PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone

Transcript

1

2 PARTE 1 La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 2

3 PCI Security Standards Council 2004 A Dicembre viene pubblicata la versione 1.0 della PCI- DSS, gestita da VISA e MasterCard 2006 VISA, MasterCard, American Express, Discover e JCB fondano il PCI-SSC pubblicando la versione 1.1 della PCI-DSS e la versione 1.0 della PA-DSS 2008 E resa pubblica la versione 1.2 della PCI-DSS 2010 Sono pubblicate la versione 2.0 della PCI-DSS, la versione 1.0 della PCI-PTS e la versione 2.0 della PA- DSS La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 3

4 Standard PCI-DSS se legata agli altri standard si limita a controllarne il corretto impiego La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 4

5 Flusso di pagamento Payment Brand Network È la banca presso cui il titolare ha il conto Ha emesso la carta Issuer È la banca che elabora la transazione per conto del merchant Acquirer Cardholder Merchant TRANSAZIONE È il proprietario della carta di pagamento È l organizzazione che accetta il pagamento con carta per un acquisto La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 5

6 Requisiti La versione 2.0 della PCI-DSS comprende oltre 200 requisiti divisi in 13 sezioni: 1: Configurazione dei firewall 2: Valori di default % 3: Protezione dei 40 dati archiviati 4: Protezione dei 30 dati trasmessi 5: Antivirus 6: Sviluppo e manutenzione 7: Controllo degli accessi 10 8: Identificazione, autenticazione5 9: Sicurezza fisica 10: Log 11: Testing 12: Policy A: Service Providers A 4 5 sezioni La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 6

7 PCI DSS 2.0 In vigore dal 01/01/2011 in parallelo con la versione 1.2 fino al 31/12/2011 Ciclo di vita dello standard Applicazione dello standard Evoluzione di requisiti Chiarimento dei requisiti La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 7

8 Ciclo di vita dello standard Periodo di revisione: 24 mesi Periodo di revisione: 36 mesi La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 8

9 Applicazione dello standard Scope Inclusione dei componenti virtuali di sistema Formalizzazione della fase di definizione iniziale dei flussi Chiarimento delle relazioni con la PA-DSS (non è sufficiente avere un applicazione certificata, bisogna installarla secondo PCI-DSS) SAQ Nuovo tipo C-VT (ora 5 SAQ): Web-Based Virtual Terminal, No Electronic Cardholder Data Storage Per i merchant che usano terminali virtuali isolati su PC collegati a internet La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 9

10 Evoluzione dei requisiti Ranking delle vulnerabilità (6.2, e 11) Dal 30/06/2012 è richiesto di effettuare autonomamente il ranking del rischio vulnerabilità basandosi sulle best practice di settore Dal 30/06/2012 è richiesto di sviluppare il codice in modo che non includa vulnerabilità classificate come ad alto rischio dal requisito 6.2 Collegamento del requisito 11.2 alla rimozione di vulnerabilità ad alto rischio Sviluppo del software (6.5) Applicazione dei criteri di sviluppo sicuro non solo alle applicazioni web e non solo guidate da OWASP La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 10

11 Chiarimento dei requisiti Riorganizzazione dei requisiti (diversi rinumerati, spostati o suddivisi) Aggiornamento alle nuove tecnologie Miglioramento della coerenza nella norma e tra norme del PCI-SSC Affinamento delle procedure di test richieste ai QSA Precisazioni su DMZ e IDS Aggiunta di esempi e riferimenti esterni (ISO, metodologie di RA etc.) Chiarificazione della terminologia impiegata La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 11

12 PARTE 2 La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 12

13 Partecipanti al PCI-SSC La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 13

14 Common horrors Rete non segmentata e mai testata Crittografia e mascheramento dei PAN assenti Memorizzazione dei codici di sicurezza Gestione dei log incompleta e non uniforme Sicurezza fisica e gestione dei visitatori carenti Mancanza di normazione sulla sicurezza Applicativi non sicuri Service provider non conformi a PCI-DSS La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 14

15 Mercato Italiano Issuer e Acquirer Fase iniziale, player nazionali estesi e poco preparati Player internazionali molto più preparati ed esigenti Merchant Situazione eterogenea tra grandi gruppi e piccole realtà Diversi soggetti già certificati Spinta da acquirer internazionali Service Provider I più rapidi ad adeguarsi alle richieste di mercato La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 15

16 Service Provider Aziende Italiane certificate per VISA Europe Consorzio Triveneto S.p.A. Engineering IT Equens S.p.A. Key Client Cards and Solutions SI SERVIZI SIA- SSB SiTeBa Aziende Italiane certificate per PCI-SSC: 2 QSA e 3 ASV La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 16

17 Pro e Contro di PCI-DSS Vantaggi Opportunità per focalizzarsi sulla sicurezza Allineata alle best practices di sicurezza Possibilità di ottenere migliori condizioni dagli Acquirer Ritorno di immagine verso i Clienti (finali e non) Svantaggi Oneri aggiuntivi per l azienda Prevede uno schema di validazione proprietario Possibilità di ricevere sanzioni dai Brand Difformità di gestione tra i diversi Brand e incertezza La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 17

18 Violati vs Compliant Compliant 21% Non- Compliant 79% Fonte: Verizon Data Breach report 2010 La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 18

19 Quaderno CLUSIT Aggiornato alla PCI-DSS La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 19

20 Riferimenti La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 20