De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

De Payment Card Industry Data Security Standard (PCI DSS)

Verwante presentaties


Presentatie over: "De Payment Card Industry Data Security Standard (PCI DSS)"— Transcript van de presentatie:

1 De Payment Card Industry Data Security Standard (PCI DSS)

2 Overzicht van deze presentatie
Waarom PCI DSS? Naleving en validatienivaus Gegevens van kaarthouders Het wettelijk perspectief Uitvoering van een PCI DSS audit Vermindering van de kosten door middel van automatisering

3 Wat is de Payment Card Industry Data Security Standard (PCI DSS)?
De PCI DSS bestaat uit een aantal veiligheidsnormen die door de grootste creditcardmaatschappijen, waaronder VISA en MasterCard, zijn opgesteld om gegevens van credit- en debitcards te beschermen Tot op heden bepalen deze eisen alle betaalkanalen, waaronder detailhandel, postorders, telefonische bestellingen en e-commerce Hoewel PCI DSS voorheen een afzonderlijke informatiebeveiligingsnorm was, is dit nu een algemene veiligheidsnorm geworden

4 Waarom is de PCI DSS vereist?
Diefstal van gegevens van kaarthouders en fraude bestaan al sinds midden jaren 80. Dit gaf Visa aanleiding tot het opstellen van het eerste veiligheidsprogramma De recente inbraak op het netwerk van TJC, waarbij minstens 45,6 miljoen credit- en debitcardnummer waren gestolen door hackers, die in het netwerk van de organisatie hadden ingebroken, benadrukte de behoefte voor betere veiligheidsmaatregelen. Volgens InformationWeek kunnen hackers gestolen gegevens van credit cards voor een bedrag van $490 voor elke kaart met een PIN op de zwarte markt verkopen.

5 PCI Data Security Standard v1.1 (1/3)
De PCI DSS raamwerk is in 12 veiligheidseisen onderverdeeld die in drie hoofdgroepen gecategoriseerd worden: Verzameling en opslag van alle log data, zodat deze gegevens voor analyse beschikbaar zijn Verslag van alle activiteiten, zodat naleving onmiddellijk bewezen kan worden Monitoring en alerting waarbij beheerders constant de toegang tot en het gebruik van gegevens kunnen monitoren en onmiddellijk gewaarschuwd kunnen worden wanneer problemen optreden

6 PCI Data Security Standard v1.1 (2/3)
De PCI DSS raamwerk bestaat bovendien uit zes categorieën, namelijk: PCI DSS categorieën Een veilig netwerk opbouwen en onderhouden Gegevens van kaarthouders beschermen Een programma voor risicomanagement uitvoeren Strenge maatregelen met betrekking tot toegangscontrole toepassen Netwerken regelmatig monitoren en testen Beleid inzake informatiebeveiliging handhaven

7 PCI Data Security Standard v1.1 (3/3)
PCI DSS Eisen 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden en andere veiligheidsparameters Opgeslagen gegevens van kaarthouders beschermen Gegevens van kaarthouders over open, publieke netwerken coderen Antivirussoftware of –programma’s gebruiken en regelmatig updaten Veilige systemen en applicaties ontwikkelen en onderhouden Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen Een uniek ID toewijzen aan elke persoon met toegang tot een computer Fysieke toegang tot gegevens van kaarthouders beperken Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren Beveiligingssystemen en –processen regelmatig testen Een beleid handhaven inzake informatiebeveiliging voor werknemers en contractanten

8 Welke gegevens worden bedoeld met “gegevens van kaarthouders”?
Alle gegevens op een credit-/debitcard die voor transacties gebruikt worden - pcianswers.com Gegevenselementen van kaarthouders Rekeningnummer (PAN) Naam van de kaarthouder Vervaldatum Gevoelige authenticatiegegevens (SAD) Gegevens op de magnetische strip CVC-code (Card Validation Code) Persoonlijk identificatienummer (PIN) 1234 123

9 Opslag van gegevens van kaarthouders
De PCI DSS biedt bescherming voor gegevens van kaarthouders Het is toegestaan om de volgende gegevens op te slaan, mits deze gecodeerd of ingekort worden: Rekeningnummer (PAN), naam van de kaarthouder, vervaldatum, bankcode

