilità sia alle persone che alle

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa M ODULO 7 - SYLLABUS 1.0 IT Security Corso NUOVA ECDL 2015 prof. A. Costa Minacce ai dati 1 Concetti di sicurezza Differenze fra dati e informazioni Il termine crimine informatico: intercettazione, interferenza,

Dettagli

Tecnologia Wireless MAXg

Tecnologia Wireless MAXg Tecnologia Wireless MAXg Il massimo in fatto di portata, prestazioni, sicurezza e semplicità per le reti 802.11g La tecnologia La tecnologia wireless è senza dubbio diventata onnipresente nel nostro ambiente

Dettagli

Le reti Sicurezza in rete

Le reti Sicurezza in rete Le reti Sicurezza in rete Tipi di reti Con il termine rete si intende un insieme di componenti, sistemi o entità interconnessi tra loro. Nell ambito dell informatica, una rete è un complesso sistema di

Dettagli

150 Piazze Wi-Fi. Unidata S.p.A. Una iniziativa Unidata e Wired

150 Piazze Wi-Fi. Unidata S.p.A. Una iniziativa Unidata e Wired Allegato 4 all Accordo di adesione alla fase sperimentale del progetto "150 Piazze Wi-Fi" relativo alla fornitura a titolo di comodato gratuito di apparecchiature hardware e correlato software di gestione

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Il Livello delle Applicazioni

Il Livello delle Applicazioni Il Livello delle Applicazioni Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione corrisponde agli ultimi tre livelli dello stack OSI. Il livello Applicazione supporta le applicazioni

Dettagli

La sicurezza nelle reti wireless (Wi Fi) Dott. Ing. Antonio Tringali per ArsLogica Sistemi Srl

La sicurezza nelle reti wireless (Wi Fi) Dott. Ing. Antonio Tringali per ArsLogica Sistemi Srl La sicurezza nelle reti wireless (Wi Fi) Dott. Ing. Antonio Tringali per ArsLogica Sistemi Srl 30/10/2008 Indice degli argomenti Le reti wireless di tipo Wi-Fi Tipi di rischio: Monitoraggio del traffico

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Area Clienti Tiscali Hosting e Domini

Area Clienti Tiscali Hosting e Domini Area Clienti Tiscali Hosting e Domini Manuale Utente Area Clienti Tiscali Hosting e Domini - Manuale utente Pag. 1 di 20 Sommario INFORMAZIONI GENERALI... 3 ACCESSO ALL AREA CLIENTI TISCALI HOSTING E DOMINI...

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Supplemento informativo: Requisito 6.6 Analisi del codice e firewall a livello di applicazione

Supplemento informativo: Requisito 6.6 Analisi del codice e firewall a livello di applicazione Standard: Data Security Standard (DSS) Requisito: 6.6 Data: febbraio 2008 Supplemento informativo: Requisito 6.6 Analisi del codice e firewall a livello di applicazione Data di rilascio: 2008-04-15 Generale

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Intranet: progettazione e capacity planning

Intranet: progettazione e capacity planning Intranet: progettazione e capacity planning 19/0 /05/0 G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 1 indice intranet per una redazione giornalistica architettura, principali componenti e funzioni

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Tecnologia wireless (solo su alcuni modelli)

Tecnologia wireless (solo su alcuni modelli) Tecnologia wireless (solo su alcuni modelli) Guida per l'utente Copyright 2007 Hewlett-Packard Development Company, L.P. Windows è un marchio registrato negli Stati Uniti di Microsoft Corporation. Bluetooth

Dettagli

ALLEGATO 2) ALLO SCHEMA DI CONVENZIONE PER LA FORNITURA DI SERVIZI DI CONNETTIVITA' INTERNET WI-FI PUBBLICA NEL COMUNE DI MARSCIANO

ALLEGATO 2) ALLO SCHEMA DI CONVENZIONE PER LA FORNITURA DI SERVIZI DI CONNETTIVITA' INTERNET WI-FI PUBBLICA NEL COMUNE DI MARSCIANO ALLEGATO 2) ALLO SCHEMA DI CONVENZIONE PER LA FORNITURA DI SERVIZI DI CONNETTIVITA' INTERNET WI-FI PUBBLICA NEL COMUNE DI MARSCIANO Regolamento di connessione pubblica nomadica alla rete Internet in modalità

Dettagli

TOPOLOGIA di una rete

TOPOLOGIA di una rete TOPOLOGIA di una rete Protocolli di rete un protocollo prevede la definizione di un linguaggio per far comunicare 2 o più dispositivi. Il protocollo è quindi costituito dai un insieme di convenzioni

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3 ver 2.0 Log Manager Quick Start Guide 1 Connessione dell apparato 2 2 Prima configurazione 2 2.1 Impostazioni di fabbrica 2 2.2 Configurazione indirizzo IP e gateway 3 2.3 Configurazione DNS e Nome Host

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Documento Programmatico sulla Sicurezza

Documento Programmatico sulla Sicurezza INFN Sezione di Pavia Documento Programmatico sulla Sicurezza Anno 2010 1. Introduzione Il contenuto del Documento Programmatico sulla Sicurezza è indicato al punto 19 dell Allegato B al Decreto legislativo

Dettagli

ROUTER WIRELESS A BANDA LARGA 11N 300MBPS

ROUTER WIRELESS A BANDA LARGA 11N 300MBPS ROUTER WIRELESS A BANDA LARGA 11N 300MBPS Guida all'installazione rapida DN-70591 INTRODUZIONE DN-70591 è un dispositivo combinato wireless/cablato progettato in modo specifico per i requisiti di rete

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

NOTE. Asimmetrici: Utilizza due chiavi, una pubblica ed una privata

NOTE. Asimmetrici: Utilizza due chiavi, una pubblica ed una privata Simmetrici: sono quelli usati dalla crittografia classica ed essi permettono al mittente e al destinatario di usare la medesima chiave per rispettivamente crittare e decrittare un messaggio. Asimmetrici:

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli

Firewall VPN Cisco RV120W Wireless-N

Firewall VPN Cisco RV120W Wireless-N Firewall VPN Cisco RV120W Wireless-N La connettività di base raggiunge nuovi livelli Il firewall VPN Cisco RV120W Wireless-N offre connettività a elevata sicurezza a Internet, anche da altre postazioni

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Modulo 12 Sicurezza informatica

Modulo 12 Sicurezza informatica Modulo 12 Sicurezza informatica Il presente modulo definisce i concetti e le competenze fondamentali per comprendere l uso sicuro dell ICT nelle attività quotidiane e per utilizzare tecniche e applicazioni

Dettagli

Tecnologie Informatiche. security. Rete Aziendale Sicura

Tecnologie Informatiche. security. Rete Aziendale Sicura Tecnologie Informatiche security Rete Aziendale Sicura Neth Security è un sistema veloce, affidabile e potente per la gestione della sicurezza aziendale, la protezione della rete, l accesso a siti indesiderati

Dettagli

Programma del livello di servizio per i servizi di Ariba Commerce Cloud

Programma del livello di servizio per i servizi di Ariba Commerce Cloud Programma del livello di servizio per i servizi di Ariba Commerce Cloud Garanzia di accessibilità del servizio Sicurezza Varie 1. Garanzia di accessibilità del servizio a. Applicabilità. La Garanzia di

Dettagli

InfoCertLog. Allegato Tecnico

InfoCertLog. Allegato Tecnico InfoCertLog Allegato Tecnico Data Maggio 2012 Pagina 2 di 13 Data: Maggio 2012 Sommario 1. Introduzione... 3 2. Le componenti del servizio InfoCertLog... 4 2.1. Componente Client... 4 2.2. Componente Server...

Dettagli

VPN (OpenVPN - IPCop)

VPN (OpenVPN - IPCop) VPN (OpenVPN - IPCop) Davide Merzi 1 Sommario Indirizzo IP Reti Pubbliche Private Internet Protocollo Firewall (IPCop) VPN (OpenVPN IPsec on IPCop) 2 Indirizzo IP L'indirizzo IP (Internet Protocol address)

Dettagli

Firewall VPN Cisco RV110W Wireless-N

Firewall VPN Cisco RV110W Wireless-N Scheda tecnica Firewall VPN Cisco RV110W Wireless-N Connettività semplice e sicura per piccoli uffici e uffici domestici Figura 1. Firewall VPN Cisco RV110W Wireless-N Il Firewall VPN Cisco RV110W Wireless-N

Dettagli

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico

Dettagli

Modem Fibra (ONT) ALU I-240W-Q. Manuale Utente

Modem Fibra (ONT) ALU I-240W-Q. Manuale Utente Modem Fibra (ONT) ALU I-240W-Q Manuale Utente I Sommario 1 Accesso all interfaccia web di gestione... 1 2 Configurazioni... 1 2.1 LAN... 1 2.2 Rete Wireless (WLAN)... 2 2.3 Sicurezza... 4 2.3.1 Filtro

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation 9243057 Edizione 1 IT Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation VPN Client Manuale d'uso 9243057 Edizione 1 Copyright 2005 Nokia. Tutti i diritti sono riservati. Il contenuto

Dettagli

pod Guida all installazione di rete del Solstice Pod Introduzione Solstice Pod Collaborazione Visuale Wireless Solstice sulla vostra rete

pod Guida all installazione di rete del Solstice Pod Introduzione Solstice Pod Collaborazione Visuale Wireless Solstice sulla vostra rete Introduzione Solstice Pod Collaborazione Visuale Wireless Una volta installato, il Solstice Pod permette a più utenti di condividere simultaneamente il proprio schermo su un display tramite la rete Wi-Fi

Dettagli