Payment Card Industry (PCI) Data Security Standard

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Payment Card Industry (PCI) Data Security Standard"

Transcript

1 Payment Card Industry (PCI) Data Security Standard Procedure di audit sulla sicurezza Versione 1.1 Release: settembre 2006

2 Indice generale Procedure di audit sulla sicurezza... 1 Versione Indice generale... 2 Introduzione... 3 Informazioni sull'applicabilità dello standard PCI DSS... 4 Valutazione della conformità ai requisiti PCI DSS... 5 Wireless... 6 Outsourcing... 6 Campionamento... 6 Controlli compensativi... 7 Istruzioni e contenuto della Dichiarazione di conformità... 7 Riconvalida di elementi aperti... 8 Costruire e mantenere una rete protetta requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori Proteggere i dati dei titolari delle carte requisito: Proteggere i dati dei titolari delle carte memorizzati requisito: Cifrare i dati dei titolari delle carte quando vengono trasmessi attraverso reti pubbliche aperte Rispettare un programma per la gestione delle vulnerabilità requisito: Utilizzare e aggiornare con regolarità il software o i programmi antivirus requisito: Sviluppare e mantenere applicazioni e sistemi protetti Implementare misure forti per il controllo dell'accesso requisito: Limitare l'accesso ai dati dei titolari delle carte solo se effettivamente indispensabili per lo svolgimento dell'attività commerciale requisito: Assegnare un ID univoco a ogni utente che ha accesso ai computer requisito: Limitare la possibilità di accesso fisico ai dati dei titolari delle carte Monitorare e testare le reti con regolarità requisito: Eseguire test periodici dei processi e dei sistemi di protezione Adottare una politica per la protezione delle informazioni requisito: Adottare una politica per la protezione delle informazioni rivolta a dipendenti e lavoratori a contratto Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test) Requisito A.1: I provider di hosting proteggono l'ambiente dati dei titolari delle carte Appendice B: Controlli compensativi Informazioni generali sui controlli compensativi Controlli compensativi per il Requisito Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato Procedure di audit sulla sicurezza v 1.1 2

3 Introduzione Le "PCI Security Audit Procedures" sono le procedure di audit sulla sicurezza rivolte a tutti gli ispettori che svolgono i controlli presso gli esercenti e i provider di servizi, i quali devono dimostrare la conformità delle loro attività ai requisiti PCI DSS (Payment Card Industry Data Security Standard). Le procedure di audit e i requisiti descritti nel presente documento fanno riferimento allo standard PCI DSS. Contenuto del documento: Introduzione Informazioni sull'applicabilità dello standard PCI DSS Valutazione della conformità ai requisiti PCI DSS Istruzioni e contenuto della Dichiarazione di conformità Riconvalida di elementi aperti Procedure di audit sulla sicurezza APPENDICI Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test) Appendice B: Controlli compensativi Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato Procedure di audit sulla sicurezza v 1.1 3

4 Informazioni sull'applicabilità dello standard PCI DSS Nella seguente tabella sono illustrati gli elementi comunemente utilizzati riguardanti i dati dei titolari delle carte e i dati sensibili per l'autenticazione, se è consentita o vietata la memorizzazione di ciascun elemento e se ciascun elemento è sottoposto a protezione. La tabella non esaurisce l'argomento, tuttavia consente di illustrare i diversi requisiti che si applicano a ciascun elemento. Dati dei titolari delle carte Elemento Numero account primario (PAN) Memorizz. permessa Protezione richiesta PCI DSS REQ. 3.4 Sì Sì Sì Nome del titolare* Sì Sì* No Codice di servizio* Sì Sì* No Data di scadenza* Sì Sì* No Dati sensibili per l'autenticazione** Striscia magnetica intera No N/P N/P CVC2/CVV2/CID No N/P N/P PIN / Blocco PIN No N/P N/P * Questi elementi devono essere protetti se memorizzati insieme al PAN. Il livello di protezione deve essere conforme ai requisiti PCI DSS per la protezione generale dell'ambiente dati del titolare. È inoltre possibile che altre normative (ad esempio leggi sulla protezione dei dati personali dei consumatori, sul diritto alla privacy, sul furto dell'identità o sulla sicurezza dei dati) prevedano misure specifiche per la protezione degli stessi dati e persino la pubblica divulgazione delle pratiche aziendali per quanto concerne la raccolta dei dati personali dei consumatori a fini commerciali. I requisiti PCI DSS non trovano tuttavia applicazione qualora i PAN non vengano memorizzati, elaborati o trasmessi. ** I dati sensibili per l'autenticazione non devono essere conservati dopo l'avvenuta autorizzazione (neppure se cifrati). Procedure di audit sulla sicurezza v 1.1 4

