Spianare la strada verso la conformità alla versione 2.0 di PCI DSS

Transcript

1 White paper Secure Configuration Manager Sentinel Change Guardian Spianare la strada verso la conformità alla versione 2.0 di PCI DSS

2 Sommario pagina Ottimizzazione dei processi per la protezione dei dati dei titolari di carta di credito... 1 PCI DSS nel dettaglio... 2 Principali ostacoli nel cammino verso la conformità a PCI DSS Come NetIQ spiana la strada verso la conformità a PCI DSS... 4 Riepilogo... 6 Informazioni su NetIQ... 7

3 Ottimizzazione dei processi per la protezione dei dati dei titolari di carta di credito Negli ultimi 20 anni, e soprattutto nell ultimo decennio, l utilizzo di carte di credito e di debito da parte dei consumatori ha registrato un impennata, portando con sé più frequenti episodi di furto di identità e frodi relative alle carte di credito. In risposta a tali fenomeni, sono state varate normative, specialmente lo standard PCI-DSS (Payment Card Industry Data Security Standard), che impongono alle aziende l adozione di misure volte a garantire la protezione dei dati dei consumatori. La conformità allo standard PCI DSS è la base delle attività di ogni azienda che gestisce i dati dei titolari di carta di credito. Tuttavia, le organizzazioni di dimensioni piccole e grandi faticano a soddisfare questo standard in continua evoluzione. La conformità richiede non solo uno sforzo particolare, ma anche un processo continuo, oneroso in termini di tempo e risorse, per raccogliere, monitorare e analizzare grandi quantità di informazioni nell ambiente dei titolari di carta di credito, una rete complessa di sistemi di dati e risorse di rete. Un organizzazione in grado di automatizzare, standardizzare e monitorare al meglio i propri sistemi e controlli dell accesso può raggiungere la conformità non solo con PCI DSS, ma anche con altre normative statali e federali che impongono obblighi simili. Investendo negli strumenti di standardizzazione e nel software di automazione appropriati, l organizzazione può prosperare e dedicare le risorse alle questioni prioritarie disponendo di un metodo più semplice ed economico per raggiungere la conformità verso nuove iniziative aziendali. 1

4 White paper Spianare la strada verso la conformità alla versione 2.0 di PCI DSS PCI DSS nel dettaglio Appositamente ideato per garantire la protezione dei dati dei titolari di carta di credito, PCI DSS codifica le best practice per la sicurezza dei dati. Si parte dalla formulazione di policy concrete per la sicurezza delle informazioni per poi adottare provvedimenti specifici volti a proteggere le reti da eventuali attacchi, nonché a regolare e monitorare l accesso alla rete. PCI DSS ha evidenziato sei sezioni principali che includono 12 requisiti, divisi in oltre 210 controlli specifici. Le sezioni principali si suddividono nel modo seguente: Lo standard PCI DSS delinea le best practice per proteggere i dati dei titolari di carta di credito, e tutte le organizzazioni che memorizzano, elaborano o trasmettono tali dati devono esserne conformi. Sezione Requisiti Creazione e manutenzione di una rete sicura Protezione dei dati dei titolari di carta di credito Mantenimento di un programma di gestione delle vulnerabilità Implementazione di potenti misure di controllo dell accesso Controllo e test periodici delle reti Mantenimento di una policy di sicurezza delle informazioni Requisito 1: installare e mantenere una configurazione firewall per proteggere i dati dei titolari di carta di credito. Requisito 2: non usare i default forniti dal produttore per password di sistema e altri parametri di sicurezza. Requisito 3: proteggere i dati memorizzati dei titolari di carta di credito. Requisito 4: cifrare la trasmissione dei dati dei titolari di carta di credito su reti aperte pubbliche. Requisito 5: utilizzare e aggiornare costantemente software o programmi antivirus. Requisito 6: sviluppare e mantenere sistemi e applicazioni sicuri. Requisito 7: restringere l accesso ai dati dei titolari di carta di credito in base alle reali necessità dell azienda. Requisito 8: assegnare un ID univoco a tutte le persone dotate di accesso al computer. Requisito 9: restringere l accesso fisico ai dati dei titolari di carta di credito. Requisito 10: controllare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta di credito. Requisito 11: testare periodicamente i sistemi e i processi di sicurezza. Requisito 12: mantenere una policy in grado di garantire la sicurezza delle informazioni per tutto il personale. Fig. 1 Cinque marchi di servizi finanziari globali, ovvero American Express, Discover Financial Services, JCB International, Visa Inc. e Master-Card Worldwide, compongono il PCI Security Standards Council, che ha introdotto lo standard PCI DSS nel Questo standard delinea le best practice per proteggere i dati dei titolari di carta di credito, e tutte le organizzazioni che memorizzano, elaborano o trasmettono tali dati devono esserne conformi. Lo standard PCI DSS continua a evolversi di pari passo con le nuove sfide connesse alla sicurezza. Dal gennaio 2011, le aziende sono tenute a raggiungere la conformità alla versione 2.0 di PCI DSS, che allinea lo standard alle nuove best practice del settore, chiarisce i requisiti per la registrazione e la reportistica e assicura una flessibilità maggiore nell implementazione. 2

