Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
PCI DSS szabványról röviden
Krasznay Csaba kancellár.hu Kft.
2
Mi az a PCI DSS szabvány? A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg. Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB. Elsődleges céljuk a bankkártyákkal való nagyarányú visszaélések csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél. Mindenkire vonatkozik, aki bankkártya adatokat tárol, dolgozol fel, vagy továbbít.
3
Mi az a PCI DSS szabvány? Tulajdonképpen egy olyan szabvány, ami a bankkártya adatokat feldolgozó cégek biztonsági menedzsmentjével, szabályzati rendszerével, hálózati architektúrájával, szoftvereivel és más védelmi megoldásaival kapcsolatos követelményeket támaszt. Más szabványokkal szemben a követelményeket nem egy bizottság, hanem az élet alkotta.
4
Előzmények Elsőként (2001-ben) a VISA jelentetett meg követelményeket, melyek a bankkártyákkal dolgozó e-boltokra vonatkoztak. Ezt Cardholder Information Security Programnak (CISP) hívták. A MasterCard ez idő alatt egy Site Data Protection (SDP) nevű programot dolgozott ki. A két cég 2004-ben kezdett együttműködni, és végére együtt dolgozták ki a PCI DSS szabványt, amihez más gyártók is csatlakoztak.
5
A PCI DSS tartalma Biztonságos hálózat építése és üzemeltetése:
1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. A kártyabirtokos adatainak védelme: 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait.
6
A PCI DSS tartalma Sérülékenység-kezelési program fenntartása:
5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. Erős hozzáférés-védelmi megoldások alkalmazása: 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.
7
A PCI DSS tartalma A hálózatok rendszeres monitorozása és tesztelése:
10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. Információbiztonsági szabályzat fenntartása: 12. követelmény: Információbiztonsági szabályzatot kell fenntartani.
8
A PCI DSS tartalma A követelménylista nagyon konkrét. Példának álljon itt a 6.5-ös pont, ami a webes alkalmazásokra vonatkozik. Minden webes alkalmazást olyan biztonságos kódolási útmutatók alapján kell fejleszteni, mint az Open Web Application Security Project (OWASP) útmutatói. A kész kódot ellenőrizni kell a sérülékenységek megtalálása érdekében. Az általános kódolási sérülékenységeket el kell kerülni a szoftverfejlesztési folyamatban, figyelembe véve a következőket: Nem validált input, Feltört hozzáférés-vezérlés (pl. visszaélés az azonosítókkal),
9
A PCI DSS tartalma Feltört hitelesítés és session kezelés (visszaélés a cookie-kal), Cross-site scripting támadás, Puffer túlcsordulás, Injektálásos támadások (pl. SQL injection), Nem megfelelő hibakezelés, Nem biztonságos tárolás, Túlterheléses támadás, Nem biztonságos konfigurációmenedzsment.
10
A kártyabirtokos adatai
11
Kire vonatkozik az előírás?
A kereskedőkre: E-boltok, Hagyományos boltok, Az elfogadókra: Bankok, Kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal A szolgáltatókra: Akik több e-boltot üzemeltetnek, Bankkártya adatokat gyűjtenek a kibocsátók nevében.
12
Kire nem vonatkozik az előírás?
A bankkártya kibocsátó bankokra A tranzakciók jóváhagyóira, akik nem befogadói a tranzakcióknak Azokra a kereskedőkre, akik nem kezelnek bankkártya adatokat. A kereskedők és más entitások megfelelőségéről az elfogadónak kell gondoskodnia!
13
Miért érdemes megfelelni a szabványnak?
Amennyiben a kártyainformációk kiszivárognak, és az érintett nem felel meg a PCI DSS-nek, a kibocsátó büntetést szabhat ki. Ez az elfogadónál akár $-os büntetést is jelenthet, amit kiszivárgott kártyaadatonként akár 25 $-ral is kiegészíthetnek. Az elfogadó csak akkor mentesülhet a büntetés alól, ha a kereskedői megfelelnek a PCI DSS-nek. Emellett elvileg minden félnek jól felfogott érdeke biztonságban tudni a rendszerét. Egy bankkártyaadat a Symantec információja szerint $-t ér az internetes feketepiacon.
14
A megfelelőség ellenőrzésének módjai
Helyszíni vizsgálat: évente kötelező a Level 1 kereskedőknek és a Level 1, 2 szolgáltatóknak. A kereskedők belső vagy független auditot hajthatnak végre, a szolgáltatóknak a PCI DSS auditra felhatalmazott tanácsadót kell alkalmazniuk. Önfelmérő tesztek: évente kötelező a Level 2, 3, 4 kereskedőknek és a Level 3 szolgáltatóknak. Hálózatbiztonsági ellenőrzés: a weboldalak biztonságának ellenőrzése a célja. A Level 1, 2, 3 kereskedőknek és minden szolgáltatónak kötelező negyedévente végrehajtani.
15
Kire hogyan vonatkozik PCI DSS megfelelőség?
Level 1 kereskedő: Minden olyan kereskedő, akinek feltörték a rendszerét, vagy adatok szivárogtak ki tőle. Minden olyan kereskedő, aki évente 6 milliónál több kártyatranzakciót hajt végre. Level 2 kereskedő: Minden online kereskedő, aki évente millió tranzakciót hajt végre. Level 3 kereskedő: Minden online kereskedő, aki évente tranzakciót hajt végre. Level 4 kereskedő: Aki nem tartozik ebbe a kategóriába, annak opcionális a megfelelés.
16
Kire hogyan vonatkozik PCI DSS megfelelőség?
Level 1 szolgáltató: Aki a Level 1 és 2 kereskedő nevében tárol adatot. Level 2 szolgáltató: Aki Level 3 kereskedő nevében tárol adatot. Level 3 szolgáltató: Azok, akik a fenti kategóriába nem férnek be.
17
Kik végezhetik el a tesztelést?
A PCI DSS-t összefogó szerv jelöli ki azokat a cégeket, akik a helyszíni ellenőrzést és a hálózati ellenőrzést elvégezhetik. A Qualified Security Assessor-ok végzik a helyszíni ellenőrzést. Az Approved Scanning Vendor-ok végzik a hálózati ellenőrzést. Rájuk komoly minőségi elvárások vonatkoznak. A közép-kelet-európai régióban alig található ilyen szolgáltató. Magyarországot egyetlen szolgáltató vállalta fel.
18
Magyarországon ez mennyire számít?
A Level 1 kereskedők mintegy 35%-a rendelkezik PCI DSS megfelelőséggel. Magyarországon egyetlen projektről sikerült információt szerezni. A Google magyar vonatkozásban nem túl bőbeszédű. Azonban ha szigorúan vesszük a követelményeket, legalábbis a PCI DSS FAQ szerint, akár az IP alapú POS terminálok is érintettek lehetnek. Elfogadóként mindenesetre érdemes utánanézni a kibocsátók követelményeinek…
19
Köszönöm szépen!
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.