Sicherheit in der Kreditkartenindustrie Vorteile der Payment-Application Data Security Standard (PA-DSS) Zertifizierung

Transkript

1 Sicherheit in der Kreditkartenindustrie Vorteile der Payment-Application Data Security Standard (PA-DSS) Zertifizierung Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

2 CERT Computer Incidents Statistic Computer Emergency Response Team (CERT) 1988 wurden 6 Incidents an das CERT gemeldet 2003 wurden bereits Incidents gezählt 2004 wird die Erhebung gestoppt, da scheinbar jeder attackiert wird Number of Incidents Handled by CERT Quelle: 2 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

3 Zone-H Website Defacement Statistik Registrierte Website Defacements Quelle: 3 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

4 Aktuelle Angriffsziele: Applikation vs. Infrastruktur Looking deeper into hacking activity, it is apparent that the bulk of attacks continues to target applications and services rather than the operating systems or platforms on which they run. Applikationssicherheit gewinnt zunehmend an Bedeutung Areas of compromised systems exploited Quellen: Verizon Data Breach Investigation Report stone UK Security Breach Investigations Report Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

5 Applikationen besitzen viele Schwachstellen (I) Tausende neue Schwachstellen pro Jahr National Vulnerability Database 2009: Schwachstellen IBM X-Force Statistik 2009: Schwachstellen Open Source Vulnerability Database: Schwachstellen Kriminelle suchen gezielt nach neuen Schwachstellen Quellen: National Vulnerability Database Open Source Vulnerability Database IBM X-Force 2009 Trend and Risk Report 5 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

6 Applikationen besitzen viele Schwachstellen (II) Anzahl der gefundenen Schwachstellen nimmt stark zu Quelle: National Vulnerability Database 6 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

7 PCI Compliance Review nach Kompromittierung PCI DSS Requirement 6: Develop and maintain secure systems Kompromittierte Unternehmen konnten nur selten volle Konformität zu Requirement 6 nachweisen In most of these cases, the firewalls worked, [ ], but the application contained security holes which obviated much of the security. It's like barring the front doors to the bank and leaving a back window open. Quellen: Verizon Data Breach Investigation Report Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

8 Welche Daten werden gestohlen? Kreditkartendaten sind weiterhin das begehrteste Ziel für Kriminelle Daten können verkauft oder missbraucht werden Einfacher Umtausch in Geld möglich In 2009 wurden 143 Millionen Kartendaten gestohlen Quellen: Verizon Data Breach Investigation Report stone UK Security Breach Investigations Report Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

9 Wer ist für die Kompromittierungen verantwortlich? Früher waren es maskierte Räuber mit Waffen Heute sind es Computer-Geeks Oft international agierende und bestens organisierte Kriminelle Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

10 Aktuelle Pressemeldungen Ask a hacker where is the money? They will tell you: behind and within the poorly written and poorly protected banking and e-commerce software applications. 10 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

11 Payment Application Data Security Standard Zertifizierung von Zahlungsanwendungen 14 Anforderungskategorien Prüfumfang Applikationssicherheit Entwicklungsprozesse Implementation Guide Aktuelle Version (Juli 2009) Neue Version 2.0 (Oktober/November 2010) 11 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

12 PA-DSS Geltungsbereich Alle Applikationen, die Kreditkartendaten im Rahmen der Autorisierung bzw. Abrechnung speichern, verarbeiten oder übertragen Standardsoftware, die off-the shelf, quasi ohne große Veränderungen verkauft wird Alle Module, die im Kreditkartendatenfluss involviert sind Sonderregelung für eingebettete Software in Hardware-Terminals 12 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

13 PA-DSS Out of Scope Entwicklungen für einen speziellen Kunden Entwicklungen für den eigenen Gebrauch (Eigenentwicklungen) Applikationen, die als Service (SaaS) verkauft werden Non-Payment Applications Betriebssysteme (z.b. Windows, Linux) Datenbanken, die Kreditkartendaten speichern Back-Office Systeme (z.b. für Reporting oder Kundenservice) 13 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

14 Prüfumfang Applikationssicherheit Technische Prüfung im Testlabor Penetrationstest und Schwachstellenanalyse Forensische Untersuchung (Speichern und sicheres Löschen von Kreditkartendaten) Verschlüsselung und Key-Management Maskierung von PANs Logging Integrity-Check von Patches Sichere Standard-Einstellungen 14 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

15 Prüfumfang Entwicklungsprozesse Prüfung der Prozesse und Dokumentation über Dokumentenreviews und Interviews Sichere Entwicklung Beachtung der OWASP Programmierrichtlinien für Webapplikationen Trennen von Entwicklung und Test Prozess zur Identifikation neuer Schwachstellen Sicheres Update Remote Management 15 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

16 Prüfumfang Implementation Guide Prüfung der Installationsanleitung auf die Einhaltung des PCI DSS Sichere Implementierung in WLAN Umgebungen Sicheres Löschen von Kreditkartendaten Umgang mit Kreditkartendaten (z.b. Speichern) Einsatz von Zwei-Faktor Authentisierung Einsatz von Verschlüsselung bei Übermittlung von Kreditkartendaten über öffentliche Netze 16 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

17 PA-DSS Compliance Mandates Visa Europe ab Einsatz PA-DSS validierter Software für Neukunden ab ausschließlicher Einsatz PA-DSS validierter Software Mastercard ab ausschließlicher Einsatz PA-DSS validierter Software Anwendungen, die nicht PA-DSS compliant sind, droht Sofort: Keine Zulassung für neue Bezahlumgebungen Später: Einsatz in Bezahlvorgängen untersagt Folge: Faktischer Marktaustritt 17 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

18 Vorteile validierter Anwendungen Sichere Anwendungen Penetrationstest und Schwachstellenanalyse Typische Schwachstellen nicht vorhanden PCI DSS konformer Einsatz ist möglich Verbotene Daten werden nicht gespeichert Unterstützung von Verschlüsselung und sicherer Authentisierung Keine Interferenzen mit Anti-Virensoftware, Firewalls usw. Implementation Guide beschreibt den sicheren Einsatz und die Einhaltung vieler PCI DSS Requirements 18 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

19 Der PA-DSS Mythos Einsatz validierter Anwendungen reduziert nicht den PCI DSS Scope Es müssen alle PCI DSS Requirements geprüft werden Nach Ablauf der Compliance Deadlines dürfen ausschließlich validierte Anwendungen eingesetzt werden 19 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

20 Über die usd AG Approved Scanning Vendor (ASV) mit weltweiter Zulassung Qualified Security Assessor (QSA) mit europaweiter Zulassung Payment Application Qualified Security Assessor (PA-QSA) mit europaweiter Zulassung Partner führender Acquirer und Payment Service Provider Wir beraten, unterstützen und zertifizieren Sie als Full-Service-Provider im PCI Umfeld. 20 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010

21 Andreas Duchmann usd AG Robert-Bosch-Str. 25 a Langen Telefon: Telefax: andreas.duchmann@usd.de Internet: Kontakt 10. Poseidon ZVT Informationsforum, Oktober 2010