Esperienze PCI: key point e suggerimenti per una applicazione efficiente ed efficace dello standard

Documenti analoghi
Lo standard PCI-DSS e gli impatti sulla sicurezza informatica delle banche

Gestione integrata dei rischi e data protection: casestudy

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Abbiamo investito tanto nel GDPR: e la sicurezza? Luca Bechelli

Third Party Assurance Reporting

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

PORTAFOGLIO dei Servizi. maggio / 2019

The first all-in-one Cloud Security Suite Platform

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

ISA Presentazione dei servizi. isaitalia.it

Rischi emergenti nell informatica a supporto del business

Information & Cyber Security Strategy: cosa fare. Alessio L.R. Pennasilico

SPETT.LE. Consiglio dell'ordine degli Avvocati di Roma Palazzo di Giustizia Piazza Cavour Roma".

ITIL cos'è e di cosa tratta

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

The Þrst all-in-one Cloud Security Suite Platform

Corporate Presentation Enway Corporate Presentation

CALENDARIO CORSI 2019

NSR. Company Profile Business & Values

SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing. Ottobre 2008

InfoSec: non solo firewall e antivirus. Massimo Grandesso

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

KPMG Advisory: per vincere la sfida della complessità. Genova, Dottor Nello Giuntoli. Corporate Profile

The First Cloud Cyber Security & GDPR Platform REGISTRATI E ACCEDI AL FREE TRIAL SWASCAN. In collaboration with CISCO NETWORK SCAN

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

CALENDARIO CORSI 2017

Il mobility management nella certificazione dei Sistemi di Gestione Aziendale

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

Da una protezione perimetrale ad una user centric Security Summit Verona

Servizio L2.S3.9 - Servizi professionali

DEFINIZIONE DEL FABBISOGNO E STRATEGIE FINANZIARIE

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY APPROCCIO METODOLOGICO PER LE ATTIVITÀ DI ADEGUAMENTO. AL GDPR 20 Febbraio 2019

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

PROTEZIONE DEI DATI: QUALE RUOLO PER LA CERTIFICAZIONE?

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Privacy e requisiti per la Cybersecurity nella PA

CALENDARIO CORSI 2017

IT governance. La normativa IVASS

CALENDARIO CORSI SCONTO EARLY BIRD: 5% - SCONTO AGGIUNTIVO PER 3 + PARTECIPANTI: 10%

GOVERNANCE, CONTROL, Slide 1 di 34

PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone

GENERALI GROUP Ufficio del Dirigente Preposto. L integrazione delle best practice per una best practice de facto. Padova, 13 Novembre 2008

Information Risk Management (IRM)

Gestione della sicurezza e della conformità. Approccio olistico alla gestione di ISO/IEC 27001, data protection, privacy e PCI DSS

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Marco Salvato, KPMG. AIEA Verona

COBIT 5 for Information Security

ICT Security Governance. 16 Marzo Bruno Sicchieri ICT Security Technical Governance

CALENDARIO CORSI 2017

INNOVAZIONE SUPPORTO

Customer Centric/Inquiry/E-bill. Tanya Enzminger

ISA Presentazione dei servizi. isaitalia.it

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

SWASCAN. Company Profile

IBM - IT Service Management 1

CLASSIFICAZIONE CONSIP PUBLIC APPENDICE 2 AL CAPITOLATO TECNICO LOTTO 2. Descrizione dei profili professionali

Copyright IKS srl

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

Services Portfolio per gli Istituti Finanziari

SERVICE MANAGEMENT E ITIL

UNIAMO LE COMPETENZE, CREIAMO VALORE

Vulnerability to ICT Risk Management. Andrea Ghislandi Amministratore Delegato

15 Aprile 2016, Trento

Governance, Risk and Compliance.

Il governo della complessità dell'it nel contesto attuale. A.I.E.A. 20 luglio 2011

CALENDARIO CORSI 2018

Gestione integrata dei rischi e data protection: casestudy

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

ASSOCIAZIONE MUSICALE STANZE DELL ARTE 2 Concorso Internazionale di Musica Classic Artists on line Scadenza iscrizione 20 MAGGIO 2017

F ORMATO EUROPEO PER IL CURRICULUM VITAE

Security by design Massimiliano D Amore

Swascan Security Service MSSP

CYBER RISK MANAGEMENT. Copyright 2017 MYR Consulting S.r.l. All Rights Reserved.

