PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 Nixu 2014 1
Yleistä PCI DSS standardin kehittämisestä PCI SSC (Payment Card Industry Security Standards Council) on vastuussa standardin kehittämisestä ja ylläpidosta Kerää palautetta PCI-toimijoilta Tavoitteena vastata kehittyviin uhkiin Standardin elinkaari kestää kolme vuotta Yhden vuoden siirtymäaika, jolloin vanha ja uusi standardi voimassa PCI DSS 2.0 julkaistiin lokakuussa 2010 PCI DSS 3.0 julkaistiin marraskuussa 2013 Voimassa 2014 Pakollinen 2015 15.1.2014 Nixu 2014 2
3.0:n tavoitteita Maksukorttiturvallisuus business as usual Koulutuksen ja tietoisuuden lisääminen Joustavuus Tarkastusten yhtenäisyys Tietoturvan jaettu vastuu 15.1.2014 Nixu 2014 3
Yleisiä muutoksia PCI-vaatimusten vaikutusalueen (scope) tarkennukset Business as usual osio Best practises ohjeistus Lisätty vaatimuksiin ohjeistussarake kuvastamaan vaatimuksen tarkoitusta Kohdistettujen tietoturvapolitiikkojen ja proseduurien siirtäminen omiin vaatimusryhmiinsä Auditoinnissa käytettäviä testausproseduureja on tarkennettu Kielellisiä ja typografisia korjauksia 15.1.2014 Nixu 2014 4
Yksittäiset muutokset 15.1.2014 Nixu 2014 5
Verkot, palomuurit, järjestelmien turvaparametrit (1,2) Korttitietovirtojen dokumentointi Tarkennukset turvattomista protokollista Tarkennuksia vaatimusten testauksista ja tavoitteista Inventaariolistaus PCI-ympäristön komponenteista Tarkennuksia organisaation konfiguraatiostandardeista 15.1.2014 Nixu 2014 6
Esimerkki tarkennuksista Vaatimus Testausproseduuri 2.0 3.0 15.1.2014 Nixu 2014 7
Haittaohjelmat (5) Otsikkomuutos Use and regularly update anti-virus software or programs -> Protect all systems against malware and regularly update anti-virus software or programs Haittaohjelmauhkien säännöllinen arviointi myös järjestelmissä, jotka eivät tyypillisesti ole haittaohjelmien kohteena Käyttäjä ei voi sammuttaa tai muuttaa virustutkaa 15.1.2014 Nixu 2014 8
Järjestelmä- ja ohjelmistokehitys (6) Ohjelmistokehittäjien koulutus huomioimaan myös sensitiivisen tiedon käsittely muistissa Ohjelmistokehityksen otettava huomioon haavoittuvuuksien hallinnassa kulloisetkin best practise -listat Uutena haavoittuvuusluokkana broken authentication and session management (Best practise until Jun 2015) Tarkennukset web-sovellusten turvatestaukseen: ei ole sama kuin verkkohaavoittuvuusskannaus Web-application firewall -> automated technical solution that detects and prevents web-based attacks 15.1.2014 Nixu 2014 9
Autentikointi (8) Otsikkomuutos Assign a unique ID to each person with computer access -> Identify and authenticate access to system components Salasanoille vaihtoehtoiset autentikointimekanismit Kompleksisuusvaatimukset voidaan korvata esim. entropialla Käyttäjäohjeistus hyvistä salasanakäytännöistä Palveluntarjoajien tulee käyttää uniikkeja salasanoja eri asiakasympäristöihin Ei koske omia hostattuja ympäristöjä (Best practise until Jun 2015) Toimikorttipohjaiset ja vastaavat autentikointimekanismit tulee linkittää vain yksittäisiin käyttäjiin Fyysiset tai loogiset kontrollit 15.1.2014 Nixu 2014 10
Fyysinen turvallisuus (9) Fyysisen pääsyn tulee olla auktorisoitua ja perustua työnkuvaan Oikeudet perutaan heti työsuhteen loppuessa Maksupäätteiden (kortinlukijan) turvaaminen Inventaariolistojen ylläpito Säännölliset tarkastukset peukaloinnin varalta Henkilökunnan koulutus Tunnistetaan peukalointi, epäilyttävät laitteet Raportointi esimiehelle Valtuutettu huolto Laitteiden asennus/luovutus (Best practise until Jun 2015) 15.1.2014 Nixu 2014 11
Monitorointi (10) Lokitus muutoksista tunnistusmekanismeihin tai pääkäyttäjätunnuksiin Havainnoi lokien pysäyttäminen kokonaan tai väliaikaisesti Tarkennuksia siitä, mitä lokeja tutkitaan päivittäin (manuaalisesti tai työkalujen avulla) ja millä frekvenssillä muita lokeja tutkitaan organisaation politiikkojen/riskien hallinnan mukaisesti 15.1.2014 Nixu 2014 12
Testaus (11) Inventaario käytössä olevista langattomista verkoista ja näiden perustellusta käyttötarkoituksesta Murtotestausta varten tulee olla määritelty metodologia (Best practise until Jun 2015) Segmentoinnin toimivuuden tarkistus vuosittain tai muutosten jälkeen Intrusion-detection systems, and/or intrusion-prevention systems -> Intrusion-detection and/or intrusion-prevention techniques File integrity monitoring -> Change detection mechanism Prosessimääritellyt kuinka muutoshälytyksiin vastataan 15.1.2014 Nixu 2014 13
Tietoturvapolitiikat (12) Riskien arviointi tehdään myös merkittävien muutosten jälkeen Tarkennettu että palveluntarjoaja käsittelee korttidataa tai voi vaikuttaa maksukorttiympäristön tietoturvaan Listaukset vaatimuksista, mitkä ovat organisaation ja mitkä palveluntarjoajan vastuulla Palveluntarjoaja ylläpitää prosesseja, jotka varmistavat että se pystyy kirjallisesti ilmaisemaan vastuunsa soveltuvien PCI DSS vaatimusten noudattamisesta Auditoitava kohde on palveluntarjoaja (Best practise until Jun 2015) 15.1.2014 Nixu 2014 14
Yhteenveto PCI-ympäristön (scope) tarkentuminen Kaikki korttiturvallisuuden oleellisesti liittyvät komponentit Lisääntynyt inventaariotarve Tiedosta PCI-ympäristö Maksupäätteiden turvallisuudesta huolehtiminen Fyysinen turvallisuus Henkilöstön koulutus Murtotestausmetodologia Palvelutarjoajien tarkempi seuranta Vaatimusten kohdentaminen 15.1.2014 Nixu 2014 15
Kiitos mielenkiinnosta! Kysymyksiä/kommentteja? Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 15.1.2014 Nixu 2014 16