10 Typische transactiestroom
Ž Œ  De bank van de handelaar/verkoper gaat dan via de Credit Card Interchange voor goedkeuring van de transactie Ž Betalingsgateway stuurt transacties via een beveiligde verbinding naar de bank van de handelaar/verkoper Œ Een klant gebruikt een creditcard om een handelaar/verkoper voor gekochte goederen te betalen  De handelaar/verkoper legt de creditcardtransactie voor aan de betalingsgateway

11 Wie moet voldoen aan de PCI DSS?
Vanaf september 2007 moeten alle ondernemingen, die gegevens van kaarthouders verwerken – ongeacht de grootte – aan de strenge veiligheidsnormen voldoen die door de grootste creditcardmaatschappijen ter wereld zijn opgesteld Dit is van toepassing op alle entiteiten die gegevens van kaarthouders opslaan verwerken verstrekken Alle entiteiten die als handelaren/verkopers of service providers worden beschreven, moeten aan de PCI DSS voldoen

12 Handelaren/verkopers
Entiteiten die creditcards als betaling accepteren Voorbeelden van sectoren die verplicht zijn tot naleving van de PCI DSS zijn: Online handel (bv. ebay.com) Detailhandel (bv. Wal-Mart) Hoger onderwijs (bv. universiteiten) Gezondheidszorg (bv. ziekenhuizen) Toerisme en recreatie (bv. restaurants) Energie (bv. gas/tankstations) Financiën (bv. verzekeringsmaatschappijen)

13 Niveaus van naleving van handelaren/verkopers
NIVEAUS VAN HANDELAREN/VERKOPERS Niveau 1 Handelaren/verkopers wiens gegevens van kaarthouders in gevaar zijn gebracht Handelaren/verkopers met méér dan 6 miljoen transacties per jaar Niveau 2 Handelaren/verkopers met 1 tot 6 miljoen transacties per jaar Niveau 3 Handelaren/verkopers met tot 1 miljoen transacties per jaar Niveau 4 Alle andere handelaren/verkopers

14 Service providers Entiteiten die diensten aan handelaren/verkopers bieden Voorbeelden van diensten Betalingsgateways (bv. PayPal) Organisaties die betalingen verwerken E-commerce host providers Managed service providers Ondernemingen met betrekking tot kredietrapportage Backup management-ondernemingen Papierverwerkende bedrijven

15 Niveaus van naleving van service providers
NIVEAUS VAN SERVICE PROVIDERS Niveau 1 Organisaties die betalingen verwerken en betalingsgateways Niveau 2 Service providers die niet tot niveau 1 behoren, maar wel jaarlijks méér dan 1 miljoen creditcardrekeningen of transacties hebben Niveau 3 Service providers die niet tot niveau 1 behoren, maar jaarlijks minder dan 1 miljoen creditcardrekeningen of transacties hebben

16 PCI DSS nalevingsprocedures
Handelaar/verkoper On-site security audit Vragenlijst voor zelfevaluatie Netwerkscan Niveau 1 Jaarlijks vereist Elk kwartaal vereist Niveau 2 Niveau 3 Niveau 4 Service Provider Door: Qualified Security Assessor (QSA) Intern Approved Scan Vendor (ASV) Leverbaar: Rapport over de naleving (ROC) Scanrapport

17 Gevaren met betrekking tot gegevens van kaarthouders
“Inbraak in het computersysteem waar vermoed wordt dat gegevens van kaarthouders ongeautoriseerd geopenbaard, gewijzigd of vernietigd zijn” - Verklarende woordenlijst van PCI DSS Incidentenplan Eis 12.9 Waarom gevaren melden? Schade beperken Rapportagekanalen Intern team voor het incidentenplan Creditcardmaatschappijen en afnemers Lokale wetshandhaving Wie riskeert een gevaar?

18 Consequenties Financieel Reputatie Operationeel
Kan leiden tot boetes van tot $ en hoge proceskosten Reputatie Een negatief incident kan grote invloed hebben op een handelsmerk Betrokkenheid van wetshandhavingsinstanties Operationeel Niveau 2, 3 of 4 + gevaar = Niveau 1 Kan leiden tot een potentieel verlies van privileges voor het verwerken van gegevens van kaarthouders

19 Voorbereiding op de naleving voor PCI DSS
Bekend worden met de eisen van de PCI DSS Alle gegevens van kaarthouders identificeren en overbodige gegevens van kaarthouders verwijderen Analyse op veiligheidsbreuken uitvoeren Een actieplan ontwikkelen en, indien noodzakelijk, deskundigen voor advies raadplegen

20 PCI DSS nalevingskosten
Handelaar/verkoper On-site security audit Vragenlijst voor zelfevaluatie Netwerkscan Niveau 1 Jaarlijks vereist Elk kwartaal vereist Niveau 2 Niveau 3 Niveau 4 Service Provider Door: Qualified Security Assessor (QSA) Intern Approved Scan Vendor (ASV) Leverbaar: Report on Compliance (ROC) Self-Assessment Questionnaire Scanreport

21 Problemen Veilige systemen en applicaties onderhouden
Uw netwerk auditen Op kwetsbaarheden scannen Patches/service packs plaatsen Het netwerk monitoren Gebruikersactiviteit registreren Toegang tot gegevens van kaarthouders registreren Waarschuwingen geven over belangrijke events Gedocumenteerd bewijs aanbieden Veilige systemen onderhouden Activiteiten monitoren Herstelmaatregelen nemen

22 Automatisering door middel van software
Vermindert drastisch handmatige, herhaalde taken: Netwerkcontroles Risicomanagement Monitoring van activiteiten Real-time alerts Herstelmaatregelen Rapportgeneratie

23 PCI DSS en GFI producten voor netwerkbeveiliging
PCI DSS Eisen 1. n 2. 3. 4. Gegevens van kaarthouders over open, publieke netwerken coderen 5. Antivirussoftware of –programma’s gebruiken en regelmatig updaten 6. Veilige systemen en applicaties ontwikkelen en onderhouden 7. Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen 8. 9. Fysieke toegang tot gegevens van kaarthouders beperken 10. 11. Regelmatig beveiligingssystemen en –processen testen 12. Een beleid handhaven inzake informatiebeveiliging voor werknemers en contracten GFI EventsManager GFI LANguard N.S.S. Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen Geen door verkopers geleverde standaardwaarden gebruiken voor systeemwachtwoorden Opgeslagen gegevens van kaarthouders beschermen Een uniek ID toewijzen aan elke persoon met toegang tot een computer Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren

24 ROI en bedrijfsvoordelen
Automatisering Vermindering van handmatige, herhaaldelijke taken Vermindering van de werkdruk van de beheerder Het nemen van proactieve herstelmaatregelen Bescherming Aanvulling op uw veiligheidsbeleid Waarschuwingen voor potentiële veiligheidsbedreigingen Geeft u rust Besparingen Geen PCI DSS boetes Geen kosten voor advies over uitbesteding Bedrijfscontinuït

25 Conclusie Aangezien ondernemingen constant het risico lopen gevoelige gegevens van kaarthouders te verliezen, dat tot boetes, gerechtelijke stappen en slechte publiciteit kan leiden, zou naleving van de PCI DSS hoog op de agenda moeten staan bij ondernemingen die creditcardgegevens opslaan, verstrekken of verwerken Naleving van de PCI DSS dient voor september 2007 bereikt te zijn - dit is de door creditcardmaatschappijen gestelde deadline GFI Software biedt dergelijke ondernemingen twee producten aan - GFI EventsManager en GFI LANguard Network Security Scanner (N.S.S.) - om hen te helpen bij de naleving van deze norm

26 Bedrijfsoverzicht Opgericht in 1992
De visie De eerste keus worden op het gebied van producten voor IT-beveiliging en productiviteitsverbetering. De missie Het leveren van degelijke, rendabele producten op het gebied van inhoudsbeveiliging, netwerkbeveiliging en messaging aan IT-professionals over de hele wereld. Opgericht in 1992 Méér dan 200 werknemers over de hele wereld Vestigingen in Malta, Londen, Raleigh, Hong Kong en Adelaide Er zijn GFI-producten geïnstalleerd op méér dan netwerken over de wereld, voornamelijk kleine en middelgrote bedrijven Een kanaalgericht bedrijf met meer dan partners over de hele wereld


Download ppt "De Payment Card Industry Data Security Standard (PCI DSS)"

Verwante presentaties


Ads door Google