WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

Podobné dokumenty
Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.:

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Případová studie. Zavedení ISMS dle standardu Mastercard

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001

Příklad druhý, Politika používání mobilních PC (mpc)

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Program pro zabezpečení a zvyšování kvality interního auditu. Ivana Göttingerová Odbor interního auditu a kontroly Magistrát města Brna

ASV testy - podmínky služby

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Řešení ochrany databázových dat

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

ISO 9001 : Certifikační praxe po velké revizi

Implementace systému ISMS

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

ISA 600 VYUŽITÍ PRÁCE JINÉHO AUDITORA. (Tento standard je platný) OBSAH

Řízení rizik podle PCI DSS Prioritized Approach. Jakub Morávek Wincor Nixdorf

PROCES ŘEŠENÍ PROBLEMATIKY GDPR

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Není cloud jako cloud, rozhodujte se podle bezpečnosti

10. setkání interních auditorů v oblasti průmyslu

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Nejbezpečnější prostředí pro vaše data

Bezpečnostní politika společnosti synlab czech s.r.o.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

2. setkání interních auditorů ze zdravotních pojišťoven

LOGmanager a dodržování požadavků bezpečnostních standardů PCI DSS v3.2

Zajištění kvality programového vybavení - testování

OBCHODNÍ SLUŽBY SPOLEČNOSTI WORLDLINE. Technická a organizační opatření a Seznam Oprávněných subdodavatelů

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Bezepečnost IS v organizaci

Paython

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Nezávislá zpráva o ověření prohlášení společnosti Heureka Shopping s.r.o týkající se zpracování zákaznických ových adres

IT v průmyslu MES systémy Leoš Hons. Bezpečnost v oblasti MES systémů - kde začít?

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ

Jak efektivně ochránit Informix?

POKYNY PRO POSKYTOVÁNÍ PLATEB KARTOU NA INTERNETU

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Směrnice Bezpečnost počítačové sítě a ochrana osobních údajů.

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

POUŽÍVÁNÍ CERTIFIKÁTU A CERTIFIKAČNÍ ZNAČKY

Úvod - Podniková informační bezpečnost PS1-2

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Systémy řízení EMS/QMS/SMS

Kybernetická bezpečnost Ochrana proti sílící hrozbě

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Security. v českých firmách

Systémy řízení QMS, EMS, SMS, SLP

Zákon o kybernetické bezpečnosti

Bezpečnostní aspekty informačních a komunikačních systémů KS2

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

SMĚRNICE DĚKANA Č. 4/2013

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Systém řízení bezpečnosti informací v praxi

Nabídka služeb na akceptaci platebních karet v prostředí internetu

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Představení společnosti

Vnitřní kontrolní systém a jeho audit

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

Security. v českých firmách

Zhodnocení architektury podniku. Jiří Mach

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Metodický pokyn pro akreditaci

METODICKÉ POKYNY PRO AKREDITACI

Pokud budete potřebovat další informace, kontaktujte nás, prosím. Rádi Vám budeme nápomocni.

Zákon o kybernetické bezpečnosti

Požadavky na parametry SLA

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Obecné nařízení o ochraně osobních údajů

Bezpečnost webových stránek

1. DEFINICE ÚČEL A ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRÁVA A POVINNOSTI STRAN...

Přehled legislativy. Přehled legislativy týkající se farmakovigilančního (FV) auditu a inspekce. 30. listopadu

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

TECHNICKOORGANIZAČNÍ BEZPEČNOSTNÍ OPATŘENÍ SPOLEČNOSTI FERRERO

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Proces R3 Interní audity

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Návod Skupiny pro auditování ISO 9001 (ISO 9001 Auditing Practices Group APG) k:

PROGRAM AUDITU SYSTÉMU

Transkript:

WINCOR NIXDORF Certifikovaný PCI DSS auditor - QSA Wincor Nixdorf s.r.o. Evropská 33a 160 00 Praha 6 Tel.: +420 233 034 129 Email: pci@wincor-nixdorf.cz PCI DSS jako norma pro bezpečnost v odvětví platebních karet byla oficiálně akceptována dvěma největšími asociacemi společnostmi VISA a MasterCard. Později ji přijaly i další společnosti v tomto odvětví jako American Express, Dinners Club nebo JCB. Pro řízení celého programu bezpečnosti v odvětví platebních karet byla také založena společnost PCICo., jejímiž zakladateli a zároveň vlastníky jsou právě jednotlivé asociace. PCI vyžaduje, aby všichni obchodníci, poskytovatelé služeb a banky obchodníků, kteří uchovávají, zpracovávají nebo přenášejí data o transakcích uskutečněných prostřednictvím platebních karet, podstoupili akreditaci v rámci normy PCI DSS. Úrovní bezpečnostních auditů, které je potřeba absolvovat, je několik a záleží na velikosti organizace a počtu transakcí za rok. Kritéria pro akreditaci definovaná asociací VISA pro obchodníky jsou specifikována v Tabulce 1. Společně s normou PCI DSS byly vytvořeny dva kontrolní nástroje ověřující, zda je tato norma dodržována - audit založený na testování na místě a externí testování zranitelností síťové infrastruktury a aplikací. Audit založený na testování na místě musí být realizován jednou ročně, externí testování zranitelností musí být prováděno čtvrtletně. Prověřovací činnosti požadované v rámci normy PCI DSS mohou vykonávat pouze auditoři, respektive auditorské firmy pověřené, otestované a akreditované asociacemi VISA a MasterCard. AUDIT ZALOŽENÝ NA TESTOVÁNÍ NA MÍSTĚ Audit je založen na principu testování souladu skutečného stavu informační bezpečnosti v dané organizaci s dvanácti bezpečnostními požadavky, které jsou publikovány v rámci normy PCI DSS a rozdělují se do šesti hlavních kategorií: A: Vystavěj a udržuj bezpečnou síť 1. Instaluj a udržuj bezpečnou konfiguraci firewallu. 2. Nepoužívej implicitní systémová hesla a ostatní bezpečnostní parametry. B: Ochraňuj data držitelů karet 3. Ochraňuj uložená data. 4. Šifruj přenos dat držitelů karet a citlivých informací přes veřejné sítě. C: Udržuj program pro řízení zranitelností 5. Používej a pravidelně aktualizuj antivirový software. 6. Zajisti vývoj a údržbu bezpečných systémů a aplikací. D: Zaveď silné přístupové kontroly 7. Povol přístup k datům pouze na základě zásady potřebných znalostí. 8. Přiřaď jednotný identifikátor každému uživateli informačního systému. 9. Omez fyzický přístup k datům držitelů karet. E: Pravidelně sleduj a testuj síť

10. Sleduj a zaznamenávej veškerý přístup k síťovým zdrojům a datům držitelů karet. 11. Pravidelně testuj bezpečnostní systémy a procesy. F: Udržuj informační bezpečnostní politiku 12. Udržuj politiku pokrývající informační bezpečnost. V rámci každého z výše uvedených dvanácti bezpečnostních požadavků norma PCI DSS specifikuje řadu konkrétních detailních požadavků, k nimž je navíc vytvořena testovací procedura, kterou musí auditor realizovat a jejíž výsledky musí dokumentovat. Na základě provedených a dokumentovaných testů auditor rozhodne, zda je konkrétní bezpečnostní požadavek splněn, respektive zda daná technická nebo procedurální kontrola v auditované organizaci funguje správně. U organizací, jež nepodléhají povinnosti auditu prováděného na místě nezávislým akreditovaným auditorem, avšak zpracovávají určité množství platebních transakcí, je alternativou tohoto auditu vyplnění dotazníku (Self-Assessment Questionnaire) a jeho odeslání do asociací. EXTERNÍ TESTOVÁNÍ ZRANITELNOSTÍ ANEB SIMULACE ÚTOKU HACKERA Slabiny a bezpečnostní díry objevují hackeři (počítačově nadaní jedinci, kteří se snaží neoprávněně získat přístup k cizím informačním systémům prostřednictvím počítačové sítě) prakticky denně. Jedinou možnou obranou proti jejich útoku a kompromitaci informačních systémů je pravidelná instalace bezpečnostních záplat. Pro zajištění bezpečnosti systémů, které zpracovávají, uchovávají nebo přenášejí data o platebních transakcích, vyžaduje norma PCI DSS čtvrtletní externí testování zranitelností. Testování zranitelností je založeno na principu simulace činnosti útočníka (hackera) z internetu. Testeři, kteří jsou pro tuto činnost akreditováni asociacemi platebních karet, se pokoušejí ze svých laboratoří připojených na internet nabourat do sítě klienta a získat z jeho informačních systémů citlivá data. MasterCard provádí každoročně opakované testování všech PCI auditorů akreditovaných pro externí testování zranitelností. Na testovacím prostředí sestaveném asociací MasterCard se zjišťuje, zda je daný auditor schopen v rámci 24hodinového testu identifikovat všechny známé bezpečnostní slabiny, jež se v testovacím prostředí vyskytují. GLOBÁLNÍ PŘÍSTUP K PROVÁDĚNÍ PCI AKREDITACÍ A ZKUŠENOSTI Z PROVEDENÝCH AUDITŮ PCI DSS je globální norma, která je jednotná pro relevantní organizace v odvětví platebních karet na celém světě. Auditorské firmy se proto musí vypořádat s problémem, jak provádět audity v souladu s takovouto globální normou v různých zemích světa a zároveň zajistit konzistentní přístup a jednotnou kvalitu výstupů. Příkladem možného řešení tohoto problému je přístup mezinárodní společnosti Wincor Nixdorf. Jeho základem je vytvoření jednoho globálního týmu pro provádění PCI DSS auditů. Audit na místě je realizován týmy z jednotlivých lokálních poboček auditora, neboť vyžaduje místní jazykovou znalost. V rámci auditu je totiž potřeba prověřit dokumentované postupy a směrnice, které mohou být v lokálním jazyce. Závěrečné zprávy ze všech auditů jsou před odesláním do asociací prověřeny globálním týmem tím je zajištěna jednotná úroveň kvality výstupů na celosvětové úrovni. Kritickým místem pro správné provedení PCI DSS akreditace je úvodní nastavení rozsahu auditu. Jednak je potřeba určit, do jaké úrovně auditovaná organizace patří (Úroveň 1, 2, 3 nebo 4) a také přesně stanovit, které komponenty informačního a komunikačního systému organizace spadají do záběru PCI DSS. Zejména u organizací globálního charakteru, kam patří například obchodní řetězce, to není vždy triviální záležitost.

TYPICKÉ PROBLÉMY BRÁNÍCÍ DOSAŽENÍ SOULADU S PCI DSS Typické problémy, se kterými jsme se setkali při provádění auditů, by se daly shrnout do tří základních oblastí - ukládání citlivých po autorizaci platební transakce, nezdokumentovaný informační systém a typické problémy z oblasti informační bezpečnosti. Ukládání citlivých po autorizaci platební transakce Citlivá data (například celé číslo karty) nesmí obchodníci po provedení autorizace platební transakce za žádných okolností ukládat. Nicméně u řady našich klientů jsem se setkali s tím, že tato data se ukládají na různých místech informačního systému, například v záznamech událostí (logy), zálohách nebo přímo v databázi. Nezdokumentovaný informační systém I druhá oblast souvisí s problémem ukládání citlivých dat. U řady našich klientů jsme se při provádění auditu setkali se stavem, kdy v důsledku toho, že různé části systému historicky vznikaly řadu let a jejich vývoj nebyl řádně dokumentován, nám klient často ani nebyl schopen vysvětlit, jaká konkrétní data různými částmi informačního systému vlastně procházejí. Typické problémy z oblasti informační bezpečnosti PCI DSS je norma z oblasti informační bezpečnosti a vyžaduje komplexní řešení této problematiky v rámci organizace. Nicméně u našich klientů se často setkáváme se stavem, kdy informační bezpečnost není dostatečně řešena. Typickými příklady mohou být chybějící nebo nedostatečné zaznamenávání událostí (logování a monitorování), neexistence procesu pro pravidelnou aktualizaci bezpečnostních záplat, nedostatečná kontrola nad řízením změn nebo nedostatečné povědomí o bezpečnosti mezi zaměstnanci společnosti.

NABÍDKA SPOLEČNOSTI WINCOR NIXDORF 1. Úvod do problematiky PCI DSS Popis: Obecný úvod do problematiky PCI DSS. Výstup: Popis hlavních bezpečnostních rizik, která souvisí s platebními kartami. Doba trvání: 1 2 dny. 2. Vymezení rozsahu PCI DSS Popis: Bude určen rozsah PCI DSS a budou vymezeny oblasti, které jsou součástí zákazníkovi systémové architektury a musí být v souladu s požadavky PCI DSS. workshopy. Výstup: Soupis systémů a oblastí, které budou dotčeny PCI DSS. Doba trvání: 3 5 dní. 3. Gap analýza podle standardu PCI DSS Popis: Bude provedena kontrola souladu zákaznických systémů s 12 požadavky standardu PCI DSS. workshopy, kontrola konfigurovatelných parametrů systémů a zařízení. Výstup: Souhrnná zpráva o zákazníkově souladu se standardem PCI DSS. Doba trvání: Přibližně 2 až 3 týdny. 4. PCI DSS preaudit kontrola kvalifikace před formálním auditem Popis: Bude provedena rychlá kontrola zákaznických systémů a postupů a bude prověřena připravenost pro formální PCI DSS audit. Výstup: Stručné shrnutí stavu zákazníkovi připravenosti na PCI DSS audit. Doba trvání: 3 dny. 5. Formální PCI DSS audit Popis: Bude proveden formální audit shody zákazníkovi systémové infrastruktury se standardy PCI DSS. Na rozdíl od předchozích služeb nemůže být při provádění formálního PCI DSS auditu dán prostor k rozboru a nápravě nalezených incidentů. Výstupem bude zpráva, kde bude konstatováno, jestli jsou všechny PCI DSS požadavky splněny, resp. nesplněny. workshopy, kontrola konfigurovatelných parametrů systémů a zařízení. Výstup: Formální PCI DSS report. V případě, že nedošlo k žádnému pozitivnímu nálezu, je vystaven certifikát o shodě systémů se standardy PCI DSS. Doba trvání: Přibližně 1 až 2 týdny. 6. Externí pre- scan zranitelnosti

Popis: Podle požadavků PCI DSS bude proveden pre-scan zranitelnosti všech systémů, které zpracovávají platební transakce a mají externí komunikační interface. Scan bude proveden ručně s možností konzultace k problematickým oblastem. Techniky: Externí scan zranitelnosti. Výstup: Report o postupu scanování, seznam nálezů a jejich klasifikace podle PCI DSS, konzultace k nálezům. Doba trvání: Přibližně 3 dny (maximální rozsah je 5 IP adres). 7. Finální formální PCI DSS scan Popis: Bude proveden finální formální scan, který bude automatizovaný a na rozdíl od pre-scanu nebude dán prostor k diskuzi k případným nálezům. Výsledkem bude pouze konstatování výsledku scanování - scan proběhl úspěšně nebo ne. Techniky:Automatizovaný scan provedený certifikovaným nástrojem. Doba trvání: Přibližně 1 den. 8. Scanování webových aplikací Popis: Bude provedeno automatizované scanování webových aplikací za účelem identifikace jejich zranitelnosti a omezení rizik, např. nekorektní konfigurace webu, SQL injekce, cross-site scripting, resp. hrozby uvedené v OWASP Top 10. Techniky: Automatický scan provedený certifikovaným nástrojem. Doba trvání: Přibližně 1 den. 9. Konzultace při zpracování PCI Self Assessment dotazníku Popis: Bude provedeno automatizované scanování webových aplikací za účelem identifikace jejich zranitelnosti a omezení rizik, např. nekorektní konfigurace webu, SQL injekce, cross-site scripting, resp. hrozby uvedené v OWASP Top 10. Techniky: Automatický scan provedený certifikovaným nástrojem. Doba trvání: Přibližně 2 týdny.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář