PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

Transkript

1 PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006

2 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de ag ( Unternehmensprofil: Mittelständisches IT-Beratungsunternehmen Robert-Bosch Str. 25a, Langen Schwerpunkte: IT-Sicherheit Informationsmanagement Qualitätsmanagement Seite 2

3 Zahlen und Fakten , Gründung als USD GmbH Wandlung in die usd.de ag Langen bei Frankfurt am Main Mitarbeiter Auszubildender zum Fachinformatiker Mio. Umsatz in 2004 Grundkapital Seite 3

4 Agenda Historischer Abriss zur Compliance in der Kreditkartenbranche Die aktuellen Sicherheitsprogramme der Organisationen MasterCard und Visa Der Payment Card Industry (PCI) Data Security Standard Best Practices zur PCI-Compliance Seite 4

5 Geschäftsmodell Issuer Karteninhaber 1 2 Kreditkartenorganisation 5 Service Provider Acquirer Händler Seite 5

6 Gefahren Issuer Karteninhaber Kreditkartenorganisation Service Provider Acquirer Händler Seite 6

7 Konkrete Vorfälle : Pentagon gehackt: Datensätze ausgespäht : 40 Millionen Kreditkartendaten gestohlen : Erneut millionenfacher Diebstahl von Kreditkartendaten Quelle: Heise Online News Seite 7

8 Gegenmaßnahmen Visa führt 2000 das Account Information Security (AIS) Program ein seit 2001 verpflichtend. AIS-Sicherheitsprüfungen: Self-Assessment Questionnaire Security Audit MasterCard führt 2002 das Site Data Protection (SDP) Program ein seit 2003 verpflichtend. SDP-Sicherheitsprüfungen: Self-Assessment Questionnaire Security Scan Seite 8

9 Gegenmaßnahmen MasterCard und Visa entwickeln 2004 einen gemeinsamen Standard für sichere E-Commerce-Plattformen: Payment Card Industry (PCI) Data Security Standard Zertifizierung gemäß PCI-Standard wird für E-Commerce- Händler und Service Provider vorgeschrieben Acquirer sind für Einhaltung der Vorschriften verantwortlich Von den führenden Kreditkartenorganisationen akzeptiert Seite 9

10 Involvierte Parteien Issuer Karteninhaber Kreditkartenorganisation Service Provider Security Vendor Acquirer Händler Seite 10

11 Aufbau von AIS und SDP Sicherheitsprogramm der der Kreditkartenorganisation Berichtswesen Berichtswesen Einstufung Einstufung von von Händlern Händlern und und Service Service Providern Providern Zertifizierte ZertifizierteSecurity Vendors Vendors PCI PCI Data Data Security Standard Sicherheitsanforderungen Prüfmethoden Prüfmethoden Seite 11

12 Abläufe: Beispiel MasterCard Händler 1 Akzeptanz- Acquirer 4 Reporting vertrag 2 PCI-Prüfung Reporting 3 Security Vendor Seite 12

13 PCI-Einstufung Händler Einstufung Level 1 Level 2 Level 3 Level 4 Kriterien Jeder Händler, der unabhängig vom Vertriebsweg jährlich über Transaktionen tätigt. Jeder Händler, der bereits Opfer eines Hackerangriffs oder von Kreditkartenmissbrauch war. Jeder Händler, der von einer Kreditkartenorganisation in deren Ermessen als Level 1 eingestuft ist. Jeder E-Commerce-Händler, der jährlich zwischen und Transaktionen tätigt. Jeder E-Commerce-Händler, der jährlich zwischen und Transaktionen für tätigt. Alle anderen Händler, unabhängig vom Vertriebsweg. Seite 13

14 Einstufung vs. Prüfung Stärke der Prüfmethoden Self-Assessment Questionnaire Security Scan Security Audit Level-1 Händler - vierteljährlich jährlich Schadensrisiko Level-2 und Level-3 Händler Level-4 Händler jährlich jährlich* vierteljährlich jährlich* - - *empfohlen Seite 14

15 PCI-Prüfungen PCI Self-Assessment Questionnaire Fragebogen, wahrheitsgemäß auszufüllen PCI Security Scan Automatisierte Überprüfung vom Internet aus Fokus: alle vom Internet erreichbaren Systeme Non-intrusive und non-destructive PCI Security Audit Vor-Ort-Überprüfung, stichprobenartig Fokus: alle Systeme Seite 15

16 PCI-Standard PCI PCI Data Data Security Standard Anforderungen Aufbau Aufbau und und Pflege Pflege eines eines sicheren sicheren Netzwerks Netzwerks Schutz Schutz von von Karteninhaberdaten Karteninhaberdaten Pflege Pflege eines eines Programms Programms zum zum Managen Managen von von Schwachstellen Schwachstellen Umsetzung Umsetzungstrenger strenger Zugriffskontrollmaßnahmen Prüfungen PCI PCI Security Security Self-Assessment Self-Assessment PCI PCI Security Security Scan Scan Regelmäßiges Regelmäßiges Überwachen Überwachen und und Testen Testen der der Netzwerke Netzwerke Pflege Pflegeeiner einer Informationssicherheitspolitik PCI PCI Security Security Audit Audit Seite 16

17 Auswirkungen auf das IT-Sicherheitsmanagement Initiierung Umsetzen des Konzepts Erstellen des Sicherheitskonzepts Aufrechterhaltung Do Check Plan Act Seite 17

18 Einordnung in Sicherheitsprozess Auswahl und Umsetzung der Maßnahmen Do Protokollierung, Intrusion Detection, Scan, Audit, Questionnaire Plan Check Sicherheitskonzept, Security Policy, Beachten Anforderungen PCI-Standard Act Patchmanagement, Incidentmanagement, festgestellte Schwachstellen beheben, Seite 18

19 Best Practices Integration der PCI-Anforderungen in unternehmensweite Richtlinien Sicherheitskonzepte für wichtige Prozesse Vorab-Durchführung interner Prüfungen Regelmäßige Überarbeitung und Aktualisierung der Konzepte und Umsetzungen Etablierung und Pflege begleitender Sicherheitsprozesse Seite 19

20 Referenzen MasterCard: Visa: (deutsche Homepage von MasterCard) (SDP-Website von MasterCard) (deutsche Homepage von Visa) (AIS-Website von Visa) Heise Online: (Homepage von Heise Online) (Heise Online News) Seite 20

21 Vielen Dank für Ihre Aufmerksamkeit Ihre Fragen und Anmerkungen