5 Valutazione della conformità ai requisiti PCI DSS I requisiti per la sicurezza PCI DSS si applicano a tutti i componenti del sistema, dove per componente del sistema si intende qualunque componente, server o applicazione della rete che faccia parte o sia collegato all'ambiente dati dei titolari delle carte. L'ambiente dati dei titolari delle carte è quell'area della rete in cui sono custoditi i dati dei titolari delle carte o i dati sensibili per l'autenticazione. I componenti della rete includono, tra gli altri, firewall, switch, router, access point di tipo wireless, dispositivi di rete e altri dispositivi di sicurezza. I server possono essere di vari tipi, ad esempio: Web, database, autenticazione, posta, proxy, NTP (Network Time Protocol) e DNS (Domain Name Server). Le applicazioni comprendono tutte le applicazioni acquistate e personalizzate, comprese le applicazioni ad uso interno o esterno (Internet). Un'adeguata segmentazione della rete, in cui i sistemi per la memorizzazione, elaborazione e trasmissione dei dati dei titolari delle carte siano sufficientemente isolati dal resto della rete, può ridurre le dimensioni dell'ambiente dati dei titolari delle carte. L'ispettore di audit deve verificare che la segmentazione sia sufficiente a ridurre l'entità dell'audit. Il provider di servizi o l'esercente può affidare a un soggetto terzo (provider) la gestione di componenti quali router, firewall, database, sicurezza fisica e/o server. In tal caso, va valutato l'impatto sulla sicurezza dell'ambiente dati dei titolari delle carte. I servizi pertinenti, forniti dal provider terzo, devono essere sottoposti a valutazione 1) nel corso dei controlli di audit PCI presso ciascuno dei clienti del provider terzo oppure 2) durante il controllo di audit PCI che si svolge presso il provider terzo. Per quanto concerne i provider di servizi sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la conformità di tutti i componenti del sistema in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi, salvo diverse indicazioni. Per quanto concerne gli esercenti sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la conformità specifica di quei sistemi o componenti del sistema che sono implicati nei processi di autorizzazione delle transazioni e in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi. Tali componenti includono: Tutte le connessioni esterne alla rete dell'esercente (ad esempio, accesso remoto di dipendenti e società che emettono carte di pagamento, accesso di soggetti terzi per l'elaborazione e la manutenzione dei dati). Tutte le connessioni da e verso l'ambiente di autorizzazione delle transazioni (ad esempio, connessioni per l'accesso di dipendenti o di dispositivi quali firewall e router). Tutti gli archivi di dati esterni all'ambiente di autorizzazione delle transazioni, dove vengono custoditi più di numeri di account. Nota: anche se alcuni archivi di dati o sistemi vengono esclusi dal controllo di audit, l'esercente è comunque tenuto ad assicurare la conformità allo standard PCI DSS per tutti i sistemi in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi. Un ambiente POS (point-of-sale), ovvero il luogo fisico presso la sede dell'esercente in cui una transazione viene accettata (ad esempio un negozio, un ristorante, un hotel, un distributore di benzina, un supermercato o simile). Procedure di audit sulla sicurezza v 1.1 5

6 Wireless Outsourcing Se non è fornito nessun accesso esterno alla sede dell'esercente (tramite Internet, wireless, rete VPN,,modem, banda larga o tramite punti vendita e distributori automatici), l'ambiente POS potrebbe essere escluso dal controllo di audit. Se viene utilizzata la tecnologia wireless per memorizzare, elaborare o trasmettere i dati dei titolari delle carte (ad esempio, per le transazioni POS, il line-busting o alleggerimento delle code alla cassa) o se una rete LAN wireless è connessa all'ambiente dati dei titolari delle carte o ne fa parte (ad esempio, non è separata nettamente da un firewall), devono essere applicati e rispettati i requisiti e i test eseguiti sugli ambienti wireless. La sicurezza dei sistemi wireless non ha ancora raggiunto livelli di eccellenza, tuttavia i requisiti in questione obbligano ad adottare una serie di misure di protezione wireless minime. Dal momento che le tecnologie wireless non offrono un livello di sicurezza accettabile, prima che una società adotti una tecnologia wireless è necessaria una seria valutazione dei vantaggi e rischi. Un approccio valido potrebbe essere iniziare a implementare la tecnologia wireless solo per la trasmissione di dati non sensibili e attendere che la tecnologia wireless diventi più sicura prima di estenderla ad altre funzioni. Nel caso di entità che praticano l'outsourcing, ovvero delegano a terzi (in genere provider di servizi) la memorizzazione, l'elaborazione o la trasmissione dei dati dei titolari delle carte, la Dichiarazione di conformità deve documentare il ruolo svolto da ciascun provider di servizi. Inoltre i provider dei servizi sono tenuti a certificare la propria conformità ai requisiti PCI DSS, indipendentemente dai controlli di audit svolti presso i loro clienti. Gli esercenti e i provider di servizi devono altresì richiedere per contratto che tutti i soggetti terzi ad essi associati, con accesso ai dati dei titolari delle carte, aderiscano allo standard PCI DSS. Per maggiori dettagli, fare riferimento al Requisito 12.8 descritto nel presente documento. Campionamento L'ispettore di audit può scegliere di eseguire i test su un campione dei componenti del sistema, che dovrà essere rappresentativo di tutti i tipi di componenti del sistema in uso e dovrà includere le varie combinazioni di sistemi operativi, funzioni e applicazioni comunemente in uso nell'area ispezionata. Ad esempio, l'ispettore può scegliere i server Sun che eseguono Apache WWW, i server NT che eseguono Oracle, i sistemi mainframe che eseguono le applicazioni legacy per l'elaborazione delle carte, i server per il trasferimento dei dati che eseguono HP-UX e i server Linux che eseguono MYSQL. Se tutte le applicazioni sono eseguite su un unico sistema operativo (ad esempio, NT o Sun), il campione dovrà includere diverse applicazioni, ad esempio server dei database, server Web e server per il trasferimento dati. Nel selezionare i campioni per i negozi degli esercenti o per gli esercenti in franchising, gli ispettori devono considerare quanto segue: Se sono stati adottati processi PCI DSS standard e ogni negozio è obbligato a seguirli, il campione potrà essere più piccolo di quanto non sia necessario in assenza dei processi standard, poiché è ragionevole ritenere che ogni negozio sia in linea con gli standard. Procedure di audit sulla sicurezza v 1.1 6

7 Se i processi standard adottati sono più di uno (ad esempio, uno per ogni tipo di negozio), il campione dovrà essere abbastanza ampio da includere una selezione di negozi per ogni tipo di processo. Se non sono stati adottati processi PCI DSS standard e ogni negozio è responsabile dei propri, il campione dovrà essere più ampio e garantire che ogni negozio abbia compreso e implementato i requisiti PCI DSS in modo soddisfacente. Controlli compensativi Gli eventuali controlli compensativi devono essere documentati dall'ispettore e comparire nella richiesta di Dichiarazione di conformità, come mostra l'appendice C Foglio di lavoro sui controlli compensativi / esempio precompilato. Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS. Istruzioni e contenuto della Dichiarazione di conformità Il presente documento deve essere utilizzato dagli ispettori come modello per la compilazione della Dichiarazione di conformità. L'entità sottoposta al controllo di audit è tenuta al rispetto dei requisiti per le dichiarazioni di conformità previsti dalle singole società che emettono le carte di pagamento, in modo da garantire che ciascuna di esse riconosca lo stato di conformità dell'entità. Contattare le singole società che emettono le carte di pagamento per ricevere i requisiti e le istruzioni per la certificazione. Durante la stesura della Dichiarazione di conformità, tutti gli ispettori sono tenuti a seguire istruzioni specifiche sul formato e sul contenuto: 1. Indirizzi di contatto e data della dichiarazione Inserire i dati per contattare l'esercente/il provider di servizi e l'ispettore Data della dichiarazione 2. Riepilogo esecutivo Inserire le seguenti informazioni: Descrizione dell'attività commerciale Elenco dei provider di servizi e di altre entità con cui la società condivide i dati dei titolari delle carte Elenco delle relazioni con i processor Indicare se l'entità è collegata direttamente a una società che emette carte di pagamento Per gli esercenti, i prodotti POS utilizzati Tutti le entità di proprietà per le quali è richiesta la conformità allo standard PCI DSS Tutti le entità internazionali per le quali è richiesta la conformità allo standard PCI DSS Tutte le reti LAN wireless e/o i terminali POS wireless connessi all'ambiente dati dei titolari delle carte Procedure di audit sulla sicurezza v 1.1 7

8 3. Descrizione della portata del lavoro e approccio seguito Versione del documento "Procedure di audit per la sicurezza" utilizzato per condurre l'ispezione Durata temporale dell'ispezione Ambiente sul quale si è concentrata l'ispezione (ad esempio, access point del cliente per Internet, rete aziendale interna, punti di elaborazione per la società che emette le carte di pagamento) Tutte le aree escluse dall'ispezione Breve descrizione o diagramma dettagliato della topologia della rete e dei controlli Elenco delle persone ascoltate Elenco della documentazione letta Elenco dei componenti hardware e dei programmi software critici in uso (ad esempio, per database o cifratura) Se l'ispezione riguarda un MSP (Managed Service Provider), descrivere chiaramente quali dei requisiti elencati nel presente documento si applicano all'msp (e sono quindi inclusi nell'ispezione) e quali non sono inclusi nell'ispezione e dovranno invece essere inclusi nelle ispezioni di competenza dei clienti dell'msp Inserire informazioni su quali indirizzi IP dell'msp sono stati sottoposti a scansione durante le scansioni trimestrali delle vulnerabilità dell'msp e quali indirizzi IP dovranno invece essere inclusi nelle scansioni trimestrali di competenza dei clienti dell'msp 4. Risultati delle scansioni trimestrali Riassumere i risultati delle ultime quattro scansioni trimestrali sotto forma di commento al Requisito 11.2 Le scansioni devono coinvolgere tutti gli indirizzi IP accessibili dall'esterno (visibili sul Web) esistenti presso l'entità 5. Conclusioni e osservazioni Tutti gli ispettori sono tenuti ad utilizzare il seguente modello per fornire descrizioni e conclusioni circostanziate per ogni requisito e ogni requisito secondario. Se pertinente, devono essere documentati tutti i controlli compensativi ritenuti equivalenti al "controllo implementato" Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS. Riconvalida di elementi aperti Come riscontro della conformità è necessario un report dei controlli implementati. Se il report iniziale del controllore/ispettore contiene alcuni elementi aperti, l'esercente/il provider di servizi dovrà trovare una soluzione per tali elementi per poter completare l'iter della certificazione. Il controllore/ispettore dovrà quindi riverificare la soluzione adottata e certificare che tutti i requisiti sono stati soddisfatti. Dopo avere verificato che il sistema è pienamente conforme, l'ispettore rilascerà una nuova Dichiarazione di conformità e la presenterà coerentemente con le istruzioni ricevute (vedere paragrafo precedente). Procedure di audit sulla sicurezza v 1.1 8

