SRC Security Research & Consulting GmbH. Payment Card Industry Data Security Standard (PCI DSS)

Größe: px

Ab Seite anzeigen:

Download "SRC Security Research & Consulting GmbH. Payment Card Industry Data Security Standard (PCI DSS)"

Elvira Etta Biermann
vor 8 Jahren
Abrufe

1 SRC Security Research & Consulting GmbH Payment Card Industry Data Security Standard (PCI DSS)

2 Zur Person Manuel Atug Geboren in Wipperfürth (Oberbergischer Kreis) Studium an FH Köln, Campus Gummersbach (Diplom-Informatiker) Derzeit Studium an Ruhr-Uni Bochum (Master in Applied IT-Security) Administrator und Verantwortlicher für Netzwerk- und Systemsicherheit bei verschiedenen Unternehmen und Instituten Senior Security Consultant SRC Security Research & Consulting GmbH Seit 01/2009 Auditor für Leitender Berater SRC Security Research & Consulting GmbH Payment Card Industry Qualified Security Assessor (PCI QSA) Payment Card Industry Payment Application Qualified Security Assessor (PCI PA-QSA) MasterCard Logical & Physical Security Requirements (GVCP) Seite 2

1999-2003 Administrator und Verantwortlicher für Netzwerk- und Systemsicherheit bei verschiedenen Unternehmen und Instituten 2003-2008 Senior Security Consultant SRC Security

3 ÜBER SRC Seite 3

Über SRC: Akkreditierungen Karten Kundenterminals und Kassensysteme Hintergrundsysteme GBIC (formerly ZKA) security evaluations BNetzA: Electronic Signatures National Regulation Body EMVCo IC

4 Über SRC: Akkreditierungen Karten Kundenterminals und Kassensysteme Hintergrundsysteme GBIC (formerly ZKA) security evaluations BNetzA: Electronic Signatures National Regulation Body EMVCo IC Evaluator MasterCard GVCP Common Criteria PCI PA-QSA PCI PTS PCI QSA & ASV PCI PFI IT Baseline Protection VISA Logical Audits gematik German Health Care PCI EPP MasterCard PTS ISO gematik EuroPriSe Page 4

Evaluator MasterCard GVCP Common Criteria PCI PA-QSA PCI PTS PCI QSA & ASV PCI PFI IT Baseline

5 Firmenprofil SRC Gründung: August 2000, Mitarbeiter: 78 operativ seit Firmensitz: Bonn (Zentrale) Wiesbaden (Niederlassung) Seite 5

6 Gesellschafter MABG Seite 6

7 Unser Selbstverständnis Ein Thema: Sichere Systeme Unabhängigkeit Kunden- und Projektorientierung Hohe Fachkompetenz der Mitarbeiter Internationalität Seite 7

8 Kunden (Auszug) Seite 8

9 Wat soll dä Käu? (Was soll das sinnlose Gerede?) Seite 9

10 Warum das alles? Quelle: Spiegel Online Seite 10

11 Anforderungen an Sicherheit Sarbanes Oxley Act KonTraG IDW PS 330 GoB/GoBS ISO 2700x VDA ISA Basel II IT-Grundschutz TKG IDW PS 880 PCI DSS Seite 11

12 Et hätt noch immer jot jejange (Es ist noch immer gut gegangen) Seite 12

13 These: Die Vergangenheit gibt keine Auskunft über die Zukunft! Seite 13

14 Captain E.J. Smith, 1911: Wenn mich jemand fragt, wie ich meine Erfahrungen aus knapp vierzig Jahren auf See am besten beschreiben kann, so sage ich nur: ereignislos! Natürlich gab es Orkane, Stürme, Nebel und dergleichen, doch bei all dem war ich niemals in irgendeinen nennenswerten Unfall verwickelt. Ich habe nie ein Wrack gesehen oder Schiffbruch erlitten, noch befand ich mich jemals in einer Situation, die in einer Katastrophe gleich welcher Art zu enden gedroht hätte E. J. Smith, 1911 Seite 14

15 15. April 1912 Captain: E.J. Smith Seite 15

16 Nutzen von PCI DSS Beispiel: Mittelgroßer Händler Transaktionen im Monat Kartendaten gesammelt über 3 Jahre kompromittierte Kartendaten Kosten Incident Fee: Issuer Recovery Fee: ( 5 15 je reissued card) + drohender Schadenersatz: (ca je Karte) + Kosten Rechtsstreit:?? + Imageschäden:?? Schaden = xxx Millionen EURO! Seite 16

000 kompromittierte Kartendaten Kosten Incident Fee: 50.000 + Issuer Recovery Fee: 600.

17 Et bliev nix wie et wor (Nichts bleibt, wie es war) Seite 17

18 PCI Programme Terminal Kasse Backend Quelle: PCI SSC Seite 18

19 Scope des PCI DSS PCI DSS betrifft alle Bereiche und Prozesse in denen Kartendaten auftreten, z.b. Kassensysteme POS Terminals, Kassen, Fillial-Server, Geldautomaten,... Zahlungssysteme Buchhaltung, Zahlungsabwicklung, Charge-Back Prozesse,... Customer Relationsship Management (CRM) CRM-Anwendungen, Call-Center Treue- und Bonusprogramme (co-branded) Kiosks (Park- und Fahrscheinautomaten) Web-Shops... Seite 19

.. Customer Relationsship Management (CRM) CRM-Anwendungen, Call-Center Treue- und Bonusprogramme

20 Wat wellste maache? (Was willst Du machen?) Seite 20

21 PCI Data Security Standard.. 12 PCI Data Security Requirements gruppiert in 6 Abschnitte Version 2.0 vom Oktober 2010 gelten für Unternehmen die Kartendaten speichern, verarbeiten oder übermitteln Seite 21

22 Anforderung an Datenspeicherung Seite 22

23 Anforderung an Datenspeicherung Karteninhaber- Daten (Cardholder Data) Vertrauliche Authentifizierungsdaten (Sensitive authentication data) Datum Primary Account Number (PAN) Ablaufdatum Service Code Karteninhaber Name Magnetstreifen Daten Kartenprüfwerte (CVV2 / CVC2 / etc.) PIN Speicherung zulässig Schutz erforderlich * * * *Diese Datenelemente müssen geschützt werden, wenn sie in Verbindung mit der PAN gespeichert werden N/A N/A N/A Verschlüsselung erforderlich N/A N/A N/A Seite 23

24 12 PCI DSS Requirements Quelle: PCI DSS Seite 24

25 PCI Data Security Requirements zusammengefasst Kartendaten sind immer zu verschlüsseln! Auch in Batch-Prozessen! Maskieren der Kartennummer wo immer möglich! Nur die ersten sechs und letzten vier Stellen! Zugriff auf Kartendaten auf Basis eines Businessneed-to-know Prinzips! Sie müssen begründen warum ein Zugriff erforderlich ist! Protokollieren jedes Zugriffs auf Kartendaten! Der Zugriff muss zurückverfolgbar sein! Aufbau eines Sicherheitsmanagement Systems! Definition von Policies, Verantwortlichkeiten und Prozessen! Seite 25

26 PCI Data Security Requirements zusammengefasst Jede Anforderung (requirement) beinhaltet Technische Maßnahmen Organisatorische Maßnahmen Anforderungen an Dokumentationen Prozesse Change-Management Regelmäßig durchzuführende Aktivitäten Reviews Audits Seite 26

27 Et es, wie et es (Es ist, wie es ist) Seite 27

28 These: Der PCI DSS wird missverstanden! Seite 28

29 PCI DSS Aufklären häufiger Missverständnisse Klartext-Kartendaten sind oftmals verzichtbar! Identifikationsprozesse Auch verschlüsselte Kartendaten sind zu schützen! Lokale Gesetze brechen Anforderungen des PCI! Kontonummer und BLZ unterliegen nicht dem PCI DSS! Speicherung / Anzeige der Kartendaten ist erlaubt! Prinzip des Business Need-to-Know! Speicherung (auch temporär) muss verschlüsselt erfolgen! Der Zugriff auf volle Kartennummer ist zu protokollieren! Zertifizierung ist nicht Compliance! Seite 29

30 PCI DSS Aufklären häufiger Missverständnisse Verschlüsselte Übertragung ist nur in öffentlichen Netzen (Internet und alle kabellosen Netze) gefordert! Wenn verschlüsselt wird, dann mit anerkannten Methoden und geeignetem Key-Management! Verschlüsselung historischer Daten auf Backups ist nicht erforderlich, sofern deren physische Sicherheit gewährleistet wird! Auch Systeme und Anwendungen, die ausschließlich verschlüsselte Daten verarbeiten, liegen im Scope! Auch debit-karten der Kartengesellschaften (z.b. Maestro, VPay) liegen im Scope! Seite 30

31 Den PCI DSS umsetzen Seite 31

32 Den PCI DSS umsetzen These: Den PCI DSS umzusetzen dauert Jahre! Seite 32

33 PCI DSS nächste Schritte 1. Festlegung einer PCI DSS Strategie Die Strategie muss externe Faktoren, wie z.b. gesetzte Fristen durch den Acquirer, berücksichtigen! Konsequente Umsetzung des PCI DSS Entsprechend der zuvor dargestellten Vorgehensweise Risikobasierter Ansatz Umsetzung von Maßnahmen mit dem Ziel der Reduktion des Kompromittierungsrisikos Kombinierter Ansatz Umsetzung des PCI DSS primär in Bereichen, in denen hohes Kompromittierungsrisiko besteht Umsetzung des PCI DSS in anstehenden Migrationen Berücksichtigung des PCI DSS bei ohnehin geplanten Änderungen Seite 33

34 PCI DSS nächste Schritte 2. Durchführung einer Scope Analyse Diese bildet die Grundlage für alle weiteren Vorgehensweisen! 3. Festlegung einer Projektstruktur Eine zentrale Steuerung und lokale Umsetzung des Projektes ist unabdingbar. 4. Durchführung des Projektes entsprechend der gewählten Vorgehensweise Seite 34

35 Umsetzung von Sofortmaßnahmen in vier Schritten Schritt 1: Reduktion des PCI DSS Scope Logische Trennung von Netzbereichen mit PCI DSS relevanten Daten von anderen Konsequente Reduktion PCI DSS relevanter Daten in Datenbanken, Logs, etc. Identifikation von Bereichen, in denen alternativ zur PAN Maskierungen oder Hashs genutzt werden können. Seite 35

36 Umsetzung von Sofortmaßnahmen in vier Schritten Schritt 2: Identifikation von Quick-Wins Umsetzung kurzfristig möglicher Anpassungen in Prozessen zur Erreichung einer Compliance oder Reduzierung des Scope. Schritt 3: Absicherung PCI DSS relevanter Daten bei der Speicherung und Übertragung Überprüfung der Applikationen und der Geschäftsvorfälle hinsichtlich der Anzeige PCI DSS relevanter Daten Absicherung der Speicherung PCI DSS relevanter Daten (Verschlüsselung) Absicherung der Übertragung PCI DSS relevanter Daten (Verschlüsselung) Seite 36

37 Umsetzung von Sofortmaßnahmen in vier Schritten Schritt 4: Anpassung / Erweiterung des Sicherheitsmanagement Anpassung / Erweiterung der Sicherheitspolitik Aufsetzen eines Notfallplans inklusive interner Eskalationsprozesse Berücksichtigen des PCI DSS in Verträgen mit Dienstleistungsunternehmen Sensibilisierung aller Mitarbeiter Seite 37

38 Compliance Management PCI DSS ist keine einmalige Kraftanstrengung, sondern muss dauerhaft in das Tagesgeschäft integriert werden! Berücksichtigung von Änderungen des PCI DSS und technischem Wandel Berücksichtigung von Änderungen im Scope und in den eigenen Prozessen Umsetzung regelmäßig durchzuführender Maßnahmen Seite 38

39 SRC Newsletter Kostenlose Anmeldung: Seite 39

40 Kontakt SRC Security Research & Consulting GmbH Graurheindorfer Str. 149a Bonn Tel. +49-(0) Fax: +49-(0) WWW: Seite 40

Ähnliche Dokumente

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung