Vrije Universiteit Amsterdam Postgraduate Opleiding ITACA
Integriteit en vertrouwelijkheid van creditcard gegevens: De toegevoegde waarde van het Payment Card Industry (PCI) Data Security Standards (DSS) framework
Auteur E-mail adres
Chris van Aken
[email protected]
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Auteur
Ing. Chris van Aken VCP MCP QSA CISA Studentnummer 2523466 Noordbeek B.V. Rijndijk 209-B 2394 CD Hazerswoude
Vrije Universiteit
Dr. René Matthijsse RE
Praktijkbegeleider
Ing. Edward van Egmond RE QSA CISA
2 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Inhoudsopgave 1.
Inleiding ..................................................................................................................... 4 1.1. Aanleiding voor het onderzoek ........................................................................... 4 1.2. Onderzoeksdoelstelling ....................................................................................... 4 1.3. Scope en afbakening van het onderzoeksveld ..................................................... 5 1.4. Bijdrage van het onderzoek aan het vakgebied IT-audit ..................................... 5 1.5. Onderzoekaanpak ................................................................................................ 6 1.6. Dankwoord .......................................................................................................... 6
2.
Financieel betalingsverkeer en security .................................................................. 7 2.1. Creditcards........................................................................................................... 7 2.2. Geld- en informatiestromen tijdens creditcard transacties ................................ 11 2.3. Payment Card Industry Data Security Standards (PCI DSS) framework ......... 16 2.4. Achtergrondinformatie verschillende frameworks van de PCI Council ........... 23 2.5. Compliance........................................................................................................ 27
3.
Bevindingen van praktijkstudie ............................................................................ 30 3.1. Casus 1: KB Kookmin Card, Lotte Card, en NH Nonghyup Card ................... 30 3.2. Casus 2: Diefstal creditcard gegevens ............................................................... 35
4.
Synthese en conclusies ............................................................................................ 40
5.
Aanbevelingen ......................................................................................................... 43
6.
Beantwoording van de onderzoeksvragen ............................................................ 45 6.1. Beantwoording deelvragen ................................................................................ 45 6.2. Beantwoorden centrale vraagstelling ................................................................ 49 6.3. Conclusie ........................................................................................................... 49
7.
Bijlagen .................................................................................................................... 51 7.1. Bronliteratuur .................................................................................................... 51
3 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
1.
Inleiding Dit onderzoek wordt verricht in opdracht van de Vrije Universiteit te Amsterdam, ter afsluiting van de Postgraduate IT Audit Opleiding. Het onderzoeksonderwerp betreft de Payment Card Industry - Data Security Standards versie 3.0 (PCI DSS 3.0) en hoe dit framework bijdraagt aan het borgen van de integriteit en vertrouwelijkheid van creditcard gegevens.
1.1.
Aanleiding voor het onderzoek Tijdens het verwerken van creditcard transacties worden vertrouwelijke gegevens gelezen, opgeslagen en verstuurd. Tegenwoordig vinden dergelijke transacties in toenemende mate plaats via een onveilig medium, namelijk het internet. Om de integriteit en vertrouwelijkheid van creditcard transacties te borgen is het van belang dat op een gelaagde wijze veiligheidsmaatregelen worden getroffen om de kans op een zogenaamde data breach te verminderen. Hiervoor is het framework PCI DSS opgezet als een normenkader, dat door een gecertificeerde IT-auditor moet worden getoetst. De maatregelen vanuit PCI DSS zijn niet uitsluitend technisch van aard, maar ook organisatorisch, fysiek, procedureel en procesmatig 1. Vanuit mijn technische achtergrond ben ik zeer geïnteresseerd in informatiebeveiliging. Derhalve neem ik voortdurend kennis van de laatste ontwikkelingen op het gebied van beveiligingsincidenten en nieuwe methoden en technieken om zulke incidenten te voorkomen. Daarbij analyseer ik vooral de oorzaken van succesvolle aanvallen waarbij creditcard gegevens zijn ontvreemd, en beschouw daarbij hoe zo een aanval had kunnen worden voorkomen.
1.2.
Onderzoeksdoelstelling Als een organisatie creditcard gegevens van een van de vijf grootste Amerikaanse creditcard maatschappijen opslaat, verwerkt of verstuurt, dient deze organisatie zich te conformeren aan het PCI DSS normenkader om de integriteit en vertrouwelijkheid van de creditcard gegevens en de gelieerde omgeving te borgen 2. Als casuïstiek neem ik twee incidenten die recentelijk hebben plaatsgevonden en analyseer of compliance met PCI DSS deze inbreuken had kunnen voorkomen 3.
1
PCI Council, (2013). PCI_DSS_v3; PCI Council, (2013). https://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf; 3 Verizon Enterprise, (2013). Data breach investigations report 2013; 2
4 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
1.3.
Scope en afbakening van het onderzoeksveld Dagelijks worden miljoenen financiële transacties verwerkt. Binnen het huidige tijdsbestek van een afstudeerscriptie is het niet mogelijk om alle typen van aanvallen op creditcard gegevens te analyseren. Ik heb het als een handicap ervaren dat inhoudelijk diepgaande documentatie omtrent deze onderwerpen slechts beperkt beschikbaar zijn op openbare media wegens hun gevoeligheid. Daarom is dit onderzoek beperkt tot een tweetal grootschalige incidenten waarbij creditcard gegevens zijn ontvreemd. Bij de analyse wordt versie 3.0 van PCI DSS gebruikt, wat op moment van schrijven de meest recente revisie is van dit framework 4. Vraagstelling De centrale vraagstelling is: Hoe draagt het PCI DSS normenkader bij aan het borgen van de integriteit en de vertrouwelijkheid van creditcard gegevens? Deze onderzoeksvraag is gesplitst in een drietal deelvragen, namelijk: 1. Wat is de intentie van de opstellers van het framework PCI DSS versie 3.0 en welke bedreigingen vormen een gevaar voor de vertrouwelijkheid van creditcard gegevens? 2. Welke maatregelen dragen bij aan risicobeheersing van creditcard transacties? Deze twee deelvragen zijn inventariserend en analyserend van aard. De achtergrond van PCI DSS wordt in kaart gebracht, evenals de door PCI geformuleerde requirements en hun doelstellingen. 3. Wat zijn de onderliggende oorzaken van de in praktijkstudie beschouwde inbraken, en had compliance met PCI DSS deze inbraken kunnen voorkomen? De derde deelvraag is analyserend en beschouwend van aard, waarbij de casussen ‘KB Kookmin Card, Lotte Card en NH Nonghyup Card’ en ‘Target’ worden geëvalueerd. Deze analyse en beschouwing leidt tot het formuleren van enkele aanbevelingen.
1.4.
Bijdrage van het onderzoek aan het vakgebied IT-audit De maatschappij heeft belang bij een ongestoorde en soepele verwerking van grote volumes aan financiële transacties via creditcards, zodat burgers gemakkelijk goederen en diensten kunnen afnemen en kunnen afrekenen. Hierbij is vertrouwen in de verwerking van deze transacties essentieel, zowel voor de koper als de verkoper. 4
PCI Council, (2013). PCI_DSS_v3_05Nov13_Final, 2013.
5 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Dit vertrouwen moet worden geleverd door de IT-auditor, die in dit kader een belangrijke maatschappelijke functie vervult. Het onderzoek verschaft deze IT auditor inzicht in de doelstellingen van PCI DSS, in de kwetsbaarheden van sommige organisaties bij de verwerking van creditcard gegevens, en daarmee het nut van het nastreven van compliance met PCI DSS. 1.5.
Onderzoekaanpak De onderzoeksvragen worden beantwoord via twee studies, namelijk een literatuurstudie gevolgd door een praktijkstudie. PCI DSS wordt geanalyseerd als onderdeel van de literatuurstudie. Hierbij wordt aangegeven hoe creditcard transacties verlopen, welke partijen hierbij zijn betrokken en hoe het framework creditcard gegevens beschermt tegen criminele activiteiten. Bij de praktijkstudie worden twee incidenten besproken waarbij creditcard gegevens zijn ontvreemd. Aan de hand van publiekelijk beschikbare documentatie worden de oorzaken van beide inbraken gereconstrueerd, waarbij vooral wordt geanalyseerd welke maatregelen ontbraken om deze inbraken te voorkomen. Bij dit onderzoek heb ik gebruik gemaakt van mijn kennis en ervaring als Qualified Security Assessor (QSA). Een QSA is een IT-auditor welke bevoegd is om een omgeving te toetsen en te beoordelen op veiligheid specifiek ten aanzien van creditcard gegevens.
1.6.
Dankwoord Graag spreek ik enkele woorden van dank uit voor mijn twee begeleiders, namelijk Dr. René Matthijsse RE en Ing. Edward van Egmond RE QSA CISA, die mij hebben geholpen de rode lijn van het verhaal stevig vast te houden. Zonder hun bijsturing en coaching was het moeilijk geweest om het huidige resultaat te bereiken. En natuurlijk een bedankje aan mijn lieve echtgenote Diana die mij de ruimte heeft gegeven om vele uren in de avonden en weekends achter de computer te zitten om literatuur te verzamelen en die om te zetten in een gestructureerde analyse. Zowel Diana als ik zijn verbaasd hoe gigantisch veel uren nodig zijn om op zich eenvoudige vragen en antwoorden op een academisch verantwoorde wijze te onderbouwen, dusdanig dat deze teksten door mijn kwaliteitsbewuste begeleiders geschikt worden geacht om deze voor te leggen aan de Examencommissie van de Opleiding. Daarnaast mijn dank aan mijn collega’s Keith, Stef en Dennis bij Noordbeek, die vanuit hun eigen ervaringen met PCI DSS kritisch hebben meegekeken naar mijn analyses en op een gepaste wijze commentaar hebben geleverd op eerdere concept versies. Dit heeft het schrijfproces niet echt versneld, maar de kwaliteit van de scriptie wel op een hoger niveau gebracht.
6 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
2.
Financieel betalingsverkeer en security Het framework PCI Data Security Standards (PCI DSS) is opgesteld om de veiligheid van creditcard gegevens te bevorderen. Dit framework bestaat uit een twaalftal organisatorische, technische, procedurele en procesmatige normen waar een organisatie aan dient te voldoen alvorens deze creditcard gegevens mag verwerken 5. PCI DSS is opgesteld door de Payment Card Industry (PCI) Council. De PCI Council is een samenwerkingsverband tussen de vijf grootste creditcard maatschappijen, te weten: American Express, Discover Financial Services, JCB International, MasterCard Worldwide en Visa Incorporated. Dit samenwerkingsverband is opgericht in 2006 6. In dit hoofdstuk worden de creditcard als betaalmiddel en de afhandeling van de bijbehorende transactie besproken. Het gaat hierbij om de geld- en informatiestromen, soorten transacties en de gelieerde processen. Vervolgens wordt het framework inhoudelijk besproken.
2.1.
Creditcards Een creditcard is een betaalpas, uitgegeven aan consumenten om financiële transacties mee te voltooien. Creditcards bieden de consument de mogelijkheid om vooraf diensten of goederen te verkrijgen welke pas achteraf hoeven te worden betaald. De uitgevende bank staat garant voor een bepaald bedrag, afhankelijk van de vooraf gedefinieerde limiet. Deze limiet is afhankelijk van de kredietwaardigheid van de consument. Transacties met creditcards kunnen worden uitgevoerd ongeacht of de betaler wel of niet fysiek aanwezig is in een winkel 7. In het geval dat een betaler aanwezig is in een winkel, kan deze de pas fysiek gebruiken om een transactie te voltooien. De betaler hoeft enkel de creditcard te overhandigen en de kassabon te ondertekenen om de transactie goed te keuren. Het is ook mogelijk om transacties te voltooien zonder dat de betaler fysiek aanwezig hoeft te zijn. Hiervoor zijn wel echter aanvullende gegevens benodigd om te verifieren dat de betaler daadwerkelijk in het bezit is van een legitieme creditcard en is geautoriseerd om deze kaart daadwerkelijk te gebruiken. In het kader van het onderzoek is het van belang vast te stellen welke gegevens een creditcard bevat en waarvoor deze nodig zijn.
5
PCI Council, (2013). PCI_DSS_v3; PCI Council, (2013). https://www.pcisecuritystandards.org/organization_info/index.php 7 Merchant Account Forum, (2011). http://www.merchantaccountforum.com/card-not-present-cnptransactions.html 6
7 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Per onderstaande paragraaf wordt steeds een van deze gegevens behandeld. Daarbij wordt gerefereerd naar de volgende afbeelding:
Primary Account Number (PAN) data De PAN data bevindt zich aan de voorzijde van een creditcard. Dit unieke nummer identificeert de uitgever van de pas en het accountnummer van de consument. Het eerste cijfer van de PAN reeks geeft aan vanuit welk type bedrijf de kaart afkomstig is. Dit wordt ook wel de ‘Major Industry Identifier’ (MII) genoemd 8: MII 0 1 2 3 4 5 6 7 8 9
Type of Industry ISO/TC 68 and other future industry assignments Airlines Airlines and other future industry assignments Travel and entertainment and banking/financial Banking and financial Banking and financial Merchandising and banking/financial Petroleum and other future industry assignments Healthcare, telecommunications and other future industry assignments National assignment
American Express en JCB vallen onder categorie 3 ‘Travel and entertainment and banking/financial’. VISA en Mastercard zijn in categorie 5 ‘Banking and financial’ gepositioneerd. Discover is ondergebracht in categorie 6 ‘Merchandising and banking/financial’.
8
Addison, D., (2011). http://www.dirigodev.com/blog/ecommerce/anatomy-of-a-credit-card-number/.
8 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Expiration date De ‘expiration date’ geeft de uiterste maand en jaar aan dat de creditcard kan worden gebruikt om transacties te voltooien. Na de aangegeven datum verloopt de creditcard en daarmee ook de mogelijkheid om de verificatiecodes van de kaart te gebruiken voor het bevestigen van financiële transacties. Card Security Code Creditcards bevatten een aparte niet-elektronische code om het eigenaarschap van de creditcard te kunnen bewijzen. De creditcard maatschappijen hebben ieder eigen terminologie voor de ‘Card Security Code’ (CSC), maar hiermee wordt hetzelfde aangeduid. Andere benamingen die door verschillende creditcard maatschappijen worden gebruikt zijn onder andere: ♦ Card Verification Data (CVD); ♦ Card verification number (CVN); ♦ Card Verification Value (CVV or CVV2); ♦ Card Verification Value Code (CVVC); ♦ Card Verification Code (CVC or CVC2); ♦ Verification Code (V-code or V code); ♦ Card Code Verification (CCV); ♦ Signature Panel Code (SPC) 9. De CSC is een controlegetal dat op een cryptografische wijze is samengesteld aan de hand van informatie die is opgeslagen op de creditcard. Deze controle wordt ten tijde van een ‘Card Not Present’ (CNP) transactie uitgevoerd. CNP transacties zijn transacties die plaatsvinden zonder dat de kaart daadwerkelijk wordt gelezen via een ‘Point of Sales’ (POS) terminal. Een voorbeeld hiervan is het betalen van een online aankoop via internet of het betalen per telefoon of door middel van een fax. Track data Creditcards zijn voorzien van een magnetische laag. Deze laag bevat drie verschillende gegevensverzamelingen die ieder een ‘track’ worden genoemd. Een kaart bevat maximaal drie tracks. Track 1 bevat gegevens over de betaler, diens rekening en autorisatiegegevens. Welke gegevens exact worden opgeslagen binnen track 1 verschilt per uitgevende maatschappij. Track 2 bevat een verdere specificatie van de gegevens uit track 1. Tijdens transacties worden doorgaans de gegevens vanuit track 1 en track 2 benut. De gegevens in track 3, indien deze wordt gebruikt, bevatten de versleutelde PIN, landcode, type valuta, geautoriseerde bedragen en soortgelijke beperkende gegevens. Track 3 is
9
PCI Council, (2013). https://www.pcisecuritystandards.org/documents/PFI_Program_Guide.pdf
9 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
echter niet gestandaardiseerd tussen de banken. Bij het bevestigen van transacties wordt doorgaans vooral gebruik gemaakt van de gegevens op Track 1 en Track 2 10. Type creditcard transacties Een creditcard kan op een tweetal manieren worden gebruikt voor het uitvoeren van een transactie. Dit kan doordat een betaler fysiek aanwezig is bij een transactie of een transactie autoriseert via de autorisatiecodes. Allebei deze typen van transacties worden in de onderstaande paragrafen verder uitgewerkt. Card Present Tijdens een Card Present transactie zijn zowel de betaler als de creditcard aanwezig. De verkopende partij maakt gebruik van een POS terminal om de transactie te verwerken. De POS terminal geeft hierbij aan of de transactie al dan niet is goedgekeurd. De creditcard maatschappijen verzoeken verkopende partijen op te letten of het een legitieme creditcard en transactie betreft. De verschillende maatschappijen hebben diverse fysieke beveiligingsmaatregelen getroffen om de kans op vervalsing te beperken, zoals het gebruik van holografische kenmerken op de creditcard. Ook dient de betaler een handtekening te zetten om de transactie te autoriseren. Deze handtekening wordt door de verkopende partij vergeleken met de handtekening op de creditcard. Creditcard maatschappijen achten frauduleuze Card Present transacties minder waarschijnlijk omdat een kwaadwillende persoonlijk aanwezig dient te zijn met een illegitieme creditcard. Wegens deze verminderde waarschijnlijkheid op compromittering kost de verwerking van Card Present transacties minder dan die van Card Not Present transacties. 11 Card Not Present In het geval dat een betaler producten of diensten aanschaft terwijl hij of zij deze niet persoonlijk afrekent, zal deze zelf een aantal gegevens moeten opgeven zodat de verkopende partij de transactie verder kan verwerken. Het is echter niet nodig om alle Track data op te geven. De betaler dient enkel de gegevens te verstrekken om het eigenaarschap van de creditcard te bevestigen en de desbetreffende transactie te autoriseren. Doordat de betaler niet in staat is om een fysieke handtekening te plaatsen, dienen bepaalde codes te worden doorgegeven waaruit blijkt dat de transactie legitiem is. De benodigde gegevens voor een CNP transactie zijn 12: ♦ PAN data. Dit is nodig om de uitgevende bank en betaler te identificeren;
10
PCI Council, (2013). https://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf; PaySimple, (2005). http://paysimple.com/credit_card_rates_explained.html; 12 PCI Council, (2013). https://www.pcisecuritystandards.org/documents/PCI_DSS_Glossary_v3.pdf. 11
10 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
♦ Expiration date. Hiermee kan worden gecontroleerd of het gaat om een geldige creditcard. Ook kan worden getoetst of de CVC code nog geldig is; ♦ Card Verification Code (CVC). Hiermee wordt de identiteit van de betaler vastgesteld. 2.2.
Geld- en informatiestromen tijdens creditcard transacties Hieronder staat een voorbeeld van een creditcard transactie waarbij de betaler gebruik maakt van een POS terminal. Het proces is identiek aan een CNP transactie. Echter, in het geval van een CNP, levert de betaler zelf de benodigde informatie aan de verkopende partij. Het proces verloopt als volgt:
11 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
In de bovenstaande afbeelding 13 zijn de partijen aangegeven die zijn betrokken bij de verwerking van een creditcard transactie. De functie en verantwoordelijkheden van de verschillende partijen worden hieronder uitgewerkt. Betrokken partijen De volgende partijen zijn betrokken bij een creditcard transactie 14: 13
Terlien, I., (2012). Vrije Universiteit Amsterdam: Continue Compliant Elektronisch Betalingsverkeer; Creditcards.com, (2013). http://www.creditcards.com/credit-cardnews/assets/HowACreditCardIsProcessed.pdf. 14
12 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Cardholders De cardholder is de consument welke de creditcard gebruikt om een transactie te initieren. Het initiëren van een dergelijke transactie vereist niet per definitie de persoonlijke aanwezigheid van de consument en diens creditcard. Wanneer een aankoop plaatsvindt via het internet, volstaat het om handmatig een aantal controlegegevens in te voeren.
13 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Merchants Dit betreft de verkopende partij. Deze partij accepteert creditcard data van de consument om te verifiëren of de transactie kan worden goedgekeurd. Issuer De Issuer betreft de bank van de consument. De consument bezit een rekening met een bepaald saldo. Ten tijde van een transactie controleert de Issuer of het aankoopbedrag binnen het gestelde limiet valt en keurt de transactie, afhankelijk van de uitkomst, wel of niet goed. Acquirer De Acquirer is de bank van de verkopende partij. Evenals de consument is de verkoper ook in het bezit van een rekening. Hierop wordt het geld uiteindelijk gestort. Payment Brand Network Het Payment Brand Network zijn de creditcard maatschappijen VISA, AMEX, JCB, Mastercard en Discover. Afgezien van bovenstaande vier partijen is in de praktijk een vijfde entiteit betrokken bij het verwerken van transacties. Deze entiteit is het Clearing House. Het Clearing House zorgt voor de administratieve afhandeling van transacties, houdt margeverplichtingen bij en zorgt voor levering van stukken nadat de verhandeling van goederen reeds heeft plaatsgevonden. Het uiteindelijke doel van het Clearing House is om het autorisatieproces en clearingproces af te handelen. Autorisatie en clearing Het autorisatieproces bestaat uit het verifiëren en autoriseren van de creditcard transactie. Het betaalsysteem verifieert bij de bank van de klant of de rekeninghouder gemachtigd is om de transactie uit te voeren. Indien dit wordt bevestigd, wordt geverifieerd of het overeengekomen bedrag van de eigen rekening mag worden afgeschreven. Nadat deze twee controles positief worden afgesloten, keurt de issuing bank de transactie goed. Het clearingproces betreft het vereffenen van de verzamelde transacties. Deze vereffening vindt plaats per bank en is een volledig geautomatiseerd proces. Transacties kunnen bij banken onderling plaatsvinden, maar ook intern. Interne transacties betreffen transacties tussen twee partijen die gebruik maken van dezelfde bank. In dergelijke gevallen is de bank geen geld verschuldigd aan andere banken. Het clearingproces is een admini-
14 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
stratief proces. Boekhoudkundig worden de wijzigingen doorgevoerd, maar de daadwerkelijke overschrijving vindt plaats in het proces voor settlement 15. Settlement Settlement is de uiteindelijke verrekening van transacties tussen de betrokken banken. Dit is een volledig geautomatiseerd proces dat plaats vindt via een centrale bank. De centrale bank debiteert de rekening van de Issuing bank en crediteert de rekening van de Acquiring bank.
15
Terlien, I., (2012). Vrije Universiteit Amsterdam: Continue Compliant Elektronisch Betalingsverkeer;
15 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
16
2.3.
Payment Card Industry Data Security Standards (PCI DSS) framework Om de vertrouwelijkheid en integriteit van creditcard gegevens te borgen, is het van belang om tijdens het gehele proces de gegevens op een gedegen wijze te beveiligen. Het DSS framework richt zich daarom op de volgende twaalf aandachtsgebieden 17:
16 17
Terlien, I., (2012). Vrije Universiteit Amsterdam: Continue Compliant Elektronisch Betalingsverkeer; PCI Council, (2013). PCI Data Security Standard v3.0, November 2013.
16 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Het volledige framework kan worden gevonden op https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf. Hieronder volgt per requirement een beknopte samenvatting inzake de aard van de maatregelen en hun beoogde doelen. Requirement 1: Install and maintain firewall configurations Firewalls zijn componenten die netwerkverkeer controleren tussen een vertrouwde interne bron en een onbetrouwbare externe bron, met als doel de interne bronnen te beschermen. Netwerkverkeer welke niet voldoet aan vooraf gedefinieerde criteria wordt geblokkeerd. Ook is het mogelijk om een firewall in te zetten indien een organisatie gevoeligere netwerksegmenten heeft, zoals de Cardholder Data Environment (CDE). In het CDE worden creditcard gegevens verwerkt. Requirement 2: Vendor-supplied defaults IT componenten worden vanuit de fabriek vaak voorzien van standaard inloggegevens. Standaard wachtwoorden van verschillende fabrikanten zijn laagdrempelig verkrijgbaar op openbare media. In het geval dat een dergelijk component in de productieomgeving wordt genomen terwijl het standaard wachtwoord nog in gebruik is, kunnen buitenstaanders op een eenvoudige wijze toegang krijgen tot deze component en zo tot de productieomgeving.
17 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Requirement 3: Protect stored cardholder data Organisaties dienen alleen die gegevens op te slaan die daadwerkelijk vereist zijn om de diensten te verlenen. De opgeslagen data dient dusdanig te worden beveiligd dat de gegevens onbruikbaar zijn voor een aanvaller. Beveiligingsmechanismes zoals encryptie, truncation 18, maskeren en hashing 19 zijn cruciaal om de vertrouwelijkheid van creditcard gegevens te kunnen beschermen. Via encryptie worden gegevens versleuteld, waardoor de data niet meer als leesbare tekst beschikbaar is. Om gegevens te kunnen decrypten dient men in bezit te zijn van het algoritme en de sleutel. Truncation houdt in dat bepaalde delen van een PAN niet worden opgeslagen, om het risico van ontvreemding van de volledige PAN data te mitigeren. Hierdoor kan de interne organisatie echter zelf ook niet de volledige PAN achterhalen, mocht hier behoefte toe zijn. Maskeren houdt in dat bepaalde getallen uit het PAN worden weggelaten of worden getoond als ´0´. De mate waarin maskering dient te worden toegepast is afhankelijk van de aard van de organisatie. Men mag echter maximaal de eerste vier en laatste zes cijfers zichtbaar laten van het PAN. Het liefst wordt ook de zichtbare PAN tot een minimum beperkt. Hashing houdt in dat een bepaalde waarde wordt gegenereerd uit een verzameling van data. Dit vindt plaats aan de hand van een cryptografisch algoritme en wordt gezien als digitale vingerafdruk. De gegenereerde waarde bevat niet meer de gegevens welke gebruikt kunnen worden voor frauduleuze handelingen. Mocht er een inbreuk plaatsvinden waardoor deze aangepaste gegevens zichtbaar worden voor een buitenstaander, dan kunnen deze niet worden gebruikt voor fraude. Requirement 4: Encrypt transmissions Het aftappen van bekabelde verbindingen of het compromitteren van draadloze omgevingen biedt voor kwaadwillenden een kans om netwerkverkeer te onderscheppen en te inspecteren, en zo mogelijk creditcard gegevens te kunnen bemachtigen. Daarom dienen vertrouwelijke gegevens te worden versleuteld bij transmissie.
18
VISA, (2010). http://usa.visa.com/download/merchants/PAN_truncation_best_practices.pdf Kelley, D., Moyle, E., (2010). http://searchfinancialsecurity.techtarget.com/tip/PAN-truncation-andPCI-DSS-compliance. 19
18 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Requirement 5: Anti-virus software Malware zoals virussen, wormen en Trojans kunnen op verschillende manieren binnendringen in een organisatie. Mailverkeer, websites, geïnfecteerde bijlagen of zelfs besmette externe opslagmedia zijn enkele voorbeelden hiervan. Door hedendaagse trends zoals Bring Your Own Device (BYOD) worden privé apparaten gekoppeld aan bedrijfsnetwerken. Dit resulteert in een verhoogde kans tot besmetting en vormt derhalve een potentieel gevaar voor de interne organisatie. Om de interne organisatie tegen malware te beschermen, dienen alle relevante systemen te worden voorzien van anti-virus software die voortdurend is voorzien van de nieuwste virusdefinities. Requirement 6: Develop and maintain secure platforms Kwaadwillenden kunnen gebruik maken van kwetsbaarheden binnen informatiesystemen, applicaties of netwerkcomponenten om zichzelf toegang te verschaffen tot de functionaliteit en inhoud van informatiesystemen. Doorgaans worden kwetsbaarheden binnen programmatuur of componenten door de leverancier verholpen middels patches of hotfixes. Alle systemen dienen te zijn voorzien van de laatste beveiligingsupdates. Dit beschermt de interne omgeving tegen kwaadwillenden die de kwetsbaarheden willen exploiteren. Requirement 7: RBAC Het inzien van gevoelige informatie dient uitsluitend mogelijk te zijn voor personeel die hier een gegronde reden toe heeft. De interne organisatie wordt verplicht maatregelen te treffen om de fysieke en logische toegang tot dergelijke gevoelige informatie tot een minimum te beperken. Hierbij wordt bij voorkeur Role Based Access Control (RBAC) gebruikt. Rollen en functies dienen te worden gedefinieerd en goedgekeurd door het management. Vervolgens dienen de rechten en privileges op groepsniveau te worden toegekend aan de medewerkers. Door rechten en privileges centraal toe te kennen en te bewaken, houdt men de rechtenstructuur overzichtelijk, inzichtelijk en beheersbaar. Requirement 8: Unique IDs Medewerkers dienen te beschikken over een uniek en puur persoonlijk account, waarmee kan worden ingelogd. Door een uniek accounts toe te wijzen aan ieder personeelslid kan iedere handeling worden herleid naar de betreffende individuele gebruiker. Het is niet toegestaan om gebruik te maken van accounts die door meerdere personen worden gedeeld, zoals generieke accounts, groepsaccounts of gedeelde accounts. Het gebruik van gedeelde accounts maakt het moeilijk bepaalde handelingen te herleiden naar een individuele gebruiker, mochten er ongewenste handelingen hebben plaatsgevonden.
19 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Requirement 9: Physical security Fysieke toegang tot informatiesystemen of opslagmedia biedt gelegenheid voor een kwaadwillende om creditcard gegevens te bemachtigen. Derhalve is het van belang om de fysieke toegang tot dergelijke bronnen voor zowel interne als externe personeelsleden tot het uiterste minimum te beperken. Het toewijzen van toegangsrechten binnen de organisatie dient op eenzelfde wijze als voor requirement 7 te verlopen. Verschillende functieprofielen en rollen hebben behoefte aan verschillende rechten. Het management dient een analyse uit te voeren op de omgeving en specifieke rechten toe te kennen aan de medewerkers op basis van hun rol en functie. Requirement 10: Tracking and monitoring Het vastleggen van geautomatiseerde handelingen en gebruikersactiviteiten zijn van belang om een data breach op te merken, te minimaliseren of te voorkomen. De vastlegging van activiteiten binnen een omgeving biedt de mogelijkheid om afwijkingen te detecteren. Vervolgens kan de organisatie hier actie op ondernemen. Ook zijn logbestanden cruciaal om onderzoek te verrichten nadat een data breach heeft plaatsgevonden. Requirement 11: Test security systems and processes Voortdurend worden nieuwe kwetsbaarheden ontdekt. Fabrikanten brengen steeds nieuwe revisies van programmatuur en informatiesystemen uit om de bij hen bekende kwetsbaarheden te repareren. Deze updates kunnen echter weer nieuwe kwetsbaarheden introduceren. Componenten dienen daarom uitgebreid te worden getest alvorens een nieuwe versie binnen de productieomgeving mag worden geïmplementeerd. Het kan echter voorkomen dat een component een kwetsbaarheid bevat waarvoor de fabrikant nog geen patch heeft uitgebracht. Dergelijke zwakheden kunnen worden geëxploiteerd door kwaadwillenden om de interne omgeving te compromitteren. Daarom dienen bestaande componenten periodiek te worden getest om de veiligheid van de interne omgeving te bewaken. Requirement 12: Information security policy Een helder en duidelijk informatiebeveiligingsbeleid draagt bij aan het informeren van het personeel inzake de beveiligingsverantwoordelijkheden binnen de organisatie en verhoogt de security awareness. Hiermee wordt ook de betrokkenheid van het management benadrukt bij het personeel. Conclusie Requirements Door te conformeren aan bovenstaande twaalf requirements wordt de kans op een data breach beperkt. Indien onverhoopt toch een data breach mocht plaatsvinden, zorgen de
20 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
maatregelen ervoor dat, tot op zekere hoogte, kan worden nagegaan hoe dit is ontstaan en welke persoon verantwoordelijk kan worden gehouden voor de compromittering. Self Assessment Questionnaire De uitvoering van een complete on-site assessment door een bevoegd QSA, gecombineerd met het opstellen van de daaruit voortvloeiende rapportages, vergt een aanzienlijke hoeveelheid tijd en geld. Het kan voorkomen dat het transactievolume van een winkelier niet toereikend is om de kosten van een dergelijke assessment te rechtvaardigen. De winkeliers worden echter vanuit de PCI Council toch verplicht gesteld zich te conformeren aan het framework. De PCI Council heeft het daarom toegestaan dat, afhankelijk van het aantal transacties gecombineerd met de type dienstverlening van een organisatie, men zelf een versoepelde versie van een assessment uit mag voeren. Een dergelijke organisatie dient jaarlijks een Self Assessment Questionnaire (SAQ) op te stellen en in te dienen. Gezien de verschillende typen dienstverleningen zijn verschillende typen SAQ’s opgesteld. Hieronder staat een door de PCI Council beschikbaar gesteld overzicht dat aangeeft welke SAQ van toepassing is op een organisatie 20:
20
PCI Council, (2013). https://www.pcisecuritystandards.org/documents/pci_dss_SAQ_Instr_Guide_v2.1.pdf;
21 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
De PCI Council beboet service providers welke wel creditcard transacties verwerken, maar zich niet conformeren aan PCI DSS. Hierbij twee verschillende types van boetes. De eerste boete betreft het weigeren om te voldoen aan PIC DSS. De tweede boete wordt opgelegd indien een data breach optreedt, ongeacht of de organisatie wel of niet voldoet aan PCI DSS 21. De hoogte van dergelijke boetes zijn:
21
FocusonPCI.com, (2009). http://www.focusonpci.com/site/index.php/PCI-101/pci-noncompliantconsequences.html.
22 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
2.4.
Achtergrondinformatie verschillende frameworks van de PCI Council Er is steeds een keten van partijen betrokken bij het verwerken van een creditcard transactie. Tijdens een dergelijke transactie worden gevoelige gegevens over het netwerk verstuurd. Gezien de kosten van een dedicated leased line is het aantrekkelijker voor organisaties om te kiezen voor een reguliere WAN verbinding. Dit houdt echter in dat gevoelige gegevens over een relatief onveilig medium wordt verstuurd en derhalve additionele bescherming vereisen. Om het gehele transactieproces te beveiligen zijn vanuit de PCI Council meerdere frameworks opgesteld welke zijn toegespitst op verschillende elementen binnen het proces. Op het moment van schrijven zijn de volgende frameworks beschikbaar gesteld 22: PIN Transaction Security: Dit framework beschrijft de eisen vanuit security management, processing en transmissie van PIN data tijdens betalingen bij ‘Point of Sales’ (POS) apparaten. Het gaat hierbij om geldautomaten en (on)bemande POS terminals. Payment Card Industry – Data Security Standards (PCI DSS): Dit framework beschrijft de eisen waaraan een dienstverlener zich dient te conformeren in het geval deze creditcard gegevens opslaat, verwerkt of verstuurt.
