PCI DSS Milano, 14 marzo 2011 Stefano Saibene Bank Group Technology & Operations GT IES Italy Organisation Private and Business Clients Project & Process Management
PCI SSC per armonizzare diversi programmi di sicurezza L incremento del volume d acquisti effettuati tramite carte di credito e di debito e lo sfruttamento, a fini illeciti, delle tecnologie e dei sistemi di pagamento rende l ambito della sicurezza nei modelli di business sempre più importante. I principali Circuiti Internazionali hanno avviato, da tempo, vari programmi di sicurezza con differenti acronimi (es. Account Information Security Program per Visa International, Site Data Program per Mastercard, DSOP per AMEX, ecc.). Per armonizzare tali programmi nel settembre 2006 è stato istituito il Payment Card Industry Security Standard Concil (PCI SSC) che ha come obiettivi lo sviluppo e gli aggiornamenti, la pubblicazione e la distribuzione degli standard di sicurezza (PCI DSS Payment Card Industry Data Security Standard) per la protezione dei dati dei titolari di carte. Lo standard PCI DSS stabilisce i requisiti di sicurezza, nell ambito dei sistemi di pagamento, ove vengano trasmessi e/o memorizzati dati relativi a carte di credito e di debito. Sono membri del : 2
Punti fermi in un contesto in evoluzione (PCI PA-DSS, wireless, PCI/PED, ecc.) PCI DSS: 6 obiettivi e 12 requisiti Cos è permesso fare con i dati relativi alle carte di pagamento? Costruire e mantenere una rete sicura Installare e gestire un firewall per protezione dei dati. Non utilizzare impostazioni di default. Proteggere i dati dei titolari Proteggere i dati archiviati. Crittografare la trasmissione dei dati sensibili dei titolari nei network pubblici. Implementare un programma di gestione delle vulnerabilità (vulnerability management) Introdurre misure forti di controllo degli accessi Utilizzare e aggiornare regolarmente un software antivirus. Sviluppo e gestione di sistemi e applicazioni sicure. Utilizzare l accesso ai dati dei titolari solo per effettiva necessità Assegnare un identificativo unico a chiunque effettui l accesso ai sistemi informatici. Limitare l acceso fisico ai dati dei titolari Provvedere regolarmente al monitoring e al testing della rete Tenere sotto controllo e tenere traccia di tutti gli accessi alle risorse di rete e ai dati dei titolari. Eseguire regolarmente dei test su sistemi di sicurezza e processi Mantenere una policy per la sicurezza delle informazioni. Creare e mantenere una policy aziendale che abbia come oggetto la sicurezza delle informazioni 3
Le tecniche e le modalità di come viene attuata una frode cambiano nel tempo. Il pericolo che ne deriva, non sempre, viene prontamente percepito POS TLC, sistemi centrali / WEB Boxing Trashing Carte ATM 4
Dalla meccanica applicata alla trasmissione dati (dal microswitch al trasmettitore BT) (Fonte: Per gentile concessione della Polizia Postale di Milano) 5
Alcune delle contromisure adottate Carte a BM ATM e POS ISP e Gestori Terminali Centri applicativi Circuiti internazionali Carte a chip Terminali EMV L1 e 2. Mandate triple- DES encryption e PCI PEDs. Nuove chiavi crittografiche. Obbligo da SDA a DDA E-Commerce 6
Dalla EMV Liability Shift post 2005 a carte e terminali (ATM e POS) che devono supportare EMV dal 1 gennaio 2011 7
Triple DES PIN SECURITY SELF AUDIT Private & Business Clients Le prossime scadenze 8
Reminder con avviso di penale, per non risposta, di US $ 10.000 9
Un dato su cui riflettere 10
Fragili certezze Nei colloqui per affrontare il tema della PCI DSS i merchant, troppo spesso, sono nella convinzione che le soluzioni da loro adottate siano più che sufficienti. Un contesto che non cambia mai all improvviso, dove possiamo controllare gli eventi imprevisti e siamo comunque immuni da chi vuole fare 11
Come posso rappresentare, in modo semplice, ai miei merchant il significato di compliant PCI DSS? La compliant PCI DSS per evitare di abitare in una casa (considerata sicura) una finestra sempre aperta! con una porta blindata ben chiusa e Ma questo non basta ancora a capire che 12
Una compromissione è improvvisa! 13
Gallipoli, 30 marzo 2007 14
Milano, 21 febbraio 2011 15
Alert, relativo alle richieste di autorizzazione, inviato, tramite SMS, al titolare E' stata concessa un'autorizzazione di EUR 1,00 il 21-02-2011 16:37 sulla sua carta XXXX YYYY. E' stata concessa un'autorizzazione di EUR 243,36 il 21-02-2011 16:38 sulla sua carta XXXX YYYY 16
I malfattori, nel ruolo di giocatori online, scommettono denaro d illecita provenienza. In alternativa, acquistano beni e servizi i cui beneficiari, nella vendita, sono loro stessi. 17
Un caso di compromissione segnalato dai circuiti internazionali L analisi di dati, permette di trovare il punto di compromissione che viene segnalato, tramite appositi tool, dai circuiti internazionali ai propri membri. 18
un altro caso 19
e questo che, purtroppo, non è l ultimo! Member Letter: VE 28/06 26 July 2006 20
Un esempio del quotidiano impegno delle Forze dell Ordine per contrastare il crimine informatico 21
Carte contraffatte ritirate da ATM o direttamente dai merchant 4792 >>4972 PIN 22
Specifica documentazione di supporto in caso di compromissione 23
Frode su un merchant 24
Pos virtuale su GT certificato PCI DSS, ma 25
Esercente che copia i dati di ignari clienti Evento COMPROMISSIONE Codice Sia Insegna HTL XRXX YYYYYY Indirizzo XIXXXX (PI) Data Evento DA GENNAIO 2007 AL 20 FEBBRAIO 2008 Stabilimento Cassa Ter. Id 3XXXXXX6 e 3XXXXXX1 NOTE Già segnalato il 7 giugno u.s. E' qualcuno dell'hotel che entra in possesso dei dati e non manomissione di terminali POS. Data Utilizzi Fraudolenti da APRILE 2007 a FEBBRAIO 2008 UTILIZZI FRAUDOLENTI INTERNET (spesso sul sito..) 26
Dati carta archiviati sui sistemi informatici. Quali rischi? Alcuni dubbi sul merchant ed i relativi processor: Sono tutti compliant PCI DSS? I dati carta di credito vengono cifrati? Dopo quanto tempo tali dati verranno eliminati? 27
Segnalare, responsabilmente, situazioni che vengono ritenute critiche/a rischio 28
La sicurezza dei dati - I rischi di business Quanto vale il brand senza la fiducia dei nostri clienti? Una Società che abbia subito la compromissione di dati, relativi a propri clienti, si trova a gestire un danno d immagine, difficile da recuperare nel tempo, oltre a negative conseguenze di tipo economico: Una formula semplice: DATI = IDENTITA = DENARO 29
Danno reputazionale: elementi che mettono a rischio una società Titolo di un quotidiano: Compromesse oltre 185.000 carte di credito di clienti della Società YYYYY Oppure ombre nel passato: 30
Sconvenzionamento / revoca di un merchant La domanda che dovrebbe porsi ogni merchant: Posso sopportare una decisione come questa? (L esclusione di un merchant dai programmi di pagamento prevede che non possa accettare carte di pagamento). La comunicazione: I motivi: 31
Member letter, bulletin e newsletter. Indicazioni, consigli, linee guida, obblighi Attraverso il PCI è stata imposta l osservanza di specifici requisiti di sicurezza a tutte le società che gestiscono, a vari livelli, i dati relativi alle carte di credito. In particolare, lo standard si rivolge a tutti i membri (Acquiring Members) affiliati ai circuiti di carte di credito, che devono obbligatoriamente assicurare che tutti gli esercenti (Merchant) e i relativi fornitori di servizi (Service Provider/Processor) ad essi collegati rispettino lo Standard PCI DSS. 32
e penali Member Letter: VE 33/08 24 September 2008 800.000 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 da 0 a 19.999 da 200.00 a 299.999 >500.000 Penali proporzionali ai cardholder compromessi 25000 20000 15000 10000 5000 0 30 giorni 90 giorni 120 giorni AUMENTATE Penali di "Non Cooperation" 2007 33
Classificazione del merchant e valutazione del rischio 34
Elementi di valutazione in caso di compromissione Merchant, di livello differente (L1 e L2), entrambi con un numero maggiore di 500.000 carte compromesse. 35
Penali per mancata compliance PCI DSS ed in caso di compromissioni 36
Liability finanziaria dopo un caso di compromissione (rischio di non essere compliant) Può essere difficile sostenere i costi finanziari legati alle manomissioni per via di: Obblighi contattuali non rispettati (rif. member letter e bulletin); Danni reputazionali e perdite finanziarie (relazione giustificativa agli azionisti per le società quotate in borsa); Perdite Issuing/Acquiring (transazioni autorizzate/ammontare frodi); Se è stato compromesso il contenuto della traccia magnetica viene applicato il programma DCRS (Data Compromise Recovery Solution); Rischio penali: i Circuiti Internazionali contrattualmente, in caso di violazioni, multano l acquirer; Conseguente rivalsa diretta (pagamento della penale come notificata dai circuiti) od indiretta (aumento delle commissioni) sul merchant; I costi delle indagini sono a carico del merchant (Forensic investigation cost); Possibile revoca del merchant (conseguenze di non accettare più le carte di pagamento); Frodi e penali come fattore non competitivo (perdite finanziarie); Costi aggiuntivi per piani di rimediation, imposti dai circuiti, in un breve arco temporale; Conseguenze negative sulla clientela dovute alla mancata disponibilità di servizi di pagamento (ridotto fatturato e perdita di clienti); Costi diretti (penali) ed indiretti (danno reputazionale); Analisi di come ridurre i dati relativi alle carte di pagamento sui sistemi informatici. Considerare modi alternativi per ottenere gli stessi obiettivi (ambiti operativi, marketing ed antifrode) senza memorizzare dati non necessari ai fini della richiesta di autorizzazione. A fronte di essere individuati dai circuiti internazionali come non certificati PCI DSS: Rischio penali; Costi aggiuntivi per piani di rimediation imposti dai circuiti in intervalli temporali stabiliti (30/60/90 gg.). 37
I rischi di non essere compliant PCI DSS Incarico ad aziende operanti in ambito sicurezza per il contenimento della manomissione Sostituzione dei sistemi Maggiori costi per il servizio clienti Costi reali delle indagini interne Spese legali Perdite Issuer/Acquirer Servizi/prodotti scontati Minor produttività dei dipendenti Contraccolpi finanziari per la perdita di clienti Valutazione dei costi dovuti alla manomissione dei dati = 10 000 000 38
PCI Philosophy: Prevedere e prepararsi Dobbiamo educare i nostri merchant, ancor prima di pretendere per obblighi imposti dai circuiti, che i loro dati vengano sempre gestiti, a 360, in modo sicuro. PCI DSS per prevenire e rendere comunque vani i tentativi d intrusione. Non necessariamente bisogna distruggere un bene per evitare che vada in mani sbagliate. 39 stefano.saibene@db.com