SlideShare a Scribd company logo

PCI DSS 3.0 - Merkittävimmät muutokset

Nixu Corporation
Nixu Corporation

"PCI DSS 3.0 - Merkittävimmät muutokset” Esitetty Nixun aamiaistilaisuudessa 15.1.2014 (c) Nixu Oy, Seppo Heikkinen.

Business
1 of 16
PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 © Nixu 2014 1
Yleistä PCI DSS –standardin kehittämisestä  PCI SSC (Payment Card Industry Security Standards Council) on vastuussa standardin kehittämisestä ja ylläpidosta – Kerää palautetta PCI-toimijoilta – Tavoitteena vastata kehittyviin uhkiin  Standardin elinkaari kestää kolme vuotta – Yhden vuoden siirtymäaika, jolloin vanha ja uusi standardi voimassa – PCI DSS 2.0 julkaistiin lokakuussa 2010 – PCI DSS 3.0 julkaistiin marraskuussa 2013  Voimassa 2014  Pakollinen 2015 15.1.2014 © Nixu 2014 2
3.0:n tavoitteita  Maksukorttiturvallisuus  “business  as  usual”  Koulutuksen ja tietoisuuden lisääminen  Joustavuus  Tarkastusten yhtenäisyys  Tietoturvan jaettu vastuu 15.1.2014 © Nixu 2014 3
Yleisiä muutoksia  PCI-vaatimusten vaikutusalueen (scope) tarkennukset  ”Business  as  usual”  –osio – Best practises –ohjeistus  Lisätty vaatimuksiin ohjeistussarake kuvastamaan vaatimuksen tarkoitusta  Kohdistettujen tietoturvapolitiikkojen ja – proseduurien siirtäminen omiin vaatimusryhmiinsä  Auditoinnissa käytettäviä testausproseduureja on tarkennettu  Kielellisiä ja typografisia korjauksia 15.1.2014 © Nixu 2014 4
Yksittäiset muutokset 15.1.2014 © Nixu 2014 5
Verkot, palomuurit, järjestelmien turvaparametrit (1,2)  Korttitietovirtojen dokumentointi  Tarkennukset turvattomista protokollista  Tarkennuksia vaatimusten testauksista ja tavoitteista  Inventaariolistaus PCI-ympäristön komponenteista  Tarkennuksia organisaation konfiguraatiostandardeista 15.1.2014 © Nixu 2014 6
Esimerkki tarkennuksista Vaatimus Testausproseduuri 2.0 3.0 15.1.2014 © Nixu 2014 7
Haittaohjelmat (5)  Otsikkomuutos – “Use  and  regularly  update  anti-virus  software  or  programs”  -> “Protect  all  systems  against  malware  and  regularly  update  anti-virus software  or  programs”  Haittaohjelmauhkien säännöllinen arviointi myös järjestelmissä, jotka eivät tyypillisesti ole haittaohjelmien kohteena  Käyttäjä ei voi sammuttaa tai muuttaa virustutkaa 15.1.2014 © Nixu 2014 8
Järjestelmä- ja ohjelmistokehitys (6)  Ohjelmistokehittäjien koulutus huomioimaan myös sensitiivisen tiedon käsittely muistissa  Ohjelmistokehityksen otettava huomioon haavoittuvuuksien hallinnassa  kulloisetkin  ”best  practise”-listat – Uutena  haavoittuvuusluokkana  ”broken  authentication  and  session   management”  (Best practise until Jun 2015)  Tarkennukset web-sovellusten turvatestaukseen: ei ole sama kuin verkkohaavoittuvuusskannaus  Web-application firewall ->  ”automated technical solution that detects and prevents web-based  attacks” 15.1.2014 © Nixu 2014 9
Autentikointi (8)  Otsikkomuutos – “Assign  a  unique  ID  to  each  person  with  computer  access”  -> ”Identify  and  authenticate  access  to  system  components”  Salasanoille vaihtoehtoiset autentikointimekanismit – Kompleksisuusvaatimukset voidaan korvata esim. entropialla  Käyttäjäohjeistus hyvistä salasanakäytännöistä  Palveluntarjoajien tulee käyttää uniikkeja salasanoja eri asiakasympäristöihin – Ei koske omia hostattuja ympäristöjä – (Best practise until Jun 2015)  Toimikorttipohjaiset ja vastaavat autentikointimekanismit tulee linkittää vain yksittäisiin käyttäjiin – Fyysiset tai loogiset kontrollit 15.1.2014 © Nixu 2014 10
Fyysinen turvallisuus (9)  Fyysisen pääsyn tulee olla auktorisoitua ja perustua työnkuvaan – Oikeudet perutaan heti työsuhteen loppuessa  Maksupäätteiden (kortinlukijan) turvaaminen – Inventaariolistojen ylläpito – Säännölliset tarkastukset peukaloinnin varalta – Henkilökunnan koulutus  Tunnistetaan peukalointi, epäilyttävät laitteet – Raportointi esimiehelle  Valtuutettu huolto  Laitteiden asennus/luovutus – (Best practise until Jun 2015) 15.1.2014 © Nixu 2014 11
Monitorointi (10)  Lokitus muutoksista tunnistusmekanismeihin tai pääkäyttäjätunnuksiin  Havainnoi lokien pysäyttäminen kokonaan tai väliaikaisesti  Tarkennuksia siitä, mitä lokeja tutkitaan päivittäin (manuaalisesti tai työkalujen avulla) ja millä frekvenssillä muita lokeja tutkitaan organisaation politiikkojen/riskien hallinnan mukaisesti 15.1.2014 © Nixu 2014 12
Testaus (11)  Inventaario käytössä olevista langattomista verkoista ja näiden perustellusta käyttötarkoituksesta  Murtotestausta varten tulee olla määritelty metodologia – (Best practise until Jun 2015)  Segmentoinnin toimivuuden tarkistus vuosittain tai muutosten jälkeen  “Intrusion-detection systems, and/or intrusion-prevention  systems”  -> “Intrusion-detection and/or intrusion-prevention  techniques”  ”File  integrity  monitoring”  ->  ”Change  detection  mechanism”  Prosessimääritellyt kuinka muutoshälytyksiin vastataan 15.1.2014 © Nixu 2014 13
Tietoturvapolitiikat (12)  Riskien arviointi tehdään myös merkittävien muutosten jälkeen  Tarkennettu että palveluntarjoaja käsittelee korttidataa tai voi vaikuttaa maksukorttiympäristön tietoturvaan  Listaukset vaatimuksista, mitkä ovat organisaation ja mitkä palveluntarjoajan vastuulla  Palveluntarjoaja ylläpitää prosesseja, jotka varmistavat että se pystyy kirjallisesti ilmaisemaan vastuunsa soveltuvien PCI DSS –vaatimusten noudattamisesta – Auditoitava kohde on palveluntarjoaja – (Best practise until Jun 2015) 15.1.2014 © Nixu 2014 14
Yhteenveto  PCI-ympäristön (scope) tarkentuminen – Kaikki korttiturvallisuuden oleellisesti liittyvät komponentit  Lisääntynyt inventaariotarve – Tiedosta PCI-ympäristö  Maksupäätteiden turvallisuudesta huolehtiminen – Fyysinen turvallisuus – Henkilöstön koulutus  Murtotestausmetodologia  Palvelutarjoajien tarkempi seuranta – Vaatimusten kohdentaminen 15.1.2014 © Nixu 2014 15
Kiitos mielenkiinnosta!  Kysymyksiä/kommentteja? Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 15.1.2014 © Nixu 2014 16

Recommended

SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
IT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitusIT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitus3 Step IT Suomi
 
CASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisuCASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisu3 Step IT Suomi
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes
 
TIS: Trápi vás korupcia na Slovensku?
TIS: Trápi vás korupcia na Slovensku?TIS: Trápi vás korupcia na Slovensku?
TIS: Trápi vás korupcia na Slovensku?TISlovensko
 
public serviceenterprise group CapReIzzo
public serviceenterprise group CapReIzzopublic serviceenterprise group CapReIzzo
public serviceenterprise group CapReIzzofinance20
 
Tenis
TenisTenis
Tenismaitegarciaalvarez9
 
consoliddated edison 2000_annual
consoliddated edison 2000_annual consoliddated edison 2000_annual
consoliddated edison 2000_annual finance20
 

Recommended

SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
IT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitusIT-laitteiden elinkaarenhallilnnan kartoitus
IT-laitteiden elinkaarenhallilnnan kartoitus3 Step IT Suomi
 
CASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisuCASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisu3 Step IT Suomi
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes
 
TIS: Trápi vás korupcia na Slovensku?
TIS: Trápi vás korupcia na Slovensku?TIS: Trápi vás korupcia na Slovensku?
TIS: Trápi vás korupcia na Slovensku?TISlovensko
 
public serviceenterprise group CapReIzzo
public serviceenterprise group CapReIzzopublic serviceenterprise group CapReIzzo
public serviceenterprise group CapReIzzofinance20
 
Tenis
TenisTenis
Tenismaitegarciaalvarez9
 
consoliddated edison 2000_annual
consoliddated edison 2000_annual consoliddated edison 2000_annual
consoliddated edison 2000_annual finance20
 
public serviceenterprise group 2Q2007Slides
public serviceenterprise group 2Q2007Slidespublic serviceenterprise group 2Q2007Slides
public serviceenterprise group 2Q2007Slidesfinance20
 
Sociocracy - Pursuit of great decisions, fast
Sociocracy - Pursuit of great decisions, fastSociocracy - Pursuit of great decisions, fast
Sociocracy - Pursuit of great decisions, fastQaiser Mazhar
 
#t4at - Collaboration - Risiken und Nebenwirkungen
#t4at - Collaboration - Risiken und Nebenwirkungen#t4at - Collaboration - Risiken und Nebenwirkungen
#t4at - Collaboration - Risiken und NebenwirkungenThomas Krause
 
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?Osuuskunta Ehta Raha
 
consoliddated edison 2002_joint proxy
consoliddated edison 2002_joint proxy consoliddated edison 2002_joint proxy
consoliddated edison 2002_joint proxy finance20
 
public serviceenterprise group10/02/07
public serviceenterprise group10/02/07public serviceenterprise group10/02/07
public serviceenterprise group10/02/07finance20
 
Beyond Agile: Self-Organisation for Tech Teams
Beyond Agile: Self-Organisation for Tech TeamsBeyond Agile: Self-Organisation for Tech Teams
Beyond Agile: Self-Organisation for Tech TeamsTobias Leonhardt
 
Agile & Lean at Tekes
Agile & Lean at TekesAgile & Lean at Tekes
Agile & Lean at TekesMarko Taipale
 
Self-organization case study blinkist & zalando technology
Self-organization case study blinkist & zalando technologySelf-organization case study blinkist & zalando technology
Self-organization case study blinkist & zalando technologyTobias Leonhardt
 
Leading 21st Century Firms
Leading 21st Century FirmsLeading 21st Century Firms
Leading 21st Century FirmsLee Bryant
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Sociocracy 3.0 - All Patterns Explained
Sociocracy 3.0 - All Patterns ExplainedSociocracy 3.0 - All Patterns Explained
Sociocracy 3.0 - All Patterns ExplainedBernhard Bockelbrink
 
Oak fi-31.03.2016 - fundraising
Oak fi-31.03.2016 - fundraisingOak fi-31.03.2016 - fundraising
Oak fi-31.03.2016 - fundraisingMika Marjalaakso
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting PersonalKirsty Hulse
 
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaMykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaTHL
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Maintpartner - teollisen käytön ja kunnossapidon ammattilainen
Maintpartner - teollisen käytön ja kunnossapidon ammattilainenMaintpartner - teollisen käytön ja kunnossapidon ammattilainen
Maintpartner - teollisen käytön ja kunnossapidon ammattilainenMaintpartner Group
 
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...THL
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriThomas Malmberg
 
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416THL
 

More Related Content

Viewers also liked

public serviceenterprise group 2Q2007Slides
public serviceenterprise group 2Q2007Slidespublic serviceenterprise group 2Q2007Slides
public serviceenterprise group 2Q2007Slidesfinance20
 
Sociocracy - Pursuit of great decisions, fast
Sociocracy - Pursuit of great decisions, fastSociocracy - Pursuit of great decisions, fast
Sociocracy - Pursuit of great decisions, fastQaiser Mazhar
 
#t4at - Collaboration - Risiken und Nebenwirkungen
#t4at - Collaboration - Risiken und Nebenwirkungen#t4at - Collaboration - Risiken und Nebenwirkungen
#t4at - Collaboration - Risiken und NebenwirkungenThomas Krause
 
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?Osuuskunta Ehta Raha
 
consoliddated edison 2002_joint proxy
consoliddated edison 2002_joint proxy consoliddated edison 2002_joint proxy
consoliddated edison 2002_joint proxy finance20
 
public serviceenterprise group10/02/07
public serviceenterprise group10/02/07public serviceenterprise group10/02/07
public serviceenterprise group10/02/07finance20
 
Beyond Agile: Self-Organisation for Tech Teams
Beyond Agile: Self-Organisation for Tech TeamsBeyond Agile: Self-Organisation for Tech Teams
Beyond Agile: Self-Organisation for Tech TeamsTobias Leonhardt
 
Agile & Lean at Tekes
Agile & Lean at TekesAgile & Lean at Tekes
Agile & Lean at TekesMarko Taipale
 
Self-organization case study blinkist & zalando technology
Self-organization case study blinkist & zalando technologySelf-organization case study blinkist & zalando technology
Self-organization case study blinkist & zalando technologyTobias Leonhardt
 
Leading 21st Century Firms
Leading 21st Century FirmsLeading 21st Century Firms
Leading 21st Century FirmsLee Bryant
 
Sociocracy 3.0 - All Patterns Explained
Sociocracy 3.0 - All Patterns ExplainedSociocracy 3.0 - All Patterns Explained
Sociocracy 3.0 - All Patterns ExplainedBernhard Bockelbrink
 
Oak fi-31.03.2016 - fundraising
Oak fi-31.03.2016 - fundraisingOak fi-31.03.2016 - fundraising
Oak fi-31.03.2016 - fundraisingMika Marjalaakso
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting PersonalKirsty Hulse
 

Viewers also liked (14)

public serviceenterprise group 2Q2007Slides
public serviceenterprise group 2Q2007Slidespublic serviceenterprise group 2Q2007Slides
public serviceenterprise group 2Q2007Slides
 
Sociocracy - Pursuit of great decisions, fast
Sociocracy - Pursuit of great decisions, fastSociocracy - Pursuit of great decisions, fast
Sociocracy - Pursuit of great decisions, fast
 
#t4at - Collaboration - Risiken und Nebenwirkungen
#t4at - Collaboration - Risiken und Nebenwirkungen#t4at - Collaboration - Risiken und Nebenwirkungen
#t4at - Collaboration - Risiken und Nebenwirkungen
 
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?
Miten sosiokratia voisi auttaa yhteisön päätöksentekoa?
 
consoliddated edison 2002_joint proxy
consoliddated edison 2002_joint proxy consoliddated edison 2002_joint proxy
consoliddated edison 2002_joint proxy
 
public serviceenterprise group10/02/07
public serviceenterprise group10/02/07public serviceenterprise group10/02/07
public serviceenterprise group10/02/07
 
Beyond Agile: Self-Organisation for Tech Teams
Beyond Agile: Self-Organisation for Tech TeamsBeyond Agile: Self-Organisation for Tech Teams
Beyond Agile: Self-Organisation for Tech Teams
 
Agile & Lean at Tekes
Agile & Lean at TekesAgile & Lean at Tekes
Agile & Lean at Tekes
 
Self-organization case study blinkist & zalando technology
Self-organization case study blinkist & zalando technologySelf-organization case study blinkist & zalando technology
Self-organization case study blinkist & zalando technology
 
Leading 21st Century Firms
Leading 21st Century FirmsLeading 21st Century Firms
Leading 21st Century Firms
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016
 
Sociocracy 3.0 - All Patterns Explained
Sociocracy 3.0 - All Patterns ExplainedSociocracy 3.0 - All Patterns Explained
Sociocracy 3.0 - All Patterns Explained
 
Oak fi-31.03.2016 - fundraising
Oak fi-31.03.2016 - fundraisingOak fi-31.03.2016 - fundraising
Oak fi-31.03.2016 - fundraising
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting Personal
 

Similar to PCI DSS 3.0 - Merkittävimmät muutokset

Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaMykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaTHL
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Maintpartner - teollisen käytön ja kunnossapidon ammattilainen
Maintpartner - teollisen käytön ja kunnossapidon ammattilainenMaintpartner - teollisen käytön ja kunnossapidon ammattilainen
Maintpartner - teollisen käytön ja kunnossapidon ammattilainenMaintpartner Group
 
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...THL
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriThomas Malmberg
 
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416THL
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
IdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuriIdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuriHannu Kasanen
 
Juha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusJuha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusTHL
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Kiwa Inspecta Suomi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...
Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...
Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...SESKO ry
 
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelutCisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelutKatariina Kolehmainen
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaFinceptum Oy
 

Similar to PCI DSS 3.0 - Merkittävimmät muutokset (20)

Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaMykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
 
Maintpartner - teollisen käytön ja kunnossapidon ammattilainen
Maintpartner - teollisen käytön ja kunnossapidon ammattilainenMaintpartner - teollisen käytön ja kunnossapidon ammattilainen
Maintpartner - teollisen käytön ja kunnossapidon ammattilainen
 
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...
Sertifiointi. Olennaiset toiminnalliset vaatimukset, sosiaalihuollon tietojär...
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
 
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
 
Suun kanta seminaari-150309_mykkänen
Suun kanta seminaari-150309_mykkänenSuun kanta seminaari-150309_mykkänen
Suun kanta seminaari-150309_mykkänen
 
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoaErja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
 
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenTietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
 
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
 
IdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuriIdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuri
 
Juha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusJuha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, Yhteentoimivuus
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...
Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...
Teollisuusautomaation standardit - Turvaväylät ja niiden valinta - Tekninen r...
 
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelutCisco Tulevaisuuden ICT- ja tietoliikennepalvelut
Cisco Tulevaisuuden ICT- ja tietoliikennepalvelut
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturva
 

More from Nixu Corporation

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”Nixu Corporation
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

More from Nixu Corporation (17)

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo Nixu
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology Presentation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja?
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identities
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseen
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjille
 

PCI DSS 3.0 - Merkittävimmät muutokset

  • 1. PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 © Nixu 2014 1
  • 2. Yleistä PCI DSS –standardin kehittämisestä  PCI SSC (Payment Card Industry Security Standards Council) on vastuussa standardin kehittämisestä ja ylläpidosta – Kerää palautetta PCI-toimijoilta – Tavoitteena vastata kehittyviin uhkiin  Standardin elinkaari kestää kolme vuotta – Yhden vuoden siirtymäaika, jolloin vanha ja uusi standardi voimassa – PCI DSS 2.0 julkaistiin lokakuussa 2010 – PCI DSS 3.0 julkaistiin marraskuussa 2013  Voimassa 2014  Pakollinen 2015 15.1.2014 © Nixu 2014 2
  • 3. 3.0:n tavoitteita  Maksukorttiturvallisuus  “business  as  usual”  Koulutuksen ja tietoisuuden lisääminen  Joustavuus  Tarkastusten yhtenäisyys  Tietoturvan jaettu vastuu 15.1.2014 © Nixu 2014 3
  • 4. Yleisiä muutoksia  PCI-vaatimusten vaikutusalueen (scope) tarkennukset  ”Business  as  usual”  –osio – Best practises –ohjeistus  Lisätty vaatimuksiin ohjeistussarake kuvastamaan vaatimuksen tarkoitusta  Kohdistettujen tietoturvapolitiikkojen ja – proseduurien siirtäminen omiin vaatimusryhmiinsä  Auditoinnissa käytettäviä testausproseduureja on tarkennettu  Kielellisiä ja typografisia korjauksia 15.1.2014 © Nixu 2014 4
  • 6. Verkot, palomuurit, järjestelmien turvaparametrit (1,2)  Korttitietovirtojen dokumentointi  Tarkennukset turvattomista protokollista  Tarkennuksia vaatimusten testauksista ja tavoitteista  Inventaariolistaus PCI-ympäristön komponenteista  Tarkennuksia organisaation konfiguraatiostandardeista 15.1.2014 © Nixu 2014 6
  • 8. Haittaohjelmat (5)  Otsikkomuutos – “Use  and  regularly  update  anti-virus  software  or  programs”  -> “Protect  all  systems  against  malware  and  regularly  update  anti-virus software  or  programs”  Haittaohjelmauhkien säännöllinen arviointi myös järjestelmissä, jotka eivät tyypillisesti ole haittaohjelmien kohteena  Käyttäjä ei voi sammuttaa tai muuttaa virustutkaa 15.1.2014 © Nixu 2014 8
  • 9. Järjestelmä- ja ohjelmistokehitys (6)  Ohjelmistokehittäjien koulutus huomioimaan myös sensitiivisen tiedon käsittely muistissa  Ohjelmistokehityksen otettava huomioon haavoittuvuuksien hallinnassa  kulloisetkin  ”best  practise”-listat – Uutena  haavoittuvuusluokkana  ”broken  authentication  and  session   management”  (Best practise until Jun 2015)  Tarkennukset web-sovellusten turvatestaukseen: ei ole sama kuin verkkohaavoittuvuusskannaus  Web-application firewall ->  ”automated technical solution that detects and prevents web-based  attacks” 15.1.2014 © Nixu 2014 9
  • 10. Autentikointi (8)  Otsikkomuutos – “Assign  a  unique  ID  to  each  person  with  computer  access”  -> ”Identify  and  authenticate  access  to  system  components”  Salasanoille vaihtoehtoiset autentikointimekanismit – Kompleksisuusvaatimukset voidaan korvata esim. entropialla  Käyttäjäohjeistus hyvistä salasanakäytännöistä  Palveluntarjoajien tulee käyttää uniikkeja salasanoja eri asiakasympäristöihin – Ei koske omia hostattuja ympäristöjä – (Best practise until Jun 2015)  Toimikorttipohjaiset ja vastaavat autentikointimekanismit tulee linkittää vain yksittäisiin käyttäjiin – Fyysiset tai loogiset kontrollit 15.1.2014 © Nixu 2014 10
  • 11. Fyysinen turvallisuus (9)  Fyysisen pääsyn tulee olla auktorisoitua ja perustua työnkuvaan – Oikeudet perutaan heti työsuhteen loppuessa  Maksupäätteiden (kortinlukijan) turvaaminen – Inventaariolistojen ylläpito – Säännölliset tarkastukset peukaloinnin varalta – Henkilökunnan koulutus  Tunnistetaan peukalointi, epäilyttävät laitteet – Raportointi esimiehelle  Valtuutettu huolto  Laitteiden asennus/luovutus – (Best practise until Jun 2015) 15.1.2014 © Nixu 2014 11
  • 12. Monitorointi (10)  Lokitus muutoksista tunnistusmekanismeihin tai pääkäyttäjätunnuksiin  Havainnoi lokien pysäyttäminen kokonaan tai väliaikaisesti  Tarkennuksia siitä, mitä lokeja tutkitaan päivittäin (manuaalisesti tai työkalujen avulla) ja millä frekvenssillä muita lokeja tutkitaan organisaation politiikkojen/riskien hallinnan mukaisesti 15.1.2014 © Nixu 2014 12
  • 13. Testaus (11)  Inventaario käytössä olevista langattomista verkoista ja näiden perustellusta käyttötarkoituksesta  Murtotestausta varten tulee olla määritelty metodologia – (Best practise until Jun 2015)  Segmentoinnin toimivuuden tarkistus vuosittain tai muutosten jälkeen  “Intrusion-detection systems, and/or intrusion-prevention  systems”  -> “Intrusion-detection and/or intrusion-prevention  techniques”  ”File  integrity  monitoring”  ->  ”Change  detection  mechanism”  Prosessimääritellyt kuinka muutoshälytyksiin vastataan 15.1.2014 © Nixu 2014 13
  • 14. Tietoturvapolitiikat (12)  Riskien arviointi tehdään myös merkittävien muutosten jälkeen  Tarkennettu että palveluntarjoaja käsittelee korttidataa tai voi vaikuttaa maksukorttiympäristön tietoturvaan  Listaukset vaatimuksista, mitkä ovat organisaation ja mitkä palveluntarjoajan vastuulla  Palveluntarjoaja ylläpitää prosesseja, jotka varmistavat että se pystyy kirjallisesti ilmaisemaan vastuunsa soveltuvien PCI DSS –vaatimusten noudattamisesta – Auditoitava kohde on palveluntarjoaja – (Best practise until Jun 2015) 15.1.2014 © Nixu 2014 14
  • 15. Yhteenveto  PCI-ympäristön (scope) tarkentuminen – Kaikki korttiturvallisuuden oleellisesti liittyvät komponentit  Lisääntynyt inventaariotarve – Tiedosta PCI-ympäristö  Maksupäätteiden turvallisuudesta huolehtiminen – Fyysinen turvallisuus – Henkilöstön koulutus  Murtotestausmetodologia  Palvelutarjoajien tarkempi seuranta – Vaatimusten kohdentaminen 15.1.2014 © Nixu 2014 15
  • 16. Kiitos mielenkiinnosta!  Kysymyksiä/kommentteja? Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 15.1.2014 © Nixu 2014 16