9 Costruire e mantenere una rete protetta 1 requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte I firewall sono sistemi che controllano il traffico tra i computer da e verso la rete di un'azienda, nonché il traffico diretto verso le aree più sensibili della rete interna di un'azienda. Il firewall esamina tutto il traffico in rete e blocca le trasmissioni che non rispondono ai criteri di sicurezza specificati. È indispensabile proteggere tutti i sistemi contro eventuali accessi non autorizzati da Internet, sia che avvengano sotto la forma di e-commerce, di navigazione in Internet dai browser dei dipendenti o di invio e ricezione della posta elettronica dei dipendenti. Percorsi apparentemente insignificanti da e verso Internet possono spesso comportare passaggi non protetti all'interno di sistemi chiave. I firewall rappresentano un meccanismo di protezione fondamentale per tutte le reti di computer. REQUISITI PCI DSS TEST ESEGUITI 1.1 Fissare standard per la configurazione dei firewall adottando le seguenti misure: Un processo formale sia per l'approvazione e il collaudo di tutte le connessioni esterne alla rete, sia per la modifica della configurazione dei firewall Un diagramma aggiornato della rete, con tutte le connessioni ai dati dei titolari delle carte, comprese le eventuali reti wireless Obbligo di utilizzo di un firewall per ogni connessione Internet e tra tutte le zone demilitarizzate (DMZ) e la zona della rete interna. 1.1 Richiedere e ispezionare gli standard di configurazione dei firewall e altra documentazione specificata più avanti per verificare che gli standard siano completi. Completare tutte le voci in questa sezione Verificare che gli standard di configurazione dei firewall includano un processo relativo a tutte le modifiche dei firewall, compresi il collaudo e l'approvazione del management di tutte le modifiche apportate alle connessioni esterne e alla configurazione dei firewall a Verificare che esista un diagramma aggiornato della rete e che in esso siano documentate tutte le connessioni ai dati dei titolari delle carte, comprese le reti wireless b Verificare che il diagramma venga aggiornato regolarmente Verificare che gli standard di configurazione dei firewall prevedano l'uso obbligatorio di un firewall in corrispondenza di ogni connessione a Internet e tra la zona DMZ e Intranet. Verificare che il diagramma della rete disponibile sia coerente con gli standard di Procedure di audit sulla sicurezza v 1.1 9

10 REQUISITI PCI DSS TEST ESEGUITI Descrizione di gruppi, ruoli e responsabilità per una gestione logica dei componenti della rete Elenco documentato dei servizi e delle porte necessarie per l'attività commerciale Giustificativi e documentazione per tutti i protocolli disponibili, diversi dagli standard HTTP (hypertext transfer protocol), SSL (secure sockets layer), SSH (secure shell) e VPN (virtual private network) Giustificativi e documentazione per tutti i protocolli rischiosi di cui è consentito l'uso: ad esempio, lo standard FTP (file transfer protocol) include la motivazione per cui viene utilizzato questo protocollo e le funzioni di protezione implementate Revisione trimestrale delle regole fissate per i firewall e i router Standard di configurazione dei router 1.2 Costruire una configurazione dei firewall che impedisca il traffico da reti e host di dubbia provenienza (untrusted), tranne che per i protocolli configurazione dei firewall Verificare che gli standard di configurazione dei firewall includano una descrizione dei gruppi, dei ruoli e delle responsabilità per una gestione logica dei componenti della rete Verificare che gli standard di configurazione dei firewall includano un elenco documentato dei servizi/delle porte utilizzati per l'attività commerciale Verificare che gli standard di configurazione dei firewall includano i giustificativi e la documentazione relativa a tutti i protocolli disponibili oltre a HTTP e SSL, SSH e VPN a Verificare che gli standard di configurazione dei firewall includano i giustificativi e la documentazione relativa a tutti i protocolli rischiosi di cui è consentito l'uso: ad esempio, il protocollo FTP include la motivazione per cui viene utilizzato e le funzioni di protezione implementate b Esaminare la documentazione e le impostazioni di ciascun servizio in uso a dimostrazione della necessità e della sicurezza del servizio a Verificare che gli standard di configurazione dei firewall prevedano una revisione trimestrale delle regole per i firewall e i router b Verificare che le regole vengano effettivamente riviste ogni tre mesi Verificare l'esistenza degli standard di configurazione per firewall e router. 1.2 Selezionare un campione di firewall/router 1) tra Internet e la zona DMZ e 2) tra la zona DMZ e la rete interna. Il campione dovrebbe includere il router interno (choke) per Internet, il router e il firewall per la zona Procedure di audit sulla sicurezza v

11 REQUISITI PCI DSS TEST ESEGUITI indispensabili per l'ambiente dati dei titolari delle carte. 1.3 Costruire una configurazione dei firewall che limiti le connessioni tra i server di pubblico accesso e tutti i componenti del sistema in cui sono custoditi i dati dei titolari delle carte, comprese le eventuali connessioni a reti wireless. Tale configurazione dei firewall dovrebbe includere: Limitazione del traffico Internet in entrata agli indirizzi IP (Internet Protocol) entro la zona DMZ (filtri in ingresso) Divieto per gli indirizzi interni di passare da Internet alla zona DMZ Attuazione di un meccanismo di "dynamic packet filtering", che consenta cioè soltanto alle connessioni consolidate di accedere alla rete Collocazione del database in una zona della rete interna nettamente separata dalla zona DMZ Limitazione del traffico in entrata e in uscita a quello indispensabile per l'ambiente dati dei titolari delle carte. DMZ, il segmento con i dati dei titolari delle carte nella zona DMZ, il router perimetrale e il segmento interno della rete con i dati dei titolari delle carte. Esaminare le configurazioni dei firewall e dei router per verificare che il traffico in entrata e in uscita sia limitato ai soli protocolli necessari per l'ambiente dati dei titolari delle carte. 1.3 Esaminare le configurazioni dei firewall per verificare che le connessioni tra i server di pubblico accesso e i componenti in cui sono custoditi i dati dei titolari delle carte siano limitate, nel seguente modo: Verificare che il traffico Internet in entrata sia limitato agli indirizzi IP entro la zona DMZ Verificare che gli indirizzi interni non passino da Internet alla zona DMZ Verificare che il firewall esegua il dynamic packet filtering. [Dovrebbero essere consentite solo le connessioni consolidate e solo se associate a una sessione attivata in precedenza (eseguire NMAP su tutte le porte TCP con i bit syn reset o syn ack impostati; una risposta significa che i pacchetti sono ammessi anche se non fanno parte di una sessione attivata in precedenza).] Verificare che il database sia in una zona della rete interna nettamente separata dalla zona DMZ Verificare che il traffico in entrata e in uscita sia limitato a quello strettamente necessario per l'ambiente dati dei titolari delle carte e che le limitazioni siano documentate Protezione e sincronizzazione Verificare che i file di configurazione dei router Procedure di audit sulla sicurezza v

