Payment Card Industry (PCI) Data Security Standard

Transcript

1 Payment Card Industry (PCI) Data Security Standard Procedure di audit sulla sicurezza Versione 1.1 Release: settembre 2006

2 Indice generale Procedure di audit sulla sicurezza... 1 Versione Indice generale... 2 Introduzione... 3 Informazioni sull'applicabilità dello standard PCI DSS... 4 Valutazione della conformità ai requisiti PCI DSS... 5 Wireless... 6 Outsourcing... 6 Campionamento... 6 Controlli compensativi... 7 Istruzioni e contenuto della Dichiarazione di conformità... 7 Riconvalida di elementi aperti... 8 Costruire e mantenere una rete protetta requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori Proteggere i dati dei titolari delle carte requisito: Proteggere i dati dei titolari delle carte memorizzati requisito: Cifrare i dati dei titolari delle carte quando vengono trasmessi attraverso reti pubbliche aperte Rispettare un programma per la gestione delle vulnerabilità requisito: Utilizzare e aggiornare con regolarità il software o i programmi antivirus requisito: Sviluppare e mantenere applicazioni e sistemi protetti Implementare misure forti per il controllo dell'accesso requisito: Limitare l'accesso ai dati dei titolari delle carte solo se effettivamente indispensabili per lo svolgimento dell'attività commerciale requisito: Assegnare un ID univoco a ogni utente che ha accesso ai computer requisito: Limitare la possibilità di accesso fisico ai dati dei titolari delle carte Monitorare e testare le reti con regolarità requisito: Eseguire test periodici dei processi e dei sistemi di protezione Adottare una politica per la protezione delle informazioni requisito: Adottare una politica per la protezione delle informazioni rivolta a dipendenti e lavoratori a contratto Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test) Requisito A.1: I provider di hosting proteggono l'ambiente dati dei titolari delle carte Appendice B: Controlli compensativi Informazioni generali sui controlli compensativi Controlli compensativi per il Requisito Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato Procedure di audit sulla sicurezza v 1.1 2

3 Introduzione Le "PCI Security Audit Procedures" sono le procedure di audit sulla sicurezza rivolte a tutti gli ispettori che svolgono i controlli presso gli esercenti e i provider di servizi, i quali devono dimostrare la conformità delle loro attività ai requisiti PCI DSS (Payment Card Industry Data Security Standard). Le procedure di audit e i requisiti descritti nel presente documento fanno riferimento allo standard PCI DSS. Contenuto del documento: Introduzione Informazioni sull'applicabilità dello standard PCI DSS Valutazione della conformità ai requisiti PCI DSS Istruzioni e contenuto della Dichiarazione di conformità Riconvalida di elementi aperti Procedure di audit sulla sicurezza APPENDICI Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test) Appendice B: Controlli compensativi Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato Procedure di audit sulla sicurezza v 1.1 3

4 Informazioni sull'applicabilità dello standard PCI DSS Nella seguente tabella sono illustrati gli elementi comunemente utilizzati riguardanti i dati dei titolari delle carte e i dati sensibili per l'autenticazione, se è consentita o vietata la memorizzazione di ciascun elemento e se ciascun elemento è sottoposto a protezione. La tabella non esaurisce l'argomento, tuttavia consente di illustrare i diversi requisiti che si applicano a ciascun elemento. Dati dei titolari delle carte Elemento Numero account primario (PAN) Memorizz. permessa Protezione richiesta PCI DSS REQ. 3.4 Sì Sì Sì Nome del titolare* Sì Sì* No Codice di servizio* Sì Sì* No Data di scadenza* Sì Sì* No Dati sensibili per l'autenticazione** Striscia magnetica intera No N/P N/P CVC2/CVV2/CID No N/P N/P PIN / Blocco PIN No N/P N/P * Questi elementi devono essere protetti se memorizzati insieme al PAN. Il livello di protezione deve essere conforme ai requisiti PCI DSS per la protezione generale dell'ambiente dati del titolare. È inoltre possibile che altre normative (ad esempio leggi sulla protezione dei dati personali dei consumatori, sul diritto alla privacy, sul furto dell'identità o sulla sicurezza dei dati) prevedano misure specifiche per la protezione degli stessi dati e persino la pubblica divulgazione delle pratiche aziendali per quanto concerne la raccolta dei dati personali dei consumatori a fini commerciali. I requisiti PCI DSS non trovano tuttavia applicazione qualora i PAN non vengano memorizzati, elaborati o trasmessi. ** I dati sensibili per l'autenticazione non devono essere conservati dopo l'avvenuta autorizzazione (neppure se cifrati). Procedure di audit sulla sicurezza v 1.1 4

5 Valutazione della conformità ai requisiti PCI DSS I requisiti per la sicurezza PCI DSS si applicano a tutti i componenti del sistema, dove per componente del sistema si intende qualunque componente, server o applicazione della rete che faccia parte o sia collegato all'ambiente dati dei titolari delle carte. L'ambiente dati dei titolari delle carte è quell'area della rete in cui sono custoditi i dati dei titolari delle carte o i dati sensibili per l'autenticazione. I componenti della rete includono, tra gli altri, firewall, switch, router, access point di tipo wireless, dispositivi di rete e altri dispositivi di sicurezza. I server possono essere di vari tipi, ad esempio: Web, database, autenticazione, posta, proxy, NTP (Network Time Protocol) e DNS (Domain Name Server). Le applicazioni comprendono tutte le applicazioni acquistate e personalizzate, comprese le applicazioni ad uso interno o esterno (Internet). Un'adeguata segmentazione della rete, in cui i sistemi per la memorizzazione, elaborazione e trasmissione dei dati dei titolari delle carte siano sufficientemente isolati dal resto della rete, può ridurre le dimensioni dell'ambiente dati dei titolari delle carte. L'ispettore di audit deve verificare che la segmentazione sia sufficiente a ridurre l'entità dell'audit. Il provider di servizi o l'esercente può affidare a un soggetto terzo (provider) la gestione di componenti quali router, firewall, database, sicurezza fisica e/o server. In tal caso, va valutato l'impatto sulla sicurezza dell'ambiente dati dei titolari delle carte. I servizi pertinenti, forniti dal provider terzo, devono essere sottoposti a valutazione 1) nel corso dei controlli di audit PCI presso ciascuno dei clienti del provider terzo oppure 2) durante il controllo di audit PCI che si svolge presso il provider terzo. Per quanto concerne i provider di servizi sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la conformità di tutti i componenti del sistema in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi, salvo diverse indicazioni. Per quanto concerne gli esercenti sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la conformità specifica di quei sistemi o componenti del sistema che sono implicati nei processi di autorizzazione delle transazioni e in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi. Tali componenti includono: Tutte le connessioni esterne alla rete dell'esercente (ad esempio, accesso remoto di dipendenti e società che emettono carte di pagamento, accesso di soggetti terzi per l'elaborazione e la manutenzione dei dati). Tutte le connessioni da e verso l'ambiente di autorizzazione delle transazioni (ad esempio, connessioni per l'accesso di dipendenti o di dispositivi quali firewall e router). Tutti gli archivi di dati esterni all'ambiente di autorizzazione delle transazioni, dove vengono custoditi più di numeri di account. Nota: anche se alcuni archivi di dati o sistemi vengono esclusi dal controllo di audit, l'esercente è comunque tenuto ad assicurare la conformità allo standard PCI DSS per tutti i sistemi in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi. Un ambiente POS (point-of-sale), ovvero il luogo fisico presso la sede dell'esercente in cui una transazione viene accettata (ad esempio un negozio, un ristorante, un hotel, un distributore di benzina, un supermercato o simile). Procedure di audit sulla sicurezza v 1.1 5

6 Wireless Outsourcing Se non è fornito nessun accesso esterno alla sede dell'esercente (tramite Internet, wireless, rete VPN,,modem, banda larga o tramite punti vendita e distributori automatici), l'ambiente POS potrebbe essere escluso dal controllo di audit. Se viene utilizzata la tecnologia wireless per memorizzare, elaborare o trasmettere i dati dei titolari delle carte (ad esempio, per le transazioni POS, il line-busting o alleggerimento delle code alla cassa) o se una rete LAN wireless è connessa all'ambiente dati dei titolari delle carte o ne fa parte (ad esempio, non è separata nettamente da un firewall), devono essere applicati e rispettati i requisiti e i test eseguiti sugli ambienti wireless. La sicurezza dei sistemi wireless non ha ancora raggiunto livelli di eccellenza, tuttavia i requisiti in questione obbligano ad adottare una serie di misure di protezione wireless minime. Dal momento che le tecnologie wireless non offrono un livello di sicurezza accettabile, prima che una società adotti una tecnologia wireless è necessaria una seria valutazione dei vantaggi e rischi. Un approccio valido potrebbe essere iniziare a implementare la tecnologia wireless solo per la trasmissione di dati non sensibili e attendere che la tecnologia wireless diventi più sicura prima di estenderla ad altre funzioni. Nel caso di entità che praticano l'outsourcing, ovvero delegano a terzi (in genere provider di servizi) la memorizzazione, l'elaborazione o la trasmissione dei dati dei titolari delle carte, la Dichiarazione di conformità deve documentare il ruolo svolto da ciascun provider di servizi. Inoltre i provider dei servizi sono tenuti a certificare la propria conformità ai requisiti PCI DSS, indipendentemente dai controlli di audit svolti presso i loro clienti. Gli esercenti e i provider di servizi devono altresì richiedere per contratto che tutti i soggetti terzi ad essi associati, con accesso ai dati dei titolari delle carte, aderiscano allo standard PCI DSS. Per maggiori dettagli, fare riferimento al Requisito 12.8 descritto nel presente documento. Campionamento L'ispettore di audit può scegliere di eseguire i test su un campione dei componenti del sistema, che dovrà essere rappresentativo di tutti i tipi di componenti del sistema in uso e dovrà includere le varie combinazioni di sistemi operativi, funzioni e applicazioni comunemente in uso nell'area ispezionata. Ad esempio, l'ispettore può scegliere i server Sun che eseguono Apache WWW, i server NT che eseguono Oracle, i sistemi mainframe che eseguono le applicazioni legacy per l'elaborazione delle carte, i server per il trasferimento dei dati che eseguono HP-UX e i server Linux che eseguono MYSQL. Se tutte le applicazioni sono eseguite su un unico sistema operativo (ad esempio, NT o Sun), il campione dovrà includere diverse applicazioni, ad esempio server dei database, server Web e server per il trasferimento dati. Nel selezionare i campioni per i negozi degli esercenti o per gli esercenti in franchising, gli ispettori devono considerare quanto segue: Se sono stati adottati processi PCI DSS standard e ogni negozio è obbligato a seguirli, il campione potrà essere più piccolo di quanto non sia necessario in assenza dei processi standard, poiché è ragionevole ritenere che ogni negozio sia in linea con gli standard. Procedure di audit sulla sicurezza v 1.1 6

7 Se i processi standard adottati sono più di uno (ad esempio, uno per ogni tipo di negozio), il campione dovrà essere abbastanza ampio da includere una selezione di negozi per ogni tipo di processo. Se non sono stati adottati processi PCI DSS standard e ogni negozio è responsabile dei propri, il campione dovrà essere più ampio e garantire che ogni negozio abbia compreso e implementato i requisiti PCI DSS in modo soddisfacente. Controlli compensativi Gli eventuali controlli compensativi devono essere documentati dall'ispettore e comparire nella richiesta di Dichiarazione di conformità, come mostra l'appendice C Foglio di lavoro sui controlli compensativi / esempio precompilato. Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS. Istruzioni e contenuto della Dichiarazione di conformità Il presente documento deve essere utilizzato dagli ispettori come modello per la compilazione della Dichiarazione di conformità. L'entità sottoposta al controllo di audit è tenuta al rispetto dei requisiti per le dichiarazioni di conformità previsti dalle singole società che emettono le carte di pagamento, in modo da garantire che ciascuna di esse riconosca lo stato di conformità dell'entità. Contattare le singole società che emettono le carte di pagamento per ricevere i requisiti e le istruzioni per la certificazione. Durante la stesura della Dichiarazione di conformità, tutti gli ispettori sono tenuti a seguire istruzioni specifiche sul formato e sul contenuto: 1. Indirizzi di contatto e data della dichiarazione Inserire i dati per contattare l'esercente/il provider di servizi e l'ispettore Data della dichiarazione 2. Riepilogo esecutivo Inserire le seguenti informazioni: Descrizione dell'attività commerciale Elenco dei provider di servizi e di altre entità con cui la società condivide i dati dei titolari delle carte Elenco delle relazioni con i processor Indicare se l'entità è collegata direttamente a una società che emette carte di pagamento Per gli esercenti, i prodotti POS utilizzati Tutti le entità di proprietà per le quali è richiesta la conformità allo standard PCI DSS Tutti le entità internazionali per le quali è richiesta la conformità allo standard PCI DSS Tutte le reti LAN wireless e/o i terminali POS wireless connessi all'ambiente dati dei titolari delle carte Procedure di audit sulla sicurezza v 1.1 7

8 3. Descrizione della portata del lavoro e approccio seguito Versione del documento "Procedure di audit per la sicurezza" utilizzato per condurre l'ispezione Durata temporale dell'ispezione Ambiente sul quale si è concentrata l'ispezione (ad esempio, access point del cliente per Internet, rete aziendale interna, punti di elaborazione per la società che emette le carte di pagamento) Tutte le aree escluse dall'ispezione Breve descrizione o diagramma dettagliato della topologia della rete e dei controlli Elenco delle persone ascoltate Elenco della documentazione letta Elenco dei componenti hardware e dei programmi software critici in uso (ad esempio, per database o cifratura) Se l'ispezione riguarda un MSP (Managed Service Provider), descrivere chiaramente quali dei requisiti elencati nel presente documento si applicano all'msp (e sono quindi inclusi nell'ispezione) e quali non sono inclusi nell'ispezione e dovranno invece essere inclusi nelle ispezioni di competenza dei clienti dell'msp Inserire informazioni su quali indirizzi IP dell'msp sono stati sottoposti a scansione durante le scansioni trimestrali delle vulnerabilità dell'msp e quali indirizzi IP dovranno invece essere inclusi nelle scansioni trimestrali di competenza dei clienti dell'msp 4. Risultati delle scansioni trimestrali Riassumere i risultati delle ultime quattro scansioni trimestrali sotto forma di commento al Requisito 11.2 Le scansioni devono coinvolgere tutti gli indirizzi IP accessibili dall'esterno (visibili sul Web) esistenti presso l'entità 5. Conclusioni e osservazioni Tutti gli ispettori sono tenuti ad utilizzare il seguente modello per fornire descrizioni e conclusioni circostanziate per ogni requisito e ogni requisito secondario. Se pertinente, devono essere documentati tutti i controlli compensativi ritenuti equivalenti al "controllo implementato" Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS. Riconvalida di elementi aperti Come riscontro della conformità è necessario un report dei controlli implementati. Se il report iniziale del controllore/ispettore contiene alcuni elementi aperti, l'esercente/il provider di servizi dovrà trovare una soluzione per tali elementi per poter completare l'iter della certificazione. Il controllore/ispettore dovrà quindi riverificare la soluzione adottata e certificare che tutti i requisiti sono stati soddisfatti. Dopo avere verificato che il sistema è pienamente conforme, l'ispettore rilascerà una nuova Dichiarazione di conformità e la presenterà coerentemente con le istruzioni ricevute (vedere paragrafo precedente). Procedure di audit sulla sicurezza v 1.1 8

9 Costruire e mantenere una rete protetta 1 requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte I firewall sono sistemi che controllano il traffico tra i computer da e verso la rete di un'azienda, nonché il traffico diretto verso le aree più sensibili della rete interna di un'azienda. Il firewall esamina tutto il traffico in rete e blocca le trasmissioni che non rispondono ai criteri di sicurezza specificati. È indispensabile proteggere tutti i sistemi contro eventuali accessi non autorizzati da Internet, sia che avvengano sotto la forma di e-commerce, di navigazione in Internet dai browser dei dipendenti o di invio e ricezione della posta elettronica dei dipendenti. Percorsi apparentemente insignificanti da e verso Internet possono spesso comportare passaggi non protetti all'interno di sistemi chiave. I firewall rappresentano un meccanismo di protezione fondamentale per tutte le reti di computer. REQUISITI PCI DSS TEST ESEGUITI 1.1 Fissare standard per la configurazione dei firewall adottando le seguenti misure: Un processo formale sia per l'approvazione e il collaudo di tutte le connessioni esterne alla rete, sia per la modifica della configurazione dei firewall Un diagramma aggiornato della rete, con tutte le connessioni ai dati dei titolari delle carte, comprese le eventuali reti wireless Obbligo di utilizzo di un firewall per ogni connessione Internet e tra tutte le zone demilitarizzate (DMZ) e la zona della rete interna. 1.1 Richiedere e ispezionare gli standard di configurazione dei firewall e altra documentazione specificata più avanti per verificare che gli standard siano completi. Completare tutte le voci in questa sezione Verificare che gli standard di configurazione dei firewall includano un processo relativo a tutte le modifiche dei firewall, compresi il collaudo e l'approvazione del management di tutte le modifiche apportate alle connessioni esterne e alla configurazione dei firewall a Verificare che esista un diagramma aggiornato della rete e che in esso siano documentate tutte le connessioni ai dati dei titolari delle carte, comprese le reti wireless b Verificare che il diagramma venga aggiornato regolarmente Verificare che gli standard di configurazione dei firewall prevedano l'uso obbligatorio di un firewall in corrispondenza di ogni connessione a Internet e tra la zona DMZ e Intranet. Verificare che il diagramma della rete disponibile sia coerente con gli standard di Procedure di audit sulla sicurezza v 1.1 9

10 REQUISITI PCI DSS TEST ESEGUITI Descrizione di gruppi, ruoli e responsabilità per una gestione logica dei componenti della rete Elenco documentato dei servizi e delle porte necessarie per l'attività commerciale Giustificativi e documentazione per tutti i protocolli disponibili, diversi dagli standard HTTP (hypertext transfer protocol), SSL (secure sockets layer), SSH (secure shell) e VPN (virtual private network) Giustificativi e documentazione per tutti i protocolli rischiosi di cui è consentito l'uso: ad esempio, lo standard FTP (file transfer protocol) include la motivazione per cui viene utilizzato questo protocollo e le funzioni di protezione implementate Revisione trimestrale delle regole fissate per i firewall e i router Standard di configurazione dei router 1.2 Costruire una configurazione dei firewall che impedisca il traffico da reti e host di dubbia provenienza (untrusted), tranne che per i protocolli configurazione dei firewall Verificare che gli standard di configurazione dei firewall includano una descrizione dei gruppi, dei ruoli e delle responsabilità per una gestione logica dei componenti della rete Verificare che gli standard di configurazione dei firewall includano un elenco documentato dei servizi/delle porte utilizzati per l'attività commerciale Verificare che gli standard di configurazione dei firewall includano i giustificativi e la documentazione relativa a tutti i protocolli disponibili oltre a HTTP e SSL, SSH e VPN a Verificare che gli standard di configurazione dei firewall includano i giustificativi e la documentazione relativa a tutti i protocolli rischiosi di cui è consentito l'uso: ad esempio, il protocollo FTP include la motivazione per cui viene utilizzato e le funzioni di protezione implementate b Esaminare la documentazione e le impostazioni di ciascun servizio in uso a dimostrazione della necessità e della sicurezza del servizio a Verificare che gli standard di configurazione dei firewall prevedano una revisione trimestrale delle regole per i firewall e i router b Verificare che le regole vengano effettivamente riviste ogni tre mesi Verificare l'esistenza degli standard di configurazione per firewall e router. 1.2 Selezionare un campione di firewall/router 1) tra Internet e la zona DMZ e 2) tra la zona DMZ e la rete interna. Il campione dovrebbe includere il router interno (choke) per Internet, il router e il firewall per la zona Procedure di audit sulla sicurezza v

11 REQUISITI PCI DSS TEST ESEGUITI indispensabili per l'ambiente dati dei titolari delle carte. 1.3 Costruire una configurazione dei firewall che limiti le connessioni tra i server di pubblico accesso e tutti i componenti del sistema in cui sono custoditi i dati dei titolari delle carte, comprese le eventuali connessioni a reti wireless. Tale configurazione dei firewall dovrebbe includere: Limitazione del traffico Internet in entrata agli indirizzi IP (Internet Protocol) entro la zona DMZ (filtri in ingresso) Divieto per gli indirizzi interni di passare da Internet alla zona DMZ Attuazione di un meccanismo di "dynamic packet filtering", che consenta cioè soltanto alle connessioni consolidate di accedere alla rete Collocazione del database in una zona della rete interna nettamente separata dalla zona DMZ Limitazione del traffico in entrata e in uscita a quello indispensabile per l'ambiente dati dei titolari delle carte. DMZ, il segmento con i dati dei titolari delle carte nella zona DMZ, il router perimetrale e il segmento interno della rete con i dati dei titolari delle carte. Esaminare le configurazioni dei firewall e dei router per verificare che il traffico in entrata e in uscita sia limitato ai soli protocolli necessari per l'ambiente dati dei titolari delle carte. 1.3 Esaminare le configurazioni dei firewall per verificare che le connessioni tra i server di pubblico accesso e i componenti in cui sono custoditi i dati dei titolari delle carte siano limitate, nel seguente modo: Verificare che il traffico Internet in entrata sia limitato agli indirizzi IP entro la zona DMZ Verificare che gli indirizzi interni non passino da Internet alla zona DMZ Verificare che il firewall esegua il dynamic packet filtering. [Dovrebbero essere consentite solo le connessioni consolidate e solo se associate a una sessione attivata in precedenza (eseguire NMAP su tutte le porte TCP con i bit syn reset o syn ack impostati; una risposta significa che i pacchetti sono ammessi anche se non fanno parte di una sessione attivata in precedenza).] Verificare che il database sia in una zona della rete interna nettamente separata dalla zona DMZ Verificare che il traffico in entrata e in uscita sia limitato a quello strettamente necessario per l'ambiente dati dei titolari delle carte e che le limitazioni siano documentate Protezione e sincronizzazione Verificare che i file di configurazione dei router Procedure di audit sulla sicurezza v

12 REQUISITI PCI DSS TEST ESEGUITI dei file di configurazione del router. Ad esempio, i file di configurazione in esecuzione (per il regolare funzionamento dei router) e i file di configurazione eseguiti all'avvio (quando i dispositivi vengono riavviati) dovrebbero avere la stessa configurazione Divieto di tutto il restante traffico in entrata e in uscita, se non autorizzato in modo specifico Installazione di firewall perimetrali tra le reti wireless e l'ambiente dati dei titolari delle carte; configurazione dei firewall affinché impediscano tutto il traffico proveniente dall'ambiente wireless o controllino il traffico qualora questo sia necessario per l'attività commerciale Installazione di firewall personali (software) su tutti i computer portatili e i computer di proprietà dei dipendenti (ad esempio, i laptop dei dipendenti) che possono connettersi direttamente a Internet e che vengono utilizzati per accedere alla rete dell'organizzazione. 1.4 Vietare l'accesso pubblico diretto tra le reti esterne e i componenti del sistema in cui sono custoditi i dati dei titolari delle carte (ad esempio, database, registri e file trace) Predisporre una zona DMZ per filtrare e analizzare tutto il traffico, bloccando inoltre ogni percorso diretto per il traffico Internet in entrata siano protetti e sincronizzati: ad esempio, i file di configurazione in esecuzione (per il regolare funzionamento dei router) e i file di configurazione eseguiti all'avvio (quando i dispositivi vengono riavviati) hanno la stessa configurazione Verificare che tutto il restante traffico in entrata e in uscita non coperto nei punti 1.2 e 1.3 precedenti sia negato in modo esplicito Verificare che siano installati dei firewall perimetrali tra le reti e i sistemi wireless in cui sono memorizzati i dati dei titolari delle carte e che tali firewall neghino o controllino (se tale traffico è indispensabile per fini commerciali) tutto il traffico proveniente dall'ambiente wireless verso i sistemi in cui sono memorizzati i dati dei titolari delle carte Verificare che nei portatili e/o nei computer utilizzati dai dipendenti (ad esempio, i laptop di loro proprietà) con connettività diretta a Internet e con accesso alla rete dell'organizzazione sia installato e attivato un firewall personale. Tale software deve essere configurato dall'organizzazione in base a specifici standard e non deve essere modificabile dal dipendente. 1.4 Per verificare che sia effettivamente vietato l'accesso diretto tra le reti pubbliche esterne e i componenti del sistema in cui sono memorizzati i dati dei titolari delle carte, eseguire la seguente procedura specifica per la configurazione di firewall/router implementati tra la zona DMZ e la rete interna: Esaminare le configurazioni di firewall/router e verificare che non vi sia nessun percorso diretto in entrata o in uscita per il traffico Internet. Procedure di audit sulla sicurezza v

13 e in uscita. REQUISITI PCI DSS TEST ESEGUITI Limitare il traffico in uscita dalle applicazioni delle carte di pagamento verso gli indirizzi IP della zona DMZ. 1.5 Implementare l'ipmasquerading per impedire che gli indirizzi interni vengano tradotti o svelati in Internet. Utilizzare le tecnologie che implementano lo spazio indirizzi RFC 1918, ad esempio le tecnologie PAT (port address translation) e NAT (network address translation) Esaminare le configurazioni di firewall/router e verificare che il traffico interno in uscita dalle applicazioni con i dati dei titolari delle carte abbia accesso soltanto agli indirizzi IP entro la zona DMZ. 1.5 Per costituire il campione di componenti firewall/router di cui sopra, verificare che venga impiegata la tecnologia NAT o un'altra tecnologia basata sullo spazio indirizzi RFC 1918 per limitare la trasmissione degli indirizzi IP dalla rete interna a Internet (IP-masquerading). 2 requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori. Spesso gli hacker (esterni o interni a un'azienda) utilizzano le password predefinite e le altre impostazioni dei fornitori per compromettere i sistemi. Queste password e impostazioni sono note alle comunità di hacker e sono facilmente reperibili in quanto informazioni pubbliche. REQUISITI PCI DSS TEST ESEGUITI 2.1 Cambiare sempre le impostazioni predefinite dei fornitori prima di installare un sistema nella rete: ad esempio, aggiungere password, stringhe di comunità SNMP (simple network management protocol) ed eliminare gli account superflui. 2.1 Scegliere un campione di componenti del sistema, di server critici e di access point di tipo wireless e, con l'aiuto dell'amministratore del sistema, effettuare un tentativo di collegamento ai dispositivi utilizzando gli account e le password predefinite del fornitore, in modo da verificare che sia gli uni che le altre siano stati effettivamente cambiati (utilizzare i manuali dei prodotti e altre fonti reperibili su Internet per trovare le combinazioni di account/password preimpostate dai produttori). Procedure di audit sulla sicurezza v

14 REQUISITI PCI DSS TEST ESEGUITI Per gli ambienti wireless, cambiare le impostazioni predefinite del fornitore wireless, tra le quali, ad esempio: chiavi WEP (wired equivalent privacy), identificativi SSID (default service set identifiers), password e stringhe di comunità SNMP. Disattivare le trasmissioni SSID. Abilitare le tecnologie di accesso protetto WiFi (WPA e WPA2) per la cifratura e l'autenticazione (se la tecnologia WPA è disponibile). 2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che tali standard affrontino tutte le vulnerabilità della sicurezza note e siano coerenti con gli standard di System Hardening che sono accettati, ad esempio, da enti quali il SysAdmin Audit Network Security Network (SANS), il National Institute of Standards Technology (NIST) e il Center for Internet Security (CIS) Implementare una sola funzione primaria per server (ad Per quanto riguarda le impostazioni predefinite del fornitore di ambienti wireless, verificare i seguenti punti: Le chiavi WEP predefinite sono state cambiate durante l'installazione e vengono cambiate ogniqualvolta un dipendente che le conosce lascia la società o cambia mansione. L'identificativo SSID predefinito è stato cambiato. La trasmissione dell'identificativo SSID è stata disabilitata. Le stringhe di comunità SNMP predefinite sugli access point sono state cambiate. Le password predefinite sugli access point sono state cambiate. La tecnologia WPA o WPA2 è abilitata (se il sistema wireless supporta la tecnologia WPA). Altre impostazioni predefinite del fornitore del sistema wireless sono state cambiate (se disponibili). 2.2.a Esaminare gli standard di configurazione dell'organizzazione per i componenti della rete, i server critici e gli access point di tipo wireless, verificandone la coerenza con gli standard di System Hardening che sono accettati, ad esempio, da enti quali il SANS, il NIST e il CIS. 2.2.b Verificare che gli standard di configurazione del sistema includano tutte le voci descritte più avanti (da a 2.2.4) 2.2.c Verificare che gli standard di configurazione vengano applicati per la configurazione di tutti i nuovi sistemi Per un campione di componenti del sistema, di server critici e di access point di tipo wireless, Procedure di audit sulla sicurezza v