SlideShare a Scribd company logo

PCI DSS 3.0 muutokset – “editor’s pick”

Nixu Corporation
Nixu Corporation

"PCI DSS 3.0 muutokset – “editor’s pick”” Esitetty Nixun aamiaistilaisuudessa 15.1.2014 (c) Nixu Oy, Niki Klaus.

Business
1 of 12
PCI DSS 3.0 muutokset – “editor’s pick” Niki Klaus, Manager – Compliance Services 15.1.2014 1/16/14 © Nixu 2014 1
Tyypillinen verkkokauppa §  Asiakas siirretään verkkokaupasta tekemään maksu palveluntarjoajan sivulle –  Esim. Netaxept (e-maksupalvelu, DMP) §  Korttitiedot eivät koskaan siirry kauppiaan järjestelmiin §  Does not store, process or transmit cardholder data §  PCI DSS 2.0 mukainen tulkinta: ei osa PCI-ympäristöä 1/16/14 © Nixu 2014 2
PCI DSS 3.0 ja PCI-ympäristö §  Systems that provide –  security services (for example, authentication servers) –  facilitate segmentation (for example, internal firewalls) –  or may impact the security of (for example, name resolution or web redirection servers) the CDE. §  Muutoksen kaksi pääasiallista syytä –  Verkkokaupat –  QSA:en poikkeavat ja osin lepsut tulkinnat §  Verkkokauppojen suhteen avainasemassa on tuleva itsearviointilomake (SAQ) 1/16/14 © Nixu 2014 3
Muutoksen vaikutukset §  Palveluntarjoajille mahdollisesti suurempi PCI-ympäristö –  Joidenkin järjestelmien saattaminen vaatimuksenmukaisiksi voi tuottaa lisää työtä ja kustannuksia –  Valmius kuitenkin olemassa – ei suuri hyppy §  Verkkokauppiaille muutos on erittäin suuri –  Ensimmäinen järjestelmä on se vaikein §  PCI-sertifioiduille ympäristöille suurempi kysyntä? §  Voiko tilannetta helpottaa kompensoivilla kontrolleilla? 1/16/14 © Nixu 2014 4
Maksupäätteiden hallinta §  Täysin uusi vaatimus 9.9 –  Siirtymäaika 30.6.2015 §  Nixun suositus alusta saakka, sillä monien kauppiaiden ratkaisu nojaa täysin maksupäätteiden varaan §  Vaatimukset lyhyesti –  Ajantasainen inventaario –  Periodiset tarkastukset –  Henkilökunnan koulutus §  Skimming prevention guideline §  Valmius P2PE -sertifioidulle palvelulle §  Suositus: yhteistyö palveluntarjoajan kanssa 1/16/14 © Nixu 2014 5
Palveluntarjoajien hallinta §  Tyypilliset haasteet palveluntarjoajien kanssa: katteettomat lupaukset, epäselvät vastuut §  Palveluntarjoajien roolia selkeytetty: vastaa korttitiedon turvallisuudesta, ei ainoastaan hallussaan olevasta korttitiedosta §  Kirjattava mitkä vaatimukset ovat palveluntarjoajien vastuulla, ja mitkä kauppiaan/pankin vastuulla §  Palveluntarjoajilla tulee olla mallipohja, jossa palveluntarjoaja ottaa vastuun korttitiedon turvallisuudesta §  Uusi AOC tukee tätä vaatimusta: tulee olemaan yksityiskohtaisempi –  Tarvetta ROC:n läpikäynnille? 1/16/14 © Nixu 2014 6
Tietomurtojen jakaantuminen Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 7
Mistä korttitiedot viedään Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 8
Kauppiaan asiakkaiden korttiväärinkäytökset % 80   70   60   50   40   30   20   10   0   aika 1/16/14 © Nixu 2014 Lähde: Visa Europe 9
Trendit ja tekotavat §  Pienet verkkokaupat kohteina §  Hotellit VISAn mielenkiinnon kohteena §  Tehdään tietoverkkojen yli (95 %) §  Myös paperiaineistoa varastetaan §  Tyypilliset syyt –  –  –  –  Suojaamaton etäyhteys Puutteellinen verkkosegmentointi Suojaamaton verkkokauppa Phishing hyökkäykset (esiinnytään pankkina, pyydetään tiedot) §  Vahingot pienen kauppiaan tapauksessa yli 100.000€ 1/16/14 © Nixu 2014 10
Tietomurron jälkipyykki §  Kauppiaan pankki saa sanktion §  VISAlle tulee toimittaa puhdas auditointiraportti (ROC) 90 päivän sisällä §  Vaihtoehtoisesti roadmap 30 päivän sisällä §  Mikäli ei toimita kumpaakaan, seuraa siitä sanktio 30 päivän välein §  Kauppiaan pankki voi yleensä vyöryttää sanktion kauppiaalle 1/16/14 © Nixu 2014 11
Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 1/16/14 © Nixu 2014 12