12 REQUISITI PCI DSS TEST ESEGUITI dei file di configurazione del router. Ad esempio, i file di configurazione in esecuzione (per il regolare funzionamento dei router) e i file di configurazione eseguiti all'avvio (quando i dispositivi vengono riavviati) dovrebbero avere la stessa configurazione Divieto di tutto il restante traffico in entrata e in uscita, se non autorizzato in modo specifico Installazione di firewall perimetrali tra le reti wireless e l'ambiente dati dei titolari delle carte; configurazione dei firewall affinché impediscano tutto il traffico proveniente dall'ambiente wireless o controllino il traffico qualora questo sia necessario per l'attività commerciale Installazione di firewall personali (software) su tutti i computer portatili e i computer di proprietà dei dipendenti (ad esempio, i laptop dei dipendenti) che possono connettersi direttamente a Internet e che vengono utilizzati per accedere alla rete dell'organizzazione. 1.4 Vietare l'accesso pubblico diretto tra le reti esterne e i componenti del sistema in cui sono custoditi i dati dei titolari delle carte (ad esempio, database, registri e file trace) Predisporre una zona DMZ per filtrare e analizzare tutto il traffico, bloccando inoltre ogni percorso diretto per il traffico Internet in entrata siano protetti e sincronizzati: ad esempio, i file di configurazione in esecuzione (per il regolare funzionamento dei router) e i file di configurazione eseguiti all'avvio (quando i dispositivi vengono riavviati) hanno la stessa configurazione Verificare che tutto il restante traffico in entrata e in uscita non coperto nei punti 1.2 e 1.3 precedenti sia negato in modo esplicito Verificare che siano installati dei firewall perimetrali tra le reti e i sistemi wireless in cui sono memorizzati i dati dei titolari delle carte e che tali firewall neghino o controllino (se tale traffico è indispensabile per fini commerciali) tutto il traffico proveniente dall'ambiente wireless verso i sistemi in cui sono memorizzati i dati dei titolari delle carte Verificare che nei portatili e/o nei computer utilizzati dai dipendenti (ad esempio, i laptop di loro proprietà) con connettività diretta a Internet e con accesso alla rete dell'organizzazione sia installato e attivato un firewall personale. Tale software deve essere configurato dall'organizzazione in base a specifici standard e non deve essere modificabile dal dipendente. 1.4 Per verificare che sia effettivamente vietato l'accesso diretto tra le reti pubbliche esterne e i componenti del sistema in cui sono memorizzati i dati dei titolari delle carte, eseguire la seguente procedura specifica per la configurazione di firewall/router implementati tra la zona DMZ e la rete interna: Esaminare le configurazioni di firewall/router e verificare che non vi sia nessun percorso diretto in entrata o in uscita per il traffico Internet. Procedure di audit sulla sicurezza v

13 e in uscita. REQUISITI PCI DSS TEST ESEGUITI Limitare il traffico in uscita dalle applicazioni delle carte di pagamento verso gli indirizzi IP della zona DMZ. 1.5 Implementare l'ipmasquerading per impedire che gli indirizzi interni vengano tradotti o svelati in Internet. Utilizzare le tecnologie che implementano lo spazio indirizzi RFC 1918, ad esempio le tecnologie PAT (port address translation) e NAT (network address translation) Esaminare le configurazioni di firewall/router e verificare che il traffico interno in uscita dalle applicazioni con i dati dei titolari delle carte abbia accesso soltanto agli indirizzi IP entro la zona DMZ. 1.5 Per costituire il campione di componenti firewall/router di cui sopra, verificare che venga impiegata la tecnologia NAT o un'altra tecnologia basata sullo spazio indirizzi RFC 1918 per limitare la trasmissione degli indirizzi IP dalla rete interna a Internet (IP-masquerading). 2 requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori. Spesso gli hacker (esterni o interni a un'azienda) utilizzano le password predefinite e le altre impostazioni dei fornitori per compromettere i sistemi. Queste password e impostazioni sono note alle comunità di hacker e sono facilmente reperibili in quanto informazioni pubbliche. REQUISITI PCI DSS TEST ESEGUITI 2.1 Cambiare sempre le impostazioni predefinite dei fornitori prima di installare un sistema nella rete: ad esempio, aggiungere password, stringhe di comunità SNMP (simple network management protocol) ed eliminare gli account superflui. 2.1 Scegliere un campione di componenti del sistema, di server critici e di access point di tipo wireless e, con l'aiuto dell'amministratore del sistema, effettuare un tentativo di collegamento ai dispositivi utilizzando gli account e le password predefinite del fornitore, in modo da verificare che sia gli uni che le altre siano stati effettivamente cambiati (utilizzare i manuali dei prodotti e altre fonti reperibili su Internet per trovare le combinazioni di account/password preimpostate dai produttori). Procedure di audit sulla sicurezza v

14 REQUISITI PCI DSS TEST ESEGUITI Per gli ambienti wireless, cambiare le impostazioni predefinite del fornitore wireless, tra le quali, ad esempio: chiavi WEP (wired equivalent privacy), identificativi SSID (default service set identifiers), password e stringhe di comunità SNMP. Disattivare le trasmissioni SSID. Abilitare le tecnologie di accesso protetto WiFi (WPA e WPA2) per la cifratura e l'autenticazione (se la tecnologia WPA è disponibile). 2.2 Sviluppare standard di configurazione per tutti i componenti del sistema. Assicurarsi che tali standard affrontino tutte le vulnerabilità della sicurezza note e siano coerenti con gli standard di System Hardening che sono accettati, ad esempio, da enti quali il SysAdmin Audit Network Security Network (SANS), il National Institute of Standards Technology (NIST) e il Center for Internet Security (CIS) Implementare una sola funzione primaria per server (ad Per quanto riguarda le impostazioni predefinite del fornitore di ambienti wireless, verificare i seguenti punti: Le chiavi WEP predefinite sono state cambiate durante l'installazione e vengono cambiate ogniqualvolta un dipendente che le conosce lascia la società o cambia mansione. L'identificativo SSID predefinito è stato cambiato. La trasmissione dell'identificativo SSID è stata disabilitata. Le stringhe di comunità SNMP predefinite sugli access point sono state cambiate. Le password predefinite sugli access point sono state cambiate. La tecnologia WPA o WPA2 è abilitata (se il sistema wireless supporta la tecnologia WPA). Altre impostazioni predefinite del fornitore del sistema wireless sono state cambiate (se disponibili). 2.2.a Esaminare gli standard di configurazione dell'organizzazione per i componenti della rete, i server critici e gli access point di tipo wireless, verificandone la coerenza con gli standard di System Hardening che sono accettati, ad esempio, da enti quali il SANS, il NIST e il CIS. 2.2.b Verificare che gli standard di configurazione del sistema includano tutte le voci descritte più avanti (da a 2.2.4) 2.2.c Verificare che gli standard di configurazione vengano applicati per la configurazione di tutti i nuovi sistemi Per un campione di componenti del sistema, di server critici e di access point di tipo wireless, Procedure di audit sulla sicurezza v

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 1.2.1 Luglio 2009 Modifiche del documento Data Versione Descrizione Pagine Ottobre 2008

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 1.2 Ottobre 2008 Sommario Introduzione e panoramica di PCI Data Security Standard...3 Informazioni

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 2.0 Ottobre 2010 Modifiche del documento Data Versione Descrizione Pagine Ottobre 2008 luglio

Dettagli

Payment Card Industry (PCI) Data Security Standard. Versione 1.1

Payment Card Industry (PCI) Data Security Standard. Versione 1.1 Payment Card Industry (PCI) Data Security Standard Versione 1.1 Release: settembre 2006 Costruire e mantenere una rete protetta 1 requisito: Installare e mantenere una configurazione con firewall per proteggere

Dettagli

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e Attestato di conformità per provider di servizi

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e Attestato di conformità per provider di servizi Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e At di conformità per provider di servizi Provider di servizi idonei per il questionario SAQ Versione 3.0

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Versione 3.0 Novembre 2013 Modifiche del documento Data Versione Descrizione

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità Tutti gli altri esercenti e provider di servizi idonei al questionario SAQ Versione 2.0 Ottobre

Dettagli

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità Esercenti con sistemi di pagamento connessi a Internet, nessuna memorizzazione elettronica

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati. Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati. Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2. Settore delle carte di pagamento (PCI) Standard di protezione dei dati Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2.0 Ottobre 2010 In tutto il documento Eliminati i riferimenti specifici

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione C e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione C e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione C e Attestato di conformità Applicazione di pagamento connessa a Internet, Nessuna memorizzazione elettronica dei dati

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) Requisiti e procedure di valutazione della sicurezza Versione 3.0 Novembre 2013 Modifiche

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità Esercenti di e-commerce parzialmente in outsourcing che utilizzano

Dettagli

Comprensione dello scopo dei requisiti

Comprensione dello scopo dei requisiti Payment Card Industry (PCI) Data Security Standard Navigazione in PCI DSS Comprensione dello scopo dei requisiti Versione 2.0 ottobre 2010 Modifiche del documento Data Versione Descrizione 1 ottobre 2008

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Nessuna memorizzazione, elaborazione o trasmissione dati di titolari di carte in formato elettronico

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione Istruzioni e linee guida Versione 2.0 Ottobre 2010 Modifiche del documento Data Versione Descrizione 1 ottobre 2008 1.2

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione B-IP Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni sulla valutazione

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione D - Provider di servizi Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione B Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni sulla valutazione

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità Terminali di pagamento hardware in una soluzione P2PE inclusa nell

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0 Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente

Dettagli

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 PROTEZIONE DEI DATI 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Sommario 1. INTRODUZIONE... 3 2. ARCHITETTURE PER L'ACCESSO REMOTO... 3 2.1 ACCESSO REMOTO TRAMITE MODEM... 3 2.2

Dettagli

Protezione delle informazioni in SMart esolutions

Protezione delle informazioni in SMart esolutions Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Versione 1.2 Ottobre 2008 AAA Accesso remoto Account predefiniti

Dettagli

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL è una tecnica di trasmissione dati che permette l accesso a Internet fino a 8 Mbps in downstream ed 1 Mbps

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.1 Aprile 2015 Introduzione Il presente documento contiene un

Dettagli

Progettazione di reti AirPort

Progettazione di reti AirPort apple Progettazione di reti AirPort Indice 1 Per iniziare con AirPort 5 Utilizzo di questo documento 5 Impostazione Assistita AirPort 6 Caratteristiche di AirPort Admin Utility 6 2 Creazione di reti AirPort

Dettagli

IT Security 3 LA SICUREZZA IN RETE

IT Security 3 LA SICUREZZA IN RETE 1 IT Security 3 LA SICUREZZA IN RETE Una RETE INFORMATICA è costituita da un insieme di computer collegati tra di loro e in grado di condividere sia le risorse hardware (stampanti, Hard Disk,..), che le

