Como o software Reflection facilita a conformidade com o PCI DSS

White paperReflection

2

White paperComo o software Reflection facilita a conformidade com o PCI DSS

Uma série de prazos de conformidade fez com que as organizações cor-ressem para atender aos 12 abrangentes requisitos do PCI DSS. Esses requisitos variam de relativamente fácil de implementar, como assegurar o uso de software antivírus atualizado, a complexos e exigentes, como rastrear o acesso aos recursos da rede e aos dados dos titulares de cartão de crédito.

Este white paper demonstra como os emuladores de terminal Micro Focus® Reflection®, os utilitários de transferência de arquivos e clientes e servidores SSH podem ajudar você a alcançar a conformidade com o PCI DSS. Quando terminar a leitura, você saberá quais produtos Reflection podem ajudá-lo a atender aos requisitos específicos do PCI e como eles fazem isso. Você também verá que o Reflection permite a conformidade além da emulação de terminal e da transferência de arquivos em áreas que você nem imaginou.

Os 12 requisitos do PCIO PCI DSS consiste em 12 requisitos projetados para ajudar a assegurar que os dados de titulares estejam seguros e que a rede e os sistemas que tratam dos dados estejam bem protegidos. Os 12 requisitos se en-quadram nos grupos listados na Figura 1.

Como o Reflection lida com os problemas de segurança de hostPara ajudar você a compreender como os produtos Reflection podem facilitar a conformidade com o PCI, esta seção resume os principais pro-blemas de segurança de host e descreve como os produtos Reflection os resolvem.

Segurança dos servidoresOs sistemas de host armazenam os dados de titulares de cartão e exe-cutam aplicativos que permitem o acesso a esses dados. Os sistemas de host também podem ser servidores de arquivos que mantém os dados dos titulares de cartão em arquivos que precisam ser transferidos por redes públicas. Devido à natureza confidencial dos dados, as organi-zações precisam restringir o acesso a eles e criptografá-los durante a movimentação pela rede.

Como o software Reflection facilita a conformidade com o PCI DSSEm 2004, as maiores empresas de cartões de crédito, incluindo Visa, MasterCard e American Express, uniram forças para criar o PCI DSS (Payment Card Industry Data Security Standard). O PCI DSS se aplica a todas as empresas que armazenam, processam ou transmitem dados de contas de titulares de cartões de crédito. O objetivo: garantir a privacidade dos consumidores por meio de rígidos controles de segurança em todo o setor.

Figura 1: Os 12 amplos requisitos do PCI DSS. Os produtos Reflection facilitam a conformidade com os requisitos 1, 2, 4, 6, 7, 8 e 10.

Criar e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger dados de titulares

de cartão. 2. Não usar padrões de fornecedores para senhas do sistema e outros parâmetros

de segurança.

Proteger os dados do cliente 3. Proteger dados armazenados de titulares de cartão. 4. Criptografar a transmissão de dados de titulares de cartão por redes públicas abertas.

Manter uma programação de vulnerabilidade de gerenciamento 5. Usar e atualizar software antivírus regularmente. 6. Desenvolver e manter sistemas e aplicativos seguros.

Implementar medidas fortes de controle de acesso 7. Restringir o acesso aos dados de titulares de cartão às empresas que realmente

necessitam deles. 8. Atribuir um ID exclusivo para cada pessoa com acesso aos computadores. 9. Restringir o acesso físico a dados de titulares de cartão.

Monitorar e testar redes regularmente10. Controlar e monitorar todo o acesso a recursos da rede e a dados de titulares

de cartão.11. Testar sistemas e processos de segurança regularmente.

Manter uma política de segurança de informação12. Manter uma política voltada para a segurança das informações.

3www.microfocus.com

Solução Reflection: o Reflection for Secure IT é uma família de clien-tes de shell seguro e de servidores para Windows e UNIX. Com os servidores Reflection for Secure IT, você pode criar túneis seguros e criptografados para os dados em movimento, incluindo comunicações de emuladores baseados em cliente, utilitários de transferência de ar-quivos ou qualquer aplicativo que utilize o protocolo TCP/IP.

O Reflection for Secure IT também executa outra função essencial de segurança: o monitoramento de acesso aos componentes do sistema, incluindo o acesso com privilégios de administrador. Ao ativar a confi-guração de registro de auditoria, o Reflection for Secure IT fornece as principais informações (quem e quando o sistema foi acessado pelo ser-vidor SSH) para as instalações de registro padrão no sistema de host.

Segurança para estações de trabalhoOs administradores de sistema e os usuários frequentemente depen-dem de utilitários baseados em cliente para acessar aplicativos e ar-quivos de host. Os IDs de usuário e senhas usados para obter acesso a sistemas de host, bem como as informações sigilosas que transitam entre a estação de trabalho e o sistema host, precisam de proteção contra olhos curiosos durante a transmissão.

Solução Reflection: os emuladores de terminal Reflection for Windows e Reflection for the Web oferecem suporte a uma variedade de tecnolo-gias de criptografia (incluindo SSH e SSL/TLS) e métodos de autenti-cação (como Kerberos) que correspondem aos recursos do sistema de host. Com esse suporte, os diretores de segurança podem ter certeza de que tanto as credenciais da conta do usuário (como senhas) e as

informações confidenciais (como dados de titulares de cartões) serão criptografados conforme transitam entre o host e a tela de emulação de terminal.

Os clientes do Reflection Secure FTP, incluindo os produtos de emula-ção Reflection, também oferecem suporte a uma variedade de tecno-logias de criptografia e métodos de autenticação. Essas tecnologias e métodos ajudam a garantir que os arquivos com informações confiden-ciais não possam ser acessados por usuários não autorizados e sejam criptografados antes de entrarem na rede.

Segurança de acesso ao sistemaOs emuladores de terminal de cliente fornecem acesso aos dados par-ticulares do host, o que significa que o acesso às sessões de emulação deve ser rigidamente controlado.

Solução Reflection: o Reflection for the Web fornece autenticação e controle de acesso que aproveitam os diretórios de usuários existentes (como Active Directory). Os usuários não podem acessar as sessões de emulação a não ser que sejam aprovados por um administrador.

Configurações de sessão específicas podem ser atribuídas a usuá-rios e grupos dentro de um domínio. Essas sessões são iniciadas por meio de links em uma página da web ou portal protegidos. Quando os usuários acessam a página, eles são autenticados de acordo com o diretório de usuários e têm acesso garantido apenas para as sessões pré-designadas.

1) O usuário se conecta ao Reflection Management Server.

2) O usuário é autenticado em um servidor de diretório (LDAP/Active Directory) - opcional.

3) O servidor de diretório fornece um usuário e uma identidade de grupo.

4) O Reflection Management Server envia uma sessão de emulação para o cliente autenticado.

5) O usuário autenticado se conecta ao host.

4

White paperComo o software Reflection facilita a conformidade com o PCI DSS

O caminho do Reflection para a conformidadeEsta seção explica como o Reflection pode ajudar você a atender aos requisitos do PCI DSS 1, 2, 4, 6, 7, 8 e 10.

Requisito 1: instalar e manter uma configuração de firewall para proteger dados de titulares de cartãoA Seção 1.1 da documentação do PCI DSS especifica que certos pro-tocolos, incluindo SSL (Secure Sockets Layer) e Secure Shell (SSH), poderão passar pelo firewall sem justificativa ou documentação espe-cíficas. Mas os protocolos como o FTP, que são considerados de risco, exigem justificativa e documentação para poderem passar pelo firewall.

A Seção 1.2 especifica que firewalls devem ser configurados para re-cusar todo o tráfego de redes não confiáveis, exceto para protocolos exigidos pelo ambiente de dados de titulares de cartões.

Veja aqui como os produtos Reflection facilitam a conformidade com o requisito 1:

REFLECTION FOR WINDOWSTodos os produtos Reflection for Windows oferecem suporte à cripto-grafia do terminal de fluxo de dados usando protocolos seguros acei-táveis, incluindo SSH e SSL/TLS.

REFLECTION SECURE FTPO utilitário Reflection Secure FTP suporta FTP padrão, SFTP e funcio-nalidade de cliente FTP/S em protocolos seguros aceitáveis, incluindo SSH e SSL/TLS.

REFLECTION FOR THE WEBO Reflection for the Web oferece suporte à criptografia do terminal de fluxo de dados usando protocolos seguros aceitáveis, incluindo SSH e SSL/TLS.

Além disso, o Reflection for the Web inclui o Reflection Security Proxy, que permite acesso ao host por dentro do firewall. Os hosts ficam es con didos atrás do firewall e o proxy e os vários hosts podem ser acessados por meio de uma única porta aberta no firewall.

REFLECTION FOR SECURE ITOs servidores SSH no Reflection for Secure IT fornecem um meca-nismo no servidor para o suporte à conectividade SSH com os clientes de emulação e transferência de arquivos de terminal Reflection.

Requisito 2: não usar padrões de fornecedores para senhas do sistema e outros parâmetros de segurançaA Seção 2.3 exige que todo o acesso administrativo aos sistemas prin-cipais não provenientes de console seja criptografado. O SSH e o SSL/TLS são listados como protocolos aceitáveis.

Veja aqui como os produtos Reflection facilitam a conformidade com o requisito 2:

REFLECTION FOR WINDOWSOs produtos Reflection for Windows podem ser usados para o acesso administrativo não proveniente de console aos sistemas de host. Toda a criptografia de suporte do terminal de fluxo de dados usa protocolos seguros aceitáveis, incluindo SSH e SSL/TLS.

REFLECTION FOR THE WEBO Reflection for the Web oferece suporte à criptografia do terminal de fluxo de dados usando protocolos seguros aceitáveis, incluindo SSH e SSL/TLS.

O Reflection Security Proxy também fornece conexões criptografadas para os sistemas de host, como Unisys, que não têm suporte para criptografia nativa.

REFLECTION FOR SECURE ITOs clientes Reflection for Secure IT Secure Shell oferecem utilitários para tarefas de administração interativas remotas e com scripts pelo protocolo SSH.

Os servidores SSH no Reflection for Secure IT fornecem um meca-nismo no servidor para o suporte à conectividade SSH com os clientes de emulação de terminal Reflection.

Requisito 3: proteger dados armazenados de titulares de cartãoA Seção 3.3 estipula que os números de conta principal (PANs) devem ser mascarados durante a exibição.

Veja aqui como o Reflection Desktop, um emulador de terminal para Windows, facilita a conformidade com o requisito 3:

REFLECTION DESKTOPO Reflection Desktop inclui um recurso de filtros de privacidade confi-guráveis que podem mascarar os PANs exibidos na janela de histórico, nos relatórios impressos e nas áreas de transferência.

5www.microfocus.com

Requisito 4: criptografar a transmissão de dados de titulares de cartão por redes públicas abertasO requisito 4 estipula que “as informações confidenciais devem ser criptografadas durante a transmissão por meio de redes que são fáceis e comuns para um hacker interceptar, modificar e desviar os dados durante o tráfego”. A Seção 4.1 prossegue para especificar que crip-tografia forte e protocolos de segurança sejam usados para proteger dados confidenciais de titulares de cartão durante o tráfego.

Veja aqui como os produtos Reflection facilitam a conformidade com o requisito 4: TODOS OS PRODUTOS REFLECTIONTodas as implementações dos protocolos SSH e SSL/TLS nos produtos Reflection usam criptografia forte, incluindo DES triplo e algoritmos AES para criptografar dados de titulares de cartões enviados pela rede. Na maioria dos casos, essas implementações de criptografia foram validadas para FIPS 140-2 por um terceiro credenciado.

Requisito 6: desenvolver e manter sistemas e aplicativos segurosA Seção 6.1 do PCI DSS requer a instalação dos patches de segurança mais recentes fornecidos pelo fabricante no prazo máximo de um mês após seu lançamento.

Para se manter atualizado no dinâmico cenário das ameaças de segu-rança, você precisa fazer uma parceria com um fornecedor que monitore os principais serviços de alerta de segurança e que informe as vulne-rabilidades de segurança relevantes.

Nossos especialistas em segurança mantêm uma série de notas técni-cas, disponíveis em nosso site de suporte, que descrevem as vulnera-bilidades de segurança publicadas. Os clientes de manutenção podem fazer download dos patches de segurança apropriados. Nossa equipe de suporte técnico também está disponível para ajudar você a lidar com os problemas de segurança que surgirem em nossos produtos.

Requisito 7: restringir o acesso aos dados de titulares de cartão às empresas que realmente necessitam delesEste requisito exige que apenas os usuários cujo trabalho dependa do acesso aos dados de titulares de cartão tenham acesso e que a configuração padrão para os usuários seja definida como “negar tudo”, a menos que o contrário seja permitido.

Veja aqui como o Reflection for the Web facilita a conformidade com o requisito 7:

REFLECTION FOR THE WEBTodos os sistemas de host oferecem algum nível de autorização e con-trole de acesso. Você poderá adicionar uma camada de segurança com o Reflection for the Web, que permite que você controle os utilitários que acessam os seus hosts, como emuladores de terminal e utilitários de transferência de arquivos.

Funciona assim: os usuários devem fazer login em um site que fornece links para a emulação de terminal e para as sessões de transferência de arquivos. A autenticação e as sessões do acesso podem ser geren-ciadas por meio do seu diretório de controle de acesso existente (p. ex., Active Directory). Você pode controlar o acesso no nível de usuário ou grupo. A configuração padrão do Reflection for the Web negará o acesso a usuários não autorizados.

Requisito 8: atribuir um ID exclusivo para cada pessoa com acesso aos computadoresEste objetivo se enquadra no quesito “implementar controle de acesso forte”, este requisito especifica que os usuários devem se identificar antes de receber acesso aos dados de titulares de cartão. Também especifica o suporte para uma variedade de metodologias de autenti-cação e o uso de autenticação de dois fatores para o acesso remoto.

Veja aqui como o Reflection for the Web facilita a conformidade com o requisito 8:

REFLECTION FOR THE WEBAo colocar uma camada de autenticação e autorização antes do acesso à emulação de terminal e aos utilitários de transferência de arquivos, o Reflection for the Web permite que IDs exclusivas designadas dentro um diretório de usuários existente sejam usadas para o controle de acesso.

Além de autenticação com senha, o Reflection for the Web também suporta certificados digitais e chaves públicas para autenticação.

Requisito 10: controlar e monitorar todo o acesso a recursos da rede e a dados de titulares de cartãoMecanismos de registro e a capacidade de rastrear as atividades dos usuários são elementares para a conformidade com o PCI DSS. O re-quisito 10 controla quais eventos são registrados para fins de auditoria e quais pontos de dados específicos são capturados no evento registrado.

6

White paperComo o software Reflection facilita a conformidade com o PCI DSS

Veja aqui como os produtos Reflection facilitam a conformidade com o requisito 10:

REFLECTION FOR SECURE ITComo fornecedor de serviços de servidor Secure Shell, o Reflection for Secure IT proporciona capacidades robustas de registro. Eventos prin-cipais na operação dos servidores do Reflection for Secure IT, incluindo conexões de cliente e autenticações recebidas, são registrados em uma variedade de sistemas configuráveis, incluindo registro de eventos do sistema operacional padrão.

REFLECTION FOR THE WEBDurante a emulação de terminal e as sessões de transferência de arqui-vos, o Reflection for the Web registra os eventos de acesso de entrada e os detalhes sobre os sistemas de host aos quais os usuários estão se conectando.

REFLECTION FOR SECURE ITOs clientes Reflection for Secure IT Secure Shell oferecem utilitários para tarefas de administração interativas remotas e com scripts pelo protocolo SSH.

Os servidores SSH no Reflection for Secure IT fornecem um meca-nismo no servidor para o suporte à conectividade SSH com os clientes de emulação de terminal Reflection.

Mais recursos, conformidade mais rápidaAtender uma ampla gama de requisitos do PCI DSS não é fácil. A implementação pode ultrapassar os limites dos departamentos, envol-ver várias equipes e afetar várias plataformas do sistema. O esforço envolvido pode ser caro e demorado.

Infelizmente, não existe uma única solução de segurança que possa atender a todas as suas necessidades de conformidade com o PCI. Mas os produtos Reflection, que oferecem mais recursos de confor-midade com o PCI do que qualquer outra solução de emulação de terminal, pode fornecer uma ampla base de suporte. Com ferramentas que residem tanto em servidores quanto em estações de trabalho dos usuários, os produtos Reflection são concebidos para reduzir o tempo para alcançar a conformidade e suportar o compartilhamento mais se-guro de informações.

E aqui estão mais boas notícias: quando atender os requisitos do PCI, sua organização estará no caminho certo para alcançar a conformidade com outras regulamentações mais recentes.

162-PB0005-002 | A | 09/16 | © 2016 Micro Focus. Todos os direitos reservados. Micro Focus, Reflection e o logotipo Micro Focus, entre outros, são marcas registradas ou marcas comerciais registradas da Micro Focus ou de suas subsidiárias ou afiliadas no Reino Unido, Estados Unidos e em outros países. Todas as outras marcas pertencem aos seus respectivos proprietários.

www.microfocus.com

Micro FocusArgentina+54 11 5258 8899

Brasil+55 11 3627 0900

Colombia+57 1 622 2766

México+52 55 5284 2700

Venezuela+58 212 267 6568

Micro FocusSede da empresaReino Unido+44 (0) 1635 565200

www.microfocus.com