PCI DSS 3.0! PCI Vad? För vem? Hur uppnå? Om man inte efterlever?!!! Mathias Elväng, QSA! David Borin, QSA!!
SENTOR I KORTHET Företaget Startat 1998 50- tal säkerhetsexperter anställda i Stockholm, Malmö, Boston och London Teknisk IT- säkerhet, informaconssäkerhet och SOC 24/7- tjänster PCI QSA sedan 2009 3 st cercfierade QSA anställda Primärt finansiella insctuconer, spelbolag och större handlare
VAD OCH VARFÖR PCI? PCI DSS Payment Card Industry Data Security Standard är eu regelverk framtaget av betalkortsföretagen VISA, MasterCard, American Express, JCB och Diners För au skydda användarna av betalkort kunderna För au begränsa och hantera mängden bedrägerier För au kunna enas om en lägsta nivå på säkerhet för kortbetalningar För au tydliggöra ansvar och roller i PCI- ekosystemet PCI är inte opconal utan tvingande för alla som hanterar kortdata
PCI - EKOSYSTEMET PCI DSS Krav Kontrollpunkter 3.0 400 1250
PCI STÄLLER 12 ÖVERGRIPANDE KRAV Bygg och underhåll säkra nätverk och system Skydda kortdata Process för hantera sårbarheter Implementera starka behörighetskontroller Regelbundet övervaka och testa nätverket Skapa en säkerhetspolicy 1. Installera och sköt brandväggar som skyddar kortdata 2. Använd inte standardlösenord och inställningar 3. Skydda lagrad kortdata 4. Kryptera kortdata över internet 5. Skydda system mot Malware och ha eu fungerande AnCvirus 6. Utveckla och förvalta säkra system och applikaconer 7. Begränsa behörighet Cll kortdata 8. IdenCfiera och logga in Cll systemkomponenter 9. Begränsa fysisk Cllgång Cll kortdata 10. Logga och övervaka all Cllgång Cll nätverksresurser och kortdata 11. Regelbundet testa säkerhetssystem och kontroller 12. Ha en säkerhetspolicy som adresserar InfoSäk Cll all personal
PCI - EKOSYSTEMET Kordöretagen Rapporterar handlares eeerlevnad Cll Har kontrakt med Säljer tjänster Cll Ställer krav på eeerlevnad på Inlösare Payment service provider Utgivare Ger ut kort Cll Rapporterar eeerlevnad Cll Service Provider Handlare Använder kort för betala Cll
DETTA ÄR KORTDATA All informacon från betalkort som används i en transakcon Cardholder data elements Primary Account Number (PAN) Cardholder name ExpiraCon date SensiCve AuthenCcaCon Data (SAD) Chip data MagneCc stripe data Card ValidaCon Code (CVC) Personal idencficacon number (PIN) 1234
SCOPET FÖR PCI Systemkomponenter (Personal, processer och teknik) som gör något av följande Lagrar, hanterar eller skickar CHD (dvs är CDE) Har koppling Cll CDE Har säkerhetstjänster för CDE Ger segmentering av CDE Som på annat säu kan påverka säkerheten i CDE Men de som lagrar kortdata utan au vara handlare?
Scopning i förenklad form Fulla scopet 350 BuCk WEB SAQ- B 41 SAQ- C 129 SAQ B- IP 83 SAQ C- VT 73 SAQ- P2PE 35 SAQ- A 14 SAQ A- EP 139 Service Providers har SAQ D (kan innebära fulla scopet på 347 krav, men beror på åtagandet) Vissa krav är särskilt riktade Cll Utgivare
5 VANLIGASTE UTMANINGARNA 11 Regelbundet testa säkerhet 10 Monitorera akcvitet och övervaka nätverket 12 Ha en bra InfoSäk policy 1 UppräUa en brandväggskonfiguracon 2 Inga standardlösenord på produkter
PCI DSS ÄR NU 3.0 Inga dramacska eller revoluconerande förändringar HuvudmålsäUning: Tydliggöra kraven Största förändringarna: PenetraConstestning Inventarieregister LeverantörsrelaConer AnC- malware Hantering av koruerminaler Krav på utbildning SAQ kräver kontroller, inte intyganden
SÅ HÄR GÖR SENTOR Roller OrganisaCon Tekniska förutsäuningar Krav som är relevanta Skapa AU Göra lista Formell granskning Rapportera Cll Bank Frivillig halvårskontroll Sentor är tekniker i själen, inte revisorer, därför hjälper vi kunderna au klara granskningen
PCI DSS SLÄPPER EN UPPDATERING PCI DSS 3.1 Ingen version av SSL klarar längre definiconen av stark kryptering, påverkar: Nätverk Skydda data över Internet Tuffare scopningsregler: Gränsen för det som påverkar CDE utökas
TACK! Tack för visat intresset!" " Vi finns ute i receptionen efteråt och svarar gärna på frågor." Vill du ha presentaconen kontakta Jimmy.Hesselberg@sentor.se