L IT Audit nel gruppo Benetton

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

Corso di Amministrazione di Sistema Parte II ISO 20000

Ingegneria del Software

LA BUSINESS UNIT SECURITY

AIEA La gestione della strategia di sicurezza novembre 2009

Sicurezza Integrata: Stato dell arte e prospettive

PCI DSS ISTRUZIONI OPERATIVE

Sessione di studio AIEA 15 dicembre 2004, Milano. IT Governance Modello di gestione. Michele Barbi, CISA - Etnoteam

Da una protezione perimetrale ad una user centric Security Summit Treviso

ISA Presentazione della società. isaitalia.it

Le iniziative Consip a supporto

ZeroUno Executive Dinner

CALENDARIO CORSI 2018

Gli effetti della Digital Transformation sugli scenari della Cyber Security

EMANUELE BOLZONARO General Manager

Francesco Bassi. ISO 45001: dall integrazione dei sistemi di gestione al miglioramento dei risultati aziendali

Software Defined Data Center and Security Workshop

Datacenter Innovation

Transcript:

Esperienze PCI: key point e suggerimenti per una applicazione efficiente ed efficace dello standard AIEA, SDS 15 Dicembre 2010 Massimo Cotrozzi Sernet spa

Sernet SpA Management Advisory Company Profile WWW.SERNET.IT AIEA SDS 15 dicembre 2010

AREE DI BUSINESS SERNET Governance, Risk & Compliance ICT Governance & Security Execution & Organization Restructuring Energy

ICT Governance & Security Obiettivo assicurare servizi ICT efficaci, efficienti e con livelli di sicurezza coerenti con le esigenze dei processi aziendali e con le valutazioni di rischio Contenuti supporto consulenziale per la adozione e preparazione alla certificazione di metodologie e standard di ICT Governance & Security, per lo svolgimento di progetti di ICT audit e per la ottimizzazione delle soluzioni tecnologiche e organizzative ICT 4

ICT GOVERNANCE & SECURITY SERVIZI SERNET IT Governance ICT Governance (ISO 38500, CobiT) IT Service Management (ITIL, ISO 20000) ICT Audit ICT Human Resources Management & Organization ICT Security Information Security Management System (ISO 27000) Business Continuity & Disaster Recovery (BS 25999) Security Tech Payment Security (PCI DSS) Vulnerability Assessment Penetration Test Secure SDLC Security technologies advisory

ICT GOVERNANCE & SECURITY QUADRO D INSIEME CoSO - ERM IT Governance ISO 38500 CobiT Board briefing on IT Governance ICT security Business Continuity ICT service delivery ITIL ISO 20000 ISO 27001 BS 25999 Application development SDLC pag. 6 PCI DSS: Assessment e Preparazione alla Certificazione Sicurezza applicativa (Ciclo sicuro SDLC) Svolgimento Vulnerability assessment-penetration Test Advisory scelte tecnologiche di sicurezza Security Tech

Obiettivo della Presentazione Delineare il quadro d insieme di uno Standard emergente (PCI DSS), dedicato alla sicurezza delle transazioni tramite carta di credito, che interessa: issuers (es. banche) merchant (es. grande distribuzione o esercenti) service providers (es. outsourcers ICT) La versione attuale dello standard (versione 2.0), è stata pubblicata nell ottobre 2010. pag. 7

PCI SSC Membri del Payment card industry - Security Standard Council pag. 8

Versione 2.0 dello Standard PCI DSS pag. 9 Reduce Liabilities, Address Business Risks, Increase Security and Protect Sensitive Company s Information

La norma PCI DSS PCI (Payment Card Industry) DSS (Data Security Standard) è stato sviluppato per favorire e migliorare la protezione dei dati di titolari di carta semplificare l'implementazione di misure di sicurezza dei dati coerenti a livello globale. Il documento, PCI DSS - Requisiti e procedure di valutazione della sicurezza, si basa sui 12 requisiti PCI DSS e li abbina alle corrispondenti procedure di test in uno strumento formale e rigoroso di valutazione della sicurezza. pag. 10

Obiettivo della norma Ridurre la portata delle frodi ai consumatori con le carte di credito Ridurre il rischio di sicurezza sulla filiera dei pagamenti con carte Ridurre i costi a carico degli emittenti e trasferirli (implementazioni di sicurezza e multe) pag. 11

Obiettivo della norma Ridurre al minimo all interno del Sistema Informativo l utilizzo delle Carte di Credito ed esclusivamente per motivi di business Laddove le carte sono presenti solo utenti autorizzati devono potere accedere pag. 12

L importanza di PCI DSS Autorevolezza di Penali a carico i trasgressori (es. merchant che non proteggono le carte di credito) Novità dello standard, che nasce in un contesto di difesa dagli attacchi di cybercriminali Ampio ambito di copertura dello standard (infrastrutture ICT, software applicativo, aspetti organizzativi, etc) Misure preventive di sicurezza allo stato dell arte Progressivo ampliamento del set di standard di (es. PA DSS per il contrasto alla vulnerabilità applicativa) Focus sullo standard da parte di Associazioni internazionali di sicurezza ICT (es. ISSA) e di auditing (es. AIEA), per i trattamenti di dati critici: non solo cardholders, ma anche dati sensibili pag. 13

pag. 14 6 Obiettivi, 12 Requisiti

pag. 15 Assessment types

PCI DSS What to do for compliance Assessments Merchants and service providers have to select an approved assessor to conduct annual security assessments to validate compliance with PCI requirements as detailed in the document Payment Card Industry (PCI) Security Audit Procedures (available at www.pcisecuritystandards.org). Perimeter Network Scans PCI requires quarterly perimeter scans performed by a vendor approved by the PCI Security Standards Council. Internal Network Scans PCI requires Level 1 and 2 service providers to have quarterly internal scans performed. Internal scans can be performed by any party, including internal resources. pag. 16 Penetration Testing PCI requires that all Web applications that handle cardholder data have annual penetration testing performed.

Certification roadmap pag. 17 Final Report on Compliance, which demonstrates full compliance with PCI requirements

PCI DSS: lo stato dell arte Diffusione dello standard nel mercato italiano e internazionale Come approcciare PCI DSS pag. 18

PCI DSS Compliance, si ma come? Approccio security: Proteggere tutto Espandere il perimetro Mitigare il rischio e i processi? e chi controlla? pag. 19

PCI DSS Compliance, si ma come? Un approccio efficace alla gestione della compliance PCI Capire l obiettivo aziendale Verificare la strada migliore da seguire Partire dai processi Possibilmente modificare i processi Gap Analysis Verifica impatti IT Eventualmente reiterare il ciclo pag. 20

Miti, ma non troppo Myth 1 One vendor and product will make us compliant Myth 2 Outsourcing card processing makes us compliant Myth 3 PCI compliance is an IT project Myth 4 PCI will make us secure Myth 5 PCI is unreasonable; it requires too much Myth 6 PCI requires us to hire a Qualified Security Assessor Myth 7 We don t take enough credit cards to be compliant Myth 8 We completed a SaQ so we re compliant Myth 9 PCI makes us store cardholder data Myth 10 PCI is too hard pag. 21

Application Security Non esiste uno standard PA DSS Build Security IN (US GOV) Comprehensive, Lightweight Application Security Process (OWASP) Microsoft SDL pag. 22

Application Security pag. 23 Problematiche Awareness Software engineer non a conoscenza di tematiche di security Timings Nuove funzioni e procedure da svilupparsi per ieri Accountability Nessuno e responsabile per errori di security Monitoring Nessuno controlla che esistano SLA di security per i software applicativi Auditing Internal Auditing non abbastanza staffato per effettuare auditi efficaci

Application Security Cosa si fa per rimediare Code reviews con tools automatizzati OWASP top 10 Pentesting Checklist Security generalmente non strutturata ma per eccezioni Gestione contrattuale della sicurezza applicativa (se va bene) pag. 24

Conclusioni PCI DSS Friend or Foe? pag. 25

Massimo Cotrozzi Sernet SpA Management Advisory Grazie dell attenzione Piazza Repubblica 30 20122 Milano Tel. +39.02.89696835 Fax +39.02.89696834 email: massimo.cotrozzi@sernet.it www.sernet.it pag. 26

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back