Säkerhet i kortbetalningar med hjälp av PCI

Transkript

1 Säkerhet i kortbetalningar med hjälp av PCI Mårten Frosth, CISSP, QSA marten@europoint.se

2 Kortdata är ett hett byte Ett stulet kortnummer kan inbringa mellan 10 och 50 dollar.

3 Aktuellt inom PCI PCI DSS 3.0 PCI DSS 3.0 Gäller från Gäller från (tvingande från 2015) PCI PA-DSS 3.0 Gäller PCI från P2PE (tvingande från 2015) Första godkända tjänsten oktober 2013 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Juni 2013 PCI PA-DSS 3.0 PCI P2PE 1.2 PCI PTS 4.0

4 Vad är PCI DSS? För vem gäller PCI DSS? PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni grupper med 12 översiktliga krav. Cirka 400 specifika krav.

5 Vad är PA-DSS? PCI PA-DSS är krav på applikationer. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten Lagring oktober 2013 PCI PTS 4.0 Hantering Juni 2013 Säker utveckling 14 områden med krav. Hundratals specifika krav.

6 Vad är P2PE? Punkt till punkt-kryptering. PCI DSS 3.0 Hårdvara PCI PA-DSS 3.0 Applikation Kryptering PCI P2PE 1.2 Dekryptering Första godkända tjänsten Nyckelhantering oktober 2013 (Nätverkssegmentering) PCI PTS 4.0 Juni 2013 Alla godkända tjänster finns listade hos PCI.

7 Relationen mellan PCI DSS, PA-DSS och P2PE. En PCI DSS-validering skall alltid utföras. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Både PA-DSS och P2PE kan hjälpa till att reducera omfattningen för en PCI DSSvalidering.

8 Nyheter i PCI PA-DSS 3.0 Produktändring inom ramen för ett godkännande. PCI DSS 3.0 PCI PA-DSS 3.0 Kräver versionsmetodik. PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Formalisering av krav. Förtydliganden. Cirka 10 nya samt 30 förändrade krav.

9 Nya SAQ SAQ A-EP PCI DSS 3.0 E-handelsföretag PCI PA-DSS 3.0 Outsourcad betallösning Ej lagra PCI P2PE kortdata 1.2 Första godkända tjänsten oktober 2013 Handlare PCI PTS (card 4.0 present & card not Juni present) 2013 SAQ B-IP PTS-godkänd terminal Ej lagra kortdata

10 Nyheter i PCI DSS 3.0 Cirka 15 nya och 70 förändrade krav. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Navigating PCI DSS -> Guidance. Omfattande förtydliganden. Förbättrad vägledning.

11 PCI DSS 3.0 Standard

12 PCI DSS 3.0 ROC

13 PCI DSS 3.0 Nytt krav 2.4 Upprätta och underhålla en lista över sytemkomponenter i omfattningen för PCI DSS.

14 PCI DSS 3.0 Nytt krav samt förändrat krav 5.3 Periodvis utvärdering av system som normalt sett inte drabbas av skadlig kod för att identifiera förändringar i hotbilden. Tillse att anti-virusprogram inte kan stängas av eller ändras av användare.

15 PCI DSS 3.0 Nytt krav Servicegivare med fjärråtkomst till sina kunders miljöer skall använda unika användarnamn och lösenord för varje kund. Detta är en rekommendation fram till 30:e juni 2015 då det blir ett krav.

16 PCI DSS 3.0 Nya krav 9.9.x Skydda enheter som interagerar med ett kreditkort från manipulation eller utbyte. Detta är en rekommendation fram till 30:e juni 2015 då det blir ett krav.

17 PCI DSS 3.0 Utökade krav samt Krav på loggning av skapandet av nya konton samt upphöjning av rättigheter. För administrativa konton ska alla förändringar loggas. Utökade krav på loggningstjänsten för att inkludera paus eller avstängning.

18 PCI DSS 3.0 Förändrat krav 12.2 Genomför en riskanalys minst årligen och vid större förändringar.

19 PCI DSS 3.0 Nytt krav Upprätta och underhålla en lista med servicegivare och vilka krav i PCI DSS som de hanterar.

20 PCI DSS 3.0 Nytt krav 12.9 Servicegivare skall skriftligen bekräfta att de ansvarar för säkerheten av kortdata som de innehar eller på annat sätt lagrar, behandlar eller sänder på uppdrag av kunden eller på annat sätt kan påverka säkerheten av. Detta är en rekommendation fram till 30:e juni 2015 då det blir ett krav

21 Scoping i PCI DSS 3.0 Web redirection servers. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013

22 Hur efterlever man PCI? 1. Följ alla kraven i PCI DSS Köp godkända produkter PCI PA-DSS 2. Undvik att hantera kortdata Köp godkända tjänster PCI P2PE Eller produkter PNC E2EE PNC UPT

23 Frågor? Mårten Frosth