PCI DSS szabványról röviden

Slides:



Advertisements
Hasonló előadás
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Advertisements

Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.
Az elektronikus közigazgatási rendszerek biztonsága
HUNINFOR Kft. Szolgáltatás bemutató.  Alapszolgáltatásunk a budapesti használt lakóingatlan-piacra vonatkozóan piaci- információ és adatszolgáltatás.
BIOS A BIOS mozaikszó, a Basic Input/Output System rövidítése, magyar fordításban alapvető ki- és bemeneti rendszerként szokták emlegetni.
A B2B e-kereskedelem sajátosságai
Készítette: Schiszler Anett Szekeres Kornél H7T9UZ IQCPCZ
… with NFC A mobil contactless (NFC) technológia lehetőségei a pénzügyi szektorban.
AZ INFORMATIKAI BIZTONSÁG
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2010 Hewlett-Packard Development.
A biztonság három oldala Páger Máté, Göcsei Zsolt, Szabó Gábor.
A kritikus infrastruktúra biztonsági aspektusai a MOL-nál
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Megbízható felhő - garanciák.
ADNS Attestation DataNet Service
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Köszönjük az első mérésben való együttműködésüket!
Informatikai megoldások egy kézből
Elektronikus archiválórendszer fejlesztése PKI alapokon Készítette: Kollár Balázs november 11.
Trendek a szoftveriparban: e-business és e-development Csontos Péter IQSOFT Rational e-development szakmai nap 2000 február 16.
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
A magyarországi bankkártya üzletág elemzése
WEB MES (webes gyártásirányító rendszer)
2004. március eEgészség – Digitális Aláírás Workshop 2004 Március Tim Zoltán, CISA Insurance Technology Kft. „Megbízható harmadik fél szolgáltatás,
A LÁTHATATLAN PÉNZ TITKAI
1 MER ellenőrzés ek egységes értelmezése Budapest, szeptember 5. Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Informatikai döntéstámogatás az MVM-nél
Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft.
Elektronikus bankolás Gyors, hatékony és biztonságos módja a kommunikációnak és az üzleti kapcsolatnak a Bankal. Tranzakciókat a saját irodából vagy otthonról.
HEFOP hét: az ISO 9001:2008-es szabványnak megfelelő minőségirányítási rendszer II. rész A diákhoz itt kellene beszúrni a tanári magyarázatokat.
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Internetes bankok piacformáló hatása  Nehézségek, gyermekbetegségek Lovastyik Ádám igazgató HWB Express Takarékszövetkezet október 16.
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
1 Hernyák Zoltán Programozási Nyelvek II. Eszterházy Károly Főiskola Számítástudományi tsz.
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Lehetséges együttműködési területek az internetes bankkártya elfogadás területén.
Hálózatok.
A Digitális Pénz Kállay Petra Zsirkai Noémi.
Alkalmazásfejlesztés T-Home Interaktív TV-re. Tartalomfogyasztás a tévéképernyőn A tévé mint képernyő „A háztartások többségében – saját bevallás alapján.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Advanced Next gEneration Mobile Open NEtwork ANEMONE Promóciós Nyílt Nap A teszthálózat használata 2008 április 22. Nováczki Szabolcs
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
Automatikus EKÁER bejelentő program. EKÁER  AZ ELEKTRONIKUS KÖZÚTI ÁRUFORGALMI ELLENŐRZŐ RENDSZER MŰKÖDÉSÉRŐL (EKÁER) szóló, a Nemzetgazdasági Miniszter.
Felhő jog Dr. Ormós Zoltán
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Stipkovits István ISZ auditor SGS Hungária Kft.
„Információvédelem menedzselése” XVIII. Szakmai Fórum Budapest, november 16. Bevezető gondolatok, aktualitások az információvédelemben Dr. Ködmön.
avagy a zártság dilemmái
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
Jogi informatika1 INFORMATIKA III. alkalom szeptember ELŐADÓ.
A PCI DSS-EN INNEN ÉS AZ ISO EN TÚL… ELŐADÓ: ZENGŐ ANDREA – WITSEC CISA, CISM, ISO….LA, MOF, ITIL-F KAPCSOLAT: MOBIL:
E-számlázás gyakorlata és ellenőrzése Czöndör Szabolcs Ellenőrzést Támogató Főosztály főosztályvezető.
Abaqoos Banki virtuális pénztárca. Bankkártya vs. E-Banking alapú átutalás.
1 XIV. Országos Minőségellenőrzési Továbbképzés MER ellenőrzések módszertana Siófok, Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
FÜGGETLENSÉG Készítette: Szabó Gabriella. Nemzetközi szabályozás A Könyvvizsgálók Nemzetközi Szövetsége (IFAC) által kiadott Könyvvizsgálói Etikai Kódex.
Intelligens Készpénzmentes Fizetési Megoldások
Vége a vakon navigálásnak!
Megoldásaink a GDPR előírásaira
Bankkártya adatok kezelése
Adatvédelmi kihívások a modern információ- technológiában
Elektromos kéziszerszámok, kisgépek érintésvédelmi ellenőrzése
Az informatikai biztonság irányításának követelményrendszere (IBIK)
A részletfizetés tranzakcióról általánosságban
HWSW mobilfizetési konferencia
Mikor jó egy MER rendszer? A MER ellenőrzések módszertana, tanulságai
OTP Bank A legjobb pénzügyi szolgáltató vállalkozásának Kiss László
This is the first level bullet for notes 12 point Arial Regular
Előadás másolata:

PCI DSS szabványról röviden Krasznay Csaba kancellár.hu Kft.

Mi az a PCI DSS szabvány? A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg. Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB. Elsődleges céljuk a bankkártyákkal való nagyarányú visszaélések csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél. Mindenkire vonatkozik, aki bankkártya adatokat tárol, dolgozol fel, vagy továbbít.

Mi az a PCI DSS szabvány? Tulajdonképpen egy olyan szabvány, ami a bankkártya adatokat feldolgozó cégek biztonsági menedzsmentjével, szabályzati rendszerével, hálózati architektúrájával, szoftvereivel és más védelmi megoldásaival kapcsolatos követelményeket támaszt. Más szabványokkal szemben a követelményeket nem egy bizottság, hanem az élet alkotta.

Előzmények Elsőként (2001-ben) a VISA jelentetett meg követelményeket, melyek a bankkártyákkal dolgozó e-boltokra vonatkoztak. Ezt Cardholder Information Security Programnak (CISP) hívták. A MasterCard ez idő alatt egy Site Data Protection (SDP) nevű programot dolgozott ki. A két cég 2004-ben kezdett együttműködni, és 2004. végére együtt dolgozták ki a PCI DSS szabványt, amihez más gyártók is csatlakoztak.

A PCI DSS tartalma Biztonságos hálózat építése és üzemeltetése: 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. A kártyabirtokos adatainak védelme: 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait.

A PCI DSS tartalma Sérülékenység-kezelési program fenntartása: 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. Erős hozzáférés-védelmi megoldások alkalmazása: 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.

A PCI DSS tartalma A hálózatok rendszeres monitorozása és tesztelése: 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. Információbiztonsági szabályzat fenntartása: 12. követelmény: Információbiztonsági szabályzatot kell fenntartani.

A PCI DSS tartalma A követelménylista nagyon konkrét. Példának álljon itt a 6.5-ös pont, ami a webes alkalmazásokra vonatkozik. Minden webes alkalmazást olyan biztonságos kódolási útmutatók alapján kell fejleszteni, mint az Open Web Application Security Project (OWASP) útmutatói. A kész kódot ellenőrizni kell a sérülékenységek megtalálása érdekében. Az általános kódolási sérülékenységeket el kell kerülni a szoftverfejlesztési folyamatban, figyelembe véve a következőket: Nem validált input, Feltört hozzáférés-vezérlés (pl. visszaélés az azonosítókkal),

A PCI DSS tartalma Feltört hitelesítés és session kezelés (visszaélés a cookie-kal), Cross-site scripting támadás, Puffer túlcsordulás, Injektálásos támadások (pl. SQL injection), Nem megfelelő hibakezelés, Nem biztonságos tárolás, Túlterheléses támadás, Nem biztonságos konfigurációmenedzsment.

A kártyabirtokos adatai

Kire vonatkozik az előírás? A kereskedőkre: E-boltok, Hagyományos boltok, Az elfogadókra: Bankok, Kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal A szolgáltatókra: Akik több e-boltot üzemeltetnek, Bankkártya adatokat gyűjtenek a kibocsátók nevében.

Kire nem vonatkozik az előírás? A bankkártya kibocsátó bankokra A tranzakciók jóváhagyóira, akik nem befogadói a tranzakcióknak Azokra a kereskedőkre, akik nem kezelnek bankkártya adatokat. A kereskedők és más entitások megfelelőségéről az elfogadónak kell gondoskodnia!

Miért érdemes megfelelni a szabványnak? Amennyiben a kártyainformációk kiszivárognak, és az érintett nem felel meg a PCI DSS-nek, a kibocsátó büntetést szabhat ki. Ez az elfogadónál akár 500.000 $-os büntetést is jelenthet, amit kiszivárgott kártyaadatonként akár 25 $-ral is kiegészíthetnek. Az elfogadó csak akkor mentesülhet a büntetés alól, ha a kereskedői megfelelnek a PCI DSS-nek. Emellett elvileg minden félnek jól felfogott érdeke biztonságban tudni a rendszerét. Egy bankkártyaadat a Symantec információja szerint 0.50-5 $-t ér az internetes feketepiacon.

A megfelelőség ellenőrzésének módjai Helyszíni vizsgálat: évente kötelező a Level 1 kereskedőknek és a Level 1, 2 szolgáltatóknak. A kereskedők belső vagy független auditot hajthatnak végre, a szolgáltatóknak a PCI DSS auditra felhatalmazott tanácsadót kell alkalmazniuk. Önfelmérő tesztek: évente kötelező a Level 2, 3, 4 kereskedőknek és a Level 3 szolgáltatóknak. Hálózatbiztonsági ellenőrzés: a weboldalak biztonságának ellenőrzése a célja. A Level 1, 2, 3 kereskedőknek és minden szolgáltatónak kötelező negyedévente végrehajtani.

Kire hogyan vonatkozik PCI DSS megfelelőség? Level 1 kereskedő: Minden olyan kereskedő, akinek feltörték a rendszerét, vagy adatok szivárogtak ki tőle. Minden olyan kereskedő, aki évente 6 milliónál több kártyatranzakciót hajt végre. Level 2 kereskedő: Minden online kereskedő, aki évente 150.000-6 millió tranzakciót hajt végre. Level 3 kereskedő: Minden online kereskedő, aki évente 20.000-150.000 tranzakciót hajt végre. Level 4 kereskedő: Aki nem tartozik ebbe a kategóriába, annak opcionális a megfelelés.

Kire hogyan vonatkozik PCI DSS megfelelőség? Level 1 szolgáltató: Aki a Level 1 és 2 kereskedő nevében tárol adatot. Level 2 szolgáltató: Aki Level 3 kereskedő nevében tárol adatot. Level 3 szolgáltató: Azok, akik a fenti kategóriába nem férnek be.

Kik végezhetik el a tesztelést? A PCI DSS-t összefogó szerv jelöli ki azokat a cégeket, akik a helyszíni ellenőrzést és a hálózati ellenőrzést elvégezhetik. A Qualified Security Assessor-ok végzik a helyszíni ellenőrzést. Az Approved Scanning Vendor-ok végzik a hálózati ellenőrzést. Rájuk komoly minőségi elvárások vonatkoznak. A közép-kelet-európai régióban alig található ilyen szolgáltató. Magyarországot egyetlen szolgáltató vállalta fel.

Magyarországon ez mennyire számít? A Level 1 kereskedők mintegy 35%-a rendelkezik PCI DSS megfelelőséggel. Magyarországon egyetlen projektről sikerült információt szerezni. A Google magyar vonatkozásban nem túl bőbeszédű. Azonban ha szigorúan vesszük a követelményeket, legalábbis a PCI DSS FAQ szerint, akár az IP alapú POS terminálok is érintettek lehetnek. Elfogadóként mindenesetre érdemes utánanézni a kibocsátók követelményeinek…

Köszönöm szépen! krasznay.csaba@kancellar.hu