De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

De Payment Card Industry Data Security Standard (PCI DSS)

Verwante presentaties


Presentatie over: "De Payment Card Industry Data Security Standard (PCI DSS)"— Transcript van de presentatie:

1 De Payment Card Industry Data Security Standard (PCI DSS)

2 Overzicht van deze presentatie  Waarom PCI DSS?  Naleving en validatienivaus  Gegevens van kaarthouders  Het wettelijk perspectief  Uitvoering van een PCI DSS audit  Vermindering van de kosten door middel van automatisering

3 Wat is de Payment Card Industry Data Security Standard (PCI DSS)?  De PCI DSS bestaat uit een aantal veiligheidsnormen die door de grootste creditcardmaatschappijen, waaronder VISA en MasterCard, zijn opgesteld om gegevens van credit- en debitcards te beschermen  Tot op heden bepalen deze eisen alle betaalkanalen, waaronder detailhandel, postorders, telefonische bestellingen en e-commerce  Hoewel PCI DSS voorheen een afzonderlijke informatiebeveiligingsnorm was, is dit nu een algemene veiligheidsnorm geworden

4 Waarom is de PCI DSS vereist?  Diefstal van gegevens van kaarthouders en fraude bestaan al sinds midden jaren 80. Dit gaf Visa aanleiding tot het opstellen van het eerste veiligheidsprogramma  De recente inbraak op het netwerk van TJC, waarbij minstens 45,6 miljoen credit- en debitcardnummer waren gestolen door hackers, die in het netwerk van de organisatie hadden ingebroken, benadrukte de behoefte voor betere veiligheidsmaatregelen.  Volgens InformationWeek kunnen hackers gestolen gegevens van credit cards voor een bedrag van $490 voor elke kaart met een PIN op de zwarte markt verkopen.

5 PCI Data Security Standard v1.1 (1/3)  De PCI DSS raamwerk is in 12 veiligheidseisen onderverdeeld die in drie hoofdgroepen gecategoriseerd worden: >Verzameling en opslag van alle log data, zodat deze gegevens voor analyse beschikbaar zijn >Verslag van alle activiteiten, zodat naleving onmiddellijk bewezen kan worden >Monitoring en alerting waarbij beheerders constant de toegang tot en het gebruik van gegevens kunnen monitoren en onmiddellijk gewaarschuwd kunnen worden wanneer problemen optreden

6 PCI Data Security Standard v1.1 (2/3) PCI DSS categorieën  De PCI DSS raamwerk bestaat bovendien uit zes categorieën, namelijk: Een veilig netwerk opbouwen en onderhouden Gegevens van kaarthouders beschermen Een programma voor risicomanagement uitvoeren Beleid inzake informatiebeveiliging handhaven Netwerken regelmatig monitoren en testen Strenge maatregelen met betrekking tot toegangscontrole toepassen

7 PCI Data Security Standard v1.1 (3/3) PCI DSS Eisen Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden en andere veiligheidsparameters Opgeslagen gegevens van kaarthouders beschermen Gegevens van kaarthouders over open, publieke netwerken coderen Antivirussoftware of –programma’s gebruiken en regelmatig updaten Veilige systemen en applicaties ontwikkelen en onderhouden Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen Een uniek ID toewijzen aan elke persoon met toegang tot een computer Fysieke toegang tot gegevens van kaarthouders beperken Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren Beveiligingssystemen en –processen regelmatig testen Een beleid handhaven inzake informatiebeveiliging voor werknemers en contractanten

8 Alle gegevens op een credit-/debitcard die voor transacties gebruikt worden - pcianswers.com  Gegevenselementen van kaarthouders >Rekeningnummer (PAN) >Naam van de kaarthouder >Vervaldatum  Gevoelige authenticatiegegevens (SAD) >Gegevens op de magnetische strip >CVC-code (Card Validation Code) >Persoonlijk identificatienummer (PIN) Welke gegevens worden bedoeld met “gegevens van kaarthouders”?

9 Opslag van gegevens van kaarthouders  De PCI DSS biedt bescherming voor gegevens van kaarthouders  Het is toegestaan om de volgende gegevens op te slaan, mits deze gecodeerd of ingekort worden: >Rekeningnummer (PAN), naam van de kaarthouder, vervaldatum, bankcode

10    Typische transactiestroom   De handelaar/verkoper legt de creditcardtransactie voor aan de betalingsgateway  Betalingsgateway stuurt transacties via een beveiligde verbinding naar de bank van de handelaar/verkoper  Een klant gebruikt een creditcard om een handelaar/verkoper voor gekochte goederen te betalen  De bank van de handelaar/verkoper gaat dan via de Credit Card Interchange voor goedkeuring van de transactie

11 Wie moet voldoen aan de PCI DSS?  Vanaf september 2007 moeten alle ondernemingen, die gegevens van kaarthouders verwerken – ongeacht de grootte – aan de strenge veiligheidsnormen voldoen die door de grootste creditcardmaatschappijen ter wereld zijn opgesteld  Dit is van toepassing op alle entiteiten die gegevens van kaarthouders >opslaan >verwerken >verstrekken  Alle entiteiten die als handelaren/verkopers of service providers worden beschreven, moeten aan de PCI DSS voldoen

12 Handelaren/verkopers  Entiteiten die creditcards als betaling accepteren  Voorbeelden van sectoren die verplicht zijn tot naleving van de PCI DSS zijn: >Online handel (bv. ebay.com) >Detailhandel (bv. Wal-Mart) >Hoger onderwijs (bv. universiteiten) >Gezondheidszorg (bv. ziekenhuizen) >Toerisme en recreatie (bv. restaurants) >Energie (bv. gas/tankstations) >Financiën (bv. verzekeringsmaatschappijen)

13 Niveaus van naleving van handelaren/verkopers NIVEAUS VAN HANDELAREN/VERKOPERS Niveau 1  Handelaren/verkopers wiens gegevens van kaarthouders in gevaar zijn gebracht  Handelaren/verkopers met méér dan 6 miljoen transacties per jaar Niveau 2  Handelaren/verkopers met 1 tot 6 miljoen transacties per jaar Niveau 3  Handelaren/verkopers met tot 1 miljoen transacties per jaar Niveau 4  Alle andere handelaren/verkopers

14 Service providers  Entiteiten die diensten aan handelaren/verkopers bieden  Voorbeelden van diensten >Betalingsgateways (bv. PayPal) >Organisaties die betalingen verwerken >E-commerce host providers >Managed service providers >Ondernemingen met betrekking tot kredietrapportage >Backup management-ondernemingen >Papierverwerkende bedrijven

15 Niveaus van naleving van service providers NIVEAUS VAN SERVICE PROVIDERS Niveau 1  Organisaties die betalingen verwerken en betalingsgateways Niveau 2  Service providers die niet tot niveau 1 behoren, maar wel jaarlijks méér dan 1 miljoen creditcardrekeningen of transacties hebben Niveau 3  Service providers die niet tot niveau 1 behoren, maar jaarlijks minder dan 1 miljoen creditcardrekeningen of transacties hebben

16 Handelaar/verkoperOn-site security audit Vragenlijst voor zelfevaluatie Netwerkscan Niveau 1Jaarlijks vereistElk kwartaal vereist Niveau 2Jaarlijks vereistElk kwartaal vereist Niveau 3Jaarlijks vereistElk kwartaal vereist Niveau 4Jaarlijks vereistElk kwartaal vereist Service Provider Niveau 1Jaarlijks vereistElk kwartaal vereist Niveau 2Jaarlijks vereistElk kwartaal vereist Niveau 3Jaarlijks vereistElk kwartaal vereist Door:Qualified Security Assessor (QSA) InternApproved Scan Vendor (ASV) Leverbaar:Rapport over de naleving (ROC) Vragenlijst voor zelfevaluatie Scanrapport PCI DSS nalevingsprocedures

17 Gevaren met betrekking tot gegevens van kaarthouders “Inbraak in het computersysteem waar vermoed wordt dat gegevens van kaarthouders ongeautoriseerd geopenbaard, gewijzigd of vernietigd zijn” - Verklarende woordenlijst van PCI DSS  Incidentenplan >Eis 12.9  Waarom gevaren melden? >Schade beperken  Rapportagekanalen >Intern team voor het incidentenplan >Creditcardmaatschappijen en afnemers >Lokale wetshandhaving  Wie riskeert een gevaar?

18 Consequenties  Financieel >Kan leiden tot boetes van tot $ en hoge proceskosten  Reputatie >Een negatief incident kan grote invloed hebben op een handelsmerk >Betrokkenheid van wetshandhavingsinstanties  Operationeel >Niveau 2, 3 of 4 + gevaar = Niveau 1 >Kan leiden tot een potentieel verlies van privileges voor het verwerken van gegevens van kaarthouders

19 Voorbereiding op de naleving voor PCI DSS  Bekend worden met de eisen van de PCI DSS  Alle gegevens van kaarthouders identificeren en overbodige gegevens van kaarthouders verwijderen  Analyse op veiligheidsbreuken uitvoeren  Een actieplan ontwikkelen en, indien noodzakelijk, deskundigen voor advies raadplegen

20 PCI DSS nalevingskosten Handelaar/verkoperOn-site security audit Vragenlijst voor zelfevaluatie Netwerkscan Niveau 1Jaarlijks vereistElk kwartaal vereist Niveau 2Jaarlijks vereistElk kwartaal vereist Niveau 3Jaarlijks vereistElk kwartaal vereist Niveau 4Jaarlijks vereistElk kwartaal vereist Service Provider Niveau 1Jaarlijks vereistElk kwartaal vereist Niveau 2Jaarlijks vereistElk kwartaal vereist Niveau 3Jaarlijks vereistElk kwartaal vereist Door:Qualified Security Assessor (QSA) Intern Approved Scan Vendor (ASV) Leverbaar:Report on Compliance (ROC) Self-Assessment Questionnaire Scanreport

21 Problemen  Veilige systemen en applicaties onderhouden >Uw netwerk auditen >Op kwetsbaarheden scannen >Patches/service packs plaatsen  Het netwerk monitoren >Gebruikersactiviteit registreren >Toegang tot gegevens van kaarthouders registreren >Waarschuwingen geven over belangrijke events  Gedocumenteerd bewijs aanbieden >Veilige systemen onderhouden >Activiteiten monitoren >Herstelmaatregelen nemen

22 Automatisering door middel van software Vermindert drastisch handmatige, herhaalde taken:  Netwerkcontroles  Risicomanagement  Monitoring van activiteiten  Real-time alerts  Herstelmaatregelen  Rapportgeneratie

23 PCI DSS en GFI producten voor netwerkbeveiliging PCI DSS Eisen 1.  2.  3.  4.Gegevens van kaarthouders over open, publieke netwerken coderen 5.Antivirussoftware of –programma’s gebruiken en regelmatig updaten  6.Veilige systemen en applicaties ontwikkelen en onderhouden  7. Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen  8.  9.Fysieke toegang tot gegevens van kaarthouders beperken 10.  11.Regelmatig beveiligingssystemen en –processen testen  12.Een beleid handhaven inzake informatiebeveiliging voor werknemers en contracten Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden Opgeslagen gegevens van kaarthouders beschermen Een uniek ID toewijzen aan elke persoon met toegang tot een computer GFI EventsManager Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren GFI LANguard N.S.S. Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen

24 ROI en bedrijfsvoordelen  Automatisering >Vermindering van handmatige, herhaaldelijke taken >Vermindering van de werkdruk van de beheerder >Het nemen van proactieve herstelmaatregelen  Bescherming >Aanvulling op uw veiligheidsbeleid >Waarschuwingen voor potentiële veiligheidsbedreigingen >Geeft u rust  Besparingen >Geen PCI DSS boetes >Geen kosten voor advies over uitbesteding >Bedrijfscontinuït

25 Conclusie  Aangezien ondernemingen constant het risico lopen gevoelige gegevens van kaarthouders te verliezen, dat tot boetes, gerechtelijke stappen en slechte publiciteit kan leiden, zou naleving van de PCI DSS hoog op de agenda moeten staan bij ondernemingen die creditcardgegevens opslaan, verstrekken of verwerken  Naleving van de PCI DSS dient voor september 2007 bereikt te zijn - dit is de door creditcardmaatschappijen gestelde deadline  GFI Software biedt dergelijke ondernemingen twee producten aan - GFI EventsManager en GFI LANguard Network Security Scanner (N.S.S.) - om hen te helpen bij de naleving van deze norm

26 Bedrijfsoverzicht  Opgericht in 1992  Méér dan 200 werknemers over de hele wereld  Vestigingen in Malta, Londen, Raleigh, Hong Kong en Adelaide  Er zijn GFI-producten geïnstalleerd op méér dan netwerken over de wereld, voornamelijk kleine en middelgrote bedrijven  Een kanaalgericht bedrijf met meer dan partners over de hele wereld  De visie De eerste keus worden op het gebied van producten voor IT-beveiliging en productiviteitsverbetering.  De missie Het leveren van degelijke, rendabele producten op het gebied van inhoudsbeveiliging, netwerkbeveiliging en messaging aan IT- professionals over de hele wereld.


Download ppt "De Payment Card Industry Data Security Standard (PCI DSS)"

Verwante presentaties


Ads door Google