Der Payment Card Industry Data Security Standard (PCI DSS)

Größe: px

Ab Seite anzeigen:

Download "Der Payment Card Industry Data Security Standard (PCI DSS)"

Thomas Lange
vor 8 Jahren
Abrufe

1 Der Payment Card Industry Data Security Standard (PCI DSS) Wahlpflichtfach an der FH Brandenburg im Master-Studiengang Security Management WS 2014/2015 Dozent: Patrick Sauer, M.Sc.

2 Agenda 1. Vorstellung 2. Infos zur Veranstaltung 3. Kurze Einführung in PCI DSS 4. Hauptteil: Workshop mit dem Standard am fiktiven Beispiel

3 Agenda 1. Vorstellung 2. Infos zur Veranstaltung 3. Kurze Einführung in PCI DSS 4. Hauptteil: Workshop mit dem Standard am fiktiven Beispiel

4 Über mich - Studium 09/ /2010 Diplom-Wirtschaftsinformatiker (FH) Technische Hochschule Mittelhessen Entwicklung einer Software zur Verwaltung und Kontrolle der Anforderungen des Sicherheitsstandards PCI DSS 09/ /2013 Master of Science in Security Management Fachhochschule Brandenburg Messung von Informationssicherheit Zertifikate 2014: OSCP 2013: TISP, CISM, DSB-TÜV 2012: CISSP 2011: CPSSE

Sicherheitsstandards PCI DSS 09/2010-09/2013 Master of Science in Security Management Fachhochschule

5 Über mich - Berufliches 05/ /2010 IT-Security Freelancer hauptsächlich bei der Euro Payment Group GmbH Seit 09/2010: Chief Information Security Officer / Teamleader System Engineering Euro Payment Group GmbH, Frankfurt am Main Seit 07/2013: Geschäftsführer und Information Security Consultant binsec - binary security UG, Frankfurt am Main

System Engineering Euro Payment Group GmbH, Frankfurt am Main Seit 07/2013:

6 Über mich - Privat Jahrgang 1984, in Frankfurt am Main geboren Wohnort: Friedberg (Hessen), ca. 30km nördlich von Frankfurt Hobbys: Kraftsport, Serien, IT Security, Tanzen, Schach Meine Motivation zur Vorlesung: Erfahrung weitergeben Die Lehre im Studiengang SecMan mit Praxis erweitern Mit Studenten arbeiten

30km nördlich von Frankfurt Hobbys: Kraftsport, Serien, IT Security, Tanzen,

7 Über euch Erwartungen an die Veranstaltung? Fachlicher Hintergrund / Schwerpunkte / Interessen? Vorkenntnisse bzgl. PCI DSS?

8 Agenda 1. Vorstellung 2. Infos zur Veranstaltung 3. Kurze Einführung in PCI DSS 4. Hauptteil: Workshop mit dem Standard am fiktiven Beispiel

9 Veranstaltungsablauf Kurze Einführung in PCI DSS Besprechung Aufbau des Standard-Dokuments Workshoparbeit mit dem Standard an einem fiktiven Unternehmens-Beispiel

10 Organisatorisches Absprache Termine/Zeiten Klärung Prüfungsform - Hausarbeit!?

11 Agenda 1. Vorstellung 2. Infos zur Veranstaltung 3. Kurze Einführung in PCI DSS 4. Hauptteil: Workshop mit dem Standard am fiktiven Beispiel

12 PCI Security Standards Council (PCI SSC) Gegründet 2006 bestehend aus: MasterCard & Visa Inc American Express, Discover Financial Services & JCB International PCI Council veröffentlicht folgende Standards: PCI-DSS (Payment Card Industry Data Security Standard) PA-DSS (Payment Application Data Security Standard) PTS (PIN Transaction Security)

Council veröffentlicht folgende Standards: PCI-DSS (Payment Card Industry Data

13 Ziele des PCI DSS Schutz von Karteninhaberdaten Primär die Vertraulichkeit von PAN (Primary Account Number) CVV (3-4 stellige Prüfsumme) PIN Als Nebenprodukt auch Verfügbarkeit und Integrität Achtung: Nicht allgemein personenbezogene Daten, nur Karteninhaberdaten Keine zwingende allgemeine Absicherung eines Unternehmens

auch Verfügbarkeit und Integrität Achtung: Nicht allgemein personenbezogene

14 PCI DSS vs. BSI Grundschutz PCI DSS Minimales bis normales Security Management Ziel: Vertraulichkeit von PAN, CVV & PIN Vorgehensweise: Sehr spezifische Vorgaben bei technischen (und organisatorischen) Maßnahmen Zielgruppe: Unternehmen, die Kreditkartendaten verarbeiten, weltweit BSI Grundschutz Kein klassisches Security Management Ziel: Absicherung von staatlichen Institutionen Vorgehensweise: (idr) angenommener Schutzbedarf und Maßnahmenpaket Zielgruppe: deutsche staatliche Insitutionen (teilweise Unternehmen in D)

spezifische Vorgaben bei technischen (und organisatorischen) Maßnahmen Zielgruppe: Unternehmen, die Kreditkartendaten verarbeiten,

15 PCI DSS vs. ISO PCI DSS Minimales bis normales Security Management Ziel: Vertraulichkeit von PAN, CVV & PIN Vorgehensweise: Sehr spezifische Vorgaben bei technischen (und organisatorischen) Maßnahmen Zielgruppe: Unternehmen, die Kreditkartendaten verarbeiten, weltweit ISO Klassisches Security Management Ziel: ganzheitlicher Schutz (IT, Informationen) Vorgehensweise: Risikoanalyse folgt Maßnahmen, kontinuierlicher Verbesserungsprozess Zielgruppe: Grundsätzlich Unternehmen, weltweit

spezifische Vorgaben bei technischen (und organisatorischen) Maßnahmen Zielgruppe: Unternehmen, die Kreditkartendaten

16 Agenda 1. Vorstellung 2. Infos zur Veranstaltung 3. Kurze Einführung in PCI DSS 4. Hauptteil: Workshop mit dem Standard am fiktiven Beispiel

17 Workshop - Fiktives Unternehmen Fiktives Unternehmen Example CreditCard Service GmbH Bietet als Dienstleistung Tokenization an, d.h. Speicherung von Karteninhaberdaten für andere Unternehmen. Das Unternehmen soll PCI DSS compliant werden. Mehr Details zum Unternehmen in einer zusätzlichen PDF / Ausdruck

Speicherung von Karteninhaberdaten für andere Unternehmen.

18 Workshop - Fragen & Ablauf 1. Für welche Bereiche im Unternehmen definiert PCI DSS allgemein Anforderungen? 2. Welche Anforderungen erfüllt das Beispiel- Unternehmen bisher? 3. Welche Anforderungen werden bisher nicht erfüllt? 4. In welche Themen bzw. Projekte lassen sich die noncompliant-punkte für eine erfolgreiche Umsetzung zusammenfassen? 5. Wie könnte man die einzelnen Projekte realisieren - Konzepterstellung!

Welche Anforderungen erfüllt das Beispiel- Unternehmen bisher? 3.

Ähnliche Dokumente

WPF PCI DSS 2015 Fachhochschule Brandenburg

WPF PCI DSS 2015 Fachhochschule Brandenburg Patrick Sauer, M.Sc. 20. November 2015 Agenda Vorstellung Organisatorisches PCI DSS Workshop Hausarbeit 2 Agenda Vorstellung Organisatorisches PCI DSS Workshop