Le norme Payment Card Industry Data Security Standard (PCI DSS)

Slides:



Advertisements
Presentazioni simili
. VANTAGGI E CARATTERISTICHE DEL SERVIZIO PAGHE ON LINE.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
20/04/2006 COO-RU- Organizzazione Operativa 1 STRUTTURE SIN/ELI Struttura organizzativa COO/RU – Organizzazione Operativa 12 settembre 2007.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
INTERNET: RISCHI E PERICOLI
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Agire Digitale Roma, 25 gennaio TM Agenda Il Gruppo eBay I servizi di eBay per le imprese e i professionisti eBay e larga banda.
Nuove truffe on line Frodi con carte di credito.
SOFIA Facoltà di Ingegneria Università degli Studi di Udine SOFIA.
Creare un e-Commerce Website di artigianato italo-ecuadoregno
La vendita online b2c. PROBLEMATICHE (I) 1.Le caratteristiche del prodotto è adatto alla vendita online? 2.Il mercato in cui si opera come avviene la.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
©2003 Dalmine Energie | Page 1 | Milano, 14 gennaio 2004 Accordo di collaborazione tra GAS INTENSIVE e Dalmine Energie.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
10 punti fondamentali su Windows originale Note legali Le informazioni fornite in questo documento rappresentano l'opinione di Microsoft Corporation sui.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
UCAMP – Ufficio Centrale Antifrode dei Mezzi di Pagamento
La gestione del credito e delle richieste di pagamento Guida alle operazioni transfrontaliere nell'UE.
I servizi telematici dell’Agenzia
Copyright © 2007 Toshiba Corporation. Tutti i diritti riservati. Progettato per una mobilità senza precedenti Perché Windows ® Vista è più efficace sui.
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
MASTERTRAINING E L’INNOVAZIONE.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Incontri di prossimità In collaborazione con. LE CARTE DI PAGAMENTO: COSA SONO E A COSA SERVONO Le chiamiamo genericamente carte di credito, ma in circolazione.
Information-intensive
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
CARTISSIMA Q8 - Viaggiare in Italia non è mai stato così semplice
Controlla e reagisce agli errori di rete e server per garantire il massimo tempo di operatività della rete.
Gestione automatica dei registri degli eventi su tutta la rete.
Non solo Gestione Documentale Day "Apparecchiature di elaborazione testi prossima uscita vedrà 'l'inizio del ufficio senza carta …" 1975.
Chipknip.
La sicurezza delle reti informatiche : la legge sulla Privacy
Configurazione di una rete Windows
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
06/12/2007 Progetto cedolini online di Lottomatica Automatizzare il processo di consegna dei cedolini delle buste paga.
Gestione spese e trasferte Riepilogo scenario
Gli strumenti elettronici di regolamento Il regolamento del contratto di vendita ECONOMIA AZIENDALE - Classe 2C AFM - a.s. 2013/ Approfondimento.
GAC: mercato Verticale dedicato alle aziende che sviluppano attività su commessa, ovvero legate alla realizzazione di progetti o di prodotti non di serie.
Casaleggio Associati | Strategie di Rete L'e-commerce in Italia 2008: “Una crescita con il freno a mano”
Rispondi alle domande e scopri come effettuare un buon acquisto on-line.
Ecco a Voi…… l’esclusiva carta di credito ULN Sim Black per i vostri migliori clienti Disponibile dal 1/1/2009.
In collaborazione con Digital day - 9 marzo 2015 FATTURAZIONE ELETTRONICA, ISTRUZIONI PER L’USO Giovanni Maria Martingano.
- Direzione Interregionale per il Lazio e l’Abruzzo –
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Carta Regionale dei Servizi
QUALITA’ EFFICIENZA EFFICACIA SICUREZZA PROFESSIONALITA’ ESPERIENZA Una Scuola di qualità Le istituzioni scolastiche stanno avvicinandosi sempre più numerose.
Il sito web SERVIZI PER L’IMPIEGO è uno strumento di informazione e comunicazione in materia di lavoro.
Ing. Adriano Cavicchi Dirigente Generale S.I.N.A.P. Sistema Informativo Nazionale degli Appalti Pubblici Forum P.A. 10 maggio 2004.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
GR: Arzuffi - Carreri -Rinetti - Smiroldo MR 1 Sicurezza Diritto d’autore Aspetti giuridici.
1 Sicurezza Diritto d’autore Aspetti giuridici. 2 La sicurezza dei dati Copia di Backup ( salvataggio), Password di accesso.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
IL COMMERCIO ELETTRONICO (E-COMMERCE). Il COMMERCIO ELETTRONICO in Inglese e-commerce (electronic commerce) è l’insieme delle transazioni commerciali.
Le banche online. Che cosa sono le banche online? Si tratta di banche, denominate anche banche virtuali o digitali, che offrono servizi esclusivamente.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai Servizi degli Enti Locali.
Siamo tutti coinvolti da un radicale processo di cambiamento! Condivisione Comunicazione Partecipazione Collaborazione.
Fiscalità 2015: Operazioni con soggetti residenti in paesi a regime fiscale privilegiato Dr Alberto Perani Milano, 24 febbraio 2015 In collaborazione con.
Dal problema al programma – ciclo di sviluppo del software La scrittura del programma è solo una delle fasi del processo di sviluppo di un'applicazione.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Le norme Payment Card Industry Data Security Standard (PCI DSS)

Schema riassuntivo della presentazione Perché le norme PCI DSS Conformità e livelli di convalida Dati dei titolari di carte di credito o debito Il punto di vista legale Esecuzione di una verifica PCI DSS Riduzione dei costi attraverso l'automazione

Che cosa sono le norme Payment Card Industry Data Security Standard (PCI DSS)? Le norme PCI DSS sono costituite da una serie di standard di protezione elaborate dalle maggiori società mondiali emittenti di carte di credito, comprese VISA e MasterCard, al fine di proteggere i dati relativi alle carte di credito e di debito Ad oggi, tali requisiti disciplinano tutti i canali di pagamento, compresi il settore delle vendite al dettaglio, gli ordini postali e telefonici e il commercio elettronico (e-commerce) In precedenza, si trattava di uno standard di protezione delle informazioni distinto; tuttavia, adesso è diventato uno standard di protezione generale

Perché sono necessarie le norme PCI DSS? Il fenomeno del furto dei dati di titolari di carte di credito o debito e della frode connessa allo stesso esiste dalla metà degli anni '80, e ha spinto VISA a stabilire il primo programma di protezione La recente violazione di sicurezza avvenuta a TJX, con cui hacker penetrati nella sua rete sono riusciti a derubare almeno 46 milioni di numeri di carte di credito e debito, mette in rilievo la sempre maggiore esigenza di una migliore protezione Secondo InformationWeek, sul mercato nero, gli hacker possono vendere i dati relativi a carde di credito rubate al prezzo di USD 490 per numero di carta comprensivo di PIN

PCI Data Security Standard v. 1.1 (1/3) La struttura PCI DSS è suddivisa in 12 requisiti di protezione raggruppabili in tre aree principali: raccolta e archiviazione di tutti i dati di registro, affinché siano disponibili a fini di analisi creazione di rapporti su tutta l'attività, in modo da poter provare immediatamente la propria ottemperanza alle norme monitoraggio e avvisi, per far sì che gli amministratori siano sempre in grado di controllare l'accesso e l'utilizzo dei dati e possano essere avvertiti immediatamente in caso di problemi.

PCI Data Security Standard v. 1.1 (2/3) La struttura PCI DSS è inoltre composta delle sei categorie seguenti: Categorie PCI DSS Creazione e manutenzione di una rete protetta Protezione dati dei titolari di carte di credito/debito Manutenzione di un programma di gestione della vulnerabilità Implementazione di rigide misure di controllo dell'accesso Monitoraggio e test regolari delle reti Manutenzione di un criterio di protezione delle informazioni

PCI Data Security Standard v. 1.1 (3/3) Requisiti PCI DSS 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Installazione e manutenzione di una configurazione firewall per proteggere i dati dei titolari di carte di credito/debito Non utilizzo dei valori predefiniti del fornitore per le password di sistema e altri parametri di protezione Protezione dei dati dei titolari di carte di credito/debito memorizzati Cifratura della trasmissione dei dati di titolari di carte di credito/debito su reti aperte e pubbliche Utilizzo e aggiornamento regolari di software o programmi antivirus Sviluppo e manutenzione della protezione di sistemi e applicazioni Accesso limitato ai dati dei titolari di carte di credito/debito da parte di aziende che "hanno necessità di sapere" Assegnazione di un ID esclusivo a chiunque abbia accesso a un computer Accesso fisico limitato ai dati dei titolari di carte di credito/debito Individuazione e controllo di tutto l'accesso alle risorse di rete e ai dati dei titolari di carte di credito/debito Regolari prove dei sistemi e processi di protezione Manutenzione di un criterio che si occupi della protezione delle informazioni per dipendenti e imprenditori

Quali sono i "dati dei titolari di carte di credito/debito"? Tutte le informazioni contenute in una carta di credito/debito adoperata in una transazione - pcianswers.com Elementi costitutivi dei dati dei titolari di carte di credito/debito Numero di contro primario (PAN) Nome (e cognome) del titolare Data di scadenza Dati di autenticazione sensibili (SAD) Dati della banda magnetica Codice di convalida della carta (CVC) Numero d'identificazione personale (PIN) 1234 123

Archiviazione dati titolari di carte di credito/debito Le norme PCI DSS forniscono la protezione dei dati dei titolari di carte di credito/debito É consentito archiviare le seguenti informazioni, purché vengano cifrate, crittografate in hash o troncate: il PAN, il nome (e cognome) del titolare, la data di scadenza, il codice di servizio

Flusso di transazione tipico Ž   Œ Ž Il gateway di pagamento passa la transazione alla banca dell'operatore commerciale, tramite una connessione protetta  La banca dell'operatore commerciale si reca quindi al Credit Card Interchange per l'approvazione dell'operazione  L'operatore commerciale invia l'operazione con carta di credito al gateway di pagamento Œ Un cliente adopera una carta di credito per pagare un operatore commerciale in seguito all'acquisto di merci

Quali soggetti sono tenuti alla conformità alle norme PCI DSS? A decorrere dal settembre 2007, tutte le aziende che gestiscono dati di titolari di carte di credito, indipendentemente dalle dimensioni delle aziende stesse, sono tenute all'osservanza di rigide norme di sicurezza emanate dalle maggiori società di carte di credito mondiali. Le norme si applicano a tutte le entità presso cui i dati dei titolari di carte di credito/debito sono: archiviati trasmessi elaborati Tutte le entità descritte come operatori commerciali o fornitori di servizi sono tenute a conformarsi alle norme

Operatori commerciali Entità che accettano carte di credito quale mezzo di pagamento Esempi di settori interessati Commercio on line (ad esempio, ebay.com) Commercio al dettaglio (ad es. Carrefour) Istruzione superiore (ad esempio le università) Salute (ad esempio, gli ospedali) Viaggi e intrattenimento (ad esempio, i ristoranti) Energetico (ad esempio, le stazioni di servizio) Finanziario (ad esempio, le compagnie di assicurazione)

Livelli di conformità richiesti agli operatori commerciali LIVELLO DEGLI OPERATORI COMMERCIALI Livello 1 Operatori commerciali i cui dati dei titolari di carte di credito/debito sono stati compromessi Operatori commerciali con oltre 6 milioni di operazioni con carte di credito all'anno Livello 2 Operatori commerciali con un numero di operazioni con carte di credito annuo compreso tra 1 e 6 milione Livello 3 Operatori commerciali con un numero di operazioni con carte di credito annuo compreso tra 20.000 e 1 milione Livello 4 Tutti gli altri operatori commerciali

Fornitori di servizi Entità che prestano servizi agli operatori commerciali Esempi di servizi gateway di pagamento (ad esempio, PayPal) elaboratori di pagamenti fornitori host di commercio elettronico fornitori di servizi gestiti agenzie di valutazioni di solvibilità società di gestione dei back-up di dati società di "tritadocumenti"

Livello di conformità dei fornitori di servizi LIVELLO DEI FORNITORI DI SERVIZI Livello 1 Tutti gli elaboratori e gateway di pagamento Livello 2 I fornitori di servizi, non inclusi nel Livello 1, con oltre 1 milione di conti od operazioni con carte di credito all'anno Livello 3 I fornitori di servizi, non inclusi nel Livello 1, con meno di 1 milione di conti od operazioni con carte di credito all'anno

Procedure di conformità alle norme PCI DSS Operatore commerciale Controllo di sicurezza in situ Questionario di autovalutazione Scansione rete Livello 1 Richiesto annualmente Richiesto trimestralmente Livello 2 Livello 3 Livello 4 Provider di servizi A cura di: Consulenti di sicurezza qualificati (QSA) Interni Distributori di prodotti di scansione approvati (ASV) Consegnabile: Rapporto sulla conformità (ROC) Questionario di autovalutazione Rapporto di scansione

Compromissione dati titolari di carte di credito “Intrusione nel sistema di computer laddove si sospetti la divulgazione non autorizzata, la modifica o la distruzione di dati dei titolari di carte di credito/debito” - Glossario PCI DSS Piano di risposta agli incidenti Requisito 12.9 Perchè riportare una compromissione? Per limitare i danni Canali di riferimento Team interno di risposta agli incidenti Associazioni di carte di credito e acquirenti Applicazione di normative locali Chi rischia una compromissione?

Conseguenze Finanziarie Reputazione Operative Possibilità di multe fino a USD 500.000 e costose spese legali Reputazione Un incidente negativo può incidere notevolmente su un nome di marca Coinvolgimento di agenzie di applicazione delle norme Operative Livelli 2, 3 o 4 + compromissione = Livello 1 Potenziale perdita dei privilegi di elaborazione delle carte di credito/debito

Preparazione ai fini della conformità ai PCI DSS Acquisire familiarità con i requisiti PCI DSS Identificare tutti i dati dei titolari di carte ed eliminare quelli superflui Eseguire un'analisi di eventuali gap nella sicurezza Creare un piano di azione e chiedere consiglio ad esperti laddove necessario

Costi della conformità ai PCI DSS Operatore commerciale Controllo di sicurezza in situ Questionario di autovalutazione Scansione rete Livello 1 Richiesto annualmente Richiesto trimestralmente Livello 2 Livello 3 Livello 4 Provider di servizi A cura di: Consulenti di sicurezza qualificati (QSA) Interni Distributori di prodotti di scansione approvati (ASV) Consegnabile: Rapporto sulla conformità (ROC) Rapporto di scansione

Punti dolenti Proteggere sistemi e applicazioni Monitorare la rete Controllare la rete Eseguire la scansione alla ricerca di vulnerabilità Distribuire patch e service pack Monitorare la rete Registrare l'attività dell'utente Registrare l'accesso ai dati dei titolari di carte di credito/debito Avvisare in merito a eventi importanti Fornire prove documentali Mantenere protetti i sistemi Monitorare l'attività Adottare azioni correttive

Automazione tramite software Riduzione drastica di operazioni manuali e ripetitive: Controlli rete Gestione vulnerabilità Monitoraggio attività Avvisi in tempo reale Azioni correttive Generazione di rapporti

Le norme PCI DSS e i prodotti GFI di protezione della rete Requisiti PCI DSS 1. n 2. 3. 4. Cifratura della trasmissione dei dati di titolari di carte di credito/debito su reti aperte e pubbliche 5. Utilizzo e aggiornamento regolari di software o programmi antivirus 6. Sviluppo e manutenzione della protezione di sistemi e applicazioni 7. Limitazione accesso ai dati dei titolari di carte di credito/debito da parte di aziende che "hanno necessità di sapere" 8. 9. Limitazione dell'accesso fisico ai dati dei titolari di carte di credito/debito 10. 11. Regolari prove dei sistemi e processi di protezione 12. Conservazione di un criterio che si occupi della protezione delle informazioni per dipendenti e imprenditori GFI EventsManager GFI LANguard N.S.S. Installazione e manutenzione di una configurazione firewall per proteggere i dati dei titolari di carte di credito/debito Non utilizzo di password di sistema e altri parametri di protezione dei produttori Protezione dei dati dei titolari di carte di credito/debito memorizzati Assegnazione di un ID esclusivo a tutti coloro che abbiano accesso a un computer Individuazione e controllo di tutto l'accesso alle risorse di rete e ai dati dei titolari di carte di credito/debito

ROI e vantaggi aziendali Automazione Riduzione di operazioni manuali e ripetitive Riduzione del carico di lavoro dell'amministratore Attivazione di azioni correttive Protezione Complemento alla propria politica di protezione Notifica in merito a possibili minacce alla sicurezza Tranquillità Risparmio Nessuna multa PCI DSS Nessuna commissione per consulenze esterne Continuità aziendale

Conclusioni Dato che le società sono costantemente a rischio di perdere dati sensibili relativi ai titolari di carte di credito o debito, con conseguente possibilità di incorrere in multe, azioni legali e cattiva pubblicità, la conformità alle norme PCI DSS dovrebbe costituire uno dei principali obiettivi delle società che trattano, conservano, trasmettono o elaborano dati di carte di credito La conformità ai PCI DSS deve essere raggiunta entro settembre 2007, che è la scadenza imposta dalle società di carte di credito GFI Software offre a queste aziende due prodotti, GFI EventsManager e GFI LANguard Network Security Scanner (N.S.S.) al fine di aiutarle a percorrere la strada verso la conformità a tali norme

Panoramica sulla società Costituita nel 1992 Oltre 200 dipendenti in tutto il mondo Uffici a Malta, Londra, Raleigh, Hong Kong e Adelaide Prodotti GFI installati su oltre 200.000 reti di tutto il mondo, soprattutto di PMI (Piccole e Medie Imprese) Azienda orientata alla collaborazione con partner, che si avvale infatti di oltre 10.000 partner in tutto il mondo La visione Diventare la tecnologia di scelta tra le soluzioni informatiche di sicurezza e produttività. La missione Fornire soluzioni di sicurezza del contenuto, protezione della rete e messaggistica convenienti e di qualità ai professionisti del settore informatico di tutto il mondo.

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.