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE Marco Gallone Sella Holding Banca 28 Novembre 2006 Il Gruppo Banca Sella ed il Commercio Elettronico Dal 1996 Principal Member dei circuiti Visa e MasterCard

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Rete Wireless del Comune di Padova

Rete Wireless del Comune di Padova Ricorda che per qualsiasi chiarimento gli operatori dell'informagiovani sono a tua disposizione nei seguenti orari: martedì e mercoledì dalle 10.00 alle 13.00 e dalle 15.00 alle 18.00 giovedì dalle 15.00

Dettagli

ORIEME ITALIA SpA Viale Sarca, 45 Telefono +39 02.64.41.16.1 Orieme Italia S.p.A. I-20125 Milano Telefax +39 02.64.36.990 www.orieme.

ORIEME ITALIA SpA Viale Sarca, 45 Telefono +39 02.64.41.16.1 Orieme Italia S.p.A. I-20125 Milano Telefax +39 02.64.36.990 www.orieme. Visio Wifi Setup - Windows Rev. 1.0.0 Prerequisiti: Prima di procedere con l installazione assicurarsi di avere pieno accesso alla configurazione del router Wifi. Attenzione: non tutti i router risultano

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Manuale. di configurazione. Interfaccia di gestione. Configurazioni. Storage. Stampanti SOMMARIO

Manuale. di configurazione. Interfaccia di gestione. Configurazioni. Storage. Stampanti SOMMARIO Manuale di configurazione 2 Configurazioni 8 Storage 30 Stampanti 41 Manuale Interfaccia di gestione di configurazione SOMMARIO Interfaccia di gestione INTRODUZIONE La configurazione del modem può essere

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi

Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Payment Card Industry (PCI) Data Security Standard (DSS) e Payment Application Data Security Standard (PA-DSS) Glossario, abbreviazioni e acronimi Versione 2.0 Ottobre 2010 AAA Controllo dell'accesso Dati

Dettagli

Payment Card Industry (PCI) Data Security Standard. Glossario, abbreviazioni e acronimi

Payment Card Industry (PCI) Data Security Standard. Glossario, abbreviazioni e acronimi Payment Card Industry (PCI) Data Security Standard Glossario, abbreviazioni e acronimi AAA Accounting Controllo degli accessi Harvesting degli account Numero account Acquirente AES ANSI Programma antivirus

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Programma del livello di servizio per i servizi di Ariba Commerce Cloud

Programma del livello di servizio per i servizi di Ariba Commerce Cloud Programma del livello di servizio per i servizi di Ariba Commerce Cloud Garanzia di accessibilità del servizio Sicurezza Varie 1. Garanzia di accessibilità del servizio a. Applicabilità. La Garanzia di

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Tecnologia wireless (solo su alcuni modelli)

Tecnologia wireless (solo su alcuni modelli) Tecnologia wireless (solo su alcuni modelli) Guida per l'utente Copyright 2007 Hewlett-Packard Development Company, L.P. Windows è un marchio registrato negli Stati Uniti di Microsoft Corporation. Bluetooth

Dettagli

Client VPN Manuale d uso. 9235970 Edizione 1

Client VPN Manuale d uso. 9235970 Edizione 1 Client VPN Manuale d uso 9235970 Edizione 1 Copyright 2004 Nokia. Tutti i diritti sono riservati. Il contenuto del presente documento, né parte di esso, potrà essere riprodotto, trasferito, distribuito

Dettagli

Area Clienti Tiscali Hosting e Domini

Area Clienti Tiscali Hosting e Domini Area Clienti Tiscali Hosting e Domini Manuale Utente Area Clienti Tiscali Hosting e Domini - Manuale utente Pag. 1 di 20 Sommario INFORMAZIONI GENERALI... 3 ACCESSO ALL AREA CLIENTI TISCALI HOSTING E DOMINI...

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico

Dettagli

Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi?

Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi? Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi? NCR Security diminuisce la difficoltà di essere conformi a PCI e protegge l integrità della vostra rete Un White Paper

Dettagli

1) Reti di calcolatori. Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di

1) Reti di calcolatori. Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di 1) Reti di calcolatori 2) Internet 3) Sicurezza LAN 1) Reti di calcolatori Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di rete (cavi UTP) o con tecnologia

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ Panoramica di Microsoft ISA Server 2004 Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ ISA Server 2004 - Introduzione ISA Server 2004 offre

Dettagli

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3 ver 2.0 Log Manager Quick Start Guide 1 Connessione dell apparato 2 2 Prima configurazione 2 2.1 Impostazioni di fabbrica 2 2.2 Configurazione indirizzo IP e gateway 3 2.3 Configurazione DNS e Nome Host

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

ROUTER WIRELESS A BANDA LARGA 11N 300MBPS

ROUTER WIRELESS A BANDA LARGA 11N 300MBPS ROUTER WIRELESS A BANDA LARGA 11N 300MBPS Guida all'installazione rapida DN-70591 INTRODUZIONE DN-70591 è un dispositivo combinato wireless/cablato progettato in modo specifico per i requisiti di rete

Dettagli

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation 9243057 Edizione 1 IT Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation VPN Client Manuale d'uso 9243057 Edizione 1 Copyright 2005 Nokia. Tutti i diritti sono riservati. Il contenuto

Dettagli

Protezione dei dati INTRODUZIONE

Protezione dei dati INTRODUZIONE Protezione dei dati INTRODUZIONE Le reti LAN senza filo sono in una fase di rapida crescita. Un ambiente aziendale in continua trasformazione richiede una maggiore flessibilità sia alle persone che alle

Dettagli

Banda 3.5 Mobile Accesso a internet tramite segnali 3.5G Mobile - Riconosce e configura automaticamente segnali 3G, 2.75G e 2.5G

Banda 3.5 Mobile Accesso a internet tramite segnali 3.5G Mobile - Riconosce e configura automaticamente segnali 3G, 2.75G e 2.5G Router Wireless 54 Mbps 802.11b/g ultra compatto Antenna e trasformatore integrati, con presa rimuovibile, facile da portare, settare e usare ovunque ed in ogni momento Banda 3.5 Mobile Accesso a internet

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

La sicurezza nelle reti wireless (Wi Fi) Dott. Ing. Antonio Tringali per ArsLogica Sistemi Srl

La sicurezza nelle reti wireless (Wi Fi) Dott. Ing. Antonio Tringali per ArsLogica Sistemi Srl La sicurezza nelle reti wireless (Wi Fi) Dott. Ing. Antonio Tringali per ArsLogica Sistemi Srl 30/10/2008 Indice degli argomenti Le reti wireless di tipo Wi-Fi Tipi di rischio: Monitoraggio del traffico

Dettagli

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa M ODULO 7 - SYLLABUS 1.0 IT Security Corso NUOVA ECDL 2015 prof. A. Costa Minacce ai dati 1 Concetti di sicurezza Differenze fra dati e informazioni Il termine crimine informatico: intercettazione, interferenza,

Dettagli

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di NOKIA 9500 COMMUNICATOR. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni,

Dettagli

Le reti Sicurezza in rete

Le reti Sicurezza in rete Le reti Sicurezza in rete Tipi di reti Con il termine rete si intende un insieme di componenti, sistemi o entità interconnessi tra loro. Nell ambito dell informatica, una rete è un complesso sistema di

Dettagli

Tecnologie Informatiche. security. Rete Aziendale Sicura

Tecnologie Informatiche. security. Rete Aziendale Sicura Tecnologie Informatiche security Rete Aziendale Sicura Neth Security è un sistema veloce, affidabile e potente per la gestione della sicurezza aziendale, la protezione della rete, l accesso a siti indesiderati

Dettagli

iphone per le aziende Panoramica sulla sicurezza

iphone per le aziende Panoramica sulla sicurezza iphone per le aziende Panoramica sulla sicurezza iphone può accedere in modo sicuro ai servizi aziendali e proteggere i dati presenti sul dispositivo. Fornisce una crittografia sicura per i dati in trasmissione,

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Tecnologia Wireless MAXg

Tecnologia Wireless MAXg Tecnologia Wireless MAXg Il massimo in fatto di portata, prestazioni, sicurezza e semplicità per le reti 802.11g La tecnologia La tecnologia wireless è senza dubbio diventata onnipresente nel nostro ambiente

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Il Livello delle Applicazioni

Il Livello delle Applicazioni Il Livello delle Applicazioni Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione corrisponde agli ultimi tre livelli dello stack OSI. Il livello Applicazione supporta le applicazioni

Dettagli

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni, specifiche,

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

Indice generale. Introduzione...xiii. Nota del revisore...xvii. Introduzione alle reti...1. Introduzione alle reti wireless...11

Indice generale. Introduzione...xiii. Nota del revisore...xvii. Introduzione alle reti...1. Introduzione alle reti wireless...11 Introduzione...xiii Nota del revisore...xvii Capitolo 1 Capitolo 2 Introduzione alle reti...1 Trasferimento di dati... 2 Bit e byte... 2 Controllo di errore... 3 Handshaking... 3 Trovare la destinazione...

Dettagli

ALLEGATO 2) ALLO SCHEMA DI CONVENZIONE PER LA FORNITURA DI SERVIZI DI CONNETTIVITA' INTERNET WI-FI PUBBLICA NEL COMUNE DI MARSCIANO

ALLEGATO 2) ALLO SCHEMA DI CONVENZIONE PER LA FORNITURA DI SERVIZI DI CONNETTIVITA' INTERNET WI-FI PUBBLICA NEL COMUNE DI MARSCIANO ALLEGATO 2) ALLO SCHEMA DI CONVENZIONE PER LA FORNITURA DI SERVIZI DI CONNETTIVITA' INTERNET WI-FI PUBBLICA NEL COMUNE DI MARSCIANO Regolamento di connessione pubblica nomadica alla rete Internet in modalità

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

Panoramica. LogMeIn Rescue. L architettura di LogMeIn Rescue

Panoramica. LogMeIn Rescue. L architettura di LogMeIn Rescue LogMeIn Il documento fornisce una panoramica sull architettura sulla quale è basato LogMeIn. 1 Introduzione 2 Riservatezza dei dati 3 Autenticazione 4 Chiave concordata 5 Scambio dei messaggi 6 Autenticazione

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Remote Service Solution. Descrizione del Servizio

Remote Service Solution. Descrizione del Servizio Remote Service Solution Descrizione del Servizio Redattore: Alberto Redi Luogo e Data Lugano, 25 Novembre 2008 Status: Finale All attenzione di: Protocollo: Security Lab Sagl ViaGreina 2 - CH 6900 Lugano

Dettagli

Domini Virtual Server

Domini Virtual Server Domini Virtual Server Pannello di controllo Manuale Utente Pannello di controllo domini e virtual server - Manuale utente ver. 2.0 Pag. 1 di 18 Sommario INFORMAZIONI GENERALI... 3 Virtual Server... 3 ACCESSO

Dettagli

Dal protocollo IP ai livelli superiori

Dal protocollo IP ai livelli superiori Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli