© 2011 Acertigo AG

Payment Card Industry Data Security Standard

Case Study: Datendiebstahl und Prävention

Fachveranstaltung Datensicherheit Bern 7. September 2011

© 2011 Acertigo AG

INHALT

1. FIRMENPROFIL

2. DATENDIEBSTAHL UND PRÄVENTION

3. KONTAKT

© 2011 Acertigo AG

FIRMENPROFIL

Für unsere Kunden langjähriger erfahrener Partner und Dienstleister im PCI-Bereich.

Seit 2004 zugelassener Zertifizierer für die unterschiedlichen PCI Standards, wie PCI DSS, PA-DSS, PCI PIN Security.

Akkreditierung als Zertifizierer für die Regionen Zentraleuropa, Naher Osten und Afrika.

Standorte: Stuttgart, Zurich

Sales-Offices: Budapest, Stockholm, Riyadh, Wien, Zagreb

Mehr als 100 Level 1 Audit-Kunden

Mehrere tausend Händler auf den Zertifizierungsportalen

© 2011 Acertigo AG

FIRMENPROFIL Services im Überblick

Dienstleister für alle Unternehmen die eine PCI-Zertifizierung durchführen (Banken, Prozessoren, Payment Gateway, Service und Hostingprovider, Händler)

Wir unterstützen und beraten unsere Kunden in allen Phasen der PCI-Zertifizierung.

Expertise in PCI DSS, PA DSS, PIN Security sowie dem Compliance-Management beim Acquirer

Acquirer Compliance Services

PCI Onsite Reviews PCI Vulnerability Scans

Training & Awareness

Remediation Support

PCI Gap Analyse / Pre-Compliance

Review

Compliance Advisory

Wir beraten, prüfen und zertifizieren Unternehmen im Bereich IT-Sicherheit und Datenschutz. Unser Schwerpunkt liegt dabei im Bereich der Compliance Services für die Payment Card Industry (PCI).

© 2011 Acertigo AG

INHALT

1. FIRMENPROFIL

2. DATENDIEBSTAHL UND PRÄVENTION

3. KONTAKT

© 2011 Acertigo AG

EXISTIEREN BEDROHUNGEN ?

© 2011 Acertigo AG

EXISTIEREN BEDROHUNGEN ? BETRIFFT ES MICH ?

Quellen: Studie von Ernst&Young, 2011 Data Breach Report Verizon, 2010

© 2011 Acertigo AG

DATENDIEBSTAHL UND PRÄVENTION WER MUSS SICH DARUM KÜMMERN?

Verantwortlichkeiten Geschäftsführung IT-Leiter Datenschutzbeauftragter CSO (Chief Security Officer)

Regulatorische Anforderungen PCI DSS Datenschutzgesetze (EU, landesspezifische Umsetzung, kantonale Gesetze)

© 2011 Acertigo AG

DATENDIEBSTAHL UND PRÄVENTION HABE ICH SCHÜTZENSWERTE DATEN?

Was ist gefährdet? Unternehmensdaten

Kosten- und Preiskalkulationen Finanzdaten Vertragsdaten Personaldaten usw.

Kundendaten Kundenstamm Konditionen Bankverbindungsdaten, Kartennummern usw.

Rechte und Entwicklungs-Knowhow

© 2011 Acertigo AG

DATENDIEBSTAHL UND PRÄVENTION

Wie erfolgt die Gefährdung? Externe Angriffe

Trojaner, Schadsoftware, Key Logger, etc.

Manipulierte Programme Social Engineering

Quelle: Studie von Ernst&Young, 2011 Durch eigene Mitarbeiter Verlust von mobilen Geräten wie Laptops, SmartPhones Verlust von Medien (print, DVD, CD, USB-Sticks, etc.) Unerlaubte elektronische Weitergabe (email, Web, etc.) Missbrauch durch priviligierte User (admins, etc.)

Weitere Einflüsse Löschung, Brand, Vandalismus, technische Ausfälle, etc.

-> Disaster Recovery / Backup

© 2011 Acertigo AG

DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?

Schutz auf unterschiedlichen Ebenen notwendig auf der Netzwerk-Ebene

durch Firewalls durch Detektionssysteme wie IDS/IPS

auf der System- und Applikationsebene durch Antivirus-Systeme durch File Integrity Monitoring durch Zugriffskontrolle auf Systeme und Applikationen durch „Device Control“ (nur zugelassen Geräte)

aber insbesondere auf der Datenebene durch Verschlüsselung durch Zugriffsauthentifizierung durch Data Loss Prevention Technologien

© 2011 Acertigo AG

DATENDIEBSTAHL UND PRÄVENTION WIE SCHÜTZE ICH MICH?

Um Schutzmassnahmen zu adressieren müssen Daten identifiziert werden (wo) klassifiziert werden (welche) und Regeln (wer, was, wofür) für die Schutzklassen festgelegt werden

Daten müssen geschützt werden, egal wo diese sich befinden Schutz bei Verlust von mobilen Geräten (z.B. Festplattenverschlüsselung) Nutzung durch Speichermedien (protected USB-Stick, Blockierung der Nutzung

solcher Medienanschlüsse wie USB, Firewire, Bluetooth, Wireless, Brennerlaufwerke)

Überwachung und Kontrolle der Zugriffe auf Daten im Netzwerk Datenexportkontrolle (Data Loss Prevention Technologien)

Mitarbeiter müssen informiert und geschult werden im Umgang mit sensiblen Daten

© 2011 Acertigo AG

DATENDIEBSTAHL UND PRÄVENTION

Datenschutz erfordert zu wissen, was schützenwerte Daten sind, wo diese gespeichert sind, durch welche Prozesse diese verarbeitet werden und von wem

Verringerung der Datenhaltung reduziert Risiken

Richtlinien und Weisungen sollen die sachgerechte Nutzung der Daten vorgeben

Technische Massnahmen müssen die organisatorischen Vorgaben wo notwendig unterstützen und durchsetzen

© 2011 Acertigo AG

DATENDIEBSTAHL UND PRÄVENTION

Fazit Identifikation (Was sind schützenwerte Daten, Wo befinden sich diese Daten) Nutzung (Wer benötigt Zugriff auf diese Daten, Warum werden diese Daten

benötigt) Dokumentation (Sicherheitsrichtlinien, Weisungen) Welche technischen und organisatorischen Massnahmen können zum Schutz

ergriffen werden Schulung/Awareness Welche rechtlichen Anforderungen sind zu erfüllen

der PCI DSS Standard trifft Regelungen zu diesen Punkten

© 2011 Acertigo AG

Danke für Ihre Aufmerksamkeit !

Acertigo AG Wilhelmsplatz 8, 70182 Stuttgart, Germany phone + 49 711 620 30 232 fax + 49 711 620 30 200 email ralph.woern@acertigo.com

Ralph Wörn Vorstand

© 2011 Acertigo AG

COPYRIGHT

Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Document“). Use of the Document is governed by applicable copyright law. Acertigo may revise this Document from time to time without notice. This document is provided “as is” without warranty of any kind. In no event shall Acertigo be liable for indirect, special, incidental, or consequential damages of any kind arising from any error in this document, including without limitation any loss or interruption of business, profits, use or data. All contents provided in this document are protected by copyright. None of the material may be reproduced, copied or distributed in any form without the prior written permission of Acertigo AG. All rights are reserved including those in the translation. Trademarks: Most of the names and trade names, including hardware and software terms, mentioned in this document are either registered trademarks or should be considered as such. All information contained on this document has been published without regard to a possible patent protection. All names of goods are used without the guarantee of usability. All rights are reserved. Acertigo is a registered Trademark in Germany and other countries.