Standardien PCI DSS 3.0 ja Katakri II vertailu

Transkriptio

1 Standardien PC DSS 3.0 ja Katakri vertailu Copyright Solinor Oy 2014 Solinor Oy, Teollisuuskatu 21 A, F HELSNK, FNLAND / / Business D

2 Standardien PC DSS 3.0 ja Katakri vertailu Seuraavassa tarkastellaan maksukorttitoimialan tietoturvastandardin PC DSS 3.0 ja kansallisen turvallisuusauditointikriteeristön Katakri keskinäisiä yhtenäisyyksiä ja eroja. Tarkastelu tehdään siitä lähtökohdasta, että organisaatio toimii standardin Katakri puitteissa ja että sitä kiinnostaa sertifioituminen standardiin PC DSS 3.0. Taustaa PC DSS 3.0 on kansainvälisten luottokorttiyhtiöiden yhteenliittymän, Maksukorttitoimialan tietoturvastandardineuvoston, PC SSC, kehittämä ja ylläpitämä standardi korttimaksamisen tekniikkaan ja hallintoon. Tämän kohteena ovat maksukorttisuorituksia vastanottavat kauppiaat ja kauppiaiden edustajat. Vastaavasti Katakri on suomalainen viranomaisen käyttöönsä luoma ja ylläpitämä standardi tiedon tarkastuksen suorittamiseksi sekä sen turvallisuudesta huolehtimiseksi. Katakri on siten toimialaltaan huomattavasti edellistä laajempi, mutta vain suomalaisille viranomaisille tai niiden kanssa toimijoille tärkeä. Standardissa Katakri on neljä eri tasoista toteuttamisen luokkaa, kun taas standardissa PC DSS 3.0 tällaisia ei ole. Toisaalta, eri toteuttamisen tasoilla sovelletaan täyttä PC DSS 3.0 standardia suppeampia osajoukkoja vaatimuksista. Näin ollen lähestyminen erilaisiin vaatimustasoihin on standardeissa erilainen. Jatkuva parantaminen Laatujohtamisessa jatkuva parantaminen perustuu William Edwards Demingin kehittämään Plan - Do - Check - Act - ympyrään, johon monasti viitataan Demingin ympyränä. Tämä on myös standardissa Katakri alla olevana ajatuksena, vaikka sitä ei standardissa suoraan mainitakaan. Ajatuksena kuitenkin on, että organisaation johto asettaa syklisesti uusia turvallisuuden tavoitteita ja osoittaa niille resursseja. Edelleen toiminnan tuloksia mitataan ja tarkastetaan. Johto katselmoi tulokset tietyn ajan kuluttua ja palaa Demingin ympyrän alkuun asettamaan uusia toiminnan parantamisen tavoitteita. Organisaatio omistaa täten koko jatkuvan parantamisen ympyrän standardissa Katakri. Toisin kuin edellä, standardissa PC DSS 3.0 sitä toteuttava organisaatio ei omista kuin toteuttamisen osuuden tästä jatkuvan parantamisen ympyrästä. Maksukorttitoimialan tietoturvastandardineuvosto omistaa Demingin ympyrästä suunnittelun osan. Standardia toteuttava organisaatio, tyypillisesti kauppias, siis vain toteuttaa tietoturvaa. Edelleen Demingin ympyrän tarkastustoiminnon tuottaa kolmas taho, ulkoinen tarkastaja. Toteuttava organisaatio kuitenkin näkee jatkuvan parantamisen ajan ylitse Maksukorttitoimialan tietoturvastandardineuvoston vaatimusten jatkuvana kehittymisenä. Lopputulos on molemmissa standardeissa kuitenkin sama, toiminta kehittyy pitkän ajan ylitse. Mainittakoon vielä, että halutessaan toteuttava organisaatio voi liittyä Maksukorttitoimialan tietoturvastandardi- neuvostoon ja osallistua näin myös itse standardin kehitystyöhön. Solinor Oy, Teollisuuskatu 21 A, F HELSNK, FNLAND / / Business D

