Spianare la strada verso la conformità alla versione 2.0 di

WHITE PAPER
Spianare la strada verso la conformità
alla versione 2.0 di PCI DSS
Ottimizzazione dei processi per la protezione dei dati dei titolari
di carta di credito
Negli ultimi 20 anni, e soprattutto nell’ultimo decennio, l’utilizzo di
carte di credito e di debito da parte dei consumatori ha registrato
un’impennata, portando con sé più frequenti episodi di furto di identità
e frodi relative alle carte di credito. In risposta a tali fenomeni, sono
state varate normative, specialmente lo standard PCI-DSS (Payment
Card Industry Data Security Standard), che impongono alle aziende
l’adozione di misure volte a garantire la protezione dei dati dei
consumatori.
La conformità con lo standard PCI DSS è la base delle attività di ogni
azienda che gestisce i dati dei titolari di carta di credito. Tuttavia, le
organizzazioni di dimensioni piccole e grandi si impegnano a fondo
per soddisfare questo standard in continua evoluzione. La conformità
richiede non solo uno sforzo particolare, ma anche un processo oneroso
in termini di tempo e risorse per raccogliere, monitorare e analizzare
grandi quantità di informazioni nell’ambiente dei titolari di carta di
credito, una rete complessa di sistemi di dati e risorse di rete.
Un’organizzazione in grado di automatizzare, standardizzare e
monitorare i propri sistemi e controlli dell’accesso può raggiungere la
conformità non solo con PCI DSS, ma anche con altre normative statali
e federali che impongono obblighi simili. Investendo negli strumenti
di standardizzazione e nel software di automazione appropriati,
l’organizzazione può prosperare e dedicare le risorse alle questioni
prioritarie disponendo di un metodo più semplice ed economico per
raggiungere la conformità con nuovi standard aziendali.
WHITE PAPER
Indice
PCI DSS nel dettaglio............................................................................................................................................... 1
Principali ostacoli nel cammino verso la conformità a PCI DSS.............................................................................. 2
Come NetIQ spiana la strada verso la conformità a PCI DSS................................................................................. 2
Guida alla conformità integrata............................................................................................................................. 2
Gestione delle vulnerabilità.................................................................................................................................. 3
Monitoraggio delle attività dell’utente................................................................................................................... 3
Controllo dei comportamenti anomali................................................................................................................... 4
Riepilogo.................................................................................................................................................................. 4
Informazioni su NetIQ............................................................................................................................................... 5
WHITE PAPER: Spianare la strada verso la conformità alla versione 2.0 di PCI DSS
PCI DSS nel dettaglio
Appositamente ideato per garantire la protezione dei dati dei titolari di carta di credito, PCI DSS codifica le best
practice per la sicurezza dei dati. Si parte dalla formulazione di policy concrete per la sicurezza delle informazioni per
poi adottare provvedimenti specifici volti a proteggere le reti da eventuali attacchi, nonché a regolare e monitorare
l’accesso alla rete. PCI DSS ha evidenziato sei sezioni principali che includono 12 requisiti, divisi in oltre 210 controlli
specifici. Le sezioni principali si suddividono nel modo seguente:
Sezione
Requisiti
Requisito 1: installare e mantenere una configurazione firewall per proteggere i
dati dei titolari di carta di credito.
Creazione e manutenzione
di una rete sicura
Requisito 2: non usare i default forniti dal produttore per password di sistema e
altri parametri di sicurezza.
Protezione dei dati dei titolari
di carta di credito
Mantenimento di un
programma di gestione delle
vulnerabilità
Requisito 3: proteggere i dati dei titolari di carta di credito memorizzati.
Requisito 4: cifrare la trasmissione dei dati dei titolari di carta di credito su reti
aperte pubbliche.
Requisito 5: utilizzare e aggiornare costantemente software o programmi antivirus.
Requisito 6: sviluppare e mantenere sistemi e applicazioni in modo sicuro.
Requisito 7: restringere l'accesso ai dati dei titolari di carta di credito in base alle
reali necessità dell'azienda.
Adozione di potenti misure
di controllo dell'accesso
Requisito 8: assegnare un ID univoco a tutte le persone dotate di accesso al
computer.
Requisito 9: restringere l'accesso fisico ai dati dei titolari di carta di credito.
Requisito 10: controllare e monitorare tutti gli accessi alle risorse di rete e ai dati
dei titolari di carta di credito.
Controllo e test periodici
delle reti
Requisito 11: testare periodicamente i sistemi e i processi di sicurezza.
Mantenimento di una policy
di sicurezza delle informazioni
Requisito 12: mantenere una policy in grado di garantire la sicurezza delle
informazioni per tutto il personale.
Figura 1. Cinque marchi di servizi finanziari globali, ovvero American Express, Discover Financial Services, JCB International,
Visa Inc. e MasterCard Worldwide, compongono il PCI Security Standards Council, che ha introdotto lo standard PCI DSS nel
2006. Questo standard delinea le best practice per proteggere i dati dei titolari di carta di credito e tutte le organizzazioni che
memorizzano, elaborano o trasmettono tali dati devono esserne conformi. Lo standard PCI DSS continua a evolversi di pari passo
con le nuove sfide alla sicurezza. A partire da gennaio 2011, le aziende devono raggiungere la conformità alla versione 2.0 di PCI
DSS, che allinea lo standard alle nuove best practice del settore, chiarisce i requisiti per la registrazione e la reportistica e assicura
un’adozione più flessibile.
WHITE PAPER: Spianare la strada verso la conformità alla versione 2.0 di PCI DSS | 1
Principali ostacoli nel cammino verso la conformità a PCI DSS
Sebbene qualche semplice procedura, ad esempio mantenere aggiornato il software antivirus, possa avvicinare
un’azienda all’obiettivo, il raggiungimento della piena conformità implica modifiche procedurali complesse e
impegnative, tra cui controllare e monitorare l’accesso alle risorse di rete e ai dati dei titolari di carta di credito. Poiché
processi del genere vanno spesso incontro a limiti a livello di dipartimento, riguardano diversi team e piattaforme
multisistema, il tempo e i costi necessari per la loro adozione può ostacolare il raggiungimento della piena conformità.
In effetti, il rapporto sulla conformità a Payment Card Industry di Verizon 2012 indica che solo il 18% delle aziende
ha soddisfatto i requisiti per la protezione dei dati memorizzati (requisito 3); appena l’11% ha soddisfatto il requisito
che prevede il controllo e il monitoraggio di tutti gli accessi alle risorse di rete e ai dati dei titolari di carta di credito
(requisito 10); ancora meno, un timido 6%, ha testato periodicamente i sistemi e i processi di sicurezza (requisito 11).
I dati Verizon non devono sorprenderci considerando il tempo e le risorse necessari per coordinare i controlli degli
accessi tra i diversi confini dipartimentali e le piattaforme di sistema. Le aziende che sottovalutano tali sforzi e si
lasciando vincolare dai processi manuali e dal personale limitato si inscrivono nella maggioranza non conforme allo
standard e, dunque, vulnerabile a sanzioni normative.
“… le organizzazioni sia di piccole che di grandi dimensioni sembrano avere problemi prevalentemente con i requisiti 3
(proteggere i dati dei titolari di carta di credito memorizzati), 7 (restringere l’accesso ai dati dei titolari di carta di credito),
10 (controllare e monitorare gli accessi) e 11 (testare periodicamente i sistemi e i processi).”
Rapporto sulla conformità a Payment Card Industry di Verizon 2012
Come NetIQ spiana la strada verso la conformità a PCI DSS
Dal momento che la conformità richiede la massima protezione dei dati dei titolari di carta di credito, le aziende hanno
bisogno di soluzioni complete in grado di supportare ambienti eterogenei con un’ampia varietà di server, sistemi
operativi, dispositivi e applicazioni.
È proprio nell’automazione delle principali modifiche procedurali necessarie per ottenere la conformità senza alcun
problema che le soluzioni per la gestione della conformità offerte da NetIQ dimostrano il loro valore.
Queste soluzioni consentono di monitorare un ambiente di rete eterogeneo, analizzare la sicurezza dei sistemi e
regolare l’accesso degli utenti a tali sistemi. Oltre ad aiutarvi a raggiungere e mantenere la conformità agli standard
sulla sicurezza dei dati, quali PCI DSS, le soluzioni NetIQ danno prova della conformità raggiunta tramite rapporti che
mostrano in modo inequivocabile il corretto provisioning dei diritti utente e la massima sicurezza dei sistemi.
Guida alla conformità integrata
NetIQ ha incorporato l’intelligenza di anni e anni di competenze in ambito di soluzioni di sicurezza e conformità
all’interno di modelli predefiniti che guidano i team addetti alla sicurezza verso il raggiungimento della conformità.
NetIQ® Secure Configuration Manager™ rileva i sistemi non correttamente configurati che rendono le aziende vulnerabili
ad attacchi e sanzioni dovute alla mancata conformità. Inoltre, valuta le configurazioni dei sistemi in rela­zione alle
best practice ed esegue controlli pronti all’uso per verificare la conformità a standard specifici, ad esempio PCI DSS.
La reportistica sulle autorizzazioni degli utenti generata da tale strumento contribuisce ad assicurare che gli stessi
ottengano l’accesso a sistemi specifici solo su richiesta.
NetIQ Secure Configuration Manager permette di:
• Valutare le configurazioni di reti e applicazioni in base alle direttive PCI.
• Applicare le best practice del settore per la sicurezza di reti e dati.
• Gestire meglio l’accesso tramite l’identificazione di autorizzazioni utente.
WHITE PAPER: Spianare la strada verso la conformità alla versione 2.0 di PCI DSS | 2
Gestione delle vulnerabilità
Per garantire la conformità ai principali elementi di PCI DSS, i team addetti alla sicurezza devono individuare e
correggere le vulnerabilità dei sistemi o delle reti. NetIQ Secure Configuration Manager rileva le vulnerabilità del
sistema mediante processi basati su credenziali e host e verifica la presenza dei punti deboli elencati nel National
Vulnerability Database, aggiornandone continuamente lo strumento di valutazione tramite un servizio automatizzato
per i contenuti di sicurezza.
NetIQ Secure Configuration Manager permette di:
• Valutare le configurazioni dei sistemi rispetto a standard interni, requisiti normativi e best practice.
• Offrire una panoramica sui rischi che sono e non sono gestiti.
• Correggere le vulnerabilità prima che causino problemi.
Monitoraggio delle attività dell’utente
Uno degli obiettivi di riferimento di PCI DSS, ovvero consentire l’accesso solo a chi ne ha reale necessità, costituisce
una vera e propria sfida per settori quali i servizi e la vendita al dettaglio, che generalmente vantano un elevato
turnover dei dipendenti. Eppure, tali controlli dell’accesso rimangono componenti fondamentali della conformità non
solo perché distinguono gli utenti, ma soprattutto perché proteggono le risorse di dati dalle minacce interne. In quanto
soluzione di monitoraggio dell’attività degli utenti leader del settore, NetIQ® Sentinel™ si avvale del sistema di
gestione delle identità per collegare gli utenti ad azioni specifiche sui diversi sistemi.
NetIQ Sentinel controlla modifiche di sistema e attività degli utenti in tempo reale, rileva minacce e intrusioni, gestisce
e mette in correlazione gli eventi di sicurezza, gestisce i log e automatizza le risposte agli incidenti, il tutto in un’unica
infrastruttura integrata e scalabile. Grazie alla funzione di collegamento delle identità degli utenti ad azioni specifiche
offerta da NetIQ Sentinel, revisori e Compliance Officer possono disporre di informazioni dettagliate sugli eventi di
sicurezza, il che permette loro di migliorare le difese aziendali senza compromettere la produttività degli utenti.
NetIQ Sentinel aiuta a:
• Applicare policy di sicurezza e best practise in tempo reale rispettando al contempo i requisiti di permanenza dei
log, la revisione e la reportistica previsti da PCI DSS.
• Acquisire visibilità nell’intero ambiente dei dati dei titolari di carta di credito con i dati correlati provenienti da
diversi endpoint e applicazioni.
• Sfruttare la visibilità migliorata per ottimizzare la sicurezza e ridurre i rischi.
• Ridurre i rischi di violazione di dati e altre perdite rispondendo tempestivamente agli avvisi in tempo reale.
Inoltre, le soluzioni NetIQ® Change Guardian™ offrono una funzione che consente il rilevamento rapido e in tempo
reale delle modifiche per file, sistemi, directory o oggetti di importanza critica. Questa famiglia di prodotti è composta
da un software specifico per applicazione per Active Directory, Windows e Group Policy. L’intera linea di prodotti
fornisce avvisi e rapporti completi e dettagliati sulle attività degli utenti con privilegi, sulle modifiche non autorizzate e
su altri comportamenti che potrebbero indicare un attacco in corso.
NetIQ Change Guardian integra informazioni sulla sicurezza, gestione degli eventi o software per richieste di NetIQ
Sentinel o di altri fornitori. Quest’integrazione, insieme alla reportistica su richiesta e alla copertura attiva 24 ore su 24,
7 giorni su 7 offerte da NetIQ Change Guardian, consente di segnalare le anomalie e arginare le perdite prima che gli
hacker possano estrarne i dati.
NetIQ Change Guardian permette di:
• Monitorare le configurazioni dei sistemi, i file e le applicazioni per verificare la presenza di problemi prima che
causino danni.
• Controllare l’attività degli utenti per rilevare eventuali comportamenti sospetti o non autorizzati.
• Identificare immediatamente le modifiche non gestite e gli accessi o le attività non autorizzati a qualsiasi livello
aziendale.
WHITE PAPER: Spianare la strada verso la conformità alla versione 2.0 di PCI DSS | 3
Controllo dei comportamenti anomali
Il primo segnale comune a numerosi tipi di attacchi, inclusi quelli in cui i malintenzionati si inseriscono negli elaboratori
dei pagamenti, è il cambio insolito o improvviso del comportamento della rete. I rivenditori, ad esempio, potrebbero
notare un elevato volume di attività durante le ore di maggiore stasi, quando si suppone che le transazioni si riducano.
NetIQ Sentinel rileva numerose minacce in modo immediato, senza configurazioni onerose in termini di tempo.
Il rilevamento automatico delle anomalie stabilisce le linee di base di un’attività normale e riconosce le modifiche
che potrebbero costituire minacce emergenti.
NetIQ Sentinel aiuta a:
• Rilevare e correggere le anomalie il più rapidamente possibile.
• Consolidare la rete nei punti deboli noti, ad esempio i dispositivi dei punti vendita.
• Ridurre il rischio di un potenziale attacco.
Riepilogo
Sei anni dopo il lancio iniziale di PCI DSS e sulla scia dell’aggiornamento 2.0, meno del 40% delle aziende conformi
a questo standard è riuscito a soddisfarne ogni singolo requisito. I principali ostacoli nel cammino verso la piena
conformità restano:
• Monitorare adeguatamente l’attività degli utenti
• Gestire le vulnerabilità man mano che vengono rilevate nel corso delle valutazioni
• Stabilire e potenziare efficienti policy di sicurezza
Superare questi ostacoli richiede molto più di un ristretto numero di azioni da intraprendere, ovvero processi
all’avanguardia che consentano di monitorare i sistemi e gli utenti. Tuttavia, adottare questi processi in sistemi
eterogenei si è rivelato difficile per alcune organizzazioni, a causa della mancanza delle risorse IT necessarie per
condurre le dovute valutazioni e intraprendere le azioni adeguate per la soluzione del problema.
Strumenti comprovati, come quelli offerti da NetIQ, offrono ai team addetti alla sicurezza le informazioni in tempo reale
e i processi automatizzati necessari per ottenere la conformità a PCI DSS senza problemi. Con processi più efficaci e
un personale IT più produttivo, sia la vostra azienda che i vostri clienti potranno trarre vantaggio dalla conformità.
Le soluzioni NetIQ guidano la vostra azienda verso la conformità in modo rapido e conveniente e vi permettono di:
• Utilizzare modelli pronti all’uso, che racchiudono anni e anni di competenze NetIQ in ambito di sicurezza dei dati
per assicurare che piattaforme e applicazioni ottengano la conformità a best practice e normative specifiche.
• Verificare la presenza di vulnerabilità del sistema nell’elenco più aggiornato del National Vulnerability Database.
• Individuare e correggere le vulnerabilità prima che i malintenzionati possano sfruttarle a loro vantaggio.
• Monitorare e registrare l’attività degli utenti, collegando gli eventi di sicurezza alle persone coinvolte.
• Rilevare in tempo reale e rispondere immediatamente ai comportamenti anomali che potrebbero indicare
un attacco.
• Rafforzare lo stato della sicurezza aziendale per soddisfare lo standard PCI DSS 2.0 e altre normative
­riguardanti la sicurezza dei dati e della rete.
• Dimostrare la conformità mediante log e rapporti automatizzati
WHITE PAPER: Spianare la strada verso la conformità alla versione 2.0 di PCI DSS | 4
Informazioni su NetIQ
NetIQ è un produttore di software aziendale costantemente impegnato a promuovere il successo dei clienti. Clienti e
partner scelgono NetIQ per gestire a costi contenuti le sfide legate alla protezione dei dati e la complessità di applica­
zioni aziendali dinamiche e altamente distribuite.
Il nostro portafoglio include soluzioni scalabili e automatizzate in ambiti quali identità, sicurezza, governance e
gestione delle operazioni IT, per aiutare le organizzazioni a offrire, misurare e gestire i servizi IT in diversi ambienti
fisici, virtuali e di cloud computing. Queste soluzioni e il nostro approccio pratico e incentrato sul cliente per la
risoluzione delle sfide IT più impegnative consentono alle organizzazioni di ridurre costi, complessità e rischi.
Per saperne di più sulle nostre soluzioni software di primissimo ordine, visitate il sito www.netiq.com.
Questo documento può contenere inesattezze tecniche o errori tipografici. Le informazioni ivi contenute vengono modificate periodicamente. Le modifiche possono essere incorporate nelle nuove
versioni del documento. NetIQ Corporation si riserva il diritto di apportare in qualsiasi momento miglioramenti o modifiche al software descritto in questo documento.
Copyright © 2012 NetIQ Corporation e affiliate. Tutti i diritti riservati.
562-IT1008-001 DS 07/12
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, il design del logo cube, Directory and Resource Administrator, Directory Security
Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge
Scripts, NetConnect, NetIQ, il logo NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server
Consolidator, VigilEnt e Vivinet sono marchi o marchi registrati di NetIQ Corporation o delle sue affiliate negli Stati Uniti. Tutti gli altri nomi di aziende e prodotti citati nel documento vengono utilizzati
esclusivamente a scopo identificativo e possono essere marchi o marchi registrati delle rispettive aziende.
Italy - Milan
Italy - Rome
Via Varese, 6/A
20037
Paderno Dugnano (MI)
Tel: +39 (0) 2 99 06 02 01
Fax: +39 (0) 2 9904 4784
[email protected]
www.NetIQ.com
http://community.netiq.com
Via Tirone 11
00146 Rome
Italy
Tel: +39 06 45 213 421
Fax: +39 06 45 213 301
Email : [email protected]
Per un elenco completo dei nostri
uffici in Nord America, Europa,
Medioriente, Africa, Asia-Pacifico
e America Latina, visitate
www.netiq.com/contacts.
Seguiteci:
WHITE PAPER: Spianare la strada verso la conformità alla versione 2.0 di PCI DSS | 5