Standardien PCI DSS 3.0 ja Katakri II vertailu



Samankaltaiset tiedostot
Standardit tietoturvan arviointimenetelmät

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietosuojaseloste. Trimedia Oy

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

PK-yrityksen tietoturvasuunnitelman laatiminen

Pilvipalveluiden arvioinnin haasteet

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Tietoturvapäivä

Tietoturvapolitiikka

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

KILPAILUTTAMO PALVELU

Vesihuolto päivät #vesihuolto2018

Verkostoautomaatiojärjestelmien tietoturva

Kuntarekry.fi. case: pilvipalvelut KL-Kuntarekry Oy / Tuula Nurminen

Auditoinnit ja sertifioinnit

Kyberturvallisuus kiinteistöautomaatiossa

Tietoturvakonsulttina työskentely KPMG:llä

Tietoturvavinkkejä pilvitallennuspalveluiden

Espoon kaupunkikonsernin tietoturvapolitiikka

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Onnistunut SAP-projekti laadunvarmistuksen keinoin

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi.

IT-ERP Tietohallinnon toiminnanohjausratkaisuna. ja ITIL palveluiden kehittämisessä

OHSAS vs. ISO mikä muuttuu?

Ohjattua suorituskykyä.

HAMINAKOTKA SATAMA OY:N VISY ACCESS GATE- KULUNVALVONTAOHJELMISTON REKISTERISELOSTE

Sähköi sen pal l tietototurvatason arviointi

Järjestelmäarkkitehtuuri (TK081702) Lähtökohta. Integroinnin tavoitteet

Tietosuojaseloste (5)

EnergiaTehokkuusJärjestelmän. sisältö ja käyttöönotto yrityksissä

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

UUDENKAUPUNGIN KAUPUNKI

Käytännön kokemuksia laatujärjestelmistä

EUREFin vaikutukset organisaatioiden tietojärjestelmiin

Miten näkökulmat ovat syventyneet ISO ja välillä? Lassi Väisänen

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa!

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

TALPOL linjaukset TORI-toimenpiteet

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus

Mistä on kyse ja mitä hyötyä ne tuovat?

Ohjelma. Energiatehokkuuden tuloksellinen johtaminen

Timo Drachman. Patjanen: saumaton palvelumalli keskisuurille yrityksille

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

Purku ja tuotannon ylläpito muutosta toteutettaessa. Vesa Pihlajamaa Hallituksen puheenjohtaja, SK Protect Oy

Ti Tietoturvan Perusteet : Politiikka

TIETOTURVA- POLITIIKKA

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

SOPIMUSLUONNOS Opintojaksopalautejärjestelmän rakentamisesta

TIETOTURVAPOLITIIKKA

Näin rakensimme kansainvälisen kommunikaatioympäristön. Markus Vartiainen, Business Unit Executive, Fujitsu

Varmaa ja vaivatonta viestintää

Avain palveluiden toimintavarmuuteen

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Omakannan Omatietovaranto palvelun asiakastestaus

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Käyttöjärjestelmät. 1pJÄKÄ1 KÄYTTÖJÄRJESTELMÄN HALLINTA, 12 OSP

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Verkkosovellusten tietoturvastrategia

Hankintariskit haltuun virtualisoinnilla

Kymenlaakson Kyläportaali

Kansallinen palveluarkkitehtuuri Tilannekatsaus JUHTA O-P Rissanen

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Ohjelmiston toteutussuunnitelma

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

ARVIOINTISUUNNITELMA Sivu 1/7

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

OHJE 1 (5) VALMERI-KYSELYN KÄYTTÖOHJEET. Kyselyn sisältö ja tarkoitus

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Sovelto Oyj JULKINEN

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Etelä-Pirkanmaan seutukunnallinen tietohallinto

Kysymykset ja vastaukset:

TIETOSUOJASELOSTE. 1. Rekisterinpitäjä. Pro-Stories Oy

TOIMINNALLINEN MÄÄRITTELY MS

MÄNTÄ-VILPPULAN KESKUSTATAAJAMAN OYK

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

julkinen ja yksityinen tila menevät sekaisin kulunrajoitusta ja -ohjausta ihmisille toiminta osin ympärivuorokautista asennusalustoja ja -reittejä

Yleiset kommentit tietoturvastrategialuonnokseen (1/3)

Tietoturvapolitiikka turvallisuuden perusta

Käyttöoikeudet ja käyttäjähallinta

Toimintatapamuutokset ja verkostot mahdollistajina. Kestävä yhdyskunta

Transkriptio:

Standardien PC DSS 3.0 ja Katakri vertailu Copyright Solinor Oy 2014 Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170

Standardien PC DSS 3.0 ja Katakri vertailu Seuraavassa tarkastellaan maksukorttitoimialan tietoturvastandardin PC DSS 3.0 ja kansallisen turvallisuusauditointikriteeristön Katakri keskinäisiä yhtenäisyyksiä ja eroja. Tarkastelu tehdään siitä lähtökohdasta, että organisaatio toimii standardin Katakri puitteissa ja että sitä kiinnostaa sertifioituminen standardiin PC DSS 3.0. Taustaa PC DSS 3.0 on kansainvälisten luottokorttiyhtiöiden yhteenliittymän, Maksukorttitoimialan tietoturvastandardineuvoston, PC SSC, kehittämä ja ylläpitämä standardi korttimaksamisen tekniikkaan ja hallintoon. Tämän kohteena ovat maksukorttisuorituksia vastanottavat kauppiaat ja kauppiaiden edustajat. Vastaavasti Katakri on suomalainen viranomaisen käyttöönsä luoma ja ylläpitämä standardi tiedon tarkastuksen suorittamiseksi sekä sen turvallisuudesta huolehtimiseksi. Katakri on siten toimialaltaan huomattavasti edellistä laajempi, mutta vain suomalaisille viranomaisille tai niiden kanssa toimijoille tärkeä. Standardissa Katakri on neljä eri tasoista toteuttamisen luokkaa, kun taas standardissa PC DSS 3.0 tällaisia ei ole. Toisaalta, eri toteuttamisen tasoilla sovelletaan täyttä PC DSS 3.0 standardia suppeampia osajoukkoja vaatimuksista. Näin ollen lähestyminen erilaisiin vaatimustasoihin on standardeissa erilainen. Jatkuva parantaminen Laatujohtamisessa jatkuva parantaminen perustuu William Edwards Demingin kehittämään Plan - Do - Check - Act - ympyrään, johon monasti viitataan Demingin ympyränä. Tämä on myös standardissa Katakri alla olevana ajatuksena, vaikka sitä ei standardissa suoraan mainitakaan. Ajatuksena kuitenkin on, että organisaation johto asettaa syklisesti uusia turvallisuuden tavoitteita ja osoittaa niille resursseja. Edelleen toiminnan tuloksia mitataan ja tarkastetaan. Johto katselmoi tulokset tietyn ajan kuluttua ja palaa Demingin ympyrän alkuun asettamaan uusia toiminnan parantamisen tavoitteita. Organisaatio omistaa täten koko jatkuvan parantamisen ympyrän standardissa Katakri. Toisin kuin edellä, standardissa PC DSS 3.0 sitä toteuttava organisaatio ei omista kuin toteuttamisen osuuden tästä jatkuvan parantamisen ympyrästä. Maksukorttitoimialan tietoturvastandardineuvosto omistaa Demingin ympyrästä suunnittelun osan. Standardia toteuttava organisaatio, tyypillisesti kauppias, siis vain toteuttaa tietoturvaa. Edelleen Demingin ympyrän tarkastustoiminnon tuottaa kolmas taho, ulkoinen tarkastaja. Toteuttava organisaatio kuitenkin näkee jatkuvan parantamisen ajan ylitse Maksukorttitoimialan tietoturvastandardineuvoston vaatimusten jatkuvana kehittymisenä. Lopputulos on molemmissa standardeissa kuitenkin sama, toiminta kehittyy pitkän ajan ylitse. Mainittakoon vielä, että halutessaan toteuttava organisaatio voi liittyä Maksukorttitoimialan tietoturvastandardi- neuvostoon ja osallistua näin myös itse standardin kehitystyöhön. Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170

PC DSS 3.0 Katakri 1 Suojaa tiedot asentamalla palomuuriratkaisu ja ylläpitämällä sitä. 2 Älä käytä ohjelmistotoimittajan määrittämiä oletussalasanoja tai muita oletusasetuksia. 3 Suojaa tallennetut kortinhaltijatiedot. 4 Siirrä kortinhaltijatiedot ja muut luottamukselliset tiedot julkisissa verkoissa salattuina. 5 Käytä virustorjuntaohjelmistoa ja päivitä se säännöllisesti. 6 Kehitä turvallisia järjestelmiä ja sovelluksia ja ylläpidä niitä. 7 Rajoita pääsy tietoihin koskemaan vain niitä, jotka tarvitsevat niitä liiketoiminnan tarkoituksiin. 8 Luo jokaiselle tietojärjestelmän käyttäjälle yksilöllinen käyttäjätunnus. 9 Rajoita fyysinen pääsy kortinhaltijoiden tietoihin. 10 Seuraa ja valvo kaikkea verkkoresurssien ja kortinhaltijoiden tietojen käyttöä. 11 Testaa tietoturvajärjestelmät ja - prosessit säännöllisesti. 12 Luo työntekijöitä ja alihankkijoita koskeva tietoturvakäytäntö. F, P, P, F A, P, Taulukko 1: Standardien päätasojen vertailu Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170

Standardien päätasojen vertailu Standardien päätasot on vertailtu Taulukossa 1. Hallinnon vaatimukset Katakri esittää osassaan A ja pitkälti samoja vaatimuksia on löydettävissä standardin PC DSS 3.0 päävaatimuksista 12. Katakri sisältää kuitenkin enemmän vaatimuksia kuin PC DSS 3.0 ja kaikille niistä ei löydy vastaavuutta viimeksi mainitusta. Toisin sanoen, siirtyminen ei tuottane organisaatiolle suuria vaikeuksia näiden vaatimusten osalta. Henkilöturvallisuuden vaatimukset Katakri luettelee osassa P. Myös siellä vaatimuksia on enemmän kuin standardissa PC DSS 3.0. Tässä vastaavia vaatimuksia on kirjoitettu päävaatimuksiin 8 ja 9. Siirtyminen standardista Katakri standardiin PC DSS 3.0 ei tuottane suuria vaikeuksia. Edelleen fyysisen turvallisuuden vaatimuksia löytyy standardissa Katakri osasta F. Vastaavia fyysisen turvallisuuden vaatimuksia löytyy standardissa PC DSS 3.0 päävaatimuksista 7 ja 9. Katakri sisältää huomattavasti enemmän vaatimuksia fyysiseen turvallisuuteen, kuin standardi PC DSS 3.0. Tietoverkon infrastruktuurin vaatimukset standardi Katakri kuvaa osassa, näitä vastaavia löytyy standardin PC DSS 3.0 miltei kaikista päävaatimuksista; 1-8 ja 10-12. Nämä kaikki on tarkasteltava vaatimus vaatimukselta siirryttäessä standardista toiseen. Sovelluskehitys Sovelluskehityksen vaatimukset ovat standardin PC DSS 3.0 päävaatimuksessa 6. Nämä ovat hyvin paljon laajemmat kuin sovelluskehityksen vaatimukset standardissa Katakri. Mikäli organisaation harjoitta sovelluskehitystä ja aikoo siirtyä standardista Katakri standardin PC DSS 3.0 vaatimusten noudattamiseen, se joutuu luomaan koko tietoturvallisen sovelluskehityksen prosessin. Sen oleellisimmat osat ovat täydellinen räätälöidyn ohjelmakoodin parikatselmointi ja tietoturvatestaaminen ennen sovelluksen muutosta tai käyttöönottoa. Tietoturvatestaamisen vaatimukset on kuvattu seikkapäisesti standardissa PC DSS 3.0. Muutoksenhallintaprosessia tarvitaan myös, mutta se on jo mainittu standardissa Katkri. Tietoon pääsy ja salaaminen Tiedon käsittelyn, siirron ja tallennuksen salaamisen vaatimukset ovat standardissa PC DSS 3.0 huomattavasti yksityiskohtaisemmat kuin standardissa Katakri. Standardia Katakri toteuttava organisaatio joutuu lisäämään tiedon luottamuksellisuutta takaavia toimenpiteitä toteutukseensa siirtyessään toteuttamaan standardia PC DSS 3.0. Suora pääsy ulkoisesta verkosta kortinhaltijatietoon on kiellettyä standardissa PC DSS 3.0, toisin kuin pääsy tietoon standardissa Katakri. Tämän toteuttaminen on otettava huomioon järjestelmäsuunnittelussa. Edelleen standardin PC DSS 3.0 vaatii, että vain yhdellä palvelimella saa olla vain yksi päätoiminto, vastaavaa ei Katakri mainitse. Molemmat Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170

standardit viittaavat teknisiin suojausmenetelmiin: hyökkäyksen havaitsemisjärjestelmä, lokitus, eheyden valvonta ja synkronointi, mutta standardin PC DSS 3.0 vaatimukset ovat näitä koskien seikkaperäisemmät kuin standardissa Katakri. Järjestelmän ylläpito ja testaaminen Verkkoelementtien ohjelmistojen tietoturvahaavoittuvuuksien seuranta ja oikea- aikainen tietoturvapäivitysten käyttöönotto on kuvattu standardissa PC DSS 3.0 huomattavasti vaativammin kuin standardissa Katakri. Samoin muut verkon ja verkkoelementtien seurannan ja ylläpidon tehtävät., esimerkiksi palomuurien sääntöjen katselmointi. Tekniset testit on myös kuvattu standardissa PC DSS 3.0 huomattavasti yksityiskohtaisemmin kuin standardissa Katakri. Näistä mainittakoon ASV- ja tunkeutumistestaus. Molemmat standardit mainitsevat riskienhallinnan ja tietoturvatapahtuman käsittelyn ennalta suunnittelun. Standardi PC DSS 3.0 sisällyttää jatkuvuus- ja palautumissuunnittelun edelliseen. Katakri käsittelee näitä kuitenkin laajemmin. Toimenpiteet standardiin PC DSS 3.0 siirtymisessä Käytännön toimenpiteet siirryttäessä standardin Katakri noudattamisesta standardiin PC DSS 3.0 ovat seuraavat. 1. Tarvitaan ensinnäkin koulutus standardin PC DSS 3.0 perusteista sitä toteuttaville henkilöille, ja myöhemmin koko henkilöstön kattava koulutusohjelma. Seuraavat alueet on tarkasteltava myös a) sovelluskehityksen prosessi, b) jatkuvan tuotannon ylläpitoprosessi sekä c) tuotantojärjestelmän toteutus standardin PC DSS 3.0 vaatimuksia vastaan. 2. Tämän jälkeen voidaan siirtyä tekemään täydellinen eroanalyysi standardin PC DSS 3.0 kaikkia vaatimuksia vastaan, käyttämällä esimerkiksi Maksukorttitoimialan tietoturvastandardineuvoston julkaisemaa auditoijan työkirjaa. 3. Viimeisenä vaiheena tarvitaan ulkoisen auditoijan kilpailutus, valinta sekä ulkoinen auditointi, mukaan lukien tekniset tarkastukset ASV- ja tunkeutumistestaus. PC DSS 3.0 - yhteensopivuus ei kuitenkaan lopu ulkoiseen auditointiin, sillä tarvitaan myös jatkuva tuotannon ylläpito, seuranta ja päivittäminen. Lisätietoja Timo Tamminen, CSSP Solinor Oy timo.tamminen@solinor.com +358 50 4358 104 Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute