PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Transkriptio

1 PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

2 Yleistä PCI DSS standardin kehittämisestä PCI SSC (Payment Card Industry Security Standards Council) on vastuussa standardin kehittämisestä ja ylläpidosta Kerää palautetta PCI-toimijoilta Tavoitteena vastata kehittyviin uhkiin Standardin elinkaari kestää kolme vuotta Yhden vuoden siirtymäaika, jolloin vanha ja uusi standardi voimassa PCI DSS 2.0 julkaistiin lokakuussa 2010 PCI DSS 3.0 julkaistiin marraskuussa 2013 Voimassa 2014 Pakollinen Nixu

3 3.0:n tavoitteita Maksukorttiturvallisuus business as usual Koulutuksen ja tietoisuuden lisääminen Joustavuus Tarkastusten yhtenäisyys Tietoturvan jaettu vastuu Nixu

4 Yleisiä muutoksia PCI-vaatimusten vaikutusalueen (scope) tarkennukset Business as usual osio Best practises ohjeistus Lisätty vaatimuksiin ohjeistussarake kuvastamaan vaatimuksen tarkoitusta Kohdistettujen tietoturvapolitiikkojen ja proseduurien siirtäminen omiin vaatimusryhmiinsä Auditoinnissa käytettäviä testausproseduureja on tarkennettu Kielellisiä ja typografisia korjauksia Nixu

5 Yksittäiset muutokset Nixu

6 Verkot, palomuurit, järjestelmien turvaparametrit (1,2) Korttitietovirtojen dokumentointi Tarkennukset turvattomista protokollista Tarkennuksia vaatimusten testauksista ja tavoitteista Inventaariolistaus PCI-ympäristön komponenteista Tarkennuksia organisaation konfiguraatiostandardeista Nixu

7 Esimerkki tarkennuksista Vaatimus Testausproseduuri Nixu

8 Haittaohjelmat (5) Otsikkomuutos Use and regularly update anti-virus software or programs -> Protect all systems against malware and regularly update anti-virus software or programs Haittaohjelmauhkien säännöllinen arviointi myös järjestelmissä, jotka eivät tyypillisesti ole haittaohjelmien kohteena Käyttäjä ei voi sammuttaa tai muuttaa virustutkaa Nixu

9 Järjestelmä- ja ohjelmistokehitys (6) Ohjelmistokehittäjien koulutus huomioimaan myös sensitiivisen tiedon käsittely muistissa Ohjelmistokehityksen otettava huomioon haavoittuvuuksien hallinnassa kulloisetkin best practise -listat Uutena haavoittuvuusluokkana broken authentication and session management (Best practise until Jun 2015) Tarkennukset web-sovellusten turvatestaukseen: ei ole sama kuin verkkohaavoittuvuusskannaus Web-application firewall -> automated technical solution that detects and prevents web-based attacks Nixu

10 Autentikointi (8) Otsikkomuutos Assign a unique ID to each person with computer access -> Identify and authenticate access to system components Salasanoille vaihtoehtoiset autentikointimekanismit Kompleksisuusvaatimukset voidaan korvata esim. entropialla Käyttäjäohjeistus hyvistä salasanakäytännöistä Palveluntarjoajien tulee käyttää uniikkeja salasanoja eri asiakasympäristöihin Ei koske omia hostattuja ympäristöjä (Best practise until Jun 2015) Toimikorttipohjaiset ja vastaavat autentikointimekanismit tulee linkittää vain yksittäisiin käyttäjiin Fyysiset tai loogiset kontrollit Nixu

11 Fyysinen turvallisuus (9) Fyysisen pääsyn tulee olla auktorisoitua ja perustua työnkuvaan Oikeudet perutaan heti työsuhteen loppuessa Maksupäätteiden (kortinlukijan) turvaaminen Inventaariolistojen ylläpito Säännölliset tarkastukset peukaloinnin varalta Henkilökunnan koulutus Tunnistetaan peukalointi, epäilyttävät laitteet Raportointi esimiehelle Valtuutettu huolto Laitteiden asennus/luovutus (Best practise until Jun 2015) Nixu

12 Monitorointi (10) Lokitus muutoksista tunnistusmekanismeihin tai pääkäyttäjätunnuksiin Havainnoi lokien pysäyttäminen kokonaan tai väliaikaisesti Tarkennuksia siitä, mitä lokeja tutkitaan päivittäin (manuaalisesti tai työkalujen avulla) ja millä frekvenssillä muita lokeja tutkitaan organisaation politiikkojen/riskien hallinnan mukaisesti Nixu

13 Testaus (11) Inventaario käytössä olevista langattomista verkoista ja näiden perustellusta käyttötarkoituksesta Murtotestausta varten tulee olla määritelty metodologia (Best practise until Jun 2015) Segmentoinnin toimivuuden tarkistus vuosittain tai muutosten jälkeen Intrusion-detection systems, and/or intrusion-prevention systems -> Intrusion-detection and/or intrusion-prevention techniques File integrity monitoring -> Change detection mechanism Prosessimääritellyt kuinka muutoshälytyksiin vastataan Nixu

14 Tietoturvapolitiikat (12) Riskien arviointi tehdään myös merkittävien muutosten jälkeen Tarkennettu että palveluntarjoaja käsittelee korttidataa tai voi vaikuttaa maksukorttiympäristön tietoturvaan Listaukset vaatimuksista, mitkä ovat organisaation ja mitkä palveluntarjoajan vastuulla Palveluntarjoaja ylläpitää prosesseja, jotka varmistavat että se pystyy kirjallisesti ilmaisemaan vastuunsa soveltuvien PCI DSS vaatimusten noudattamisesta Auditoitava kohde on palveluntarjoaja (Best practise until Jun 2015) Nixu

15 Yhteenveto PCI-ympäristön (scope) tarkentuminen Kaikki korttiturvallisuuden oleellisesti liittyvät komponentit Lisääntynyt inventaariotarve Tiedosta PCI-ympäristö Maksupäätteiden turvallisuudesta huolehtiminen Fyysinen turvallisuus Henkilöstön koulutus Murtotestausmetodologia Palvelutarjoajien tarkempi seuranta Vaatimusten kohdentaminen Nixu

16 Kiitos mielenkiinnosta! Kysymyksiä/kommentteja? Nixu Oy P.O. Box 39 (Keilaranta 15), FI Espoo, Finland Tel , Fax , nixu.sales@nixu.com Nixu