Apresentação Sbseg 2009

16
OpenPCI: Um toolkit para atender os requisitos técnicos do PCI DSS Fábio Juliano Dapper, Leonardo Lemes Fagundes Universidade do Vale do Rio dos Sinos (UNISINOS) 93.022-000 – São Leopoldo – RS – Brasil [email protected], [email protected]

description

Apresentação utilizada no sbseg 2009, evento realizado no centro de convenções da Unicamp.

Transcript of Apresentação Sbseg 2009

Page 1: Apresentação Sbseg 2009

OpenPCI: Um toolkit para atender os requisitos técnicos do PCI DSS

Fábio Juliano Dapper, Leonardo Lemes Fagundes

Universidade do Vale do Rio dos Sinos (UNISINOS) 93.022-000 – São Leopoldo – RS – [email protected], [email protected]

Page 2: Apresentação Sbseg 2009

2

Agenda

Contextualização Visão geral Motivação Objetivos

PCI DSS Toolkit Projetos relacionados Conclusão

Page 3: Apresentação Sbseg 2009

3

Visão geral

Utilização de cartão de crédito como meio de pagamento teve início na década de 50 (Diners Club).

Alternativa aos meios tradicionais de pagamento (dinheiro e cheque). Indicadores comprovam seu crescimento e popularização.

Fonte: Livro Manual das Fraudes.

ABECS.

ABECS 2009 Janeiro Fevereiro Março Abril Maio Junho Julho

Cartões - Milhões 519 522 526 531 535 540 542Variação % ano anterior 14% 13% 13% 13% 12% 12% 12%

Transações - Milhões 459 438 471 472 498 482 515Variação % ano anterior 17% 14% 14% 17% 14% 14% 15%

Faturamento - Bilhões 32,7 30,3 33,2 33,6 36,1 35,3 36,8Variação % ano anterior 19% 17% 17% 20% 17% 19% 17%

Page 4: Apresentação Sbseg 2009

4

Motivação – Comprometimento de sistemas

Costuma envolver um grande volume de dados de cartões.

Fonte: Bankinfo Security. U.S. Department of Justice Computer Crime and Intellectual Property Section.

Page 5: Apresentação Sbseg 2009

5

Motivação – Fraudes, o que proteger ? Dados do portador do cartão

PAN Nome do portador do cartão Data de vencimento Código de serviço

Dados de autenticação Código de segurança PIN/PIN Block

Fonte: Adaptado de PCI Council.

Page 6: Apresentação Sbseg 2009

6

Objetivos

Projetar e disponibilizar um toolkit que forneça ferramentas isentas de custo de aquisição para atender os requisitos técnicos exigidos pelo PCI DSS.

Auxiliar no processo de conformidade através de um instrumento para análise de aderência (SAQ - Self-Assessment Questionnaire) com o PCI DSS.

Page 7: Apresentação Sbseg 2009

7

PCI DSS Padrão da indústria de cartões de pagamento que define requisitos de

segurança para proteção dos dados do portador do cartão. Mantido pelo PCI Security Standards Council.

Obrigatório para empresas que: Processam Transmitem Armazenam

Fonte: PCI Council.

Page 8: Apresentação Sbseg 2009

8

PCI DSS – Requisitos

Fonte: PCI Council.

Page 9: Apresentação Sbseg 2009

9

PCI DSS – Custo do compliance e penalidades Requisito 8: Atribuir um ID exclusivo para cada pessoa que tenha acesso a um

computador. Oracle Identity Management = US$270.000 OpenPCI Toolkit (OpenIAM/OpenLDAP/Samba)

Requisito 6.6: Proteger aplicações web contra ameaças e vulnerabilidades. Barracuda Web Application Firewall = US$20.000 OpenPCI Toolkit (ModSecurity)

Multas são definidas pelas bandeiras de cartão: US$500.000 por incidente US$25 por cartão comprometido

Fonte: Oracle Technology Global Price List.

Website Barracuda.

Page 10: Apresentação Sbseg 2009

10

Toolkit

Page 11: Apresentação Sbseg 2009

11

Toolkit – Informações gerais Auxiliar no processo de conformidade com o PCI DSS:

Economia com aquisição de softwares Automatizar o processo de conformidade (Análise de aderência)

Baseado na distribuição GNU/Linux Ubuntu Server. Ferramentas modo texto serão apresentadas via interface gráfica (zenity).

Page 12: Apresentação Sbseg 2009

12

Toolkit – Seleção e organização das ferramentas Deverá atender dois critérios:

Ser isentas de custo de aquisição (GPL, BSD, etc) Atender a intenção de cada requisito

Ferramentas organizadas conforme cada exigência do PCI DSS (menus).

Page 13: Apresentação Sbseg 2009

13

Toolkit – Como utilizar ?

Page 14: Apresentação Sbseg 2009

14

Projetos relacionados

PCI Toolkit (CSRSI) - http://www.pcitoolkit.com Interface web para gerenciar SAQ, glossário, programa de treinamento.

PCI DSS v1.2 Documentation Compliance Toolkit (IT Governance UK) - http://www.itgovernance.co.uk Kit com documentações, livros e mapeamento com a ISO 27001.

PCI Toolkit (GoToBilling) - http://www.gotobilling.com Interface web para gerenciar SAQ e documentações relacionadas ao PCI DSS.

realPCI (Realiso Corp) - http://www.realiso.com/realpci Sistema de gestão para controlar o atendimento dos controles, relatórios, gerenciamento de risco.

Page 15: Apresentação Sbseg 2009

15

Conclusão e trabalhos futuros

Não há registro de soluções sem custo de aquisição que organize as ferramentas conforme a intenção de cada requisito do PCI DSS.

O instrumento para análise de aderência (SAQ) facilita a procura por tais ferramentas.

Atender as exigências do PCI DSS pode custar caro, não atendê-las pode custar mais caro ainda.

Incluir novas ferramentas (em andamento). Disponibilizar imagem ISO (início de outubro). Desenvolver novos módulos para o SAQ (gráfico de conformidade). Desenvolver uma interface web para o SAQ.

Page 16: Apresentação Sbseg 2009

16

Perguntas?

http://openpci.blogspot.com