pci standard...priprave na projekt zagotovitve skladnosti •priprava na certifikacijo se je...
TRANSCRIPT
![Page 1: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/1.jpg)
PCI standard – Kako se je Bankart uspešno certificiral?
Marko Trček - SRC
Vodja programa varovanja podatkov
CCIE#17858 (Security)
Robert Mihevc – Bankart d.o.o.
Vodja oddelka za sistemsko podporo in
komunikacije
![Page 2: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/2.jpg)
Agenda
• Kaj je PCI standard ?
• Zgodovina standarda
• Kdo opredeljuje standard
• Vsebina in struktura standarda
• Kako se je certificiral Bankart
• Kaj so bile ključne točke pri prilagoditvi sistemov in procesov
• Tehnične rešitve
• Zakaj slediti standardu?
![Page 3: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/3.jpg)
Kaj je PCI standard?
• PCI DSS - Payment Card Industry Data Security Standard
• Predpisuje varno upravljanje, prenašanje in shranjevanje podatkov o karticah na vseh nivojih poslovanja
• Namenjen vsem ustanovam, ki pri se pri svojem poslovanju srečujejo s plačilnimi karticami (kreditnimi, debetnimi, predplačniškimi) na katerih koli uporabniških terminalih (bankomati, POS terminali, internet plačila)
![Page 4: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/4.jpg)
Zgodovina standarda
• Leto 2000 - VISA CISP
• MasterCard SDP
• .....
• Leto 2005 – PCI DSS v1.0
• Leto 2006 – PCI SSC - Security Standard Council (ustanovitelji MasterCard, Visa, American Express, JBC International in Discover Financial Services)
• ....
• 1.1.2012 – PCI DSS v2.0
![Page 5: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/5.jpg)
Kdo opredeljuje in preverja skladnost s PCI standardom?
• Krovna organizacija PCI Security Standard Council (www.pcisecuritystandards.org) – definira standarde in jih nadgrajuje z novimi zahtevami
• MasterCard, VISA, JBC, American Express, Discover – preverjajo skladnost udeleženk v svojih sistemih in določajo kriterije globine preverjanja skladnosti. Kriteriji so objavljeni na:
VISA:
http://www.visaeurope.com/en/businesses__retailers/payment_security.aspx
MasterCard: http://www.mastercard.com/us/company/en/whatwedo/pci_security_standards.html
![Page 6: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/6.jpg)
Kdo je podvržen standardu?
• Vsakdo kdor:
• Shranjuje podatke o karticah
• Procesira podatke o karticah
• Prenaša podatke o karticah
• Različni nivoji preverjanja skladnosti glede na tip organizacije
• Service Provider (procesni centri ipd.):
• Četrtletno zunanje preverjanje javnih dostopnih točk (s strani ASV)
• Letna izvedba pregleda na lokaciji s strani pooblaščenih revizorjev (QSA)
• Trgovci:
• Z več kot 6mio transakcij letno ter trgovci, ki so že imeli vdor in zlorabo v sistem – enako kot service provider
• Do 6 mio transakcij letno – četrtletno zunanje preverjanje (ASV) ter 1 x letno samoocenitveni vprašalnik
![Page 7: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/7.jpg)
Vsebina in struktura standarda
• 12 glavnih točk
iz 6 področij
• Vsaka točka ima številne podtočke
• Tehnično in splošno, neodvisno od proizvajalca
• QSA - Pooblaščeni revizor s strani PCI SSC
![Page 8: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/8.jpg)
Primer zahteve 1 iz PCI standarda
![Page 9: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/9.jpg)
Kako se je certificiral Bankart?
• Kakšne so bile priprave na projekt zagotovitve skladnosti?
• Kompetence ki jih je imel Bankart
• Kompetence ki jih je prispeval SRC
• Kako smo se skupaj lotili reševanja zahtev?
• Kaj so bile ključne točke pri prilagoditvi sistemov in procesov?
