[1] O documento discute os requisitos do PCI-DSS e como a Symantec pode ajudar clientes a atingirem a conformidade com esses requisitos. [2] Apresenta uma abordagem priorizada para a conformidade com o PCI-DSS, começando pela proteção de dados sensíveis e terminando com a garantia de que todos os controles estejam ativos. [3] Explica como produtos da Symantec como Symantec Data Center Security, Symantec Advanced Threat Protection e Symantec Messaging Gateway ajudam a atender vários requisitos do
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme
1. Se sua conformidade é temporária, então você não está
conforme
Marcus Vinícius Cândido
Sr. Solutions Specialist
André Carraretto, PCIP, CISSP
Security Strategist
Daniel Niero
Systems Engineer
7. Abordagem Priorizada – PCI-DSS
• Baseado na experiência da indústria
• Abordagem lógica e progressiva
• Todos os itens devem ser alcançados
• Tecnologias e Serviços Symantec em todos os itens
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o Acesso
aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles estejam
Ativos6
8. Abordagem Priorizada – PCI-DSS
• Encontrar e remover dados sensíveis de Endpoints e amazená-los na
rede ( e fora dela)
• Definir e impor políticas de retenção e remoção de dados
• Identificar riscos relacionados aos dados armazenados
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o
Acesso aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles
estejam Ativos6
9. Abordagem Priorizada – PCI-DSS
• Proteger redes contra ameaças avançadas
• Prover acesso de acordo com as políticas de segurança
• Previnir transmissão de dados não criptografados via e-mail e
mensagens instantâneas
• Assegurar que endpoints, bancos de dados, aplicações e servidores
estejam em conformidade com as políticas de segurança
• Scans de vulnerabilidades externas trimestrais
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o
Acesso aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles
estejam Ativos6
10. Abordagem Priorizada – PCI-DSS
• Assegurar que endpoints, bancos de dados, aplicações e servidores
estejam em conformidade com as políticas de segurança
• Realizar testes de vulnerabilidades em aplicações em com acesso
público
• Revisar códigos customizados antes da liberação
• Assegurar que aplicações web sejam desenvolvidas de forma segura
• Impedir uso de configurações padrão em equipamentos e softwares
(senhas, acessos, etc.)
• Manter-se atualizado com as vulnerabilidades de segurança
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o
Acesso aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles
estejam Ativos6
11. Abordagem Priorizada – PCI-DSS
• Coletar, armazenar e analisar logs de segurança e dados de incidentes
• Assegurar que endpoints, bancos de dados, aplicações e servidores
estejam em conformidade com as políticas de segurança
• Gravar logs de todas as mensagens que passarem pelos gateways de
e-mail
• Monitorar, revisae e impor conformidade com políticas de controle
de acesso
• Controlar Cadeia de Custódia para ativos críticos
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o
Acesso aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles
estejam Ativos6
12. Abordagem Priorizada – PCI-DSS
• Avaliar controles físicos e não-técnicos
• Proteger contra vazamento e roubo de informações
• Isolar e remediar endpoints não conformes
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o
Acesso aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles
estejam Ativos6
13. Abordagem Priorizada – PCI-DSS
• Pentests em redes e aplicações
• Testes para confirmar existência de pontos de acesso wireless
• Acompanhar contas de e-mail em risco e “logar”atividades que não
estiverem em conformidade com as políticas de segurança
• Monitorar e impor conformidade de ativos e processos
• Restringir acesso a logs e registros de auditoria
• Avaliar e modificar controles técnicos e processuais
• Consolidar dados para revisão e auditoria
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o
Acesso aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles
estejam Ativos6
14. Requerimentos do PCI-DSS x Abordagem Priorizada
14
Controlar Dados Sensíveis
Proteger Sistemas e Redes
1
2
• (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão
• (Req. 3) Proteger os dados do titular do cartão
• (Req. 9) Restringir acesso físico aos dados do titular do cartão
• (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
• (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão
• (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e
softwares
• (Req. 4) Criptografar a transmissão dos dados do titular do cartão através de redes
abertas e públicas
• (Req. 5) Utilizar solução de anti-virus e mantê-la atualizada
• (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a
computadores
• (Req. 9) Restringir acesso físico aos dados do titular do cartão
• (Req.11) Testar regularmente os sistemas e processos
• (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
15. 15
Requerimentos do PCI-DSS x Abordagem Priorizada
Monitorar e Controlar o Acesso
aos Sistemas
Proteger Dados Armazenados
4
5
Assegurar que Controles estejam
Ativos6
• (Req. 7) Restringir acesso aos dados do titular do cartão a somente quem ou o que
necessita do acesso
• (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a
computadores
• (Req.10) Controlar e monitorar todos acessos a rede e aos dados do titular do cartão
• (Req.11) Testar regularmente os sistemas e processos
• (Req. 3) Proteger os dados do titular do cartão
• (Req. 9) Restringir acesso físico aos dados do titular do cartão
• (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão
• (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura
• (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
Proteger Aplicações Críticas3
• (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e
softwares
• (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura
• (Req.A.1) Provedores de hospedagem compartilhada devem proteger o ambiente de
dados do titular do cartão
16. 16
Requerimentos do PCI-DSS
Objetivos da
Abordagem Priorizada
1 2 3 4 5 6
01 Manter configurações de firewall que protejam os dados do titular do cartão ✔ ✔ ✔
02 Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares ✔ ✔
03 Proteger os dados do titular do cartão ✔ ✔
04 Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas ✔
05 Utilizar solução de anti-virus e mantê-la atualizada ✔
06 Desenvolver e manter sistemas e aplicações de forma segura ✔ ✔
07 Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso ✔
08 Atribuir uma única identificação para cada pessoa que tem acesso a computadores ✔ ✔
09 Restringir acesso físico aos dados do titular do cartão ✔ ✔ ✔
10 Controlar e monitorar todos acessos a rede e aos dados do titular do cartão ✔
11 Testar regularmente os sistemas e processos ✔ ✔
12 Manter políticas que aborde segurança da informação para todas as equipes ✔ ✔ ✔
A1 Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão ✔
30. 30
PORTFOLIO SYMANTEC
PCI-DSS X Soluções Symantec
ControlComplianceSuite
DataLossPrevention
DataCenterSecurity
EndpointEncryption
AdvancedThreatProtection
ManagedSecurityServices
EndpointProtection
ValidationandIDProtection
Service
MessagingGateway
ITMS
MPKI/SSLCertificate
Deep-sight
1. Manter configurações de firewall que protejam os dados do titular do cartão o • • •
2. Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • •
3. Proteger os dados do titular do cartão o • • • •
4. Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas o • •
5. Utilizar solução de anti-virus e mantê-la atualizada o • • • • •
6. Desenvolver e manter sistemas e aplicações de forma segura • • o • • • •
7. estringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • •
8. Atribuir uma única identificação para cada pessoa que tem acesso a computadores • •
9. Restringir acesso físico aos dados do titular do cartão • o
10. Controlar e monitorar todos acessos a rede e aos dados do titular do cartão o • • •
11. Testar regularmente os sistemas e processos. o • • •
12. Manter políticas que aborde segurança da informação para todas as equipes •