• Save
Addestramento PCI 2011
Upcoming SlideShare
Loading in...5
×
 

Addestramento PCI 2011

on

  • 435 views

 

Statistics

Views

Total Views
435
Views on SlideShare
435
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Addestramento PCI 2011 Addestramento PCI 2011 Presentation Transcript

  • Certificazione PCI Sicurezza, perché
  •  
  •  
  • Verizon Business 2010 Data Breach Report (1)
  • Verizon Business 2010 Data Breach Report (2)
  • Verizon Business 2010 Data Breach Report (3)
  • Obiettivi della sicurezza
    • Non consentire un uso illegittimo degli strumenti di pagamento
    • Assicurare l’affidabilità del sistema nel suo complesso
    • Salvaguardare i dati dell’azienda ed il servizio
  • La sicurezza (1)
    • Cosa si intende: protezione dei dati sensibili in tutte le fasi del processo (inserimento, elaborazione, archiviazione)
    • La sicurezza ha un break-even:
      • I costi della sicurezza vengono commisurati al valore dell’informazione da proteggere
      • La sicurezza non è uno stato di fatto ma è un presidio
  • La sicurezza (2)
    • Coinvolge tutti i dipendenti indifferentemente dai compiti che essi svolgono
    • Si compone di tecnologa e processi:
      • Sicurezza fisica e logica : è basata sull’adeguatezza delle tecnologie ed è rappresentata dagli apparati hardware dal software e dai sistemi di crittografia che concorrono alla protezione dei dati (firewall, password, sistemi di cifratura ed archiviazione dei dati)
      • Sicurezza dei processi : è la diligenza con cui costantemente le informazioni riservate vengono trattate e gestite dagli operatori.
    La tecnologia è inutile se i dipendenti non osservano le regole di comportamento stabilite in azienda
  • PCI-DSS - Payment Card Industry - Data Security Standard Le regole di riferimento
    • Sono le regole che disciplinano TUTTI gli aspetti di sicurezza nel processo di gestione dei dati sensibili (tecnologie e processi)
    • E’ obbligatoria
    • La verifica dei criteri del PCI-DSS viene effettuata mediante ispezioni periodiche eseguite sia dall’interno che dall’esterno, che certificano la corretta adozione degli standard
    • Per Siteba l’auditor è Verizon Business (Divisione di Verizon Communication uno dei maggiori operatori mobile mondiali con circa 100M di utenti nel mondo)
  • PCI Council
    • Il PCI Council è stato fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide, e Visa Inc con lo scopo di migliorare, diffondere e sviluppare l’implementazione di standard di sicurezza per la protezione dei dati sensibili dei titolari carta.
    • Il primo passo per garantire la sicurezza dei dati sensibili è una formazione appropriata e una conoscenza degli standard PCI per tutti i soggetti che nella filiera possano entrarne in contatto.
  • PCI - Sicurezza strutturale
    • Costruire una «rete» sicura
      • Installare firewall e verificare che in nessun modo le informazioni in ingresso od in uscita dal network aziendale possano transitare senza essere da questi verificati
      • Non utilizzare le password ed i parametri di sicurezza di default impostate dal costruttore per tutti i sistemi PC, Server, HOST, apparati di rete (firewall, router, switch…), etc…
    • Proteggere i dati dei Titolari delle carte di credito
      • Utilizzare meccanismi di limitazione di accesso a tali dati
      • Trattare con sistemi di cifratura i dati sensibili
      • Tutto il software sia acquistato da esterni che sviluppato internamente deve seguire i principi qui esposti e non permettere l’accesso alle informazioni sensibili
    • Implementare procedure di controllo dell’accesso ai dati
      • Restringere l’accesso ai dati ai soli soggetti autorizzati
      • Assegnare un ID univoco a ciascun soggetto autorizzato
      • Garantire che l’accesso sia limitato a tali soggetti
  • PCI - Sicurezza dei processi
    • Mantenere una rete sicura
      • Aggiornare costantemente gli apparati di rete
      • Mantenere aggiornati i sistemi di verifica della rete e gli anti-virus
    • Monitorare e testare il Network
      • Tracciare e monitorare tutti gli accessi alle risorse di rete ed ai dati sensibili
      • Testare i processi ed i sistemi di sicurezza
    • Mantenere procedure sicure nella gestione dei dati sensibili
      • Utilizzare i sistemi di sicurezza forniti per cifrare i dati dei Titolari
      • NON diffondere mai tali dati senza seguire le procedure esistenti
      • In caso di dubbi chiedere chiarimenti e procedure al responsabile della sicurezza
      • NON lasciare incustodite ID del sistema che possano permettere l’accesso ai dati sensibili
      • Se si dubita della sicurezza della propria ID di sistema informare il responsabile di rete
      • Cambiare le proprie credenziali di accesso con regolarità e utilizzando credenziali difficilmente deducibili
      • In qualsiasi caso si abbia il dubbio che uno qualsiasi dei punti precedenti possa non essere stato rispettato informare il responsabile della sicurezza
  • PCI-DSS in pratica (1)
    • Mantenente la scrivania in ordine
      • Rimuovete tutti i documenti contenenti informazioni sensibili dalla vostra area di lavoro quando non ne avete bisogno o al termine della giornata lavorativa. Assicuratevi di chiuderli a chiave negli armadietti o cassetti appropriati.
    • Fate attenzione quando usate il fax o la fotocopiatrice
      • Se dovete ricevere informazioni sensibili cercate di rimanere vicino al fax al fine di rimuovere il documento appena arriva. Controllate e svuotate regolarmente il fax e non inviate mai documenti con dati sensibili, se presenti nell’originale oscurateli prima dell’invio. Quando fotocopiate documenti contenenti dati sensibili ricordatevi di rimuovere gli originali dalla macchina fotocopiatrice.
    • Inviate e-mail con moderazione
      • Non inviate informazioni sensibili per e-mail oppure assicuratevi di proteggerle prima con gli opportuni strumenti dati dai sistemi informativi. Sussiste sempre la possibilità che vengano intercettate oppure che vengano accidentalmente distribuite elettronicamente.
    • Utilizzate esclusivamente gli strumenti aziendali
      • Utilizzate sempre gli strumenti hardware e software forniti dall’azienda. In caso di necessità particolari riferitevi al responsabile della sicurezza per autorizzare l’implementazione, l’acquisto o l’installazione del prodotto più idoneo per soddisfarla.
  • PCI-DSS in pratica (2)
    • Usate la macchina trita documenti
      • Assicuratevi sempre di distruggere i documenti che riportano informazioni sensibili prima di gettarli nei rifiuti.
    • Lasciate messaggi vocali discreti e limitate l’utilizzo del cellulare
      • Evitate di lasciare messaggi di posta vocale dettagliati qualora includano informazioni sensibili. Chiunque può ascoltare le vostre conversazioni al cellulare, evitate di condividere informazioni sensibili al cellulare.
    • Proteggete la vostra identità sul luogo di lavoro
      • Quando si tratta di cartellini di identificazione, chiavi d’ufficio e codici di ingresso, non correte inutili rischi. Proteggeteli come fareste con le vostre carte di credito personali e i vostri contanti.
    • Mantenete il riserbo in pubblico
      • Quando vi trovate in un luogo pubblico, evitate di discutere di informazioni riservate o di dettagli relativi a progetti sensibili.
  • PCI-DSS in pratica (3)
    • Chiedete agli sconosciuti di identificarsi
      • Non permettete ad uno sconosciuto di commettere un crimine con l’aiuto di informatori interni. Se vedete una faccia sconosciuta che si aggira per il vostro ufficio, affrontate la persona direttamente e chiedete se potete essere d’aiuto. Rendete nota la vostra presenza e verificate che l’ospite si sia regolarmente registrato all’ingresso.
    • Informate i soggetti esterni
      • Se constatate un comportamento rischioso da parte di un soggetto esterno (cliente, merchant, fornitore) evidenziateglielo dandogli gli opportuni suggerimenti e comunicate il possibile rischio al responsabile della sicurezza.
    • Osservate ciò che compare sul vostro schermo
      • I numeri di conto e i dati finanziari che compaiono sullo schermo del vostro computer sono solo per voi! Per assicurarvi che sia così è obbligatorio l’utilizzo dello screen saver al fine di minimizzare un facile accesso alle informazioni. Controllate inoltre la posizione degli schermi dei vostri computer e assicuratevi che per esempio non possano essere letti da qualcuno posizionato vicino ad una finestra.
    • Utilizzate solo ed esclusivamente le vostre credenziali di accesso
      • Non condividere mai con nessuno sia esso interno che esterno, le vostre credenziali di accesso siano esse fisiche (badge, chiavi) che logiche (codifiche, password). Se costretti da necessità contingenti informare il responsabile della sicurezza e cambiarle appena possibile.
  • Alcuni “miti” riguardo il PCI
    • Non gestiamo un numero di transazioni tale da richiedere la certificazione PCI
    • Ci siamo certificati una volta e quindi siamo a posto per sempre
    • Acquistare un prodotto certificato ci rende automaticamente certificati
    • Se diamo in outsourcing la gestione dei dati sensibili non dobbiamo certificarci
    • La certificazione PCI è “roba” da ICT
    NO! NO! NO! NO! NO!
  • Riassumendo
  • Riferimenti utili
    • PCI Council
      • https ://www.pcisecuritystandards.org/
    • VISA Europe Payment Security
      • http://www.visaeurope.com/en/businesses__retailers/payment_security.aspx
    • MasterCard Site Data Protection Program
      • http://www.mastercard.com/us/merchant/security/sdp_program.html
    • Banca Popolare di Sondrio - “Navigo sereno”
      • http://www.navigosereno.it/