Embed Size (px)
Citation preview
Understanding Revolutionary Technology in
Today’s Data Security Environment
Markus Meissner
Sales Director
Protegrity
Agenda
2
Protegrity im Überblick
Data Security
PCI Compliance
Tokenization
Protegrity Vaultless Tokenization
Zusammenfassung
Fragen
Wer ist Protegrity?
Führender Anbieter für Data Protection Software
Etabliertes Unternehmen seit Ende der 90er Jahre
Headquarter in Stamford, Conneticut, USA
Niederlassungen in Deutschland, UK, Schweden, Ukraine, China
Compliance ist der wichtigste Wachstumstreiber für die Protegrity Lösungen
• PCI (Payment Card Industry)
• PII (Personally Identifiable Information)
• PHI (Protected Health Information) – HIPAA
• Nationale und internationale Datenschutz-Gesetze
Zu den Kunden gehören Unternehmen aus den folgende Branchen
• Handel, Gastgewerbe, Reise und Transport
• Finanzdienstleistungen, Versicherungen, Banken
• Gesundheitswesen
• Telekommunikation, Medien und Unterhaltung
• Verarbeitende Industrie und Behörden
Sensitive Daten
Speicher
(Festplatte)
Dateisystem
Datenbank
Anwendung
Backup
(Band,
Festplatte)
2898 2667 3890 1245
Schutz Sensitiver Daten
Netzwerk
Ente
rprise
4
Data Security Policy
5
Was sind die sensiblen Daten, die geschützt werden
müssen. Datenelement.
Wer soll Zugriff auf sensible Daten haben und wer
nicht. Sichere Zugriffskontrolle (Berechtigungskonzept)
Rollen & Mitglieder.
Wann soll der Zugriff auf sensible Daten denjenigen,
die Zugang haben, gewährt werden.
Wo werden die sensiblen Daten gespeichert? Das ist
der Ort, an dem die Policy durchgesetzt wird.
Wie sollen sensible Daten geschützt und dargestellt
werden.
Auditierung der Sicherheitsrichtlinien und von
autorisierten oder nicht autorisierten Zugriffen auf
vertrauliche Daten. Optionales Audit von Schutz /
Freigabe.
Wann
Wer
Was
Wo
Wie
Audit
Die Basis für den Schutz sensibler Daten im Unternehmen ist die Data
Security Policy:
PCI-DSS, der Payment Card Industry Data Security Standard, muss von allen
Unternehmern und Dienstleistern, die im Zahlungsverkehr
Kreditkartentransaktionen abwickeln erfüllt werden.
Bei Verstößen gegen diesen Standard, der von allen wichtige
Kreditkartenunternehmen unterstützt wird, können Einschränkungen bis hin
zum Entzug der Erlaubnis für Kreditkartenannahme verhängt werden.
Ohne eine automatisierte Vorrichtung und genauer Kenntnis der PCI
Anforderungen wird es schwierig, die Ansprüche während eines der
vorgeschriebenen Audits zu erfüllen. Denn Teil eines solchen Audits könnte
sein, dass der Verantwortliche beispielsweise gefragt wird: 'Zeigen Sie mir,
wer im Netzwerk am Mittwoch Änderungen vorgenommen hat', oder 'Wie
stellen Sie sicher, dass die genehmigte Änderung im Netzwerk auch
umgesetzt wurde ?
PCI DSS Compliance
6
Der PCI DSS gilt als eingehalten, wenn dessen zwölf
Sicherheitsanforderungen umgesetzt und diese Umsetzung
nachgewiesen werden kann. Die PCI DSS-Implementierung und –
Einhaltung wird wie folgt kontrolliert:
Für Händler des Levels 1: durch ein jährliches Sicherheits-Audit
vor Ort und vierteljährliche Netzwerk-Scans Die Auditierung vor
Ort im Unternehmen erfolgt durch einen Sicherheitsgutachter, den
Qualified Security Assessor (QSA).
Für Händler der Level 2 bis 4: jährliche Beantwortung eines PCI-
Fragebogens und vierteljährliche Netzwerk-Scans. Der PCI-
Fragebogen zur Selbstbewertung wird unternehmensintern durch
den Händler bearbeitet. Netzwerk-Scans werden durch einen
zugelassenen Sicherheitsprüfer durchgeführt, den Approved
Scanning Vendor (ASV).
PCI DSS Compliance
7
Es wird zwischen unterschiedlichen Arten von Händlern unterschieden?
Händler werden je nach Umfang ihrer jährlichen Kartentransaktionen in
vier Level eingestuft:
Level 1: Händler mit mehr als sechs Millionen Kartentransaktionen pro
Jahr/ Kartenmarke über alle Vertriebskanäle und Händler, deren
kartenspezifische Kundendaten bereits kompromittiert wurden –
ca. 16450 Transaktionen am Tag
Level 2: Händler mit ein bis sechs Millionen Kartentransaktionen pro
Jahr/Kartenmarke über alle Vertriebskanäle
Level 3: Händler mit 20.000 bis 1 Million Kartentransaktionen im E-
Commerce pro Jahr/Kartenmarke
Level 4: alle anderen Händler
Abhängig von ihrer Kategorie müssen Händler unterschiedliche externe
und interne Prüfungen (Scans, Audits) bestehen, um PCI-Compliance
(Umsetzung/Einhaltung des PCI DSS) zu
PCI DSS Compliance
8
Using Encryption for PCI Compliance
9
Store Store Store
E-Commerce Payment
Processes
Customer Service
ERP
Loss Prevention
Sales Analysis
Merchant Home Office
Retail Channels
E-Commerce
Stores
Call-In
Aggregation Point Bu
sin
ess F
un
ctio
ns
Authorization
Call-in
Authorization
Settlement
Key & Policy
Management
• Complex Key
Management
• Hohe Kosten für das
jährliche PCI Assessment
• Sensitive Daten in ihrer
Systemumgebung
E
E
E
E
E
E
E
E
ESA
PCI DSS Compliance
10
1970 2000 2005 2010
High
Low
PCI Pain
& TCO
Strong Encryption
AES, 3DES
Format Preserving Encryption
DTP, FPE
Vault-based Tokenization
Vaultless Tokenization
Input Value: 3872 3789 1620 3675
!@#$%a^.,mhu7///&*B()_+!@
8278 2789 2990 2789
8278 2789 2990 2789
Format Preserving
Greatly reduced Key
Management
No Vault
8278 2789 2990 2789
PROTEGRITY TOKENIZATION
11
Der Trend im Datenschutz geht zu Tokenization.
Wie Vaultbased Tokenization arbeitet
Tokenization Aspekte
Latency
Performance & Scalability
Service Erreichbarkeit
Line & Network Security
Token Server Zugriffskontrolle
Token Server Data Security
Token Charakteristik
CCN
Database Server
API
3872 3789 1620 3675
Customer Application
3872 3789 1620 3675
1234 5678 9012 3456
1234 5678 9012 3456
Customer Application
1234 5678 9012 3456
API
1234 5678 9012 3456
3872 3789 1620 3675
3872 3789 1620 3675
Tokenization Server
Tokenization
• Tokenization ist ein Prozess, der sensible Daten durch
neutrale Daten - sogenannte Token - ersetzt, die keinen Wert
für den Dieb haben.
• Token entsprechen den ursprünglichen Daten in Datentyp und
in der Länge.
Nutzen
• Stark verbesserte Transparenz für Systeme und Prozesse, die
geschützt werden müssen.
Folgen
• Reduzierter Wartungsbedarf
• Geringerer Bedarf an Schlüssel-Verwaltung
• Reduktion der Angriffspunkte
• Reduzierte PCI-DSS-Audit-Kosten für den Einzelhandel
Was ist Tokenization und was ist der Nutzen?
13
PROTEGRITY VAULTLESS TOKENIZATION
1. Lookup Table
2. Der Lookup
3. Token Mapping
Vaultless Tokenization: Small Lookup Table
Randomize
0001 0002
3845
9999
0000
3846
3844
6625 2673
4592
9378
6782 5591
8290
10,000
entries
Random, Pre-Generated, Small
Lookup Table
Token Block
Characteristics: Random, Pre-Generated, Small
6625 2673
4592
9378
7483 5591
8290
Vaultless Tokenization: The Lookup
Credit Card Number
Token
0001 0002
3845
9999
0000
3846
3844
6625 2673
4592
9378
7483 5591
8290
0001 0002
3845
9999
0000
3846
3844
839
8
8500
Vaultless Tokenization: Token Mapping
17
3845 9802 4484 7126
Credit Card Number
Token
98 02 3845
7483 85 00 2673 67 91 0218 55 13 0218 1761 37 78 2750 99 83 0193 99 43 2791 2791 4393 8350 7861
Protegrity Tokenization
Lookup-Tabellen
• Statisch: Gleichbleibende Größe unabhängig von der Anzahl von benötigten eindeutigen Token.
• Vorgeneriert: Die Basis Lookup Tabelle ist vorgeneriert.
• Geringer Ressourcenbedarf: 4,000,000 Token Blöcke für Tokenization und Detokenization
• Tabelle enthält Token Blöcke, aber keine verschlüsselten Daten und keine vollständigen Token
• Geschützt: Die statische Token Tabelle ist verschlüsselt.
Leistung
• 200,000 Token pro Sekunde auf einer gewöhnlichen Standard Dual Core Maschine
889028
938456
873456
098245
556739
4,000,000 Token Blöcke Gesamt
Anwendung
Anwendung
Anwendung
18
2,000,000 : Tokenization
2,000,000 : Detokenization
038947
Protegrity Tokenization: Skalierbarkeit und Hochverfügbarkeit
Anwendung
Anwendung
Load Balance
Anwendung
Skalierbarkeit und Hochverfügbarkeit erfordern typischerweise Redundanz
Protegrity Tokenization
• Geringer Ressourcenbedarf
• Keine Replizierung erforderlich
• Keine Möglichkeit für Kollisionen
Token
Tabellen
Token Server Token Server Token Server Token Server
Token
Tabellen
Token
Tabellen
Token
Tabellen
19
Token Flexibilität
Datentyp Eingabe Token Kommentar
Kreditkarte 3872 3789 1620 3675 8278 2789 2990 2789 Numerisch
Kreditkarte 3872 3789 1620 3675 8278 2789 2990 3675 Numerisch, Letzte 4 Ziffern im
Klartext
Kreditkarte 3872 3789 1620 3675 3872 qN4e 5yPx 3675 Alpha-Numerisch, Ziffern im
Klartext
Kranken-
versicherungs-
nummer
29M2009ID 497HF390D Alpha-Numerisch
Datum 10/30/1955 12/25/2034 Datum
E-Mail-Adresse [email protected] [email protected] Alpha-Numerisch,
Trennzeichen aus Eingabe
beibehalten
SVN 075672278 287382567 Numerisch
SVN 075-67-2278 287-38-2567 Numerisch, Trennzeichen aus
Eingabe beibehalten
20
Typische Retail Pattern mit Tokenization
21
Store Store Store
E-Commerce
E-Commerce
Stores
Call-In
Payment Processes
Customer Service
ERP
Loss Prevention
Sales Analysis
Merchant Home Office
Retail Channels
Aggregation Point
Bu
sin
ess F
un
ctio
ns
Authorization
Call-in
Authorization
3765 2668 1907 2678
8920 1667 2946 4578
8920 1667 2946 4578
8920 1667 2946 4578
8920 1667 2946 4578
Settlement
ESA Tokenization
Service
8920 1667 2946 4578
T
8920 1667 2946 4578
T
8920 1667 2946 4578
T
Single Use Token: Encryption
Multi-Use Token: Random Token
Multi Use Token
Random Only
• vereinfacht Key
Management
• Reduziert die Kosten des
jähr. PCI Assessments
• Reduziert den Umfang
sensitiverDataen im
Unternehmen
Key, Policy &
Token
Management
Vorteile der Vaultless Tokenization
22
Vaultbased Tokenization Vaultless Tokenization
Ressourcenlast Hoch, Wachsend. Niedrig, Statisch.
Hochverfügbarkeit, Disaster Recovery
Komplex, teuer Replizierung erforderlich.
Keine Replizierung erforderlich.
Verteilung Nahezu unmöglich geograpisch verteilbar.
Leicht an verschiedenen geographisch verteilten Orten zu implementieren.
Zuverlässigkeit Anfällig für Kollisionen. Keine Kollisionen.
Performanz, Wartezeit, und Skalierbarkeit
Negative Auswirkungen auf Leistung und Skalierbarkeit.
Geringe oder keine Wartezeit. Schnellste Industrie Tokenization.
Erweiterbarkeit Nahezu unmöglich. Unbegrenztes Tokenization Potential.
Optimale Unterstützung von komplexen Anforderungen im Enterprise Umfeld
• Die heterogene Plattform unterstützt alle Betriebssysteme und Datenbanken.
• Flexible Protektoren (auf Datenbank-, Anwendung-, Datei-Ebene) bieten umfassende Unterstützung unabhängig von der Form, in der die Daten vorkommen.
• Risiko-basierter Datenschutz bietet angemessene Optionen mit passender Stärke zum Schutz der Daten.
• Integrierte Schlüsselverwaltung
• Konsistente Durchsetzung der Enterprise-Policy und Audit Logging
Innovation: Datenschutz wird mit führender industrieller Innovation wie dem patentierten Datenbank-Schutz-System und Protegrity Tokenization vorangetrieben.
Akzeptanz: Die bewährte Protegrity Plattform schützt derzeit einige der größten Unternehmen Weltweit
Erfahrung: Unser erfahrenes Team unterstüzt Sie auf dem Weg zu vollständigem Datenschutz.
Zusammenfassung
23
