pci and pci dss overview

PCI - Ulisses Castro, Gerente de Pesquisa e Desenvolvimento

1

Tuesday, September 27, 2011

Sobre o PCI

O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles de segurança nas transações realizadas com este tipo de sistema. Hoje existem três documentos que concentram estes controles para diferentes audiências:

PCI Data Security Standard: Define os controles para todas as empresas que aceitam pagamentos através de cartões com a distribuição de uma série de medidas em 12 requerimentos complementares

Payment Application Data Security Standard: Estabelece os controles para as empresas que desenvolvem softwares utilizados no suporte para as transações realizadas com cartões

PIN Transaction Security: Estabelece os controles para as empresas que desenvolvem o hardware utilizado no suporte para as transações realizadas com cartões

2


Os Motivadores

Recorde: Em julho de 2011 o site DatalossDB bateu o recorde de incidentes com vazamento de dados, 90 incidentes foram registrados

Cresce o número de incidentes: Dos 10 maiores incidentes envolvendo vazamento de cartões de créditos, apenas uma aconteceu antes de 2005

“Ativismo Hacker”: Uma onda de ataques a integridade e disponibilidade dos dados atualmente está em curso supostamente por reinvidicações e motivações políticas

3


Os Motivadores

SONY PSN: Dados de 77 milhões de usuários foram comprometidos e prejuízos estimados em US$ 1.5 Bilhão

Diginotar: Comprometimento de seus certificados o que levou a falência da empresa

Dezenas de empresas brasileiros: Todos os dias empresas nacionais são comprometidas e não reportam aos seus clientes ou divulgam notas sobre os incidentes

4


Por que minha organização deve se preocupar?

As bandeiras de cartões, comprometem-se a fornecer incentivos financeiros para quem estiver em conformidade e aplicar penalidades para os não-conformes

Estar em conformidade pode ajudar a reduzir a responsabilidade em caso de perda de dados

Uma análise adequada e um projeto apropriado de seus sistemas pode ajudá-lo a controlar melhor os dados de seus clientes e, conseqüentemente, ajudá-lo a melhorar o seu serviço de atendimento e satisfação ao cliente

5


Quando eu preciso contratar uma empresa certificada pelo PCI Council?

‣ A organização irá buscar suporte com as bandeiras e empresas especializadas nos controles para fazer avaliações anteriores ao processo de auditoria. Após a adequação de controles será necessário passar por uma auditoria com empresas certificadas pelo PCI Council

‣ Obs.: Não é necessário empresas certificadas para adequar controles, opte por empresas especializadas em cada controle e garanta a segregação entre quem implementa e a empresa auditora

6


Os Controles

7

Controles Requisitos

Construir e manter uma rede segura

1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão

2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

Proteger os dados do portador de cartão

3. Proteger os dados armazenados do portador do cartão4. Criptografar a transmissão dos dados do titular do cartão

em redes abertas e públicas

Manter um programa de gerenciamento de vulnerabilidades

5. Usar e atualizar regularmente o software ou programas antivírus

6. Desenvolver e manter sistemas e aplicativos seguros


Os Controles

8

Controles Requisitos

Implementar medidas de controle de acessos rigorosas

7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o

negócio8. Atribuir uma identidade exclusiva para cada pessoa que

tenha acesso ao computador9. Restringir o acesso físico aos dados do titular do cartão

Monitorar e testar as redes regularmente

10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão

11. Testar regularmente os sistemas e processos de segurança

Manter uma política de segurança de informações

12. Manter uma política que aborde a segurança das informações para todas as equipes


Os Dados do Titular do Cartão

Estes são os dados que devem ser protegidos para atendimento ao padrão:

9

‣ O número da conta principal (PAN)

‣ O nome do titular do cartão

‣ Data de Vencimento

‣ Código de serviço

‣ Dados em tarja magnética ou equivalente em chip

‣ CAV2/CVC2/CVV2/CID

‣ PINs/Bloqueios de PIN


Porque e o que armazenar

A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A melhor opção é não armazenar.

O que pode ser armazenado (sobre rígido controle)

O número da conta principal (PAN)

O nome do titular do cartão

Código de serviço

Data de vencimento

O que não pode ser armazenado

Dados completos da tarja magnética

CAV2/CVC2/CVV2/CID

PIN/Bloqueio de PIN

10


Sobre a adoção de controles

A adoção de controle segue os conceitos de tratamento de riscos, não exigindo que todos os controles sejam implementados

O planejamento adequado evita o gasto com controles desnecessários evitando riscos ou adotando controles compensatórios

Soluções prontas de hardware ou software sozinhas não atendem as necessidades de controles, é necessário processos claros e entendimento dos riscos

11


Maiores dificuldades

Ausência de uma visão de gestão de riscos clara dificultando o desenho adequado dos controles

Mudanças culturais relacionadas ao desenho e implementação de novos processos

Conscientização e capacitação dos envolvidos no tratamento e custódia dos dados do titular do cartão

12


Recursos no site do PCI Council

Glossário

Planilha para auto-avaliação

Navegando pelo PCI-DSS: Entendendo o porque dos controles

https://pt.pcisecuritystandards.org/security_standards/documents.php?category=supporting&document=pci_ssc_quick_guide#pci_ssc_quick_guide

13


https://pt.pcisecuritystandards.org/security_standards/documents.php?category=supporting&document=pci_ssc_quick_guide#






A nossa especialidade

Aqui eu vou inserir dados sobre os nossos serviços. J;a lhe mando na sequência

14


Conclusões

A adoção de controles a operação da organização permite uma gestão de riscos adequada e benefícios diretos

Passos para se adequar

Conheça o padrão

Busque auxílio com as bandeiras

Adote controles efetivos e não busque apenas a conformidade

Na dúvida consulte diretamente o PCI Council

15


16

Curitiba | Miami | São Paulo

Escritório CentralRua Marechal Hermes 678 CJ 32CEP 80530-230, Curitiba, PRT (41) 3095-3986

Escritório Estados Unidos8671 NW 56th Street, Suite B65Doral, FL 33166T (786) 382-0167

www.conviso.com.br


http://www.conviso.com.br

http://www.conviso.com.br

pci and pci dss overview

Technology