ebook img

PCI DSS: An Integrated Data Security Standard Guide PDF

549 Pages·2020·24.906 MB·English
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview PCI DSS: An Integrated Data Security Standard Guide

PCI DSS An Integrated Data Security Standard Guide — Jim Seaman PCI DSS An Integrated Data Security Standard Guide Jim Seaman PCI DSS: An Integrated Data Security Standard Guide Jim Seaman Castleford, West Yorkshire, UK ISBN-13 (pbk): 978-1-4842-5807-1 ISBN-13 (electronic): 978-1-4842-5808-8 https://doi.org/10.1007/978-1-4842-5808-8 Copyright © 2020 by Jim Seaman This work is subject to copyright. All rights are reserved by the Publisher, whether the whole or part of the material is concerned, specifically the rights of translation, reprinting, reuse of illustrations, recitation, broadcasting, reproduction on microfilms or in any other physical way, and transmission or information storage and retrieval, electronic adaptation, computer software, or by similar or dissimilar methodology now known or hereafter developed. Trademarked names, logos, and images may appear in this book. Rather than use a trademark symbol with every occurrence of a trademarked name, logo, or image we use the names, logos, and images only in an editorial fashion and to the benefit of the trademark owner, with no intention of infringement of the trademark. The use in this publication of trade names, trademarks, service marks, and similar terms, even if they are not identified as such, is not to be taken as an expression of opinion as to whether or not they are subject to proprietary rights. While the advice and information in this book are believed to be true and accurate at the date of publication, neither the authors nor the editors nor the publisher can accept any legal responsibility for any errors or omissions that may be made. The publisher makes no warranty, express or implied, with respect to the material contained herein. Managing Director, Apress Media LLC: Welmoed Spahr Acquisitions Editor: Susan McDermott Development Editor: Laura Berendson Coordinating Editor: Jessica Vakili Distributed to the book trade worldwide by Springer Science+Business Media New York, 233 Spring Street, 6th Floor, New York, NY 10013. Phone 1-800-SPRINGER, fax (201) 348-4505, e-mail orders-ny@springer- sbm.com, or visit www.springeronline.com. Apress Media, LLC is a California LLC and the sole member (owner) is Springer Science + Business Media Finance Inc (SSBM Finance Inc). SSBM Finance Inc is a Delaware corporation. For information on translations, please e-mail [email protected], or visit http://www.apress.com/ rights-permissions. Apress titles may be purchased in bulk for academic, corporate, or promotional use. eBook versions and licenses are also available for most titles. For more information, reference our Print and eBook Bulk Sales web page at http://www.apress.com/bulk-sales. Any source code or other supplementary material referenced by the author in this book is available to readers on GitHub via the book’s product page, located at www.apress.com/978-1-4842-5807-1. For more detailed information, please visit http://www.apress.com/source-code. Printed on acid-free paper Table of Contents About the Author �����������������������������������������������������������������������������������������������������xv About the Technical Reviewer �������������������������������������������������������������������������������xvii Introduction ������������������������������������������������������������������������������������������������������������xix A Tribute To ������������������������������������������������������������������������������������������������������������xxv Chapter 1: An Evolving Regulatory Perspective �������������������������������������������������������1 Introduction �����������������������������������������������������������������������������������������������������������������������������������2 Revolution or Evolution? ���������������������������������������������������������������������������������������������������������������6 Europe �������������������������������������������������������������������������������������������������������������������������������������8 Canada ������������������������������������������������������������������������������������������������������������������������������������8 United States ���������������������������������������������������������������������������������������������������������������������������9 Australia ��������������������������������������������������������������������������������������������������������������������������������10 China �������������������������������������������������������������������������������������������������������������������������������������10 Japan �������������������������������������������������������������������������������������������������������������������������������������10 Argentina �������������������������������������������������������������������������������������������������������������������������������10 Malaysia ��������������������������������������������������������������������������������������������������������������������������������10 Brazil �������������������������������������������������������������������������������������������������������������������������������������11 India ���������������������������������������������������������������������������������������������������������������������������������������11 Financial Services �����������������������������������������������������������������������������������������������������������������11 Data Privacy Hierarchy ����������������������������������������������������������������������������������������������������������������13 PCI DSS Validation Requirements ������������������������������������������������������������������������������������������14 Recommendations ����������������������������������������������������������������������������������������������������������������������16 Behaviors �������������������������������������������������������������������������������������������������������������������������������19 Leadership �����������������������������������������������������������������������������������������������������������������������������24 Consent or Legitimate Use ����������������������������������������������������������������������������������������������������25 iii Table of ConTenTs Conclusion ����������������������������������������������������������������������������������������������������������������������������������26 Key Takeaways ����������������������������������������������������������������������������������������������������������������������������27 Risks �������������������������������������������������������������������������������������������������������������������������������������������27 Chapter 2: The Evolution of PCI DSS �����������������������������������������������������������������������29 Associated Costs (Non-compliance/Data Breach) �����������������������������������������������������������������������35 Introduction ���������������������������������������������������������������������������������������������������������������������������������36 PCI DSS Controls Framework Architecture ���������������������������������������������������������������������������������36 Primary (Core) Ring ���������������������������������������������������������������������������������������������������������������37 Secondary Ring ���������������������������������������������������������������������������������������������������������������������38 Tertiary Ring ��������������������������������������������������������������������������������������������������������������������������38 Quaternary Ring ��������������������������������������������������������������������������������������������������������������������38 Quinary Ring ��������������������������������������������������������������������������������������������������������������������������38 Senary (Outer) Ring ���������������������������������������������������������������������������������������������������������������38 Historic References ���������������������������������������������������������������������������������������������������������������������40 Build and Maintain a Secure Network �����������������������������������������������������������������������������������40 Protect Cardholder Data ��������������������������������������������������������������������������������������������������������45 Maintain a Vulnerability Management Program ��������������������������������������������������������������������46 Implement Strong Access Control Measures ������������������������������������������������������������������������������49 Regularly Monitor and Test Networks �����������������������������������������������������������������������������������������54 Maintain an Information Security Policy �������������������������������������������������������������������������������������57 Reality Bites ��������������������������������������������������������������������������������������������������������������������������������58 Recommendations ����������������������������������������������������������������������������������������������������������������������58 Conclusion ����������������������������������������������������������������������������������������������������������������������������������58 Key Takeaways ����������������������������������������������������������������������������������������������������������������������������59 Risks �������������������������������������������������������������������������������������������������������������������������������������������60 Chapter 3: Data Life Support System ����������������������������������������������������������������������61 Introduction ���������������������������������������������������������������������������������������������������������������������������������61 Concept ���������������������������������������������������������������������������������������������������������������������������������������62 Lessons Learned �������������������������������������������������������������������������������������������������������������������������63 iv Table of ConTenTs Layered Defenses ������������������������������������������������������������������������������������������������������������������63 24 /7 Monitoring ���������������������������������������������������������������������������������������������������������������������65 Physical Security �������������������������������������������������������������������������������������������������������������������66 Incident Response �����������������������������������������������������������������������������������������������������������������67 Blood Life-Cycle Management ����������������������������������������������������������������������������������������������68 Recommendations ����������������������������������������������������������������������������������������������������������������������69 Conclusion ����������������������������������������������������������������������������������������������������������������������������������71 Key Takeaways ����������������������������������������������������������������������������������������������������������������������������71 Risks �������������������������������������������������������������������������������������������������������������������������������������������72 Chapter 4: An Integrated Cyber/InfoSec Strategy ��������������������������������������������������73 Introduction ���������������������������������������������������������������������������������������������������������������������������������74 Components of an Effective Strategy ������������������������������������������������������������������������������������������77 Data Privacy ���������������������������������������������������������������������������������������������������������������������������79 Cyber Security �����������������������������������������������������������������������������������������������������������������������83 Information Security ��������������������������������������������������������������������������������������������������������������98 Physical Security �����������������������������������������������������������������������������������������������������������������105 Resilience ����������������������������������������������������������������������������������������������������������������������������108 Recommendations ��������������������������������������������������������������������������������������������������������������������109 Conclusion ��������������������������������������������������������������������������������������������������������������������������������109 Key Takeaways ��������������������������������������������������������������������������������������������������������������������������110 Risks �����������������������������������������������������������������������������������������������������������������������������������������110 Chapter 5: The Importance of Risk Management �������������������������������������������������113 Introduction �������������������������������������������������������������������������������������������������������������������������������120 What Is a Risk Assessment? ������������������������������������������������������������������������������������������������120 Background �������������������������������������������������������������������������������������������������������������������������121 Scenario Development ��������������������������������������������������������������������������������������������������������������124 Think Like an Attacker ���������������������������������������������������������������������������������������������������������124 Risk Scenarios ���������������������������������������������������������������������������������������������������������������������127 v Table of ConTenTs Risk Assessment Process ���������������������������������������������������������������������������������������������������������139 Reality Bites ������������������������������������������������������������������������������������������������������������������������������141 Recommendations ��������������������������������������������������������������������������������������������������������������������143 Conclusion ��������������������������������������������������������������������������������������������������������������������������������144 Key Takeaways ��������������������������������������������������������������������������������������������������������������������������144 Risks �����������������������������������������������������������������������������������������������������������������������������������������145 Chapter 6: Risk Management vs� Compliance – The Differentiator ����������������������147 Introduction �������������������������������������������������������������������������������������������������������������������������������152 PCI DSS Is Not a Legal Requirement… �������������������������������������������������������������������������������������154 …But Should Be a Business Requirement? ������������������������������������������������������������������������154 Concept �������������������������������������������������������������������������������������������������������������������������������������156 How Is This Achieved? ���������������������������������������������������������������������������������������������������������159 Qualitative vs� Quantitative Risk Assessment ����������������������������������������������������������������������161 Quantitative Risk Assessments �������������������������������������������������������������������������������������������162 Risk Appetite/Tolerance �������������������������������������������������������������������������������������������������������162 Case Studies �����������������������������������������������������������������������������������������������������������������������������162 Case Study 1: Telephone-Based Payments Risk Balance Case �������������������������������������������164 Case Study 2: Enhanced PCI DSS Program Through Integration into Enterprise Risk Management (ERM) ������������������������������������������������������������������������������������178 Reality Bites ������������������������������������������������������������������������������������������������������������������������������189 Recommendations ��������������������������������������������������������������������������������������������������������������������191 Conclusion ��������������������������������������������������������������������������������������������������������������������������������192 Key Takeaways ��������������������������������������������������������������������������������������������������������������������������192 Risks �����������������������������������������������������������������������������������������������������������������������������������������193 Chapter 7: PCI DSS Applicability ��������������������������������������������������������������������������195 PCI DSS Overview ���������������������������������������������������������������������������������������������������������������������195 Introduction �������������������������������������������������������������������������������������������������������������������������������198 The Precious Cargo �������������������������������������������������������������������������������������������������������������������198 Structure of a Payment Card �����������������������������������������������������������������������������������������������199 Precious Cargo Categories ��������������������������������������������������������������������������������������������������199 vi Table of ConTenTs Accessing Applicability �������������������������������������������������������������������������������������������������������������206 The Future ���������������������������������������������������������������������������������������������������������������������������������208 Key Takeaways ��������������������������������������������������������������������������������������������������������������������������210 Risks �����������������������������������������������������������������������������������������������������������������������������������������210 Chapter 8: De-scoping the Scoping Risk ��������������������������������������������������������������213 Introduction �������������������������������������������������������������������������������������������������������������������������������216 Lessons Learned from History ��������������������������������������������������������������������������������������������������217 Thinking Like the Enemy �����������������������������������������������������������������������������������������������������������218 The Way Forward ����������������������������������������������������������������������������������������������������������������������219 Reality Bites ������������������������������������������������������������������������������������������������������������������������������220 Recommendations ��������������������������������������������������������������������������������������������������������������������224 High-Level Overview �����������������������������������������������������������������������������������������������������������225 Detailed-Level Overview ������������������������������������������������������������������������������������������������������225 Conclusion ��������������������������������������������������������������������������������������������������������������������������������228 Key Takeaways ��������������������������������������������������������������������������������������������������������������������������228 Risks �����������������������������������������������������������������������������������������������������������������������������������������229 Chapter 9: An Introduction to the PCI DSS Controls Framework ��������������������������231 Brief History of PCI DSS ������������������������������������������������������������������������������������������������������������231 My Life Before PCI DSS �������������������������������������������������������������������������������������������������������������234 My Life Living with PCI DSS ������������������������������������������������������������������������������������������������������237 PCI DSS Structure ���������������������������������������������������������������������������������������������������������������������240 PCI DSS: 6 Goals, 12 Requirements ������������������������������������������������������������������������������������������241 Goals �����������������������������������������������������������������������������������������������������������������������������������������242 6�3 Ps: People, Policies, and Processes (Maintain a Policy That Addresses Information Security for All Personnel) ����������������������������������������������������������������������������������243 Documentation, Documentation, Documentation ����������������������������������������������������������������243 Reality Bites �������������������������������������������������������������������������������������������������������������������������244 Secure Architecture (Build and Maintain a Secure Network) ����������������������������������������������������245 Layered Defenses ����������������������������������������������������������������������������������������������������������������246 Identify and Manage IT Assets ���������������������������������������������������������������������������������������������247 vii Table of ConTenTs Traffic Control ����������������������������������������������������������������������������������������������������������������������248 Reality Bites �������������������������������������������������������������������������������������������������������������������������249 Secure by Design/Secured by Default ���������������������������������������������������������������������������������249 Reality Bites �������������������������������������������������������������������������������������������������������������������������250 Secure Data at Rest and in Transit (Protect Cardholder Data) ��������������������������������������������������252 Reality Bites �������������������������������������������������������������������������������������������������������������������������253 Secure Maintenance (Maintain a Vulnerability Management Program) ������������������������������������254 Reality Bites �������������������������������������������������������������������������������������������������������������������������255 Gate Keeping (Implement Strong Access Control Measures) ����������������������������������������������������257 Reality Bites �������������������������������������������������������������������������������������������������������������������������258 Routine Assurance (Regularly Monitor and Test Networks) ������������������������������������������������������258 Reality Bites �������������������������������������������������������������������������������������������������������������������������260 PCI DSS 12 Requirements ���������������������������������������������������������������������������������������������������������263 Introduction �������������������������������������������������������������������������������������������������������������������������������263 Requirement 12: 3 Ps (People, Policies, and Processes) �����������������������������������������������������265 Requirement 1: Layering the Network ���������������������������������������������������������������������������������266 Requirement 2: Secure by Design/Default ���������������������������������������������������������������������������270 Requirement 3: The Vault �����������������������������������������������������������������������������������������������������271 Requirement 4: Secure in Motion ����������������������������������������������������������������������������������������273 Requirement 5: Entry Search �����������������������������������������������������������������������������������������������275 Requirement 6: Build and Maintain �������������������������������������������������������������������������������������276 Requirement 7: Role-Based Restrictions �����������������������������������������������������������������������������276 Requirement 8: Logical Entry Control ����������������������������������������������������������������������������������277 Requirement 9: Physical Entry Control ��������������������������������������������������������������������������������278 Requirement 10: Monitor and Detect �����������������������������������������������������������������������������������279 Requirement 11: Assurance Testing ������������������������������������������������������������������������������������280 Conclusion ��������������������������������������������������������������������������������������������������������������������������������283 Risks �����������������������������������������������������������������������������������������������������������������������������������������284 viii Table of ConTenTs Chapter 10: Payment Channel Attack Vectors ������������������������������������������������������285 Introduction �������������������������������������������������������������������������������������������������������������������������������286 Card Not Present �����������������������������������������������������������������������������������������������������������������291 Card Present ������������������������������������������������������������������������������������������������������������������������292 Card Not Present (CNP) Attack Vectors �������������������������������������������������������������������������������������295 “Payload” Delivery Attacks ��������������������������������������������������������������������������������������������������297 CNP Perimeter Attacks ��������������������������������������������������������������������������������������������������������302 Perimeter Network Attacks��������������������������������������������������������������������������������������������������302 Perimeter Web Attacks ��������������������������������������������������������������������������������������������������������305 Card Present (CP) Attack Vectors ����������������������������������������������������������������������������������������������306 ATM Attacks �������������������������������������������������������������������������������������������������������������������������308 POI/PTS/POS/PDQ Device Attacks ���������������������������������������������������������������������������������������310 Third-Party Attack Vectors ��������������������������������������������������������������������������������������������������������313 Recommendations ��������������������������������������������������������������������������������������������������������������������314 Stage 1 ��������������������������������������������������������������������������������������������������������������������������������316 Stage 2 ��������������������������������������������������������������������������������������������������������������������������������316 Reality Bites �������������������������������������������������������������������������������������������������������������������������317 Conclusion ��������������������������������������������������������������������������������������������������������������������������������319 Key Takeaways ��������������������������������������������������������������������������������������������������������������������������320 Risks �����������������������������������������������������������������������������������������������������������������������������������������321 Chapter 11: Compliance – A Team Effort ��������������������������������������������������������������323 Introduction �������������������������������������������������������������������������������������������������������������������������������328 It’s All in the Game ��������������������������������������������������������������������������������������������������������������������331 Team Structure��������������������������������������������������������������������������������������������������������������������������332 Rugby League Game Play ���������������������������������������������������������������������������������������������������������334 Team Player Development ��������������������������������������������������������������������������������������������������������335 Sounds Unrealistic? �������������������������������������������������������������������������������������������������������������337 ix

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.