3 PC DSS 3.0 Katakri 1 Suojaa tiedot asentamalla palomuuriratkaisu ja ylläpitämällä sitä. 2 Älä käytä ohjelmistotoimittajan määrittämiä oletussalasanoja tai muita oletusasetuksia. 3 Suojaa tallennetut kortinhaltijatiedot. 4 Siirrä kortinhaltijatiedot ja muut luottamukselliset tiedot julkisissa verkoissa salattuina. 5 Käytä virustorjuntaohjelmistoa ja päivitä se säännöllisesti. 6 Kehitä turvallisia järjestelmiä ja sovelluksia ja ylläpidä niitä. 7 Rajoita pääsy tietoihin koskemaan vain niitä, jotka tarvitsevat niitä liiketoiminnan tarkoituksiin. 8 Luo jokaiselle tietojärjestelmän käyttäjälle yksilöllinen käyttäjätunnus. 9 Rajoita fyysinen pääsy kortinhaltijoiden tietoihin. 10 Seuraa ja valvo kaikkea verkkoresurssien ja kortinhaltijoiden tietojen käyttöä. 11 Testaa tietoturvajärjestelmät ja - prosessit säännöllisesti. 12 Luo työntekijöitä ja alihankkijoita koskeva tietoturvakäytäntö. F, P, P, F A, P, Taulukko 1: Standardien päätasojen vertailu Solinor Oy, Teollisuuskatu 21 A, F HELSNK, FNLAND / / Business D

4 Standardien päätasojen vertailu Standardien päätasot on vertailtu Taulukossa 1. Hallinnon vaatimukset Katakri esittää osassaan A ja pitkälti samoja vaatimuksia on löydettävissä standardin PC DSS 3.0 päävaatimuksista 12. Katakri sisältää kuitenkin enemmän vaatimuksia kuin PC DSS 3.0 ja kaikille niistä ei löydy vastaavuutta viimeksi mainitusta. Toisin sanoen, siirtyminen ei tuottane organisaatiolle suuria vaikeuksia näiden vaatimusten osalta. Henkilöturvallisuuden vaatimukset Katakri luettelee osassa P. Myös siellä vaatimuksia on enemmän kuin standardissa PC DSS 3.0. Tässä vastaavia vaatimuksia on kirjoitettu päävaatimuksiin 8 ja 9. Siirtyminen standardista Katakri standardiin PC DSS 3.0 ei tuottane suuria vaikeuksia. Edelleen fyysisen turvallisuuden vaatimuksia löytyy standardissa Katakri osasta F. Vastaavia fyysisen turvallisuuden vaatimuksia löytyy standardissa PC DSS 3.0 päävaatimuksista 7 ja 9. Katakri sisältää huomattavasti enemmän vaatimuksia fyysiseen turvallisuuteen, kuin standardi PC DSS 3.0. Tietoverkon infrastruktuurin vaatimukset standardi Katakri kuvaa osassa, näitä vastaavia löytyy standardin PC DSS 3.0 miltei kaikista päävaatimuksista; 1-8 ja Nämä kaikki on tarkasteltava vaatimus vaatimukselta siirryttäessä standardista toiseen. Sovelluskehitys Sovelluskehityksen vaatimukset ovat standardin PC DSS 3.0 päävaatimuksessa 6. Nämä ovat hyvin paljon laajemmat kuin sovelluskehityksen vaatimukset standardissa Katakri. Mikäli organisaation harjoitta sovelluskehitystä ja aikoo siirtyä standardista Katakri standardin PC DSS 3.0 vaatimusten noudattamiseen, se joutuu luomaan koko tietoturvallisen sovelluskehityksen prosessin. Sen oleellisimmat osat ovat täydellinen räätälöidyn ohjelmakoodin parikatselmointi ja tietoturvatestaaminen ennen sovelluksen muutosta tai käyttöönottoa. Tietoturvatestaamisen vaatimukset on kuvattu seikkapäisesti standardissa PC DSS 3.0. Muutoksenhallintaprosessia tarvitaan myös, mutta se on jo mainittu standardissa Katkri. Tietoon pääsy ja salaaminen Tiedon käsittelyn, siirron ja tallennuksen salaamisen vaatimukset ovat standardissa PC DSS 3.0 huomattavasti yksityiskohtaisemmat kuin standardissa Katakri. Standardia Katakri toteuttava organisaatio joutuu lisäämään tiedon luottamuksellisuutta takaavia toimenpiteitä toteutukseensa siirtyessään toteuttamaan standardia PC DSS 3.0. Suora pääsy ulkoisesta verkosta kortinhaltijatietoon on kiellettyä standardissa PC DSS 3.0, toisin kuin pääsy tietoon standardissa Katakri. Tämän toteuttaminen on otettava huomioon järjestelmäsuunnittelussa. Edelleen standardin PC DSS 3.0 vaatii, että vain yhdellä palvelimella saa olla vain yksi päätoiminto, vastaavaa ei Katakri mainitse. Molemmat Solinor Oy, Teollisuuskatu 21 A, F HELSNK, FNLAND / / Business D

5 standardit viittaavat teknisiin suojausmenetelmiin: hyökkäyksen havaitsemisjärjestelmä, lokitus, eheyden valvonta ja synkronointi, mutta standardin PC DSS 3.0 vaatimukset ovat näitä koskien seikkaperäisemmät kuin standardissa Katakri. Järjestelmän ylläpito ja testaaminen Verkkoelementtien ohjelmistojen tietoturvahaavoittuvuuksien seuranta ja oikea- aikainen tietoturvapäivitysten käyttöönotto on kuvattu standardissa PC DSS 3.0 huomattavasti vaativammin kuin standardissa Katakri. Samoin muut verkon ja verkkoelementtien seurannan ja ylläpidon tehtävät., esimerkiksi palomuurien sääntöjen katselmointi. Tekniset testit on myös kuvattu standardissa PC DSS 3.0 huomattavasti yksityiskohtaisemmin kuin standardissa Katakri. Näistä mainittakoon ASV- ja tunkeutumistestaus. Molemmat standardit mainitsevat riskienhallinnan ja tietoturvatapahtuman käsittelyn ennalta suunnittelun. Standardi PC DSS 3.0 sisällyttää jatkuvuus- ja palautumissuunnittelun edelliseen. Katakri käsittelee näitä kuitenkin laajemmin. Toimenpiteet standardiin PC DSS 3.0 siirtymisessä Käytännön toimenpiteet siirryttäessä standardin Katakri noudattamisesta standardiin PC DSS 3.0 ovat seuraavat. 1. Tarvitaan ensinnäkin koulutus standardin PC DSS 3.0 perusteista sitä toteuttaville henkilöille, ja myöhemmin koko henkilöstön kattava koulutusohjelma. Seuraavat alueet on tarkasteltava myös a) sovelluskehityksen prosessi, b) jatkuvan tuotannon ylläpitoprosessi sekä c) tuotantojärjestelmän toteutus standardin PC DSS 3.0 vaatimuksia vastaan. 2. Tämän jälkeen voidaan siirtyä tekemään täydellinen eroanalyysi standardin PC DSS 3.0 kaikkia vaatimuksia vastaan, käyttämällä esimerkiksi Maksukorttitoimialan tietoturvastandardineuvoston julkaisemaa auditoijan työkirjaa. 3. Viimeisenä vaiheena tarvitaan ulkoisen auditoijan kilpailutus, valinta sekä ulkoinen auditointi, mukaan lukien tekniset tarkastukset ASV- ja tunkeutumistestaus. PC DSS yhteensopivuus ei kuitenkaan lopu ulkoiseen auditointiin, sillä tarvitaan myös jatkuva tuotannon ylläpito, seuranta ja päivittäminen. Lisätietoja Timo Tamminen, CSSP Solinor Oy timo.tamminen@solinor.com Solinor Oy, Teollisuuskatu 21 A, F HELSNK, FNLAND / / Business D