2. Agenda
Protegrity im Überblick
Data Security
PCI Compliance
Tokenization
Protegrity Vaultless Tokenization
Zusammenfassung
Fragen
2
3. Wer ist Protegrity?
Führender Anbieter für Data Protection Software
Etabliertes Unternehmen seit Ende der 90er Jahre
Headquarter in Stamford, Conneticut, USA
Niederlassungen in Deutschland, UK, Schweden, Ukraine, China
Compliance ist der wichtigste Wachstumstreiber für die Protegrity Lösungen
• PCI (Payment Card Industry)
• PII (Personally Identifiable Information)
• PHI (Protected Health Information) – HIPAA
• Nationale und internationale Datenschutz-Gesetze
Zu den Kunden gehören Unternehmen aus den folgende Branchen
• Handel, Gastgewerbe, Reise und Transport
• Finanzdienstleistungen, Versicherungen, Banken
• Gesundheitswesen
• Telekommunikation, Medien und Unterhaltung
• Verarbeitende Industrie und Behörden
5. Data Security Policy
Die Basis für den Schutz sensibler Daten im Unternehmen ist die Data
Security Policy:
Was sind die sensiblen Daten, die geschützt werden
Was müssen. Datenelement.
Wer soll Zugriff auf sensible Daten haben und wer
Wer nicht. Sichere Zugriffskontrolle (Berechtigungskonzept)
Rollen & Mitglieder.
Wann soll der Zugriff auf sensible Daten denjenigen,
Wann die Zugang haben, gewährt werden.
Wo werden die sensiblen Daten gespeichert? Das ist
Wo der Ort, an dem die Policy durchgesetzt wird.
Wie sollen sensible Daten geschützt und dargestellt
Wie werden.
Auditierung der Sicherheitsrichtlinien und von
Audit autorisierten oder nicht autorisierten Zugriffen auf
vertrauliche Daten. Optionales Audit von Schutz /
Freigabe.
5
6. PCI DSS Compliance
PCI-DSS, der Payment Card Industry Data Security Standard, muss von allen
Unternehmern und Dienstleistern, die im Zahlungsverkehr
Kreditkartentransaktionen abwickeln erfüllt werden.
Bei Verstößen gegen diesen Standard, der von allen wichtige
Kreditkartenunternehmen unterstützt wird, können Einschränkungen bis hin
zum Entzug der Erlaubnis für Kreditkartenannahme verhängt werden.
Ohne eine automatisierte Vorrichtung und genauer Kenntnis der PCI
Anforderungen wird es schwierig, die Ansprüche während eines der
vorgeschriebenen Audits zu erfüllen. Denn Teil eines solchen Audits könnte
sein, dass der Verantwortliche beispielsweise gefragt wird: 'Zeigen Sie mir,
wer im Netzwerk am Mittwoch Änderungen vorgenommen hat', oder 'Wie
stellen Sie sicher, dass die genehmigte Änderung im Netzwerk auch
umgesetzt wurde ?
6
7. PCI DSS Compliance
Der PCI DSS gilt als eingehalten, wenn dessen zwölf
Sicherheitsanforderungen umgesetzt und diese Umsetzung
nachgewiesen werden kann. Die PCI DSS-Implementierung und –
Einhaltung wird wie folgt kontrolliert:
Für Händler des Levels 1: durch ein jährliches Sicherheits-Audit
vor Ort und vierteljährliche Netzwerk-Scans Die Auditierung vor
Ort im Unternehmen erfolgt durch einen Sicherheitsgutachter, den
Qualified Security Assessor (QSA).
Für Händler der Level 2 bis 4: jährliche Beantwortung eines PCI-
Fragebogens und vierteljährliche Netzwerk-Scans. Der PCI-
Fragebogen zur Selbstbewertung wird unternehmensintern durch
den Händler bearbeitet. Netzwerk-Scans werden durch einen
zugelassenen Sicherheitsprüfer durchgeführt, den Approved
Scanning Vendor (ASV).
7
8. PCI DSS Compliance
Es wird zwischen unterschiedlichen Arten von Händlern unterschieden?
Händler werden je nach Umfang ihrer jährlichen Kartentransaktionen in
vier Level eingestuft:
Level 1: Händler mit mehr als sechs Millionen Kartentransaktionen pro
Jahr/ Kartenmarke über alle Vertriebskanäle und Händler, deren
kartenspezifische Kundendaten bereits kompromittiert wurden –
ca. 16450 Transaktionen am Tag
Level 2: Händler mit ein bis sechs Millionen Kartentransaktionen pro
Jahr/Kartenmarke über alle Vertriebskanäle
Level 3: Händler mit 20.000 bis 1 Million Kartentransaktionen im E-
Commerce pro Jahr/Kartenmarke
Level 4: alle anderen Händler
Abhängig von ihrer Kategorie müssen Händler unterschiedliche externe
und interne Prüfungen (Scans, Audits) bestehen, um PCI-Compliance
(Umsetzung/Einhaltung des PCI DSS) zu
8
9. Using Encryption for PCI Compliance
Authorization
Settlement
Merchant Home Office
Retail Channels
Key & Policy
Management ESA
E-Commerce
Payment
Processes
E
Aggregation Point
Business Functions
Authorization Customer
E Service
E-Commerce
E
Store Stores E
Store
Store
E ERP
Call-In
Loss
E Prevention
• Complex Key E
Management Call-in
Sales
• Hohe Kosten für das E Analysis
jährliche PCI Assessment
• Sensitive Daten in ihrer
Systemumgebung
9
12. Wie Vaultbased Tokenization arbeitet
Database Server
Customer Application Customer Application
CCN
3872 3789 1620 3675
1234 5678 9012 3456 1234 5678 9012 3456 3872 3789 1620 3675
API API
3872 3789 1620 3675 1234 5678 9012 3456
Tokenization Aspekte
Latency
Performance & Scalability
Service Erreichbarkeit
1234 5678 9012 3456 3872 3789 1620 3675 Line & Network Security
Token Server Zugriffskontrolle
Token Server Data Security
Tokenization Server
Token Charakteristik
13. Was ist Tokenization und was ist der Nutzen?
Tokenization
• Tokenization ist ein Prozess, der sensible Daten durch
neutrale Daten - sogenannte Token - ersetzt, die keinen Wert
für den Dieb haben.
• Token entsprechen den ursprünglichen Daten in Datentyp und
in der Länge.
Nutzen
• Stark verbesserte Transparenz für Systeme und Prozesse, die
geschützt werden müssen.
Folgen
• Reduzierter Wartungsbedarf
• Geringerer Bedarf an Schlüssel-Verwaltung
• Reduktion der Angriffspunkte
• Reduzierte PCI-DSS-Audit-Kosten für den Einzelhandel
13
18. Protegrity Tokenization
Lookup-Tabellen
• Statisch:
Gleichbleibende Größe unabhängig von der
Anzahl von benötigten eindeutigen Token.
889028
Anwendung 938456 • Vorgeneriert:
098245 Die Basis Lookup Tabelle ist vorgeneriert.
873456
556739 • Geringer Ressourcenbedarf:
Anwendung 038947 4,000,000 Token Blöcke für Tokenization und
2,000,000 : Tokenization
Detokenization
2,000,000 : Detokenization
4,000,000 Token Blöcke Gesamt
• Tabelle enthält Token Blöcke, aber keine
Anwendung verschlüsselten Daten und keine vollständigen
Token
• Geschützt: Die statische Token Tabelle ist
verschlüsselt.
Leistung
• 200,000 Token pro Sekunde auf einer
gewöhnlichen Standard Dual Core Maschine
18
19. Protegrity Tokenization: Skalierbarkeit und Hochverfügbarkeit
Anwendung Load Balance
Anwendung
Token Token Token Token
Tabellen Tabellen Tabellen Tabellen
Anwendung Token Server Token Server Token Server Token Server
Skalierbarkeit und Hochverfügbarkeit erfordern typischerweise Redundanz
Protegrity Tokenization
• Geringer Ressourcenbedarf
• Keine Replizierung erforderlich
• Keine Möglichkeit für Kollisionen
19
20. Token Flexibilität
Datentyp Eingabe Token Kommentar
Kreditkarte 3872 3789 1620 3675 8278 2789 2990 2789 Numerisch
Kreditkarte 3872 3789 1620 3675 8278 2789 2990 3675 Numerisch, Letzte 4 Ziffern im
Klartext
Kreditkarte 3872 3789 1620 3675 3872 qN4e 5yPx 3675 Alpha-Numerisch, Ziffern im
Klartext
Kranken- 29M2009ID 497HF390D Alpha-Numerisch
versicherungs-
nummer
Datum 10/30/1955 12/25/2034 Datum
E-Mail-Adresse raul.ortega@protegrity.com empo.snaugs@svtiensnni.snk Alpha-Numerisch,
Trennzeichen aus Eingabe
beibehalten
SVN 075672278 287382567 Numerisch
SVN 075-67-2278 287-38-2567 Numerisch, Trennzeichen aus
Eingabe beibehalten
20
21. Typische Retail Pattern mit Tokenization
Authorization
Settlement
Merchant Home Office
Retail Channels T
Key, Policy &
Tokenization Payment
E-Commerce
Token ESA
Management Service Processes
Business Functions
Aggregation Point Customer
Service
Authorization
E-Commerce
Store Stores ERP
3765 2668 1907 2678 Store
Store
Multi Use Token
T T Random Only
Call-In
Single Use Token: Encryption 8920 1667 2946 4578 Loss
8920 1667 2946 4578 Prevention
Multi-Use Token: Random Token 8920 1667 2946 4578
8920 1667 2946 4578
• vereinfacht Key 8920 1667 2946 4578
8920 1667 2946 4578 Sales
Management Call-in
8920 1667 2946 4578
Analysis
• Reduziert die Kosten des
jähr. PCI Assessments
• Reduziert den Umfang
sensitiverDataen im
Unternehmen
21
22. Vorteile der Vaultless Tokenization
Vaultbased Tokenization Vaultless Tokenization
Ressourcenlast Hoch, Wachsend. Niedrig, Statisch.
Hochverfügbarkeit, Komplex, teuer Replizierung Keine Replizierung erforderlich.
Disaster Recovery erforderlich.
Verteilung Nahezu unmöglich Leicht an verschiedenen
geograpisch verteilbar. geographisch verteilten Orten zu
implementieren.
Zuverlässigkeit Anfällig für Kollisionen. Keine Kollisionen.
Performanz, Negative Auswirkungen auf Geringe oder keine Wartezeit.
Wartezeit, und Leistung und Skalierbarkeit. Schnellste Industrie Tokenization.
Skalierbarkeit
Erweiterbarkeit Nahezu unmöglich. Unbegrenztes Tokenization
Potential.
22
23. Zusammenfassung
Optimale Unterstützung von komplexen Anforderungen im Enterprise
Umfeld
• Die heterogene Plattform unterstützt alle Betriebssysteme und
Datenbanken.
• Flexible Protektoren (auf Datenbank-, Anwendung-, Datei-Ebene) bieten
umfassende Unterstützung unabhängig von der Form, in der die Daten
vorkommen.
• Risiko-basierter Datenschutz bietet angemessene Optionen mit
passender Stärke zum Schutz der Daten.
• Integrierte Schlüsselverwaltung
• Konsistente Durchsetzung der Enterprise-Policy und Audit Logging
Innovation: Datenschutz wird mit führender industrieller Innovation wie
dem patentierten Datenbank-Schutz-System und Protegrity Tokenization
vorangetrieben.
Akzeptanz: Die bewährte Protegrity Plattform schützt derzeit einige der
größten Unternehmen Weltweit
Erfahrung: Unser erfahrenes Team unterstüzt Sie auf dem Weg zu
vollständigem Datenschutz.
23