entendendo o pci-dss

PCI-DSS - Uma visão geral sobre o padrão

1

Friday, July 4, 2014

Sobre o PCI

O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles de segurança nas transações realizadas com este tipo de sistema. Hoje existem três documentos que concentram estes controles para diferentes audiências:

PCI Data Security Standard: Define os controles para todas as empresas que aceitam pagamentos através de cartões com a distribuição de uma série de medidas em 12 requerimentos complementares

Payment Application Data Security Standard: Estabelece os controles para as empresas que desenvolvem softwares utilizados no suporte para as transações realizadas com cartões

PIN Transaction Security: Estabelece os controles para as empresas que desenvolvem o hardware utilizado no suporte para as transações realizadas com cartões

2


Os Motivadores

Recorde: Em julho de 2011 o site DatalossDB bateu o recorde de incidentes com vazamento de dados, 90 incidentes foram registrados

Cresce o número de incidentes: Dos 10 maiores incidentes envolvendo vazamento de cartões de créditos, apenas uma aconteceu antes de 2005

“Ativismo Hacker”: Uma onda de ataques a integridade e disponibilidade dos dados atualmente está em curso supostamente por reinvidicações e motivações políticas

3


Os Motivadores

SONY PSN: Dados de 77 milhões de usuários foram comprometidos e prejuízos estimados em US$ 1.5 Bilhão

Diginotar: Comprometimento de seus certificados o que levou a falência da empresa

Dezenas de empresas brasileiras: Todos os dias empresas nacionais são comprometidas e não reportam aos seus clientes ou divulgam notas sobre os incidentes

4


Por que minha organização deve se preocupar?

As bandeiras de cartões, comprometem-se a fornecer incentivos financeiros para quem estiver em conformidade e aplicar penalidades para os não-conformes

Estar em conformidade pode ajudar a reduzir a responsabilidade em caso de perda de dados

Uma análise adequada e um projeto apropriado de seus sistemas pode ajudá-lo a controlar melhor os dados de seus clientes e, conseqüentemente, ajudá-lo a melhorar o seu serviço de atendimento e satisfação ao cliente

5


Quando eu preciso contratar uma empresa certificada pelo PCI Council?

‣ A organização irá buscar suporte com as bandeiras e empresas especializadas nos controles para fazer avaliações anteriores ao processo de auditoria. Após a adequação de controles será necessário passar por uma auditoria com empresas certificadas pelo PCI Council

‣ Obs.: Não é necessário empresas certificadas para adequar controles, opte por empresas especializadas em cada controle e garanta a segregação entre quem implementa e a empresa auditora

6


Os Controles

7

Controles Requisitos

Construir e manter uma rede segura

1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão

2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

Proteger os dados do portador de cartão

3. Proteger os dados armazenados do portador do cartão4. Criptografar a transmissão dos dados do titular do cartão

em redes abertas e públicas

Manter um programa de gerenciamento de vulnerabilidades

5. Usar e atualizar regularmente o software ou programas antivírus

6. Desenvolver e manter sistemas e aplicativos seguros


Os Controles

8

Controles Requisitos

Implementar medidas de controle de acessos rigorosas

7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o

negócio8. Atribuir uma identidade exclusiva para cada pessoa que

tenha acesso ao computador9. Restringir o acesso físico aos dados do titular do cartão

Monitorar e testar as redes regularmente

10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão

11. Testar regularmente os sistemas e processos de segurança

Manter uma política de segurança de informações

12. Manter uma política que aborde a segurança das informações para todas as equipes


Os Dados do Titular do Cartão

Estes são os dados que devem ser protegidos para atendimento ao padrão:

9

‣ O número da conta principal (PAN)

‣ O nome do titular do cartão

‣ Data de Vencimento

‣ Código de serviço

‣ Dados em tarja magnética ou equivalente em chip

‣ CAV2/CVC2/CVV2/CID

‣ PINs/Bloqueios de PIN


Porque e o que Armazenar

A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A melhor opção é não armazenar.

O que pode ser armazenado (sobre rígido controle)

O número da conta principal (PAN)

O nome do titular do cartão

Código de serviço

Data de vencimento

O que não pode ser armazenado

Dados completos da tarja magnética

CAV2/CVC2/CVV2/CID

PIN/Bloqueio de PIN

10


Sobre a Adoção de Controles

A adoção de controle segue os conceitos de tratamento de riscos, não exigindo que todos os controles sejam implementados

O planejamento adequado evita o gasto com controles desnecessários evitando riscos ou adotando controles compensatórios

Soluções prontas de hardware ou software sozinhas não atendem as necessidades de controles, é necessário processos claros e entendimento dos riscos

11


Maiores Dificuldades

Ausência de uma visão de gestão de riscos clara dificultando o desenho adequado dos controles

Mudanças culturais relacionadas ao desenho e implementação de novos processos

Conscientização e capacitação dos envolvidos no tratamento e custódia dos dados do titular do cartão

12


Recursos no site do PCI Council

Glossário

Planilha para auto-avaliação

Navegando pelo PCI-DSS: Entendendo o porque dos controles

https://pt.pcisecuritystandards.org/security_standards/documents.php?category=supporting&document=pci_ssc_quick_guide#pci_ssc_quick_guide

13


https://pt.pcisecuritystandards.org/security_standards/documents.php?category=supporting&document=pci_ssc_quick_guide#






A nossa especialidade

A Conviso é especializada e possui cases de sucesso nos seguintes controles:

Requisito 6: Desenvolver e manter sistemas e aplicativos seguros

Requisito 11: Testar regularmente os sistemas e processos de segurança

14


Sobre a Conviso Application Security

Mais de 350 testes realizados por ano em empresas dos mais diversos segmentos

Investimentos contínuos em pesquisas e participações em projetos Open Source como OWASP (Open Web Application Security Project) e nas principais conferências técnicas como YSTS; H2HC; OWASP AppSec entre outros

Equipe técnica experiente e altamente especializada em desenvolvimento de software e segurança de ambientes que o suportam

15


Atuação: Requisito 6

Capacitação: Capacitação em segurança de aplicações atendendo desde planejamento a práticas de codificação segura

Implementação de processos: Desenho e implementação de processos de segurança em desenvolvimento

Revisão de Código: Análise de código fonte nas principais linguagens de programação em soluções de Internet Banking; E-commerce; Workflow; Conteúdo e outros

16



Web Security Assessment: Análises detalhadas e sobre medida em aplicações web no modelo black-box e white-box

Scan automatizado de aplicações: Adotando uma análise hibrida, onde o scanner é adequadamente configurado e as análises validadas por equipe especializada

Firewall de Aplicação (WAF): Implementação, suporte e mão de obra especializada na customização e monitoramento de soluções de firewall de aplicação

Hardening: Configuração de segurança em ambientes que suportam as aplicações

17



Penetration Test: Testes de invasão buscando a validação de controle de perímetros, infraestrutura interna e conscientização de usuários

Scan automatizado de infraestrutura: Adotando uma análise hibrida, onde o scanner é adequadamente configurado e as análises validadas por equipe especializada

18


Conclusões

A adoção de controles a operação da organização permite uma gestão de riscos adequada e benefícios diretos

Passos para se adequar

Conheça o padrão

Busque auxílio com as bandeiras

Adote controles efetivos e não busque apenas a conformidade

Na dúvida consulte diretamente o PCI Council

19


20

Curitiba | Miami | São Paulo

Escritório CentralRua Marechal Hermes 678 CJ 32CEP 80530-230, Curitiba, PRT (41) 3095-3986

Escritório Estados Unidos8671 NW 56th Street, Suite B65Doral, FL 33166T (786) 382-0167

www.conviso.com.br


http://www.conviso.com.br

http://www.conviso.com.br