Recommended

Palvelukortti-konseptin esittely
Palvelukortti-konseptin esittelyPalvelukortti-konseptin esittely
Palvelukortti-konseptin esittelyguestf37bb3
 
Nixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNordnet Suomi
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Kim Westerlund
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?
Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?
Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?Eetu Uotinen
 

Recommended

Palvelukortti-konseptin esittely
Palvelukortti-konseptin esittelyPalvelukortti-konseptin esittely
Palvelukortti-konseptin esittelyguestf37bb3
 
Nixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNordnet Suomi
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Kim Westerlund
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?
Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?
Webinaari 5.10.2016: 7,4 tuntia turhaa työtä viikossa?Eetu Uotinen
 
Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
Tietoturvallisuuden_kevatseminaari_2013_Mikko_EräkaskiTietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
Tietoturvallisuuden_kevatseminaari_2013_Mikko_EräkaskiValtiokonttori / Statskontoret / State Treasury of Finland
 
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Valtiokonttori / Statskontoret / State Treasury of Finland
 
SM:n näkemys asianhallintaan - Markku Kraft
SM:n näkemys asianhallintaan - Markku KraftSM:n näkemys asianhallintaan - Markku Kraft
SM:n näkemys asianhallintaan - Markku KraftMaija Pylkkänen
 
Elinkaaren hallinta tiedonohjausksen avulla - Nina Eerikäinen
Elinkaaren hallinta tiedonohjausksen avulla - Nina EerikäinenElinkaaren hallinta tiedonohjausksen avulla - Nina Eerikäinen
Elinkaaren hallinta tiedonohjausksen avulla - Nina EerikäinenMaija Pylkkänen
 
Ixonos tiedonohjaussuunnittelu TOS (eAMS)
Ixonos tiedonohjaussuunnittelu TOS (eAMS)Ixonos tiedonohjaussuunnittelu TOS (eAMS)
Ixonos tiedonohjaussuunnittelu TOS (eAMS)IxonosSuomi
 
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenValtiokonttori / Statskontoret / State Treasury of Finland
 
Kameleon alustus aamubrunssi 3.12.2013
Kameleon alustus aamubrunssi 3.12.2013Kameleon alustus aamubrunssi 3.12.2013
Kameleon alustus aamubrunssi 3.12.2013Kaj Seeste
 
Kirsi Janhunen: Salassa pidettävien tietoaineistojen käsittely
Kirsi Janhunen: Salassa pidettävien tietoaineistojen käsittelyKirsi Janhunen: Salassa pidettävien tietoaineistojen käsittely
Kirsi Janhunen: Salassa pidettävien tietoaineistojen käsittelyValtiokonttori / Statskontoret / State Treasury of Finland
 
Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...
Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...
Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Kameleon aamubrunssi 3.12.2013 Receptum
Kameleon aamubrunssi 3.12.2013 ReceptumKameleon aamubrunssi 3.12.2013 Receptum
Kameleon aamubrunssi 3.12.2013 ReceptumKaj Seeste
 
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenTietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenValtiokonttori / Statskontoret / State Treasury of Finland
 
Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...
Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...
Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Valtion yhteinen viestintäratkaisu
Valtion yhteinen viestintäratkaisuValtion yhteinen viestintäratkaisu
Valtion yhteinen viestintäratkaisuValtiokonttori / Statskontoret / State Treasury of Finland
 
Digi Office, työpaja 2: Toimintamalli
Digi Office, työpaja 2: ToimintamalliDigi Office, työpaja 2: Toimintamalli
Digi Office, työpaja 2: ToimintamalliValtiokonttori / Statskontoret / State Treasury of Finland
 
Cyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsCyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsLeonardo
 
Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Jyrki Kasvi
 
Suun terveydenhuollon Potilastiedon arkiston toimintamallit
Suun terveydenhuollon Potilastiedon arkiston toimintamallitSuun terveydenhuollon Potilastiedon arkiston toimintamallit
Suun terveydenhuollon Potilastiedon arkiston toimintamallitTHL
 
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteet
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteetSuun terveydenhuollon tietosisällöt ja kirjaamisen rakenteet
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteetTHL
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022Finanssivalvonta
 
Ohjeita NBS-maiden markkinatoimijoille
Ohjeita NBS-maiden markkinatoimijoilleOhjeita NBS-maiden markkinatoimijoille
Ohjeita NBS-maiden markkinatoimijoilleeSett
 
Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Sininen Meteoriitti / Blue Meteorite
 

More Related Content

Viewers also liked

SM:n näkemys asianhallintaan - Markku Kraft
SM:n näkemys asianhallintaan - Markku KraftSM:n näkemys asianhallintaan - Markku Kraft
SM:n näkemys asianhallintaan - Markku KraftMaija Pylkkänen
 
Elinkaaren hallinta tiedonohjausksen avulla - Nina Eerikäinen
Elinkaaren hallinta tiedonohjausksen avulla - Nina EerikäinenElinkaaren hallinta tiedonohjausksen avulla - Nina Eerikäinen
Elinkaaren hallinta tiedonohjausksen avulla - Nina EerikäinenMaija Pylkkänen
 
Ixonos tiedonohjaussuunnittelu TOS (eAMS)
Ixonos tiedonohjaussuunnittelu TOS (eAMS)Ixonos tiedonohjaussuunnittelu TOS (eAMS)
Ixonos tiedonohjaussuunnittelu TOS (eAMS)IxonosSuomi
 
Kameleon alustus aamubrunssi 3.12.2013
Kameleon alustus aamubrunssi 3.12.2013Kameleon alustus aamubrunssi 3.12.2013
Kameleon alustus aamubrunssi 3.12.2013Kaj Seeste
 
Kameleon aamubrunssi 3.12.2013 Receptum
Kameleon aamubrunssi 3.12.2013 ReceptumKameleon aamubrunssi 3.12.2013 Receptum
Kameleon aamubrunssi 3.12.2013 ReceptumKaj Seeste
 
Cyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsCyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsLeonardo
 
Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Jyrki Kasvi
 
Suun terveydenhuollon Potilastiedon arkiston toimintamallit
Suun terveydenhuollon Potilastiedon arkiston toimintamallitSuun terveydenhuollon Potilastiedon arkiston toimintamallit
Suun terveydenhuollon Potilastiedon arkiston toimintamallitTHL
 
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteet
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteetSuun terveydenhuollon tietosisällöt ja kirjaamisen rakenteet
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteetTHL
 

Viewers also liked (18)

Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
Tietoturvallisuuden_kevatseminaari_2013_Mikko_EräkaskiTietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
 
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
 
SM:n näkemys asianhallintaan - Markku Kraft
SM:n näkemys asianhallintaan - Markku KraftSM:n näkemys asianhallintaan - Markku Kraft
SM:n näkemys asianhallintaan - Markku Kraft
 
Elinkaaren hallinta tiedonohjausksen avulla - Nina Eerikäinen
Elinkaaren hallinta tiedonohjausksen avulla - Nina EerikäinenElinkaaren hallinta tiedonohjausksen avulla - Nina Eerikäinen
Elinkaaren hallinta tiedonohjausksen avulla - Nina Eerikäinen
 
Ixonos tiedonohjaussuunnittelu TOS (eAMS)
Ixonos tiedonohjaussuunnittelu TOS (eAMS)Ixonos tiedonohjaussuunnittelu TOS (eAMS)
Ixonos tiedonohjaussuunnittelu TOS (eAMS)
 
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
 
Kameleon alustus aamubrunssi 3.12.2013
Kameleon alustus aamubrunssi 3.12.2013Kameleon alustus aamubrunssi 3.12.2013
Kameleon alustus aamubrunssi 3.12.2013
 
Kirsi Janhunen: Salassa pidettävien tietoaineistojen käsittely
Kirsi Janhunen: Salassa pidettävien tietoaineistojen käsittelyKirsi Janhunen: Salassa pidettävien tietoaineistojen käsittely
Kirsi Janhunen: Salassa pidettävien tietoaineistojen käsittely
 
Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...
Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...
Asian- ja aiheidenhallinnan tietojärjestelmä Valda – helpotusta valtionhallin...
 
Kameleon aamubrunssi 3.12.2013 Receptum
Kameleon aamubrunssi 3.12.2013 ReceptumKameleon aamubrunssi 3.12.2013 Receptum
Kameleon aamubrunssi 3.12.2013 Receptum
 
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenTietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
 
Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...
Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...
Tero Meltti, Tomi Hytönen: Valtion hankintatoiminen digitalisointi - tavoitte...
 
Valtion yhteinen viestintäratkaisu
Valtion yhteinen viestintäratkaisuValtion yhteinen viestintäratkaisu
Valtion yhteinen viestintäratkaisu
 
Digi Office, työpaja 2: Toimintamalli
Digi Office, työpaja 2: ToimintamalliDigi Office, työpaja 2: Toimintamalli
Digi Office, työpaja 2: Toimintamalli
 
Cyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsCyber Defense: three fundamental steps
Cyber Defense: three fundamental steps
 
Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?
 
Suun terveydenhuollon Potilastiedon arkiston toimintamallit
Suun terveydenhuollon Potilastiedon arkiston toimintamallitSuun terveydenhuollon Potilastiedon arkiston toimintamallit
Suun terveydenhuollon Potilastiedon arkiston toimintamallit
 
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteet
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteetSuun terveydenhuollon tietosisällöt ja kirjaamisen rakenteet
Suun terveydenhuollon tietosisällöt ja kirjaamisen rakenteet
 

Similar to PCI DSS 3.0 muutokset – “editor’s pick”

Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022Finanssivalvonta
 
Ohjeita NBS-maiden markkinatoimijoille
Ohjeita NBS-maiden markkinatoimijoilleOhjeita NBS-maiden markkinatoimijoille
Ohjeita NBS-maiden markkinatoimijoilleeSett
 
Fintech seminar aalto2019_materiaali_finnish
Fintech seminar aalto2019_materiaali_finnish Fintech seminar aalto2019_materiaali_finnish
Fintech seminar aalto2019_materiaali_finnishRuth Kaila
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 

Similar to PCI DSS 3.0 muutokset – “editor’s pick” (9)

Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022
Rahamuseo: Verkkopankissa ongelma – mikä on valvojan rooli? 15.11.2022
 
Ohjeita NBS-maiden markkinatoimijoille
Ohjeita NBS-maiden markkinatoimijoilleOhjeita NBS-maiden markkinatoimijoille
Ohjeita NBS-maiden markkinatoimijoille
 
Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016
 
Fintech seminar aalto2019_materiaali_finnish
Fintech seminar aalto2019_materiaali_finnish Fintech seminar aalto2019_materiaali_finnish
Fintech seminar aalto2019_materiaali_finnish
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutokset
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Tyopaja1 pilotointivaiheen suoritekorvaukset ja asiakasmaksut
Tyopaja1 pilotointivaiheen suoritekorvaukset ja asiakasmaksutTyopaja1 pilotointivaiheen suoritekorvaukset ja asiakasmaksut
Tyopaja1 pilotointivaiheen suoritekorvaukset ja asiakasmaksut
 

More from Nixu Corporation

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”Nixu Corporation
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

More from Nixu Corporation (16)

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo Nixu
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology Presentation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja?
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identities
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseen
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjille
 

PCI DSS 3.0 muutokset – “editor’s pick”

  • 1. PCI DSS 3.0 muutokset – “editor’s pick” Niki Klaus, Manager – Compliance Services 15.1.2014 1/16/14 © Nixu 2014 1
  • 2. Tyypillinen verkkokauppa §  Asiakas siirretään verkkokaupasta tekemään maksu palveluntarjoajan sivulle –  Esim. Netaxept (e-maksupalvelu, DMP) §  Korttitiedot eivät koskaan siirry kauppiaan järjestelmiin §  Does not store, process or transmit cardholder data §  PCI DSS 2.0 mukainen tulkinta: ei osa PCI-ympäristöä 1/16/14 © Nixu 2014 2
  • 3. PCI DSS 3.0 ja PCI-ympäristö §  Systems that provide –  security services (for example, authentication servers) –  facilitate segmentation (for example, internal firewalls) –  or may impact the security of (for example, name resolution or web redirection servers) the CDE. §  Muutoksen kaksi pääasiallista syytä –  Verkkokaupat –  QSA:en poikkeavat ja osin lepsut tulkinnat §  Verkkokauppojen suhteen avainasemassa on tuleva itsearviointilomake (SAQ) 1/16/14 © Nixu 2014 3
  • 4. Muutoksen vaikutukset §  Palveluntarjoajille mahdollisesti suurempi PCI-ympäristö –  Joidenkin järjestelmien saattaminen vaatimuksenmukaisiksi voi tuottaa lisää työtä ja kustannuksia –  Valmius kuitenkin olemassa – ei suuri hyppy §  Verkkokauppiaille muutos on erittäin suuri –  Ensimmäinen järjestelmä on se vaikein §  PCI-sertifioiduille ympäristöille suurempi kysyntä? §  Voiko tilannetta helpottaa kompensoivilla kontrolleilla? 1/16/14 © Nixu 2014 4
  • 5. Maksupäätteiden hallinta §  Täysin uusi vaatimus 9.9 –  Siirtymäaika 30.6.2015 §  Nixun suositus alusta saakka, sillä monien kauppiaiden ratkaisu nojaa täysin maksupäätteiden varaan §  Vaatimukset lyhyesti –  Ajantasainen inventaario –  Periodiset tarkastukset –  Henkilökunnan koulutus §  Skimming prevention guideline §  Valmius P2PE -sertifioidulle palvelulle §  Suositus: yhteistyö palveluntarjoajan kanssa 1/16/14 © Nixu 2014 5
  • 6. Palveluntarjoajien hallinta §  Tyypilliset haasteet palveluntarjoajien kanssa: katteettomat lupaukset, epäselvät vastuut §  Palveluntarjoajien roolia selkeytetty: vastaa korttitiedon turvallisuudesta, ei ainoastaan hallussaan olevasta korttitiedosta §  Kirjattava mitkä vaatimukset ovat palveluntarjoajien vastuulla, ja mitkä kauppiaan/pankin vastuulla §  Palveluntarjoajilla tulee olla mallipohja, jossa palveluntarjoaja ottaa vastuun korttitiedon turvallisuudesta §  Uusi AOC tukee tätä vaatimusta: tulee olemaan yksityiskohtaisempi –  Tarvetta ROC:n läpikäynnille? 1/16/14 © Nixu 2014 6
  • 7. Tietomurtojen jakaantuminen Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 7
  • 8. Mistä korttitiedot viedään Kauppiaat   Palveluntarjoajat   Lähde: Visa Europe 1/16/14 © Nixu 2014 8
  • 9. Kauppiaan asiakkaiden korttiväärinkäytökset % 80   70   60   50   40   30   20   10   0   aika 1/16/14 © Nixu 2014 Lähde: Visa Europe 9
  • 10. Trendit ja tekotavat §  Pienet verkkokaupat kohteina §  Hotellit VISAn mielenkiinnon kohteena §  Tehdään tietoverkkojen yli (95 %) §  Myös paperiaineistoa varastetaan §  Tyypilliset syyt –  –  –  –  Suojaamaton etäyhteys Puutteellinen verkkosegmentointi Suojaamaton verkkokauppa Phishing hyökkäykset (esiinnytään pankkina, pyydetään tiedot) §  Vahingot pienen kauppiaan tapauksessa yli 100.000€ 1/16/14 © Nixu 2014 10
  • 11. Tietomurron jälkipyykki §  Kauppiaan pankki saa sanktion §  VISAlle tulee toimittaa puhdas auditointiraportti (ROC) 90 päivän sisällä §  Vaihtoehtoisesti roadmap 30 päivän sisällä §  Mikäli ei toimita kumpaakaan, seuraa siitä sanktio 30 päivän välein §  Kauppiaan pankki voi yleensä vyöryttää sanktion kauppiaalle 1/16/14 © Nixu 2014 11
  • 12. Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 1/16/14 © Nixu 2014 12