PCI Compliance. Enno Rey, CISSP/ISSAP, CISA, BS 7799 Lead Auditor

Größe: px

Ab Seite anzeigen:

Download "PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor"

Hansl Junge
vor 8 Jahren
Abrufe

1 PCI Compliance Enno Rey, CISSP/ISSAP, CISA, BS 7799 Lead Auditor

2 Agenda Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen Standards

3 ERNW Gegründet Sommer 2001 durch Enno Rey Netzwerk-Dienstleister mit Sicherheits-Fokus Aktuell zwölf Mitarbeiter Schwerpunkte: Security Management, Audit/Revision, Penetrations-Tests, Security Research Kunden (Europa/USA): Industrie, Banken, Behörden, Provider

Security Management, Audit/Revision, Penetrations-Tests,

4 Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen Standards

5 Der PCI DSS Geschichte & Inhalt De-facto Standard zur IT-Sicherheit bei der Verarbeitung von Kreditkarten-Daten Basiert auf Visa Account Information Security (AIS) und Mastercard Site Data Protection (SDP) Programmen Auch angewandt von Amex, Diners, JCB, Discover. In Kraft seit 30. Juni 2005 Aktuelle Version: 1.1 (September 2006) geplant sind Updates ca. einmal jährlich Hintergrund: Karten-Organisationen befürchteten aufgrund gehäufter (Security-) Zwischenfälle staatliche Regulierung... der man durch eigene Regelungen zuvorkommen wollte.

In Kraft seit 30. Juni 2005 Aktuelle Version: 1.1 (September 2006) geplant sind Updates ca.

6 PCI DSS Anliegen ist kurz gesagt......diesem vorzubeugen

7 Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen Standards

8 Definitionen schützenswerter Gegenstand aus [1] PCI DSS Preface: PCI DSS requirements are applicable if a Primary Account Number (PAN) is stored, processed, or transmitted. If a PAN is not stored, processed, or transmitted, PCI DSS requirements do not apply.

(PAN) is stored, processed, or transmitted.

9 .. und wie mit diesem Gegenstand umzugehen ist

10 Definitionen betroffene Systeme PCI DSS Preface: These security requirements apply to all system components. System components are defined as any network component, server, or application that is included in or connected to the cardholder data environment. The cardholder data environment is that part of the network that possesses cardholder data or sensitive authentication data. [...]. Network components include but are not limited to firewalls, switches, routers, wireless access points, network appliances, and other security appliances. Server types include but are not limited to the following: web, database, authentication, mail, proxy, network time protocol (NTP), and domain name server (DNS). Applications include all purchased and custom applications, including internal and external (Internet) applications.

The cardholder data environment is that part of the network that possesses cardholder data or sensitive authentication data. [...].

11 Definitionen betroffene Organisationen Merchant Level Kriterien In Kraft Jährliches On-Site Security Audit Nachweise Externer Scan, alle drei Monate Jährlich Self- Assessment Questionn. Level 1 Mehr als prozessierte Transaktionen jährlich 30. September 2004 Erforderlich Erforderlich Level bis Transaktionen jährlich 30. Juni 2005 Erforderlich Erforderlich Level bis Transaktionen jährlich 30. Juni 2005 Erforderlich Erforderlich Level 4 Alle anderen - Empfohlen Empfohlen

September 2004 Erforderlich Erforderlich Level 2 150.000 bis 6.000.000 Transaktionen jährlich 30.

12 Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen Standards

13 PCI DSS - Regelungen Build and Maintain a Secure Network Requirement 1: Install and maintain a firewall configuration to protect cardholder data Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters Protect Cardholder Data Requirement 3: Protect stored cardholder data Requirement 4: Encrypt transmission of cardholder data across open, public networks Maintain a Vulnerability Management Program Requirement 5: Use and regularly update anti-virus software Requirement 6: Develop and maintain secure systems and applications Implement Strong Access Control Measures Requirement 7: Restrict access to cardholder data by business need-to-know Requirement 8: Assign a unique ID to each person with computer access Requirement 9: Restrict physical access to cardholder data Regularly Monitor and Test Networks Requirement 10: Track and monitor all access to network resources and cardholder data Requirement 11: Regularly test security systems and processes Maintain an Information Security Policy Requirement 12: Maintain a policy that addresses information security

networks Maintain a Vulnerability Management Program Requirement 5: Use and regularly update anti-virus software Requirement 6: Develop and maintain secure systems and applications Implement Strong

14 PCI DSS - Regelungen Detailliert Durchdacht Praxisnah Umfassend => besser anwendbar (& prüfbar) als die meisten anderen ( Compliance ) Standards

15 Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen Standards

16 Compliance... Merchants/Service Provider müssen ihre Compliance regelmässig anhand festgelegter Prüfungen nachweisen (s.o.) Security-Audits und externe Scans müssen durch Qualified Security Assessors (QSAs) bzw. Approved Scanning Vendors (ASVs) vorgenommen werden. Für Audits existieren detaillierte Security Audit Procedures, vgl. [2] Externe Scans werden/wurden typischerweise mit Vulnerability Scannern (nessus et.al.) durchgeführt. PCI DSS 1.1 fordert auch Application-layer penetration tests (sect ) => ASVs setzen auch Appl. Scanner (e.g. Watchfire Appscan) ein => Berichtsformat sollte Kriterium bei ASV-Auswahl sein

[2] Externe Scans werden/wurden typischerweise mit Vulnerability Scannern (nessus et.al.) durchgeführt. PCI DSS 1.

17 ... und Sanktionen Non-Compliance wird mit (hohen) finanziellen Strafen belegt. Dies geschieht auch tatsächlich. Sie wird i.a. nicht öffentlich publiziert. Taucht aber ggf. irgendwo als Zahl im Geschäftsbericht auf... Achtung: bestehende Compliance schützt nicht vor evtl. Haftung!

Taucht aber ggf. irgendwo als Zahl im Geschäftsbericht auf.

18 Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen Standards

19 Wechselwirkung mit anderen Standards Das Bestreben nach PCI Compliance kann aufgrund der umfassenden, durchdachten Anforderungen sehr hilfreich zur Verbesserung der Gesamt-Sicherheit sein. Und damit auch zur Erreichung von Compliance zu anderen Standards... Umgekehrt erleichtert etwa eine bereits vorhandene ISO Zertifizierung den Nachweis von PCI Compliance enorm. Kurz: ein ganzheitlicher, strukturierter Sicherheits-Ansatz befördert (auch hier...) die Compliance ;-)

Und damit auch zur Erreichung von Compliance zu anderen Standards.

20 Fragen?

21 Danke für Ihre Aufmerksamkeit!

22 Quellen [1] Atug/Pannen: 23c3 Security in the cardholder data processing?! [2] PCI DSS Supporting Documents Allgemeiner Literaturhinweis zu Angriffstechniken: Dominick Baier/Enno Rey/Michael Thumann: Pen-Tests Durch Risiko- Abschätzung IT-Sicherheit optimieren [Vieweg-Verlag, ISBN ].

Ähnliche Dokumente

ERNW Newsletter 14 / Februar 2007. willkommen zur vierzehnten Ausgabe des ERNW-Newsletters mit dem Thema: PCI_Compliance. Version 1.0 vom 09.03.

ERNW Newsletter 14 / Februar 2007 Liebe Partner, liebe Kollegen, willkommen zur vierzehnten Ausgabe des ERNW-Newsletters mit dem Thema: PCI_Compliance Version 1.0 vom 09.03.2007 von: Enno Rey (erey@ernw.de)