22
PCI Council, (2013). https://www.pcisecuritystandards.org/security_standards/
23 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Payment Application – Data Security Standards (PA DSS): Dit framework is een deelverzameling van het reguliere PCI DSS en is geënt op de applicaties welke de daadwerkelijke creditcard gegevens verwerken. Het is van belang te toetsen of deze applicaties deugdelijk zijn geïmplementeerd en daadwerkelijk worden bijgewerkt. Hoewel het van cruciaal belang is dat gevoelige data beveiligd wordt verstuurd over het WAN, dient men tevens de interne organisatie dusdanig in te richten dat de kans op compromittering tot een minimum wordt beperkt. Deze normen zijn van toepassing op alle entiteiten binnen het elektronische transactieverkeer, namelijk de merchants, processors, acquirers, issuers en overige service providers. PCI DSS geldt echter enkel als een baseline. Het staat organisaties vrij om deze regels verder uit te breiden mits deze niet conflicteren met de vigerende normatiek van PCI DSS. Het doorvoeren van additionele maatregelen heeft geen verdere consequenties inzake de compliance van het audit object. Lifecycle DSS framework Om organisaties doorlopende bescherming te bieden tegen de meest recente kwetsbaarheden, brengt de PCI Council iedere 36 maanden een nieuwe versie uit van het DSS framework. Indien tussentijds behoefte is aan aanvullende maatregelen, brengt de PCI Council white papers of aanvullende richtlijnen uit. Het uitbrengen van aanvullend materiaal vindt echter alleen plaats wanneer door de praktijk niet langer kan worden gewacht op een nieuwe revisie van het DSS framework. Gedurende deze periode van 36 maanden wordt door de PCI Council stappen ondernomen om nieuwe risico’s en kwetsbaarheden in kaart te brengen en te analyseren. Op basis van de bevindingen worden in samenspraak met de stakeholders nieuwe normen opgesteld, of bestaande normen aangepast om de nieuwste gevaren te mitigeren of te vermijden. De levenscyclus van het framework wordt in onderstaande afbeelding verduidelijkt:
24 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Zoals bovenstaande afbeelding beschrijft, bestaat de levensloop van het DSS framework uit de volgende acht stappen 23: Standards Published Het publiceren van een nieuwe standaard vindt plaats in oktober voorafgaand aan het jaar dat de standaard effectief wordt.
23
PCI Council, (2013). https://www.pcisecuritystandards.org/documents/pci_lifecycle_for_changes_to_dss_and_padss.pdf.
25 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Standards Effective Het eerste jaar dat de nieuwste versie van het DSS framework is uitgebracht, staat de PCI Council toe om assessments te verrichten conform de voorlaatste of nieuwste revisie. De reden voor deze flexibiliteit vanuit de PCI Council is om organisaties te ontzien indien deze organisatorische, procedurele of technische maatregelen dient te implementeren om compliant te zijn aan de nieuwe normatiek. De auditee krijgt één jaar respijt om de wijzigingen alsnog door te voeren. Market Implementation Tijdens de fase Market Implementation wordt de auditee in gelegenheid gesteld om de interne organisatie aan te passen, zodat kan worden voldaan aan de aangepaste normatiek. Feedback Begins Stakeholders worden in de gelegenheid gesteld om hun ervaringen met de nieuwste versie van het DSS framework terug te koppelen aan de PCI Council. Tevens wordt gevraagd de visie vanuit de PCI Council kenbaar te maken en verbeteringen voor het komende framework door te voeren. Old standards Retired Op 31 december van het tweede jaar wordt de voorgaande versie van het framework uitgefaseerd. Nieuwe audits dienen enkel plaats te vinden conform de nieuwste versie. Assessments op basis van de voorlaatste versie van het framework worden in dit stadium door de PCI Council niet meer geaccepteerd. Feedback Review Alle feedback van de stakeholders wordt geïnventariseerd en geanalyseerd. Dit vindt plaats tijden het tweede jaar, van april tot en met augustus. De feedback kan doorgaans op drie manieren worden gecategoriseerd: • • •
Opheldering: De bewoording van een norm is onduidelijk en dient duidelijker te worden geformuleerd; Benodigde achtergrondinformatie: De auditor begrijpt de achterliggende gedachte van de norm niet en hoopt duidelijkheid hierover te krijgen, zodat gerichter bewijs kan worden opgevraagd; Voorstel tot nieuwe norm: De stakeholder geeft aan dat een nieuwe situatie is voorgekomen welke niet ade-
26 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
quaat wordt afgedekt binnen het bestaande normenkader. Hierbij kan men een nieuwe norm voorstellen. Draft Revisions Op basis van de bevindingen en analyse van de voorgaande fase wordt een nieuwe conceptversie van het huidige framework opgesteld. Dit concept wordt intern besproken binnen de verschillende werkgroepen van de PCI Council. Dit vindt plaats in november van het tweede jaar tot en met april van het derde jaar. Final Review Gedurende deze laatste fase wordt de nieuwste revisie binnen de PCI Council verspreid en wordt ook het ‘Board of Advisors’ betrokken. Deze partijen kunnen vervolgens feedback geven. Op basis van deze laatste terugkoppelingen worden de laatste wijzigingen aan het framework doorgevoerd en wordt een beknopte samenvatting van alle wijzigingen verstuurd naar alle stakeholders, waaronder de QSA’s. Deze fase vindt plaats van mei tot juli van het derde jaar. 2.5.
Compliance Tijdens een DSS audit wordt van de auditor verwacht dat deze de resultaten van de assessment vastlegt conform de regels van de PCI Council. De resultaten volgen uit observaties, interviews, bestuderen van documentatie en het vergaren van samples. Vanuit de PCI Council wordt een van de volgende viertal levels aan organisaties toegewezen 24:
Merchant Description Level Any merchant — regardless of acceptance channel — processing over 6M Visa transactions per year. Any merchant that Visa, at its sole discretion, 1 determines should meet the Level 1 merchant requirements to minimize risk to the Visa system. Any merchant — regardless of acceptance channel — processing 1M to 6M 2 Visa transactions per year. Any merchant processing 20,000 to 1M Visa e-commerce transactions per 3 year. Any merchant processing fewer than 20,000 Visa e-commerce transactions 4 per year, and all other merchants — regardless of acceptance channel — processing up to 1M Visa transactions per year. 24
VISA Inc., (2014). http://usa.visa.com/merchants/protect-your-business/cisp/merchant-pci-dsscompliance.jsp.
27 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
De vastlegging van een assessment is afhankelijk van de opdracht. Hoe groter het aantal verwerkte creditcard transacties, des te uitgebreider dient de assessment te zijn. Een organisatie met grotere hoeveelheden transacties wordt immers een interessanter doel voor kwaadwillenden. De eisen aan de verschillende merchant levels zijn als volgt: Level / Tier1 Merchant Criteria Merchants processing over 6 million Visa transactions annually (all channels) or Global merchants identified as Level 1 by any Visa 1 region 2.
2
3
4
Validation Requirements Annual Report on Compliance (“ROC”) by Qualified Security Assessor (“QSA”) or Internal Auditor if signed by officer of the company. Quarterly network scan by Approved Scan Vendor (“ASV”) Attestation of Compliance Form. Merchants processing 1 million to Annual Self-Assessment Ques6 million Visa transactions annual- tionnaire (“SAQ”). ly (all channels). Quarterly network scan by ASV Attestation of Compliance Form. Merchants processing 20,000 to 1 Annual SAQ. million Visa e-commerce transac- Quarterly network scan by ASV tions annually. Attestation of Compliance Form Merchants processing less than Annual SAQ recommended. 20,000 Visa e-commerce transacQuarterly network scan by ASV if tions annually and all other merapplicable. Compliance validation requirechants processing up to 1 million Visa transactions annually. ments set by merchant bank.
Een Approved Scan Vendor (ASV) is een organisatie dat vulnerability scans uitvoert op omgevingen van merchants en service providers. Dit brengt eventuele tekortkomingen in de beveiliging aan het licht. Level 1 merchant dienen een volledige assessment door een QSA assessor uit te laten voeren. Het resultaat hiervan is een Report on Compliance (RoC) en Attestation of Compliance (AoC). De overige merchants dienen enkel een Self-Assessment Questionnaire (SAQ) in te dienen. Zowel de RoC, AoC en SAQ worden in onderstaande paragrafen verder uitgediept.
Report on Compliance
28 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Een ROC bevat, per toepasbare norm, de resultaten van de assessment 25. Dit document wordt beschikbaar gesteld aan de PCI Council en aan de Acquiring bank. Gezien de vertrouwelijke aard van de informatie, wordt dit document niet aan andere partijen ontsloten. Om de andere partijen te kunnen bewijzen dat men in het bezit is van een PCI DSS certificaat, stelt de auditor naast de RoC ook een ‘Attestation of Compliance’ (AoC) op. Attestation of Compliance Dit document geeft een beknopte en geanonimiseerde samenvatting van de scope van het onderzoek en de resultaten hiervan. Het AoC bevat geen vertrouwelijke informatie en kan derhalve worden ontsloten aan andere partijen. Self-Assessment Questionnaire Indien door een organisatie geen ROC hoeft te worden opgesteld, volstaat het om een SAQ in te dienen. De PCI Council heeft echter verschillende soorten SAQ’s uitgebracht afhankelijk van het type dienstverlening. Hieronder volgt een overzicht van de typen SAQ’s met een bijbehorende uitleg 26: SAQ Validation Type
SAQ Form
1
A
2
B
3
B
4
C
5
D
Description Card-not-present (e-commerce or mail/telephone-order) merchants, all cardholder data functions outsources. Imprint-only merchants with no electronic cardholder data storage Stand-alone dial-up terminal merchants, no electronic cardholder data Merchants with payment application systems connected to the Internet, no electronic cardholder data storage All other merchants (not included in descriptions for SAQs A-C above) and all service providers defined by a payment brand as eligible to complete an SAQ
Scan Required? NO NO NO YES
YES
De interne organisatie dient, al dan niet na afstemming met een QSA, de aard van de dienstverlening te analyseren alvorens een type SAQ wordt geselecteerd en verwerkt.
25 26
PCI Council, (2013). PCI_DSS_v3_ROC_Reporting_Template.docx PCI Council, (2013). https://www.pcisecuritystandards.org/merchants/self_assessment_form.php
29 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
3.
Bevindingen van praktijkstudie Het afgelopen jaar zijn verschillende organisaties aangevallen door hackers welke creditcard gegevens hebben ontvreemd. Een tweetal van deze aanvallen worden in de komende paragrafen geanalyseerd. De praktijkstudie verliep onder toezicht van, controle door en overleg met de QSA’s binnen Noordbeek. Hierbij werd gebruik gemaakt van publiekelijk beschikbare documentatie De eerste casus betreft de diefstal van circa 104 miljoen creditcard gegevens. Dit vond begin 2014 plaats in Zuid-Korea en had betrekking op 20 miljoen Zuid-Koreaanse burgers. De tweede casus betreft de tweede grootste retailer van Amerika. Ondanks de PCI DSS compliance van deze retailer, zijn de creditcard gegevens van circa 110 miljoen klanten gestolen. Beide casussen worden hieronder uitgediept en geanalyseerd.
3.1.
Casus 1: KB Kookmin Card, Lotte Card, en NH Nonghyup Card Aanklagers in Zuid-Korea constateerden op 8 januari 2014 dat de gegevens van circa 104 miljoen creditcards waren ontvreemd, die betrekking hebben op 20 miljoen ZuidKoreanen 27. Dit bericht bereikte de media op 20 januari 2014. Beschrijving van de inbraak De drie grootste creditcardmaatschappijen binnen Zuid-Korea, te weten KB Kookmin Card, Lotte Card en NH Nonghyup Card, beschikken ieder over een eigen database voor hun klantgegevens. Het aanvragen van een creditcard en het, al dan niet technisch, bijwerken en onderhouden van de database vond plaats bij deze maatschappijen. Een IT medewerker van een gezamenlijke onderaannemer, het agentschap ‘Korean Credit Bureau’ (KCB), heeft de volledige databases met vertrouwelijke informatie over de creditcards gekopieerd 28. In de literatuur is weinig te vinden over de daadwerkelijke gang van zaken. De IT medewerker wordt omschreven als: ‘prosecutors claim that an employee of Korea Credit Bureau, who was ironically responsible for new software development to detect creditcard fraud, 27
BBC, (2014). http://www.bbc.com/news/business-26222283; Panda Security (2014). http://support.pandasecurity.com/blog/security/banking-accounts-stolen-southkorea/ 28
30 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
stole the data in 2012 using a USB device’. Wij hebben de indruk dat de IT medewerker op de een of andere wijze toegang had tot de databases waar de desbetreffende data was opgeslagen 29.
Deze inbreuk op de vertrouwelijkheid van de klantgegevens heeft ertoe geleidt dat vanuit de financiële toezichthouder aanvullende regelgeving is uitgebracht om dergelijke incidenten in de toekomst te voorkomen. De veronderstelde schade De gestolen data werd door deze IT medewerker doorverkocht aan marketingbedrijven. Nadat de IT medewerker in hechtenis werd genomen, werd door de regering een onderzoek ingesteld naar de omvang en gevolgen van de diefstal. Het onderzoek wees uit dat geen Card Verification Code (CVC) 30 was ontvreemd 31. De CVC is een van de benodigdheden om transacties te kunnen verrichten zonder de fysieke creditcard. Door het ontbreken van de CVC wordt de kans op financiële fraude door de onderzoekers onwaarschijnlijk geacht. Ook hebben de onderzoekers tot 17 januari 2014 geen meldingen, aangiftes of overige gebeurtenissen waargenomen welke voortvloeide uit de diefstal van de gegevens. Analyse: te hoge autorisaties De creditcardmaatschappijen hebben het agentschap ‘Korean Credit Bureau’ (KCB) toegang verleend tot hun databases 32. De werkzaamheden van dit agentschap betreffen het controleren van de kredietwaardigheid van consumenten. Om deze controle uit te voeren vraagt het agentschap gegevens bij de creditcardmaatschappijen op van de consument in kwestie. Dergelijke controles voorkomen dat consumenten overeenkomsten aangaan waarvan zij de financiële lasten niet kunnen dragen. Vanzelfsprekend dient de toegang tot dergelijke vertrouwelijke informatie zeer strikt te worden beheerst en gecontroleerd. Een derde partij dient enkel toegang te verkrijgen tot informatie welke benodigd is om de overeengekomen werkzaamheden te kunnen verrichten. Om de kredietwaardigheid van consumenten te controleren heeft KCB slechts een beperkt aantal gegevens nodig, zoals het aantal creditcards, de geassocieerde schulden en de inkomsten per consument. Het inzien van informatie zoals CVC’s, het volledige Primary Account Number (PAN), de expiratiedata van de creditcards en track data 29
ANO, (2014). http://rt.com/news/south-korea-cards-stolen-895/; Leyden, J., (2014). http://www.theregister.co.uk/Print/2014/01/22/sk_data_breach_apology/; 31 Databreaches.net, (2014). http://www.databreaches.net/fox-in-the-hen-house-personal-informationfrom-100-million-south-korean-credit-cards-stolen-by-contractor-hired-to-forgery-proof-credit-cards/; 32 Financial Services Commission, (2014). T/F Formed to Respond to Personal Information Leaks, 140119_-_TF on Data Leaks. 30
31 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
zijn niet relevant voor het onderzoek door KCB. Het ontsluiten van dergelijke informatie kan zelfs als een potentieel gevaar worden gezien. Autorisatiebeheer is een belangrijk middel om toegang te beperken. De creditcardmaatschappijen en het KCB dienen dit contractueel goed te regelen. Wij hebben in de literatuur hier geen verdere informatie over kunnen vinden. Bij het verstrekken van toegang tot vertrouwelijke gegevens aan externen worden normaliter ook contractuele afspraken gemaakt over het bewaken van het gedrag van de betrokken eindgebruikers. Hierbij worden afwijkingen en bijzonderheden gemonitord. Hoewel een eindgebruiker valide redenen kan hebben om gegevens in te kunnen zien, kan het kopiëren van een hele database als afwijkend gedrag worden beschouwd. Door op dergelijke acties te monitoren, is men in staat snel en passend te reageren. Nadat de breuk was gedetecteerd, werd door de hoogste Koreaanse financiële toezichthouder Financial Services Commission (FSC) een Taskforce opgericht 33. De Taskforce kreeg de opdracht om de oorzaak van de breuk te achterhalen. Onderzoek van de Taskforce wees uit dat een medewerker van het KCB vanwege zijn werkzaamheden hoge autorisaties had gekregen binnen de IT omgeving van drie creditcardmaatschappijen. De medewerker in kwestie werd ironisch genoeg ingehuurd om creditcardfraude tegen te gaan 34. Onderzoek van de Taskforce toont aan dat de gegevens binnen de database niet waren versleuteld of gemaskeerd. Hierdoor kon de medewerker alle informatie als ‘clear-tekst’ inzien. De database werd vervolgens onversleuteld opgeslagen op een extern opslagmedium, namelijk een USB-stick. Dit incident stimuleerde FSC nieuwe richtlijnen uit te vaardigen om de kans op een soortgelijke inbreuk te beperken. Ook werden strengere sancties opgelegd aan instanties waarbij zo een inbreuk plaatsvindt 35. Conclusie PCI DSS bevat diverse maatregelen om de vertrouwelijkheid en integriteit van de creditcard gegevens te borgen. Dit framework geldt echter enkel voor creditcards van de vijf grootste creditcardmaatschappijen van Amerika. De wet- en regelgeving rondom de beveiliging van Zuid-Koreaanse creditcard gegevens vallen onder de verantwoordelijkheid 33
Offshore Publications Limited, (2014). http://www.dqmagazine.com/news/20-million-credit-cardsleaked-korean-task-force-to-respond-10411; 34 Bloomberg, (2014). http://www.businessweek.com/articles/2014-01-23/low-tech-thief-steals-data-for100-million-korean-credit-card-accounts; 35 Financial Services Commission, (2014). Comprehensive Measures to Protect Personal Data in the Financial Sector, 140310_-_Personal_Data_Protection.
32 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
van de ‘Bank of Korea’ (BoK) en de Financial Services Commission (FSC). Deze instantie hanteert andere eisen aan de beveiliging van de gegevens dan de PCI Council. Sedert 10 maart 2014 heeft het FSC aangegeven de regelgeving aan te scherpen door de volgende richtlijn op te nemen binnen hun beleid: Customers’ resident registration numbers will be collected in a safer manner (e.g. key-in) only once in their initial transactions with financial firms and should be stored encrypted. Leads and illegal circulation of resident registration numbers will be punished further strictly than that of other personal information. 36 Als de creditcardmaatschappij de gegevens had versleuteld, was de tijdelijke medewerker wellicht in staat geweest om de data te kopiëren, maar had hier geen gebruik van kunnen maken. PCI Requirement 7.1: Toegangsbeheersing Een andere maatregel wordt behandeld in de zevende requirement van het DSS framework. Hoewel deze gehele requirement is toegespitst op toegangscontrole, is vooral requirement 7.1 cruciaal:
Door eerst functies te definiëren, goed te laten keuren door management, functieprofielen op te stellen met gelijkwaardige rechten, en deze vervolgens toe te wijzen aan individuele werknemers, wordt het risico verder beperkt. Een werknemer heeft immers enkel toegang tot een beperkt gedeelte van de informatie. PCI Requirement 12.3.10: Voorkomen van kopiëren Requirement 12 biedt ook bescherming tegen het ongeautoriseerd kopiëren, verplaatsen, of opslaan van creditcard gegevens:
36
Financial Services Commission, (2014). Comprehensive Measures to Protect Personal Data in the Financial Sector, 140310_-_Personal_Data_Protection.
33 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Hoewel bovenstaande norm enkel procedureel van aard is, kan dit ook vanuit technisch oogpunt worden gerealiseerd zodat het niet mogelijk is om creditcard gegevens te verplaatsen naar een locatie buiten de gecontroleerde omgeving .
34 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
3.2.
Casus 2: Diefstal creditcard gegevens In november en december 2013 werd het Amerikaanse retailbedrijf Target succesvol aangevallen door cybercriminelen 37 Door de aanval werden financiële en persoonlijke gegevens van 110 miljoen klanten ontvreemd 38. Target heeft de breuk 19 december 2013 bevestigd 39. Beschrijving van de inbraak Target is het tweede grootste retailbedrijf in Amerika. Hierdoor kan worden gesteld dat deze organisatie een grote hoeveelheid transacties verwerkt. Dit maakt het een aantrekkelijk doelwit voor cybercriminelen. De cybercriminelen hadden toegang verkregen tot de informatiesystemen van Target door eerst de credentials van een onderaannemer te ontvreemden 40. De onderaannemer Fazio had de mogelijkheid om verbinding te leggen met het netwerk van Target. Het doel van deze verbinding is om elektronische facturen te versturen, contracten in te dienen en zaken omtrent project management af te handelen. De cybercriminelen hadden hoogstwaarschijnlijk door middel van phishing mails de accountgegevens van Fazio achterhaald 41. Phishing aanvallen werden door Fazio niet geweerd, omdat deze partij gebruik maakte van een gratis variant van een anti-malware oplossing, welke deze functionaliteit niet ondersteunde. Hoewel de literatuur niet beschrijft hoe vanuit de bestaande verbinding tussen Fazio en Target verdere toegang werd gekregen, geven onderzoekers aan dat de ontsloten verbinding niet volledig was geïsoleerd van de rest van de IT omgeving van Target. Door op hoog niveau toegang te verkrijgen op het systeem waar Fazio toegang toe had, hadden de cybercriminelen de mogelijkheid om de IT omgeving verder te infiltreren. De cybercriminelen besloten om aangepaste software te installeren op de ‘Point of Sales’ (POS) apparaten. De apparatuur van alle 1.797 Target winkels binnen Amerika bleken besmet te zijn met deze code. Deze software, BlackPOS, wordt gebruikt om zogenaamde ‘RAM scraping’ aanvallen uit te voeren. Een RAM scraping aanval houdt in dat onversleutelde data binnen het werkgeheugen wordt gedupliceerd alvorens de data verder 37
Target Brands Inc., (2014). https://corporate.target.com/about/shopping-experience/payment-card-issueFAQ#q5888; 38 McGrath, M., (2014). http://www.forbes.com/sites/maggiemcgrath/2014/02/26/target-profit-falls-46-oncredit-card-breach-and-says-the-hits-could-keep-on-coming/; 39 Dudley, R., (2014). http://www.bloomberg.com/news/2014-02-26/target-tops-profit-estimates-as-itbegins-to-recover-from-breach.html; 40 Fazio Mechanical Services, Inc., (2014). http://faziomechanical.com/Target-Breach-Statement.pdf. 41 Committee on Commerce, Science, and Transportation, (2014). US Senate A Chain Analysis of the 2013 Target Data Breach.
35 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
wordt verstuurd voor financiële afhandeling. De gedupliceerde data bevat alle benodigde gegevens om een kloon van de creditcard te kunnen vervaardigen. De gedupliceerde data van de POS apparaten werd opgeslagen op een centraal systeem binnen de omgeving van Target. Of dit hetzelfde systeem is waar oorspronkelijk toegang werd gekregen door de aanvallers is niet te verifiëren aan de hand van de literatuur. De gegevens werden vervolgens verplaatst naar een andere server welke de gegevens daadwerkelijk diende te exfiltreren. Het logische overzicht is:
De gegevens van alle transacties werden echter twee weken lang opgeslagen, opdat alles in een keer kon worden verstuurd. In totaal ging het om 11 gigabyte aan data. De gekopieerde gegevens werden gemaskeerd als zijnde legitiem verkeer en werden tijdens kantooruren verstuurd naar verschillende bestemmingen in de wereld. Door de gegevens tijdens kantooruren te versturen, hoopten de cybercriminelen dat de exfiltratie minder op zou vallen tussen alle overige verkeer. Waar de gegevens exact naartoe werden gekopieerd is onduidelijk, maar onderzoek toont aan dat een van de eindbestemmingen een server in Rusland was. De anti-malware oplossing binnen Target, FireEye, detecteerde de transmissie en stuurde notificaties naar het verantwoordelijke personeel. FireEye had echter niet de bevoegdheid om het verkeer op eigen initiatief te blokkeren. Dit was een handmatige actie welke de beheerders dienden te ondernemen. De veronderstelde schade Zoals eerder werd gemeld, was de POS apparatuur besmet met programmatuur welke ten tijde van de swipe actie alle gegevens dupliceerde en deze kopieerde naar een intern bestand. Tijdens een creditcard transactie via een POS apparaat worden alle controlegegevens ingelezen en verwerkt. Door de specifieke RAM scraping aanvalsmethode waren
36 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
de cybercriminelen in staat alle gegevens onversleuteld te bemachtigen. Dit maakte het mogelijk om de volledige kaart te klonen. De valse creditcards werden online op zwarte markten verkocht. Op het moment van schrijven is bekend dat er 61 miljoen dollar was gemoeid met de inbraak, waarvan de verzekeringsmaatschappij 41 miljoen dollar moest vergoeden. De voornaamste kosten bestaan tot dusver uit het onderzoek van de oorsprong van de inbraak, het aanbieden van anti-identiteitsfraude diensten aan de gedupeerde consumenten, het opnieuw aanvragen van creditcards voor de consumenten en juridische kosten. De totale omvang van de kosten is nog onbekend. Naast de bovengenoemde kosten schrijft de PCI Council ook een boete uit. De hoogte hiervan is afhankelijk van verder forensische onderzoek. Er is echter geen literatuur beschikbaar inzake de resultaten van het onderzoek. Analyse: Meerdere zwakheden binnen omgeving In de eerste instantie werd een onderaannemer van Target gecompromitteerd, doordat zij hadden bezuinigd op het installeren van de juiste beschermende software. Dit is buiten de controle van Target. Target kan echter wel worden verweten dat zij niet controleerde of de onderaannemer zich conformeerde aan de best practices van de desbetreffende industrie. Target werd door het anti-intrusion softwarepakket FireEye herhaaldelijk geattendeerd op het feit dat malware werd geïnstalleerd op de informatiesystemen, maar verzuimde hierop te reageren. De cybercriminelen waren in staat om via een minder beveiligd segment van het netwerk toegang te verkrijgen tot een ander segment waarin de creditcard gegevens waren opgeslagen. Dit geeft aan dat de verschillende segmenten niet adequaat van elkaar waren geisoleerd. Ten tijde van de exfiltratie gaf FireEye middels geautomatiseerde meldingen aan dat verdacht verkeer werd geëxporteerd van het netwerk. Hier werd door Target niet adequaat op gereageerd. Conclusie Kwaadwillenden waren er in geslaagd om binnen de keten malware te installeren op de informatiesystemen welke zowel verantwoordelijk zijn voor de beveiliging binnen het bedrijf alsmede voor het transactieverkeer. Hoewel Target reeds een PCI compliant bedrijf was, en derhalve ook een PCI certificaat had, merkten de anti-virusscanners en overige maatregelen de inbraak niet op. Target had echter ook een team van security specialisten welke 24 uur per dag de omgeving monitorden om opmerkelijk verkeer op te sporen. Nadat de aanval was ingezet merkten de security specialisten de aanval op en reageerden door de standaardprocedure te doorlopen. Doordat Target intern niet adequaat
37 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
was voorbereid op dergelijke aanvallen verzuimde deze specialisten echter tijdig de benodigde maatregelen door te voeren. Requirement 12.5.3 geeft juist aan dat een organisatie een incident respons en escalatie procedure dient te hebben geïmplementeerd waarbij het duidelijk is welke rollen of functies verschillende medewerkers hebben. Door dit strikter na te leven, of de procedure te testen, had dit kunnen worden voorkomen. PCI Requirement 8.3: Two-factor authenticatie PCI requirement 8.3 stelt dat two-factor authentication dient plaats te vinden vanaf externe locaties:
Target eiste echter geen two-factor authentication van low-level onderaannemers. Het systeem van de onderaannemer viel technisch gezien buiten de scope van het onderzoek. Hierdoor besloot Target geen two-factor authentication te implementeren. Hoewel de implementatie hiervan niet was vereist voor de DSS assessment, stelde deze zwakheid de aanvallers in staat om zichzelf toegang te verschaffen tot het systeem. PCI Requirement 12.5.3: Security incident response procedure De onderstaande requirement 12.5.3 stelt dat verantwoordelijkheden en procedures ten tijde van een security incident dienen te zijn vastgelegd. Ook dienen de verantwoordelijkheden en procedures bekrachtigd te zijn vanuit het management:
Gezien het feit dat Target verzuimde adequaat actie te ondernemen op de alarmsignalen, kan worden gesteld dat Target niet voldeed aan deze requirement.
38 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
PCI Requirement 10.6.1.a: Dagelijkse security werkzaamheden Door dagelijks afwijkend gedrag en specifieke gebeurtenissen te controleren, kan men eventuele bijzonderheden sneller opmerken:
Het onderzoek toont aan dat Target bij herhaling werd gewaarschuwd door het pakket FireEye. Dit pakket gaf aan dat malware was aangetroffen. Het pakket had echter niet de vrijheid om de software op eigen initiatief te verwijderen. Dit houdt in dat de verwijderactie handmatig plaats had moeten vinden. Hieruit kan worden opgemaakt dat de desbetreffende verantwoordelijke personeelsleden ofwel geen dagelijkse controle hebben uitgevoerd, ofwel hier geen verdere actie op hebben ondernomen.
39 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
4.
Synthese en conclusies Het DSS framework biedt een holistische set maatregelen om de beveiliging binnen een organisatie te bevorderen en de kans op compromittering te beperken 42. De scope van de assessment is gericht op alle onderdelen waarbij creditcard gegevens worden verwerkt, opgeslagen of worden verstuurd. De verschillende maatregelen zijn niet enkel technisch van aard, maar ook organisatorisch, fysiek, procedureel en procesmatig. Doordat toegang tot deze gegevens wordt beperkt tot een minimum aantal aan personeelsleden, ongeacht of deze intern of extern zijn, wordt de kans op ongeautoriseerde onthulling verder verkleind. Mocht onverhoopt toch een data breach plaatsvinden, dan behoren de aanvallers geen toegang te hebben tot onversleutelde gegevens. Aanvallers kunnen enkel toegang bemachtigen tot versleutelde, gemaskeerde of truncated data. Als een dergelijke breuk heeft plaatsgevonden, moeten logs, waarschuwingen en overige vastleggingen de mogelijkheid bieden om, al dan niet forensisch, onderzoek te verrichten. PCI DSS geeft aan dat alleen de daadwerkelijk benodigde data mag worden opgeslagen. Bepaalde gevoelige data, zoals de CVC code, mag echter onder geen geval worden opgeslagen. Een eventuele compromittering van dergelijke authenticatiegegevens vergroot het risico dat aanvallers transacties kunnen verrichten zonder de kaart fysiek in hun bezit te hoeven hebben. Creditcard gegevens mogen enkel worden verstuurd over adequaat beveiligde verbindingen. Dit voorkomt dat de gevoelige gegevens door aanvallers worden onderschept. Ook wordt zo voorkomen dat eventueel onderschepte gegevens kunnen worden misbruikt door aanvallers. Zelfs wanneer een verbinding wordt gecompromitteerd, mogen aanvallers alleen toegang hebben tot versleutelde, gemaskeerde of truncated gegevens. Compliance aan het framework borgt de veiligheid van creditcard gegevens door de gegevens te laten versleutelen tijdens opslag en transport. Ook dient men de opslag van gevoelige gegevens tot een minimum te beperken en mag slechts een minimaal aantal personen inzage hebben in de gegevens. Ondanks de maatregelen vanuit PCI DSS, wijst een van de casussen uit dat er desondanks toch fraude is gepleegd met gestolen creditcard gegevens. Hoewel dit niet te wijten valt aan het framework, is het echter wel van belang de volgende beperkingen en aandachtspunten in acht te nemen: ♦ Life cycle Het framework wordt slechts per drie jaar vernieuwd 43. Hoewel voortdurend nieuwe 42
PCI Council, (2013). PCI_DSS_v3_05Nov13_Final, 2013; PCI Council, (2013). https://www.pcisecuritystandards.org/documents/pci_lifecycle_for_changes_to_dss_and_padss.pdf. 43
40 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
en onbestaande kwetsbaarheden worden ontdekt, wordt vanuit het framework wel bescherming geboden door hier zo snel en adequaat mogelijk op te reageren. In drie jaar tijd kunnen er echter ook technologische ontwikkelingen zijn welke snel worden geïmplementeerd binnen een organisatie. Een voorbeeld van een dergelijke ontwikkeling is cloud computing of virtualisatie van hardware. De PCI Council heeft hierop gereageerd door appendices toe te voegen aan het framework 4445. Daadwerkelijke maatregelen en veranderingen binnen het framework zelf worden echter pas de eerstvolgende iteratie aangepast. ♦ Kerncompetenties auditor Zoals eerder werd vermeld, bestaat het DSS framework uit maatregelen gericht op verschillende onderdelen van een organisatie. Iedere auditor heeft echter een eigen achtergrond en een eigen specialisatie. De technische maatregelen zijn soms diepgaand en de auditor wordt geacht diepgaande technische kennis te bezitten om adequaat te toetsen of gehoor wordt gegeven aan de maatregel. Het is echter niet altijd mogelijk om van alle componenten, platformen, applicaties en systemen de configuraties, specificaties en bijzonderheden te weten. Om de normen alsnog te kunnen toetsen, wordt de auditor geacht zelf onderzoek te doen naar de individuele componenten. Buiten PCI DSS om zijn er ook bijzonderheden omtrent het transactieproces. Fysieke creditcard transacties worden geautoriseerd door het invoeren van de creditcard samen met, afhankelijk van de verkopende partij, een handtekening. De handtekening bevindt zich echter ook op de creditcard zelf. Als een creditcard eenmaal is ontvreemdt, is het vervalsen van een handtekening relatief eenvoudig. De creditcard maatschappijen erkennen deze kwetsbaarheid en vervangen het systeem door de Chip-and-PIN methode in oktober 2015 46. Hierbij wordt een chip geplaatst op de creditcard en wordt de gebruiker geacht de PIN code in te voeren. Dit maakt het proces minder fraudegevoelig doordat men niet enkel de creditcard dient te bezitten, maar ook de bijbehorende code dient in te voeren. Ook wordt het klonen van een kaart bemoeilijkt doordat de gegevens op de chip zijn versleuteld en autorisatiegegevens per transactie verschillen. De aanvalsmethode verschilt per inbraak. Aanvallers maken namelijk gebruik van gecombineerde aanvalsmethoden. De toegang tot interne bronnen wordt verkregen door kwetsbaarheden vanaf openbare verbindingen te vinden of door de interne omgeving te compromitteren en zichzelf toegang te verschaffen. De toekomstverwachting is dat aanvallers zich blijven richten op kwetsbaarheden. Op het moment van schrijven wordt het desktop besturingssysteem Windows XP sedert 8
44
PCI Council, (2013). PCI SSC Virtualization guidelines; PCI Council, (2013). PCI_DSS_v2_Cloud_Guidelines; 46 Edwards, J., (2014). http://www.businessinsider.com/chip-and-pin-credit-card-changeover-in-20152014-2; 45
41 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
april 2014 niet meer ondersteund 47. Kwetsbaarheden worden derhalve niet meer verholpen door Microsoft. Dit heeft het gevolg dat dit specifieke besturingssysteem vatbaar is voor toekomstige zwakheden 48. Circa 95% van de ATM apparatuur draait op een aangepaste versie van Windows XP 49. Deze versie is ook veelvuldig in gebruik bij overig betaalapparatuur. Microsoft heeft toegezegd de volgende aangepaste versies van het Windows XP besturingssysteem te blijven ondersteunen 50: ♦ Windows XP Embedded Service Pack 3 (SP3) - Jan. 12, 2016; ♦ Windows Embedded for Point of Service SP3 - April 12, 2016; ♦ Windows Embedded Standard 2009 - Jan. 8, 2019; ♦ Windows Embedded POSReady 2009 - April 9, 2019. De desktopvariant voldoet echter niet meer aan PCI DSS en zal derhalve moeten worden vervangen indien men een nieuw assessment met positief resultaat wil afronden. DSS compliance is geen garantie dat een organisatie veilig is tegen aanvallers. Het afgelopen jaar zijn meerdere organisaties slachtoffer geweest van aanvallers. Een van de organisaties uit de praktijkstudie was ook zelf DSS compliant. De DSS compliance was vastgesteld door een gecertificeerde QSA. Het is daarom van belang dat een organisatie zelf ook bewust is van de risico’s en zij het personeel hiernaar laat handelen. De menselijke schakel blijkt in de praktijk de doorslaggevende factor te zijn. De uiteindelijke controles en escalaties dienen door het personeel te worden opgevolgd.
47
Microsoft, (2014). https://www.microsoft.com/en-us/windows/enterprise/end-of-support.aspx; PCI Council, (2013). PCI-WindowsXPV4_(1). 49 Pagliery, J. (2014). http://money.cnn.com/2014/03/04/technology/security/atm-windows-xp/ 50 Microsoft, (2014). http://blogs.msdn.com/b/windows-embedded/archive/2014/02/17/what-does-the-endof-support-of-windows-xp-mean-for-windows-embedded.aspx 48
42 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
5.
Aanbevelingen Op basis van de synthese hebben wij de volgende aanbevelingen: Een PCI DSS assessment dient te worden verricht door een multidisciplinair team, waarbij diepgaande kennis van de specifieke componenten en systemen aanwezig is. Dit borgt een inhoudelijk accuraat oordeelsvorming. Zoals eerder is vermeld, is iedere QSA bevoegd om een assessment uit te voeren op de volledige omgeving. Een IT omgeving van een organisatie kan echter zijn opgebouwd uit verschillende componenten, verschillende leveranciers en zelfs verschillende softwareversies. Het onderzoeken van de veiligheid van dergelijke onderdelen kan een uitdagende en tijdrovende bezigheid zijn. Het is daarom aan te raden om een multidisciplinair team in te zetten opdat diepgaande ervaring en kennis kan worden benut bij het beoordelen van de omgeving. Het isoleren van de verschillende segmenten waarin creditcard gegevens worden verwerkt, opgeslagen of verstuurd maakt de scope overzichtelijk. Een PCI DSS assessment resulteert in oordeelsvorming over het auditobject. Door het auditobject zo beperkt mogelijk te houden, wordt de scope tot een minimum beperkt. Dit voorkomt dat onnodig veel onderzoek hoeft te worden verricht voordat de oordeelsvorming kan plaatsvinden. Door de assessment te beperken tot een beperkt aantal netwerksegmenten en bijbehorende systemen, is het mogelijk om een hogere mate van control binnen de omgeving te bereiken. De organisatie dient de cultuur te sturen op bewustwording van de risico’s van het verwerken van creditcard gegevens. Personeel dient sterk te worden aangestuurd op handelen conform vooraf gedefinieerde procedures. De menselijke schakel blijkt doorgaans de zwakste te zijn. Enkel het implementeren en documenteren van maatregelen is niet afdoende om beschermd te zijn tegen aanvallers. Personeel dient zich bewust te zijn dat de organisatie een aantrekkelijk doelwit is, en dient daarom de veiligheid van de omgeving in acht te houden. Sociale controle en iteratieve security awareness programma’s zijn hier uitermate geschikt voor. PCI DSS geeft aan welke maatregelen minimaal dienen te worden genomen. Het is echter aan te raden dat organisaties extra aandacht besteden aan aandachtspunten welke kenmerkend zijn voor hun specifieke dienstverlening. Organisaties dienen niet enkel het minimum te implementeren om compliant te zijn aan het framework. Het framework is bedoeld als een baseline set maatregelen, maar organisaties worden aangespoord om verdere maatregelen te implementeren indien hier noodzaak toe bestaat en dit niet conflicteert met de bestaande normatiek. Iedere organisatie
43 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
die diensten verleent op het gebied van creditcard gegevens heeft bepaalde aandachtspunten of risicogebieden. Het is aan de organisatie, om zich organisatie adequaat te beveiligen tegen aanvallers. De auditor heeft hier enkel een ondersteunende en adviserende rol hierin. Hoewel het PCI DSS framework zich richt op de verwerking van de creditcard gegevens, dient de eindgebruiker van de creditcard bewust om te gaan met de eigen gegevens. Ook al worden de gegevensstromen en creditcard gegevens goed beschermd, de gebruiker dient zich bewust te zijn van de gevaren van het afstaan van de persoonlijke gegevens. Om deze reden is het van belang dat de partijen die creditcards verschaffen aan de gebruikers, deze zo goed mogelijk informeren en beschermen tegen gevaren zoals phishing, malware, virussen en dergelijke zaken. Gevoelige bronnen dienen continue te worden gemonitord om zo spoedig mogelijk te kunnen reageren op afwijkend of bijzonder gedrag. Door proactief te monitoren op gedragingen binnen de omgeving, kan afwijkend verkeer of specifieke handelingen vroegtijdig worden opgemerkt. Hier kan vervolgens gepaste actie op worden ondernomen, afhankelijk van de aard van het verkeer. Het is daarom van belang het personeel zich hiervan bewust te maken en zich hiernaar laten gedragen. Processen en procedures dienen inhoudelijk te worden geactualiseerd op basis van vigerende beleidsstukken om adequaat te kunnen optreden. Het implementeren en documenteren van technische beveiligingsmaatregelen is niet voldoende om een organisatie te beschermen tegen aanvallers. Het is belangrijk om processen en procedures dusdanig te implementeren dat alle personeelsleden op de hoogte zijn van de laatste actualisering. Ook hoort te allen tijde bekend te zijn hoe personeelsleden dienen te handelen in geval van afwijkingen of incidenten. Dit voorkomt nodeloze tijdverspilling, waardoor aanvallers extra tijd hebben om hun aanval op een succesvolle wijze af te ronden.
44 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
6.
Beantwoording van de onderzoeksvragen De centrale vraagstelling is: Hoe draagt het PCI DSS normenkader bij aan het borgen van de integriteit en de vertrouwelijkheid van creditcard gegevens? Dit hoofdstuk is gericht op het beantwoorden van de hoofdvraag en de deelvragen. De antwoorden worden gebaseerd op zowel de literatuurstudie alsmede op het praktijkonderzoek.
6.1.
Beantwoording deelvragen De eerste deelvraag is: Wat is de intentie van de opstellers van het framework PCI DSS versie 3.0 en welke bedreigingen vormen een gevaar voor de vertrouwelijkheid van creditcard gegevens? PCI DSS bestaat uit een twaalftal requirements welke gericht zijn op verschillende aspecten van een organisatie om de integriteit en veiligheid van creditcard gegevens te borgen 51. De scope van PCI DSS beperkt zich tot alle segmenten en componenten waar creditcard gegevens worden verwerkt, opgeslagen of verstuurd. De maatregelen vanuit PCI DSS zijn niet uitsluitend technisch van aard, maar ook organisatorisch, fysiek, procedureel en procesmatig. Een organisatie dient gehoor te geven aan alle maatregelen. Het staat organisaties vrij om aanvullende maatregelen te treffen om zich te beschermen tegen aanvallers, mits deze aanvullende maatregelen niet conflicteren met de huidige normatiek. Het framework wordt bijgewerkt via een iteratief proces van drie jaar 52. Om tussentijds toch te kunnen inspelen op de laatste technologische ontwikkelingen en trends, maakt PCI DSS gebruik van appendices. De bedreigingen zijn zeer divers van aard. Om frauduleuze transacties uit te kunnen voeren is slechts een specifiek gedeelte van de creditcard gegevens nodig. Om deze creditcard gegevens te bemachtigen, zullen aanvallers zichzelf eerst toegang moeten verschaffen tot de omgeving waarin de gegevens worden verwerkt. Dit kan op verschillende manieren plaatsvinden.
51 52
PCI Council, (2013). PCI_DSS_v3_05Nov13_Final, 2013; PCI Council, (2013). pci_lifecycle_for_changes_to_dss_and_padss;
45 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
De PCI Council geeft een aantal voorbeelden van mogelijke bedreigingen:
Per situatie moet worden gekeken naar de geleverde diensten en welke bedreigingen hierop van toepassing kunnen zijn. Op basis hiervan dient de organisatie eerst intern een
46 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
risk assessment te verrichten. Via deze risk assessment worden de specifieke risico’s geidentificeerd waarvoor de organisatie passende maatregelen moet treffen. De PCI Council geeft richtlijnen voor het uitvoeren van de risk assessment om een gedegen en volledige uitvoering te borgen. De tweede deelvraag is: Welke maatregelen dragen bij aan risicobeheersing van creditcard transacties? De casuïstiek richtte zich op twee ernstige en recente diefstallen van creditcard gegevens. De eerste casus betreft creditcard gegevens van partijen welke niet waren gecertificeerd conform PCI DSS. De tweede casus betreft een organisatie welke wel was gecertificeerd conform PCI DSS, maar die toch een slachtoffer werd van een aanval. In de eerste casus waren de betrokken partijen niet PCI DSS compliant doordat zij geen creditcard gegevens verwerkten van een van de vijf grote creditcardmaatschappijen van Amerika. Deze partijen waren niet verplicht zich te conformeren aan PCI DSS. Zoals blijkt uit de praktijkstudie, bevat PCI DSS meerdere maatregelen welke dergelijke aanvallen had kunnen voorkomen. Requirement 7 stelt dat de toegang tot creditcard gegevens tot een minimum dient te worden beperkt. Doordat niet werd voldaan aan deze norm was een IT medewerker in staat om in te breken. Requirement 3 binnen het framework geeft aan dat de gegevens versleuteld hadden moeten zijn opgeslagen en dat deze niet vrij mochten worden gekopieerd. Helaas werd ook niet aan deze norm voldaan. Nadat de aanvaller zichzelf toegang had verschaft tot de database, was deze in staat om de gegevens te kopiëren en onversleuteld in te zien. De tweede casus betrof een organisatie die wel PCI DSS compliant was, maar waar was ingebroken. De organisatie had besloten om bepaalde beveiligingsmaatregelen niet organisatiebreed door te voeren wegens de hiermee gemoeide kosten 53. Hierdoor werden concessies gedaan inzake de beveiliging, welke tot op zekere hoogte begrijpelijk zijn. Binnen de organisatie waren een aantal technische maatregelen geïmplementeerd welke het verantwoordelijk personeel inlichtte, maar niet zelf actie ondernam. Procesmatig verzuimde het personeel actie te ondernemen op de alarmsignalen en verzuimde zo gehoor te geven aan gedefinieerde maatregelen binnen het framework. Een onderaannemer van de organisatie werd besmet door malware, waardoor aanvallers ongeautoriseerd toegang verkregen tot de interne omgeving. Indien de normen van PCI DSS strikt waren gevolgd, was de malware automatisch gedetecteerd en verwijderd. Om deze reden kan worden gesteld dat compliance aan PCI DSS deze inbraak had kunnen voorkomen. Binnen de casuïstiek waren verschillende oorzaken waardoor de beveiliging werd gecompromitteerd. In iedere situatie zijn in onvoldoende mate de maatregelen geïmple53
Krebs, B., (2014). http://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/
47 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
menteerd die door PCI DSS zijn voorgeschreven. Als de organisaties zich strikt hadden geconformeerd aan het framework, zou de kans op slagen van de hier besproken aanvallen aanzienlijk zijn gereduceerd. PCI DSS biedt een holistische set maatregelen om de beveiliging binnen een organisatie te bevorderen. Alle maatregelen dragen bij aan de risicobeheersing. Het is daarom van belang het framework als een geheel te beschouwen. Door maatregelen te treffen binnen verschillende aspecten van de organisatie, worden de risico´s tijdens creditcard transacties tot een minimum beperkt. Een creditcard transactie bestaat uit de opslag, verwerking en transmissie van creditcard gegevens. Requirement 3 richt zich op de versleutelde en beveiligde opslag van deze gegevens. Requirement 4 richt zich op de beveiligde transmissie van creditcard gegevens. De normen binnen deze requirements leveren derhalve een directe bijdrage aan de vertrouwelijkheid van de creditcard transacties. Hiermee wordt het risico tot compromittering van de gegevens beperkt. Het laatste onderdeel van een creditcard transactie, namelijk de verwerking van creditcard gegevens, is echter niet direct te herleiden naar een enkele requirement. Individuele dienstverleners verwerken de gegevens op verschillende manieren. Dit houdt in dat per situatie zal moeten worden gekeken naar de specifieke dienstverlening. Tijdens de risk assessment zal moeten blijken welke requirements extra aandacht vereisen om de vertrouwelijkheid en integriteit tijdens de verwerking te kunnen borgen. De overige requirements richten zich op overige aspecten binnen een organisatie. Compliance aan het gehele framework beperkt de kans op een data breach. De derde deelvraag is: Wat zijn de onderliggende oorzaken van de in praktijkstudie beschouwde inbraken, en had compliance met PCI DSS deze inbraken kunnen voorkomen? Het stelen van creditcard gegevens stelt aanvallers in staat om zelf creditcard transacties te autoriseren, of zelfs volledige creditcards te klonen 54. Verschillende soorten aanvallers gebruiken verschillende methodes om de creditcard gegevens te ontvreemden, of zichzelf toegang te verlenen tot een omgeving waarin deze worden verwerkt. Het uitbuiten van kwetsbaarheden binnen informatiesystemen stelt aanvallers in staat om zichzelf toegang te schaffen tot afgeschermde bronnen. Aanvallen kunnen echter afkomstig zijn van zowel externe als interne bronnen. Om de creditcard gegevens te beschermen tegen interne dreigingen, is het cruciaal om de rechten van de interne, externe en tijdelijke medewerkers te beperken tot een absoluut 54
CreditNet.com, (2014). http://www.creditnet.com/Library/Credit_Card_FAQ/How_do_credit_cards_get_cloned.ccfaq_019.php.
48 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
minimum. Ook dienen processen te worden ingericht om afwijkingen en bijzonderheden nauwlettend in de gaten te houden. De externe dreigingen worden vanuit PCI DSS tegengehouden door eerst de verschillende informatiestromen te identificeren en deze vervolgens te beveiligen. Toegang tot de gegevens wordt tot een minimum beperkt en de gegevens worden versleuteld opgeslagen en verstuurd. De eerste casus wijst uit dat de tijdelijke IT medewerker van een derde partij ongegrond een hoge mate van privileges genoot binnen de omgeving. Hierdoor was hij in staat om de gegevens ongehinderd te kopiëren. Dit had kunnen worden voorkomen door de logische toegangsbeveiliging adequaat te implementeren. De tweede casus beschrijft dat het account van een onderaannemer was gecompromitteerd. De omgeving van de onderaannemer binnen de interne organisatie was niet afdoende gesegmenteerd van de andere omgevingen, wat resulteerde in een succesvolle inbraak. 6.2.
Beantwoorden centrale vraagstelling De beantwoording van de deelvragen in acht nemend, kan worden gesteld dat PCI DSS bescherming biedt tegen de meest voorkomende aanvallen, al dienen organisaties niet aan te nemen dat deze volledig zijn beschermd zolang deze zich conformeren aan het framework. Het framework is een baseline welke, indien mogelijk, dient te worden aangevuld met specifieke maatregelen voor de betreffende organisaties en hun specifieke dienstverlening. PCI DSS biedt bescherming door alle informatiestromen voor de creditcard gegevens te identificeren en te beveiligen via gelaagde beveiligingsmechanismes. Door organisaties strikt te laten conformeren aan PCI DSS wordt de kans op compromittering beperkt tot een minimum. In het geval dat onverhoopt toch een breuk plaatsvindt, stellen de maatregelen de organisatie in staat om een forensisch onderzoek te verrichten.
6.3.
Conclusie De kracht van PCI DSS ligt in het feit dat alle betrokken organisaties worden geforceerd om expliciet aandacht te besteden aan informatiebeveiliging. De PCI Council heeft met het normenkader heldere doelstellingen gezet en bewaakt dat iedere organisatie risicoanalyses uitvoert, serieus nadenkt over de te treffen maatregelen, daarover besluiten neemt en verantwoording aflegt. Deze verantwoording heeft de vorm van een Report on Compliance (ROC), Attestation of Compliance (AoC) en Self-Assessment Questionnaire (SAQ). Deze stukken worden door de PCI Council steeds beoordeeld op scope, diepgang, of het oordeel een deugdelijke grondslag heeft, volledigheid etc. Zodra de PCI Council afwijkingen constateert kan zij boetes opleggen of organisaties verbieden om creditcard gegevens te verwerken. Door deze zware repressieve maatregelen heeft het gehele stelsel gezag en volgen de betrokken organisaties nauwgezet de richtlijnen.
49 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
Tevens heeft de PCI Council de kwaliteit van de oordeelsvorming geborgd door een formeel proces in te richten voor de opleiding en permanente educatie van de Qualified Security Assessors (QSA’s). Deze moeten een opleiding volgen, een examen afleggen en jaarlijks een herexamen doen. Hun werkgever moet over een handboek voor Quality Assurance (QA) beschikken, waarin de auditwerkzaamheden en kwaliteitsborging van de audit zijn uitgewerkt conform de voorschriften van de PCI Council. Zowel op het handboek als de interne procedures wordt door de PCI Council toezicht gehouden en regelmatig moeten stukken worden overlegd, die zeer gedegen worden beoordeeld op actualiteit en concreetheid. Doordat de PCI Council actief en wereldwijd toezicht houdt op de auditors, hun kwaliteitssysteem en hun resultaten, is zij in hoge mate ‘in control’. Zij zorgt zo dat er door alle organisaties daadwerkelijk en op de juiste wijze wordt gewerkt aan de borging van de vertrouwelijkheid en integriteit bij het inlezen, verwerken, opslaan en transporteren van creditcard gegevens. De conclusie van dit afstudeeronderzoek is dat het PCI DSS normenkader op een substantiële wijze en wereldwijd bijdraagt aan het borgen van de integriteit en de vertrouwelijkheid van creditcard gegevens.
50 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
7. 7.1.
Bijlagen Bronliteratuur ♦ Payment Card Industry Council, (2013). Payment Card Industry Data Security Standards v3.0: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf; ♦ Payment Card Industry Council, (2013). Understanding the Intent of the Requirements: https://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf; ♦ Verizon Enterprise, (2013). Data breach investigations report 2013. http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigationsreport-2013_en_xg.pdf ♦ Payment Card Industry Council, (2014). PCI DSS Template for Report on Compliance for use with PCI DSS v3.0: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_ROC_Reporting_Te mplate.pdf; ♦ Payment Card Industry Council, (2006). About the PCI Security Standards Council: https://www.pcisecuritystandards.org/organization_info/index.php; ♦ Merchant Account Forum, (2011). Card not present (CNP) Transactions – What are they?: http://www.merchantaccountforum.com/card-not-present-cnptransactions.html; ♦ Addison, D., (2011). Anatomy of a credit card number and the utility of the BIN: http://www.dirigodev.com/blog/ecommerce/anatomy-of-a-credit-card-number; ♦ Payment Card Industry Council, (2012). PCI Forensic Investigator )PFI) Program Guide: https://www.pcisecuritystandards.org/documents/PFI_Program_Guide.pdf; ♦ PaySimple, (2005). Credit Card Rates Explained: http://paysimple.com/credit_card_rates_explained.html; ♦ PCI Council, (2013). Glossary of Terms, Abbreviations, and Acronyms: https://www.pcisecuritystandards.org/documents/PCI_DSS_Glossary_v3.pdf; ♦ Terlien, I., (2012). Vrije Universiteit Amsterdam: Continue Compliant Elektronisch Betalingsverkeer: http://www.vurore.nl/images/vurore/downloads/1063-Terlienpublicatie.pdf; ♦ Creditcards.com, (2013). How a credit card is processed: http://www.creditcards.com/credit-cardnews/assets/HowACreditCardIsProcessed.pdf; ♦ VISA Inc., (2010). Visa Best Practices for Primary Account Number Storage and Truncation: http://usa.visa.com/download/merchants/PAN_truncation_best_practices.pdf; ♦ Kelley, D., Moyle, E., (2010). PAN truncation and PCI DSS compliance: http://searchfinancialsecurity.techtarget.com/tip/PAN-truncation-and-PCI-DSScompliance; ♦ PCI Council, (2013). Self-Assessment Questionnaire: https://www.pcisecuritystandards.org/documents/pci_dss_SAQ_Instr_Guide_v2.1.pd f;
51 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
♦ FocusOnPCI.com, (2009). PCI noncompliant consequences: http://www.focusonpci.com/site/index.php/PCI-101/pci-noncompliantconsequences.html; ♦ PCI Council, (2013). PCI SSC Data Security Standards Overview: https://www.pcisecuritystandards.org/security_standards; ♦ PCI Council, (2013). PCI DSS Self-Assessment Questionnaire (SAQ): https://www.pcisecuritystandards.org/merchants/self_assessment_form.php; ♦ BBC, (2014). S Korea credit card firms punished over data theft: http://www.bbc.com/news/business-26222283; ♦ Panda Security (2014). Details of 105.8 million banking accounts stolen in South Korea: http://support.pandasecurity.com/blog/security/banking-accounts-stolensouth-korea/; ♦ ANO, (2014). South Korean credit card firms under fire as 20 mn users’ details stolen: http://rt.com/news/south-korea-cards-stolen-895/; ♦ Leyden, J., (2014). Korean credit card bosses offer to RESIGN over huge data breach: http://www.theregister.co.uk/Print/2014/01/22/sk_data_breach_apology/; ♦ Databreaches.net, (2014). Fox in the hen house: Personal information from 100 million South Korean credit cards stolen by contractor hired to forgery-proof credit cards: http://www.databreaches.net/fox-in-the-hen-house-personal-informationfrom-100-million-south-korean-credit-cards-stolen-by-contractor-hired-to-forgeryproof-credit-cards/; ♦ Financial Services Commission, (2014). T/F Formed to Respond to Personal Information Leaks: http://m.fsc.go.kr/eng/01Sub/engPressRelease.do?FLAG=VIEW&CPAGE=1&NUM =29070; ♦ Offshore Publications Limited, (2014). Theft of 20 million credit cards – Korean task force to respond: http://www.dqmagazine.com/news/20-million-credit-cards-leakedkorean-task-force-to-respond-10411; ♦ Bloomberg, (2014). Low-Tech Thief Steals Data on 100 Million Korean Credit-Card Accounts : http://www.businessweek.com/articles/2014-01-23/low-tech-thief-stealsdata-for-100-million-korean-credit-card-accounts; ♦ Financial Services Commission, (2014). Comprehensive Measures to Protect Personal Data in the Financial Sector: 140310_-_Personal_Data_Protection.pdf; ♦ Target Brands Inc., (2014). Data breach FAQ: https://corporate.target.com/about/shopping-experience/payment-card-issueFAQ#q5888; ♦ McGrath, M., (2014). Target Profit Falls 46% On Credit Card Breach And The Hits Could Keep On Coming: http://www.forbes.com/sites/maggiemcgrath/2014/02/26/target-profit-falls-46-oncredit-card-breach-and-says-the-hits-could-keep-on-coming/; ♦ Dudley, R., (2014). Target’s Shares Jump as Retailer Recovers From Data Breach: http://www.bloomberg.com/news/2014-02-26/target-tops-profit-estimates-as-itbegins-to-recover-from-breach.html;
52 van 53
Vrije Universiteit Amsterdam Integriteit en vertrouwelijkheid van creditcard gegevens
♦ Fazio Mechianical Services, Inc., (2014). Statement on Target data breach: http://faziomechanical.com/Target-Breach-Statement.pdf; ♦ Committee on Commerce, Science, and Transportation, (2014). US Senate: A Chain Analysis of the 2013 Target Data Breach: http://www.commerce.senate.gov/public/?a=Files.Serve&File_id=24d3c229-4f2f405d-b8db-a3a67f183883; ♦ PCI Council, (2013). Lifecycle for Changes to PCI DSS and PA-DSS : https://www.pcisecuritystandards.org/documents/pci_lifecycle_for_changes_to_dss_ and_padss.pdf; ♦ PCI Council, (2011). Information Supplement: PCI DSS Virtualization Guidelines: https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf; ♦ PCI Council, (2013). Information Supplement: PCI DSS Cloud Computing Guidelines: https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf; ♦ Edwards, J., (2014). All American Credit Cards Will Disappear In 2015 And Be Replaced With This New Tech: http://www.businessinsider.com/chip-and-pin-creditcard-changeover-in-2015-2014-2; ♦ Microsoft, (2014). Support for Windows XP has ended: https://www.microsoft.com/en-us/windows/enterprise/end-of-support.aspx; ♦ PCI Council, (2013). Windows XP Support is ending: PCI-WindowsXPV4_(1); ♦ CreditNet.com, (2014). How do credit cards get cloned: http://www.creditnet.com/Library/Credit_Card_FAQ/How_do_credit_cards_get_clo ned.ccfaq_019.php; ♦ Krebs, B., (2014). Target Hackers Broke in Via HVAC ny: http://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company.
53 van 53