5 È proprio nell automazione delle principali modifiche procedurali necessarie per ottenere la conformità senza problemi che le soluzioni per la gestione della conformità e della sicurezza offerte da NetIQ dimostrano il loro valore. Principali ostacoli nel cammino verso la conformità a PCI DSS Sebbene qualche semplice procedura, come ad esempio mantenere aggiornato il software antivirus, possa avvicinare un azienda all obiettivo di conformità, il raggiungimento della piena conformità implica modifiche procedurali complesse e impegnative, come ad esempio controllare e monitorare l accesso alle risorse di rete e ai dati dei titolari di carta di credito. Poiché processi del genere attraversano spesso molti confini dipartimentali, riguardano diversi team e piattaforme di più sistemi, il tempo e i costi necessari per la loro implementazione possono ostacolare il raggiungimento della piena conformità da parte di un azienda. In effetti, il rapporto sulla conformità a Payment Card Industry di Verizon 2012 indica che solo il 18% delle aziende ha soddisfatto i requisiti completi per la protezione dei dati memorizzati (requisito 3); appena l 11% ha soddisfatto pienamente il requisito che prevede il controllo e il monitoraggio di tutti gli accessi alle risorse di rete e ai dati dei titolari di carta di credito (requisito 10); e ancora meno, un timido 6%, ha testato periodicamente i sistemi e i processi di sicurezza (requisito 11). I dati di Verizon non devono sorprenderci considerando il tempo e le risorse necessari per coordinare la revisione e i controlli degli accessi tra i diversi confini dipartimentali e le piattaforme di sistema. Le aziende che sottovalutano tali sforzi e si lasciano vincolare dai processi manuali e dal personale limitato si inscrivono nella maggioranza non conforme allo standard e, dunque, vulnerabile a sanzioni normative. le organizzazioni sia di piccole che di grandi dimensioni sembrano avere problemi prevalentemente con i requisiti 3 (proteggere i dati memorizzati dei titolari di carta di credito), 7 (restringere l accesso ai dati dei titolari di carta di credito), 10 (controllare e monitorare gli accessi) e 11 (testare periodicamente i sistemi e i processi).- Rapporto sulla conformità a Payment Card Industry di Verizon

6 White paper Spianare la strada verso la conformità alla versione 2.0 di PCI DSS Come NetIQ spiana la strada verso la conformità a PCI DSS Dal momento che la conformità richiede la massima protezione dei dati dei titolari di carta di credito, le aziende hanno bisogno di soluzioni complete in grado di supportare ambienti eterogenei con un ampia varietà di server, sistemi operativi, dispositivi e applicazioni. È proprio nell automazione delle principali modifiche procedurali necessarie per ottenere la conformità senza problemi che le soluzioni per la gestione della conformità e della sicurezza offerte da NetIQ dimostrano il loro valore. Queste soluzioni consentono di monitorare un ambiente di rete eterogeneo, analizzare la sicurezza dei sistemi e regolare l accesso degli utenti a tali sistemi. Oltre ad aiutarvi a raggiungere e mantenere la conformità agli standard sulla sicurezza dei dati, quali PCI DSS, le soluzioni NetIQ danno prova della conformità raggiunta tramite rapporti che mostrano in modo inequivocabile il corretto provisioning dei diritti utente e la massima sicurezza dei sistemi. Oltre ad aiutarvi a raggiungere e mantenere la conformità agli standard sulla sicurezza dei dati, quali PCI DSS, le soluzioni NetIQ danno prova della conformità raggiunta tramite rapporti che mostrano in modo inequivocabile il corretto provisioning dei diritti utente e la massima sicurezza dei sistemi. Guida alla conformità integrata NetIQ ha incorporato l intelligenza di anni e anni di competenze in ambito di soluzioni di sicurezza e conformità all interno di modelli predefiniti che guidano i team addetti alla sicurezza verso il raggiungimento della conformità. NetIQ Secure Configuration Manager rileva i sistemi non correttamente configurati che rendono le aziende vulnerabili ad attacchi e a sanzioni dovute alla mancata conformità. Inoltre, valuta le configurazioni dei sistemi rispetto alle best practice ed esegue controlli pronti all uso per verificare la conformità a standard specifici, ad esempio PCI DSS. La reportistica completa sulle autorizzazioni degli utenti generata da tale strumento contribuisce ad assicurare che solo gli utenti che hanno bisogno di accedere a sistemi specifici dispongano del relativo accesso. NetIQ Secure Configuration Manager permette di: Valutare le configurazioni di reti e applicazioni in base alle direttive PCI. Applicare le best practice del settore per la sicurezza di reti e dati. Gestire meglio l accesso tramite l identificazione di autorizzazioni utente. Gestione delle vulnerabilità Per garantire la conformità ai componenti principali di PCI DSS, i team addetti alla sicurezza devono individuare e correggere le vulnerabilità dei sistemi o delle reti. NetIQ Secure Configuration Manager rileva le vulnerabilità del sistema mediante processi basati su credenziali e host e verifica la presenza dei punti deboli elencati nel National Vulnerability Database, aggiornandone continuamente lo strumento di valutazione tramite un servizio automatizzato per i contenuti di sicurezza. 4

