O documento fornece uma visão geral sobre o padrão PCI-DSS, que estabelece uma série de controles de segurança para proteger dados de cartões de crédito. Ele descreve os motivos para o crescimento de incidentes de vazamento de dados, os requisitos do padrão PCI-DSS, e as especialidades da empresa Conviso em auxiliar organizações a atenderem os requisitos 6 e 11 do padrão.
1. PCI-DSS - Uma visão geral sobre o
padrão
1
Friday, July 4, 2014
2. Sobre o PCI
O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras
de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles
de segurança nas transações realizadas com este tipo de sistema. Hoje existem três
documentos que concentram estes controles para diferentes audiências:
PCI Data Security Standard: Define os controles para todas as empresas que
aceitam pagamentos através de cartões com a distribuição de uma série de
medidas em 12 requerimentos complementares
Payment Application Data Security Standard: Estabelece os controles para as
empresas que desenvolvem softwares utilizados no suporte para as transações
realizadas com cartões
PIN Transaction Security: Estabelece os controles para as empresas que
desenvolvem o hardware utilizado no suporte para as transações realizadas
com cartões
2
Friday, July 4, 2014
3. Os Motivadores
Recorde: Em julho de 2011 o site DatalossDB bateu o
recorde de incidentes com vazamento de dados, 90
incidentes foram registrados
Cresce o número de incidentes: Dos 10 maiores
incidentes envolvendo vazamento de cartões de créditos,
apenas uma aconteceu antes de 2005
“Ativismo Hacker”: Uma onda de ataques a integridade e
disponibilidade dos dados atualmente está em curso
supostamente por reinvidicações e motivações políticas
3
Friday, July 4, 2014
4. Os Motivadores
SONY PSN: Dados de 77 milhões de usuários foram
comprometidos e prejuízos estimados em US$ 1.5 Bilhão
Diginotar: Comprometimento de seus certificados o que
levou a falência da empresa
Dezenas de empresas brasileiras: Todos os dias
empresas nacionais são comprometidas e não reportam
aos seus clientes ou divulgam notas sobre os incidentes
4
Friday, July 4, 2014
5. Por que minha organização deve se
preocupar?
As bandeiras de cartões, comprometem-se a fornecer
incentivos financeiros para quem estiver em conformidade
e aplicar penalidades para os não-conformes
Estar em conformidade pode ajudar a reduzir a
responsabilidade em caso de perda de dados
Uma análise adequada e um projeto apropriado de seus
sistemas pode ajudá-lo a controlar melhor os dados de
seus clientes e, conseqüentemente, ajudá-lo a melhorar o
seu serviço de atendimento e satisfação ao cliente
5
Friday, July 4, 2014
6. Quando eu preciso contratar uma
empresa certificada pelo PCI Council?
‣ A organização irá buscar suporte com as bandeiras e
empresas especializadas nos controles para fazer avaliações
anteriores ao processo de auditoria. Após a adequação de
controles será necessário passar por uma auditoria com
empresas certificadas pelo PCI Council
‣ Obs.: Não é necessário empresas certificadas para adequar
controles, opte por empresas especializadas em cada
controle e garanta a segregação entre quem implementa e
a empresa auditora
6
Friday, July 4, 2014
7. Os Controles
7
Controles Requisitos
Construir e manter uma
rede segura
1. Instalar e manter uma configuração de firewall para
proteger os dados do titular do cartão
2. Não usar padrões disponibilizados pelo fornecedor para
senhas do sistema e outros parâmetros de segurança
Proteger os dados do
portador de cartão
3. Proteger os dados armazenados do portador do cartão
4.Criptografar a transmissão dos dados do titular do cartão
em redes abertas e públicas
Manter um programa de
gerenciamento de
vulnerabilidades
5. Usar e atualizar regularmente o software ou programas
antivírus
6. Desenvolver e manter sistemas e aplicativos seguros
Friday, July 4, 2014
8. Os Controles
8
Controles Requisitos
Implementar medidas de
controle de acessos
rigorosas
7. Restringir o acesso aos dados do titular do cartão de
acordo com a necessidade de conhecimento para o
negócio
8. Atribuir uma identidade exclusiva para cada pessoa que
tenha acesso ao computador
9. Restringir o acesso físico aos dados do titular do cartão
Monitorar e testar as
redes regularmente
10. Acompanhar e monitorar todos os acessos com relação
aos recursos da rede e aos dados do titular do cartão
11. Testar regularmente os sistemas e processos de
segurança
Manter uma política de
segurança de
informações
12. Manter uma política que aborde a segurança das
informações para todas as equipes
Friday, July 4, 2014
9. Os Dados do Titular do Cartão
Estes são os dados que devem ser protegidos para atendimento ao
padrão:
9
‣ O número da conta principal
(PAN)
‣ O nome do titular do cartão
‣ Data de Vencimento
‣ Código de serviço
‣ Dados em tarja magnética
ou equivalente em chip
‣ CAV2/CVC2/CVV2/CID
‣ PINs/Bloqueios de PIN
Friday, July 4, 2014
10. Porque e o que Armazenar
A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A
melhor opção é não armazenar.
O que pode ser armazenado (sobre rígido controle)
O número da conta principal (PAN)
O nome do titular do cartão
Código de serviço
Data de vencimento
O que não pode ser armazenado
Dados completos da tarja magnética
CAV2/CVC2/CVV2/CID
PIN/Bloqueio de PIN
10
Friday, July 4, 2014
11. Sobre a Adoção de Controles
A adoção de controle segue os conceitos de tratamento de riscos,
não exigindo que todos os controles sejam implementados
O planejamento adequado evita o gasto com controles
desnecessários evitando riscos ou adotando controles
compensatórios
Soluções prontas de hardware ou software sozinhas não atendem
as necessidades de controles, é necessário processos claros e
entendimento dos riscos
11
Friday, July 4, 2014
12. Maiores Dificuldades
Ausência de uma visão de gestão de riscos clara dificultando o
desenho adequado dos controles
Mudanças culturais relacionadas ao desenho e implementação de
novos processos
Conscientização e capacitação dos envolvidos no tratamento e
custódia dos dados do titular do cartão
12
Friday, July 4, 2014
13. Recursos no site do PCI Council
Glossário
Planilha para auto-avaliação
Navegando pelo PCI-DSS: Entendendo o porque dos
controles
https://pt.pcisecuritystandards.org/security_standards/
documents.php?
category=supporting&document=pci_ssc_quick_guide#
pci_ssc_quick_guide
13
Friday, July 4, 2014
14. A nossa especialidade
A Conviso é especializada e possui cases de
sucesso nos seguintes controles:
Requisito 6: Desenvolver e manter sistemas e
aplicativos seguros
Requisito 11: Testar regularmente os sistemas
e processos de segurança
14
Friday, July 4, 2014
15. Sobre a Conviso Application Security
Mais de 350 testes realizados por ano em empresas dos mais
diversos segmentos
Investimentos contínuos em pesquisas e participações em projetos
Open Source como OWASP (Open Web Application Security
Project) e nas principais conferências técnicas como YSTS; H2HC;
OWASP AppSec entre outros
Equipe técnica experiente e altamente especializada em
desenvolvimento de software e segurança de ambientes que o
suportam
15
Friday, July 4, 2014
16. Atuação: Requisito 6
Capacitação: Capacitação em segurança de aplicações atendendo
desde planejamento a práticas de codificação segura
Implementação de processos: Desenho e implementação de
processos de segurança em desenvolvimento
Revisão de Código: Análise de código fonte nas principais
linguagens de programação em soluções de Internet Banking; E-
commerce; Workflow; Conteúdo e outros
16
Friday, July 4, 2014
17. Atuação: Requisito 6
Web Security Assessment: Análises detalhadas e sobre medida
em aplicações web no modelo black-box e white-box
Scan automatizado de aplicações: Adotando uma análise hibrida,
onde o scanner é adequadamente configurado e as análises
validadas por equipe especializada
Firewall de Aplicação (WAF): Implementação, suporte e mão de
obra especializada na customização e monitoramento de soluções
de firewall de aplicação
Hardening: Configuração de segurança em ambientes que
suportam as aplicações
17
Friday, July 4, 2014
18. Atuação: Requisito 11
Penetration Test: Testes de invasão buscando a validação de
controle de perímetros, infraestrutura interna e conscientização de
usuários
Scan automatizado de infraestrutura: Adotando uma análise
hibrida, onde o scanner é adequadamente configurado e as
análises validadas por equipe especializada
18
Friday, July 4, 2014
19. Conclusões
A adoção de controles a operação da organização permite uma gestão
de riscos adequada e benefícios diretos
Passos para se adequar
Conheça o padrão
Busque auxílio com as bandeiras
Adote controles efetivos e não busque apenas a conformidade
Na dúvida consulte diretamente o PCI Council
19
Friday, July 4, 2014
20. 20
Curitiba | Miami | São Paulo
Escritório Central
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
T (41) 3095-3986
Escritório Estados Unidos
8671 NW 56th Street, Suite B65
Doral, FL 33166
T (786) 382-0167
www.conviso.com.br
Friday, July 4, 2014