![Page 10: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/10.jpg)
Priprave na projekt zagotovitve skladnosti
• Priprava na certifikacijo se je pričela leta 2009
• Pregled zahtev standarda
• Analiza stanja in GAP analiza: notranja in zunanja leta 2010
• Nadgradnja obstoječega sistema upravljanja varnosti in varnostnih politik in procedur na vseh področjih IT: omrežje, strežniki, aplikacije, podatkovne baze, uporabniški dostopi in procesov za nenehno nadgradnjo in vgrajevanje varnostnih komponent pri razvoju ter nenehno varnostno ozaveščanje zaposlenih
• Projekt izvedbe tehničnih prilagoditev na vseh opredeljenih področjih v drugi polovici leta 2010
• Certifikacija v prvem kvartalu 2011
• Redna letna recertifikacija v februarju 2012
![Page 11: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/11.jpg)
Kompetence Bankarta na področju omrežne infrastrukture
• Imeli smo strokovna znanja za pripravo in izvedbo rešitev na področju omrežij in varnostnih sistemov
• Preučiti je bilo potrebno zahteve standarda in jih prevesti v okolje družbe in sistemov
• Potrebno je bilo določiti ključne točke za izvedbo skladnosti in se uskladiti v okviru ostalih rešitev v okviru IT in poslovnih sistemov
![Page 12: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/12.jpg)
Kompetence ki jih je prispeval SRC
• Imeli smo ekspertna strokovna znanja za izvedbo posameznih tehnoloških rešitev
• Poznali smo okolje Bankarta
• Seznaniti smo se morali s podrobnostmi standarda, posebej s točkami ki se dotikajo komunikacijske varnosti
• Uporabili smo vire ki so na voljo pri Ciscu
• Sodelovali smo z zunanjimi svetovalci bankarta
![Page 13: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/13.jpg)
Kako smo se skupaj lotili reševanja zahtev
• Določili smo točke standarda, ki so relevantne in jih podrobneje razdelali
• Izvedli smo podrobno analizo obstoječega stanja glede na zahteve (gap)
• Sodelovali smo s svetovalci za izbiro ustrezne rešitve - iterativni proces
![Page 14: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/14.jpg)
Ključne točke pri prilagoditvi sistemov in procesov
• Določitev sistemov, ki spadajo pod PCI certifikacijo, t.i. „PCI scope“
• Rešitve niso vnaprej določene, možnih je več načinov reševanja zahtev
• Določitev rešitev in preverjanje ustreznosti
![Page 15: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/15.jpg)
Glavne tehnične rešitve
• Omejitev dostopa do sistemov s kartičnimi podatki na nivoju omrežja ter uvedba varnega dostopa uporabnikov do PCI sistemov preko terminalskega strežnika
• Zagotavljanje varnega dostopa do vseh naprav v omrežju
• Centralno overjanje uporabnikov na omrežnih napravah
• Uvedba revizijske sledi dostopov in aktivnosti administratorjev omrežne opreme
• Nadzor prometa v kritičnih delih omrežja z IDS/IPS senzorji
• Sistem spremljanja varnostnih pomanjkljivosti in varnostnih nadgradenj
![Page 16: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/16.jpg)
Omejitev dostopa do sistemov s kartičnimi podatki na nivoju omrežja
• segmentacija omrežij z notranjimi požarnimi pregradami
PCI omrežje Notranje omrežje
![Page 17: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/17.jpg)
Zagotavljanje varnega dostopa do omrežnih naprav
PCI omrežje
SSH
TACACS ACS
AD
• Vsi dostopi do omrežnih komponent in seveda tudi do vseh ostalih sistemov morajo biti overjeni in izvedeni v kriptiranem načinu
Notranje omrežje
![Page 18: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/18.jpg)
Centralno spremljanje dostopa do omrežja
Čas Kdo Kam
dd.mm.yy hh:ss Uporabnik1 Naprava1
dd.mm.yy hh:ss Uporabnik2 Naprava2
dd.mm.yy hh:ss Uporabnik3 Naprava3
...
PCI omrežje
SSH
ACS
• Vsi dostopi do omrežnih komponent morajo biti zavedeni-revizijska sled
Notranje omrežje
![Page 19: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/19.jpg)
Uvedba revizijske sledi
PCI omrežje
SIEM
• Uvedba SIEM sistema za centralizirano zbiranje, hranjene in obdelavo vseh varnostno relevantnih dogodkov
Notranje omrežje
![Page 20: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/20.jpg)
Zagotavljanje varnega dostopa uporabnikov do omrežja
PCI omrežje
Radius
MS NAP AD
Kontrola dostopa uporabnikov v omrežje je nadgrajena z uporabo NAC rešitve.
Notranje omrežje
Uvedeni so mehanizmi zagotavljanja varnosti na layer2 sloju.
![Page 21: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/21.jpg)
Nadzor prometa v kritičnih delih sistema z IDS/IPS senzorji
PCI omrežje
IPS
modul
IPS senzor
IPS senzor
• Podrobnejša varnostna analiza prometa do in v PCI omrežju se izvaja z IDS/IPS senzorji v monitoring načinu.
• Senzorji posredujejo alarme direktno na SIEM, upravljani so s Cisco Security Managerjem.
CSM
Notranje omrežje
![Page 22: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/22.jpg)
• Servis za spremljanje varnostnih groženj Secunia
• Proces za kategorizacijo varnostnih groženj in popravkov
• Proces za nadgradnjo sistemov in aplikacij
Sistem spremljanja varnostnih ranljivosti, pomanjkljivosti in nadgradenj
![Page 23: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/23.jpg)
• Cisco Adaptive Security Appliance in FWSM
• Cisco IPS senzorji 4200 in ASA moduli
• Cisco WLAN kontroler in Wireless Control System
• Cisco Catalyst stikala serij 6500, 4900, 3750, 2960
• Cisco Security Manager
• Cisco Access Control Server
• Cisco LAN Management Solution
Uporabljeni produkti
![Page 24: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/24.jpg)
Zakaj je dobro slediti standardu PCI?
• Standard povečuje nivo varnosti pri ravnanju s podatki
• Standard določa cilje na področju varnosti
• Določanje ciljev prepustimo strokovnjakom, ki se ukvarjajo s problematiko
• Imamo vzpostavljene procese in merljive rezultate
• Proizvajalci sledijo standardom
• Certifikat zagotavlja kakovost
![Page 25: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/25.jpg)
Zaključek
Standardi in certifikacije so pomembni za zagotavljanje najvišje varnosti uporabniških storitev
![Page 26: PCI standard...Priprave na projekt zagotovitve skladnosti •Priprava na certifikacijo se je pričela leta 2009 •Pregled zahtev standarda •Analiza stanja in GAP analiza: notranja](https://reader033.vdocuments.pub/reader033/viewer/2022041908/5e6518e567172f7f367f71ce/html5/thumbnails/26.jpg)
Vprašanja