7 In quanto soluzione di monitoraggio dell attività degli utenti leader del settore, NetIQ Sentinel si avvale del sistema di gestione delle identità per collegare gli utenti ad azioni specifiche sui diversi sistemi. NetIQ Secure Configuration Manager permette di: Valutare le configurazioni dei sistemi rispetto a standard interni, requisiti normativi e best practice. Identificare immediatamente i rischi che sono e non sono gestiti. Correggere le vulnerabilità prima che causino problemi. Monitoraggio delle attività dell utente Uno degli obiettivi di riferimento di PCI DSS, ovvero consentire l accesso solo a chi ne ha reale necessità, costituisce una vera e propria sfida per settori quali i servizi e la vendita al dettaglio, che generalmente vantano un elevato turnover dei dipendenti. Eppure, tali controlli dell accesso rimangono componenti fondamentali della conformità non solo perché distinguono gli utenti, ma soprattutto perché proteggono le risorse di dati dalle minacce interne. In quanto soluzione di monitoraggio dell attività degli utenti leader del settore, NetIQ Sentinel si avvale del sistema di gestione delle identità per collegare gli utenti ad azioni specifiche sui diversi sistemi. NetIQ Sentinel controlla modifiche di sistema e attività degli utenti in tempo reale, rileva minacce e intrusioni, gestisce e mette in correlazione gli eventi di sicurezza, gestisce i log e automatizza le risposte agli incidenti, il tutto in un unica infrastruttura integrata e scalabile. Grazie alla funzione di collegamento delle identità degli utenti ad azioni specifiche offerta da NetIQ Sentinel, revisori e Compliance Officer possono disporre di informazioni dettagliate relative a chi, cosa, quando e dove sugli eventi di sicurezza, il che permette loro di migliorare le difese aziendali senza compromettere la produttività degli utenti. NetIQ Sentinel aiuta a: Applicare policy di sicurezza e best practice in tempo reale rispettando al contempo i requisiti di permanenza dei log, di revisione e reportistica previsti da PCI DSS. Acquisire visibilità nell intero ambiente dei dati dei titolari di carta di credito utilizzando dati correlati provenienti da diversi endpoint e applicazioni. Sfruttare la visibilità migliorata per ottimizzare la sicurezza e ridurre i rischi. Ridurre i rischi di violazione di dati e altre perdite rispondendo tempestivamente agli avvisi in tempo reale. Inoltre, le soluzioni NetIQ Change Guardian offrono il rilevamento rapido e in tempo reale delle modifiche per file, sistemi, directory o oggetti di importanza critica. Questa famiglia di prodotti è composta da un software specifico per applicazione per Active Directory, Windows e Group Policy. L intera linea di prodotti fornisce avvisi e rapporti completi e dettagliati sulle attività degli utenti con privilegi, sulle modifiche non autorizzate e su altri comportamenti che potrebbero indicare un attacco in corso. NetIQ Change Guardian integra informazioni sulla sicurezza, gestione degli eventi o software per richieste di NetIQ Sentinel o di altri 5

8 White paper Spianare la strada verso la conformità alla versione 2.0 di PCI DSS fornitori. Quest integrazione, insieme alla reportistica su richiesta e alla copertura attiva 24 ore su 24, 7 giorni su 7 offerte da NetIQ Change Guardian, consente di segnalare le anomalie e arginare le perdite prima che gli utenti malintenzionati possano estrarne i dati. NetIQ Change Guardian permette di: Monitorare le configurazioni dei sistemi, i file e le applicazioni per verificare la presenza di problemi prima che causino danni. Controllare l attività degli utenti per rilevare eventuali comportamenti sospetti o non autorizzati. Identificare immediatamente le modifiche non gestite e gli accessi o le attività non autorizzati a qualsiasi livello aziendale. Sei anni dopo il rilascio iniziale di PCI DSS e sulla scia dell aggiornamento 2.0, meno del 40% delle aziende conformi a questo standard è riuscito a soddisfarne ogni singolo requisito. Controllo dei comportamenti anomali Il primo segnale comune a numerosi tipi di attacchi, inclusi quelli in cui i malintenzionati si inseriscono negli elaboratori dei pagamenti, è un cambiamento insolito o improvviso del comportamento della rete. I rivenditori, ad esempio, potrebbero notare un elevato volume di attività durante le ore di maggiore stasi, quando si suppone che le transazioni debbano cessare. NetIQ Sentinel rileva numerose minacce in modo immediato, senza configurazioni onerose in termini di tempo. Il rilevamento delle anomalie integrato stabilisce automaticamente le linee di base di un attività normale e riconosce i cambiamenti che potrebbero costituire minacce emergenti. NetIQ Sentinel aiuta a: Rilevare e correggere le anomalie il più rapidamente possibile. Consolidare la rete nei punti deboli noti, ad esempio i dispositivi dei punti vendita. Ridurre il rischio di un potenziale attacco. Riepilogo Sei anni dopo il rilascio iniziale di PCI DSS e sulla scia dell aggiornamento 2.0, meno del 40% delle aziende conformi a questo standard è riuscito a soddisfarne ogni singolo requisito. I principali ostacoli nel cammino verso la piena conformità restano: Monitorare adeguatamente l attività degli utenti Gestire le vulnerabilità man mano che vengono rilevate nel corso delle valutazioni Stabilire e potenziare efficienti policy di sicurezza 6

9 Clienti e partner scelgono NetIQ per gestire, a costi contenuti, le sfide legate alla protezione dei dati e la complessità di applicazioni aziendali dinamiche e altamente distribuite. Superare questi ostacoli richiede molto più di un ristretto numero di azioni da intraprendere, ovvero processi all avanguardia che consentano di monitorare i sistemi e gli utenti. Tuttavia, implementare questi processi tra sistemi eterogenei si è rivelato difficile per alcune organizzazioni, a causa della mancanza delle risorse IT necessarie per condurre le dovute valutazioni e intraprendere le azioni adeguate per la soluzione del problema. Strumenti comprovati, come quelli offerti da NetIQ, offrono ai team addetti alla sicurezza le informazioni in tempo reale e i processi automatizzati necessari per ottenere la conformità a PCI DSS senza problemi. Con processi più efficaci e un personale IT più produttivo, sia la vostra azienda che i vostri clienti potranno trarre vantaggio dalla conformità. Le soluzioni NetIQ guidano la vostra azienda verso la conformità in modo rapido e conveniente e vi permettono di: Utilizzare modelli pronti all uso, che racchiudono anni e anni di competenze NetIQ in ambito di sicurezza dei dati, per assicurare che piattaforme e applicazioni ottengano la conformità a best practice e normative specifiche. Verificare la presenza di vulnerabilità nei sistemi nell elenco più aggiornato del National Vulnerability Database. Individuare e correggere le vulnerabilità prima che gli utenti malintenzionati possano sfruttarle a loro vantaggio. Monitorare e registrare l attività degli utenti, collegando gli eventi di sicurezza alle persone coinvolte. Rilevare in tempo reale e rispondere immediatamente ai comportamenti anomali che potrebbero indicare un attacco. Rafforzare il livello di sicurezza dell azienda per soddisfare lo standard PCI DSS 2.0 e altre normative riguardanti la sicurezza dei dati e della rete. Dimostrare la conformità mediante log e rapporti automatizzati. Informazioni su NetIQ NetIQ è un produttore di software aziendale di livello internazionale costantemente impegnato a promuovere il successo dei clienti. Clienti e partner scelgono NetIQ per gestire, a costi contenuti, le sfide legate alla protezione dei dati e la complessità di applicazioni aziendali dinamiche e altamente distribuite. L offerta di NetIQ comprende soluzioni scalabili e automatizzate per le identità, la sicurezza e la governance e per la gestione delle attività IT, che consentono alle organizzazioni di offrire, misurare e gestire in modo sicuro i servizi di elaborazione in ambienti fisici, virtuali e di cloud computing. Queste soluzioni, insieme a un approccio pratico e orientato ai clienti per la risoluzione delle costanti sfide nel settore IT, consentono alle organizzazioni di ridurre costi, complessità e rischi. Per ulteriori informazioni sulle nostre note soluzioni software, visitare il sito: 7

10 NetIQ Milano Via Enrico Cialdini, Milano (MI) Italia Tel: Roma Palazzo dell Arte Moderna EUR P.zza Marconi Roma Italia Tel: /communities Per un elenco completo dei nostri uffici in Nord America, Europa, Medioriente, Africa, Asia-Pacifico e America Latina, visitate /contacts. 562-IT Q 06/ NetIQ Corporation e relative aziende affiliate. Tutti i diritti riservati. NetIQ, il logo NetIQ, Secure Configuration Manager e Sentinel sono marchi di fabbrica o marchi registrati di NetIQ Corporation negli Stati Uniti. Tutti gli altri nomi di aziende e prodotti possono essere marchi di fabbrica delle rispettive aziende.