Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Se sua conformidade é temporária, então você não está
conforme
Marcus Vinícius Cândido
Sr. Solutions Specialist
André Carraretto, PCIP, CISSP
Security Strategist
Daniel Niero
Systems Engineer

Participantes
Copyright © 2015 Symantec Corporation
Daniel Niero
Systems Engineer
daniel_niero@symantec.com
• 12 anos de experiência em SI, Riscos
e Compliance
• 7 meses na Symantec
• Engenheiro responsável pelo
atendimento a toda a regional Sul
do Brasil.
Marcus Candido
Sr Solutions Specialist
marcus_candido@symantec.com
• 15 anos de experiência em TI
• 3 anos na Symantec
Especialista em Soluções de
Segurança
• Integrante do Time de Consultoria:
• Atualmente Consultor Residente de
DLP nos Ministérios da Educação e
da Cultura em Brasília
André Carraretto
Security Strategist
Andre_carraretto@symantec.com
Participantes
• 18 anos de experiência em SI
• 11 anos na Symantec
• Porta voz oficial
• Estrategista responsável pelo
atendimento dos principais clientes
na América Latina

Agenda
1 Introdução ao PCI-DSS v3.1
2 Abordagem Priorizada
3 Matriz de Aderência do Portfolio Symantec
4 Q&A
3

Payment Card Industry Data Security Standard
4
• Manage endpoints
– Discover, deploy, fix,
recover
– Secure devices
• Secure data
– Email, IM, structured,
unstructured
•Global & imposto pela indústria
•Visa, MasterCard, AMEX,
Discover, JCB
•Proteger informações do titular do cartão
(CHD) onde quer que sejam coletadas,
armazenadas, processadas ou transmitidas
•Crédito, débito & pré-pago
•Eletrônico & físico
•Internet, telefone, em lojas
•12 requisitos, +200 controles
técnicos
•Requisitos de validação variam de
acordo com o nível do
comerciante
•Assessment on-site assessment
•Questinário de self-assessment
•Conformidade imposta pelas
marcas de cartões de pagamento
•Multas e penalidades
•Custo de reemissão de
cartões
•Redução de vendas
•Perda de confiança de
clientes e parceiros
•Perdas com fraudes
Payment Card Industry Data Security Standard (PCI DSS)
Quem Guidance & Assessment Responsabilidades Potenciais
Sumário de Requisitos
•Todos que lidam com dados de cartões
de pagamento
•Todos os tamanhos de empresa: de 1 a
+1Mi de transações
•Varejo, bancos, telecomunicações,
distribution, software & services rank
top
•Organizações Públicas e Privadas
Para maiores detalhes, visite: https://www.pcisecuritystandards.org/

Que dados precisamos proteger?
5
Fonte: PCI Council

Outros padrões associados ao PCI DSS
6

Abordagem Priorizada – PCI-DSS
• Baseado na experiência da indústria
• Abordagem lógica e progressiva
• Todos os itens devem ser alcançados
• Tecnologias e Serviços Symantec em todos os itens
Controlar Dados Sensíveis
Proteger Sistemas e Redes
Proteger Aplicações Críticas
Monitorar e Controlar o Acesso
aos Sistemas
Proteger Dados Armazenados
1
2
3
4
5
Assegurar que Controles estejam
Ativos6

• Encontrar e remover dados sensíveis de Endpoints e amazená-los na
rede ( e fora dela)
• Definir e impor políticas de retenção e remoção de dados
• Identificar riscos relacionados aos dados armazenados
Monitorar e Controlar o
Acesso aos Sistemas
1
2
3
4
5
Assegurar que Controles
estejam Ativos6

• Proteger redes contra ameaças avançadas
• Prover acesso de acordo com as políticas de segurança
• Previnir transmissão de dados não criptografados via e-mail e
mensagens instantâneas
• Assegurar que endpoints, bancos de dados, aplicações e servidores
estejam em conformidade com as políticas de segurança
• Scans de vulnerabilidades externas trimestrais
Acesso aos Sistemas
1
2
3
4
5
estejam Ativos6

• Realizar testes de vulnerabilidades em aplicações em com acesso
público
• Revisar códigos customizados antes da liberação
• Assegurar que aplicações web sejam desenvolvidas de forma segura
• Impedir uso de configurações padrão em equipamentos e softwares
(senhas, acessos, etc.)
• Manter-se atualizado com as vulnerabilidades de segurança
Acesso aos Sistemas
1
2
3
4
5
estejam Ativos6

• Coletar, armazenar e analisar logs de segurança e dados de incidentes
• Gravar logs de todas as mensagens que passarem pelos gateways de
e-mail
• Monitorar, revisae e impor conformidade com políticas de controle
de acesso
• Controlar Cadeia de Custódia para ativos críticos
Acesso aos Sistemas
1
2
3
4
5
estejam Ativos6

• Avaliar controles físicos e não-técnicos
• Proteger contra vazamento e roubo de informações
• Isolar e remediar endpoints não conformes
Acesso aos Sistemas
1
2
3
4
5
estejam Ativos6

• Pentests em redes e aplicações
• Testes para confirmar existência de pontos de acesso wireless
• Acompanhar contas de e-mail em risco e “logar”atividades que não
estiverem em conformidade com as políticas de segurança
• Monitorar e impor conformidade de ativos e processos
• Restringir acesso a logs e registros de auditoria
• Avaliar e modificar controles técnicos e processuais
• Consolidar dados para revisão e auditoria
Acesso aos Sistemas
1
2
3
4
5
estejam Ativos6

Requerimentos do PCI-DSS x Abordagem Priorizada
14
1
2
• (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão
• (Req. 3) Proteger os dados do titular do cartão
• (Req. 9) Restringir acesso físico aos dados do titular do cartão
• (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
• (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e
softwares
• (Req. 4) Criptografar a transmissão dos dados do titular do cartão através de redes
abertas e públicas
• (Req. 5) Utilizar solução de anti-virus e mantê-la atualizada
• (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a
computadores
• (Req.11) Testar regularmente os sistemas e processos

15
Requerimentos do PCI-DSS x Abordagem Priorizada
Monitorar e Controlar o Acesso
aos Sistemas
4
5
Assegurar que Controles estejam
Ativos6
• (Req. 7) Restringir acesso aos dados do titular do cartão a somente quem ou o que
necessita do acesso
• (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a
computadores
• (Req.10) Controlar e monitorar todos acessos a rede e aos dados do titular do cartão
• (Req.11) Testar regularmente os sistemas e processos
• (Req. 3) Proteger os dados do titular do cartão
• (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura
Proteger Aplicações Críticas3
• (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e
softwares
• (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura
• (Req.A.1) Provedores de hospedagem compartilhada devem proteger o ambiente de
dados do titular do cartão

16
Requerimentos do PCI-DSS
Objetivos da
Abordagem Priorizada
1 2 3 4 5 6
01 Manter configurações de firewall que protejam os dados do titular do cartão ✔ ✔ ✔
02 Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares ✔ ✔
03 Proteger os dados do titular do cartão ✔ ✔
04 Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas ✔
05 Utilizar solução de anti-virus e mantê-la atualizada ✔
06 Desenvolver e manter sistemas e aplicações de forma segura ✔ ✔
07 Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso ✔
08 Atribuir uma única identificação para cada pessoa que tem acesso a computadores ✔ ✔
09 Restringir acesso físico aos dados do titular do cartão ✔ ✔ ✔
10 Controlar e monitorar todos acessos a rede e aos dados do titular do cartão ✔
11 Testar regularmente os sistemas e processos ✔ ✔
12 Manter políticas que aborde segurança da informação para todas as equipes ✔ ✔ ✔
A1 Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão ✔

Copyright © 2014 Symantec Corporation 17
Symantec: How to PCI!
Produtos vs Requisitos

Symantec Data Center Security: Server Advanced
Principais recursos
• Detecção e proteção de ameaças com base na rede e sem
agente (IPS de rede).
• O Operations Director oferece informações de segurança
prontas para uso e automatiza a organização da segurança
baseada em políticas na família de produtos Symantec Data
Center Security, habilita serviços de segurança centrados no
aplicativo e integra-se perfeitamente ao VMware para estender
a administração de políticas de segurança e incluir ferramentas
de segurança de terceiros.
• O Unified Management Console (UMC) permite um
gerenciamento consistente em todos os produtos Data Center
Security.
18
REQUISITOS PCI ADERENTES
REQ1: Install and maintain a firewall configuration
to protect cardholder data.
REQ2: Do not use vendor-supplied defaults for
system passwords and other security parameters
REQ3: Protect stored cardholder data
REQ6: Develop and maintain secure systems and
applications.
REQ10: Track and monitor all access to network
resources and cardholder data
REQ11: Regularly test security systems and
processes
ABORDAGEM PRIORIZADA
1. Remove sensitive authentication data and limit
data retention.
2. Protect systems and networks, and be
prepared to respond to a system breach.
3. Secure payment card applications.
4. Monitor and control access to your systems
6. Finalize remaining compliance efforts, and
ensure all controls are in place.

Symantec Advanced Threat Protection (SATP)
• Symantec™ Advanced Threat Protection é uma solução unificada que descobre,
prioriza e repara ataques avançados, potencializando os investimentos existentes
de uma organização no Symantec™ Endpoint Protection e Symantec™ Email
Security.cloud.
• Integração completa entre Endpoint, Email e Network em uma plataforma única
que pode cobrir todo o escopo do PCI, cruzando informações para identificar
Indicadores de Comprometimento em tempo real dentro todos os ativos
envolvidos no processo e gerando dados.
19
REQ1: Install and maintain a firewall
configuration to protect cardholder data.
REQ5: Use and regularly update anti-virus
software or programs
1. Remove sensitive authentication data and
limit data retention.
ensure all controls are in place.ENDPOINT + EMAIL + NETWORK

Symantec Messaging Gateway (SMG)
Gateway Antispam e antimalware de tempo real, proteção contra
ataques direcionados, filtragem de conteúdo avançada, prevenção
contra a perda de dados e criptografia de e-mail.
Principais recursos
• O gateway antispam bloqueia mais de 99% de spams, com menos de 1 em 1 milhão de
falsos positivos e atualizações automáticas em tempo real.
• Mecanismo de filtragem antispam que identificam ameaças provenientes de e-mails, com
base na reputação global e local.
• Recursos de prevenção contra perda de dados garantem a conformidade regulamentar.
• Regras especificadas pelo cliente permitem a criação fácil de regras pelos clientes com
base nos e-mails que eles consideram spam ou em ataques potencialmente direcionados.
• Integração de criptografia opcional com o Symantec Content Encryption ou o Symantec
Gateway Email Encryption
20
REQ5: Use and regularly update anti-virus
software or programs

Symantec Control Compliance Suite (CSS)
Control Compliance Suite (CCS) é uma solução modular, escalonável para a
automação de avaliações de segurança e conformidade em datacenters
físicos, virtuais e também em nuvens públicas.
Principais recursos
• Automatiza a avaliação de controles de segurança.
• Disponível em 7 modulos independentes: Policy, Risk, Standards,
Vulnerability, Security, Assessment e Vendor Risk Manager
• Relatórios e painéis na Web personalizáveis e baseados em funções
permitem que a empresa avalie os riscos e acompanhe o desempenho
dos programas de segurança e conformidade.
• Suporte a SCAP, OVAL, ISO27001, NIST CyberSecurity, PCI-DSS, etc.
21
TODOS OS ITENS
TODOS OS ITENS

Symantec IT Management Suite (ITSM)
O Symantec™ IT Management Suite 7.6 com a tecnologia Altiris™
proporciona flexibilidade para a TI e liberdade para o usuário. A TI
agora pode gerenciar usuários remotos de forma segura,
implementar rapidamente novos dispositivos, plataformas e
aplicativos.
Permite controle e flexibilidade gerenciamento de ativos de TI com
suporte a várias plataformas, gerenciamento remoto de usuários,
gerenciamento de software, licenças, inventário, contratos,
automatização de processos, gestão de tickets e muitos outros
recursos.
22
REQ6: Develop and maintain secure systems
and applications

Symantec Managed Security Services (MSS)
Fornecimento de serviços de monitoramento e gerenciamento de
segurança 24x7. MSS correlaciona automaticamente a detecção de
ameaças na rede e a proteção avançada da segurança de endpoints com
informações sobre ameaças externas para ajudar a identificar ameaças
críticas, aumentar a eficácia das investigações de ameaças e simplificar o
trabalho de correção.
• Monitoramento de desktops, servidores, switches, firewalls, ATP,
sistemas operacionais, etc.
• Log retention + monitoramento.
• Time dedicado com alta experiência.
• Sistemas que analisam mais de 275 bilhões de entradas de log
• Identificam mais de 40.000 tipos de eventos de segurança.
• Toma providências em relação a mais de 4.000 eventos graves já
conhecidos.
23
REQ1: Install and maintain a firewall configuration
to protect cardholder data.
REQ5: Use and regularly update anti-virus software
or programs.
applications
resources and cardholder data.
REQ11: Requirement 11: Regularly test security
systems and processes
1. Remove sensitive authentication data and limit
data retention.
2. Protect systems and networks, and be prepared
to respond to a system breach.
4. Monitor and control access to your systems

Symantec DeepSight™ Intelligence
O DeepSight Intelligence coleta, analisa e fornece informações sobre
ameaças cibernéticas através de um portal personalizável e datafeeds,
promovendo medidas de defesa proativas e melhor resposta a incidentes.
Entregue através de:
Portal do DeepSight Intelligence – Portal Web intuitivo
Datafeeds do DeepSight Intelligence – para automatizar o fornecimento
de dados sobre ameaças à infraestrutura de segurança.
24
REQ5: Protect all systems against malware
and regularly update anti-virus software or
programs.
REQ6: Develop and maintain secure
systems and applications.
6. Finalize remaining compliance efforts,
and ensure all controls are in place.

Symantec Managed PKI (Cloud) / Certificados SSL
Plataforma cloud para emissão, renovação, revogação e gestão
ativa de Certificados Digitais privados.
Principais recursos:
• Sem necessidade de investimento em infraestrutura e pessoas.
• Controle de autenticação de usuários e aplicações
• Suporte a BYOD (Distribuição de certificados para mobile IOS e
Android)
• Assinatura de Conteúdos, documentos e aplicações
• Gestão completa do Ciclo de Vida dos certificados.
25
REQ4: Encrypt transmission of cardholder data
across open, public networks

Symantec Endpoint Protection (SEP) / ATP:Endpoint
Principais benefícios
• Proteção em camadas para manter os endpoints protegidos contra
malware em massa, ataques direcionados e ataques persistentes
avançados
• Proteção superior contra ameaças com o suporte da maior rede de
informações civis sobre ameaças do mundo
• Desempenho tão rápido que não afeta a produtividade do usuário
• Fácil de usar com um único cliente e console de gerenciamento em
plataformas físicas e virtuais
• Flexibilidade para ajustar políticas com base nos usuários e no local
26
REQ1: Install and maintain a firewall configuration to
protect cardholder data.
REQ5: Use and regularly update anti-virus software or
programs
applications.
resources and cardholder data.
REQ11: Regularly test security systems and processes
1. Remove sensitive authentication data and limit data
retention.
2. Protect systems and networks, and be prepared to
respond to a system breach.
6. Finalize remaining compliance efforts, and ensure all
controls are in place.

Symantec Endpoint Encryption (Powered by PGP™)
Combina a forte criptografia completa de discos ou mídias
removíveis com uma plataforma de gerenciamento central, que
visa proteger dados confidenciais contra perda ou roubo e ajuda
os administradores a confirmar se um dispositivo foi
criptografado, caso ele seja perdido ou roubado.
• Automação no gerenciamento de chaves
• Integração com Active Directory
• Integração com o Data Loss Prevention
• Relatórios customizados de conformidade.
• Várias opções de recuperação (Local Self-Recovery e Tokens
descartáveis)
27
REQ3: Protect stored cardholder
data
5. Protect stored cardholder data.

Symantec Validation and ID Protection Service (VIP)
O VIP é um serviço de autenticação baseado na nuvem
e líder de mercado que permite implementar com
facilidade controles para proteger o acesso a redes e
aplicativos contra acessos não autorizados.
Principais recursos:
• Autenticação multi-fator baseada em risco
• Baseado em padrões abertos, SAML, OAth
• Mobile Push
• Recursos de biometria para substituição de
senhas
• Integração direta com o Symantec Identity
Access Manager (SAM) para proteção de
aplicativos baseados em nuvem.
28
REQUISITOS PCI ATENDIDOS
REQ8: Identify and authenticate access to
system components
4. Monitor and control access to your systems.

Symantec Data Loss Prevention (DLP)
O DLP é uma tecnologia de segurança com reconhecimento de
conteúdo que lida com três questões importantes relacionadas às
informações confidenciais da empresa.
Disponível para Cloud, Endpoint, Mobile, Network, Storage e Email
29
REQ4: Encrypt transmission of cardholder data
across open, public networks
REQ6: Develop and maintain secure systems
and applications.

30
PORTFOLIO SYMANTEC
PCI-DSS X Soluções Symantec
ControlComplianceSuite
DataLossPrevention
DataCenterSecurity
EndpointEncryption
AdvancedThreatProtection
ManagedSecurityServices
EndpointProtection
ValidationandIDProtection
Service
MessagingGateway
ITMS
MPKI/SSLCertificate
Deep-sight
1. Manter configurações de firewall que protejam os dados do titular do cartão o • • •
2. Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • •
3. Proteger os dados do titular do cartão o • • • •
4. Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas o • •
5. Utilizar solução de anti-virus e mantê-la atualizada o • • • • •
6. Desenvolver e manter sistemas e aplicações de forma segura • • o • • • •
7. estringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • •
8. Atribuir uma única identificação para cada pessoa que tem acesso a computadores • •
9. Restringir acesso físico aos dados do titular do cartão • o
10. Controlar e monitorar todos acessos a rede e aos dados do titular do cartão o • • •
11. Testar regularmente os sistemas e processos. o • • •
12. Manter políticas que aborde segurança da informação para todas as equipes •

Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be
trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by
law. The information in this document is subject to change without notice.
Obrigado!
Próximo Webinar:
16/03 – Segurança de email: Ameaças, SPAM e Sequestros,
uma máquina de dinheiro

Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Mais de Symantec Brasil

Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme