1 / 19

PCI DSS szabványról röviden

PCI DSS szabványról röviden. Krasznay Csaba kancellár.hu Kft. Mi az a PCI DSS szabvány?. A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg. Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB.

channing
Download Presentation

PCI DSS szabványról röviden

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PCI DSS szabványról röviden Krasznay Csaba kancellár.hu Kft.

  2. Mi az a PCI DSS szabvány? • A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg. • Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB. • Elsődleges céljuk a bankkártyákkal való nagyarányú visszaélések csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél. • Mindenkire vonatkozik, aki bankkártya adatokat tárol, dolgozol fel, vagy továbbít.

  3. Mi az a PCI DSS szabvány? • Tulajdonképpen egy olyan szabvány, ami a bankkártya adatokat feldolgozó cégek • biztonsági menedzsmentjével, • szabályzati rendszerével, • hálózati architektúrájával, • szoftvereivel és • más védelmi megoldásaival • kapcsolatos követelményeket támaszt. • Más szabványokkal szemben a követelményeket nem egy bizottság, hanem az élet alkotta.

  4. Előzmények • Elsőként (2001-ben) a VISA jelentetett meg követelményeket, melyek a bankkártyákkal dolgozó e-boltokra vonatkoztak. • Ezt Cardholder Information Security Programnak (CISP) hívták. • A MasterCard ez idő alatt egy Site Data Protection (SDP) nevű programot dolgozott ki. • A két cég 2004-ben kezdett együttműködni, és 2004. végére együtt dolgozták ki a PCI DSS szabványt, amihez más gyártók is csatlakoztak.

  5. A PCI DSS tartalma • Biztonságos hálózat építése és üzemeltetése: • 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. • 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. • A kártyabirtokos adatainak védelme: • 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. • 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait.

  6. A PCI DSS tartalma • Sérülékenység-kezelési program fenntartása: • 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. • 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. • Erős hozzáférés-védelmi megoldások alkalmazása: • 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. • 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. • 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.

  7. A PCI DSS tartalma • A hálózatok rendszeres monitorozása és tesztelése: • 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. • 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. • Információbiztonsági szabályzat fenntartása: • 12. követelmény: Információbiztonsági szabályzatot kell fenntartani.

  8. A PCI DSS tartalma • A követelménylista nagyon konkrét. Példának álljon itt a 6.5-ös pont, ami a webes alkalmazásokra vonatkozik. • Minden webes alkalmazást olyan biztonságos kódolási útmutatók alapján kell fejleszteni, mint az Open Web Application Security Project (OWASP) útmutatói. A kész kódot ellenőrizni kell a sérülékenységek megtalálása érdekében. Az általános kódolási sérülékenységeket el kell kerülni a szoftverfejlesztési folyamatban, figyelembe véve a következőket: • Nem validált input, • Feltört hozzáférés-vezérlés (pl. visszaélés az azonosítókkal),

  9. A PCI DSS tartalma • Feltört hitelesítés és session kezelés (visszaélés a cookie-kal), • Cross-site scripting támadás, • Puffer túlcsordulás, • Injektálásos támadások (pl. SQL injection), • Nem megfelelő hibakezelés, • Nem biztonságos tárolás, • Túlterheléses támadás, • Nem biztonságos konfigurációmenedzsment.

  10. A kártyabirtokos adatai

  11. Kire vonatkozik az előírás? • A kereskedőkre: • E-boltok, • Hagyományos boltok, • Az elfogadókra: • Bankok, • Kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal • A szolgáltatókra: • Akik több e-boltot üzemeltetnek, • Bankkártya adatokat gyűjtenek a kibocsátók nevében.

  12. Kire nem vonatkozik az előírás? • A bankkártya kibocsátó bankokra • A tranzakciók jóváhagyóira, akik nem befogadói a tranzakcióknak • Azokra a kereskedőkre, akik nem kezelnek bankkártya adatokat. • A kereskedők és más entitások megfelelőségéről az elfogadónak kell gondoskodnia!

  13. Miért érdemes megfelelni a szabványnak? • Amennyiben a kártyainformációk kiszivárognak, és az érintett nem felel meg a PCI DSS-nek, a kibocsátó büntetést szabhat ki. • Ez az elfogadónál akár 500.000 $-os büntetést is jelenthet, amit kiszivárgott kártyaadatonként akár 25 $-ral is kiegészíthetnek. • Az elfogadó csak akkor mentesülhet a büntetés alól, ha a kereskedői megfelelnek a PCI DSS-nek. • Emellett elvileg minden félnek jól felfogott érdeke biztonságban tudni a rendszerét. • Egy bankkártyaadat a Symantec információja szerint 0.50-5 $-t ér az internetes feketepiacon.

  14. A megfelelőség ellenőrzésének módjai • Helyszíni vizsgálat: évente kötelező a Level 1 kereskedőknek és a Level 1, 2 szolgáltatóknak. A kereskedők belső vagy független auditot hajthatnak végre, a szolgáltatóknak a PCI DSS auditra felhatalmazott tanácsadót kell alkalmazniuk. • Önfelmérő tesztek: évente kötelező a Level 2, 3, 4 kereskedőknek és a Level 3 szolgáltatóknak. • Hálózatbiztonsági ellenőrzés: a weboldalak biztonságának ellenőrzése a célja. A Level 1, 2, 3 kereskedőknek és minden szolgáltatónak kötelező negyedévente végrehajtani.

  15. Kire hogyan vonatkozik PCI DSS megfelelőség? • Level 1 kereskedő: • Minden olyan kereskedő, akinek feltörték a rendszerét, vagy adatok szivárogtak ki tőle. • Minden olyan kereskedő, aki évente 6 milliónál több kártyatranzakciót hajt végre. • Level 2 kereskedő: • Minden online kereskedő, aki évente 150.000-6 millió tranzakciót hajt végre. • Level 3 kereskedő: • Minden online kereskedő, aki évente 20.000-150.000 tranzakciót hajt végre. • Level 4 kereskedő: • Aki nem tartozik ebbe a kategóriába, annak opcionális a megfelelés.

  16. Kire hogyan vonatkozik PCI DSS megfelelőség? • Level 1 szolgáltató: • Aki a Level 1 és 2 kereskedő nevében tárol adatot. • Level 2 szolgáltató: • Aki Level 3 kereskedő nevében tárol adatot. • Level 3 szolgáltató: • Azok, akik a fenti kategóriába nem férnek be.

  17. Kik végezhetik el a tesztelést? • A PCI DSS-t összefogó szerv jelöli ki azokat a cégeket, akik a helyszíni ellenőrzést és a hálózati ellenőrzést elvégezhetik. • A Qualified Security Assessor-ok végzik a helyszíni ellenőrzést. • Az Approved Scanning Vendor-ok végzik a hálózati ellenőrzést. • Rájuk komoly minőségi elvárások vonatkoznak. • A közép-kelet-európai régióban alig található ilyen szolgáltató. • Magyarországot egyetlen szolgáltató vállalta fel.

  18. Magyarországon ez mennyire számít? • A Level 1 kereskedők mintegy 35%-a rendelkezik PCI DSS megfelelőséggel. • Magyarországon egyetlen projektről sikerült információt szerezni. • A Google magyar vonatkozásban nem túl bőbeszédű. • Azonban ha szigorúan vesszük a követelményeket, legalábbis a PCI DSS FAQ szerint, akár az IP alapú POS terminálok is érintettek lehetnek. • Elfogadóként mindenesetre érdemes utánanézni a kibocsátók követelményeinek…

  19. Köszönöm szépen! krasznay.csaba@kancellar.hu

More Related